实验五 灰鸽子远程控制.doc

计算机网络安全实验指导书实验五 灰鸽子远程控制1、实验背景 灰鸽子远程监控软件分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载。 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。值得注意的是，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项)，每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。2、实验目的1、课前预习灰鸽子病毒原理及其远程控制基本原理。2、掌握远程控制攻击技术的原理。3、学会使用常见的远程控制工具。4、学习掌握远程文件控制、远程进程查看、远程系统信息查看、远程注册表信息查看 、远程监控、远程捕获屏幕、远程屏幕控制。3、实验所需设备 网络：局域网环境。 远程计算机 操作系统：Windows XP Server 软件：运行了灰鸽子 牵手 2004 服务器端程序（setup.exe）。 本地计算机 操作系统：Windows XP主机 软件：灰鸽子 牵手 2004。4、实验拓扑 无5 、实验步骤1、远程主机上的服务端配置 运行实验工具目录下的。 点击按钮，或者选择文件菜单项中的配置服务端程序。 在连接类型下选定主动连接型，填入“监听端口”和“备用端口”。在安装信息下填入连接密码，并选择对安装文件的处置方式。图示中我们输入了密码123456，选择了”自动删除安装文件”。 “提示信息”“启动项目”“邮件通知”“代理服务”“绑定文件”我们都由系统默认。 在安装信息下填入连接密码，并选择对安装文件的处置方式。图示中我们输入了密码123456，选择了”自动删除安装文件”。 “提示信息”“启动项目”“邮件通知”“代理服务”“绑定文件”我们都由系统默认。 在”保存路径”填入地址C:Setup.exe，点击。 在C:下执行。此时已在远程主机上安装服务器成功 2、客户端控制运行实验工具目录下的。 在主界面点。 填入远程主机IP及密码 或者直接在主界面”当前连接”、”端口”、”连接密码”中填入填入远程主机IP、端口、连接密码，如下图。在主界面文件管理器选项卡左侧的列表中点击选中所添加的目标主机（192.168.123.90）节点，观察在右侧文件树中是否能够查看到目标服务器上的驱动器列表。 在文件管理器中展开目标服务器的节点，在右边的文件列表中找到以下文件C:ServerDatatest.txt，将其下载到本地计算机。请将该文件的内容导入到实验报告中。 切换到远程控制命令选项卡，先点左下角”查看进程”，再点右侧。 请将所看到的界面截获并复制到实验报告。 切换到远程控制命令选项卡，先点左下角”系统信息”，再点右侧。 请将所看到的界面截获并复制到实验报告。 切换到”注册表模拟器”选项卡，先点左侧”远程电脑”，再点HKEY-LOCAL-MACHINE-SAM-SAM。请将所看到的界面截获并复制到实验报告。 切换到远程监控选项卡，在右侧 中”信息正文”对应框内填入”灰鸽子远程监控实验”，然后点按钮，服务端主机屏幕将出现一个含有你刚才所填内容的对话框，再点，请将所看到的预览对话框截图并复制到实验报告。 在主界面点，请将所捕获的界面截图并复制到实验报告。 在主界面点，并捕获的屏幕中打开”我的电脑”，请将