10计科 陈艳华 201030457109
网络安全与维护实验报告
实验四 木马攻击与防范
一、实验目的
通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验要求
通过实验了解木马攻击的原理,了解如何防范木马的入侵。
三、实验原理及内容
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1、 手脚冰凉怎么调理最有效木马的特性
经典犯罪电影木马程序为了实现某特殊功能,一般应该具有以下性质:
(1) 伪装性: 程序把自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2) 隐藏性:木马程序同病毒一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3) 破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。
(4) 窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2、 木马的入侵途径
木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过如何实现中国梦Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS 服务存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权县,然后在被攻的服务器上安装并运行木马。
3、 木马的种类
虐 小说(1) 按照木马的发展历程,可以分为四个阶段:第一代木马是伪装型病毒,将病毒伪装成一合法的程序让用户运行。第二代木马是网络传播型木马,它具备伪装和传播两种功能,可以近些年歌迷马窃取、远程控制。第三代木马在连接方式上有了改进,利用率端口反弹技术。第四代木马在进程隐藏方面作了较大改动,让木马服务器运行时没有进程,网络操作插入到系统进程或者应用进程完成。
(2) 按照功能分类,木马可以分为: 破坏型木马,主要功能是破坏删除文件;密码发送型
木马,它可以到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文件;DOS攻击型木马,它可以作为被黑客控制的肉鸡实施DOS攻击;代理型木马,它作为黑客发起攻击的跳板;远程控制型木马,可以使攻击者利用客户端软件完全控制。
4、 木马的工作原理
下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。
(1) 木马的传统连接技术
一般木马都采用C/S运行模式,因此它分为两部分,即客户端和服务器端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端的木马程序就会自动运行,来应答客户端的请求,从而建立连接。
第一代和第二代木马都采用的是C/S连接方式,都属于客户端主动连接方式。服务器端的远程主机开放监听端口等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连
接请求,从而建立连接。
(2) 木马的反弹端口技术
随着防火墙技术的发展,它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接,第三代和第四代“反弹式”木马就是利用这个缺点,其服务器端程序主动放弃对外连接请求,再通过某些方式连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求,而客户端是被动的连接。
根据客户端IP地址是静态的还是动态的,反弹式端口连接可以有两种方式。
反弹端口连接方式一要求入侵者在设置服务器端的时候,指明客户端的IP地址和待连接端口,也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。所以这种方式只适用于客户端IP地址是静态的情况。
反弹端口连接方式二在连接建立过程中,入侵者利用一个“代理服务器”保存客户端的IP地址和待连接端口,在客户端的IP地址是动态的情况下,只要入侵者更新“代理服务”中存
放的IP地址预端口号,远程被入侵主机就可以通过先连接到“代理服务器”。查询最新木马客户端信息,再和入侵者(客户端)进行连接。因此,这种连接方式适用于客户端和服务器端都是动态IP地址的情况,况且还可以穿透更加严密的防火墙。
表6-1总结了反弹端口连接方式一和连接方式二的适用范围。
表6-1 反弹端口连接方式及其使用范围
反弹端口连接方式 | 使用范围 |
方式一 | 1. 客户端和服务器端都是独立IP。 2. 客户端独立IP,服务器端在局域网内。 3. 客户端和服务器端都在同一局域网内。 |
方式二 | 1. 客户端和服务器端都是独立IP。 2. 客户端独立IP,服务器端在局域网内。 |
(3) 线程插入技术
一个应用程序在运行之后,都会在系统中产生一个进程,同时每个进程分别对应另一个不同的进程标识符(PID)。系统会分配一个虚拟的内存空间地址端给这个进程,一切相关的程序操作,都会在这个虚拟的空间进行。一个进程可以对应一个或多个线程,线程之间可以同步执行。一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。“线程插入”技术就是利用了线程之间运行的相对独立性,使木马完全的融进了系统的内核。这种技术把木马程序作为一个线程,把自身插入其他应用程序的地址空间。而这个被插入的应用程序对系统来说,是一个正常的程序,这样就达到了彻底隐藏的效果。系统运行时会有许多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。
1. 实验软硬件环境
两台运行Windows 2000/XP的计算机,通过网络连接。使用“冰河”木马作为联系工具。
2. 实验步骤和方法
1、使用“冰河”对远程计算机进行控制
“冰河”一般由两个文件组成:G_Client和G_Server。其中G_Server是木马的服务器端,即用来植入目标主机的程序,G_Client是木马的客户端,就是木马的控制端。
打开控制端G_Client,弹出“冰河”的主界面,熟悉快捷工具栏。
2、在一台目标主机上植入木马并在此主机上运行G_Sere\ver,作为服务器端;在另一台主机上运行G_Client.作为控制端。打开控制端程序,单击“添加主机”按钮。弹出如图2-1所示的对话框:
tpm管理
图2-1 添加计算机
“显示名称”:填入显示在主界面的名称。
“主机地址”:填入服务器端主机的IP地址。
“访问口令”:填入每次访问主机的密码,“空”即可。
“监听端口”:“冰河”默认监听端口是7626,控制端可以修改它以绕过防火墙。单击“确定”可以看到主机面上添加了test的主机,如图2-2,就表明连接成功。
图2-2 添加test主机
单击test主机名,如果连接成功,则会显示服务器端主机上的盘符。这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。
“冰河”大部分功能都是在“命令控制台”实现的,单击“命令控制台”弹出命令控制界面,如图2-3所示:
图2-3 命令控制台界面
展开命令控制台 ,分为“口令类命令”、“注册表读表”、“设置类命令”。
(1)口令命令类:
① “系统信息及口令“:可以查看远程主机的系统信息、开机口令、缓存口令等。
② “历史口令”:可以查看远程主机以往使用的口令。
③ “击键记录”:启动键盘记录以后,可以记录远程主机用户击键记录,以此可以分析出远程主机的各种帐号和口令或各种秘密信息。
(2)控制类命令
捕获屏幕”:这个功能可以使控制端使用者查看远程主机的屏幕,好像远程主机就在自己面前一样,这样更有利于窃取各种信息。单击“查看屏幕”,弹出远程主机界面。
“发送信息”:这个功能可以使你向远程计算机发送Windows标准的各种信息。
“进程管理”:这个功能可以使控制者查看远程主机上所有的进程。
“窗口管理”:这个功能可以使远程主机上的窗口进行刷新、最大化、最小化、激活、隐藏等操作。
“系统管理”:该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。
“其他控制”:该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、注册表锁定等操作。
(3)网络类命令:
①“创建共享”:在远程主机上创建自己的共享。
②“删除共享”:在远程主机上删除某个特定的共享。
③“网络信息”:查看远程主机上的共享信息,单击“查看共享”可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。
⑷文件类命令:展开文件类命令、文件浏览、文件查、文件压缩、文件删除、文件打开等菜单可以查看、查、压缩、删除、打开远程主机上的某个文件。目录增删、目录复制、主键增删、主键复制的功能。
注册表读写:提供了键值读取,键值写入,键值重命名、主键浏览、主键删除、主键复制的功能。
设置类命令:提供了更换墙纸、更改计算机名、服务器端配置的功能。
3、删除冰河木马
删除冰河木马主要有以下几种方法:
教师节写给老师的信1 客户端的自动卸载功能,而实际情况中木马客户端不可能为木马服务器自动卸载木马。
2 手动卸载:查看注册表,在“开始”中运行regedit,打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CruuentVersion\run.
在目录中发现一个默认的键值:C:\WINNT\,这个就是冰河木马在注册表中加入的键值,将它删除。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论