《实验一 木马攻击与防范.docx》由会员分享,可在线阅读,更多相关《实验一 木马攻击与防范.docx(14页珍藏版)》请在三一办公上搜索。
1、实验1木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检 查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。二、实验原理木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶 意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计 算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听 来自控制端的控制信息。1. 木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质:(1) 伪装性:程序将自己的服务器端伪装成合法程序,并且诱
2、惑被攻击者执行,使木马代 码会在未经授权的情况下装载到系统中并开始运行。(2) 隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察 觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现 系统中有木马的存在.(3) 破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作, 还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。(4) 窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括 硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。2. 木马的入侵途径木马入侵
3、的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并, 欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也 可以通过Scripts ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动 执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS服务 器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在 被攻击的服务器上安装并运行木马。3. 木马的种类(1) 按照木马的发展历程
4、,可以分为4个阶段:第1代木马是伪装型病毒,将病毒伪装成 一个合法的程序让用户运行,例如1986年的PC-Write木马;第2代木马是网络传播型木马, 它具备伪装和传播两种功能,可以进行密码窃取、远程控制,例如B02000和冰河木马;第3代 木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏 方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程 中完成,例如广外男生木马.(2) 按照功能分类,木马又可以分为:破坏型木马,主要功能是破坏并删除文件;密码发送 型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或
5、者建立 共享目录,使黑客可以连接并下载文件;DoS攻击型木马,它将作为被黑客控制的肉鸡实施DoS 攻击;代理型木马,可使被入侵的计算机做为黑客发起攻击的跳板;远程控制型木马,可以使攻 击者利用客户端软件进行完全控制.4. 木马的工作原理下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。(1)木马的传统连接技术 一般木马都米用C/S运行模式,因此它分为两部分,即客户端 和服务器端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默 认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端的木马程序就会自动运 行,来应答客户端的请求,从而建立连接。C/S木
6、马原理如图11所示.第1代和第2代木马都采用的是C/S (客户机,服务器)连接方式,这都属于客户端主动连 接方式。服务器端的远程主机开放监听端目等待外部的连接,当入侵者需要与远程主机连接时, 便主动发出连接请求,从而建立连接。(2)木马的反弹端口技术随着防火墙技术的发展,它可以有效拦截采用传统连接方式从外 部主动发起连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接,第3代和第4 代“反弹式木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式 连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求,而客户端是被动 的连接.根据客户端IP地址是静态的还是
7、动态的,反弹端口连接可以有两种方式,如图12和 图1-3所示。谓宓述讥压晦迷推El正成功客口期图1-1 C/S木马原理町*建璀接客F做很芳瑞it推建亡成时图1-2反弹端口连接方式一客户端&客户端代理服务器t保存客F端IP,WilJ)服荆ft客广端客户端代理地瞒(保存害户瀚ip.端口】要柬建止连接.鳏分街代理服为器保存客卢端ip、端口) 建接建童成功AfifJtl麻代舞服命胎保存客户iIF. WU )图1-3反弹端口连接方式二反弹端口连接方式一要求入侵者在设置服务器端的时候,指明客户端的IP地址和待连接端 口,也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。所以这种方式只适用于客 户端
8、IP地址是静态的情况。反弹端口连接方式二在连接建立过程中,入侵者利用了一个“代理服务器”保存客户端的 IP地址和待连接的端口,在客户端的IP地址是动态的情况下,只要入侵者更新“代理服务器 中存放的IP地址与端口号,远程被入侵主机就可通过先连接到“代理服务器,查询最新木马 客户端信息,再和入侵者(客户端)进行连接。因此,这种连接方式适用于客户端和服务器端都 是动态IP地址的情况,并且还以穿透更加严密的防火墙。表1-1总结了反弹端口连接方式一和反弹端口连接方式二的使用范围。表1-1反弹端口连接方式及其使用范围反弹端口连接方式使用范围方式一1。客户端和服务器端都是独立IP;2。客户端独立IP,服务器
9、端在局域网内;3。客户端和服务器都在局域网内力式二1。客户端和服务器端都是独立IP2。客户端独立IP,服务器端在局域网内(3)线程插入技术我们知道,一个应用程序在运行之后,都会在系统之中产生一个进程, 同时,每个进程分别对应了一个不同的进程标识符(Process ID,PID)。系统会分配一个虚拟 的内存空间地址段给这个进程,一切相关的程序操作,都会在这个虚拟的空间中进行。一个进 程可以对应一个或多个线程,线程之间可以同步执行。一般情况下,线程之间是相互独立的, 当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。“线程插入”技术就是利用了线 程之间运行的相对独立性,使木马完全地融进了系统
10、的内核。这种技术把木马程序作为一个线 程,把自身插入其它应用程序的地址空间。而这个被插入的应用程序对于系统来说,是一个正常 的程序,这样,就达到了彻底隐藏的效果。系统运行时会有许多的进程,而每个进程又有许多 的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。综上所述,由于采用技术的差异,造成木马的攻击性和隐蔽性有所不同。第2代木马,如 “冰河”,因为采用的是主动连接方式,在系统进程中非常容易被发现,所以从攻击性和隐蔽性 来说都不是很强。第3代木马,如“灰鸽子”,则采用了反弹端口连接方式,这对于绕过防火墙 是非常有效的。第4代木马,如“广外男生”,在采用反弹端口连接技术的同时,还采用了“
11、线 程插入”技术,这样木马的攻击性和隐蔽性就大大增强了,可以说第4代木马代表了当今木马的 发展趋势.三、实验环境两台运行Windows 2000/XP的计算机,通过网络连接。使用“冰河和“广外男生”木马作 为练习工具。、实验内容和任务任务一 “冰河”木马的使用1. “冰河介绍“冰河是国内一款非常有名的木马,功能非常强大。“冰河” 一般是由两个文件组 成:G_Client和G_Server,其中G_Server是木马的服务器端,就是用来植入目标主机的程序, G_Client是木马的客户端,就是木马的控制端,我们打开控制端G_Client,弹出“冰河”的主 界面,如图14所示。图14 “冰河”主界
12、面快捷工具栏简介(从左至右):(1) 添加主机:将被监控端IP地址添加至主机列表,同时设置好访问口令及端口,设置将保 存在Operateini文件中,以后不必重输。如果需要修改设置,可以重新添加该主机,或在主 界面工具栏内重新输入访问口令及端口并保存设置。(2) 删除主机:将被监控端IP地址从主机列表中删除(相关设置也将同时被清除)。(3) 自动搜索:搜索指定子网内安装有冰河的计算机。(4) 查看屏幕:查看被监控端屏幕。(5) 屏幕控制:远程模拟鼠标及键盘输入.(6) “冰河”信使:点对点聊天室。(7) 升级1. 2版本:通过“冰河”来升级远程1. 2版本的服务器程序。(8) 修改远程配置:在
13、线修改访问口令、监听端口等服务器程序设置,不需要重新上传整 个文件,修改后立即生效。(9) 配置本地服务器程序:在安装前对G_Server。exe进行配置(例如是否将动态IP发送 到指定信箱、改变监听端口、设置访问口令等).2. 使用“冰河对远程计算机进行控制我们在一台目标主机上植入木马,在此主机上运行G_Server,作为服务器端;在另一台主 机上运行G_Client,作为控制端。打开控制端程序,单击快捷工具栏中的“添加主机”按钮,弹出如图15所示对对话框。图1-5添加计算机“显示名称”:填入显示在主界面的名称。“主机地址”:填入服务器端主机的IP地址.“访问口令”:填入每次访问主机的密码,
14、“空”即可。“监听端口” : “冰河”默认的监听端口是7626,控制端可以修改它以绕过防火墙.单击“确定”按钮,即可以看到主机面上添加了 test的主机,如图16所示。图16添加test主机这时单击test主机名,如果连接成功,则会显示服务器端主机上的盘符。图1-6显示了 test 主机内的盘符,表示连接成功.这时我们就可以像操作自己的电脑一样操作远程目标电脑,比如打开C: WINNTsystem32config目录可以找到对方主机上保存用户口令的SAM文件。“冰河”的大部分功能都是在这里实现的,单击“命令控制台的标签,弹出命令控制台界 面,如图17所示。图1-7命令控制台界面可以看到,命令控
15、制台分为“口令类命令”、“控制类命令”、“网络类命令”、“文件 类命令”、“注册表读写、“设置类命令”。3. 删除“冰河木马删除“冰河”木马主要有以下几种方法:(1) 客户端的自动卸载功能在“控制类命令”中的“系统控制”里面就有自动卸载功能,执 行这个功能,远程主机上的木马就自动卸载了。(2) 手动卸载这是我们主要介绍的方法,因为在实际情况中木马客户端不可能为木马服务 器端自动卸载木马,我们在发现计算机有异常情况时(如经常自动重启、密码信息泄漏、桌面 不正常时)就应该怀疑是否已经中了木马,这时我们应该查看注册表,在“开始的“运行”里面 输入regedit,打开Windows注册表编辑器。依次打
16、开子键目录HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun。在目录中发现了一个默认的键值C: WINNTSystem32kernel32.exe,这就是冰河木马在注册表中加入的键值,将它删除.然后再 依次打开子键 目 录 HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows CurrentVersionRunservices,如图 1-13 所示。在目录中也发现了一个默认的键值C: WINNTSystem32kernel32。exe,这也是“冰河” 木马在注册表中加入的键值,将它删除。上面
17、两个注册表的子键目录Run和Runservices中存 放的键值是系统启动时自动启动的程序,一般病毒程序、木马程序、后门程序等都放在这些子 键目录下,所以要经常检查这些子键目录下的程序,如果有不明程序,要着重进行分析。然后再进入仁WINNTSystem32目录,找到“冰河木马的两个可执行文件Kernel32exe 和Sysexplr。exe文件,将它们删除。修改文件关联也是木马常用的手段,“冰河”木马将txt文件的缺省打开万式由notepad。 exe改为木马的启动程序,除此之外,html、exe、zip、com等也都是木马的目标。所以,在最后 需要恢复注册表中的txt文件关联功能,只要将注册
18、表的 HKEY_CLASSES_ROOTtxtfileshellopencommand 下的默认值,由中木马后的 C : WindowsSystemSysexplr.exe%1 改为正常情况下的 C: Windowsnotepad.exe%1 即可。再重新启动计算机即可,这样我们就把“冰河”木马彻底删除了.(3) 杀毒软件查杀大部分杀毒软件都有查杀木马的功能,可以通过这个功能对主机进行全 面扫描来去除木马。任务二“广外男生,木马的使用“广外男生”是广外程序员网络小组精心制作的远程控制以及网络监控工具.它采用了 “端 口反弹”和“线程插入”技术,可以有效逃避防火墙对木马程序的拦截.1. “广外男
19、生的客户端和服务器端的配置及连接(1) 打开“广外男生”的主程序,主界面如图1-10所示。广二比1译洋”诈口;哧址车推图110 “广外男生”主界面(2) 进行客户端设置。依次单击“设置”“客户端设置”,弹出客户端设置界面,如图1-11所示。在窗口中我们可以看到它采用“反弹端口+线程插入技术的提示。广丹男生客户瑁设五程序区13山已口lj EDD3 Lfcnt匠 世靖 口 *氛若NfS人残木qmacfis ODffiML SWE*左SV PGCffiW_ F以诣百:习.口蛆最匕H授兹 21丈户虹仲川虻二行竺n.TT图111客户端设置在“客户端最大连接数中填入允许多少台客户端主机来控制服务器端,注意
20、不要填入太大 的数字,否则容易造成服务器端主机死机。在“客户端使用端口”填入服务器端连接到客户端 的那个端口,这是迷惑远程服务器端主机管理员和防火墙的关键,填入一些常用的端口,会使远 程主机管理员和防火墙误以为连接的是个合法的程序。比如使用端口 80,就会使管理员以为自 己连接在远程的Web服务器上。选择“只允许以上地址连接选项,使客户端主机IP地址处于默 认的合法控制IP地址池中。(3) 单击“下一步”按钮,设置木马的连接类型,弹出如图1-12所示的对话框。图1-12设置连接类型如果使用反弹端口方式二,则选择“使用HTTP网页IP通知”,如果使用反弹端口方式一, 则选择“客户端处于静态IP
21、(固定IP地址)”,在此选择第2项.单击“下一步”按钮,显示出完成设置的对话框,单击“完成”按钮就结束了客户端的设 置。(4) 进行服务器端设置.依次单击“设置”“生成服务器端”,这时,会弹出“广外男生”服务器端生成向导,直接单击“下一步”按钮,弹出常规设置界面,如图1-13所示.图1-13常规设置选项在“EXE文件名”和“DLL文件名”中填入加载到远程主机系统目录下的可执行文件和动态 连接库文件,在“注册表项目”中填入加载到远程主机注册表中的Run目录下的键值名。这些 文件名都是相当重要的,因为这是迷惑远程主机管理员的关键所在,如果文件名起的非常有隐 蔽性,如sysremote.exe,sy
22、sremote。dll,那么就算管理员发现了这些文件,也不知道这些文 件就是木马文件而轻易删除它们。注意:把“服务器端运行时显示运行标识并允许对方退出”前面的对勾去掉,否则服务器端 主机的管理员就可以轻易发现自己被控制了。(5) 单击“下一步按钮,弹出网络设置对话框,如图1-14所示。广用男生服务莘生成白导区I图114网络设置由于我们选择的是反弹端口连接方式一,所以选择“静态IP”选项,在“客户端IP地址” 中填入入侵者的静态IP地址,“客户端用端口填入在客户端设置中选择的连接端口。(6) 再单击“下一步按钮,弹出生成文件的界面,如图115所示.图115生成文件位置选择在“目标文件”中填入所生
23、成服务器端程序的存放位置,如D: hacktest.exe这个文件就 是需要植入远程主机的木马文件。单击“完成”按钮即可完成服务器端程序的设置这时就生成 了一个文件名为hacktest。exe的可执行文件.(7) 在目标主机上执行木马程序hacktest.exe,当然在实际情况中,在远程主机中植入木 马程序是很复杂的事情,这涉及到社会工程学、文件伪装等技术。由于采用了反弹端口技术在 服务器端主机上执行木马程序后,需要在客户端主机上等待服务器端主机主动连接过来,过了 一段时间后,客户端主机“广外男生”显示界面如1-16所示,表示连接成功。这时,就可以和使用了第二代木马“冰河”一样控制远程主机,主
24、要的控制选项有“文件共 享”、“远程注册表”、“进程与服务、“远程桌面”等。2. “广外男生”的检测(1) 由于使用了 “线程插入”技术,所以在Windows系统中采用任务管理器查看线程是发 现不了木马的踪迹的,只能看到一些正常的线程在运行,所以我们要使用两个强大的工具fport 和 tlisto fport是第三方提供的一个工具,可以查看某个具体的端口被哪个进程所占用,并能 查看PIDO tlist是Windows资源工具箱中提供的工具,功能非常强,我们利用它查看进程中有 哪些动态链接库正在运行,这对于检测插入在某个正常的进程中的线程是非常有用的。(2) 在服务器端主机上依次单击“开始”“运
25、行,输入cmd,进入命令行提示符,在这里输入netstat -an,查看网络端口占用状态,如图1-17所示。在显示的结果,反亮的部分我们发现了一个可疑的IP地址(就是客户端的IP地址)与本机 建立了连接,这是需要我们注意的地方,记住本机用于连接的端口号1404, 1405, 1406,1407。HE定 EWIHNTsmemiRWffHlrFir ,-一 一5F _.TCPTCP角-fil出思题罪9TCPB.B.0f:3372Tt;P虬田队*D3Y6ICPI TCPTCP5fmPellfr =10*4IGFMZ.flhfl AM+GLSh。S 耻 E4.M3J1 =13 4b?.64.1S3 u
26、IrcpS?rb4.15J.12&ilM4: 9-4.15.1M;h 政Tt-9.Si4rlS3B12i?HH. t4,S3 .las: 107LIS1WING LESiWlMG LISIEHLKSLlSlHIMq Lf SIEMNG ESIADL I $HEJ GLOSE.IWir CLUSE. WRIT (:皿 WETCP TCP TCF TCP TCP TCP ubr WPF UDP u&r UOP UbP虬EL 堆91Z7L271 :.:?*5tfHflhl ma?眈 1w,719.1=10-1127.e.Hi2?r.e127.8.012?fe0.&l=104ti1-JHV1 = 39
27、9 3网ESTA9LSSMEM 挺工 WEJWMLD gg业JjflE。ESTAUL1BHEB TADLIGHi hSTABLJKbllEJ E8】册id皿D CLOSEJIAH clmfmit图1-17查看网络状态(3) 接着在提示符下输入fport(注意,要在有fport.exe的目录中运行fport),显示结 果如图1-18所示。p.5194 ffi?ZM4目 k2M44|1酒 盘颉1U1H-E inct infoJl tf l?E-典w lfaiuM: ltrid;tfru uvclws t-511HJ 1 W11K 113& 1327 1也TCP TCP rep TCP TCP TC
28、P TCP(J 言 Wl Wit _ys s i33 yH n s .c-vcs-C: MJl-NHTKSys;rtri32iinet掌gMnet inf fl ,exC; UIWMT sysntfi22jiftrtBrU msc岖*C- WINMTLen33:Mitfrst*hxeMR ExpiflrrrH-48 EMplprei4& 48 xplo rei1E*。 .fair5H- 141+ S40S- 14H6C:yTNHI ti ys tcn72Mf 5vc . e xe C: WJ 州T 丝ysmqWWEWf z叫 :;kh巳 u 匚北口 h t exeSHH dm;C; JfflT
29、寸理勘虹印K C * MJ I! HHT xExpljrf! r M* E C WIMttlir. EME: Wl 的1 上 eME/_E*EWCS顷X-SliD.irxo |2用 附 728V2澜距C = W HN1tmWrt# .trxeCi Pruifrrtm Fi |M&itire 麻仁 留2!.49*侦跳vladt e ihflit info场8 球 33TO 8J9& 孑球 I KMT sjj5.8:*m32 1nh s;如 MeS WiHNTFy嘘初电 Wiwditc bbx!Ce W1 NNTBtrm32 iin?tine t inf o . e Mutil%Spatvw# r
30、7LT%vcs-9卜1网teifeC Vcsw13llVtitps vc-5 、-J7寒-UBP :U mTter3SxtcpCIMlc Cj(n UBPcs | WNItcJLJLJLICJDBLJlJLJSJLJspLJLJrJo由. 1 .rtl出推函npS.Ls 5hd Eaie-KkrKurrfttalI s一名豚ObnsCDTraYKyHctiXP刨5K1*T PwmthI ., 纲 Super 口 JtttWR.部flg 心晃 PJEGSZ RE3WEG.SZ PJEG 5Z 哽(也质值*迎置忙,d5 Fl:9ySaft1jCkjn 七呷ER*啊C:iprifm FgOOSVMb
31、 V.CKJRi L5nfE*lAEW Lrllf带gA蜥A邓R点.m ChMbo.axat ,, ._* 3 = 4.一 .哄电J&lKCL0CA5KMM5C/nWWEgtftVi*Mfcfl5MiVtWl .图1-21删除注册表中木马文件呈注圈事瞄注拒制即锵输质空宿给收鲫0HOLES避电JSN*名REG_5Z 整临_笑I UW S2(!)-slTI偏值未被0X:lprogr FfiHslysafttClor*口 iprmramccmmommm 虹豚CO判C;胛.0WM5KWET 忧(REW D:|txt gwfcoy.BKa均2 虬毕gEMEMRggJ 州mhjrgEg时图1-22删除注册
32、表中木马文件在实际情况中,这个文件名是可以改变的,应该在Run目录下仔细检查是否有可疑文件, 对可疑文件进行删除,注意删除之前先做好注册表的备份。(2)进入C: WlNNTSystem32,按文件大小进行排列,搜索木马文件,将文件删除。(3)在注册表中,依次单击“编辑”“查找,查找文件名为gwboydll。dll的文件,找到后将相关的注册表项全部删除。(4)重新启动主机,按F8进入带命令行提示的安全模式,再进入C:WINNTSystem32中, 输入del gwboydll.dll删除木马的动态链接库文件,这就彻底把木马文件清除了。任务三木马的防范木马的危害性是显而易见的,通过以上实验知道了木
33、马的攻击原理和隐身方法,我们就可以 采取措施进行防御了,主要方法有以下几种:(1)提高防范意识,不要打开陌生人传过来的可疑邮件和附件,即使是熟人传过来的,也要 确认来信的源地址是否合法。(2)如果网速变的很慢,这是因为入侵者使用的木马抢占带宽。这时可以双击任务栏右下 角的连接图标,仔细观察一下“已发送字节“项,如果数字比较大的话,比如lkb/s3kb/s, 几乎可以确认有人在下载你的硬盘文件,除非你正在使用FTP等协议进行文件传输。(3)查看本机的连接,在本机上通过netstat an(或第三方程序)查看所有的TCP / UDP连 接,当有某些IP地址的连接使用不常见的端口(一般大于1024)
34、与主机通信时,这一连接就需 要进一步进行分析.(4) 木马可以通过注册表启动,所以可以通过检查注册表来发现木马在注册表里留下的痕 迹。(5) 使用杀毒软件和防火墙。许多杀毒软件有清除木马的工程,可以不定期在脱机的情况下 进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在攻击者远程执 行用户主机上的文件时,提供报警或让执行失败,使攻击者向用户主机上传可执行文件后无法正 确执行,从而避免了进一步的损失。防火墙则可以运行IP规则编辑器关闭某些端口的通信,只 要利用防火墙关闭木马常用的一些端口,就可以阻止一些木马的入侵。当然,木马也可以随时 改变利用的端口。五、实验要求(1) 利
35、用“冰河”的命令控制台:“口令类命令”、“控制类命令”、“网络类命令”、“文 件类命令”、“注册表读写、“设置类命令进行远程控制.记录下主要功能。(2) 记录删除“冰河木马过程中遇到的问题及其解决办法。(3) 记录利用“广外男生”进行远程控制的主要功能(4) 学习并记录如何使用fport、tlist等工具(在命令行提示符下输入参数/?即可查看 详细的使用帮助)检查木马的进程、网络连接和动态链接库。(5) 试分析“冰河、“广外男生”二者的异同.(6) 安装或启动一款杀毒软件,对中了木马的主机进行全面扫描,查看在哪些目录下存在木 马文件,木马文件都是什么,加深对木马文件驻留主机位置和原理的认识。补充:实验报告内容:一、实验目的二、实验原理(适当简写)三、实验环境四、实验步骤和结果
