实验一木马攻击与防范全解
冰河木马入侵和防护报告-Read
冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机,植入木马程序,控制远程主机,然后在客户端查杀木马,进行防护。
通过入侵实验理解和掌握木马的传播和运行机制,动手查杀木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理IPC$是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理和查看计算机。
利用20CN IPC 扫描器可以发现网络上的IPC$漏洞,并往远程主机植入木马。
冰河木马程序属于第二代木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制。
三、实验条件工具扫描端口工具:20CN IPC扫描器木马程序:冰河ROSE 版实验平台WINDOWS XP,机房局域网。
四、实验步骤实验分两步,入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器(见图1)图-1 20CN 扫描器设置扫描的IP 开始和结束地址(见图2)图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机,设置步进为1,逐个扫描主机,线程数默认64,线程间延默认50(标号见1)。
选择要植入的木马程序,我们选择冰河木马(见标号2)。
扫描过程显示每个IP 的扫描结果(见标号3)。
扫描完成后会自动植入有IPC$漏洞的主机,接下来就可以控制了。
2 1 32、连接登陆远程主机打开冰河木马程序客户端,选择文件—>搜索计算机,设置起始域,起始地址和终止地址,我们进行如下设置,监听端口、延迟选择默认值,(见图3)21图-3 冰河木马程序客户端搜索结果(见标号2),在192.168.3.28和192.168.3.29前面是OK表示可以连接,其他主机都是ERR表示不能建立连接。
或者点击 文件—>添加计算机,输入扫描并已植入木马的远程主机IP(见标号1),访问口令为空,监听端口默认7626。
木马的防御
班级:姓名:序号:
实验一:木马的防御
一、实验目的
1、了解常见的木马程序进行远程控制的使用方法,掌握木马传播和运行的
机制;
2、掌握防范木马、检测木马以及手动删除木马的方法;
二、实验环境
Windows操作系统,局域网环境,“冰河”、“灰鸽子”木马实验软件。
实验每两个学生为一组:互相进行攻击或防范。
三、实验内容
1.练习使用“冰河”木马进行攻击
2.学习“冰河”木马防范方法
四、实验步骤
在使用IPC$将客户端运行后,查看该主机的文件
切换到命令控制台,查看系统的详细信息
删除在C:\Windows\system32文件夹下的病毒文件
修改注册表的键值,将被篡改的快捷方式指回日记本
手动查杀木马后,无法再对该主机进行控制
五、遇到的问题及解决办法
在将木马植入对方主机之后,首先应该分清客户端和服务端哪边是用于植入对方的。
植入后还应确保运行成功,否则无法进行后续的操作。
同时,一些操作类的指令可能一次无法执行成功,需要多次尝试才行。
六、心得体会
这次的实验算得上是一个比较有趣的实验,入侵,控制他人的计算机,这个实验很好的让我们了解了木马的入侵过程,工作过程等,同时这个实验也向我们展示了木马常用的藏匿位置和注册表位置,对于我们今后进行木马防范有很好的借鉴作用。
实验1-木马病毒攻防
南昌航空大学实验报告二〇一三年十一月八日课程名称:信息安全实验名称:实验1木马攻击与防范班级:xxx 姓名:xxx 同组人:指导教师评定:签名:一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理木马的全称为特洛伊木马,源自古希腊神话。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质:(1)伪装性(2)隐藏性(3)破坏性(4)窃密性2.木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,攻击者可以利用浏览器的漏洞诱导上网者单击网页,这样浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,获得控制权限,然后在被攻击的服务器上安装并运行木马。
3.木马的种类(1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒;第2代木马是网络传播型木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。
(2)按照功能分类,木马又可以分为:破坏型木马;密码发送型木马;服务型木马;DOS 攻击型木马;代理型木马;远程控制型木马。
4.木马的工作原理下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。
木马攻击与防范
贵州大信息安全原理与技术实验报告学院:计算机学院专业:信息安全班级:信息121g)关闭所有磁盘的自动播放功能,避免带毒优盘,移动硬盘的感染h)经常去相关安全网站了解新出的木马,做到有所预防。
2.修改系统设置a)把windows\system(32)\mshta.exe文件改名,将windows\command\debug.exe 和windows\command\ftp.exe都改名或者删除b)注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\ActiveX Compatibility\下为Active Setup controls创建一个基于CLISID的新键值{6E44963_11CF_AAFA_00AA00 B6015C},然后在新值下创建一个REG_DWORD类型的键值Compatibility{0x00000400}3.把个人防火墙设置好安全等级,防止位置程序向外传送数据;选择安全性较高的浏览器和电子邮件客户端软件;使用IE时,安装卡卡安全助手,防止恶意网站在自己计算机上安装不明软件和浏览器插件,以免被木马侵入。
4.“DLL木马”:dll文件是不能单独执行的,它需要一个Loder(一般为exe文件),该木马可以直接注入Loder中。
“DLL木马”防御方法:用户经常查看系统启动项(Loder)中有无多出莫名的项目,或在进程中找陌生的dll。
(国外的防火墙软件tiny、SSM等对dll文件加载时附加提醒)实验仪器安装windows 2003 sever的两台电脑(虚拟机中完成)木马程序:网络公牛、冰河、灰鸽子实验步骤及实验内容一、网络公牛控制端:1.首先运行peep.exe,打开菜单"配置服务器",找到peepserver.exe打开,填写你的IP通知设置及捆绑运行与否.(与服务器端连接后也可动态设置)2.运行buildserver.exe,会在本目录下自动产生一个newserver.exe文件(大约213K).3.将newserver.exe文件 e_mail给服务端服务端IP:服务器端运行后会自动捆绑以下文件:notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exeNT/2000:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑) 以上文件还会捆绑在开机时自动运行的第三方软件上(如:realplay.exe等) 控制端:与服务端连接上,控制服务端用往服务端发送信息,服务端:删除netbull1.删除中的2.删除注册表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下的键值:删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run二、冰河冰河的服务器端为G_Server.exe,控制端为G_Client.exe 1.G_Server.exe运行后,控制端添加主机,建立连接:进行控制:a)查看被控端文件:b)新建文件夹:你好在被控端找到新建的文件夹:你好c)实验冰河信使与被控端聊天控制对方屏幕:3.服务器端删除冰河冰河的kernel程序将cpu占尽:(1)Kernel32.exe在系统重启后自动加载,Sysexplr.exe和TXT关联文件,即使删除Kernel32.exe,只要打开TXT文件,Sysexplr.exe就会被激活,再次生成Kernel32.exe。
木马病毒攻击实验
访问以后看你的计算机是否开始注销或者关闭了。
八、实验数据及结果分析:
由于这个脚本是针对IE的漏洞进行设计的,因此对于Windows2000和Windows Xp,这个木马都有效。当然对于已经打了补丁的系统,这个脚本就无能为力了。另外由于已经对木马加密了,所以在一定程度上这个木马脚本还有一定免查杀能力,在某些实验环境下杀毒软件没有任何提示,因为现在的杀毒软件多数都是根据的病毒的特征码来查杀病毒的,而加密以后就不在具有病毒的特征码描述的特征了。
步骤2改为访问http://localhost/jstrojan/breed/index.html
通过命令行查看用户目录,然后到用户目录去看一下,是否有很多可执行文件生成(最多可以达到30000个,我们限制了数量),检查这些可执行文件是否有自我们繁殖功能。
实验三
通过木马关闭计算机
步骤基本和实验一相同
十一、对本实验过程及方法、手段的改进建议:
我们在实验中使用的木马功能其实并不够强大,也就是只有演示功能,其实我们完全可以把远程控制功能加到木马写木马中,这样才能够算是真正意义上的木马,一旦用户访问了我们指定的页面,该计算机就会被我们所控制。
报告评分:分
指导教师签字:
o.Fields("a").Value="这里是HTA的代码"
hta代码在IE临时文件夹内找到bbs003302.css并且改成可执行文件,然后修改成AUTOEXEC.BAT隐藏运行.这里HTA是指HTML Application(关于它的信息请参考Windows的帮助文档)
四、跨域运行HTA的实现.
实验指导5:木马攻击与防范实验指导书解析
实验指导5 木马攻击与防范实验1.实验目的理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
2.预备知识2.1木马及木马技术的介绍(1)木马概念介绍很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。
这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。
通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。
(2)木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。
于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。
木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
(3)线程插入技术木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。
这样木马的攻击性和隐藏性就大大增强了。
2.2木马攻击原理特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
冰河木马攻击实验报告(3篇)
第1篇一、实验背景随着互联网技术的飞速发展,网络安全问题日益突出。
为了提高网络安全防护能力,本实验旨在通过模拟冰河木马攻击,了解其攻击原理、传播途径以及防护措施。
实验过程中,我们将使用虚拟机环境,模拟真实网络环境下的木马攻击,并采取相应的防护措施。
二、实验目的1. 了解冰河木马的攻击原理和传播途径。
2. 掌握网络安全防护的基本方法,提高网络安全意识。
3. 熟悉网络安全工具的使用,为实际网络安全工作打下基础。
三、实验环境1. 操作系统:Windows 10、Linux Ubuntu2. 虚拟机软件:VMware Workstation3. 木马程序:冰河木马4. 网络安全工具:杀毒软件、防火墙四、实验步骤1. 搭建实验环境(1)在VMware Workstation中创建两个虚拟机,分别为攻击机和被攻击机。
(2)攻击机安装Windows 10操作系统,被攻击机安装Linux Ubuntu操作系统。
(3)在攻击机上下载冰河木马程序,包括GClient.exe和GServer.exe。
2. 模拟冰河木马攻击(1)在攻击机上运行GClient.exe,连接到被攻击机的GServer.exe。
(2)通过GClient.exe,获取被攻击机的远程桌面控制权,查看被攻击机的文件、运行进程等信息。
(3)尝试在被攻击机上执行恶意操作,如修改系统设置、删除文件等。
3. 检测与防护(1)在被攻击机上安装杀毒软件,对系统进行全盘扫描,查杀木马病毒。
(2)关闭被攻击机的远程桌面服务,防止木马再次连接。
(3)设置防火墙规则,阻止不明来源的连接请求。
4. 修复与恢复(1)对被攻击机进行系统备份,以防数据丢失。
(2)修复被木马破坏的系统设置和文件。
(3)重新安装必要的软件,确保系统正常运行。
五、实验结果与分析1. 攻击成功通过实验,我们成功模拟了冰河木马攻击过程,攻击机成功获取了被攻击机的远程桌面控制权,并尝试执行恶意操作。
2. 防护措施有效在采取防护措施后,成功阻止了木马再次连接,并修复了被破坏的系统设置和文件。
实验一木马攻击与防范全解
实验 1 木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理木马的全称为特洛伊木马,源自古希腊神话。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS 攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质:(1) 伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2) 隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3) 破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。
(4) 窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2.木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script 'ActiveX及ASRCGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE 浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,如微软的IIS 服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS 服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。
实验一木马攻击与防范分析
实验1 木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理木马的全称为特洛伊木马,源自古希腊神话。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质:(1)伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2.木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。
实验4-木马及病毒攻击与防范65页
三. 实验环境
三. 实验环境
两台运行windows 2000/XP/2019的计算机, 通过网络连接。通过配置“灰鸽子”木马, 了解木马工作原理并实现对木马的检测和查 杀。
11
四. 实验内容
四. 实验内容
1.灰鸽子介绍
灰鸽子是国内近年来危害非常严重的一种木马程 序。
12
四. 实验内容
4.配置服务端:在使用木马前配置好,一般不改变, 选择默认值。 细节注意如下:监听端口7626可更换(范围 在1024~32768之间);关联可更改为与EXE文件 关联(就是无论运行什么exe文件,冰河就开始 加载;还有关键的邮件通知设置:如下图!
33
冰河操作(9)
4.配置服务端:
34
冰河操作(10)
第五代木马在隐藏方面比第四代木马又进行了进 一步提升,它普遍采用了rootkit技术,通过 rootkit技术实现木马运行
5
二. 实验原理
二. 实验原理
4.木马的连接方式
一般木马都采用C/S运行模式,它分为两部分, 即客户端和服务器端木马程序。黑客安装木马的 客户端,同时诱骗用户安装木马的服务器端。
RootKit技术
RootKit是一种隐藏技术,它使得恶意程序可以逃避操 作系统标准诊断程序的查找。
9
二. 实验原理
二. 实验原理
6.木马的检测
木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再新, 也会在操作系统中留下痕迹。如果能够对系统中 的文件、注册表做全面的监控,可以实现发现和 清除各种木马的目的。
其生日号。2.2版本后均非黄鑫制作。
21
端口扫描工具
工具下载:远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5
木马攻防
木马攻击与防范一、实验目的1.熟悉木马的原理和使用方法,学会配制服务器端及客户端程序。
2.掌握木马防范的原理和关键技术。
二、实验原理1.木马攻击:特洛伊木马(以下简称木马),英文叫做“Trojan horse”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和破坏性的特点。
大多数木马与正规的远程控制软件功能类似,如Symantec的pcAnywhere,但木马有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。
攻击者经常把木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。
最常见的情况是,用户从不正规的网站上下载和运行了带恶意代码的软件,或者不小小心点击了带恶意代码的邮件附件。
大多数木马包括客户端和服务器端两个部分。
攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上,只要用户一运行被绑定的合法软件,木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。
通常,木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括服务器运行的IP端口号、程序启动时机。
如何发出调用、如何隐身、是否加密。
另外,攻击者还可以设置登录服务器的密码,确定通信方式。
木马攻击者既可以随心所欲的查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。
木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样用户即使发现感染了木马,也很难找到并清除它。
木马的危害越来越大,保障安全的最好办法就是熟悉木马的类型、工作原理,掌握如何检测和预防这些代码。
常见的木马,例如Back Orifice和SubSeven 等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。
这些木马可以当做键记录器、远程登录控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。
攻击者可以配置木马监听端口、运行方式,以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。
木马攻击实验报告
木马攻击实验报告
《木马攻击实验报告》
近年来,随着网络技术的不断发展,网络安全问题也日益凸显。
其中,木马攻击作为一种常见的网络安全威胁方式,给网络系统的安全运行带来了严重的威胁。
为了深入了解木马攻击的原理和特点,我们进行了一次木马攻击实验,并撰写了本次实验报告。
实验背景:本次实验旨在通过模拟网络环境,了解木马攻击的实际效果和防范措施。
我们选择了一个虚拟网络环境,搭建了一台主机作为攻击者,一台主机作为受害者,以及一台主机作为监控者。
实验过程:首先,我们在受害者主机上安装了一个虚拟的木马程序,并设置了相应的触发条件。
然后,攻击者主机通过网络连接到受害者主机,利用木马程序对其进行攻击。
在攻击的过程中,我们观察到受害者主机的系统出现了异常现象,包括文件被删除、系统崩溃等。
最后,我们通过监控者主机对攻击进行了记录和分析。
实验结果:通过实验,我们发现木马攻击具有隐蔽性强、破坏性大的特点。
一旦受害者主机感染了木马程序,攻击者可以远程控制受害者主机,窃取敏感信息,甚至对系统进行破坏。
同时,我们也发现了一些防范木马攻击的方法,包括加强网络安全意识、定期更新系统补丁、安装杀毒软件等。
结论:木马攻击是一种严重的网络安全威胁,对网络系统的安全稳定造成了严重的影响。
通过本次实验,我们深入了解了木马攻击的原理和特点,为今后的网络安全防范工作提供了重要的参考。
我们也呼吁广大网络用户加强网络安全意识,共同维护网络安全。
网络安全实验六:1.木马攻击实验
⽹络安全实验六:1.⽊马攻击实验步骤⼀:冰河⽊马植⼊与控制分别进⼊虚拟机中PC1与PC2系统。
在PC1中安装服务器端(被攻击者),在PC2中安装客户端(发起攻击者)。
(1)服务器端:打开C:\tool\“⽊马攻击实验“⽂件夹,双击G_SERVER。
因为虚拟机防⽕墙已关闭故不会弹窗,双击即为运⾏成功,⾄此,⽊马的服务器端开始启动(2)客户端:切换到PC2,打开C:\tool\“⽊马攻击实验”⽂件夹,在“冰河”⽂件存储⽬录下,双击G_CLIENT。
双击后未弹窗原因同上,出现如下图所⽰(3)添加主机①查询PC1的ip地址,打开cmd,输⼊ipconfig,如下图,得知IP地址为10.1.1.92②添加PC1主机:切换回PC2,点击如下图所⽰输⼊PC1的ip地址10.1.1.92,端⼝默认7626,点击确定若连接成功,则会显⽰服务器端主机上的盘符,如下图⾄此,我们就可以像操作⾃⼰的电脑⼀样操作远程⽬标电脑.步骤⼆:命令控制台命令的使⽤⽅法(1)⼝令类命令:点击“命令控制台”,然后点击“⼝令类命令”前⾯的“+”即可图界⾯出现如下图所⽰⼝令类命令。
各分⽀含义如下:“系统信息及⼝令”:可以查看远程主机的系统信息,开机⼝令,缓存⼝令等。
可看到⾮常详细的远程主机信息,这就⽆异于远程主机彻底暴露在攻击者⾯前“历史⼝令”:可以查看远程主机以往使⽤的⼝令“击键记录”:启动键盘记录后,可以记录远程主机⽤户击键记录,⼀次可以分析出远程主机的各种账号和⼝令或各种秘密信息(2)控制类命令点击“命令控制台”,点击“控制类命令”前⾯的“+”即可显⽰图所⽰界⾯如下图所⽰控制类命令。
(以”发送信息“为例,发送”nihaoya“)此时切换回PC1查看是否收到信息,如下图⾄此,发送信息功能得到验证各分⽀含义如下:“捕获屏幕”:这个功能可以使控制端使⽤者查看远程主机的屏幕,好像远程主机就在⾃⼰⾯前⼀样,这样更有利于窃取各种信息,单击“查看屏幕”按钮,然后就染成了远程主机的屏幕。
网络攻击与防御——木马分析
实验3 木马分析【实验目的】了解木马控制的基本原理。
【实验步骤】1.自行下载或直接使用FTP服务器提供的广外男生木马。
配置客户端,并植入另一台PC。
确保两台PC是连通的(用ping命令检查)。
2.回答问题:○1在运行木马和客户端植入过程,有没有受到防火墙的拦截?为什么?○2木马客户端与服务器端的连接是否能建立?请分析原因。
3. 请查阅学术期刊关于木马技术的文献资料(要注明阅读的资料来源),写出学习心得(不要超过300字)。
你认为木马技术将如何发展?(不要超过200字)【实验过程】1.直接使用FTP服务器提供的广外男生木马,并配置客户端2.配置服务端3.用命令Ping检测两台电脑已经联通4.植入另一台PC:通过U盘转移生成的文件gwb.exe5.回答问题:○1在运行木马和客户端植入过程,有没有受到防火墙的拦截?为什么?○2木马客户端与服务器端的连接是否能建立?请分析原因。
答:并未能成功运行木马,出现如下图所示错误:在大量网络搜查之后,抱歉仍未能解决此问题,可能由于木马过于陈旧,现系统都已经对其免疫。
同时在搜查资料的时候得知:○1在运行木马和客户端植入过程,理应不受到防火墙的拦截,因为广外男生属于反向端口连接技术木马,它是服务器端主机中木马后主动与黑客所在的客户机连接。
同时该技术利用服务器端主机防火墙默认情况下防外不防内的特性,连接请求不会被受害主机上的防火墙屏蔽掉。
并且广外男生使用“线程插入”技术,服务端运行时没有进程,所有网络操作都是插入到其他应用程序的进程中完成的,即使受控端安装的防火墙拥有“应用程序访问权限”的功能,也不能对广外男生的服务端进行有效的警告和拦截。
○2由于未能成功运行木马,抱歉不能得知在木马能正常运行的情况下木马客户端与服务器端的连接是否能建立,并不能分析其原因。
6.查阅学术期刊关于木马技术的文献资料,写出学习心得:新型反弹端口木马——“广外男生”,为了克服普通木马的弱点,采用了非传统的反弹端口技术,转变成服务端主动连接客户端的连接形式,这的确是一个创新。
木马攻击实验报告
木马攻击实验报告木马攻击实验报告引言:在当今数字化时代,网络安全问题变得日益严峻。
木马攻击作为一种常见的网络攻击手段,给个人和企业的信息安全带来了巨大威胁。
为了更好地了解木马攻击的原理和防范方法,我们进行了一系列的实验并撰写本报告。
一、实验背景1.1 木马攻击的定义和特点木马攻击是一种通过在目标计算机上植入恶意软件的方式,以获取目标计算机的控制权或者窃取敏感信息的行为。
与其他病毒相比,木马病毒更加隐蔽,不容易被发现和清除,给受害者带来的损失更大。
1.2 实验目的通过实验,我们旨在深入了解木马攻击的原理和过程,掌握常见木马的特征和防范方法,并提高对网络安全的意识和保护能力。
二、实验过程2.1 实验环境搭建我们搭建了一个包含受害机、攻击机和网络设备的实验环境。
受害机是一台运行Windows操作系统的计算机,攻击机则是一台具备攻击能力的计算机。
两台计算机通过路由器连接在同一个局域网中。
2.2 木马攻击实验我们选择了常见的典型木马病毒进行实验,包括黑客常用的远程控制木马、键盘记录木马和数据窃取木马。
通过在攻击机上模拟黑客行为,我们成功地将这些木马病毒传输到受害机上,并获取了受害机的控制权和敏感信息。
2.3 实验结果分析通过实验,我们发现木马病毒的传播途径多种多样,包括电子邮件附件、下载软件、网络漏洞等。
木马病毒一旦感染到目标计算机,往往会在后台默默运行,窃取用户的隐私信息或者利用受害机进行更大范围的攻击。
三、实验反思3.1 实验中的不足之处在实验过程中,我们发现自身的网络安全意识和知识储备还有待提高。
在木马攻击的防范方面,我们对于防火墙、杀毒软件等防护工具的使用和配置还不够熟练,需要进一步学习和实践。
3.2 实验的启示和收获通过本次实验,我们深刻认识到了木马攻击的危害性和普遍性。
我们意识到加强网络安全意识和技术防范的重要性,不仅要保护自己的计算机和信息安全,还要积极参与到网络安全的维护中。
四、防范木马攻击的建议4.1 加强网络安全意识提高个人和企业对网络安全的重视程度,定期进行网络安全培训,学习常见的网络攻击手段和防范方法。
木马攻击及防御技术实验报告
目录第一章引言 (1)第二章木马概述 (1)2.1木马的定义及特点 (1)2.2木马的工作原理 (2)2.3木马的分类.................................................... 第三章常见的木马攻击手段3.1捆绑方式.....................................................3.2邮件和QQ冒名欺骗............................................3.3网页木马方式.................................................3.4伪装成其他文件...............................................第四章木马的防范措施4.1安装个人防火墙、木马查杀软件和及时安装系统补丁...............4.2隐藏IP和关闭不必要的端口....................................4.3使用虚拟计算机...............................................4.4关闭不必要的服务选项.........................................4.5定期检查电脑的启动项.........................................4.6不要随意打开邮件.............................................4.7谨慎下载和安装第三方软件.....................................第五章总结........................................................参考文献...........................................................第一章引言随着计算机的日益普及,人们对于“木马”一词已不陌生。
木马攻击与防范
贵州大信息安全原理与技术实验报告学院:计算机学院专业:信息安全班级:信息121 姓名饶永明学号1208060066 实验组实验时间2015.6 指导教师蒋朝惠成绩实验项目名称木马攻击与防范实验目的1.掌握目前常见的7种木马的检测及清除方法2.学会使用工具检测并清除木马实验原理一、木马工作原理1.木马系统构成:硬件、软件、具体连接硬件是控制端和服务器端软件是木马代码连接一般通过网络(IP、端口)2.木马配置程序的功能:伪装和信息反馈3.传播木马(1)传播方式有2:通过e-mail和下载(2)伪装方式:a)修改图标(一般存在e-mail中,会将木马服务器端改为HTML、TXT、ZIP图标等)b)捆绑文件:将木马捆绑在一个安装(可执行)文件上,当文件执行时,木马运行。
(like网络公牛)c)出错显示:一般木马执行时,会像执行程序但却没有任何反应,容易惹人怀疑,所以为了伪装,就显示出错。
d)定制端口:很多老师木马端口是固定的,只要检查端口可知是否被感染。
现在的木马选择在1024~65535之间任选端口,那就不好判断了。
e)自我销毁:毁灭犯罪证据(在windows系统文件中无法找到了)f)木马更名:也是为了防止被找到4.运行木马(1)自启动激活木马:a)注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下的5个以Run和RunServices主键,有木马键值。
b)WIN.INI→在C:\WINDOWS目录下有配置文件win.ini,用文本方式打开,在[windows]字段中有启动项命令load=和run=,一般为空,若有内容,可能是木马。
c)SYETEM.INI→在C:\WINDOWS目录下有配置文件system.ini,用文本方式打开,在[386Enh],[mic],[driver32]中看有无木马命令木马。
d)Autoexec.bat 和Config.sys →在c盘根目录下着两个文件也可启用木马。
木马攻击与防范[精]
![木马攻击与防范[精]](https://img.taocdn.com/s3/m/74f1dc452af90242a995e56d.png)
利用网页脚本入侵:通过Script、ActiveX、及ASP、 CGI交互脚本的方式入侵,利用浏览器漏洞实现木 马的下载和安装。
利用漏洞入侵:利用系统的漏洞入侵。 和病毒协作入侵:在病毒感染目标计算机后,通过
驱动程序或修改动态链接库(DLL)来加载木马。
二:实验原理—5.木马的检测
木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再 新,也会在操作系统中留下痕迹。
如果能够对系统中的文件、注册表做全面的 监控,可以实现发现和清除各种木马的目的。
中木马后出现的状况
浏览器自己打开,并且进入某个网站; Windows系统配置自动莫名其妙地被更改;比如
CD-ROM的自动运行配置; 硬盘经常无缘由的进行读写操作; 系统越来越慢,系统资源占用很多; 经常死机; 启动项增加; 莫名的进程; 网络端口的增加;
二:实验原理—1.木马的特性
伪装性:伪装成合法程序。 隐蔽性:在系统中采用隐藏手段,不让使用
者觉察到木马的存在。 破坏性:对目标计算机的文件进行删除、修
改、远程运行,还可以进行诸如改变系统配 置等恶性破坏操作。 窃密性:偷取被入侵计算机上的所有资料。
二:实验原理—2.木马的入侵途径
木马攻击与防范
一:实验目的
通过对木马的练习,理解和掌握木马传播和 运行机制;
通过手动删除木马,掌握检查木马和删除木 马的技巧,学会防御木马的相关知ห้องสมุดไป่ตู้,加深 对木马的安全防范意识。
二:实验原理
木马的全称为特洛伊木马,来源于古希腊神 话。木马是具有远程控制、信息偷取、隐蔽 传输功能的恶意代码,它通过欺骗后者诱骗 的方式安装,并在用户计算机中隐藏以实现 控制用户计算机的目的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验 1 木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理木马的全称为特洛伊木马,源自古希腊神话。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS 攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质:(1) 伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2) 隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3) 破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。
(4) 窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2.木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script 'ActiveX及ASRCGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE 浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,如微软的IIS 服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS 服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。
3.木马的种类(1) 按照木马的发展历程,可以分为4 个阶段:第1 代木马是伪装型病毒,将病毒伪装成一个合法的程序让用户运行,例如1986年的PC-Write 木马;第 2 代木马是网络传播型木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制,例如B02000和冰河木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第 4 代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。
(2) 按照功能分类,木马又可以分为:破坏型木马,主要功能是破坏并删除文件;密码发送型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文件;DoS攻击型木马,它将作为被黑客控制的肉鸡实施DoS 攻击;代理型木马,可使被入侵的计算机做为黑客发起攻击的跳板;远程控制型木马,可以使攻击者利用客户端软件进行完全控制。
4.木马的工作原理下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。
(1)木马的传统连接技术一般木马都采用C/S运行模式,因此它分为两部分,即客户端和服务器端木马程序。
其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端的木马程序就会自动运行,来应答客户端的请求,从而建立连接。
C/S木马原理如图1-1所示。
第1代和第2代木马都采用的是C/S(客户机,服务器)连接方式,这都属于客户端主动连接方式。
服务器端的远程主机开放监听端目等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。
(2)木马的反弹端口技术随着防火墙技术的发展,它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。
但防火墙对内部发起的连接请求则认为是正常连接,第3代和第4 代“反弹式”木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求,而客户端是被动的连接。
根据客户端IP地址是静态的还是动态的,反弹端口连接可以有两种方式,如图1-2和图1-3所示。
图1-1 C/S木马原理真P馳图1-2反弹端口连接方式一ft理脏务器〔保存導八觀u\ ttU ja<9代刪瞿务黔(悚牡客户常a端口)—-连按建丸成功-------------------ft理服等器(保存客禰|打图1-3反弹端口连接方式二IP地址和待连接端反弹端口连接方式一要求入侵者在设置服务器端的时候,指明客户端的口,也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。
所以这种方式只适用于客户端IP地址是静态的情况。
反弹端口连接方式二在连接建立过程中,入侵者利用了一个“代理服务器”保存客户端的IP地址和待连接的端口,在客户端的IP地址是动态的情况下,只要入侵者更新“代理服务器” 中存放的IP地址与端口号,远程被入侵主机就可通过先连接到“代理服务器”,查询最新木马客户端信息,再和入侵者(客户端)进行连接。
因此,这种连接方式适用于客户端和服务器端都是动态IP地址的情况,并且还以穿透更加严密的防火墙。
表1-1总结了反弹端口连接方式一和反弹端口连接方式二的使用范围。
表1-1(3) 线程插入技术我们知道,一个应用程序在运行之后,都会在系统之中产生一个进程,同时,每个进程分别对应了一个不同的进程标识符(Process ID,PID)。
系统会分配一个虚拟的内存空间地址段给这个进程,一切相关的程序操作,都会在这个虚拟的空间中进行。
一个进程可以对应一个或多个线程,线程之间可以同步执行。
一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。
“线程插入”技术就是利用了线程之间运行的相对独立性,使木马完全地融进了系统的内核。
这种技术把木马程序作为一个线程,把自身插入其它应用程序的地址空间。
而这个被插入的应用程序对于系统来说,是一个正常的程序,这样,就达到了彻底隐藏的效果。
系统运行时会有许多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。
综上所述,由于采用技术的差异,造成木马的攻击性和隐蔽性有所不同。
第2代木马,如“冰河”,因为采用的是主动连接方式,在系统进程中非常容易被发现,所以从攻击性和隐蔽性来说都不是很强。
第3代木马,如“灰鸽子”,则采用了反弹端口连接方式,这对于绕过防火墙是非常有效的。
第4代木马,如“广外男生”,在采用反弹端口连接技术的同时,还采用了“线程插入”技术,这样木马的攻击性和隐蔽性就大大增强了,可以说第4代木马代表了当今木马的发展趋势。
三、实验环境两台运行Windows 2000/XP的计算机,通过网络连接。
使用“冰河”和“广外男生”木马作为练习工具。
四、实验内容和任务任务一冰河”木马的使用1 •“冰河”介绍“冰河”是国内一款非常有名的木马,功能非常强大。
“冰河”一般是由两个文件组成:G_Client和G_Server,其中G_Server是木马的服务器端,就是用来植入目标主机的程序,G_Client是木马的客户端,就是木马的控制端,我们打开控制端G_Client,弹出“冰河”的主界面,如图1-4所示。
图1-4 “冰河”主界面快捷工具栏简介(从左至右):(1) 添加主机:将被监控端IP地址添加至主机列表,同时设置好访问口令及端口,设置将保存在Operate」ni文件中,以后不必重输。
如果需要修改设置,可以重新添加该主机,或在主界面工具栏内重新输入访问口令及端口并保存设置。
(2) 删除主机:将被监控端IP地址从主机列表中删除(相关设置也将同时被清除)。
(3) 自动搜索:搜索指定子网内安装有冰河的计算机。
(4) 查看屏幕:查看被监控端屏幕。
(5) 屏幕控制:远程模拟鼠标及键盘输入。
(6) “冰河”信使:点对点聊天室。
(7) 升级1. 2版本:通过“冰河”来升级远程1. 2版本的服务器程序。
(8) 修改远程配置:在线修改访问口令、监听端口等服务器程序设置,不需要重新上传整个文件,修改后立即生效。
(9) 配置本地服务器程序:在安装前对G_Server.exe进行配置(例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)。
2•使用“冰河”对远程计算机进行控制我们在一台目标主机上植入木马,在此主机上运行G_Server,作为服务器端;在另一台主机上运行G_Client,作为控制端。
打开控制端程序,单击快捷工具栏中的“添加主机”按钮,弹出如图1-5所示对对话框。
图1-5添加计算机“显示名称”:填入显示在主界面的名称。
“主机地址”:填入服务器端主机的IP地址。
“访问口令”:填入每次访问主机的密码,“空”即可。
“监听端口” :“冰河”默认的监听端口是7626,控制端可以修改它以绕过防火墙单击“确定”按钮,即可以看到主机面上添加了test的主机,如图1-6所示。
图1-6添加test 主机这时单击test 主机名,如果连接成功,则会显示服务器端主机上的盘符。
图1-6显示了 test 主机内的盘符,表示连接成功。
这时我们就可以像操作自己的电脑一样操作远程目标电脑,比如打开 C:\WINNT\system32\co nfig 目录可以找到对方主机上保存用户口令的 SAM 文件。
“冰河”的大部分功能都是在这里实现的,单击“命令控制台”的标签,弹出命令控制台 界面,如图1-7所示。
Irt[F]卿目 iftfltS] «ft[^軻艷型H H lr 廡图1-7命令控制台界面可以看到,命令控制台分为“口令类命令”、“控制类命令”、“网络类命令”、“文件 类命令”、“注册表读写”、“设置类命令”。
3•删除“冰河”木马删除“冰河”木马主要有以下几种方法:(1) 客户端的自动卸载功能在“控制类命令”中的“系统控制”里面就有自动卸载功能,执 行这个功能,远程主机上的木马就自动卸载了。
⑵手动卸载这是我们主要介绍的方法,因为在实际情况中木马客户端不可能为木马服务器 端自动卸载木马,我们在发现计算机有异常情况时 (如经常自动重启、密码信息泄漏、桌面不正常时)就应该怀疑是否已经中了木马,这时我们应该查看注册表,在“开始”的“运行”里面输 入regedit ,打开Windows 注册表编辑器。
依次打开子键目录 HKEY_LOCAL_MACHINE\SOFTWARE\M icrosoft'Wi ndows'Curre ntVersio n\Run 。