2017-2018-1 20155318 20155328《信息安全技術》實驗四 木馬及遠程控制技術
阿新 • • 發佈:2017-11-29
啟動 菜單 mac 通知 通過 圖片 資源管理器 配置服務 文件監控
2017-2018-1 20155318 20155328《信息安全技術》實驗四 木馬及遠程控制技術
實驗目的
- 析網頁木馬的工作原理
- 解木馬的植入過程
- 會編寫簡單的網頁木馬腳本
- 過分析監控信息實現手動刪除木馬
實驗內容
- 1. 生成網頁木馬
- 主機A首先通過Internet信息服務(IIS)管理器啟動“木馬網站” → 運行灰鴿子遠程監控木馬程序 → 生成木馬的“服務器程序”
配置服務程序 → 服務器配置 → 自動上線設置“IP通知http訪問地址、DNS解析域名或固定IP”文本框中輸入本機IP地址 → 編寫生成網頁木馬的腳本,植入木馬
- 2. 木馬的植入
- 主機B啟動文件監控-啟動協議分析器捕獲數據包- 啟動IE瀏覽器,訪問“http://主機A的IP地址”。
主機A等待“灰鴿子遠程控制”程序主界面的“文件管理器”屬性頁中“文件目錄瀏覽”樹中出現“自動上線主機”時通知主機B。
主機B查看“進程監控”、“服務監控”、“文件監控”和“端口監控”所捕獲到的信息。
- 3-1 文件管理
- 主機B在目錄“D:\Work\Trojan”下建立一個文本文件,並命名為“Test.txt”。
主機A操作“灰鴿子遠程控制”程序來對主機B進行文件管理(對該文件進行重命名)在主機B上觀察文件操作的結果。
- 3-2 系統信息查看
- 主機A操作“灰鴿子遠程控制”程序查看主機B的操作系統信息
主機A查看的操作系統信息
主機B電腦上查詢的系統信息
- 3-3 進程查看
主機A操作“灰鴿子遠程控制”程序對主機B啟動的進程進行查看。
- 主機B查看“進程監控”|“進程視圖”枚舉出的當前系統運行的進程,並和主機A的查看結果相同
- 3-4 註冊表管理
主機A單擊“註冊表編輯器”屬性頁,在左側樹狀控件中“遠程主機”(主機B)註冊表的“HKEY_LOCAL_MACHINE\Software” 鍵下,創建新的註冊表項;對新創建的註冊表項進行重命名等修改操作;刪除新創建的註冊表項,主機B查看相應註冊表項。
- 3-5 捕獲屏幕
主機A通過使用“灰鴿子遠程控制”捕獲主機B屏幕 - 4. 木馬的刪除
自動刪除:主機A通過使用“灰鴿子遠程控制”程序卸載木馬的“服務器”程序。
- 手動刪除
- 主機B啟動IE瀏覽器,單擊菜單欄“工具”|“Internet 選項”,彈出“Internet 選項”配置對話框,單擊“刪除文件”按鈕,在彈出的“刪除文件”對話框中,選中“刪除所有脫機內容”復選框,單擊“確定”按鈕直到完成。
- 雙擊“我的電腦”,在瀏覽器中單擊“工具”|“文件夾選項”菜單項,單擊“查看”屬性頁,選中“顯示所有文件和文件夾”,並將“隱藏受保護的操作系統文件”復選框置為不選中狀態,單擊“確定”按鈕。
- 關閉已打開的Web頁,啟動“Windows 任務管理器”。單擊“進程”屬性頁,在“映像名稱”中選中所有“IEXPLORE.EXE”進程,單擊“結束進程”按鈕。
- 刪除“C:\Widnows\Hacker.com.cn.ini”文件。
- 啟動“服務”管理器。選中右側詳細列表中的“Windows XP Vista”條目,單擊右鍵,在彈出菜單中選中“屬性”菜單項,在彈出的對話框中,將“啟動類型”改為“禁用”,單擊“確定”按鈕。
- 啟動註冊表編輯器,刪除“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows XP Vista”節點。
- 重新啟動計算機。
主機A打開查看自動上線主機,已經不存在了。
思考問題
- 1.列舉出幾種不同的木馬植入方法。
- 通過網頁的植入。
- 通過程序的下載進行植入。
- 通過破解防火墻,指定IP進行攻擊的植入
- 把木馬文件轉換為圖片格式
- 利用WinRar制作成自釋放文件
- 基於DLL和遠程線程插入的木馬植入技術
- 利用共享和Autorun文件
- 2.列舉出幾種不同的木馬防範方法。
- 安裝殺毒軟件和個人防火墻,並及時升級。
- 把個人防火墻設置好安全等級,防止未知程序向外傳送數據。
- 不要執行任何來歷不明的軟件
- 不要隨意打開郵件附件。
- 重新選擇新的客戶端軟件 。
- 將資源管理器配置成始終顯示擴展名
- 盡量少用共享文件夾
- 經常升級系統和更新病毒庫
- 非必要的網站插件不要安裝
- 運行反木馬實時監控程序
2017-2018-1 20155318 20155328《信息安全技術》實驗四 木馬及遠程控制技術