信息安全技术 实验四 木马及远程控制技术

信息安全技术 实验四 木马及远程控制技术

实 验 报 告

实验名称： 木马及远程控制技术

• 姓名： 杨瀚、李卓雯
• 学号： 20155313、20155201
• 班级： 1553、1552
• 日期： 2017.11.21

一、 实验环境

• 操作系统：windows 7、VM虚拟机中的windows 2003
• 实验工具：灰鸽子远程控制、监控器、协议分析器

二、 实验内容

• 1、木马生成与植入
• 2、利用木马实现远程控制
• 3、木马的删除

三、 实验过程

（一） 木马生成与植入

1． 生成网页木马

• （1） 主机A首先通过Internet信息服务(IIS)管理器启动“木马网站。
  
• （2） 主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
• （3） 主机A生成木马的“服务器程序”。
• 主机A单击木马操作界面工具栏“配置服务程序”按钮，弹出“服务器配置”对话框,单击“自动上线设置”属性页，在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址，在“保存路径”文本框中输入“D:WorkIISServer_Setup.exe”，单击“生成服务器”按钮，生成木马“服务器程序”。
  
• （4） 主机A编写生成网页木马的脚本。
• 在桌面建立一个“Trojan.txt”文档，打开“Trojan.txt”，将实验原理中网马脚本写入，并将脚本第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”，生成“Trojan.htm”。
  
• 将生成的“Trojan.htm”文件保存到“D:WorkIIS”目录下，“Trojan.htm”文件就是网页木马程序。
  

2． 完成对默认网站的“挂马”过程

• （1） 主机A进入目录“C:Inetpubwwwroot”，使用记事本打开“index.html”文件。
• （2） 对“index.html”进行编辑。在代码的底部加上iframe语句，具体见实验原理｜名词解释｜iframe标签（需将http://www.jlcss.com/index.html修改为http://本机IP:9090/Trojan.htm），实现从此网页对网页木马的链接。
  

3． 木马的植入

• （1） 主机B设置监控。
• 主机B进入实验平台，单击工具栏“监控器”按钮，打开监控器。
• 在向导栏中依次启动“进程监控”、“端口监控”，选择“文件监控”，在菜单栏中选择“选项”|“设置”，在设置界面中设置监视目录“C:Windows”（默认已被添加完成），操作类型全部选中，启动文件监控。
• 启动协议分析器，单击菜单“设置”｜“定义过滤器”，在弹出的“定义过滤器”对话框中选择“网络地址”选项卡，设置捕获主机A与主机B之间的数据。
• 新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在捕获窗口- 工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。
• 主机B启动IE浏览器，访问“http://主机A的IP地址”。
• （2） 主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。
  
• （3） 主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。
  
  

（二） 木马的功能

1． 文件管理

• （1） 主机B在目录“D:WorkTrojan”下建立一个文本文件，并命名为“Test.txt”。
• （2） 主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。
  单击“文件管理器”属性页，效仿资源管理器的方法在左侧的树形列表的“自动上线主机”下找到主机B新建的文件“D:WorkTrojanTest.txt”。在右侧的详细列表中对该文件进行重命名操作。
  
• （3） 在主机B上观察文件操作的结果。

2． 系统信息查看

• 主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“系统信息”按钮，查看主机B操作系统信息。
  

3． 进程查看

• （1） 主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看
• 单击“远程控制命令”属性页，选中“进程管理”属性页，单击界面右侧的“查看进程”按钮，查看主机B进程信息。
  
• （2） 主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程，并和主机A的查看结果相比较。

4． 注册表管理

• 主机A单击“注册表编辑器”属性页，在左侧树状控件中“远程主机”（主机B）注册表的“HKEY_LOCAL_MACHINESoftware” 键下，创建新的注册表项；对新创建的注册表项进行重命名等修改操作；删除新创建的注册表项，主机B查看相应注册表项。
  

5． Telnet

• 主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作，单击菜单项中的“Telnet”按钮，打开Telnet窗口，使用“cd c:”命令进行目录切换，使用“dir”命令显示当前目录内容，使用其它命令进行远程控制。

6． 其它命令及控制

• 主机A通过使用“灰鸽子远程控制”程序的其它功能，对主机B进行控制。

（三） 木马的删除

1． 自动删除

• 主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。

2． 手动删除

• （1） 主机B启动IE浏览器，单击菜单栏“工具”｜“Internet 选项”，弹出“Internet 选项”配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对话框中，选中“删除所有脱机内容”复选框，单击“确定”按钮直到完成。
• （2） 双击“我的电脑”，在浏览器中单击“工具”|“文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏受保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮。
• （3） 关闭已打开的Web页，启动“Windows 任务管理器”。单击“进程”属性页，在“映像名称”中选中所有“IEXPLORE.EXE”进程，单击“结束进程”按钮。
• （4） 删除“C:WidnowsHacker.com.cn.ini”文件。
• （5） 启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目，单击右键，在弹出菜单中选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮。
• （6） 启动注册表编辑器，删除“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista”节点。
• （7） 重新启动计算机。
• （8） 主机A如果还没卸载灰鸽子程序，可打开查看自动上线主机，已经不存在了。

四、 实验总结

20155313：

• 本次实验是一次结合实际网络应用的实验，我们的个人电脑一直都受到木马等计算机病毒的威胁，而真的原理我们一直都没有机会学习实践，而这次的实验我们确实对木马的制作与使用进行了真正的操作。本次实验中我和我的搭档也遇到了非常大的问题，并且就问题与老师进行了研究与探讨。本次实验中，我们的客户端与服务器端在ip地址连通的情况下，客户端始终不能在服务器端的木马监控软件上上线。最后根据我们的判断，认为是实验室主机的连通性有问题，之后我们使用了其他的计算机完成了本次实验。同时老师也告诉我们，实验的目的不是为了完成这些步骤，而是要明白这些原理。而我们虽然实验进行得不是很顺利，但是实验中出现的问题更能让我们学习到其中的知识。

20155201：

• 我们这次的实验是《木马及远程控制技术》，实验内容是分别在服务器端与客户端模拟木马的制作、使用与访问、被控制等操作。我们在服务器端通过灰鸽子制作了网页木马并实时进行监控，然后在客户端访问网页实现了被监视且被控制的结果。本次实验我们学习到了木马病毒运行的原理，也对我们以后防范木马病毒有了更多的启发。

五、 思考题

1、列举出几种不同的木马植入方法。

• 1、通过网页的植入
• 2、木马可以通过程序的下载进行植入
• 3、人工植入
• 4、通过破解防火墙，指定IP进行攻击的植入

2、列举出几种不同的木马防范方法。

• 1、定期使用杀毒软件对电脑进行清理
• 2、使用杀毒软件对浏览的网页进行实时监控
• 3、不随意下载来路不明的文件
• 4、使用外部存储硬件的需要进行监管