2017-2018-1 20155321 20155330 《信息安全技術》 實驗四 木馬及遠程控制技術
《信息安全技術》 實驗四 木馬及遠程控制技術
實驗名稱: 木馬及遠程控制技術
姓名: 林汝婷、朱玥
學號: 20155321、20155330
班級: 1553
日期: 2017.11.21
一、 實驗目的
該實驗為設計性實驗。
- 剖析網頁木馬的工作原理
- 理解木馬的植入過程
- 學會編寫簡單的網頁木馬腳本
- 通過分析監控信息實現手動刪除木馬
二、 實驗內容
- 木馬生成與植入
- 利用木馬實現遠程控制
- 木馬的刪除
註:詳細實驗操作請參考實驗室服務器上的參考資料。
三、實驗環境
操作系統:windows 7、VM虛擬機中的windows 2003
實驗工具:灰鴿子遠程控制、監控器、協議分析器
四、 實驗步驟
(一) 木馬生成與植入
- 生成網頁木馬
(1)【主機A】首先通過Internet信息服務(IIS)管理器啟動木馬網站
。
- 因為網頁木馬通常是通過“網馬生成器”將木馬安裝程序的下載地址附加在網頁上的,進而達到用戶瀏覽含有木馬的網頁即自動下載安裝程序的目的。木馬網站利用MS06014漏洞,讓瀏覽器自動下載網站上掛載的木馬啟動器。
(2)【主機A】進入實驗平臺在工具欄中單擊灰鴿子
按鈕運行灰鴿子遠程監控木馬程序。
(3)【主機A】生成木馬的服務器程序
。
【主機A】單擊木馬操作界面工具欄配置服務程序
按鈕,彈出服務器配置
對話框,單擊自動上線設置
屬性頁,在IP通知http訪問地址、DNS解析域名或固定IP
文本框中輸入本機IP地址,在保存路徑
D:\Work\IIS\Server_Setup.exe
,單擊生成服務器
按鈕,生成木馬服務器程序
。
- 除了“自動上線設置”屬性頁,還有哪些屬性頁?
- 還有“牧民戰天主機”和“灰鴿子2006版”。
- 為什麽在
保存路徑
文本框中輸入D:\Work\IIS\Server_Setup.exe
?換為另一個路徑可以嗎?- 不可以,因為
D:\Work\IIS
為“木馬網站”的網站空間目錄。
- 不可以,因為
(4)【主機A】編寫生成網頁木馬的腳本。
「註」 C:\ExpNIS\NetAD-Lab\Projects\Trojan\Trojan.htm
文件提供了VB腳本源碼。
將生成的Trojan.htm
文件保存到D:\Work\IIS\
D:\Work\IIS\
為木馬網站
的網站空間目錄),Trojan.htm
文件就是網頁木馬程序。
- 為什麽要將Trojan.htm文件保存到
D:\Work\IIS\
目錄下?- 因為這樣可以將攜帶自己IP的網頁木馬程序保存到
D:\Work\IIS
的網站空間目錄下。
- 因為這樣可以將攜帶自己IP的網頁木馬程序保存到
- 完成對默認網站的
掛馬
過程
(1)【主機A】進入目錄C:\Inetpub\wwwroot
,使用記事本打開index.html
文件。
「註」默認網站
的網站空間目錄為C:\Inetpub\wwwroot\
,主頁為index.html
(2)對index.html
進行編輯。在代碼的底部加上<iframe>
語句,實現從此網頁對網頁木馬的鏈接。
- iframe標簽有什麽作用?
浮動幀標簽可以把一個HTML網頁嵌入到另一個網頁裏。被嵌入的網頁可以控制寬、高以及邊框大小和是否出現滾動條等。如果把寬、高、邊框都設置為0,代碼插入到首頁後,首頁不會發生變化,但嵌入的網頁實際上已經打開。
- 為什麽使用9090端口?
此端口是在服務器編輯時已經設置
- 木馬的植入
(1)【主機B】設置監控並啟動IE瀏覽器,訪問http://【主機A】的IP地址
(2)【主機A】等待灰鴿子遠程控制
程序主界面的文件管理器
屬性頁中文件目錄瀏覽
樹中出現自動上線主機
時通知【主機B】。
(3)【主機B】查看進程監控
、服務監控
、文件監控
和端口監控
所捕獲到的信息
- 在
進程監控
|變化視圖
中查看是否存在進程映像名稱
為Hacker.com.cn.ini
的新增條目。觀察進程監控信息,結合實驗原理回答下面的問題。 - Hacker.com.cn.ini在前面的過程中哪裏設置的?
- 木馬的安裝程序下載完成後,自動進行安裝
Hacker.com.cn.ini
文件是由哪個進程創建的:Windows XP Vista
在
服務監控
中單擊工具欄中的刷新
按鈕,查看是否存在服務名稱
為Windows XP Vista
的新增條目,觀察服務監控信息,回答下面的問題。- Windows XP Vista服務在前面的過程中哪裏設置的?
- 在服務器配置的安裝路徑中進行配置
- Hacker.com.cn.ini文件是由哪個進程創建的:
ID584
- Windows XP Vista服務在前面的過程中哪裏設置的?
- 在服務器配置的啟動項設置中進行配置
- Windows XP vista服務的執行體文件是: Hacker.com.cn.ini
- 8000服務遠程地址(控制端)地址:
172.16.0.96
- 經過對上述監控信息的觀察,你認為在“進程監控”中出現的winlogoin.exe進程(若存在)在整個的木馬植入過程中起到的作用是:
- 檢測服務端的存在,若發現服務端則主動連接並打開其被動端口
- winlogoin.exe在前面的過程中哪裏設置的?
木馬網頁的腳本Trojan.htm文件中設置的
在文件監控
中查看文件名
為C:\WINDOWS\Hacker.com.cn.ini
的新增條目。
(4)【主機B】查看協議分析器所捕獲的信息
(二) 木馬的功能
- 文件管理
(1)【主機B】在目錄D:\Work\Trojan\
下建立一個文本文件,並命名為Test.txt
。
(2)【主機A】操作灰鴿子遠程控制
程序來對【主機B】進行文件管理。
(3)在【主機B】上觀察文件操作的結果。
- 系統信息查看
【主機A】操作灰鴿子遠程控制
程序查看【主機B】的操作系統信息。單擊遠程控制命令
屬性頁,選中系統操作
屬性頁,單擊界面右側的系統信息
按鈕,查看【主機B】操作系統信息。
- 進程查看
(1)【主機A】操作灰鴿子遠程控制
程序對【主機B】啟動的進程進行查看
單擊遠程控制命令
屬性頁,選中進程管理
屬性頁,單擊界面右側的查看進程
按鈕,查看【主機B】進程信息。
(2)【主機B】查看進程監控
|進程視圖
枚舉出的當前系統運行的進程,並和【主機A】的查看結果相比較。
- 註冊表管理
【主機A】創建新的註冊表項,對新創建的註冊表項進行重命名等修改操作,刪除新創建的註冊表項,【主機B】查看相應註冊表項。
- Telnet
【主機A】操作灰鴿子遠程控制
程序對【主機B】進行遠程控制操作,單擊菜單項中的Telnet
按鈕,打開Telnet窗口,使用cd c:\
命令進行目錄切換,使用dir
命令顯示當前目錄內容,使用其它命令進行遠程控制。
- 其它命令及控制
【主機A】通過使用灰鴿子遠程控制
程序的其它功能對【主機B】進行控制。
(三) 木馬的刪除
- 自動刪除
【主機A】通過使用灰鴿子遠程控制
程序卸載木馬的服務器
程序。具體做法:選擇上線主機,單擊遠程控制命令
屬性頁,選中系統操作
屬性頁,單擊界面右側的卸載服務端
按鈕,卸載木馬的服務器
程序
- 手動刪除
(1)【主機B】啟動IE瀏覽器,單擊菜單欄工具
|Internet 選項
,彈出Internet 選項
配置對話框,單擊刪除文件
按鈕,在彈出的刪除文件
對話框中,選中刪除所有脫機內容
復選框,單擊確定
按鈕直到完成
(2)雙擊我的電腦
,在瀏覽器中單擊工具
|文件夾選項
菜單項,單擊查看
屬性頁,選中顯示所有文件和文件夾
,並將隱藏受保護的操作系統文件
復選框置為不選中狀態,單擊確定
按鈕
(3)關閉已打開的Web頁,啟動Windows 任務管理器
。單擊進程
屬性頁,在映像名稱
中選中所有IEXPLORE.EXE
進程,單擊結束進程
按鈕
(4)刪除C:\Widnows\Hacker.com.cn.ini
文件
(5)啟動服務
管理器。選中右側詳細列表中的Windows XP Vista
條目,單擊右鍵,在彈出菜單中選中屬性
菜單項,在彈出的對話框中,將啟動類型
改為禁用
,單擊確定
按鈕
(6)啟動註冊表編輯器,刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows XP Vista
節點
(7)重新啟動計算機
(8)【主機A】如果還沒卸載灰鴿子程序,可打開查看自動上線主機,已經不存在了
五、總結
20155321:
- 此次實驗主要學習了如何進行遠程控制,黑客通過客戶端的一系列操作進而到達控制服務端的目的,它把自己隱藏在計算機的某個角落裏面,以防被用戶發現;同時監聽某個特定的端口,等待客戶端並與其取得連接。這提醒我在以後上網的過程中,對於一些安全性低的網頁盡量不要打開,避免在打開網頁的同時下載了木馬病毒。
20155330:
- 此次實驗主要學習了簡單的木馬生成與植入方法,以及利用木馬遠程控制,和刪除木馬。木馬主要通過誘騙的形式進行安裝的,然後在計算機中隱藏運行。並且木馬是為了實施特殊功能,木馬和病毒不一樣,木馬往往沒有病毒的感染功能,主要功能是實現遠程操控。在實驗過程中遇到
灰鴿子
軟件無法顯示【自動上線主機】的問題,通過設置IP及其他相關內容,解決了該問題。
六、 思考題
- 列舉出幾種不同的木馬植入方法。
- 利用E-mail;
- 軟件下載;
- 利用共享和Autorun文件;
- 把木馬文件轉換為圖片格式;
- 偽裝成應用程序擴展組件;
- 利用WinRar制作成自釋放文件;
- 在Word文檔中加入木馬文件;
- 把木馬和其他文件捆綁在一起;
- 基於DLL和遠程線程插入的木馬植入技術。
- 列舉出幾種不同的木馬防範方法。
- 不到不受信任的網站上下載軟件運行;
- 不隨便點擊來歷不明郵件所帶的附件;
- 及時安裝相應的系統補丁程序;
- 為系統選用合適的正版殺毒軟件,並及時升級相關的病毒庫;
- 為系統所有的用戶設置合理的用戶口令。
2017-2018-1 20155321 20155330 《信息安全技術》 實驗四 木馬及遠程控制技術