《网络实验四报告》由会员分享,可在线阅读,更多相关《网络实验四报告(10页珍藏版)》请在金锄头文库上搜索。
1、实验4木马病毒防范1. 实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。2. 实验要求通过实验了解木马攻击的原理,了解如何防范木马的入侵。3. 实验原理及内容 木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。1、 木马的特性木马程序为了实现某特殊功能,一般应该具有以下性质:(1) 伪装性(2) 隐藏性
2、(3) 破坏性(4) 窃密性2、 木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS 服务存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权县,然后在被攻的服务器上安装并运行木马。3
3、、 木马的种类(1) 按照木马的发展历程,可以分为四个阶段:第一代木马是伪装型病毒,第二代木马是网络传播型木马,第三代木马在连接方式上有了改进,第四代木马在进程隐藏方面作了较大改动。(2) 按照功能分类,木马可以分为: 破坏型木马,密码发送型木马,服务型木马,DOS攻击型木马,代理型木马,远程控制型木马。4、 木马的工作原理下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。(1) 木马的传统连接技术(2) 木马的反弹端口技术 (3) 线程插入技术4. 实验环境两台运行Windows 2000/XP的计算机,通过网络连接。使用“冰河”木马作为联系工具。5. 实验内容1、使用“冰河”对远程计
4、算机进行控制“冰河”一般由两个文件组成:G_Client和G_Server。其中G_Server是木马的服务器端,即用来植入目标主机的程序,G_Client是木马的客户端,就是木马的控制端。打开控制端G_Client,弹出“冰河”的主界面,熟悉快捷工具栏。2、 在一台目标主机上植入木马并在此主机上运行G_Serever,作为服务器端;在另一台主机上运行G_Client.作为控制端。打开控制端程序,单击“添加主机”按钮。弹出下图所示的对话框:“显示名称”:填入显示在主界面的名称。“主机地址”:填入服务器端主机的IP地址。“访问口令”:填入每次访问主机的密码,“空”即可。“监听端口”:“冰河”默认
5、监听端口是7626,控制端可以修改它以绕过防火墙。单击“确定”可以看到主机面上添加了test的主机,如下图所示,就表明连接成功。单击test主机名,如果连接成功,则会显示服务器端主机上的盘符。这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。比如可以打开对方的SAM文件,如下图:“冰河”大部分功能都是在“命令控制台”实现的,单击“命令控制台”弹出命令控制界面,如下图所示:展开命令控制台 ,分为“口令类命令”、“注册表读表”、“设置类命令”。 (1)口令命令类: “系统信息及口令“:可以查看远程主机的系统信息、开机口令、缓存口令等。 “历史口令”:可以查看远程主机以往使用的口令。 “击
6、键记录”:启动键盘记录以后,可以记录远程主机用户击键记录,以此可以分析出远程主机的各种帐号和口令或各种秘密信息。 (2)控制类命令 捕获屏幕”:这个功能可以使控制端使用者查看远程主机的屏幕,好像远程主机就在自己面前一样,这样更有利于窃取各种信息。单击“查看屏幕”,弹出远程主机界面,如下图所示: “发送信息”:这个功能可以使你向远程计算机发送Windows标准的各种信息。“进程管理”:这个功能可以使控制者查看远程主机上所有的进程。“窗口管理”:这个功能可以使远程主机上的窗口进行刷新、最大化、最小化、激活、隐藏等操作。“系统管理”:该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。“
7、其他控制”:该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、注册表锁定等操作。 (3)网络类命令:“创建共享”:在远程主机上创建自己的共享。“删除共享”:在远程主机上删除某个特定的共享。“网络信息”:查看远程主机上的共享信息,单击“查看共享”可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。文件类命令:展开文件类命令、文件浏览、文件查找、文件压缩、文件删除、文件打开等菜单可以查看、查找、压缩、删除、打开远程主机上的某个文件。目录增删、目录复制、主键增删、主键复制的功能。注册表读写:提供了键值读取,键值写入,键值重命名、主键浏览、主键删除、主键复制的功能。设置类命令:提供了更换墙纸
8、、更改计算机名、服务器端配置的功能。3、删除冰河木马删除冰河木马主要有以下几种方法: 客户端的自动卸载功能,而实际情况中木马客户端不可能为木马服务器自动卸载木马。 手动卸载:查看注册表,在“开始”中运行regedit,打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCruuentVersionrun.在目录中发现一个默认的键值:C:WINNTSystem32kernel32.exe,这个就是冰河木马在注册表中加入的键值,将它删除。删除后:然后依次打开子键目录HKEY_LOCAL_MACHINESOFTWAREM
9、icrosoftWind-owsCurrentVersionRunservices,在目录中也发现一个默认键值:C:WINNTSystem32kernel32.exe,这个也是冰河木马在注册表中加入的键值,删除。删除后:进入C:WINNTSystem32目录,找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe,删除。 修改文件关联时木马常用的手段,冰河木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序,此外html、exe、zip、com等都是木马的目标。所以还需要恢复注册表中的txt文件关联功能。将注册表中HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值,由中木马后的C:WindowsSSystemSusex-plr.exe%1改为正常情况下的C:Windowsnotepad.exe%1。 杀毒软件杀毒
