实验七:测试冰河木马
实验地点: 实验日期: 成绩:
1、 实验目的
学习冰河木马远程控制软件的使用,通过实验可以了解木马和计算机病毒的区别,熟悉使用木马进行网络攻击的原理和方法
2、 实验要求
学习冰河木马远程控制软件的使用,通过实验可以了解木马和计算机病毒的区别,熟悉使用木马进行网络攻击的原理和方法
3、 实验原理
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
4、 实验步骤
1、学生单击 “网络拓扑”进入实验场景,单击windows2003中的“打开控制台”按钮,进入目标主机。如图所示:
2、学生输入账号Administrator ,密码123456,登录到实验场景中的目标主机。如图所示:
21
3、 进入到“D:\\tools\\冰河木马\\冰河木马”文件夹。
4、冰河木马共有两个应用程序,见图,其中win32.exe是服务器程序,属于木马受控端程序,种木马时,我们需将该程序放入到受控端的计算机中,然后双击该程序即可;另一个是木马的客户端程序,属于木马的主控端程序。
5、在种木马之前,我们在受控端计算机中打开注册表,查看打开txtfile的应用程序注册项:HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command,可以看到打开.txt文件默认值是c:\\winnt\\system32\\notepad.exe%1。
6、再打开受控端计算机的c:\\winnt\\system32文件夹(XP系统为C:\\windows\\system32),我们不能找到sysexplr.exe文件。
7、现在我们在受控端计算机中双击Win32.exe图标,将木马种入受控端计算机中,表面上好像没有任何事情发生。(此时cpu使用率为100%)我们也可以打开受控端计算机的注册表,查看打开.txt文件的应用程序注册项:HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command,可以发现,这时它的值为C:\\winnt\\system32\\sysexplr.exe%1。
8、我们再打开受控端计算机的C:\\WINNT\\System32文件夹,这时我们可以找到sysexplr.exe文件。 9、我们在主控端计算机中,双击Y_Client.exe图标,打开木马的客户端程序(主控程序)。可以看到如图所示界面。
10、我们在该界面的【访问口令】编辑框中输入访问密码:12211987,设置访问密码,然后点击【应用】。
11、点击【设置】->【配置服务器程序】菜单选项对服务器进行配置,弹出图11所示的服务器配置对话框。
12、在服务器配置对话框中对待配置文件进行设置,如图11点击该按钮,找到服务器程序文件win32.exe,打开该文件;再在访问口令框中输入12211987,然后点击【确定】,就对服务器已经配置完毕,关闭对话框。 13、现在在主控端程序中添加需要控制的受控端计算机,我们先在受控端计算机中查看其IP地址,(本例中为172.16.8.62)。 14、这时可以在我们的主控端计算机程序中添加受控端计算机了,详细过程见图 15、当受控端计算机添加成功之后,我们可以看到图所示界面。
16、我们也可以采用自动搜索的方式添加受控端计算机,方法是点击【文件】->【自动搜索】,打开自动搜索对话框。
22
17、搜索结束时,我们发现在搜索结果栏中IP地址为172.16.8.62的项旁状态为OK,表示搜索到IP地址为172.16.8.62的计算机已经中了冰河木马,且系统自动将该计算机添加到主控程序中。
18、将受控端计算机添加后,我们可以浏览受控端计算机中的文件系统
19、我们还可以对受控端计算机中的文件进行复制与粘贴操作,把C盘中的boot.ini文件拷贝到D盘中。 20、在受控端计算机中进行查看,可以发现在相应的文件夹中确实多了一个刚复制的文件,该图为受控端计算机中文件夹。
21、我们可以在主控端计算机上观看受控端计算机的屏幕。
22、这时在屏幕的左上角有一个窗口,该窗口中的图像即受控端计算机的屏幕。 23、我们将左上角的窗口全屏显示,可得如图所示(屏幕的具体状态应视具体实验而不同)。 24、我们在受控端计算机上进行验证发现:主控端捕获的屏幕和受控端上的屏幕非常吻合。
25、我们可以通过屏幕来对受控端计算机进行控制,方法见图,进行控制时,我们会发现操作远程主机,就好像在本地机进行操作一样。
26、我们还可以通过冰河信使功能和服务器方进行聊天,具体见图,当主控端发起信使通信之后,受控端也可以向主控端发送消息了。 27、 实验小结
通过本次实验,我们可以学会冰河木马的使用,从而理解木马的工作原理及木马的本来面目。
5、 实验结果及总结
23
实验八:网络扫描实验
实验地点: 实验日期: 成绩:
1、 实验目的
学习端口扫描技术基本原理,了解其在网络攻防中的作用,学会使用Superscan对目标主机的端口进行扫描,了解目标主机开放的端口和服务程序。
2、 实验要求
学会使用Superscan对目标主机的端口进行扫描,了解目标主机开放的端口和服务程序,从而获取系统的有用信息。
3、 实验原理
4、 实验步骤
1、 学生单击 “网络拓扑”进入实验场景,单击windows2003中的“打开控制台”按钮,进入目标主机。如图所示:
2、学生输入密码123456,登录到实验场景中的目标主机。如图所示:
24
3、软件安装
软件在目录d:\\tools\\。Superscan是一款绿色软件,没有安装程序,只有一个exe可执行文件,双击即可。
4、基本参数设置
Superscan界面主要包括的选项卡有:
“扫描”选项卡:用来进行端口扫描的;
“主机和服务扫描设置”选项卡:用来设置主机和服务选项的,包括要扫描的端口类型和端口列表;
“扫描选项”选项卡:设置扫描任务选项;
“工具”选项卡:提供的特殊扫描工具,可以借助这些工具对特殊服务进行扫描;
“Windows枚举”选项卡:对目标主机的一些主机信息进行扫描。
5、(1) “扫描”选项卡、“主机和服务扫描设置”选项卡、“扫描选项”选项卡要进行扫描首先要对扫描任务的选项进行设置,主要是在“主机和服务扫描设置”选项卡和“扫描选项”选项卡中进行的。
在“主机和服务扫描设置”选项卡中,在“UDP端口扫描”和“TCP端口扫描”两栏中可以分别设置要扫描的UDP端口或TCP端口列表,可以自己添加要扫描的端口号,同样也可以从文本类型的端口列表文件中导入。在“超时设置”文本框中要设置扫描超时等待时间;其它按默认即可。 (1)UDP端口设置 (2)TCP端口设置
6、在“扫描选项”选项卡中,可以设置扫描时检测开放主机或服务的次数,解析主机名的次数,获取TCP或者UDP标志的超时,以及扫描的速度。一般也可按
25