《网络安全》实验指导书20111new.doc

网络安全实验指导书 适用班级：信B0971-72 任课教师：倪敏 目 录实验一 硬盘数据恢复工具的使用3实验二 文档密码破解4实验三 服务器的安全配置5实验四 用C语言编程实现凯撒密码加密13实验五 PGP软件的使用15实验六 扫描器的使用20实验七 PKI与证书服务应用25实验八 冰河木马的使用28实验九 宏病毒分析及清除31实验十 Web恶意代码实验36实验十一 嗅探器的使用38实验一 硬盘数据恢复工具的使用实验目的:掌握一种硬盘数据恢复工具的使用方法。实验设备:连入Internet的计算机一台所用软件：实验步骤:1.新建任意一个文档,然后按shift+delete永久删除。2.到网上搜索一款硬盘数据恢复软件，看其说明学会使用。3.利用你所搜索的软件对你删除的文件进行恢复。4.将实验过程详细写入实验报告，实验成功。推荐使用:1. FinalData2. EasyRecovery实验二 文档密码破解实验目的:掌握一种文档密码破解工具的使用方法。实验设备:连入Internet的计算机一台实验步骤:1.新建一个WORD文档并对其加密。工具-选项-安全性2.从网上下载任一款WORD文档密码破解软件，查看其使用方法。(注明所用软件名称)3.利用你所搜索的软件对你的WORD文档进行解密。（解密过程请详细记录）4.顺利打开你所破解后的WORD文档，实验成功。推荐软件：office password remover附：解除PDF文档的加密保护：1.从网上下载任一款解除PDF文档加密保护的软件，对你的PDF文档进行解密。推荐软件：PDF2Word，PDFpasswordremover。实验三 服务器的安全配置实验目的:掌握Windows 2000 Server不同级别的安全配置方案。实验环境:Windows 2000 Server网络系统实验步骤:实验目的:掌握Windows 2000 Server不同级别的安全配置方案。实验环境:Windows 2000 Server网络系统实验步骤:1 初级安全配置。（1） 停用Guest帐号。任何时候都不允许Guest帐号登录系统。为了保险起见，最好给Guest 加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。用它作为Guest帐号的密码。（2） 限制用户数量。通常帐号的数量不要超过10个。去掉所有的测试帐号、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐号，删除已经不使用的帐号。（3） 管理员帐号改名。由于大家都熟悉Administrator帐号，所以容易给尝试猜口令的攻击者提供机会，将其伪装成普通用户可以相对减少被攻击的风险。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了。（4） 陷阱帐号。创建一个administrator帐户，将其放到guest组中,该帐户没有任何权限。并设置长而复杂的密码（如：32位的数字字符符号密码），设置用户不能更改密码。让入侵者在此花费无用的时间，以发现入侵者的企图。（5） 更改默认权限。把共享文件的权限从“Everyone”组改成“授权用户”。因为默认状态下“Everyone”组具有“完全控制”权限，这是相当危险的。（6） 安全密码。密码要符合一定的复杂度，尽量选择一些无意义的字符组合，并有一定的长度。这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。数字+字符+符号。2 中级安全配置。（1） 利用Windows 2000的安全配置工具可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如图所示。可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。其中安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。表中的这些审核是必须开启的，其他的可以根据需要增加。策略设置审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败开启审核策略，可以在“本地安全设置”窗口中双击审核列表的某一项，然后在设置对话框中，将复选框“成功”和“失败”选中即可实现。开启密码策略策略设置密码复杂性要求启用密码长度最小值8位密码最长存留期42天强制密码历史5个开启帐户策略。开启帐户策略可以有效的防止字典式攻击，设置如表所示。策略设置复位帐户锁定计数器30分钟帐户锁定时间30分钟帐户锁定阈值5次（2） 关闭不必要的服务,如下表所示。在默认情况下，Windows 2000的许多服务都是开启的，这为恶意程序的运行创造了方便条件，所以有必要关闭不必要的服务。方法是：在“计算机管理”中选择“服务和应用程序”，然后在“服务”中的服务列表中找到想关闭的服务，单击鼠标右键，选择“停止”即可关闭该项服务。服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IPSEC Policy Agent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序Distributed Link Tracking Client当文件在网络域的NTFS卷中移动时发送通知Com+ Event System提供事件的自动发布到订阅COM组件（3） 关闭不必要的端口。“网上邻居属性本地连接属性Internet 协议属性高级选项TCP/IP筛选属性”， 在出现的“TCP/IP筛选”对话框中添加需要的TCP、UDP端口以及IP协议即可。常用的TCP口有:80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口用于POP3(邮件服务)。 常用的UDP端口有:53口-DNS域名解析服务；161口-SNMP简单的网络管理协议；8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。 （4） 不显示上次登录名。默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的帐户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表（打开注册表编辑器：开始运行regedit）可以禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，将键值改成“1”。 如果没有的话，创建一个。3 高级安全配置。（1） 关闭默认共享。Windows 2000/XP/2003版本的操作系统提供了默认共享功能，这些默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D$，E$）和系统目录Winnt或Windows（admin$）。右键“停止共享”法：到“计算机管理”窗口中某个共享项（比如H$）上右键单击，选择“停止共享” 并确认后就会关闭这个共享。但这种方法治标不治本，如果机器重启的话，这些共享又会恢复。此法比较适合于永不关闭的服务器，简单而且有效。 批处理自启动法 ：打开记事本，输入以下内容（每行最后要回车）：net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /deletenet share e$ /delete（你有几个硬盘分区就写几行这样的命令）。保存为NetShare.bat，然后把这个批处理文件拖到“程序”“启动”项，这样每次开机就会运行它，也就是通过net命令关闭共享。注册表改键值法：“开始”“运行”输入“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。本法必须重启机器，但一经改动就会永远停止共享。停止服务法：“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为services），找到后双击它，在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮，确认。（2） 禁用Dump文件。在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等。需要禁止它，打开控制面板系统属性高级启动和故障恢复，把写入调试信息改成无，如下图所示。 （3） 关机时清除文件。页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清除页面文件，可以编辑注册表 修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEMCurrentControlSetControlSession ManagerMemory Management把ClearPageFileAtShutdown的值设置成“1”。（4） 锁住注册表。在Windows2000中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键SoftwaremicrosoftwindowscurrentversionPoliciessystem 把DisableRegistryTools的值改为“0”，类型为DWORD。（5） 禁止判断主机类型。黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如TTL值为128就可以认为你的系统为Windows 2000，如下图所示。操作系统类型TTL返回值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS新建一个双字节项(defaultTTL)。（6） 禁止Guest访问日志。在默认安装的Windows NT和Windows 2000中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。禁止Guest访问应用日志。在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为：RestrictGuestAccess ，类型为：DWORD，将值设置为“1”。禁止访问系统日志：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为“1”。禁止访问安全日志：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为“1”。实验四 用C语言编程实现凯撒密码加密实验目的:通过C语言编程掌握凯撒密码加密原理。所用软件：TC2.0实验内容：为了使电报保密，往往按一定规律将其转换成密码。根据凯撒密码加密原理，已知明文电报，编写一段程序，按照凯撒加密规律将明文电报变为密文。其中，密钥k4。实验步骤:1.打开C语言环境。2.用C语言编程实现凯撒密码加密。输入程序如下：#include main()char c;while (c=getchar()!=n)if (c=a&c=A&cZ&cz)c=c-26;printf(%c,c);3.用明文测试程序是否正确。4.将程序及运行结果写入实验报告。注意事项：C路径设置问题：解压TC.0后，在编译连接时出现找不到 stdio.h、conio.h等include文件或者unable to open file：c0s.obj 的解决方法： 将压缩包解压到:，（这时在盘里会直接看到turboc2，即turboc2）。 打开turboc2，新建一个文件夹取名为output。 运行TC，选主菜单Options Directories回车，Include directories:C:TURBOC2 INCLUDELibrary directories:C:TURBOC2 LIBOutput directories:C:TURBOC2OUTPUT (第步建的文件夹，解决unable to open file：c0s.obj问题 ）其他的选项使用默认的。 设置好后，按键，在主菜单Options下Save Options保存路径设置，否则以后还是会出错或每次都要重新设置路径.。 最后看下File中的Change dir里的路径是不是:TURBOC2 ，如果是，退出。 如果解压在其他盘，与是一样的改法，把上面的改成解压到的盘符。快捷方式：编译和连接F9运行Ctrl+F9ASC码:A65,Z-90a97,z122实验五 PGP软件的使用实验目的:掌握PGP软件的使用方法，对加密理论知识加深理解。掌握使用PGP软件发送安全电子邮件的方法。实验设备:连入Internet的计算机一台所用软件：实验步骤:1.到网上搜索PGP软件，下载。2.下载安装PGP后，重新启动。重启后会让你输入姓名，单位和序列号，我们不是付费用户，点“later”。接下来进行一些个人信息以及PGP简单配置。3.启动PGP后，在任务栏生成一个小锁图标。点击小锁，弹出的菜单中选择“PGPMail”,出现一个程序栏。4.生成密钥：使用PGP之前，首先需要生成一对密钥。“PGPKeys”-“Keys”-“New Key”, 开始生成密钥。出现密钥生成向导对话框。第一步，PGP会提示这个向导的目的是生成一对密钥，你可以用它来加密文件或对数字文件进行签名。第二步，如果你要选择密钥的位数或者选择其他加密算法，点击“expert”高级选项，PGP会要求你输入全名和邮件地址。虽然真实的姓名不是必须的，但是输入一个你的朋友看得懂的名字，最好能让别人一下就认出你来，会使他们在加密时很快找到想要的密钥。选择一种加密类型。指定密钥的长度。通常来说位数越大被解密的可能性越小就越安全，但是在执行解密和加密时会需要更多的时间，一般2048位就ok了。 PGP会问你密钥的过期日期，可以选择从不过期或者指定一个日期作为过期的界限。否则就按“下一步”。第三步，请重复输入你的密码Passphrase。这个密码是对你的私钥进行加密，平时私钥是不公开的，万一别人拿到了你的私钥，没有这个密码，他也没办法使用。建议你的密码大于8位，并且最好包括大小写、空格、数字、标点符号等，为了方便记忆你可以用一句话作为你的密钥，如Amy is 12 years old.等。边上的“Hide Typing”指示是否显示键入的密码。（Passphrase口令，密码短语, 在功能上，passphrase同密码一样，只是长度较密码长。通常passphrase使用4到5个单词取代原来数字、字母结合的方式）第四步，接下来PGP会花一点点时间来生成你的密钥，一直“下一步”就可以完成了。想废除密钥时，选取Revoke即可。5.导出并发送公钥：把公钥作为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全通信的联系人。用菜单keysEmport 将你的密钥导出为扩展名为asc或txt的文件，将它发给你的朋友们。默认的参数是只导出公钥。（对方则用keysimport导入）公钥导出之后，接下来就发送给需要跟你进行安全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过，由于在传送的过程公钥是没有采用安全机制传送，因此存在公钥被人窃取的可能。为了更加安全，双方可以根据环境选择一个比较安全的环境来传送公钥。我们可以互相通过Email传送公钥，例如，用户A和用户B要互相通信，则A需要把自己的公钥传递给B，而B需要把自己的公钥传递给A。6.数字签名：由于公钥是发放给其他人使用的，那么在公钥发放的过程中，存在公钥被人替换的可能。此时，若有一个人对此公钥是否真正属于某个用户的公钥做出证明，那么该公钥的可信任度就比较高。如果A很熟悉B，并且能断定某公钥是B的，并没有人把该公钥替换或者篡改的话，那么可以对B的公钥进行数字签名，以自己的名义保证B的公钥的真实性。具体操作为：运行“开始”“PGP”“PGPKeys”，选中要进行签名的公钥，然后右键，选择“Sign”进行签名。此时，选择该用户的公钥，并且选中“Allowsignaturetobeexported.Othersmayrelyuponyoursignature（允许该签名被导出，其他人可以信任你的签名的真实性）”，点击“OK”。 输入私钥的密码，点击“OK”。这样，对公钥的签字就完成了。如果希望发出的信件或者文件不被冒名或篡改，我们也可以对文件进行签名和加密。操作如下：选择要进行签名的文件，点击右键，选择“sign”。要注意的是，对文件签名只能证明是你发出该文件，但是文件的内容并没有被加密，同时，进行数字签名时，在意的是表明该文件是从自己这里发出，因此对于文件的内容并不在意被别人看到，经过数字签名的文件要同原明文文件一同发送给对方，对方才能验证数字签名是否有效。如果同时要表明文件从自己这里发出，同时又要对文件的信息保密，那么就选择“签名与加密”选项Encrypt&sign。同样的，在选择密钥的对话框中，从对话框上部的密钥列表中，选择接收文件的用户拖到对话框的下部，点击“OK”。 确定接收人后，输入私钥的密码，进行数字签名或数字签名和加密。收件人使用你的公钥验证签名。签名文件后，将增加一个后缀是sig文件，文件名与你签名的文件名相同，你要同时发布这两个文件，别人才能校验你发布的文件是否被改过了。7.加密与解密：加密：有了对方的公钥之后就可以用对方公钥对文件进行加密，然后再传送给对方。具体操作如下：选中要加密的文件，右键，然后选择“PGP”-“Encrypt”（或者点击“Encrypt”图标，出现选择所加密文件对话框，选择文件所在位置）。 然后在密钥选择对话框中，选择要接受文件的接收者。注意，用户所持有的密钥全部列出在对话框的上部分，选择要接收文件人的公钥，将其公钥拖到对话框的下部分（recipients），点击“OK”，并且为加密文件设置保存路径和文件名。加密文件后，将生成一个新的文件，后缀是pgp。此时，你就可以把该加密文件传送给对方。解密：对方接收到该加密文件后，选中该文件，右键，选择“Decrypt&verify”(或者点击“Decrypt/Verify”图标,弹出文件选择对话框，选择所要解密的文件之后) 此时，要求输入私钥的密码，输入完后，按“OK”即可。接下来，要为已经解密的明文文件设置保存路径文件名。保存后，明文就可以被直接查看了。使用PGP软件发送安全电子邮件：1.分发PGP公钥并发送PGP加密邮件分发PGP公钥：方法一：打开PGPkeys，在你创建的密钥对上点右键，选择“发送到”-“邮件接收人”寄给对方PGP公钥。如果系统默认是采用Outlook来收发邮件的话，将会开启Outlook并附加了你的公钥，填入对方的邮件地址，对方在收到此公钥后就能和你进行PGP加密通信了。方法二：单击显示有你刚才创建的用户那里，再在上面点右键，选“Export（导出）”（也可以点击紫色的磁盘图标实现此功能），在出现的保存对话框中，确认是只选中了“Include 6.0 Extensions”（包含6.0公钥），然后选择一个目录，再点“保存”按钮，即可导出你的公钥，扩展名为.asc。在你收到对方PGP公钥的时候，把附件*.asc导入到你PGPkey里面。导入过程：导入公钥：直接点击（根据系统设置不同，单击或者双击）对方发给你的扩展名为.asc的公钥，将会出现选择公钥的窗口，在这里你能看到该公钥的基本属性，如有效性、创建时间，信任度等，便于了解是否应该导入此公钥。选好后，点击“Import（导入）”按钮，即可导入进PGP。设置公钥属性：接下来打开PGPkeys，就能在密钥列表里看到刚才导入的密钥，选中他，点右键，选Key Properties（密钥属性），这里能查看到该密钥的全部信息，如是否是有效的密钥，是否可信任等，在这里，关闭此对话框，然后在该密钥上点右键，选Sign（签名），在出现的PGP Sign Key（PGP密钥签名）对话框中，点“OK”按钮，会出现要求为该公钥输入Passphrase的对话框，这时你就得输入你设置用户时的那个密码短语，然后继续点“OK”按钮。即完成签名操作，查看密码列表里该公钥的属性，应该在“Validity（有效性）”栏显示为绿色，表示该密钥有效。然后再点右键，选Key Properties（密钥属性），将Untrusted（不信任的）处的滑块拉到Trusted（信任的），再点“关闭”按钮即可，这时再看密钥列表里的那个公钥，Trust（信任度）处就不再是灰色了，说明这个公钥被PGP加密系统正式接受，可以投入使用了。发送PGP加密邮件：方法一：发送：在OE中，如果安装了PGPmail for OutLook Express的插件，我们可以看到PGPmail加载到了OE的工具栏里, OE创建新邮件时，检查工具栏“加密信息(PGP)”和“签名信息(PGP)”按钮状态是否按下，当书写完纯文本的加密邮件时，填入对方Email地址。点击发送，这时PGPmail将会对其使用主密钥和对方公钥进行加密，加密后的邮件也只能由你和对方才能使用自己的私钥进行解密。PGPkey会在服务器上查找相应的公钥，以免对方更新密钥而造成无法收取邮件信息。点击取消，弹出Recipient Selection接收者选择窗口，从上方的列表中用鼠标进行双击添加到下面的接收者列表里面。点击OK，就可以发送通过PGP加密的邮件。接收：连接服务器并使用Outlook收取PGP加密邮件，打开时，看到的是乱码(PGP加密后的信息),这时，我们在任务栏点击PGP图标，在弹出的菜单中点击“当前窗口”-“解密&效验”，在弹出的窗口中输入你设定的密钥密码。将会成功解密邮件信息，并弹出文本查看器窗口，这个时候我们已经看到解密后的信息了。方法二：发送：在OE中，如果未安装PGPmail for OutLook Express的插件，在准备发送PGP加密邮件之前,要先打开开始所有程序PGPPGPmail 菜单。然后打开outlook express 程序。点击创建邮件按钮.在收件人地址栏输入收件人地址及主题。选中邮件内容中的全部信息。点击鼠标右键，在弹出的菜单上看到剪切字样。点击剪切菜单后,再点击PGPmail 菜单从左数第四个按钮:(Encrypt and Sign) 。点击对话框中的Clipboard按钮。将接收文件的用户拉到Recipients区域中。点击OK按钮。在下面的Enter passphrase for above key: 输入框中输入发件人的KEY 密码，然后点击OK按钮。在贴贴板的邮件正文内容已经被经过加密,然后切换到outlook express邮件画面。在邮件的正文输入框中点击鼠标左键.然后点击上图中的粘贴按钮。看到的邮件正文已经被加密成乱码的的形式.然后点击发送按钮.这一封加密的邮件就可以成功的发送了。 接收：收件人收到邮件后，全选邮件内容,然后点击鼠标右键，点击复制，此时加密的邮件内容已经进入粘贴板中.然后在他的电脑中打开他的PGPmail程序。点击按钮:(解密/校检)。点击Clipboard按钮。只有收件人本人才拥有私钥,根据提示，在Enter passphrase for you private key的输入框中输入密码，点击OK按钮。看到邮件已经解密成功.点击复制到剪贴板(C)按钮.将邮件内容复制到粘贴板中.点击收到的邮件的回复按钮,邮件正文框点击鼠标左键.然后点击粘贴按钮.邮件正文就被还原了.方法三：发送：很多时候我们会以附件形式寄出邮件，这个时候，打开PGPmail，在PGPmail窗口中，按下“加密”，然后选择需要加密的文件，确定后在弹出的“PGPmail-密码选择对话框”中，选择你所需要使用的公钥进行加密。在Outlook中我们加入此加密文件作为附件寄出就可以了。接收：如果含有加密附件时，下载回来在本地打开，“解密&效验”，在窗口中，输入相应的密码，即可对文件进行解密并保存。实验六 扫描器的使用实验目的:掌握扫描器的使用方法。利用扫描器发现系统漏洞。实验设备:连入Internet的计算机一台所用软件：实验步骤:一、扫描器 X-Scan的使用：1.下载并解压X-Scan。2.扫描本地主机：（1）IP地址为localhost,指定后开始扫描。（2）查看扫描结果并分析。扫描结束后，窗口中显示扫描结果。扫描结束后，得到本机普通信息、漏洞信息和HTML格式的扫描报告。分析扫描报告，能够得到非常有价值的信息。3.扫描局域网内指定服务器：（1）指定服务器IP，在指定IP范围处输入服务器IP地址，确定后开始扫描。（2）查看扫描结果并分析。（在扫描报告中，我们可以看到服务器开放了哪些端口，这些端口的开放本身就存在安全隐患，解决方案中根据问题编号，我们可以链接参考网站，从这些地方中得到对付漏洞的帮助。）4.扫描指定网段：除了对指定主机进行扫描外，还可以对指定网络范围内的多台主机进行扫描。（1）指定扫描范围。（2）查看扫描结果并分析。5.得到扫描结果后，到网上查找具体与漏洞相关的详细信息，分析系统漏洞可能带来的安全威胁，并根据具体漏洞，采取防范攻击的措施。（选做）6.总结使用X-Scan可以快速扫描你的计算机上面存在的安全漏洞，以及可以快速的了解安全漏洞的处理方法。很多表面上看起来安全的问题我们都可以及时的反映出问题，方便管理人员快速的解决安全漏洞。但是，由于X-Scan本身出发点是为HACK攻击所使用的扫描器，所以，我们在使用的同时，HACKER们也可能使用X-Scan在扫描你的服务器和计算机。那么，我们就要加强本地网络的安全性了。二、SSS扫描器的使用：1.安装并使用安全测试评估工具Shadow Security Scanner；2.使用Shadow Security Scanner对局域网的特定主机进行网络安全检测：(1)将两台个人计算机安装在同一个局域网内，分别作为个人使用主机0和被测试主机0。(2)配置被测试主机0，安装windows2K+sp4操作系统，不安装防火墙。(3)配置个人使用主机0，安装安全测试评估工具Shadows Security Scanner。(4)启动shadows security scanner系统，选择scanner功能。(5)配置scanner的扫描规则，确定为完全扫描。将被测试主机的IP地址0添加到扫描列表中，然后启动扫描。3.分析并撰写安全评估报告，及安全加固措施：扫描测试完后，分析测试报告，提交测试主机所有开放的服务信息，以及具有中、高级以上危险度的安全漏洞列表和相应补救措施。实验数据及结果分析：(1)测试主机0中具有FTP若口令安全漏洞，等级为中；(2)测试主机0中具有帐号为test的空口令安全漏洞，等级为高；(3)测试主机0中具有RPC远程缓冲区溢出漏洞，等级为高；实验结论： 该测试主机0具有严重的安全漏洞，可以允许远程攻击者取得对该主机具有管理员级别的完全控制权。通过设置帐号口令、安全漏洞补丁程序可以修复存在的安全漏洞。实验七 PKI与证书服务应用实验目的:掌握证书服务安全配置。掌握在WEB服务器上配置SSL 。实验环境:Windows 2000 Server ，IIS 服务(端口必须为80)。实验步骤:1.安装CA中心（证书颁发机构）：单击“开始”，“添加/删除程序”，单击“添加/删除Windows组件”。选择“证书服务”。下一步中，安装需要指出服务器授权的类型，一般选择第一项（或第三项），一般如果没有安装AD活动目录的话选择第三项：独立的根。然后在下一步中给自己的CA起一个名字。然后，需要指定共享文件夹，这作为证书服务的配置数据存储位置，单击“下一步”，安装完毕。注意：自己建立CA 机构时，所给CA机构起的名是自己定义的，在客户端的IE中，在一开始并不属于客户端信任的根证书颁发机构，如果，客户端没有把该CA机构加为自己所信任的根证书颁发机构，那么在客户端访问该服务器上的网站时，会出现安全警告信息。这也是为什么我们访问一些HTTPS网站要出现安全警告信息的原因。2.在WEB服务器上设置SSL: (1) 生成证书申请（在WEB服务器上操作）。在IIS信息服务中，选择你要保护的站点。注意：你的站点的IP地址请使用指定的IP地址，不要使用“（全部未分配）”，比如我的指定地址为10。然后，到“目录安全性”页面，按“服务器证书”按钮，调出向导，依次选择“创建一个新证书”-“现在准备请求，但稍候发送” -“选选择1024位长” -在为证书请求输入一个文件名的地方，输入一个txt文件名-完成。到此，我们就已经为此站点生成了一个公钥，放到txt文件中了。(2) 提交用户申请（用WEB方式提交base64位编码申请文件）。打开IE，在地址栏中输入http:/localhost/certsrv，选择“申请证书”-“高级申请”-“使用 base64 编码的 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件更新证书申请”-打开你刚才生成的txt文件，内容全选，复制后，粘贴到“Base64编码”的框中，提交，申请成功。(3) 颁发证书（在CA根证书服务器上操作） 。打开管理工具中的“证书颁发机构”，在“待定申请”中，就有了我们刚才提交的申请，用鼠标右键单击，“所有任务”，“颁发”即可。你可以到“颁发的证书”中看到我们的证书已经存在了。接着点击 “颁发的证书”目录，打开刚刚颁发成功的证书，在 “证书”对话框中切换到“详细信息”标签页。点击“复制到文件”按钮，弹出证书导出对话框，一路下一步，在“要导出的文件”栏中指定文件名，如保存证书路径为“c:/dengpc.cer”，最后点击“完成”。(4) 下载64位base证书并安装 。打开IIS信息服务，选择刚才的Web站点，“属性”，“目录安全性”，“服务器证书”，第一项，安装证书，下一步，选择c:/dengpc.cer，下一步，完成安装证书。然后到“Web 站点”页面，在SSL端口中输入443。验证：打开IE，发现在地址栏中输入10可以访问的站点。通过以上步骤，现在成功的在IIS5.0上面布置了SSL。(5) 下载根证书并安装至“受信任的根证书颁发机构”- 本地计算机 - 启用SSL - 要求客户端证书。 利用SSL加强客户端访问验证如果在HTTPS访问下要求客户端验证，请在客户证书中选择“申请客户证书”，这样没有客户证书的客户将不再允许访问。选择启用证书信任列表，将阻止证书被吊销的客户访问。确定。 打开IE，在地址栏中输入http:/certsrv，选择“申请证书”-“用户证书申请”&“Web浏览证书”-输入客户的信息，提交。然后管理员在“证书颁发机构”中颁发证书，用户在来到http:/ /certsrv中“检查挂起的申请”，把证书安装到他自己的机器上，即可以通过SSL安全的访问我们的Web站点。实验八 冰河木马的使用实验目的:1.掌握冰河木马的使用方法。2.掌握木马的传播和运行机制，通过相关技巧学会防御木马的相关知识。实验设备:两台安装Windows 2000/2003/XP或更高级别的Windows操作系统的主机。所用软件：G_Server.exe,G_Client.exe（服务器端指被控制端，客户端指控制端。）实验步骤:1. 在DOS状态下采用netstat-an观察木马服务器运行前服务器端计算机上网络连接情况。可以看到7626端口没有开放。2. 关闭两台计算机上的防火墙和杀毒软件。（冰河木马是比较早出现的木马软件，一般的杀毒软件都可以清除它）3. 在服务器计算机上运行服务器程序G_Server.exe。4. 观察木马服务器端的网络连接情况，可以看到7626端口已经开放，说明已经成功在服务器端安装了木马。5. 在客户端打开G_Client.exe。6. 单击控制端工具栏中的“添加主机”，填写显示名称和服务器端IP地址。7. 单击控制端工具栏中的“冰河信使”，向服务器端发送消息。8. 单击“命令控制台”标签，对服务器端进行控制。9. 卸载冰河木马方法一：通过杀毒软件进行卸载。方法二：采用冰河的客户端进行卸载：控制类命令系统控制自动卸载冰河。方法三：手动卸载。（1）对系统注册表进行操作，删除开机要运行的木马项“kernel.exe”。开始运行regedit: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，删除“C:WINDOWSSYSTEMKERNEL32.EXE”和C:WINDOWSSYSTEMSYSEXPLR.EXE两项。（2）如果有进程软件，就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止；删除C:WINDOWSSYSTEMKERNEL32.EXE和C:WINDOWSSYSTEMSYSTEMSYSEXPLR.EXE（因为程序正在运行，无法删除，所以先要终止） 。如果没有进程软件，就重新启动到DOS窗口，删除（DEL）C:WINDOWSSYSTEMKERNEL32.EXE和C:WINDOWSSYSTEMSYSTEMSYSEXPLR.EXE。（3）修改冰河文件关联。在我的电脑的菜单栏“查看”“文件夹选项”“文件类型”，找到文本文件图标查看是否用C:WINDOWSNotepad.exe程序打开，如果不是，大概是冰河木马关联了文本文件！恢复方法一：在打开方式中选择C:WINDOWSNotepad.exe程序打开即可，用鼠标右键单击文本文件，在右键上选择打开方式，选择C:WINDOWSNotepad.exe，而且在“始终使用该程序打开这种类型的文件”前面的钩打开，确定即可。如果感染了EXE文件，恢复的办法，最最简单的方法就是恢复注册表，如果感染冰河在5天以内，可在DOS状态下用scanreg/restore命令恢复，时间长一点，导入以前备份的注册表。恢复方法二：修改注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值为C:WINDOWSnotepad.exe %1。10.预防：（1）不要执行任何来历不明的软件 对于从网上下载的软件在安装、使用前一定要用多几种反病毒软件，最好是专门查杀木马的软件进行检查，确定无毒了再执行、使用。（2）不要相信你的邮箱不会收到垃圾和带毒的邮件永远不要相信你的邮箱就不会收到垃圾和带毒的邮件，即使从没露过面的邮箱或是ISP邮箱，有些时候你永远没办法知道别人如何得知你的mail地址的。 （3）不要轻信他人不要因为是你的好朋友发来的软件就运行，因为你不能确保他的电脑上就不会有病毒，当然好朋友故意欺骗的可能性不大，但也许他（她）中了黑客程序自己还不知道！同时，网络发展到今天，你也不能保证这一定是你的朋友发给你的，因为别人也可冒名给你发邮件。（4）不要随便留下你的个人资料 特别不要在聊天室内公开你的Email地址。因为你永远不会知道是否有人会处心积虑收集起你的资料，以备将来黑你！更不要将重要口令和资料存放在上网的电脑里，以防黑客侵入你的电脑盗走你一切“值钱的东东”。 （5）网上不要得罪人 在聊天时，永远不要以为网络上谁也不认识谁就出言不逊，这样会不小心得罪某些高人，到时找你开刀。（6）不要随便下载软件 特别是不可靠的小FTP站点、公众新闻级、论坛或BBS上，因为这些地方正是新病毒发布的首选之地。（7）最好使用第三方邮件程序 如Foxmail等,不要使用Microsoft的Outlook程序，因为Outlook程序的安全漏洞实在太多了，况且Outlook也是那些黑客们首选攻击的对象，已经选好了许多攻击入口； （8）不要轻易打开广告邮件中附件或点击其中的链接 因为广告邮件也是那些黑客程序依附的重要对象，特别是其中的一些链接。（9）将windows资源管理器配置成始终显示扩展名 因为一些扩展名为：VBS、SHS、PIF的文件多为木马病毒的特征文件，更有些文件为又扩展名，那更应重点查看，一经发现要立即删除，千万不要打开，只有时时显示了文件的全名才能及时发现。 （10）尽量少用共享文件夹 如果因工作等其它原因必需设置成共享，则最好单独开一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要系统目录设置成共享！ （11）给电子邮件加密 为了确保你的邮件不被其它人看到，同时也为了防止黑客们的攻击，向大家推荐一款加密专家PGP，相信它一定不会让你失望的！ （12）隐藏IP地址这一点非常重要！你上网时最好用一些工具软件隐藏你的电脑的IP地址，如使用ICQ，就进入“ICQMenuSecurity&Privacy”，把“IPPublishing”下面的“DonotPublishIPaddress”选项上。 （13）运行反木马实时监控程序在上网时必需运行你的反木马实时监控程序，加外一些专业的最新杀毒软件、个人防火墙进行监控那更是放心了。（14）备份重要数据和系统文件。实验九 宏病毒分析及清除实验目的：1. 演示宏的编写2. 说明宏的原理及其安全漏洞和缺陷3. 理解宏病毒