①“发送信息”:这个功能可以使你向远程计算机发送Windows标准的各种信息。 ②“进程管理”:这个功能可以使控制者查看远程主机上所有的进程。 ③“窗口管理”:这个功能可以使远程主机上的窗口进行刷新、最大化、最小化、激活、隐藏等操作。 ④“系统管理”:该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。 ⑤“其他控制”:该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、注册表锁定等操作。 (3)网络类命令: ①“创建共享”:在远程主机上创建自己的共享。 ②“删除共享”:在远程主机上删除某个特定的共享。 ③“网络信息”:查看远程主机上的共享信息,单击“查看共享”可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。 ⑷文件类命令:展开文件类命令、文件浏览、文件查找、文件压缩、文件删除、文件打开等菜单可以查看、查找、压缩、删除、打开远程主机上的某个文件。目录增删、目录复制、主键增删、主键复制的功能。 ⑸注册表读写:提供了键值读取,键值写入,键值重命名、主键浏览、主键删除、主键复制的功能。 ⑹设置类命令:提供了更换墙纸、更改计算机名、服务器端配置的功能。 任务三 检测并删除木马文件。 删除冰河木马主要有以下几种方法: ①客户端的自动卸载功能,而实际情况中木马客户端不可能为木马服务器自动卸载木马。 ②手动卸载:查看注册表,在“开始”中运行regedit,打开Windows注册表编辑器。 在目录中发现一个默认的键值:C:\\WINNT\\System32\\kernel32.exe,这个就是冰河木马在注册表中加入的键值,将它删除。然后依次打开子键目录 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wind-ows\\CurrentVersion\\Runservices,在目录中也发现一个默认键值:C:\\WINNT\\System32\\ kernel32.exe,这个也是冰河木马在注册表中加入的键值,删除。进入C:\\WINNT\\System32目录,找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe,删除。 修改文件关联时木马常用的手段,冰河木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序,此外html、exe、zip、com等都是木马的目标。所以还需要恢复注册表中的txt文件关联功能。将注册表中HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\ command下的默认值,由中木马后的C:\\Windows\\SSystem\\Susex-plr.exe%1改为正常情况下的C:\\Windows\\notepad.exe%1。 任务四 木马的方法措施。 木马的防范 木马的危害显而易见,防范木马的方法主要有: ①提高防范意识,不要打开陌生人传来的可疑邮件和附件。确认来信的源地
6
址是否合法。 ②如果网速变慢,往往是因为入侵者使用的木马抢占带宽。双击任务栏右下角连接图标,仔细观察发送“已发送字节”项,如果数字比较大,可以确认有人在下在你的硬盘文件,除非你正使用FTP等协议进行文件传输。 ③察看本机的连接,在本机上通过netstat-an(或第三方程序)查看所有的TCP/UDP连接,当有些IP地址的连接使用不常见的端口与主机通信时,这个连接九需要进一步分析。 ④木马可以通过注册表启动,所以通过检查注册表来发现木马在注册表里留下的痕迹。 ⑤使用杀毒软件和防火墙。 实 验 内 容 及 实 验 步 骤
实验3-3 任务一 Land攻击练习 目标机端口对目标主机的 80 端口进行攻击: 步骤: 1在 DOS 中使用格式:land15 目标 IP 2在目标主机中打开任务管理器,对联网性能和系统资源使用情况进行观察: 3在目标主机打开 Sniffer pro 工具,捕捉由攻击者计算机发送本地计算机的 TCP 包 任务二 DDoSer的使用 1软件简介 DDoSer软件是一个DDOS攻击工具,程序运行后,程序运行后自动装入系统,并在以后随系统启动,自动对事先设定好的目标机进行攻击。 本软件分为生成器(DDOSMaker.exe)与DDOS攻击者程序(DDOSer.exe)两部分。软件在下载安装后是没有DDOS攻击者程序的(只有生成器DDOSMAKER.exe),DDOS攻击者程序要通过生成器生成。生成时可以自定义一些设置,如攻击目标的域名或IP地址、端口等。DDOS攻击者程序默认的文件名DDOSer.exe,可以在生成或生成后任意改名。DDOS攻击者程序类似于木马软件的服务端程序,程序运行后不会显示任何界面,看上去好像没有任何反应,其实它已经将自己复制到系统里面了,并且会在每次开机时自动运行,此时可以将拷贝过去的安装程序删除。它运行时唯一会做的就是不断对事先设定好的目标进行攻击。DDOSer使用的攻击手段是SYN Flood。 7
总 结 2生成攻击程序 打开DDOSMAKER.exe程序,出面主界面,对其设置如下: 输入目标主机IP,端口设置为80,并发线程为10个,最大TCP连接数为1000,自启动设置默认,生成的DDOS攻击者程序名称为ddos_attack.exe。 3 DDoSer.exe的运行及结果观察 在主机上运行ddos_attack.exe后,这台主机就成了攻击者的代理端,主机会自动对目标机发出大量SYN请求,在命令符的提示后输入netstat查看网络状态. 在这次的计算机网络安全实验中,我们主要是学习木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。虽然在实验的过程中出现过很多问题,但在老师跟同学的帮助之下,都一一解决了,通过本次木马的攻击与防范实验,让我认识到计算机网络安全的重要性,我们要提高自己的防范意识,使用杀毒软件和防火墙。 8