《信息安全技術》 實驗四 木馬及遠程控制技術

實驗名稱： 木馬及遠程控制技術

姓名： 林汝婷、朱玥

學號： 20155321、20155330

班級： 1553

日期： 2017.11.21

一、 實驗目的

該實驗為設計性實驗。

• 剖析網頁木馬的工作原理
• 理解木馬的植入過程
• 學會編寫簡單的網頁木馬腳本
• 通過分析監控信息實現手動刪除木馬

二、 實驗內容

1. 木馬生成與植入
2. 利用木馬實現遠程控制
3. 木馬的刪除

註：詳細實驗操作請參考實驗室服務器上的參考資料。

三、實驗環境

• 操作系統：windows 7、VM虛擬機中的windows 2003

• 實驗工具：灰鴿子遠程控制、監控器、協議分析器

  四、 實驗步驟

  （一） 木馬生成與植入

1. 生成網頁木馬

（1）【主機A】首先通過Internet信息服務(IIS)管理器啟動木馬網站。

• 因為網頁木馬通常是通過“網馬生成器”將木馬安裝程序的下載地址附加在網頁上的，進而達到用戶瀏覽含有木馬的網頁即自動下載安裝程序的目的。木馬網站利用MS06014漏洞，讓瀏覽器自動下載網站上掛載的木馬啟動器。

（2）【主機A】進入實驗平臺在工具欄中單擊灰鴿子按鈕運行灰鴿子遠程監控木馬程序。

（3）【主機A】生成木馬的服務器程序。
【主機A】單擊木馬操作界面工具欄配置服務程序按鈕，彈出服務器配置對話框,單擊自動上線設置屬性頁，在IP通知http訪問地址、DNS解析域名或固定IP文本框中輸入本機IP地址，在保存路徑

• 除了“自動上線設置”屬性頁，還有哪些屬性頁？
• 還有“牧民戰天主機”和“灰鴿子2006版”。
  
• 為什麽在保存路徑文本框中輸入D:\Work\IIS\Server_Setup.exe？換為另一個路徑可以嗎？
  • 不可以，因為D:\Work\IIS為“木馬網站”的網站空間目錄。

（4）【主機A】編寫生成網頁木馬的腳本。

「註」 C:\ExpNIS\NetAD-Lab\Projects\Trojan\Trojan.htm文件提供了VB腳本源碼。
將生成的Trojan.htm文件保存到D:\Work\IIS\

• 為什麽要將Trojan.htm文件保存到D:\Work\IIS\目錄下？
  • 因為這樣可以將攜帶自己IP的網頁木馬程序保存到D:\Work\IIS的網站空間目錄下。

1. 完成對默認網站的掛馬過程

（1）【主機A】進入目錄C:\Inetpub\wwwroot，使用記事本打開index.html文件。

「註」默認網站的網站空間目錄為C:\Inetpub\wwwroot\,主頁為index.html

（2）對index.html進行編輯。在代碼的底部加上<iframe>語句，實現從此網頁對網頁木馬的鏈接。

• iframe標簽有什麽作用？

• 浮動幀標簽可以把一個HTML網頁嵌入到另一個網頁裏。被嵌入的網頁可以控制寬、高以及邊框大小和是否出現滾動條等。如果把寬、高、邊框都設置為0，代碼插入到首頁後，首頁不會發生變化，但嵌入的網頁實際上已經打開。

• 為什麽使用9090端口？

• 此端口是在服務器編輯時已經設置

1. 木馬的植入

（1）【主機B】設置監控並啟動IE瀏覽器，訪問http://【主機A】的IP地址

（2）【主機A】等待灰鴿子遠程控制程序主界面的文件管理器屬性頁中文件目錄瀏覽樹中出現自動上線主機時通知【主機B】。

（3）【主機B】查看進程監控、服務監控、文件監控和端口監控所捕獲到的信息

• 在進程監控|變化視圖中查看是否存在進程映像名稱為Hacker.com.cn.ini的新增條目。觀察進程監控信息，結合實驗原理回答下面的問題。
• Hacker.com.cn.ini在前面的過程中哪裏設置的？
• 木馬的安裝程序下載完成後，自動進行安裝
  Hacker.com.cn.ini文件是由哪個進程創建的：Windows XP Vista

• 在服務監控中單擊工具欄中的刷新按鈕，查看是否存在服務名稱為Windows XP Vista 的新增條目，觀察服務監控信息，回答下面的問題。

• Windows XP Vista服務在前面的過程中哪裏設置的？
• 在服務器配置的安裝路徑中進行配置
• Hacker.com.cn.ini文件是由哪個進程創建的：ID584
  
• Windows XP Vista服務在前面的過程中哪裏設置的？
• 在服務器配置的啟動項設置中進行配置
• Windows XP vista服務的執行體文件是： Hacker.com.cn.ini
• 8000服務遠程地址（控制端）地址：172.16.0.96
  
• 經過對上述監控信息的觀察，你認為在“進程監控”中出現的winlogoin.exe進程（若存在）在整個的木馬植入過程中起到的作用是：
• 檢測服務端的存在，若發現服務端則主動連接並打開其被動端口
• winlogoin.exe在前面的過程中哪裏設置的？

• 木馬網頁的腳本Trojan.htm文件中設置的

在文件監控中查看文件名為C:\WINDOWS\Hacker.com.cn.ini的新增條目。

（4）【主機B】查看協議分析器所捕獲的信息

（二） 木馬的功能

1. 文件管理

（1）【主機B】在目錄D:\Work\Trojan\下建立一個文本文件，並命名為Test.txt。

（2）【主機A】操作灰鴿子遠程控制程序來對【主機B】進行文件管理。

（3）在【主機B】上觀察文件操作的結果。

1. 系統信息查看

【主機A】操作灰鴿子遠程控制程序查看【主機B】的操作系統信息。單擊遠程控制命令屬性頁，選中系統操作屬性頁，單擊界面右側的系統信息按鈕，查看【主機B】操作系統信息。

1. 進程查看

（1）【主機A】操作灰鴿子遠程控制程序對【主機B】啟動的進程進行查看
單擊遠程控制命令屬性頁，選中進程管理屬性頁，單擊界面右側的查看進程按鈕，查看【主機B】進程信息。

（2）【主機B】查看進程監控|進程視圖枚舉出的當前系統運行的進程，並和【主機A】的查看結果相比較。

1. 註冊表管理

【主機A】創建新的註冊表項，對新創建的註冊表項進行重命名等修改操作，刪除新創建的註冊表項，【主機B】查看相應註冊表項。

1. Telnet

【主機A】操作灰鴿子遠程控制程序對【主機B】進行遠程控制操作，單擊菜單項中的Telnet按鈕，打開Telnet窗口，使用cd c:\命令進行目錄切換，使用dir命令顯示當前目錄內容，使用其它命令進行遠程控制。

1. 其它命令及控制

【主機A】通過使用灰鴿子遠程控制程序的其它功能對【主機B】進行控制。

（三） 木馬的刪除

1. 自動刪除

【主機A】通過使用灰鴿子遠程控制程序卸載木馬的服務器程序。具體做法：選擇上線主機，單擊遠程控制命令屬性頁，選中系統操作屬性頁，單擊界面右側的卸載服務端按鈕，卸載木馬的服務器程序

1. 手動刪除

（1）【主機B】啟動IE瀏覽器，單擊菜單欄工具｜Internet 選項，彈出Internet 選項配置對話框，單擊刪除文件按鈕，在彈出的刪除文件對話框中，選中刪除所有脫機內容復選框，單擊確定按鈕直到完成

（2）雙擊我的電腦，在瀏覽器中單擊工具|文件夾選項菜單項，單擊查看屬性頁，選中顯示所有文件和文件夾，並將隱藏受保護的操作系統文件復選框置為不選中狀態，單擊確定按鈕

（3）關閉已打開的Web頁，啟動Windows 任務管理器。單擊進程屬性頁，在映像名稱中選中所有IEXPLORE.EXE進程，單擊結束進程按鈕

（4）刪除C:\Widnows\Hacker.com.cn.ini文件

（5）啟動服務管理器。選中右側詳細列表中的Windows XP Vista條目，單擊右鍵，在彈出菜單中選中屬性菜單項，在彈出的對話框中，將啟動類型改為禁用，單擊確定按鈕

（6）啟動註冊表編輯器，刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows XP Vista節點

（7）重新啟動計算機

（8）【主機A】如果還沒卸載灰鴿子程序，可打開查看自動上線主機，已經不存在了

五、總結

20155321：

• 此次實驗主要學習了如何進行遠程控制，黑客通過客戶端的一系列操作進而到達控制服務端的目的，它把自己隱藏在計算機的某個角落裏面，以防被用戶發現；同時監聽某個特定的端口，等待客戶端並與其取得連接。這提醒我在以後上網的過程中，對於一些安全性低的網頁盡量不要打開，避免在打開網頁的同時下載了木馬病毒。

20155330：

• 此次實驗主要學習了簡單的木馬生成與植入方法，以及利用木馬遠程控制，和刪除木馬。木馬主要通過誘騙的形式進行安裝的，然後在計算機中隱藏運行。並且木馬是為了實施特殊功能，木馬和病毒不一樣，木馬往往沒有病毒的感染功能，主要功能是實現遠程操控。在實驗過程中遇到灰鴿子軟件無法顯示【自動上線主機】的問題，通過設置IP及其他相關內容，解決了該問題。

六、 思考題

1. 列舉出幾種不同的木馬植入方法。
   1. 利用E-mail；
   2. 軟件下載；
   3. 利用共享和Autorun文件；
   4. 把木馬文件轉換為圖片格式；
   5. 偽裝成應用程序擴展組件；
   6. 利用WinRar制作成自釋放文件；
   7. 在Word文檔中加入木馬文件；
   8. 把木馬和其他文件捆綁在一起；
   9. 基於DLL和遠程線程插入的木馬植入技術。
2. 列舉出幾種不同的木馬防範方法。
   1. 不到不受信任的網站上下載軟件運行；
   2. 不隨便點擊來歷不明郵件所帶的附件；
   3. 及時安裝相應的系統補丁程序；
   4. 為系統選用合適的正版殺毒軟件，並及時升級相關的病毒庫；
   5. 為系統所有的用戶設置合理的用戶口令。

2017-2018-1 20155321 20155330 《信息安全技術》 實驗四 木馬及遠程控制技術