网络实验四报告.docx

网络实验四报告.docx

《网络实验四报告.docx》由会员分享，可在线阅读，更多相关《网络实验四报告.docx（12页珍藏版）》请在冰点文库上搜索。

网络实验四报告

实验4－木马病毒防

1.实验目的

通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防意识。

2.实验要求

通过实验了解木马攻击的原理，了解如何防木马的入侵。

3.实验原理及容

木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。

它隐藏在目标的计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

1、木马的特性

木马程序为了实现某特殊功能，一般应该具有以下性质：

（1）伪装性

（2）隐藏性

（3）破坏性

（4）窃密性

2、木马的入侵途径

木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。

木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞又到上网者单击网页，这样IE浏览器就会自动执行脚本，实现木马的下载和安装。

木马还可以利用系统的一些漏洞入侵，如微软的IIS服务存在多种溢出漏洞，通过缓冲区溢出攻击程序造成IIS服务器溢出，获得控制权县，然后在被攻的服务器上安装并运行木马。

3、木马的种类

（1）按照木马的发展历程，可以分为四个阶段：

第一代木马是伪装型病毒，第二代木马是网络传播型木马，第三代木马在连接方式上有了改进，第四代木马在进程隐藏方面作了较大改动。

（2）按照功能分类,木马可以分为:

破坏型木马，密码发送型木马，服务型木马，DOS攻击型木马，代理型木马，远程控制型木马。

4、木马的工作原理

下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。

（1）木马的传统连接技术

（2）木马的反弹端口技术

（3）线程插入技术

4.实验环境

两台运行Windows2000/XP的计算机，通过网络连接。

使用“冰河”木马作为联系工具。

5.实验容

1、使用“冰河”对远程计算机进行控制

“冰河”一般由两个文件组成：

G_Client和G_Server。

其中G_Server是木马的服务器端，即用来植入目标主机的程序，G_Client是木马的客户端，就是木马的控制端。

打开控制端G_Client,弹出“冰河”的主界面，熟悉快捷工具栏。

2、在一台目标主机上植入木马并在此主机上运行G_Sere\ver，作为服务器端；在另一台主机上运行G_Client.作为控制端。

打开控制端程序，单击“添加主机”按钮。

弹出下图所示的对话框：

“显示名称”：

填入显示在主界面的名称。

“主机地址”：

填入服务器端主机的IP地址。

“访问口令”：

填入每次访问主机的密码，“空”即可。

“监听端口”：

“冰河”默认监听端口是7626，控制端可以修改它以绕过防火墙。

单击“确定”可以看到主机面上添加了test的主机，如下图所示，就表明连接成功。

单击test主机名，如果连接成功，则会显示服务器端主机上的盘符。

这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。

比如可以打开对方的SAM文件，如下图：

“冰河”大部分功能都是在“命令控制台”实现的，单击“命令控制台”弹出命令控制界面，如下图所示：

展开命令控制台，分为“口令类命令”、“注册表读表”、“设置类命令”。

（1）口令命令类：

①“系统信息及口令“：

可以查看远程主机的系统信息、开机口令、缓存口令等。

②“历史口令”：

可以查看远程主机以往使用的口令。

③“击键记录”：

启动键盘记录以后，可以记录远程主机用户击键记录，以此可以分析出远程主机的各种和口令或各种秘密信息。

（2）控制类命令

捕获屏幕”：

这个功能可以使控制端使用者查看远程主机的屏幕，好像远程主机就在自己面前一样，这样更有利于窃取各种信息。

单击“查看屏幕”，弹出远程主机界面，如下图所示：

①“发送信息”：

这个功能可以使你向远程计算机发送Windows标准的各种信息。

②“进程管理”：

这个功能可以使控制者查看远程主机上所有的进程。

③“窗口管理”：

这个功能可以使远程主机上的窗口进行刷新、最大化、最小化、激活、隐藏等操作。

④“系统管理”：

该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。

⑤“其他控制”：

该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、注册表锁定等操作。

（3）网络类命令：

①“创建共享”：

在远程主机上创建自己的共享。

②“删除共享”：

在远程主机上删除某个特定的共享。

③“网络信息”：

查看远程主机上的共享信息，单击“查看共享”可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。

⑷文件类命令：

展开文件类命令、文件浏览、文件查找、文件压缩、文件删除、文件打开等菜单可以查看、查找、压缩、删除、打开远程主机上的某个文件。

目录增删、目录复制、主键增删、主键复制的功能。

⑸注册表读写：

提供了键值读取，键值写入，键值重命名、主键浏览、主键删除、主键复制的功能。

⑹设置类命令：

提供了更换墙纸、更改计算机名、服务器端配置的功能。

3、删除冰河木马

删除冰河木马主要有以下几种方法：

1客户端的自动卸载功能，而实际情况中木马客户端不可能为木马服务器自动卸载木马。

2手动卸载：

查看注册表，在“开始”中运行regedit,打开Windows注册表编辑器。

依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CruuentVersion\run.

在目录中发现一个默认的键值：

C:

\WINNT\System32\kernel32.exe，这个就是冰河木马在注册表中加入的键值，将它删除。

删除后：

然后依次打开子键目录

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind-ows\CurrentVersion\Runservices,在目录中也发现一个默认键值：

C:

\WINNT\System32\kernel32.exe，这个也是冰河木马在注册表中加入的键值，删除。

删除后：

进入C:

\WINNT\System32目录，找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe，删除。

修改文件关联时木马常用的手段，冰河木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，此外html、exe、zip、com等都是木马的目标。

所以还需要恢复注册表中的txt文件关联功能。

将注册表中HKEY_CLASSES_ROOT\txtfile\shell\open\

command下的默认值，由中木马后的C:

\Windows\SSystem\Susex-plr.exe%1改为正常情况下的C:

\Windows\notepad.exe%1。

3杀毒软件杀毒