南京邮电大学 木马攻防实验报告

实验报告（2007/2008学年第一学期）课程名称网络安全实验实验名称木马攻击与防范实验时间2013年12月日指导单位指导教师学生姓名班级学号学院(系)专业PAGE2实验报告实验名称木马攻击与防范指导教师实验类型设计实验学时8实验时间实验目的1. 本次实验为考核实验，需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容：(1) 构建一个具有漏洞的服务器，利用漏洞对服务器进行入侵或攻击；(2) 利用网络安全工具或设备对入侵与攻击进行检测；(3) 能有效的对漏洞进行修补，提高系统的安全性，避免同种攻击的威胁。2通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。二、实验要求负责利用网络工具进行网络攻击。每组独立设计完成实验，不能雷同。实验过程中以下三个阶段需上机演示给指导老师察看：完成网络攻击、检测到攻击、完成网络防范。完成实验报告，能解释在实验使用到的技术或工具的基本原理。三、实验环境使用实验室的PC机，局域网，Linux服务器，Windows服务器，防火墙，入侵检测系统等。四、实验设计方案、实验原理、实验过程及实验结果实验原理一般木马都采用c/s运行模式，原理是，木马服务器程序在主机目标上执行后，一般会打开一个默认端口进行监听，当客户端主动提出链接请求，服务器的木马就会自动运行，来应答客服端的请求，从而建立连接。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

一个完整的冰河木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。冰河木马程序不能自动操作，一个冰河木马程序是包含或者安装一个存心不良的程序的，它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。冰河木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，冰河木马才会运行，信息或文档才会被破坏和遗失。冰河木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。过程与步骤及结果一．攻击前的准备首先解压冰河木马程序包，里面有四个文件，如图：攻击前，我们首先要将服务器端发到我们要攻击的对象，可以对服务器端进行伪装，然后，我把服务器端发给了三台主机，等待对方接受并且已经运行服务器端，但如何确认他们是否运行？我们可以通过冰河客户端对局域网进行扫描。一、攻击入侵目标主机首先运行G_Client.exe，扫描主机。查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“10.20.148.100”至“10.20.148.170”网段的计算机，然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。从上图可以看出，搜索结果中，有的IP前都是ERR。地址前面的“ERR:”表示这台计算机无法控制，也就是没有被中木马的主机。而IP前面是“OK”表明：这台主机已经中木马了，也就是我们刚才发的服务器端被对方主机运行了，即成功入侵，我们可以对对方的主机进行控制了。如图：同时，为了避免所有使用本人主机的人都可以对中木马的主机进行操控，可以对服务器进行配置密码：358201当想对中木马的主机实施控制的时候，需要输入口令：成功锁定控制“10.20.148.157”这台主机：可以用冰河信使悄无声息的给对方发消息：还可以实施远程控制，以下便是对方的屏幕界面，他正在浏览网页：实施远程操控，使对方关机：当然，冰河木马不远指这些，它还有好多强大功能：实验小结（包括问题和解决方法、心得体会、应用网络安全原理对实验中的现象与问题进行解释等）对于计算机木马的概念，我们都还局限在很窄的层面，通过对冰河木马的学习并使用它完成本次实验，认识到木马是怎样侵入到我们的计算机并获得所需要的信息的。本次实验，我们是利用IPC$漏洞进行攻击的。不过，事实上，仅仅使用IPC$漏洞扫描器并不太容易找到存在漏洞可供植入病毒的主机，通过其他途径（下载运行隐藏病毒文件）更容易使远程主机中木马病毒。对木马病毒的防护建议：及时