• 2017-2018-1 20155326 20155320《信息安全技术》实验四 木马及远程控制技术


    2017-2018-1 20155326 20155320《信息安全技术》实验四 木马及远程控制技术

    一、实验目的与要求:

    该实验为设计性实验。

    剖析网页木马的工作原理

    理解木马的植入过程

    学会编写简单的网页木马脚本

    通过分析监控信息实现手动删除木马

    二、实验内容、步骤及结论

    1.木马生成与植入

    2.利用木马实现远程控制

    3.木马的删除

    (一)木马生成与植入

    1.生成网页木马

    (1)主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。

    (2)主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。

    (3)主机A生成木马的“服务器程序”。

    (4)主机A编写生成网页木马的脚本。

    在桌面建立打开“Trojan.txt”,将实验原理中网马脚本写入,并将脚本第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”,生成“Trojan.htm”即网页木马程序。

    2.完成对默认网站的“挂马”过程

    对“index.html”进行编辑,实现从此网页对网页木马的链接。

    3.木马的植入

    (1)主机B设置监控。

    (2)主机B启动IE浏览器,访问“http://172.16.0.100(控制端的ip地址)”设置监控。

    (3)主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。

    (3)主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。

    (4)在“端口监控”中查看“远程端口”为“8000”的新增条目,观察端口监控信息,回答下面问题:

    8000服务远程地址(控制端)地址:木马服务器主机地址

    (二)木马的功能

    1.文件管理

    (1)主机B在目录“D:WorkTrojan”下建立一个文本文件,并命名为“Test.txt”。

    (2)主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。

    (3)在主机B上观察文件操作的结果。

    2.系统信息查看

    主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“系统信息”按钮,查看主机B操作系统信息。

    3.进程查看

    (1)主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看
    单击“远程控制命令”属性页,选中“进程管理”属性页,单击界面右侧的“查看进程”按钮,查看主机B进程信息。

    图5

    (2)主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程,并和主机A的查看结果相比较。

    4.注册表管理

    主机A单击“注册表编辑器”属性页,在左侧树状控件中“远程主机”(主机B)注册表的“HKEY_LOCAL_MACHINESoftware” 键下,创建新的注册表项;对新创建的注册
    表项进行重命名等修改操作;删除新创建的注册表项,主机B查看相应注册表项。

    5.Telnet

    主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作,单击菜单项中的“Telnet”按钮,打开Telnet窗口,使用“cd c:”命令进行目录切换,使用“dir”命令显示当前目录内容,使用其它命令进行远程控制。

    6.其它命令及控制

    主机A通过使用“灰鸽子远程控制”程序的其它功能(例如“捕获屏幕”),对主机B进行控制。

    (三)木马的删除

    1.自动删除

    主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。

    2.手动删除

    (1)主机B启动IE浏览器,单击菜单栏“工具”|“Internet 选项”,弹出“Internet 选项”配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选中“删除所有脱机内容”复选框,单击“确定”按钮直到完成。

    (2)双击“我的电脑”,在浏览器中单击“工具”|“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏受保护的操作系统文件”复选框置
    为不选中状态,单击“确定”按钮。

    (3)关闭已打开的Web页,启动“Windows 任务管理器”。单击“进程”属性页,在“映像名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮。

    (4)删除“C:WidnowsHacker.com.cn.ini”文件。

    (5)启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目,单击右键,在弹出菜单中选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮。

    (6)启动注册表编辑器,删除“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista”节点。

    (7)重新启动计算机。

    (8)主机A如果还没卸载灰鸽子程序,可打开查看自动上线主机,已经不存在了。

    三、 思考题

    • 列举出几种不同的木马植入方法。

      通过网页的植入,比如通过iframe标签或者把木马连接到图片中
      通过软件下载
      通过U盘等直接拷入电脑
      通过破解防火墙

    • 列举出几种不同的木马防范方法。

      不随便点击来历不明邮件所带的附件
      安装杀毒软件,定期扫描系统、查杀病毒
      不随意打开不明网页链接
      不到不受信任的网站上下载软件运行

  • 相关阅读:
    c++检测本机网络
    ShellExecuteEx 阻塞和异步调用进程的两种方法
    QImage 转base64
    C 位域运算
    Linq 取差集 交集等
    Linq 筛选出一条数据
    Linq查询出结果集中重复数据
    使AspNetPager控件中文显示分页信息
    C盘瘦身,可以让你的电脑C盘恢复到刚安装时的大小
    Linq Distinct List 去重复
  • 原文地址:https://www.cnblogs.com/lmc1998/p/7906419.html
Copyright © 2020-2023  润新知