实验名称:木马与远程控制技术
一、实验目的与要求:
目的:
1、剖析木马及远程控制的原理,掌握木马及远程控制工具的检测与清除; 2、熟悉利用抓包工具分析网络攻击软件原理的基本思路和方法; 3、掌握基本的网络安全防范方法。 要求:
1、实验前,掌握常用网络攻击技术的原理,并熟悉相关工具的使用;查找资料,了解网络攻击的步骤和方法;设计实验方案。
2、实验时,同学们要进行分组,2人一组进行实验。
3、实验过程中,小组内成员要多进行交流和讨论,相互合作,完成实验内容,并详细记录实验过程;
4、认真写好实验报告,打印出实验程序和实验结果;理论联系实际,认真分析实验结果,回答实验中的思考题;写出自己的心得和体会;欢迎将课外练习结果附在实验报告上。
二、实验内容、步骤及结论
1. 远程控制工具服务器端的生成与安装
a)在A机上,使用远程控制工具控制端loader.exe生成服务器端程序。观察:配置界面中各项的内容。注意:在“IP通知http访问地址、DNS域名解析或表态IP”文本框中要输入A机IP地址以及端口号。
生成服务端
a) 在B机上,安装服务器端程序。思考:都可以用哪些方式将木马植入B机。 答思考题:
1、通过一定的方法将木马执行程序(客户端)安装到被攻击者的电脑里,如浏览网页,收看邮件,下载信息。并通过一定的故意误导使得被攻击者打开执行程序。
2、也可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入,由于微软的IE浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者计算机进行档案操作等控制。 3、利用系统的一些漏洞进行植入。
2. 远程控制工具服务器端与控制端建立连接与实现控制
a) 在B机上,启动嗅探器sniffer,设置捕获A与B之间的通信数据。
停止并捕获。
b) 在A机上,观察B机上线情况,使用控制端对服务器端进行远程控制(文件管理、系
统信息查看、进程查看、捕获屏幕等。)
远程控制下,可以浏览B机的所有文件,并建立起新的文件。
c) 在B机上,观察异常联接。思考:如何判断计算机的异常现象,分析端口开放情况。 在dos命令界面,键入netstat -na,下图显示的就是打开的服务端口,该图中可以看出有TCP和UDP两种协议。以第一行为例看看它的意思。 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
这一行的意思是本机的135端口正在等待连接。注意:只有TCP协议的服务端口才能处于LISTENING状态。
d) 在B机上,分析嗅探器所捕获的信息。思考:木马服务器端与控制端建立连接的方式。
答思考题:A机通过TCP/IP方式连接B机。 3. 远程控制工具的检测
a) 在B机上,使用Autorun工具查看自启动项。思考:该远程控制工具的自启动方式是什
么。
b) 在B机上,使用Processes Exploror分析进程。思考:该远程控制工具如何通过进程相
互守护防查杀。
答思考题:该远程控制工具通过与微软IE浏览器进行捆绑,从而达到防查杀的功能。 c) 在B机上,使用Icesword观察进线程创建。思考:该木马注入了哪个系统文件,注入
的线程名称是什么。
d) 在B机上,查找木马文件的位置。思考:该木马隐藏文件的方式。 4. 远程控制工具的清除
a) 自动删除。在A机上,使用控制端程序卸载B机的服务器程序。
手动删除。在B机上,通过分析,实现手动删除该木马。删除启动项;删除进程;删除文件。思考:删除木马的方法。
步骤:1、利用ICEWORDS软件进行手动删除。点击“进程”,选择如下两个程序,删除。
2、点击“服务”,选择如下一个服务状态,删除。
答思考题:
1、检查注册表启动项:
大多病毒都会进入注册表启动项的,我们可以通过一些方法查看和删除。打开注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion点击查看其中RUN中的内容,基本操作是删除。 2、怎样删除病毒的主体文件 病毒都是有主体文件的,我们要手工杀毒首先就要清除病毒的主体文件,主体文件一般都是DLL文件,直接删是无法删除的。方法有以下三种: 1)进入安全模式删除 2)用windows系统自带的Rundll32.exe卸载后再删除。在命令提示符下输入:Rundll32.exe 文件名.DLL Uninstall。 3)找出这个DLL文件的寄宿。使用一款微软自带的名为procexp进程管理工具,点击find,再点击find DLL,打开DLL文件查找对话框,在DLL Substring中输入“文件名.DLL”.点击 Search按钮就可以看到DLL文件被哪个进程调用了,只要结束这些进程,再尝试删除DLL文件就可以了。
三、思考题
思考针对木马攻击,如何进行防范。 四、实验体会