《信息安全技術》實驗四 木馬及遠程控制技術

實驗名稱

木馬及遠程控制技術

實驗目的

剖析網頁木馬的工作原理
理解木馬的植入過程
學會編寫簡單的網頁木馬腳本
通過分析監控信息實現手動刪除木馬

實驗人數

本組3人，20155331 20155334 20155338

實驗內容

木馬生成與植入
利用木馬實現遠程控制
木馬的刪除

實驗環境

系統環境
Windows Server 2003虛擬機
網絡環境
交換網絡結構

實驗工具

網絡協議分析器
灰鴿子
監控器

實驗步驟

本練習主機A、B為一組，C、D為一組，E、F為一組。實驗角色說明如下：

實驗主機
實驗角色

主機A、C、E
木馬控制端（木馬客戶端）

主機B、D、F
木馬被控端（木馬服務器）

下面以主機A、B為例，說明實驗步驟。
首先使用“快照X”恢復Windows系統環境。

一．木馬生成與植入

在進行本實驗步驟之前，我們再來闡述一下用戶主機通過訪問被“掛馬”的網站而被植入木馬的過程，便於同學們理解和完成實驗。

（1）用戶訪問被“掛馬”的網站主頁。（此網站是安全的）

（2）“掛馬”網站主頁中的<iframe>代碼鏈接一個網址（即一個網頁木馬），使用戶主機自動訪問網頁木馬。（通過把<iframe>設置成不可見的，使用戶無法察覺到這個過程）

（3）網頁木馬在得到用戶連接後，自動發送安裝程序給用戶。

（4）如果用戶主機存在MS06014漏洞，則自動下載木馬安裝程序並在後臺運行。

（5）木馬安裝成功後，木馬服務端定時監測控制端是否存在，發現控制端上線後立即彈出端口主動連接控制端打開的被動端口。

（6）客戶端收到連接請求，建立連接。
 

1．生成網頁木馬

（1）主機A首先通過Internet信息服務(IIS)管理器啟動“木馬網站”。

（2）主機A進入實驗平臺在工具欄中單擊“灰鴿子”按鈕運行灰鴿子遠程監控木馬程序。

（3）主機A生成木馬的“服務器程序”。

主機A單擊木馬操作界面工具欄“配置服務程序”按鈕，彈出“服務器配置”對話框,單擊“自動上線設置”屬性頁，在“IP通知http訪問地址、DNS解析域名或固定IP”文本框中輸入本機IP地址，在“保存路徑”文本框中輸入“D:\Work\IIS\Server_Setup.exe”，單擊“生成服務器”按鈕，生成木馬“服務器程序”。

（4）主機A編寫生成網頁木馬的腳本。

在桌面建立一個“Trojan.txt”文檔，打開“Trojan.txt”，將實驗原理中網馬腳本寫入，並將腳本第15行“主機IP地址”替換成主機A的IP地址。把“Trojan.txt”文件擴展名改為“.htm”，生成“Trojan.htm”。

「註」 C:\ExpNIS\NetAD-Lab\Projects\Trojan\Trojan.htm文件提供了VB腳本源碼。

將生成的“Trojan.htm”文件保存到“D:\Work\IIS\”目錄下(“D:\Work\IIS\”為“木馬網站”的網站空間目錄)，“Trojan.htm”文件就是網頁木馬程序。
 

2．完成對默認網站的“掛馬”過程

（1）主機A進入目錄“C:\Inetpub\wwwroot”，使用記事本打開“index.html”文件。

（“默認網站”的網站空間目錄為“C:\Inetpub\wwwroot\”,主頁為“index.html”）

（2）對“index.html”進行編輯。在代碼的底部加上<iframe>語句，具體見實驗原理｜名詞解釋｜iframe標簽（需將http://www.jlcss.com/index.html修改為http://本機IP:9090/Trojan.htm），實現從此網頁對網頁木馬的鏈接。

3．木馬的植入

（1）主機B設置監控。

主機B進入實驗平臺，單擊工具欄“監控器”按鈕，打開監控器。

在向導欄中依次啟動“進程監控”、“端口監控”，選擇“文件監控”，在菜單欄中選擇“選項”|“設置”，在設置界面中設置監視目錄“C:\Windows\”（默認已被添加完成），操作類型全部選中，啟動文件監控。

啟動協議分析器，單擊菜單“設置”｜“定義過濾器”，在彈出的“定義過濾器”對話框中選擇“網絡地址”選項卡，設置捕獲主機A與主機B之間的數據。

新建捕獲窗口，點擊“選擇過濾器”按鈕，確定過濾信息。在捕獲窗口工具欄中點擊“開始捕獲數據包”按鈕，開始捕獲數據包。

主機B啟動IE瀏覽器，訪問“http://主機A的IP地址”。

（2）主機A等待“灰鴿子遠程控制”程序主界面的“文件管理器”屬性頁中“文件目錄瀏覽”樹中出現“自動上線主機”時通知主機B。

（3）主機B查看“進程監控”、“服務監控”、“文件監控”和“端口監控”所捕獲到的信息。

在“進程監控”|“變化視圖”中查看是否存在“進程映像名稱”為“Hacker.com.cn.ini”的新增條目。觀察進程監控信息，結合實驗原理回答下面的問題。

Hacker.com.cn.ini文件是由哪個進程創建的：          ；

在“服務監控”中單擊工具欄中的“刷新”按鈕，查看是否存在“服務名稱”為“Windows XP Vista” 的新增條目，觀察服務監控信息，回答下面的問題。

Windows XP vista服務的執行體文件是：          ；

在“文件監控”中查看“文件名”為“C:\WINDOWS\Hacker.com.cn.ini”的新增條目。

在“端口監控”中查看“遠程端口”為“8000”的新增條目，觀察端口監控信息，回答下面問題：

8000服務遠程地址（控制端）地址：          ；

經過對上述監控信息的觀察，你認為在“進程監控”中出現的winlogoin.exe進程（若存在）在整個的木馬植入過程中起到的作用是：          ；

（4）主機B查看協議分析器所捕獲的信息。

註意圖26-1-1中劃線部分的數據，結合實際結果找到對應的信息。

二．木馬的功能

1．文件管理

（1）主機B在目錄“D:\Work\Trojan\”下建立一個文本文件，並命名為“Test.txt”。

（2）主機A操作“灰鴿子遠程控制”程序來對主機B進行文件管理。

單擊“文件管理器”屬性頁，效仿資源管理器的方法在左側的樹形列表的“自動上線主機”下找到主機B新建的文件“D:\Work\Trojan\Test.txt”。在右側的詳細列表中對該文件進行重命名操作。

（3）在主機B上觀察文件操作的結果。

2．系統信息查看

主機A操作“灰鴿子遠程控制”程序查看主機B的操作系統信息。單擊“遠程控制命令”屬性頁，選中“系統操作”屬性頁，單擊界面右側的“系統信息”按鈕，查看主機B操作系統信息。

3．進程查看

（1）主機A操作“灰鴿子遠程控制”程序對主機B啟動的進程進行查看。

單擊“遠程控制命令”屬性頁，選中“進程管理”屬性頁，單擊界面右側的“查看進程”按鈕，查看主機B進程信息。

（2）主機B查看“進程監控”|“進程視圖”枚舉出的當前系統運行的進程，並和主機A的查看結果相比較。

4．註冊表管理

主機A單擊“註冊表編輯器”屬性頁，在左側樹狀控件中“遠程主機”（主機B）註冊表的“HKEY_LOCAL_MACHINE\Software\” 鍵下，創建新的註冊表項；對新創建的註冊表項進行重命名等修改操作；刪除新創建的註冊表項，主機B查看相應註冊表項。

5．Telnet

主機A操作“灰鴿子遠程控制”程序對主機B進行遠程控制操作，單擊菜單項中的“Telnet”按鈕，打開Telnet窗口，使用“cd c:\”命令進行目錄切換，使用“dir”命令顯示當前目錄內容，使用其它命令進行遠程控制。

6．其它命令及控制

主機A通過使用“灰鴿子遠程控制”程序的其它功能（例如“捕獲屏幕”），對主機B進行控制。

三．木馬的刪除

1．自動刪除

主機A通過使用“灰鴿子遠程控制”程序卸載木馬的“服務器”程序。具體做法：選擇上線主機，單擊“遠程控制命令”屬性頁，選中“系統操作”屬性頁，單擊界面右側的“卸載服務端”按鈕，卸載木馬的“服務器”程序。

2．手動刪除

（1）主機B啟動IE瀏覽器，單擊菜單欄“工具”｜“Internet 選項”，彈出“Internet 選項”配置對話框，單擊“刪除文件”按鈕，在彈出的“刪除文件”對話框中，選中“刪除所有脫機內容”復選框，單擊“確定”按鈕直到完成。

（2）雙擊“我的電腦”，在瀏覽器中單擊“工具”|“文件夾選項”菜單項，單擊“查看”屬性頁，選中“顯示所有文件和文件夾”，並將“隱藏受保護的操作系統文件”復選框置為不選中狀態，單擊“確定”按鈕。

（3）關閉已打開的Web頁，啟動“Windows 任務管理器”。單擊“進程”屬性頁，在“映像名稱”中選中所有“IEXPLORE.EXE”進程，單擊“結束進程”按鈕。

（4）刪除“C:\Widnows\Hacker.com.cn.ini”文件。

（5）啟動“服務”管理器。選中右側詳細列表中的“Windows XP Vista”條目，單擊右鍵，在彈出菜單中選中“屬性”菜單項，在彈出的對話框中，將“啟動類型”改為“禁用”，單擊“確定”按鈕。

（6）啟動註冊表編輯器，刪除“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows XP Vista”節點。

（7）重新啟動計算機。

（8）主機A如果還沒卸載灰鴿子程序，可打開查看自動上線主機，已經不存在了。

思考題

1.列舉出幾種不同的木馬植入方法。

答：木馬的植入最常見的方法

1、通過網頁的植入，比如某帶木馬代碼的網站，你登錄後，他就自動加載在你的系統裏了。一般他們會把木馬放在圖片裏

2、木馬可以通過程序的下載進行植入

例如通過提供免費的下載或者下載列表裏下載的程序和實際你搜索到的程序不同，提供的是木馬程序，或者幹脆在程序裏添加木馬

3、人工植入，

早期很多人針對網遊投放木馬，而網遊人數最密集的地方就是網吧，通常會有人帶U盤到網吧，植入，或者通過自己建的某個帶有木馬的網站，在網吧登錄木馬網站進行木馬的侵入

4、通過破解防火墻，指定IP進行攻擊的植入

這個對一般老板姓來說都是傳說中黑客的手段，一般不太會出現在生活中，誰會為了植入某一個個人電腦花費大量的精力來幹這事，理論上是找到IP，並且打開系統後面，直接投放，不過能做到的人們，沒有精力來做這種事。

2.列舉出幾種不同的木馬防範方法。

答：

1

盡量少用共享文件夾：如果因工作等原因必須將電腦設置成共享，則最好單獨創建一個共享文件夾，把所有需共享的文件都放在這個共享文件夾中，註意千萬不要將系統目錄設置成共享。

2

經常修復系統：很多木馬都是通過系統漏洞來進行攻擊的，及時發現這些漏洞並在第一時間內安裝補丁，可以有效地防範木馬。

3

不要運行來歷不時的軟件：很多木馬都是通過綁定在其他的軟件中來實現傳播的，一旦運行了這個軟件就會被感染，因此在下載軟件的時候需特別註意，應在安全性較高的站點進行下載。在安裝軟件之前還需用反病毒軟件或專門查殺木馬的軟件來進行檢查，確定無毒後再使用。

4

不要隨意打開郵件附件：現在絕大部分木馬都是通過郵件來傳遞的，而且有的還會連環擴散，因此對郵件附件的運行尤其需要註意。

5

運行反木馬實時監控程序：在上網時最好運行反木馬實時監控程序，目前，絕大多數監控軟件都能實時顯示當前所有運行程序並有詳細的描述信息。

《信息安全技術》實驗四 木馬及遠程控制技術