木马攻击试验

1、木马攻击实验应用场景计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏.就像生物病毒一样, 计算机病毒有独特的复制水平.计算机病 毒可以很快地蔓延,又常常难以铲除.它们能把自身附着在各种类型 的文件上.当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来.这种程序不是独立存在的,它隐蔽在其他可 执行的程序之中,既有破坏性,又有传染性和潜伏性.轻那么影响机器 运行速度,使机器不能正常运行；重那么使机器处于瘫痪,会给用户带 来不可估量的损失.通常就把这种具有破坏作用的程序称为计算机病除复制水平外,某些计算机病毒还有

2、其它一些共同特性：一个被 污染的程序能够传送病毒载体.当你看到病毒载体似乎仅仅表现在文 字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动 或引发了其它类型的灾害.假设是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性 能.病毒往往会利用计算机操作系统的弱点进行传播, 提升系统的安 全性是防病毒的一个重要方面, 但完美的系统是不存在的, 过于强 调提升系统的平安性将使系统多数时间用于病毒检查, 系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和 抓住病毒之间无法选择.病毒与反病毒将作为一种技术对抗长期存 在,两种技术都将

3、随计算机技术的开展而得到长期的开展.“木马程序是目前比较流行的病毒文件,与一般的病毒不同,它 不会自我繁殖,也并不“刻意地去感染其他文件,它通过将自身伪装 吸引用户下载执行,向施种木马者提供翻开被种者电脑的门户, 使施 种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者 的电脑.它是指通过一段特定的程序木马程序来限制另一台计算机. 木马通常有两个可执行程序：一个是客户端,即限制端,另一个是服 务端,即被限制端.植入被种者电脑的是“效劳器局部,而所谓的“黑 客正是利用“限制器进入运行了 “效劳器的电脑.VM ServerVM Client实训目标：掌握木马攻击的原理；了解通过木马对被限制主机

4、的攻击过程了解典型的木马的破坏结果；实训环境: 虚拟机：Windows XP ,灰鸽子客户端软件Client为攻击端,Server为被攻击端实训过程指导：木马,全称为：特洛伊木马Trojan Horse.“特洛伊木马这一词最早出先在希腊神话传说中.相传在3000年前,在一次希腊战争中.麦尼劳斯人名派兵讨伐特洛伊王国,但久攻不下.他们想出了一个主意：首先他们假装被打败,然后留下一个木马.而 木马里面却藏着最强悍的勇士.最后等时间一到,木马里的勇士全部 冲出来把敌人打败了.这就是后来有名的“木马计一一把预谋的功能 隐藏在公开的功能里,掩饰真正的企图.计算机木马程序一般具有以下几个特征：1 .主程序

5、有两个,一个是效劳端,另一个是限制端.效劳端需要 在主机执行.2 .当限制端连接效劳端主机后,限制端会向效劳端主机发出命令. 而效劳端主机在接受命令后,会执行相应的任务.一般木马程序都是 隐蔽的进程,不易被用户发现.启动虚拟机,并设置虚拟机的IP地址,以虚拟机为目标主机进 行实验.个别实验学生可以以 2人一组的形式,互为攻击方和被攻 击方来做实验.1.木马制作1根据攻防实验制作灰鸽子木马,首先配置效劳程序.效劳器配置自动上线设置安装选项|启动项设置代理效劳|高级选项|a彳,安装路径;Q程序图标;$(bMnDir)Hacl(er .exe选择图标程序安装成功后提示安装后安装成功后自动删除安装发

6、r程序运行时在任务栏显示图保存路径;C：DQC5enK and Settings 生成效劳器2启动项配置效劳器配置金但自动上线设置安装选项|启动项设置代理效劳 高级选项|既J队晒8/2000/皿下写入注册表启动项7 Win2000/XP下优先安装成效劳总限显示名称：|GrayPigeon_Hacker. coil cn效劳名称 GrayPiaeon_Hacker. com. cn描述信息灰鸽子效劳端程序揖程监控治理保存路径;C APpciment s_ and Setti“交生成效劳器3在自动上线设置中填写本机的IP地址4在高级设置,选择使用浏览器进程启动,并生成效劳器程序.效劳器配置目动上线

7、设置 安装选项I启动项设置 代理效劳I高级选项I,使用1EXPL0RE.EXE进程启动效劳端程序 障藏效劳端进程.只支持Win2000&p系统说明：便用IEXFLORE. EXE进程后动只支持胃in2M0"F系统,«不加壳 使用UPX加于保存路径;C:Docujwnt翠and Setting：1 生成效劳器2.木马种植通过漏洞或溢出得到远程主机权限, 上传并运行灰鸽子木马,本地对植入灰鸽子的主机进行连接,看是否能连接灰鸽子.如无法获得远程主机权限可将生成的效劳器程序拷贝到远程主机并运行件治理器远程限制命令注册表编辑器命令播送文件目录浏览«+*我的电脑|-1

8、 0自动上线主机+ ,曼 192. 168. 1. 15-局域网对-尊192. 168. 1. 54-局域网国力+C :E -D ；由3 E：却符合工件主机3.木马分析塞出1叵iFii%ri向查看f信称大小字节修改日期L住将木马制作实验中产生的效劳器端程序在网络上的另外一台主机上1观察端口当灰鸽子的客户端效劳器启动之后,会发现本地灰鸽子客户端有主机上线,说明灰鸽子已经启动成功查看远程主机的开放端口如以下图,肉鸡192.168.1.54正在与本地192.168.1.15连接,表示肉鸡已经上线,可以对其进行限制成C:¥INDO¥Ssyst e>32c>d. exe1

9、- nhllTCPQ.Q.0.0:1350.0.0.0:0LISTENINGaTCP0.0.0.0:4450.0.0.0：0LISTENINGTCP&,&.0.0:80000.0.0.0：0LISTENINGTCP127.0.0.1:10310.0.0.0：0LISTENINGTCP192.168.1.15:1390.0.0.0：0LISTENINGTCP192.168.1.15:1167192.168.115:8000ESTABLISHEDTCP192.168.1.15:8000192.168.115:1162TIME_WAITTCP192.168.1.15:8000192.

10、168.115:1165TIME_WAITTCP192.168.1.15:8000192.168.115:1167ESTABLISHEDTCP192.168.1.15:8000192.168.154:34069TIME_WAITTCP192.168.1.15:8000192.168.154:35817TIME_WAITTCP192.168.1.15:8000192.168.154:35835ESTABLISHEDUDPQ.Q.0.0:445注*UDP&,&.0.0:500*UDPQ.Q.0.0:1025注*UDP&,&.0.0:4500*UDP127.0.0.1

11、:123注*UDP127.0.0.1:1026*UDP127.0.0.1:1900注*UDP192.168.1.15:123*UDP192.168.1.15:137注*UDP192.168.1.15:138*UDP192.168.1.15:1900注*P： bitsnc>2查看进程启动icesword检查开放进程,进程中多出了 IEXPLORE.exe 进程, 这个进程即为启动灰鸽子木马的进程,起到了隐藏灰鸽子自身程序的 目的.原| blocny908B73C2X文件转储插件外观帮助-X缪田进程：24进程映像名称功能进程端口flKe J£ 6s s a s11 '内楂模

12、块IEXFLDRE. EJIEa4HT OS KernelMT OS EtrnsL312C:Proer«n FilisInt«Mt EjtplflrtrMEXFLOEE.EXE3S8C ： f INBOWS sys I em32 #uaud t. 6He544C： WINBaWSfiyslam32smss. &ji608匚："WINE.能,与了与14加32七电632匚：TWINBOWS,t «n32i rd.mqtl *也6T&C:MlHratfSfiyslam32svices, ejte608匚：曾皿.将£上与F与1那么321

13、三3£三.wt电8S8匚：T*工NBDWf皂昨1加32运学山由三土一电k白952匚：IITDOWS sy£ t &ai32£vcho s t.电k电1012 C：%Ffo y am Fileerne t Esipl or er IEXPL0RE. EXE进程工口程序名称1040 C:iiniOWS syst Mh32svho 豕/也 insn r *TNrnws <tv<5i3查看效劳进入限制面板的“效劳'；增加了一个名为huigezi的效劳,该效劳为启动计算机时,灰鸽子的启动程序.常规登录,恢复依存关系效劳名称:Gr ayF i ge onHacker. coitl cn显不名称国Or ayFi. com. cnGrayPigcon Hacker- ca&- cn 的.属性本地计算机灰鸽子服冬端程序.远程监拄治理可执行文件的路径QD：C ： 'rVIHIOWSHackr, com, cn. exe启动类型：自动服药状态：已停止¥11智片1恢复加当从此处启动眼与时,您可指定所适用的启动参数口扇动车数皿:确定取消