《信息安全实验报告3-2》由会员分享,可在线阅读,更多相关《信息安全实验报告3-2(3页珍藏版)》请在金锄头文库上搜索。
1、1课程实验报告课程名称信息安全 班级 1204072 实验日期 2015/5/15姓名 张雨 学号 120407235 实验成绩实验名称木马攻击与防范实验目的及要求(给出本次实验所涉及并要求掌握的知识点)通过对木马的练习,理解和掌握木马传播和运行的机制;掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。实验环境(列出本次实验所使用的平台和相关软件)局域网环境,使用冰河、灰鸽子或其它木马作为练习工具2实验内容及实验步骤一 、运行木马文件,生成木马的服务器端,并将其安装在远程主机二、 使用木马对远程计算机进行控制 1、使用“冰河”对远程计算机进行控制 “冰河”一般由两
2、个文件组成:G_Client 和 G_Server。其中 G_Server 是木马的服务器端,即用来植入目标主机的程序,G_Client 是木马的客户端,就是木马的控制端。 打开控制端 G_Client,弹出“冰河”的主界面,熟悉快捷工具栏。 2、在一台目标主机上植入木马并在此主机上运行 G_Serever,作为服务器端;在另一台主机上运行 G_Client.作为控制端。打开控制端程序,单击“添加主机”按钮。 “显示名称”:填入显示在主界面的名称。 “主机地址”:填入服务器端主机的 IP 地址。 “访问口令”:填入每次访问主机的密码, “空”即可。 “监听端口”:“冰河”默认监听端口是 762
3、6,控制端可以修改它以绕过防火墙。单击“确定”可以看到主机面上添加了 test的主机,单击 test 主机名,如果连接成功,则会显示服务器端主机上的盘符。这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。 3、 “冰河”大部分功能都是在“命令控制台”实现的,单击“命令控制台”弹出命令控制界面展开命令控制台 ,分为“口令类命令” 、 “注册表读表” 、“设置类命令” 。三 、检测并删除木马文件检测木马1、查看 system.ini 文件选中“System.ini”标签,展开boot目录,查看“shell=”这行,正常为“shell=Explorer.exe”,如果不是这样,就可能中了木
4、马了。2、查看 win.ini 文件选中 win.ini 标签,展开windows目录项,查看“run=”和“load= ”行,等号后面正常应该为空。3、查看启动组再看看启动标签中的启动项目,要是有象 netbus、 netspy、bo 等关键词,极有可能就是木马了。4、查看注册表由“开始-运行” ,输入 regedit,确定就可以运行注册表编辑器。 “HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件项目,比如netbus、netspy、netserver 等的单词。注意,有
5、的木马程序生成的服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如 Acid Battery 木马,它会在注册表项“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入Explorer=“C:WINDOWSexpiorer.exe”,木马服务器程序与系统自身的3真正的 Explorer 之间只有一个字母的差别!删除冰河木马实验内容及实验步骤 客户端的自动卸载功能,而实际情况中木马客户端不可能为木马服务器自动卸载木马。 手动卸载:查看注册表,在“开始”中运行 regedit,打开 Windows 注册表编辑器。依次
6、打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCruuentVersionrun. 在目录中发现一个默认的键值:C:WINNTSystem32kernel32.exe,这个就是冰河木马在注册表中加入的键值,将它删除。 然后依次打开子键目录 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWind- owsCurrentVersionRunservices,在目录中也发现一个默认键值:C:WINNTSystem32 kernel32.exe,这个也是冰河木马在注册表中加入的键值,删除。进入 C:WINNTSystem32 目
7、录,找到冰河的两个可执行文件Kernel32.exe 和 Susexplr.exe,删除。 修改文件关联时木马常用的手段,冰河木马将 txt 文件的缺省打开方式由 notepad.exe 改为木马的启动程序,此外 html、 exe、zip、com 等都是木马的目标。所以还需要恢复注册表中的 txt 文件关联功能。将注册表中HKEY_CLASSES_ROOTtxtfileshellopen command 下的默认值,由中木马后的 C:WindowsSSystemSusex-plr.exe%1 改为正常情况下的C:Windowsnotepad.exe%1。四 、木马的方法措施提高防范意识,不要
8、打开陌生人传来的可疑邮件和附件。确认来信的 1源地址是否合法。 4 如果网速变慢,往往是因为入侵者使用的木马抢占带宽。双击任务栏右下角连接图标,仔细观察发送“已发送字节”项,如果数字比较大,可以确认有人在下在你的硬盘文件,除非你正使用 FTP 等协议进行文件传输。 察看本机的连接,在本机上通过 netstat-an(或第三方程序)查看所有的 TCP/UDP 连接,当有些 IP 地址的连接使用不常见的端口与主机通信时,这个连接九需要进一步分析。 木马可以通过注册表启动,所以通过检查注册表来发现木马在注册表里留下的痕迹。 使用杀毒软件和防火墙。总结随着信息技术的发展,木马的攻击技术不断进步,由此带来的网络系统安全问题,正受到越来越多的关注。面对频繁发生的网络安全事件和日益严重的安全威胁,需要防患于未然。为了避免计算机感染上木马程序,造成难以估量的损失,全面了解木马的攻击原理和防范策略是非常有必要的。事实上,要维护用户信息和网络安全必须提高对木马的认识并对此加强防护。
