《实验6 特洛伊木马.docx》由会员分享,可在线阅读,更多相关《实验6 特洛伊木马.docx(5页珍藏版)》请在三一办公上搜索。
1、实验6特洛伊木马6.1实验类型综合型,2学时6.2实验目的理解木马工作的原理;掌握典型的木马清除方法。6.3实验要求与内容(1)利用灰鸽子木马模拟木马的工作流程,要求能够完成以下任务: 生成木马服务端,尽可能的生成能诱惑用户的服务端,比如修改安装路径, 修改图标,修改服务端名称,修改服务名称等。 控制对方电脑,要求能够浏览对方的文件,修改对方的注册表,终止对方的 进程,捕获对方的屏幕等操作(2)清除木马,受害者根据灰鸽子木马的原理清除掉本机上的木马,包括程序,服务6.4实验设备 两人合作完成,其中一人为控制端,另一人为服务器端 灰鸽子远程控制2007VIP疯狂魔鬼破解版 Windows XP
2、Professional作为客户操作系统(Guest OS),要求关闭防火墙功能6.5相关知识1. 什么是木马(Trojan)?/基于远程控制的黑客工具/恶意程序,非法获取授权权限,肆意篡改用户电脑中的文件,注册表,控制鼠标, 截取用户信息/木马一般是C/S(客户/服务器)结构,控制程序处于客户端,被控制程序处于服务器 端。2. 木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。木马服务器木马控制端(客户端)3. 木马实施入侵的基本步骤控制端Internet服务端 配置木马木马 传播木马 运行木马 信息反馈信息 建立连接 远程控制4. 特洛伊木马具有如下特性:隐蔽性,
3、主要体现在意下几个方面:(1)启动的隐蔽性(2)运行的隐蔽性(3)通信的隐蔽性开机自动运行欺骗性,比如JPEG木马自动恢复,多重备份,相互恢复非授权5. 木马按照传输方式进行分类:主动型反弹端口型:木马服务器主动连接控制端端口,一般去连接80端口嵌入式木马6. 清除木马的典型步骤:断开 查找并停止清除木马启动刁网络连接木马进程、线程项及木马文件6.6实验指导特别注意:本次实验需要分析的病毒具有破坏性,仅限于信息安全实验室内使用。请 严格遵守信息安全实验室操作规程,切勿拷贝、传播等,否则后果自负。6.6.1特洛伊木马的配置步骤1)生成服务端点击“配置服务程序”,在“IP通知HTTP地址”那一栏填
4、入控制端的IP地址(这 里一定要填正确,否则木马不能上线,IP地址是以10开头的),通过设置“安装选项”,“启 动项设置”等可以构造出迷惑用户的木马服务端程序。图1服务端的设置2)发送服务端将木马服务端发送出去3)控制服务端木马受害者上线以后,控制端可以控制木马受害者的文件,远程控制命令,控制注册表, 以及屏幕等。QWIHIiOWS2008-10-14 1631boot, ini i rrurffTC229n图2.文件控制2口个对象 当前路径:CA直Telnet电脑名称:搜索文件管理器 远程控制命令 注册表编辑器 命令广播文件目录浏览& 固国查看,自动上携主机1搜索结果:显示搜索结果。匡当也
5、X 若2009-10-24 14:117riFifi-1 fi- 1 .-1 1 p. - -!自动上线:台日.参SS3配置定务程序最小化退出D-01-03连接密码:保存符合条件主机读取文件列表命令发送成功! 文件列表读理完毕一 19:09:41IlcicijnientE and S.2008-10-14 1633一Fipgram Files2008-10-14 1638Recycled2009-01-09 1402_IL : : t2009-01-16 1620_|5vEtem VoIuitih I.2009-10-24 133TJltdrv2009-10-24 1435.hiberfil.
6、 sys2009-10-24 1436回 bootfont, bin3227302001-09-05 2000回 ntldr257T282008-04-13 1131jNTDETECT. COM47564200T-0T-09 2300大小存节)L修改日期Tnlnet自动上践捕获屏幕文件田)设置 工具(I)帮助也)系统操作 理切损查看 进程管理 服务管理 共享管理 代理服务 插件管理读取文件列表命令发送成功! 文件列表读职完毕一 19:09:41让我们共同进步图3.远程控制命令交件(I)设置(工具(I)帮助QD当前连接:D-E-D3搜索内容:自动上堪主机文件管理器远程控制命舍注册表编辑器命令广播
7、自动上践捕获屏幕+岛我的电脑-玻远程电脑+ _| HKEY_CLASSES_ROOT+ _| HKEY_CUEEEHT USER-_J电脑名称:D-01-03保存搜索名称数据理默认)MG_SZ徼值未设置) *HKEY LOCAL读取注册表键值命令发送成功!注册表薜值读取成功.19:11:36+ 2j hakdwaee+ _J SAP+ _J SECUEITY+ _| SOFTWAEE+ _J SYSTEM+ _J HKEY_USERS+ _| HKEY_CUEEEHT+ _J HKEY_DYN_DATA图5.截获屏幕6.6.2清除木马清除木马的一般思路是先清除进程和服务,清楚启动项,再删除病毒文件6.7分析与思考1)实验中的木马与现实中的木马有哪些区别?2)如何预防木马?
