网络安全实验教程（第2版）课件 电子 第6、7章 恶意代码、内部网络渗透

第六章恶意代码建议学时：4内部网络渗透目录content手工脱壳实验2木马程序的配置与使用实验1基于沙箱的恶意代码检测实验3手工查杀恶意代码实验431木马程序的配置与使用实验实验原理Metasploit包括漏洞扫描、漏洞利用、木马生成、木马操作等多个模块，通过不同的参数设置可实现较为完整的渗透测试过程。Metasploit由msfvenom前端和msfconsole后端构成，前端用于生成木马或shellcode，后端用于扫描、漏洞利用和木马的操控。实验目的了解Metasploit如何配置和生成木马、植入木马，了解木马程序远程控制功能。结合Nmap扫描和Metasploit漏洞利用功能，了解网络攻击从利用漏洞获取权限到木马植入控守的完整过程。41.1实验设计实验方法实验工具使用Metasploit：（1）扫描目标主机，利用ms17_010漏洞获取目标主机的权限（2）配置生成可执行木马trbackdoor.exe

（3）利用获取的目标权限植入木马，并对主机进行远程控制Metasploit：免费的渗透测试框架。Kali集成Nmap：使用最广泛的扫描工具之一。Kali集成51.1实验设计实验环境实验环境为两台虚拟机组建的局域网络，其中虚拟机网络选择NAT模式虚拟机1模拟目标主机，其操作系统为Windows7，需关闭防火墙虚拟机2模拟攻击主机，其操作系统为KaliLinux61.2实验步骤环境准备，启动虚拟机1和2通过msfvenom工具配置一款用于x64的Windows主机的可执行木马trbackdoor.exe利用Nmap对目标靶机4进行扫描，查看端口及漏洞情况使用Metasploit的辅助模块对漏洞情况进行验证选择相应的漏洞利用模块进行攻击，获取远程主机的权限利用upload命令将之前配置好的木马trbackdoor.exe上传到远程主机并启动从漏洞利用得到的shell中退出，选择exploit/multi/handler监听模块并进行设置，与木马一致进行攻击，获取远程主机的权限010203040506070872手工脱壳实验实验原理恶意代码分析技术可分为静态分析和动态分析两类。恶意代码的静态分析是指不执行恶意代码程序，通过结构分析、控制流分析、数据流分析等技术对程序代码进行扫描，确定程序功能，提取特征码的恶意代码分析方法；静态分析技术最大的挑战在于代码采用了加壳、混淆等技术阻止反汇编器正确反汇编代码，因此对加壳的恶意代码正确脱壳是静态分析的前提。对于一些通用的软件壳，通用脱壳软件就可以方便地将其还原为加壳前的可执行代码，但是对于自编壳或者是专用壳，就需要进行人工调试和分析。实验目的利用调试工具、PE文件编辑工具等完成一个加壳程序的手工脱壳，掌握手工脱壳的基本步骤和主要方法。82.1实验设计实验方法实验环境对于给定的加过UPX壳的病毒样本程序email-worm.win32.mydoom.exe，首先利用查壳工具PEiD确定软件壳类型，然后通过动态调试工具OllyICE和PE文件编辑工具LordPE等完成样本的手工脱壳实验在单机环境下完成，使用Windows10系统靶机92.1实验设计实验工具PEiD：著名的查壳工具，可以检测几乎所有软件壳类型。除了检测加壳类型外，它还自带Windows平台下的自动脱壳器插件，可以实现部分加壳程序的自动脱壳。OllyICE：OllyDBG的汉化版本，它将静态分析工具IDA与动态调试工具SoftICE结合起来，工作在Ring3级。此外它还支持插件扩展功能。LoadPE：一款PE文件编辑工具，主要功能包括：查看、编辑可执行文件，从内存中导出程序内存映像，程序优化和分析等。ImportREConstructor：ImpREC，一款重建导入表的工具。对由于程序加壳而形成的杂乱的导入地址表IAT，可以重建导入表的描述符、IAT和所有的ASCII函数名。用它配合手动脱壳工具，可以实现UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack、ASProtect等的脱壳。UPX：一款压缩壳，其主要功能是压缩PE文件（如exe、dll等文件），也常被恶意代码用于逃避检测102.2实验步骤利用PEiD确定email-worm.win32.mydoom.exe加壳类型使用OllyICE寻找程序的OEP（原始入口点），此时运行的程序已经处于脱完壳的状态使用LoadPE工具将运行的程序从内存转存到磁盘使用ImpREC工具重建导入表修改OEP信息，查找IAT信息获得IAT信息，修订PE文件完成脱壳工作0102030405112.3问题讨论1、在6.4节，针对UPX壳介绍了一种利用常见指令定位OEP位置的方法，还有没有可适用于其他类型壳的定位OEP位置的通用方法？123基于沙箱的恶意代码检测实验实验原理恶意代码的动态分析则是将代码运行在沙箱、虚拟机等受控的仿真环境中，通过监控运行环境的变化、代码执行的系统调用等来判定恶意代码及其实现原理。实验目的通过安装、配置和使用沙箱，熟练掌握沙箱的基本使用方法；结合沙箱分析器工具BSA（BusterSandboxAnalysis）掌握利用沙箱分析恶意代码行为的基本原理和主要方法。133.1实验设计Sandboxie：Sandboxie会在系统中虚拟出一个与系统完全隔离的空间，称为沙箱环境。在这个沙箱环境内，运行的一切程序都不会对实际操作系统产生影响。BSA：一款监控沙箱内进程行为的工具。它通过分析程序行为对系统环境造成的影响，确定程序是否为恶意软件。通过对Sandboxie和BSA的配置，可以监控程序对文件系统、注册表、端口甚至API函数等的操作实验方法实验工具实验在单机环境下完成，使用Windows10系统靶机实验环境安装配置沙箱Sandboxie和沙箱分析器工具BSA，对给出的恶意代码wdshx.exe（Trojan.SalityStub）进行分析，并生成对该恶意代码行为的分析报告。143.2实验步骤安装与配置Sandboxie和BSA监控木马程序“wdshx.exe”在沙箱内运行的行为启动BSA进行监控在沙箱内加载木马程序wdshx.exe通过BSA记录的结果，观察木马程序的具体行为010203153.3问题讨论1、在利用沙箱动态分析恶意代码的过程中，除了可观察恶意代码对文件系统、注册表等操作外，还能监控恶意代码执行的API函数，利用这些函数能够做什么？164手工查杀恶意代码实验实验原理对于普通的计算机用户，在主机上安装主机防火墙和具有实时更新功能的杀毒软件是防范恶意代码的基本配置。但是采用了免杀技术的恶意代码有时依然能够穿透防线，顺利地植入主机并加载运行。有一定经验的用户通过主机系统的异常可发现可疑的进程，再借助第三方分析工具，如文件系统监控、注册表监控和进程监控等，分析恶意代码进程，终止其运行并使系统恢复正常。实验目的借助进程检测和注册表检测等系统工具，终止木马程序运行，消除木马程序造成的影响，掌握手工查杀恶意代码的基本原理和主要方法。174.1实验设计ProcessMonitor：精确监控某一指定进程对文件系统和注册表的操作。ProcessExplorer：可以强制关闭任何进程（包括系统级别的进程）。Autoruns：它能够从系统的菜单、计划任务、服务、注册表等多个位置找出开机自启动的程序或模块，为用户查找恶意代码的自启动方式提供帮助。实验方法实验工具实验在单机环境下完成，使用Windows10系统靶机实验环境对于给定的木马程序arp.exe，利用进程和注册表检测工具ProcessMonitor、ProcessExplore、Autoruns实现对木马程序进程的定位、终止和清除184.2实验步骤将干净的虚拟机进行快照保存创建被感染的系统环境，运行恶意代码样本任务管理器定位木马进程将虚拟机还原为之前干净的快照。打开ProcMon，配置过滤规则为监控进程arp.exe和ati2avxx.exe，运行恶意代码样本查看木马进程之间的派生关系查看目标进程对文件系统和注册表的操作记录终止进程及所有子进程，还原系统01020304060507194.3问题讨论1、在手工查杀恶意代码过程中，如何断定恶意代码被完全终止了，如何确定恶意代码被清除干净了？2、除了隐藏和免杀外，木马也会采取递归自启的方式频繁衍生新进程来对抗用户终止其运行，遇到这种情况，有什么方法可以终止木马进程呢？3、当前杀毒软件的功能越来越强大，如果恶意代码试图达到免杀的效果，那么它需要采用哪些方法避免被杀毒软件发现？附录工具资源Metasploit、Nmap：Kali默认安装PEiD：

https:///pcsoft/yingyong/23616.html

OllyICE：

http:///soft/138775.html

LoadPE：http:///soft/226477.html

ImportREC：https:///pcsoft/yingyong/3634.html

UPX：/

Sandboxie：/soft/49367.htm

BSA：https://bsa.isoftware.nl/

ProcessMonitor：http:///soft/10734.htm

ProcessExplorer：https:///soft/19289.htm

Autoruns：https:///soft/21022.htm

恶意代码清单：trbackdoor.exe、wdshx.exe、arp.exe第七章内部网络渗透建议学时：8内部网络渗透目录content基于SOCKS的内网正向隐蔽通道实验2本机信息收集实验1基于SOCKS的内网反向隐蔽通道实验3231本机信息收集实验实验原理全面的内网信息收集是进行内部网络环境判断的基础，可以分为本机信息收集、内网存活主机探测和端口扫描等。如果内部网络为域网络，还需要进行域相关信息收集。实验目的了解本机信息收集实验的方法，掌握内网主机信息收集的相关命令行工具，并能够依据返回结果判断内部网络环境。241.1实验设计WMIC：Windows管理规范命令行工具。netsh：Windows系统提供的功能强大的网络配置命令行工具，可以实现对防火墙等网络功能进行配置实验方法实验工具单台虚拟机模拟被控内网主机，其操作系统为Windows10，64位。实验环境使用系统自带的命令行工具实现对内网主机的操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等信息的收集，并依据结果进行络环境判断。251.2实验步骤环境准备，启动Windows10虚拟机查询本机操作系统及软件信息查询本机服务和进程信息查看启动项和计划任务信息查询用户及权限信息查询端口、会话和共享信息查看网络信息查看防火墙配置0102030405060708261.3问题讨论1、在本机信息收集实验中，还可以通过查看系统和应用软件日志发现内部网络IP地址段、网络连接等信息，请通过实验完成。272基于SOCKS的内网正向隐蔽通道实验实验原理常用的内网隐蔽通信隧道技术可以分为网络层隧道技术、传输层隧道技术和应用层隧道技术。应用层隧道技术利用的应用协议难以被边界设备禁用，成为主流渠道。SOCKS代理服务能够支持以多种协议（包括HTTP、FTP等）与目标内网主机进行通信。SOCKS代理一般有正向代理和反向代理两种模式，正向代理是主动通过代理服务来访问目标内网主机，适用于外网主机能够访问受控的内网主机/服务器的情况。实验目的了解基于SOCKS的内网隐蔽通信原理，掌握基于SOCKS的内网正向隐蔽通道的搭建过程。282.1实验设计实验方法实验工具通过Earthworm和Proxychains工具实现不同情景下的内网正向隐蔽通道搭建，验证和掌握内网隐蔽通信原理EarthWorm：一套便携式的网络穿透工具。具有SOCKS5服务架设和端口转发两大核心功能，能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道，在复杂网络环境下完成网络穿透。Proxychains：一款在Linux下实现全局代理的软件，支持HTTP、SOCKS4、SOCKS5类型的代理服务器。在Kali2021.2中默认安装4.14版本Putty：一款免费开源的远程登录客户端软件，本实验中使用的是最新的0.76版本292.1实验设计实验环境宿主机模拟DMZ区服务器，其操作系统为Windows10，64位虚拟机1模拟外网攻击主机，其操作系统为Kali2021.2，64位虚拟机2模拟内网主机，其操作系统为Windows10，64位虚拟机3模拟内网服务器，其操作系统为Ubuntu21.04，64位302.2实验步骤环境准备，按照实验网络拓扑配置宿主机与虚拟机1、2、3，并判断网络连通性内网一级正向隧道搭建宿主机上使用ew的ssocksd方式构建正向SOCKS代理，虚拟机1上进行proxychains配置，添加宿主机为代理服务器在虚拟机1上通过proxychains使用nmap对虚拟机2进行扫描在3389端口开放的条件下，通过proxychains使用rdesktop连接虚拟机2的远程桌面虚拟机1对内部网络虚拟机3尝试进行SSH连接，被虚拟机3拒绝0102312.2实验步骤内网二级正向隧道搭建在虚拟机2上启动putty，能够对虚拟机3进行SSH访问在虚拟机2上使用ew的ssocksd方式构建正向SOCKS代理，宿主机上采用lcx_tran方式监听本地端口接收代理请求，转交给代理提供主机虚拟机2虚拟机1上进行proxychains配置，添加宿主机为代理服务器在虚拟机1通过proxychains使用SSH连接虚拟机3，输入虚拟机3的用户口令后正常登录。接下来，可以将虚拟机2作为跳板，对内网进行下一步渗透03322.3问题讨论1、基于SOCKS的内网隐蔽通道实验中，若宿主机没有外网地址（即DMZ区服务器没有公网IP地址，该情况实际中也较常见），则需运用EarthWorm工具的rcsocks和rssocks模式搭建反弹SOCKS代理服务器实现内网隐蔽通信，请通过实验完成。333基于SOCKS的内网反向隐蔽通道实验实验原理SOCKS代理一般有正向代理和反向代理两种模式，正向代理是主动通过代理服务来访问目标内网主机，适用于外网主机能够访问受控的内网主机/服务器的情况；反向代理是指目标内网主机通过代理服务主动进行连接，适用于防火墙只允许受控的内网主机/服务器数据进出的情况。实验目的了解基于SOCKS的内网隐蔽通信原理，掌握基于SOCKS的内网反向隐蔽通道搭建的实现过程。343.1实验设计Frp：一款高性能的反向代理工具EarthWorm、Proxychains、Putty实验方法实验工具同7.4基于SOCKS的内网正向隐蔽通道实验实验环境通过Frp、Earthworm和Proxychains工具实现不同情景下的内网反向隐蔽通道搭建，验证和掌握内网隐蔽通信原理353.2实验步骤环境准备同7.4基于SOCKS的内网正向隐蔽通道实验内网一级反向隧道搭建在虚拟机1上使用frp