利用IPC$植入木马实验报告

利用IPC$植入木马实验

班级：113801

姓名：崔征

学号：080223

实验环境：

本机系统XP 或win7，虚拟机运行XP 或win003。

实验软件：

冰河2.2

实验目的：

掌握这类病毒入侵计算机的基本方法

实验内容：

Ipc$是windows 操作系统专有的远程管理工具，但由于其在相对应的安全策略上有漏洞，导致在整个windows 中存在巨大的隐患。本实验就是通过利用Ipc$向目标计算机（windowsXP 或windows2003）植入冰河木马来达到远程控制对方计算机，让大家了解windows 安全策略的重要性。

实验准备：

VM 中运行windowsXP 或2003，充当被控制机器，本机

充当攻击者，本机准备冰河木马软件，关闭两个机器的防火墙，关闭

两个机器的杀毒软件。配置虚拟机网卡连接到本机的Vnet1 网卡上，配置内外网络畅通，本例内部计算机地址为192.168.242.130。

实验步骤：

步骤1：

配置VM 计算机的安全策略，使攻击能顺利进行。

这个账户策略中指定administrator 在空白密码时只能进行控制台登陆，如果不关闭这个选项，则Ipc$攻击无法进行。所以这个策略在我们的计算机上一定要打开！

将网络访问：本地账户的共享和安全模式调整为经典模式，这样在登录时可以使用管理员账户获取到最大权限，否则只能以guest 模式运行，导致文件无法上传。

步骤2：

在攻击计算机上的命令行方式执行以下命令：注意net 和use，use 和\\中有空格，另一个空格在/user 前。

如果策略只允许控制台登录，攻击将得到上述信息，则攻击失败。

如果策略调整过后，则得到以下信息，表示连接建立成功。

此时，我们将可以直接向默认开放的共享目录上传木马。

如果你想知道机器都开有什么样的默认共享，请使用下述命令查看。注意：带$的都是系统默认的共享，即使你没有共享！

步骤3：向admin$下上传冰河木马主程序g_server.exe

注意：本例中冰河木马被放置在攻击机的c:\windows 目录下。上传完毕后可以使用命令查看。

步骤4：

查看被攻击计算机的系统时间。

步骤5：

创建计划任务，让被攻击计算机自动运行该木马。

执行完毕后可以在被攻击机的计划任务中看到这个任务。

接下来等待木马运行。

注意任务管理器中选中的即为刚刚运行起来的木马。

步骤6：

使用木马客户端连接被攻击计算机。

可以看到已经连接成功，至此，通过IPC$的攻击成功。

实验结论：这次试验在经历过数次的失败后终于在老师的指导下成功了，通过这次冰河木马的入侵实验，我知道了windows xp的安全漏洞，以及如何保护计算机的组策略以免受木马以及病毒的入侵，

灰鸽子实验报告

实 验 报 告 实验名称灰鸽子木马实验报告 课程名称网络安全 院系部:信息技术系专业班级：网络101 学生姓名：学号:20100901099

一、实验目的及要求： [目的] 1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。 [内容及要求] 1、练习软件的哪些功能，自己总结 2、通过实验了解灰鸽子是一款的远程控制软件。 3、熟悉使用木马进行网络攻击的原理和方法。 [试验环境] 虚拟机下安装组建一个局域网，2台安装了win2000/win2003/XP系统的电脑，灰鸽子木马软件。 二、实验方法与步骤: （1）打开虚拟机，开启windows server 2003 A 与 windows server 2003 B ，将其网络设备器设置在同一局域网内（例vmnet2）

（2）打开灰鸽子，并查看本机IP地址： （3）点击配置服务程序，新建一个木马病毒：

密码可设置也可不设置 （3）将生产的木马病毒设法放入目标主机，并使其运行： （原始木马样子） （4）目标主机运行后，本机灰鸽子显示其登录： 我们可对目标及进行，下载上传等基本运行 （5）还可以进行更深层次的控制，例如屏幕捕捉与控制，广播，关机开机，注册表的编辑等（看红框标识处）：

(6)灰鸽子木马的伪装，木马捆绑器： 现今社会杀毒软件的辨识度已然很高，而人们的警惕度也越来越 高，木马若想成功的被目标主机运行，必然要做一定的伪装

生成一个可执行文件，虽然风险乜很高，但不失为一种方法！ （6）木马分离器： 三、使用心得 （1）熟悉灰鸽子之后，我们了解了木马的强大以及危害之处，如何防范木马，是当今信息社会的一种不可不重视的问题。 计算机病毒泛滥尤以木马病毒为甚。木马病毒是一种远程控制程 序，“黑客”利用计算机系统和软件的漏洞将一段程序植入远端电脑后，可以借助其配套的控制程序来远程控制中毒

网络安全实验报告-冰河木马实验

网络安全实验报告 冰河木马实验 网络10-2班 XXX 08103635 一、实验目的 通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。 二、实验内容 1、在计算机A上运行冰河木马客户端，学习其常用功能； 2、在局域网内另一台计算机B上种入冰河木马（服务器），用 计算机A控制计算机B； 3、打开杀毒软件查杀冰河木马； 4、再次在B上种入冰河木马，并手动删除冰河木马，修改注 册表和文件关联。 三、实验准备 1、在两台计算机上关闭杀毒软件； 2、下载冰河木马软件； 3、阅读冰河木马的关联文件。 四、实验要求 1、合理使用冰河木马，禁止恶意入侵他人电脑和网络； 2、了解冰河木马的主要功能； 3、记录实验步骤、实验现象、实验过程中出现的意外情况及

解决方法； 4、总结手动删除冰河木马的过程。 五、实验过程 作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。鉴于此，我们就选用冰河完成本次实验。 若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。 冰河控制工具中有三个文件：，，以及。 简单介绍冰河的使用。是监控端执行程序，可以用于监控远程计算机和配置服务器。是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。运行后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件（）的计算机可以对感染机进行远程控制。 冰河木马的使用： 1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。 2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。 6、注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

查木马的简单方法

查木马的简单方法 当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端（就是被种了木马的机器了）打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000则是使用54320等等。那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍。 1．Windows本身自带的netstat命令 关于netstat命令，我们先来看看windows帮助文件中的介绍： Netstat 显示协议统计和当前的TCP/IP 网络连接。该命令只有在安装了TCP/IP 协议后才可以使用。 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 参数 -a 显示所有连接和侦听端口。服务器连接通常不显示。 -e 显示以太网统计。该参数可以与-s 选项结合使用。 -n 以数字格式显示地址和端口号（而不是尝试查找名称）。 -s 显示每个协议的统计。默认情况下，显示TCP、UDP、ICMP 和IP 的统计。-p 选项可以用来指定默认的子集。 -p protocol 显示由protocol 指定的协议的连接；protocol 可以是tcp 或udp。如果与-s 选项一同使用显示每个协议的统计，protocol 可以是tcp、udp、icmp 或ip。 -r 显示路由表的内容。 interval 重新显示所选的统计，在每次显示之间暂停interval 秒。按CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。 好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数： C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0

网络安全实训一

《网络安全与管理》 实训报告 指导老师： 班级： 学号： 姓名： 实训一、Windows口令安全与破译 Pwdump导出本地sam散列 实验目的 1.理解saminside破解本地sam散列的原理。 2.学习psaminside破解本地sam散列的过程。 实验原理 1.Windows hash由LM HASH&NT HASH组成。 2.LM HASH生成规则 系统中用户密码编码使用了OEM内码页，用户密码被限制为最多14个字符，不足14字节用0补全，并转换为大写。固定长度的密码分成两个7 byte部分，每部分在末尾加0，组成新的编码。以上步骤得到的两部分8byte组，分别作为DES key 进行加密。将加密后的两组进行拼接，就成了LM HASH值。 3.NT HASH生成规则

把明文口令从ASCII使用little-endian序转换成Unicode字符，对所获取的Unicode串进行标准MD4单向哈希，无论数据源长度多少字节，MD4固定产生128-bit的哈希值，就得到了NT HASH值。 实验步骤 1.打开开始菜单，找到运行输入“cmd”，找到pwdump工具，在cmd中输入pwddump 工具路径。如下图 2.继续在cmd中输入pwdump.exe ，如图进入pwdump界面。

3.然后再输入pwdump.exe --dump-hash-local，获得当前用户的SAM值。 4.右键标记，复制到文本中，保存到桌面上。 5.打开文件夹C：\实验工具集\02主机安全\02_windows口令安全与破解\第三节 saminside破解本地sam散列，打开SAMinside.exe

灰鸽子网页木马从原理、制作到防范

灰鸽子”网页木马从原理、制作到防范 如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页，经检查，我确实中了灰鸽子。怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？ 因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马 的攻击原理说起。 一、网页木马的攻击原理 首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。 有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。

实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞 来分别说明这两个问题。 ⒈自动下载程序 小提示：代码说明 a. 代码中“src”的属性为程序的网络地址，本例中“https://www.360docs.net/doc/5f3213400.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去，但免费空间出于安全的考虑，多数不允许上传exe文件，黑客可能变通一下把扩展名exe 改为bat或com，这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的…之间（如图1），然后用没打补丁的IE6打开，接下来，打开IE的临时目录，你会发现，在该文件夹中有一个“1.exe”文件，这也就是说，该网页已自动下载了我放置在Web服务器上的灰鸽子木马。

冰河木马的入侵

甘肃政法学院 本科学生实验报告 实验课程：安全扫描技术 实验名称：冰河木马的入侵和防御 计算机科学学院计算机科学与技术专业 09 级计算科学与技术本科班 学号：_ 姓名：_____ __ 指导教师：____李启南_ 成绩：_____________ 完成时间：2011年9月21日

一、实验名称 冰河木马的入侵和防御 二、实验目的 通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机，植入木马程序，控制远程主机。 通过入侵实验理解和账务木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 三、实验内容 安装、卸载、使用冰河木马。 四、实验原理 冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。 木马是隐藏在正常程序中的具有特殊功能的恶意代码，它可以自动启动并在某一端口监听来自控制端的控制信息。 一般木马都采用C/S运行模式，即分为两部分：客户端和服务端木马程序。当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端秘密提出连接请求，获取服务器端的相关信息。 五、实验平台 冰河ROSE 版。 两台装有Windows 2000/XP/7系统的计算机，机房局域网。 六、实验步骤 1、在服务器端计算机上运行冰河服务器程序G_Server.exe。 2. 连接登陆远程主机。 在另一台计算机上打开冰河木马程序客户端，如图1所示。 图1 冰河木马程序客户端 选择“文件—>搜索计算机”，如图2所示设置起始域，起始地址和终止地址，

实验13 木马捆绑与隐藏

木马捆绑与隐藏 12.2.1背景描述 木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email或MSN等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。 12.2.2工作原理 1．木马捆绑 木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。 木马捆绑的手段归纳起来共有四种： （1）利用捆绑机软件和文件合并软件捆绑木马； （2）利用WINRAR、WINZIP等软件制作自解压捆绑木马； （3）利用软件打包软件制作捆绑木马； （4）利用多媒体影音文件传播。 2．木马隐藏 隐藏是一切恶意程序生存之本。以下是木马的几种隐藏手段： （1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。 （2）伪装成图像文件：即将木马图标修改成图像文件图标。

冰河木马 病毒 入侵与防范 详细实验报告 图文教程

目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)

简介 冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。 在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。目的：远程访问、控制。选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT 文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。 一、基础篇（揭开木马的神秘面纱） 无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。那么，就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机， G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!）

网页木马制作全过程(详细)

如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页，经检查，我确实中了灰鸽子。怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。 一、网页木马的攻击原理 首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。 有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。 ⒈自动下载程序 小提示：代码说明 a. 代码中“src”的属性为程序的网络地址，本例中 “https://www.360docs.net/doc/5f3213400.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去，但免费空间出于安全的考虑，多数不允许上传exe文件，黑客可能变通一下把扩展名exe改为bat或com，这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的…之间（如图1），然后用没打补丁的IE6打开，接下来，打开IE的临时目录，

网络攻防实验报告

HUNAN UNIVERSITY 课程实习报告 题目：网络攻防 学生姓名李佳 学生学号201308060228 专业班级保密1301班 指导老师钱鹏飞老师 完成日期2016/1/3 完成实验总数：13 具体实验：1.综合扫描 2.使用 Microsoft 基线安全分析器

3.DNS 溢出实验 4. 堆溢出实验 5.配置Windows系统安全评估 6.Windows 系统帐户安全评估 7.弱口令破解 8.邮件明文窃听 9.网络APR攻击 10.Windows_Server_IP安全配置 11.Tomcat管理用户弱口令攻击 12.木马灰鸽子防护 13.ping扫描 1.综合扫描 X-scan 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息、

注册表信息等。 2.使用 Microsoft 基线安全分析器 MBSA：安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。微软基线安全分析器可对系统扫描后将生成一份检测报告，该报告将列举系统中存在的所有漏洞和弱点。 3.DNS 溢出实验 DNS溢出DNS 的设计被发现可攻击的漏洞，攻击者可透过伪装 DNS 主要服务器的方式，引导使用者进入恶意网页，以钓鱼方式取得信息，或者植入恶意程序。 MS06‐041：DNS 解析中的漏洞可能允许远程代码执行。 Microsoft Windows 是微软发布的非常流行的操作系统。 Microsoft Windows DNS 服务器的 RPC 接口在处理畸形请求时存在栈溢出漏洞，远程攻击者可能利用此漏洞获取服务器的管理权限。

木马攻防感想

木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一，它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类，针对常见的木马攻击方式提出了一些防范措施。 木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友，木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。 【关键词】：木马程序、攻击手段、防范技术、木马的危害

一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中，古罗马人利用一只巨大的木马，麻痹敌人，赢得了战役的胜利，成为一段历史佳话。而在当今的网络世界里，也有这样一种被称做木马的程序，它为自己带上伪装的面具，悄悄地潜入用户的系统，进行着不可告人的行动。 有关木马的定义有很多种，作者认为，木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。 木马程序一般由两部分组成的，分别是Server（服务）端程序和Client（客户）端程序。其中Server 端程序安装在被控制计算机上，Client端程序安装在控制计算机上，Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先，服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序，服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计，目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制，在不同的环境下运行，发挥着不同的作用，但是它们有着许多共同的特征。 （1）隐蔽性

黑客是如何给我们的系统种上木马的

相信很多朋友都听说过木马程序，总觉得它很神秘、很高难，但事实上随着木马软件的智能化，很多骇客都能轻松达到攻击的目的。今天，笔者就以最新的一款木马程序——黑洞2004，从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是，在使用木马程序的时候，请先关闭系统中的病毒防火墙，因为杀毒软件会把木马作为病毒的一种进行查杀。 操作步骤: 一、种植木马 现在网络上流行的木马基本上都采用的是C/S结构（客户端/服务端）。你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 二、使用木马 成功的给别人植入木马服务端后，就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术，所以服务端上线后会自动和客户端进行连接，这时，我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中，随便选择一台已经上线的电脑，然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。 文件管理：服务端上线以后，你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹，并且支持断点传输。简单吧？ 进程管理：查看、刷新、关闭对方的进程，如果发现有杀毒软件或者防火墙，就可以关闭相应的进程，达到保护服务器端程序的目的。 窗口管理：管理服务端电脑的程序窗口，你可以使对方窗口中的程序最大化、最小化、正常关闭等操作，这样就比进程管理更灵活。你可以搞很多恶作剧，比如让对方的某个窗口不停的最大化和最小化。 视频监控和语音监听：如果远程服务端电脑安装有USB摄像头，那么可以通过它来获取图像，并可直接保存为MediaPlay可以直接播放的Mpeg文件；需要对方有麦克风的话，还可以听到他们的谈话，恐怖吧？ 除了上面介绍的这些功能以外，还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能，操作都非常简单，明白了吧？做骇客其实很容易。 3隐藏

防火墙实验报告

南京信息工程大学实验（实习）报告 实验（实习）名称防火墙实验（实习）日期2012.10.12指导教师朱节中 专业10软件工程年级三班次 2 班姓名曾艺学号20102344070 得分 一．实验目的： 1. 了解防火墙的相关知识 2. 防火墙的简单实验 二．实验步骤： 1. 了解防火墙的概念，类型及作用 2. 防火墙的实验 三．实验内容： 1.防火墙的概念防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。由计算机硬件或软件系统构成防火墙，来保护敏感的数据部被窃取和篡改。防火墙是设置在可信任的企业内部和不可信任的公共网或网络安全域之间的以系列部件的组合，它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 2防火墙的类型技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。它们之间各有所长，具体使用哪一种或是否混合使用，要根据具体需求确定。 包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目

的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止访问某些服务类型，但是不能识别内容有危险的信息包，无法实施对应用级协议的安全处理。 代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。代理服务器型防火墙的核心，是运行于防火墙主机上的代理服务器进程，实质上是为特定网络应用连接企业内部网与Internet的网关。它代理用户完成TCP／IP网络的访问功能，实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的代理。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中间转换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活性。代理服务器型防火墙的缺点是可能影响网络的性能，对用户不透明，且对每一种TCP／IP服务都要设计一个代理模块，建立对应的网关，实现起来比较复杂。 复合型防火墙(Hybrid Firewall)把包过滤、代理服务和许多其他的网络安全防护功能结合起来，形成新的网络安全平台，以提高防火墙的灵活性和安全性 3.防火墙技术在网络中的作用防火墙技术作为保护内部网络与外部网络相接入的一道安全屏障，已经越来越受到人们的普遍关注。作为网络安全的屏障只有经过精心选择的应用协议才能通过防火墙，可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。如防火墙

实验1-木马病毒攻防

南昌航空大学实验报告 二〇一三年十一月八日 课程名称：信息安全实验名称：实验1木马攻击与防范 班级：xxx 姓名：xxx 同组人： 指导教师评定：签名： 一、实验目的 通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马，源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1．木马的特性 木马程序为了实现其特殊功能，一般应该具有以下性质： (1)伪装性(2)隐藏性(3)破坏性(4)窃密性 2．木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，攻击者可以利用浏览器的漏洞诱导上网者单击网页，这样浏览器就会自动执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵，获得控制权限，然后在被攻击的服务器上安装并运行木马。3．木马的种类 (1)按照木马的发展历程，可以分为4个阶段：第1代木马是伪装型病毒；第2代木马是网络传播型木马；第3代木马在连接方式上有了改进，利用了端口反弹技术，例如灰鸽子木马；第4代木马在进程隐藏方面做了较大改动，让木马服务器端运行时没有进程，网络操作插入到系统进程或者应用进程中完成，例如广外男生木马。 (2)按照功能分类，木马又可以分为：破坏型木马；密码发送型木马；服务型木马；DOS 攻击型木马；代理型木马；远程控制型木马。 4．木马的工作原理 下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。 (1)木马的传统连接技术；C/S木马原理如图1-1所示。第1代和第2代木马都采用的是C/S连接方式，这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接，当入侵者需要与远程主机连接时，便主动发出连接请求，从而建立连接。 (2)木马的反弹端口技术；随着防火墙技术的发展，它可以有效拦截采用传统连接方式。但防火墙对内部发起的连接请求则认为是正常连接，第3代和第4代“反弹式”木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，如图1-2和图1-3所示。

8木马伪装植入的方法

木马伪装植入的方法 如果我们要想把自己的木马植入到别人的计算机上，首先就要伪装好自己。一般来讲，木马主要有两种隐藏手段： ①把自己伪装成一般的软件 很多用户可能都遇到过这样的情况，在网站上得到一个自称是很好玩或是很有用的小程序，拿下来执行，但系统报告了内部错误，程序退出了。一般人都会认为是程序没有开发好，不会疑心到运行了木马程序这上面。等到运行自己的QQ等程序时，被告知密码不对，自己熟得不能再熟的密码怎么也进不去，这时才会想起检查自己的机器是否被人安装了木马这回事情。 提示： 这种程序伪装成正常程序，实质是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。 ②把自己绑定在正常的程序上面 对于那些老到的黑客来说，他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件，然后用户在安装该正版程序时，就神不知鬼不觉地被种上木马了。 伪装之后，木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了，或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人，像“最新火辣辣小电影！”、“CuteFTP5.0完全解密版！！！”等。 一点不骗人，在安装了这个CuteFTP之后，你的机器就被“完全解密”了，那些喜欢免费盗版的朋友们也要小心了！ 下面介绍几种常见的伪装植入木马的方法： 修改木马图标 将木马服务端程序更改图标，如设为图片图标，并将其扩展名设置为***.jpg.exe格式，直接发给对方，由于Windows的默认设置是隐藏已知文件的扩展名，所以对方收到后就会轻易相信这就是一幅图片。对方运行后，结果毫无反应（运行木马后的典型表现），对方说：“怎么打不开呀!”，回答：“哎呀，不会程序是坏了吧?”，或者说：“对不起，我发错了!”，然后把正确的东西（正常游戏、图片等）发给对方，他收到后只顾高兴就不想刚才为什么会出现那种情况了。 虽然有些木马制作工具中带有修改图标的功能，但是黑客还常常使用其他辅助工具来修改图标。如IconChanger，就是一个更换文件图标工具，其运行界面如图1所示。

实验6 特洛伊木马

实验6 特洛伊木马 6.1 实验类型 综合型，2学时 6.2 实验目的 理解木马工作的原理；掌握典型的木马清除方法。 6.3 实验要求与内容 （1）利用灰鸽子木马模拟木马的工作流程，要求能够完成以下任务： ●生成木马服务端，尽可能的生成能诱惑用户的服务端，比如修改安装路径， 修改图标，修改服务端名称，修改服务名称等。 ●控制对方电脑，要求能够浏览对方的文件，修改对方的注册表，终止对方的 进程，捕获对方的屏幕等操作 （2）清除木马，受害者根据灰鸽子木马的原理清除掉本机上的木马，包括程序，服务等 6.4 实验设备 ●两人合作完成，其中一人为控制端，另一人为服务器端 ●灰鸽子远程控制2007VIP疯狂魔鬼破解版 ●Windows XP Professional作为客户操作系统（Guest OS），要求关闭防火墙功能 6.5 相关知识 1.什么是木马(Trojan)? ?基于远程控制的黑客工具 ?恶意程序，非法获取授权权限，肆意篡改用户电脑中的文件，注册表，控制鼠标，截取用户信息 ?木马一般是C/S(客户/服务器)结构，控制程序处于客户端，被控制程序处于服务器端。 2.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。 配置程序 木马程序 控制程序

3.木马实施入侵的基本步骤 4.特洛伊木马具有如下特性： 隐蔽性，主要体现在意下几个方面： （1）启动的隐蔽性 （2）运行的隐蔽性 （3）通信的隐蔽性 开机自动运行 欺骗性，比如JPEG 木马 自动恢复，多重备份，相互恢复 非授权 5. 木马按照传输方式进行分类： 主动型 反弹端口型：木马服务器主动连接控制端端口，一般去连接80端口 嵌入式木马 6. 6.6 实验指导 特别注意：本次实验需要分析的病毒具有破坏性，仅限于信息安全实验室内使用。请严格遵守《信息安全实验室操作规程》，切勿拷贝、传播等，否则后果自负。 6.6.1 特洛伊木马的配置步骤 1）生成服务端 点击“配置服务程序”，在“IP 通知HTTP 地址”那一栏填入控制端的IP 地址（这里一定要填正确，否则木马不能上线，IP 地址是以10开头的），通过设置“安装选项”,“启动项设置”等可以构造出迷惑用户的木马服务端程序。 木马信息控制端Internet 服务端 ①配置木马②传播木马 ③运行木马④信息反馈⑤建立连接 ⑥远程控制

木马常见植入方法大曝光

对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。 这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。 4把木马文件转换为图片格式 这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。 原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。下一次启动时木马就运行了，无声无息非常隐蔽。 5伪装成应用程序扩展组件 此类属于最难识别的特洛伊木马，也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程，继续进入休眠状况。 举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。当受害者打开QQ时，这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开QQ时木马程序就会同步运行，相较一般特洛伊木马可说是“踏雪无痕”。目前，有些木马就是采用的这种内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL 线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在WindowsNT/2000下，都达到了良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是小心小心再小心！ 6利用WinRar制作成自释放文件 这是最新的伪装方法，把木马服务端程序和WinRar捆绑在一起，将其制作成自释放文件，这样做了以后是非常难以检查的，即使是用最新的杀毒软件也无法发现！识别的方法是：对着经过WinRar捆绑的木马文件点击鼠标右键，查看“属性”，在弹出的“属性”对话框中，会发现多出两个标签“档案文件”和“注释”，点选“注释”标签，你就会发现木马文件了。

网络安全实验报告

本科实验课程报告 （2016至2017学年第1学期） 课程名称：网络信息安全 专业名称： 行政班级： 学号： 姓名： 指导教师：赵学民 报告时间：年月日

实验一：分组密码-DES实验 实验地点：实验日期：成绩： 1、实验目的 通过用DES算法对实际的数据进行加密和解密来深刻了解DES的运行原理2、实验要求 编程实现DES密码。 3、实验原理 DES对64(bit)位的明文分组M进行操作，M经过一个初始置换IP置换成m0，将m0明文分成左半部分和右半部分m0=(L0，R0)，各32位长。然后进行16 轮完全相同的运算，这些运算被称为函数f，在运算过程中数据与密匙结合。经过16轮后，左，右半部分合在一起经过一个末置换 DES算法框图 4、实验步骤 1、打开控制台，进入L001001013xp01_1虚拟环境。

2、使用默认用户名administrator，密码：123456登录到windows xp系统。 3.桌面找到Visual C++ 6.0双击打开 4.点击“文件”——“新建” 5.创建一个win32控制台工程，工程名称和位置自定。 6.左侧工作区，选择“FileView”选项卡。

7.右键工程文件名称，选择“添加文件到工程”。可到d:\tools\51elab1007B\des 中找到相关代码（G_des.c，test.cpp，des.h）。 8.根据原理编写程序，并编译运行（依次点击下图左起三个显性按钮进行编译、建立、运行）。 7、依次按要求输入qwqw、wq、回车、qw，对实验进行验证。 5、实验结果及总结

实验二：文件加解密实验 实验地点：实验日期：成绩： 1、实验目的 熟悉用对称加密的方法加密和解密，学会使用工具OpenSSL，熟悉利用RSA非对称密钥对文件进行加密与解密。 2、实验要求 使用工具OpenSSL，熟悉利用RSA非对称密钥对文件进行加密与解密。 3、实验原理 对称加密原理 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。 RSA非对称加解密算法原理。 RSA密码体制描述： （1）.密钥的生成 选择p,q，p,q为两个大的互异素数，计算n=p*q, j(n)=(p-1)(q-1), 选择整数e使gcd(j(n),e)=1,（1