木马攻击与防范

贵州大信息安全原理与技术实验报告

学院：计算机学院专业：信息安全班级：信息121

g）关闭所有磁盘的自动播放功能，避免带毒优盘，移动硬盘的感染

h）经常去相关安全网站了解新出的木马，做到有所预防。

2.修改系统设置

a）把windows\system(32)\mshta.exe文件改名，将windows\command\debug.exe 和windows\command\ftp.exe都改名或者删除

b）注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\ActiveX Compatibility\下为Active Setup controls创建一个基于CLISID的新键值{6E44963_11CF_AAFA_00AA00 B6015C}，然后在新值下创建一个REG_DWORD类型的键值Compatibility{0x00000400}

3.把个人防火墙设置好安全等级，防止位置程序向外传送数据；选择安全性较高的

浏览器和电子邮件客户端软件；使用IE时，安装卡卡安全助手，防止恶意网站在自己计算机上安装不明软件和浏览器插件，以免被木马侵入。

4.“DLL木马”：dll文件是不能单独执行的，它需要一个Loder（一般为exe文件），该木马可以直接注入Loder中。

“DLL木马”防御方法：用户经常查看系统启动项（Loder）中有无多出莫名的项目，或在进程中找陌生的dll。（国外的防火墙软件tiny、SSM等对dll文件加载时附加提醒）

实验仪器安装windows 2003 sever的两台电脑（虚拟机中完成）木马程序：网络公牛、冰河、灰鸽子

实验步骤及实验内容一、网络公牛

控制端：

1.首先运行peep.exe,打开菜单"配置服务器",找到peepserver.exe打开,填写你

的IP通知

设置及捆绑运行与否.(与服务器端连接后也可动态设置)

2.运行buildserver.exe,会在本目录下自动产生一个newserver.exe文件(大约213K).

3.将newserver.exe文件 e_mail给服务端

服务端IP：

服务器端运行后会自动捆绑以下文件:

notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe

NT/2000:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑) 以上文件还会捆绑在开机时自动运行的第三方软件上(如:realplay.exe等) 控制端：与服务端连接上，控制服务端

用往服务端发送信息，

服务端：删除netbull

1.删除中的

2.删除注册表：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下的键值：

删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

二、冰河

冰河的服务器端为G_Server.exe，控制端为G_Client.exe 1.G_Server.exe运行后，控制端

添加主机，建立连接：

进行控制：

a）查看被控端文件：

b）新建文件夹：你好

在被控端找到新建的文件夹：你好

c）实验冰河信使与被控端聊天

控制对方屏幕：

3.服务器端删除冰河

冰河的kernel程序将cpu占尽：

（1）Kernel32.exe在系统重启后自动加载，Sysexplr.exe和TXT关联文件，即使删除Kernel32.exe，只要打开TXT文件，Sysexplr.exe就会被激活，再次生成Kernel32.exe。

所以删除中的和

（2）删除注册表里面的键值

a）中的

删除

b）

中的删除

c)将

改为

（3）重启计算机，看上述有无痕迹。

（4）使用木马检测工具：Anti-Trojan Shield

实验总结

本次的木马实验必须要两边的电脑都能连起网，但是感觉此次实验的木马软件有点不稳定，在控制对方后，会时不时的出现闪退的状况。冰河木马的控制方法更为多样化。

指导

教师

意见

签名：年月日注：各学院可根据教学需要对以上栏木进行增减。表格内容可根据内容扩充。