devbox
正经夜光杯
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

2017-2018-1 20155216 20155223《信息安全技术》实验四—— 木马及远程控制技术

作者:正经夜光杯 | 2024-08-21 21:07:11

2017-2018-1 20155216 20155223《信息安全技术》实验四—— 木马及远程控制技术

2017-2018-1 20155216 20155223《信息安全技术》实验四—— 木马及远程控制技术

实验目的

  • 剖析网页木马的工作原理
  • 理解木马的植入过程
  • 学会编写简单的网页木马脚本

  • 通过分析监控信息实现手动删除木马

    实验内容

  • 木马的生成与植入
  • 利用木马实现远程操控

  • 木马的删除

    实验原理

    网页木马

    网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。网页木马就是网页恶意软件威胁的罪魁祸首,和大家印象中的不同,准确的说,网页木马并不是木马程序,而应该称为网页木马“种植器”,也即一种通过攻击浏览器或浏览器外挂程序(目标通常是IE浏览器和ActiveX程序)的漏洞,向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。
    首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。

    木马工作流程

    植入

    当黑客建立并发布的挂马网页被受害者访问时,挂载的木马便随着比特流流到那倒霉蛋的电脑里了。

    安装

    随着木马植入,后面便是木马的安装,完全是自动安装的。

    运行

    植入并安装到受害者电脑里的是木马服务器,留在黑客手中的是其客户端。安装好的服务器自动通过网络寻找客户端,建立连接。此时木马客户端会将其自身伪装成一个貌似人畜无害的应用软件来骗过受害者。连接建立完成后,黑客就拥有了受害者电脑里的所有权限,受害者存在电脑里的所有东西,黑客看得一清二楚。

    自启动

    木马安装时生成系统服务Windows XP Vista。Windows XP Vista的可执行文件路径:“C:\WINDOWS\Hacker.com.cn.ini。”描述:“灰鸽子服务端程序,远程监控管理。”启动类型:“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。存在于系统目录下的Hack.com.cn.ini文件被设置成一个隐藏的受保护的操作系统文件,很难被人发现。

    删除木马

    木马删除的方法有两种:黑客自己删除,或是受害者手动删除。

    实验步骤

    编写木马程序并挂在网页上

  • 主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
  • 主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
  • 主机A生成木马的“服务器程序”。
  • 主机A编写生成网页木马的脚本。
  • 主机A进入目录“C:\Inetpub\wwwroot”,使用记事本打开“index.html”文件。

  • 对“index.html”进行编辑。在代码的底部加上语句。

    木马植入

  • 主机B设置监控
    832599-20171127120813706-655696545.jpg

启动协议分析器,单击菜单“设置”|“定义过滤器”,在弹出的“定义过滤器”对话框中选择“网络地址”选项卡,设置捕获主机A与主机B之间的数据。
新建捕获窗口,点击“选择过滤器”按钮,确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。
主机B启动IE浏览器,访问http://主机A的IP地址

  • 主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。
  • 主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。
    832599-20171127122607409-290035549.jpg

发现C盘目录下出现Hacker..com.cn.ini文件,证实主机B中了木马。

  • 主机B查看协议分析器所捕获的信息。
    832599-20171127122901972-1086160234.jpg

木马的功能

  • 文件管理
    主机B在目录“D:\Work\Trojan”下建立一个文本文件,并命名为“Test.txt”。
    主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。
    832599-20171127123254487-1599398746.jpg

在主机B上观察文件操作的结果。Test.txt被更名为20155216_is_dump.txt

  • 系统信息查看
    主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“系统信息”按钮,查看主机B操作系统信息。
    832599-20171127123542894-1605153447.jpg

  • 进程查看
    主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看。
    单击“远程控制命令”属性页,选中“进程管理”属性页,单击界面右侧的“查看进程”按钮,查看主机B进程信息。
    832599-20171127124046472-1973990647.jpg

主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程,并和主机A的查看结果相比较。比较结果一致。

  • Telnet
    主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作,单击菜单项中的“Telnet”按钮,打开Telnet窗口,使用“cd c:”命令进行目录切换,使用“dir”命令显示当前目录内容,使用其它命令进行远程控制。
    832599-20171127124354909-771581381.jpg

思考题

列举出几种不同的木马植入方法

  • “免费”的U盘。
  • 破解防火墙,针对特定的IP进行攻击。
  • 网页挂马。
  • 共享文件和Autorun文件加载。

  • 用Winrar制成的自解压文件。

    列举出几种不同的木马防范方法

  • 不登陆陌生的网站,不点开陌生的邮件。
  • 安装合适的杀毒软件并及时更新病毒库。
  • 及时安装系统补丁。
  • 打开文件扩展名,监视扩展名为vbs、 shs、pif的文件。

  • 减少使用共享文件夹的次数,最好是只有一个共享文件夹。

转载于:https://www.cnblogs.com/battlefieldheros/p/7902579.html

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/正经夜光杯/article/detail/1013354
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号