网络实验四报告

1、实验4-木马病毒防1. 实验目的通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删 除木马，掌握检查木马和删除木马的技巧， 学会防御木马的相关知识，加深对木 马的平安防意识。2. 实验要求通过实验了解木马攻击的原理，了解如何防木马的入侵。3. 实验原理与容木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和 修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能 的后门程序。它隐藏在目标的计算机里，可以随计算机自动启动并在某一端口监 听来自控制端的控制信息。1、木马的特性木马程序为了实现某特殊功能，一般应该具有以下性质：1伪装性2隐藏性3破坏性4

2、窃密性2、木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普 通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX 与ASP CGI交互脚本的方式入侵，由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞又到上网者单击网页， 这样IE浏览器就会自动 执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵， 如微软的IIS效劳存在多种溢出漏洞，通过缓冲区溢出攻击程序造成IIS服 务器溢出，获得控制权县，然后在被攻的效劳器上安装并运行木马。3、木马的种类1

3、按照木马的开展历程，可以分为四个阶段：第一代木马是伪装型病毒， 第二代木马是网络传播型木马，第三代木马在连接方式上有了改良，第四代木马在进程隐藏方面作了较大改动。2按照功能分类，木马可以分为：破坏型木马，密码发送型木马，效劳 型木马，DOS攻击型木马，代理型木马，远程控制型木马。4、木马的工作原理下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。1木马的传统连接技术2木马的反弹端口技术3线程插入技术4. 实验环境两台运行Windows2000/XP的计算机，通过网络连接。使用“冰河木马作为联系工具。5. 实验容1、使用“冰河对远程计算机进行控制“冰河一般由两个文件组成：G_Client和

4、G_Server。其中G_Server是木 马的效劳器端，即用来植入目标主机的程序，G_Client是木马的客户端，就是木马的控制端。翻开控制端G_Client,弹出“冰河的主界面，熟悉快捷工具栏。退冰河V2.2 DARKSmi专阪文件世】编揖【囲设萱国 稻助【也塾艷罔99*+畳社的电腐 -囘匚：D.E.F-H:h件呂称 日 OD.E：曰卩：丈世扯寒节昼后更新时闫应用当前瘗接：亦応贏-.端口：匝西访问口令: B立件管理磊| ©命令控制台|mm田：审.s-.fr屛共有5亍对鸞2、在一台目标主机上植入木马并在此主机上运行G_Serever，作为效劳器端；在另一台主机上运行G_Client

5、.作为控制端。翻开控制端程序，单击“添加主机 按钮。弹出以下列图所示的对话框：“显示名称：填入显示在主界面的名称“主机地址：填入效劳器端主机的IP地址。“访问口令：填入每次访问主机的密码，“空即可。“监听端口 ： “冰河默认监听端口是7626,控制端可以修改它以绕过防火 墙。单击“确定可以看到主机面上添加了 test的主机，如以下列图所示，就说 明连接成功。单击test主机名，如果连接成功，那么会显示效劳器端主机上的盘符。这个 时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。比方可以翻开对方的SAM文件，如以下列图：文件管理器g蛭制台|J-JrHrm'-J-m mm-J +-S

6、-.+主+-+- ±|+-壬I+-'+s'-+ -+ +1041 4 W42 1旳 2间 3076 3con_ Catlo CatEo Com confi dhcj dllc-*. drie an_lIS axpcr晨后更新时间州 ApEvert. Evt ault. LOGdefaialt. sav defain.t Internet 电呼 t SAN. WGSAN兰SecEvlkt. Evt 潮SECURITY. IDG aJ| SECURITY厠 5Qft*are IDG software sav52428S 3011-11-19 上年 11:1. 102-4

7、an-ii-io 下年 nsm 98304 2006-7-13 T午 11:苗一| 262144 2021-11-19 65S3& 2021-10-!1024 2021-11-192E2144 3011-11-196553& 3010-10-111024 3011-11-ia262144 a)n-n-i3131 £011-11-19nd1- O 4- 1* O 5 1 O 2 & n _2 s I T 1= 1 -J 1- 1- n_ .1- -J 午午午午年年午午 上下下上下下上下1Q64960 2D0B-T-13 下午 11:IS;I 3460300&am

8、p; 3OH-11'19 上午 IL :1."“冰河大局部功能都是在“命令控制台实现的，单击“命令控制台弹 出命令控制界面，如以下列图所示：展开命令控制台，分为“口令类命令、“注册表读表、“设置类命令 1 口令命令类：“系统信息与口令“：可以查看远程主机的系统信息、开机口令、缓存口 令等。目冈536H 2109H 1024766234LSOOI812SH3959. 3S20aOOT613IW垂gj區开机口令媛存口令苴它口弊邊置奥缔令 冰河 V2.2 DAK1SUN专阪+|刮出出创Ul匚令类谕弩0系抵信息耳口睿历史口督击键记录 捋制塑命令 朋络类命令W i nd讪£版

9、斗. Windows § M注岁前月戶啊理闷存空司: 虚拟冈存空司 桌茴宽度: 桌±1创叟. 触盘呕动器 护动皋£客旱 目前剩耒空间.Fentiwawijjdws rrCAVIMOVSXC：¥IMDOlfSsyEUm32C; DOCUHE"1 5 tudant VWCALSl T “历史口令：可以查看远程主机以往使用的口令。 “击键记录：启动键盘记录以后，可以记录远程主机用户击键记录，以 此可以分析出远程主机的各种和口令或各种秘密信息。2控制类命令捕获屏幕：这个功能可以使控制端使用者查看远程主机的屏幕， 好似远程主 机就在自己面前一样，这样更有

10、利于窃取各种信息。单击“查看屏幕 ，弹出远 程主机界面，如以下列图所示： “发送信息：这个功能可以使你向远程计算机发送 Windows标准的各种 信息。 “进程管理：这个功能可以使控制者查看远程主机上所有的进程。3ft ir：趙首国耍工IT画雲询肖前封ff；隔应用：£漏口：花元访闸口會； 丈件誉担鬧 舍話钊熬台|1 a 口令夷旳3拉焉典谕烽 9浦说庐幕 対老悟息 鼻进曙咎理 e窖二莒理 e系场栏制9赠测 JC它控刨 网轴命害A4$Ke k±LB*batIJTW乘里Cj ce- d JIWrkJFraiTieS jsT iiler SysTiiir frsTplr !5yiJ

11、r ida-rSyd LitruSa-arsKrTijJ itaK+s tYndl t ExTipCi cti pVENcbJFi wneIT Fl q «l.i ngTriRE uHVn<T i Qt 上dob唱 Sbsaiisr - fC52. jiflHfSftXSSiiK * Nicrtift Tnrd' J* 耳 A04 - LA “窗口管理：这个功能可以使远程主机上的窗口进行刷新、最大化、最 小化、激活、隐藏等操作。丼河 T2. 2 EAKESim占序X坤足说百刃 堆IM1Tlia端口 ：吒理讪问口歹：丨应用區I十0 口 -每斑毀* 9捕驴屏扇 «

12、戋送倍息 «诅柱首堆“宙匚智建杲筑揑制 «恒橹拦制«其它翳!I*亠冋璃葵滞1 -j戈怦氛肉* 辻江册鉄烦芽 * A用肖甞帝奋漁活讶口 hlhaiaaiJi i1 ii i a a h 1 h關當赛口異力先再子简口TJgj-dA4ul< AjlvLalI开州海C1 c cr flLI'r.xiFr-HmiSy：P*dei-£严卩心Sys «xjlxS*EJtd4f§JT*F 仙gAiLcruScarchTcml-a.t aMae iYnd.TiSJiiitatusTlDC" cirol.TWriiJFriim*T

13、IJJ c gt 迂.孔篡注垩 YnfT i 11 sAioli t Reader - ?®52. »df弃成 “系统管理：该功能可以使远程主机进行关机、重启、重新加载冰河、 自动卸载冰河。 “其他控制：该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、 注册表锁定等操作。(3)网络类命令: “创立共享 “删除共享 “网络信息在远程主机上创立自己的共享。在远程主机上删除某个特定的共享。查看远程主机上的共享信息，单击“查看共享可以看到远程主机上的IPC$,C$、ADMIN等共享都存在文件类命令：展开文件类命令、文件浏览、文件查找、文件压缩、文件删 除、文件翻开等菜单可以查看、

14、查找、压缩、删除、翻开远程主机上的某个 文件。目录增删、目录复制、主键增删、主键复制的功能。注册表读写：提供了键值读取，键值写入，键值重命名、主键浏览、主键 删除、主键复制的功能。设置类命令：提供了更换墙纸、更改计算机名、效劳器端配置的功能。3、删除冰河木马删除冰河木马主要有以下几种方法： 客户端的自动卸载功能，而实际情况中木马客户端不可能为木马效劳器 自动卸载木马。 手动卸载：查看注册表，在“开始中运行 regedit,翻开Windows注册 表编 辑 器。 依 次 打 开子 键 目 录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndows Cruue ntV

15、ersi onrun.在目录中发现一个默认的键值：C:WINNTSystem32kernel32.exe，这个就是冰河木马在注册表中参加的键值，将它删除。删除后:名称类型1数据RIG卫轉值耒设置KEG卫RIG_SZC: FrogranFileAudi ai.然后依次翻开子键目录Run services,在目录中也发现-个默认键值：C:WINNTSystem32kernel32.exe ，这个也是冰河木马在注册表中参加的键 值，删除。删除后:进入 C:WINNTSystem32目录，找到冰河的两个可执行文件 Kernel32.exe 和 Susexplr.exe，删除。到kbdrii"

16、 dll到kbdsp. dllkbdsw. dLl到kbduk. dllkbdus；. dll到kbdxisx. dll也对&画kll394- dllkd . dllkerib&roiE.-.kemel32.-. kZREL3Z. EXkeyOL sys:r ni-rl-b » aw A§llrcTi-bIrrbTirm rfnr rlT 1aInn itI rl lg * lfInn K-rrE rll1lr"rh v ji i-in« -n n rta11EtrmJll. illEtminfilt.Ellbst.屯玄电E1?ch.ost. 3E乜Evcpaek. dll11國1swprv. dllSK5. (111sysdni. cplsysedi t. exeiSi'SEXFLF. EXESYSIRFO.DEfBSlfSIKFO.OCKSYSIM70. SRCEySLUV-. dllsyskey. eesysmc-rt. oczEyEocmgr.修改文件关联时木马常用的