实验网络安全技术二

实验二网页木马和木马捆绑

一般黑客都会在攻入系统后不只一次地进入该系统，为了下次再进入系统时方便，黑客会留下一个后门；另一方面，程序员在进行软件开发时，会由于疏忽或故意将后门留在程序中，以便日后可以对此程序进行隐藏地访问。

练习一 Shell后门

【实验目的】

●理解后门的定义与分类

●掌握后门的操作与原理

【实验人数】

每组2人

【系统环境】

Windows

【网络环境】

交换网络结构

【实验工具】

JlcssShell

【实验原理】

见《原理篇》实验25｜练习一。

【实验步骤】

本练习主机A、B为一组，C、D为一组，E、F为一组。下面以主机A、B为例，说明实验步骤。

首先使用“快照X”恢复Windows系统环境。

一．系统自带远程控制工具（3389远程控制）

（1）设置远程登录用户。

主机B依次单击“我的电脑”｜“属性”｜“远程”｜“远程桌面”，选中“启用这台计算机上的远程桌面”。

单击“选择远程用户”按钮，进入远程桌面用户，单击“添加”按钮，添加远程用户帐户，在选择用户对话框中点选“高级”｜“立即查找”，在查找结果中选择一个已存在的用户，按确定，完成用户添加工作。

（2）将用户名，密码告知同组主机A，并由其对本机进行远程登录。

主机A依次单击“开始”｜“程序”｜“附件”｜“通讯”｜“远程桌面连接”，启动远程桌面连接工具，在计算机一栏填写同组主机B的IP地址，单击“连接”按钮进行连接。在出现的登录界面中填入同组主机B提供的用户名和密码以图形界面登录到同组主机。利用远程连接，在同组主机上进行文件操作，注意不要随便删除连接主机上的文件。

二．远程控制工具JlcssShell

（1）主机B首先在控制台中执行netstat -an，查看本机开启的端口情况。单击实验平台工具栏中“JlcssShell”按钮，进入JlcssShell工作目录，运行JlcssShell.exe，再次查看本机开启端口的情况，端口21581是否开启。

（2）主机A确认JlcssShell后门植入主机B后，用“telnet”命令对主机B连接并实现部分功能的控制。主机A打开命令行操作界面，输入“telnet 主机B的IP地址21581”,其中“21581”为JlcssShell后门程序的执行端口。然后输入“连接密码”：jlcssok。确认后即可进入远程控制界面。输入“？”键入“回车”，获取帮助菜单。

「注」帮助菜单中q操作不但能够退出当前远程连接操作，而且可以卸载远程shell后门。因此在执行了q操作后，需要重新运行程序，启动后门。

（3）主机A对主机B进行简单的磁盘操作。

练习二网页木马

从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取口令等，这类程序都可以称为特洛伊木马程序，即trojans。

【实验目的】

●剖析网页木马的工作原理

●理解木马的植入过程

●学会编写简单的网页木马脚本

●通过分析监控信息实现手动删除木马

【实验人数】

每组2人

【系统环境】

Windows

【网络环境】

交换网络结构

【实验工具】

灰鸽子木马

监控器工具

网络协议分析器

【实验原理】

见《原理篇》实验26｜练习一。

【实验步骤】

本练习主机A、B为一组，C、D为一组，E、F为一组。实验角色说明如下：

下面以主机A、B为例，说明实验步骤。

首先使用“快照X”恢复Windows系统环境。

一．木马生成与植入

在进行本实验步骤之前，我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程，便于同学们理解和完成实验。

（1）用户访问被“挂马”的网站主页。（此网站是安全的）

（2）“挂马”网站主页中的