《信息安全技术》实验四 木马及远程控制技术

《信息安全技术》实验四 木马及远程控制技术

实验目的

  • 剖析网页木马的工作原理
  • 理解木马的植入过程
  • 学会编写简单的网页木马脚本
  • 通过分析监控信息实现手动删除木马

实验人数

  • 20155211解雪莹 20155235王玥

实验步骤

木马的生成与植入

1.生成网页木马

  • 主机A编写生成网页木马的脚本。
    在桌面建立打开“Trojan.txt”,将实验原理中网马脚本写入,并将脚本第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”,生成“Trojan.htm”即网页木马程序。

2.完成对默认网站的“挂马”过程

  • 对“index.html”进行编辑,实现从此网页对网页木马的链接。

3.木马的植入

  • 主机B设置监控。

    • 打开监控器。在向导栏中依次启动“进程监控”、“端口监控”,选择“文件监控”操作类型全部选中,启动文件监控。

    • 启动协议分析器

    • 单击菜单“设置”|“定义过滤器”,在弹出的“定义过滤器”对话框中选择“网络地址”选项卡,设置捕获主机A与主机B之间的数据。

    • 新建捕获窗口,点击“选择过滤器”按钮,确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。
      主机B启动IE浏览器,访问“http://主机A的IP地址”。

  • 主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。

  • 主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。

    • 在“端口监控”中查看“远程端口”为“8000”的新增条目,观察端口监控信息,回答下面问题:
      • 8000服务远程地址(控制端)地址:木马服务器主机地址

木马的功能

1.文件管理

  • 主机B在目录“D:\Work\Trojan\”下建立一个文本文件,并命名为“Test.txt”。

  • 主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。、

  • 在主机B上观察文件操作的结果。

2.系统信息查看

  • 主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“系统信息”按钮,查看主机B操作系统信息。

3.进程查看

  • 主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看。

  • 主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程,并和主机A的查看结果相比较。

4.注册表管理

  • 主机A单击“注册表编辑器”属性页,在左侧树状控件中“远程主机”(主机B)注册表的“HKEY_LOCAL_MACHINE\Software\” 键下,创建新的注册表项;

5.Telnet

  • 主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作,单击菜单项中的“Telnet”按钮,打开Telnet窗口,使用“cd c:\”命令进行目录切换,使用“dir”命令显示当前目录内容,使用其它命令进行远程控制。

木马的删除

1.自动删除

  • 主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。

2.手动删除

  • 主机B启动IE浏览器,单击菜单栏“工具”|“Internet 选项”,弹出“Internet 选项”配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选中“删除所有脱机内容”复选框,单击“确定”按钮直到完成。

  • 双击“我的电脑”,在浏览器中单击“工具”|“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏受保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮。

  • 关闭已打开的Web页,启动“Windows 任务管理器”。单击“进程”属性页,在“映像名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮。

  • 删除“C:\Widnows\Hacker.com.cn.ini”文件。

  • 启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目,单击右键,在弹出菜单中选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮。

  • 启动注册表编辑器,删除“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows XP Vista”节点。

  • 重新启动计算机。

  • 主机A如果还没卸载灰鸽子程序,可打开查看自动上线主机,已经不存在了。

思考问题

  • 列举出几种不同的木马植入方法。
    • 软件下载
    • 利用共享和Autorun文件
    • 把木马文件转换为图片格式
    • 利用WinRar制作成自释放文件
  • 列举出几种不同的木马防范方法。
    • 为计算机安装杀毒软件,定期扫描系统、查杀病毒;及时更新病毒库、更新系统补丁
    • 下载软件时尽量到官方网站或大型软件下载网站,在安装或打开来历不明的软件或文件前先杀毒
    • 不随意打开不明网页链接,尤其是不良网站的链接,陌生人通过QQ给自己传链接时,尽量不要打开
    • 对计算机系统的各个账号要设置口令,及时删除或禁用过期账号
    • 定期备份,以便遭到病毒严重破坏后能迅速修复

posted on 2017-11-27 21:25  20155211  阅读(1022)  评论(0编辑  收藏  举报