# 2017-2018-1 20155219 20155224《信息安全技术》实验四—— 木马及远程控制技术

2017-2018-1 20155219 20155224《信息安全技术》实验四—— 木马及远程控制技术

【实验目的】

剖析网页木马的工作原理
理解木马的植入过程
学会编写简单的网页木马脚本
通过分析监控信息实现手动删除木马

【实验内容】

木马生成与植入
利用木马实现远程控制
木马的删除

【实验原理】

网页木马原理及相关定义
“网页木马”由其植入方式而得名，是通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的木马。与其它网页不同，木马网页是黑客精心制作的，用户一旦访问了该网页就会中木马。因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

名词解释

• MS06014漏洞

存在于Microsoft Data Access Components，利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的程序就会不经过用户的确认而自动执行。

• iframe标签

iframe也叫浮动帧标签，它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。 被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽（width）、高（height）、边框（frameborder）都设置为0，代码插入到首页后，首页不会发生变化，但是嵌入的网页实际上已经打开。

• 反弹端口型木马

分析防火墙的特性后可以发现，防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。服务端通常会把打开的端口伪装成应用软件的端口，从而进一步降低被防火墙发现的概率。

• 网页木马生成脚本

通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的，进而达到用户浏览含有木马的网页即自动下载安装程序的目的。

【木马的工作过程】

木马的工作过程可分为四部分：
木马的植入、木马的安装、木马的运行和木马的自启动。

• 植入

网页木马就是一个由黑客精心制作的含有木马的HTML网页，因为MS06014漏洞存在，当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页，进而达到植入木马的目的。不过随着人们网络安全意识的提高，这种方法已经很难欺骗大家了。

还有一种方法就是通过iframe标签，在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时，iframe语句就会链接到含有木马的网页，网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马”，而中了木马的主机通常被幽默的称作“肉鸡”。“挂马”因为需要获取网站管理员的权限，所以难度很大。不过他的危害也是十分巨大的，如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马”，那试想他会有多少“肉鸡”。

• 木马的安装
  木马的安装在木马植入后就被立即执行。当网页木马植入后，木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序，并根据脚本中的设定对安装程序进行重命名。通常会重新命名一个与系统进程相近的名字来迷惑管理员，使安装过程及其留下的痕迹不通过细心查看不易被发觉。安装程序下载完成后，自动进行安装。生成可执行文件C:Windowshack.com.cn.ini，并修改注册表生成名为windows XP Vista的系统服务。

• 木马的运行
  灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端，并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE，此进程与Windows的IE浏览器进程同名，同样是为了迷惑管理员来伪装自己。当木马服务端与客户端建立连接后，客户端就如同拥有了管理员权限一样，可随意对“肉鸡”进行任何操作。

• 木马的自启动
  木马安装时生成系统服务Windows XP
  Vista。Windows XP Vista的可执行文件路径：“C:WINDOWSHacker.com.cn.ini。”描述：“灰鸽子服务端程序，远程监控管理。”启动类型：“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。存在于系统目录下的Hack.com.cn.ini文件被设置成一个隐藏的受保护的操作系统文件，很难被人发现。

灰鸽子木马的基本功能。

（1）反向连接
（2）文件管理
（3）注册表管理
（4）系统信息查看
（5）剪贴板查看
（6）进程管理
（7）服务管理
（8）共享管理
（9）Telnet
（10）配置代理服务器
（11）插件功能
（12）命令广播
（13）捕获屏幕
（14）视频语音

木马的删除

木马的“客户端程序”可以控制木马的“服务器程序”的删除工作。另一种方法是通过手动删除。

实验步骤及部分截图

• 木马的生成与植入

1. 生成网页木马

（1）主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
（2）主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
（3）主机A生成木马的“服务器程序”。
（4）主机A编写生成网页木马的脚本。
2. 完成对默认网站的“挂马”过程

（1）主机A进入目录“C:Inetpubwwwroot”，使用记事本打开“index.html”文件。
（2）对“index.html”进行编辑。在代码的底部加上iframe语句。
3. 木马的植入

（1）主机B设置监控。

启动协议分析器，单击菜单“设置”｜“定义过滤器”，在弹出的“定义过滤器”对话框中选择“网络地址”选项卡，设置捕获主机A与主机B之间的数据。

新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。
主机B启动IE浏览器，访问“http://主机A的IP地址”。

（2） 主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。

（3） 主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。（观察木马服务器端安装程序的运行结果与配置服务器时的设置是否一致。）

在“进程监控”|“变化视图”中查看是否存在“进程映像名称”为“Hacker.com.cn.ini”的新增条目。

Hacker.com.cn.ini文件是由哪个进程创建的： ++进程ID 3240++ ；
Windows XP vista服务的执行体文件是： ++C:WINDOWSHacker.com.cn.ini++ ；
8000服务远程地址（控制端）地址： ++172.16.0.84++ ；
（4） 主机B查看协议分析器所捕获的信息。

• 木马的功能

一、文件管理

（1） 主机B在目录“D:WorkTrojan”下建立一个文本文件，并命名为“Test.txt”。

（2） 主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。
单击“文件管理器”属性页，效仿资源管理器的方法在左侧的树形列表的“自动上线主机”下找到主机B新建的文件“D:WorkTrojanTest.txt”。在右侧的详细列表中对该文件进行重命名操作。

（3） 在主机B上观察文件操作的结果。

二、系统信息查看

主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“系统信息”按钮，查看主机B操作系统信息。

三、进程查看

（1） 主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看
单击“远程控制命令”属性页，选中“进程管理”属性页，单击界面右侧的“查看进程”按钮，查看主机B进程信息。

（2） 主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程，并和主机A的查看结果相比较。

四、注册表管理

主机A单击“注册表编辑器”属性页，在左侧树状控件中“远程主机”（主机B）注册表的“HKEY_LOCAL_MACHINESoftware” 键下，创建新的注册表项；对新创建的注册表项进行重命名等修改操作；删除新创建的注册表项，主机B查看相应注册表项。

进行重命名操作：

五、Telnet

主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作，单击菜单项中的“Telnet”按钮，打开Telnet窗口，使用“cd c:”命令进行目录切换，使用“dir”命令显示当前目录内容，使用其它命令进行远程控制。

• 木马的删除

1. 自动删除

主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。

2. 手动删除

（1） 主机B启动IE浏览器，单击菜单栏“工具”｜“Internet 选项”，弹出“Internet 选项”配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对话框中，选中“删除所有脱机内容”复选框，单击“确定”按钮直到完成。

（2） 双击“我的电脑”，在浏览器中单击“工具”|“文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏受保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮。

（3） 关闭已打开的Web页，启动“Windows 任务管理器”。单击“进程”属性页，在“映像名称”中选中所有“IEXPLORE.EXE”进程，单击“结束进程”按钮。

（4） 删除“C:WidnowsHacker.com.cn.ini”文件。

（5） 启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目，单击右键，在弹出菜单中选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮。

（6） 启动注册表编辑器，删除“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista”节点。

（7） 重新启动计算机。

（8） 主机A如果还没卸载灰鸽子程序，可打开查看自动上线主机，已经不存在了。

实验中遇到的问题

• 问题
  主机B访问主机A网站，在主机A处无法上线。

• 解决
  主机B"http://本机IP:9090/Trojan.htm",在主机A处显示已上线。

思考题

• 列举出几种不同的木马植入方法。
  木马的植入最常见的方法

1、通过网页的植入，比如某带木马代码的网站，你登录后，他就自动加载在你的系统里了。一般他们会把木马放在图片里

2、木马可以通过程序的下载进行植入
例如通过提供免费的下载或者下载列表里下载的程序和实际你搜索到的程序不同，提供的是木马程序，或者干脆在程序里添加木马

3、人工植入，
早期很多人针对网游投放木马，而网游人数最密集的地方就是网吧，通常会有人带U盘到网吧，植入，或者通过自己建的某个带有木马的网站，在网吧登录木马网站进行木马的侵入

4、通过破解防火墙，指定IP进行攻击的植入

5.把木马文件转换为图片格式

6.利用WinRar制作成自释放文件

7.基于DLL和远程线程插入的木马植入技术

8.利用共享和Autorun文件

参考木马常见植入方法大曝光里面有具体的详细介绍

• 列举出几种不同的木马防范方法。
  1、不到不受信任的网站上下载软件运行

2、不随便点击来历不明邮件所带的附件

3、及时安装相应的系统补丁程序

4、为系统选用合适的正版杀毒软件，并及时升级相关的病毒库

5、为系统所有的用户设置合理的用户口令

6.把个人防火墙设置好安全等级，防止未知程序向外传送数据。 3

7.可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

8.如果使用IE浏览器，应该安装卡卡安全助手，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。

9.将资源管理器配置成始终显示扩展名

将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、 shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

10.尽量少用共享文件夹

如果因工作等原因必须将电脑设置成共享，则最好单独设置一个共享文 件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

11.运行反木马实时监控程序

木马防范重要的一点就是在上网时最好运行反木马实时监控程序，The Cleaner等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

【实验体会】

我觉得这次实验非常有趣，因为感受到了通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的神奇之处，当网页木马植入后，木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序，并根据脚本中的设定对安装程序进行重命名来迷惑管理员，就可以进入系统对系统进行远程控制。通过这次实验理解了整个木马植入的过程是通过IE浏览器的一些已知和未知的漏洞，然后网页木马利用这些漏洞获得权限来下载程序和运行程序达到植入的效果。