实验4 监视工具以及恶意代码行为分析(2课时) 实验目的
1. 熟悉注册表和文件监视工具的使用。
2. 针对特定的恶意代码程序,能够分析其大致行为,并找到相应的解除方法。 第一阶段实验内容
? 学会使用RegMon、FileMon。
– 熟悉这两个工具具体用途。
? 重点要熟悉过滤器的使用方法
? 利用FileMon监视QQ的登录过程。
– 监视完整的登陆过程。
– 仅监视QQ密码输入错误的登录过程。
? QQ的本地密码放在哪个文件中?
? 修改自己的QQ密码,用UltraEdit比较相同用户的两个不同密码的
密码文件有什么不同?
? 思考如何修改任意本地用户的QQ密码文件,从而在本地登陆任意
本地用户QQ,查看其聊天记录和好友名单等等信息。
第二阶段实验内容
? 学会使用RegSnap和File2000。
– 熟悉RegSnap和File2000的具体用途。 – 使用RegSnap和File2000创建快照。
– 使用RegSnap快照比较功能,并分析快照比较报告。
第三阶段实验内容
? 运行病毒程序“wmimgr.exe”。
– 实际体会该病毒程序的大致功能。 – 思考该病毒程序的大致工作原理。
? 该病毒程序可能对计算机做了哪些修改?
? 尝试手工解除该病毒程序。
– 思考解除一般病毒程序的大致思路
第四阶段实验内容
? 重新启动计算机,使得C盘还原。
? 使用RegSnap来分析wmimgr.exe对注册表和文件系统的修改。
– 找到wmimgr.exe病毒程序的相关行为。
– 针对其对系统所作的修改,手工解除该病毒程序。
? 重新登录QQ,看是否已经完全解除病毒。如果仍未解除,继续进行分析。
– 也可以使用FileMon和RegMon来进行分析。
课后练习
? 分析“RootKit”程序的对系统的修改,并给出其具体清除措施。
? 分析WinEggDrop后门程序对系统的修改,并给出其具体清除措施。
实验5 ARP欺骗工具及原理分析(2课时) 实验目的
1. 熟悉ARP欺骗攻击工具的使用。 2. 熟悉ARP欺骗防范工具的使用。 3. 熟悉ARP欺骗攻击的原理。 实验准备
? 要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 ? 下载相关工具和软件包 第一阶段实验内容
? 使用工具“局域网终结者”进行测试攻击。
– 熟悉工具的具体用途和使用方法。 – 分析该攻击工具的具体攻击原理。
? 网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP
地址所对应的MAC地址,使其找不到网关真正的MAC地址。
? 思考如何对防范这类攻击?给出具体的措施。 第二阶段实验内容
? 学会使用“网络执法官”。
– 了解该工具的使用方法。
– 实际抓包分析该工具的具体原理。
? 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲
突框来,假如伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示。
? 思考如何防范这类攻击? 第三阶段实验内容
? 在交换机环境下利用ARPSniffer进行数据截获。
– 熟悉ARPSniffer工具的使用方法。 – 了解ARPSniffer工具的工作原理。
第四阶段实验内容
? ARP攻击检测工具
– 熟悉ARP检测工具的使用。 – 了解ARP攻击检测原理。
实验6 网络攻防实战(4课时) 实验目的
(1)使学生熟悉网络攻击的完整步骤 (2)提高学生的网络渗透、实战水平 (3)加深对网络攻防中各个阶段的理解 (4)提高学生对具体威胁的分析和防护能力 (5)培养学生创新能力,以及团队协作精神 实验分组与大致要求
? 每排为一组,每组然后分为红蓝两方。
? 每方配置一台服务器。双方配置完毕之后,相互攻击对方计算机。 实验第一阶段:搭建环境
? 配置一台服务器,大致要求如下:
– 操作系统为Windows 2000或Windows XP。
– 利用IIS5.0配置ASP+SQLServer架构的Web网站。
– 利用Serv-U 5.0.0.0架设FTP服务器,默认对外账号list(密码为list),该帐
号只有list权限。同时建立另外一个具有下载权限的账号,密码由管理员自己设定。
– 在Windows系统中建立管理员权限账号wd1234,密码由管理员来设置。 – 创建文件security.dat,内容为任意字串。将该文件放在系统任意一个位置。
SQL Server的具体配置要求
? 启动SQL Server。 ? 修改sa密码为master
– 右键点击“我的电脑”,进入“管理”--“服务和应用程序”,逐级进入SQL Server
的“安全性”—“登录”,然后双击右边的sa账号行。然后直接修改密码为master。
– 注意,checkuser.asp文件中的sa密码应该和修改后的密码一致。
? 通过开始菜单,打开企业管理器,建立数据库mydb。然后在该数据库中建立login
表。相关要求如下:
? 在表中添加username为sysop的用户名,密码pwd由管理员自行设置。
? 在表中添加username为wd1234的用户名,密码pwd和系统用户wd1234的密码相
同。
常用的黑客技术
? 漏洞、端口扫描
? 密码捕获、扫描和破解 ? 系统漏洞攻击 ? 服务软件漏洞攻击
? SQL注入技术,其他程序逻辑漏洞 ? 拒绝服务攻击 ? 木马,后门技术
密码捕获—EMAIL
SQL Injection注入原理
? uname=Request.QueryString(\ ? pword=Request.QueryString(\
? Set conn = Server.CreateObject(\
? connstr=\? conn.Open connstr
? Set RS=conn.Execute(“select * from login where username='\&\and
pwd='\? IF NOT RS.EOF THEN
Response.Write(\登陆成功
\
? ELSE
Response.Write(\登陆失败
\
? END IF ? RS.Close ? conn.Close
uname=Request.QueryString(\ pword=Request.QueryString(\ …
Set RS=conn.Execute(“select * from login where username='\&\and pwd='\IF NOT RS.EOF THEN
Response.Write(\登陆成功
\ELSE
Response.Write(\登陆失败
\END IF
如果输入ID=sysop,PWD=wrongpwd,那么被执行的SQL语句为 Select * from login where username=?sysop? and pwd=?wrongpwd?
如果密码或用户名发生错误,则查不到相关纪录。将会显示“登陆失败”。
但是如果输入ID=sysop? or 1=1--,PWD=wrongpwd,那么被执行的SQL语句为 Select * from login where username=?sysop? or 1=1- - ?and pwd=?wrongpwd? --在SQL句法中表示:后面的内容是注释。
这时候,将会查到username=?sysop?的相关纪录。将会显示“登录成功”。 SQLServer中的错误调试信息
? 在默认条件下,SQL语句执行过程中的所有错误调试信息都会返回给用户。
? 在通过本地查询器进行查询时,将会通过查询器看到返回的错误调
试信息
? 如果是通过网页进行查询时,所有的错误信息将会返回到访问者的
浏览器中
? 而这些错误调试信息将会暴露数据库中的某些数据。
第二阶段:相互攻击对方服务器
– 在对方系统D盘根目录建立文件名为“attention.txt”的文件。 – 在对方系统寻找并下载文件名为security.dat的文件。
– 在对方系统建立一用户名为Security,密码为attackme的管理员账号。 – 获得对方当前登录用户的密码。(利用工具包中的程序findpass.exe)
– 注意不要删除对方系统任何文件,不能影响对方系统Web网站的正常服务
功能。
第三阶段:加固己方服务器安全
? 红、蓝双方对己方服务器进行针对性安全配置。 第三阶段提示
? 重新对Web服务器进行安全配置。
– 查看IIS日志,对对方前阶段的攻击行为进行分析。
– 对IIS配置进行修改,避免服务器向客户端返回详细的错误信息。
– 修改login表中sysop和wd1234账号对应的密码。注意此时Windows系统
中的wd1234账号的密码和该wd1234账号密码一致。 – 删除对方在本机创建的文件和账号。 – 关闭Serv-U服务软件或者下载相关补丁