2017-2018-1 20155216 20155223《信息安全技术》实验四—— 木马及远程控制技术
2017-2018-1 20155216 20155223《信息安全技术》实验四—— 木马及远程控制技术
实验目的
- 剖析网页木马的工作原理
- 理解木马的植入过程
- 学会编写简单的网页木马脚本
- 通过分析监控信息实现手动删除木马
实验内容
- 木马的生成与植入
- 利用木马实现远程操控
- 木马的删除
实验原理
网页木马
网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。网页木马就是网页恶意软件威胁的罪魁祸首,和大家印象中的不同,准确的说,网页木马并不是木马程序,而应该称为网页木马“种植器”,也即一种通过攻击浏览器或浏览器外挂程序(目标通常是IE浏览器和ActiveX程序)的漏洞,向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。
首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
木马工作流程
植入
当黑客建立并发布的挂马网页被受害者访问时,挂载的木马便随着比特流流到那倒霉蛋的电脑里了。
安装
随着木马植入,后面便是木马的安装,完全是自动安装的。
运行
植入并安装到受害者电脑里的是木马服务器,留在黑客手中的是其客户端。安装好的服务器自动通过网络寻找客户端,建立连接。此时木马客户端会将其自身伪装成一个貌似人畜无害的应用软件来骗过受害者。连接建立完成后,黑客就拥有了受害者电脑里的所有权限,受害者存在电脑里的所有东西,黑客看得一清二楚。
自启动
木马安装时生成系统服务Windows XP Vista。Windows XP Vista的可执行文件路径:“C:\WINDOWS\Hacker.com.cn.ini。”描述:“灰鸽子服务端程序,远程监控管理。”启动类型:“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。存在于系统目录下的Hack.com.cn.ini文件被设置成一个隐藏的受保护的操作系统文件,很难被人发现。
删除木马
木马删除的方法有两种:黑客自己删除,或是受害者手动删除。
实验步骤
编写木马程序并挂在网页上
- 主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
- 主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
- 主机A生成木马的“服务器程序”。
- 主机A编写生成网页木马的脚本。
- 主机A进入目录“C:\Inetpub\wwwroot”,使用记事本打开“index.html”文件。
- 对“index.html”进行编辑。在代码的底部加上