实验目的
- 剖析网页木马的工作原理
- 理解木马的植入过程
- 学会编写简单的网页木马脚本
- 通过分析监控信息实现手动删除木马
实验内容
- 木马生成与植入
- 利用木马实现远程控制
- 木马的删除
实验过程
主机A
-
通过IIS启动木马网站
-
启动灰鸽子,生成木马的“服务器程序”,生成界面如图:
-
-
编写生成网页木马脚本程序,并将之放入“木马网站”的网站空间目录中
-
改写index.html,完成“挂马”过程
主机B
- 设置监控,并启动协议分析器捕捉数据
- 启动http://172.16.0.97,并等待A的灰鸽子出现“自动上线主机”的字样
- 查看“进程监控”、“服务监控”、“文件监控”、“端口监控”和协议分析器所捕获到的信息
- 主机B创建一个.txt文件
主机A
- 通过灰鸽子修改主机B创建的文件文件名
- 查看主机B的操作系统信息
- 对主机B启动的进程进行查看
- 创建新的注册表项,并对新创建的注册表项进行重命名等修改操作
- 删除新创建的注册表项
- 远程控制操作
- 自动删除木马
主机B
- 手动删除木马
答题
- 在“进程监控”|“变化视图”中查看是否存在“进程映像名称”为“Hacker.com.cn.ini”的新增条目。观察进程监控信息,结合实验原理回答下面的问题。
- Hacker.com.cn.ini文件是由哪个进程创建的:ID584 ;
- 在“服务监控”中单击工具栏中的“刷新”按钮,查看是否存在“服务名称”为“Windows XP Vista” 的新增条目,观察服务监控信息,回答下面的问题。
- Windows XP vista服务的执行体文件是: Hacker.com.cn.ini ;
- 在“文件监控”中查看“文件名”为“C:WINDOWSHacker.com.cn.ini”的新增条目。
- 在“端口监控”中查看“远程端口”为“8000”的新增条目,观察端口监控信息,回答下面问题:
- 8000服务远程地址(控制端)地址:172.16.0.92 ;
- 经过对上述监控信息的观察,你认为在“进程监控”中出现的winlogoin.exe进程(若存在)在整个的木马植入过程中起到的作用是:检测服务端的存在,若发现服务端则主动连接并打开其被动端口 ;
总结
本次实验实际操作了一下基础安木马、删除木马的程序,也从侧面告诫我们该如何防范木马的入侵。
思考题
1.列举出几种不同的木马植入方法
- 通过网页的植入。比如某带木马代码的网站,你登录后,他就自动加载在你的系统里了。一般他们会把木马放在图片里
- 木马可以通过程序的下载进行植入。例如通过提供免费的下载或者下载列表里下载的程序和实际你搜索到的程序不同,提供的是木马程序,或者干脆在程序里添加木马
- 人工植入
- 通过破解防火墙,指定IP进行攻击的植入
- 基于DLL和远程线程插入的木马植入技术
- 把木马和其他文件捆绑在一起
- 在Word文档中加入木马文件
- 伪装成应用程序扩展组件
- 把木马文件转换为图片格式
- 利用共享和Autorun文件
2.列举出几种不同的木马防范方法。
- 安装杀毒软件和个人防火墙,并及时升级。
- 把个人防火墙设置好安全等级,防止未知程序向外传送数据。
- 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
- 如果使用IE 浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
- 不要执行任何来历不明的软件
- 不要随意打开邮件附件。
- 重新选择新的客户端软件 。
- 将资源管理器配置成始终显示扩展名
- 尽量少用共享文件夹
- 运行反木马实时监控程序木马
- 经常升级系统和更新病毒库
- 非必要的网站插件不要安装