信息安全实验报告3-2

PAGEPAGE3课程实验报告课程名称信息安全班级1204072实验日期2015/5/15姓名张雨学号120407235实验成绩实验名称木马攻击与防范实验目的及要求（给出本次实验所涉及并要求掌握的知识点）通过对木马的练习，理解和掌握木马传播和运行的机制；掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。实验环境（列出本次实验所使用的平台和相关软件）局域网环境，使用冰河、灰鸽子或其它木马作为练习工具实验内容及实验步骤一、运行木马文件，生成木马的服务器端，并将其安装在远程主机二、使用木马对远程计算机进行控制1、使用“冰河”对远程计算机进行控制“冰河”一般由两个文件组成：G_Client和G_Server。其中G_Server是木马的服务器端，即用来植入目标主机的程序，G_Client是木马的客户端，就是木马的控制端。打开控制端G_Client,弹出“冰河”的主界面，熟悉快捷工具栏。2、在一台目标主机上植入木马并在此主机上运行G_Sere\ver，作为服务器端；在另一台主机上运行G_Client.作为控制端。打开控制端程序，单击“添加主机”按钮。“显示名称”：填入显示在主界面的名称。“主机地址”：填入服务器端主机的IP地址。“访问口令”：填入每次访问主机的密码，“空”即可。“监听端口”：“冰河”默认监听端口是7626，控制端可以修改它以绕过防火墙。单击“确定”可以看到主机面上添加了test的主机，单击test主机名，如果连接成功，则会显示服务器端主机上的盘符。这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。3、“冰河”大部分功能都是在“命令控制台”实现的，单击“命令控制台”弹出命令控制界面展开命令控制台，分为“口令类命令”、“注册表读表”、“设置类命令”。三、检测并删除木马文件检测木马1、查看system.ini文件选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”，如果不是这样，就可能中了木马了。2、查看win.ini文件选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空。3、查看启动组再看看启动标签中的启动项目，要是有象netbus、netspy、bo等关键词，极有可能就是木马了。4、查看注册表由“开始->运行”，输入regedit，确定就可以运行注册表编辑器。“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如AcidBattery木马，它会在注册表项“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下加入Explorer=“C:\WINDOWS\expiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别！删除冰河木马实验内容及实验步骤①客户端的自动卸载功能，而实际情况中木马客户端不可能为木马服务器自动卸载木马。②手动卸载：查看注册表，在“开始”中运行regedit,打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CruuentVersion\run.在目录中发现一个默认的键值：C:\WINNT\System32\kernel32.exe，这个就是冰河木马在注册表中加入的键值，将它删除。然后依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind-ows\CurrentVersion\Runservices,在目录中也发现一个默认键值：C:\WINNT\System32\kernel32.exe，这个也是冰河木马在注册表中加入的键值，删除。进入C:\WINNT\System32目录，找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe，删除。修改文件关联时木马常用的手段，冰河木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，此外html、exe、zip、com等都是木马的目标。所以还需要恢复注册表中的txt文件关联功能。将注册表中HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\Windows\SSystem\Susex-plr.exe%1改为正常情况下的C:\Windows\notepad.exe%1。四、木马的方法措施eq\o\ac(○,1)提高防范意识，不要打开陌生人传来的可疑邮件和附件。确认来信的源地址是否合法。②如果网速变慢，往往是因为入侵者使用的木马抢占带宽。双击任务栏右下角连接图标，仔细观察发送“已发送字节”项，如果数字比较大，可以确认有人在下在你的硬盘文件，除非你正使用FTP等协议进行文件传输。③察看本机的连接，在本机上通过netstat-an（或第三方程序）查看所有的TCP/UDP连接，当有些IP地址的连接使用不常见的端口与主机通信时，这个连接九需要进一步分析。④木马可以通过注册表启动，所以通过检查注册表来发现木马在注册表里留下的痕迹。⑤使用杀毒软件和防火墙。总结随着信息技术的发展，木马的攻击技术不断进步，由此带来的网络系统安全问题