实验17 灰鸽子木马利用与防护

灰鸽子木马利用与防护(SEC-W06-001.1)

木马，又名特洛伊木马，其名称取自古希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己、加载运行的目的。本案例以国内著名的灰鸽子木马为例讲述木马的使用和防御。

实验目的

●了解木马病毒对终端主机的安全威胁，以及木马病毒如何对主机进行攻击。

实验准备

●准备两台电脑，一台为服务器（win2003）和一台为winxp电脑：

Win2003 服务器的设置：

1．设置IP地址为192.168.25.77

2．右击我的电脑，选择管理，选择本地用户和组---用户---administrator,设置其密码为demo 3．右击我的电脑，选择属性---远程选项卡，勾选远程桌面下的允许用户远程连接到这台计算机。（开启了3389端口，通过netstat –an 可以查看）

客户机(win xp)：设置其IP地址为192.168.25.78

●请下载灰鸽子木马程序(本案例使用的是灰鸽子牵手版)到个人PC(winxp电脑)上。（把

木马程序放在winxp电脑上）如图1

如图1

●在个人PC上运行远程桌面客户端程序mstsc.exe，输入服务器IP地址192.168.25.77，

点击“连接”，登录时用户名为“administrator”，密码为“demo”。如图2

图2

●登入远程虚拟平台之后，在服务器上建立“新建文件夹”，重命名为“share”，然后右击文

件夹，选择“属性”，在“共享”栏中，选择“共享该文件夹” 。如图3

图3

为了通过网络共享从本地拷贝文件到虚拟平台，确认控制权限为“完全控制”。如图4

图4

以上操作的目的是，为了以后把winxp上生成的服务端程序拷贝到服务器的共享文件夹share 中。

实验步骤

下载使用灰鸽子木马

步骤说明：

下载和使用灰鸽子木马

1.在winxp电脑上，打开已经下载好的灰鸽子木马所在的文件夹qs2004，双击里面的灰鸽子客户端H_client(本案例中如果碰到灰鸽子客户端无法打开的情形，请从“灰鸽子_牵手.zip”重新解压生成一个新的客户端程序再执行）。

2.“文件”--“配置服务程序”或直接从F12进入服务器端配置，如：图5

图5

3.进行相应的设置后，点击“生成服务器”。如：图6

图6

4.通过Windows 网络共享的方式，将winxp上生成出来的服务端程序拷贝到win2003服务器的文件夹share中，访问共享的用户名和密码仍然是“administrator” 和“demo” 。（在xp电脑上的开始—运行，输入\\192.168.2

5.77,输入用户名“administrator”和密码“demo”，双击共享文件夹share，然后把winxp上的灰鸽子木马所在的文件夹qs2004中的那个生成的服务端程序setup.exe拷贝到该目录中）如图7

图7

5.再次通过使用远程桌面登录到win2003服务器上，双击运行那个共享文件夹share里的服务端程序。如：图8

图8

6.关闭远程桌面，个人PC端（winxp）使用灰鸽子木马所在的文件夹qs2004下的客户端灰鸽子程序h_client，点击“增加主机”，添加服务端目标IP（192.168.25.77）。如：图9

图9

7.可进行一系列操作，如查看对方系统信息，下载对方文件到本地等。如：图10和图11

图10

图11

解决方案

1.临时解决方案：使用系统自带的防火墙处阻止该进程。

图12

2.更新您的杀毒软件查杀病毒或者从官方下载有效的灰鸽子专杀工具。图13

图14