zoukankan      html  css  js  c++  java

  • 《信息安全技术》实验四 木马及远程控制技术

    《信息安全技术》实验四 木马及远程控制技术

    实验目的

    • 剖析网页木马的工作原理
    • 理解木马的植入过程
    • 学会编写简单的网页木马脚本
    • 通过分析监控信息实现手动删除木马

    实验人数

    • 20155211解雪莹 20155235王玥

    实验步骤

    木马的生成与植入

    1.生成网页木马

    • 主机A编写生成网页木马的脚本。
      在桌面建立打开“Trojan.txt”,将实验原理中网马脚本写入,并将脚本第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”,生成“Trojan.htm”即网页木马程序。

    2.完成对默认网站的“挂马”过程

    • 对“index.html”进行编辑,实现从此网页对网页木马的链接。

    3.木马的植入

    • 主机B设置监控。

      • 打开监控器。在向导栏中依次启动“进程监控”、“端口监控”,选择“文件监控”操作类型全部选中,启动文件监控。

      • 启动协议分析器

      • 单击菜单“设置”|“定义过滤器”,在弹出的“定义过滤器”对话框中选择“网络地址”选项卡,设置捕获主机A与主机B之间的数据。

      • 新建捕获窗口,点击“选择过滤器”按钮,确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。
        主机B启动IE浏览器,访问“http://主机A的IP地址”。

    • 主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。

    • 主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。

      • 在“端口监控”中查看“远程端口”为“8000”的新增条目,观察端口监控信息,回答下面问题:
        • 8000服务远程地址(控制端)地址:木马服务器主机地址

    木马的功能

    1.文件管理

    • 主机B在目录“D:WorkTrojan”下建立一个文本文件,并命名为“Test.txt”。

    • 主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。、

    • 在主机B上观察文件操作的结果。

    2.系统信息查看

    • 主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“系统信息”按钮,查看主机B操作系统信息。

    3.进程查看

    • 主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看。

    • 主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程,并和主机A的查看结果相比较。

    4.注册表管理

    • 主机A单击“注册表编辑器”属性页,在左侧树状控件中“远程主机”(主机B)注册表的“HKEY_LOCAL_MACHINESoftware” 键下,创建新的注册表项;

    5.Telnet

    • 主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作,单击菜单项中的“Telnet”按钮,打开Telnet窗口,使用“cd c:”命令进行目录切换,使用“dir”命令显示当前目录内容,使用其它命令进行远程控制。

    木马的删除

    1.自动删除

    • 主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。

    2.手动删除

    • 主机B启动IE浏览器,单击菜单栏“工具”|“Internet 选项”,弹出“Internet 选项”配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选中“删除所有脱机内容”复选框,单击“确定”按钮直到完成。

    • 双击“我的电脑”,在浏览器中单击“工具”|“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏受保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮。

    • 关闭已打开的Web页,启动“Windows 任务管理器”。单击“进程”属性页,在“映像名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮。

    • 删除“C:WidnowsHacker.com.cn.ini”文件。

    • 启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目,单击右键,在弹出菜单中选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮。

    • 启动注册表编辑器,删除“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista”节点。

    • 重新启动计算机。

    • 主机A如果还没卸载灰鸽子程序,可打开查看自动上线主机,已经不存在了。

    思考问题

    • 列举出几种不同的木马植入方法。
      • 软件下载
      • 利用共享和Autorun文件
      • 把木马文件转换为图片格式
      • 利用WinRar制作成自释放文件
    • 列举出几种不同的木马防范方法。
      • 为计算机安装杀毒软件,定期扫描系统、查杀病毒;及时更新病毒库、更新系统补丁
      • 下载软件时尽量到官方网站或大型软件下载网站,在安装或打开来历不明的软件或文件前先杀毒
      • 不随意打开不明网页链接,尤其是不良网站的链接,陌生人通过QQ给自己传链接时,尽量不要打开
      • 对计算机系统的各个账号要设置口令,及时删除或禁用过期账号
      • 定期备份,以便遭到病毒严重破坏后能迅速修复
  • 相关阅读:
    Algorithms
    Algorithms
    再探循环神经网络
    循环神经网络(RNN)
    AI:深度学习用于文本处理
    人们怎么使用 AI 抵抗冠状病毒
    AI:拿来主义——预训练网络(二)
    AI:拿来主义——预训练网络(一)
    AI:是猫还是狗,这是个问题
    Android Studio 3.6 正式版终于发布了
  • 原文地址:https://www.cnblogs.com/xxy9712/p/7906248.html
Copyright © 2011-2022 走看看