信息安全实验指导(最新版)

21
实验内容和任务
• 快捷工具栏介绍（从左到右）
• • • • • • • • （1）添加主机：被监控端IP地址添加到主机列表。 （2）删除主机：将被监控端IP地址从主机上删除。 （3）自动搜索：搜索指定子网内安装有冰河的计算机。 （4）查看屏幕：查看被监视端屏幕。 （5）屏幕控制：远程模拟鼠标及键盘输入。 （6）冰河信使：点对点聊天。 （7）升级1.2版本：通过冰河远程升级服务器程序。 （8）修改远程配置：在线修改访问命令，监听端口等服 务器程序。 • （9）配置本地服务器程序：将安装前对G_Server进行配 置。
19
实验环境
• 两台windows sever 2003的计算机，通过网络
连接。安装冰河木马。
20
实验内容和任务
• 任务1.冰河木马的使用
1.冰河介绍 。冰河木马一般有两个文件组成：G_Client和 G_Server，其中G_Server是木马服务端，用来植入目标电 脑序，G_Client是木马控制端，打开G_Client弹出冰河主界 面
18
实验原理
4.木马工作原理 （1）木马的传统连接方式。一般木马都采用C/S运行模式， 可以分两部分，即客户端和服务器端。原理是当服务器 端在目标计算机运行时，一般会打开一个默认的端口进 行监听。 （2）木马反弹技术，随着防火墙技术发展，它可以有效 拦截传统的连接方式。但是防火墙对内部发起连接认为 正常连接，利用这个缺点让服务器端主动发起连接在通 过某些方式连接到木马客户端。 （3）线程插入技术，一个应用程序运行后，都会在系统 中产生一个进程，同时每个进程对应不同的标识符，系 统会分配一个虚拟内存空间给这个进程，有关一切程序 都会在这里执行。线程插入技术就是利用线程间运行相 对独立性，是木马融入系统的内核，这种技术把木马作 为一个进程，把自身插入其他的应用程序的地址空间。 这样就达到了彻底隐蔽的效果了。
5
实验原理
• 木马的种类 按木马发展历程分类：第一代木马是伪装型病毒， 第二代木马是网络传播型木马，第三代木马利用 端口反弹技术，第四代木马让木马服务器端运行 时没用进程。 按照功能分类：破坏型木马，服务型木马，DOS 攻击型木马，代理型木马，远程控制型木马。
6
实验原理
• 木马的工作原理 木马的传统连接技术：一般采用C/S运行模式。 木马的反弹端口技术：服务器端主动发起对外连 接请求，再通过某些方式连接到木马的客户端。 线程插入技术：利用线程之间运行的相对独立性， 使木马完全的融进了系统的内核。
10
实验内容和任务
• 手动删除“广外男生”木马
单击“开始”-“运行”，输入regedit进入注册表，一次展 开到HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\Current Version\Run在里面找到木 马文件并删除 进入C:\WINNT\System32，按文件大小排列，寻找 116KB的文件，找到木马文件删除 在注册表中单击“编辑”-“查找”，查找文件名为 “gwboydll.dll”的文件，找到相关注册表项全部删除 重新启动主机，按F8进入命令提示的安全模式，再进入 C:\WINNT\System32中，输入del gwboydll.dll删除木马 的动态链接库文件，这几彻底把木马文件清除了。
22
实验内容和任务
任务2.使用冰河对远 程计算机进行控制
在一台目标计算机 上植入G_Server作为 服务器端，在主机上运 行G_Client作为控制的。 打开控制端程序，单击 快捷工具栏中添加主机 按钮，弹出对话框如图 所示。
显示主机：填入显示在主机界面的名称。 主机地址：填入服务器主机的IP地址。 访问口令：一般为空。 监听端口：冰河默认为是7626.
16
实验原理
• 2.木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法，如 更改目标图标，把木马文件与普通文件合并，欺骗 被攻击者下载并且执行木马程序，就会把木马安装 在被攻击者者电脑。木马也可以script,Active,Asp, CGI 交互脚本方式入侵。由于微软的浏览器在执行 script脚本上存在一些漏洞，攻击者可以利用这些漏 洞诱惑上网者点击网页，这样IE浏览器就会自动执 行脚本，实现木马的下载和安装。
31
实验原理
• 一般入侵者常采用下面几种方法获取用户的密码口令，包 括弱口令扫描、Sniffer密码嗅探、暴力破解社会工程学 （即通过欺诈手段获取）以及木马程序或键盘记录程序等 手段。 • 介绍一种“*”密码查看器的工作原理。 Windows中的Edit控件是一个标准控件，当把其 Password属性设为True时，输入的口令密码就会屏蔽为 星号。 程序中的Edit控件仍是用户输入的明文密码。 应用程序可以获取该控件中的明文密码信息，也可以通过 向其发送WM_GETTEXT或EM_GETLINE消息来获取Edit 控件中的内容。
17
实验原理
3.木马的种类
（1）按木马发展历程，可以分四代：第一代伪装 型病毒，将木马伪装成合法程序让用户执行。例 如pc-write;第二代木马病毒是网路传播型病毒， 有伪装和传播的功能，例如BO_2000和冰河木马; 第三代 端口反弹技术，例如灰鸽子木马；第四代木马在 进程隐藏方面做了很大的改动，让木马服务器运 行时没有进程，例如广外男生。 （2）按功能分类，可分为破坏型木马，密码发送 型木马，服务型木马，代理型木马。
信息安全实验指导
• • • • • • 实验一 广外男生 实验二 冰河木马 实验三 账号口令破解 实验四 Sniffer工具嗅探 实验五 网络端口扫描 实验六 综合扫描及安全评估
1
实验一 木马攻击与防范（一）
广外男生
2
实验目的
• 通过对木马的练习，使读者理解和掌握木马传播 和运行的机制；通过手动删除木马，掌握检查木 马和删除木马的技巧，学会防御木马的相关知识， 加深对木马的安全防范意识。
3
实验原理
• 木马的特性 伪装性：将自己的服务器端伪装成合法程序 隐藏性：不会暴露在系统进程管理器内，也不会 让使用者察觉到木马的存在 破坏性：通过远程控制，可以对系统中文件进行 删除、编辑，还可以格式化硬盘，改变系统启动 参数等 窃密性：窥视被入侵计算机上的所有资料，包括 硬盘上的文件、显示器画面、使用者在操作过程 中在硬盘上输入的所有命令等。
23
实验内容和任务
• 单击确定按钮，可以看到在主机界面上添加了 一个主机，这时如果连接成功，则会显示服务 器主机上的盘符。如图所示。
24
实验内容和任务
• 命令控制台：冰河大部分功能都在这里实现。 单击一下命令控制台可以看到命令控制台分为： 口令类命令，控制类命令，网络类命令，文件 类命令，注册表类命令，设置类命令。如图所 示
32
实验原理
• 有关系统用户账号密码口令的破解主要是基于密 码匹配的破解方法，最基本的方法是穷举法和字 典法。 穷举法：效率最低是方法。将字符或数字按照穷 举的规则生成口令字符串，进行遍历尝试。 字典法：相对效率较高。用口令字典中事先定义 的常用字符去尝试匹配口令。口令字典是一个 很 大的文本文件，可以通过自己编辑或者由字典工 具生成，里面包含了单词或者数字的组合。
25
实验内容和任务
任务3.删除冰河木马
(1)客户端自动卸载：控制类命令中的系统控制里面有自动卸载这个功 能执行它后，远程主机上木马就会自动卸载。 (2)手动卸载：首先在“开始”的“运行”里面输入regedit,打开注册 表 编辑器。打开HKEY_LOCAL_MAINE\SOFTWARE\Microsoft\ Windows\Current Version\Run,在目录中发现C:\WINNT\ system32\kernel32.exe.然后将它删除。如图所示
4
实验原理
• 木马的入侵途径 欺骗方法：更改图标、把木马文件与普通文件合 并，欺骗呗攻击者下载并执行做了手脚的木马程 序。 利用浏览器在执行Script脚本上存在的漏洞诱导 上网者单击网页，使IE浏览器自动执行脚本，实 现木马的下载和安装。 利用系统漏洞入侵：如微软的IIS服务器存在多种 溢出漏洞，通过缓冲区溢出攻击程序造成IIS服务 器溢出。
11
实验内容和任务
• 木马的防范 提高防范意识 如果网速变慢，这是因为使用的木马抢占带宽 查看本机连接，如果有使用不常见的端口与主机 通信，则需要进一步分析 木马可以通过注册表启动，所以可以通过注册表 来发现木马在注册表里留下的痕迹 使用杀毒软件和防火墙。
12
实验报告要求
• 安装或启动一款杀毒软件，对中了木马的主机进 行全面扫描，查看在那些目录下存在木马文件， 木马文件都是什么，加深对木马文件驻留主机位 置和原理的认识。 • 学习使用fport、tlist等工具 • 采用反弹端口方式二再次模拟入侵主机，将详细 的过程和结果提交上来，在此过程中需要申请动 态域名，可以使用服务器模拟一个DNS服务器， 在客户端主机上也要使用相关工具建立Web服务 器、FTP服务器。
9
实验内容和任务
• “广外男生”的检测 使用两个强大工具fport和tlist 命令窗口输入cmd-netstat-an,查看网络端口占用 状态 提示符下输入fport，找出木马插入的进程 Explorer.exe及其PID号 在提示符下输入tlist 848，查看在Explorer.exe 中运行的动态链接库 在命令提示符下输入tlist-m gwboydll.dll查看木 马是否还插入其它的进程
26
实验内容和任务
• 然后我们进入C:windows\system32目录找到冰 河木马的两个可执行程序kernel32.exe和 sysexplr.exe文件将他们删除如图所示。
27
实验内容和任务
• 修改文件关联也是木马常用手段，冰河木马将txt 文件缺省打开方式有notepad.exe 改成木马启动 程序，除此之外，html,exe,zip,com等都是木马 的目标，所以最后我们要恢复txt文件的关联性。 将注册表目录下 HKEY_CLASSES_ROOT\txtfile\shell\open\ command下的默认值，由中木马后的 C:\Windows\system\ sysexplr.exe%1改为 C:\Windows\notepad.exe%1。就可以了，如图 所示。 • 重启计算机，这样我们就把冰河木马彻底的除了。 最后用杀毒软件对计算机进行全盘扫描。
7
实验环境
• 两台运行Windows server 2003的计算机，通过 网络连接。使用“广外男生”木马作为• “广外男生”的客户端和服务器端的配置连接。 打开“广外男生”的主程序 进行客户端设置 设置木马连接类型 进行服务器端设置 网络设置 生成文件 木马执行
28
实验报告要求
• 安装或启动杀毒软件对中木马的主机进行全盘扫 描，查看哪些目录存在木马文件。文件是什么， 加深对木马的了解。 • 掌握冰河木马的使用方法和删除方法，加强木马 的防范意识。
29
实验三 账号口令破解
L0phtcrack5
30
实验目的
• 通过密码破解工具的使用，了解账号口令的安全 性，掌握安全口令的设置原则，以保护账号口令 的安全性。
13
实验二 木马的攻击与防范（二）
冰河木马
14
实验目的
• 通过对木马的练习，了解和掌握木马的传播和运 行机制； • 通过手动删除木马，掌握检查木马和删除木马的 技巧
15
实验原理
1.木马的特性
（1）伪装性:程序将自己的服务器端伪装成合法程序，并诱 使被攻击者 下载和安装木马程序到系统中。 （2）隐藏性：木马同病毒程序一样，不会暴露在系统进程 管理器中，也不会让使用者察觉木马的存在，它的所有动 作会伴随其他程序进行。 （3）破坏性：通过远程控制，攻击者可以通过木马程序对 系统文件进行删除，编辑，还可以进行诸如格式会硬盘等 操作。 （4）窃取性:木马程序最大的特点就是可以窥视被入侵的计 算机的所有资料，这不仅是硬盘的文件，还包括屏幕画面， 及使用者在操作过程中的所有命令。