木马演示实验
实验13 木马捆绑与隐藏
木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。
为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。
在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。
总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。
12.2.2 工作原理1.木马捆绑木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。
这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。
木马捆绑的手段归纳起来共有四种:(1)利用捆绑机软件和文件合并软件捆绑木马;(2)利用WINRAR、WINZIP 等软件制作自解压捆绑木马;(3)利用软件打包软件制作捆绑木马;(4)利用多媒体影音文件传播。
2.木马隐藏隐藏是一切恶意程序生存之本。
以下是木马的几种隐藏手段:(1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。
(2)伪装成图像文件:即将木马图标修改成图像文件图标。
(3)伪装成应用程序扩展组件:将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。
因为人们一般不怀疑这些软件。
(4)错觉欺骗:利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。
实验二 网络木马攻击实验
实验二网络木马攻击实验1.实现目的:1.模拟网络木马攻击计算机,并对计算机实施控制;2.理解木马是怎样植入一个计算机;3.了解木马的危害,以及它是怎样挂载的.2.实验步骤1.先启动病毒网站的服务,然后合并好三个后台TXT文件,然后改成.htm格式,放在木马网站的文件夹下;2.修改正常网站的html文件,加入标签,使其访问木马网站;3.被攻击计算机首先设置好自己的协议分析器,对通信进行捕获;4.被攻击计算机运行灰鸽子程序,生成木马网站的服务器程序,并将其与木马网站文件放在同一文件夹下;5.使用被攻击计算机访问攻击计算机,访问了正常的网站时候,会执行包含有木马代码网站文件,至此木马攻击计算机,然后被攻击的一方会被攻击一方控制,如果攻击一方愿意的话.3.实验截图分析1.从端口监控来看,8000号端口已经打开.2.进程监视器中显示了名称的进程,这是黑客,也就是木马进程,说明木马已经开始工作.3.winlogin进程也在进程监控视图中显示,说明有主机访问网站.4.前面的几个截图充分显示了病毒攻击的前奏已经奏响.接下来可以利用植入的木马程序对被攻击的主机进行操作,操作包括文件控制等.以下是修改文件的操作截图.首先,我们可以查看到被攻击的主机上有一个文件.然后,我们可以打开此文件,并输入”this is ok!”.下图是被攻击方的屏幕对比.4.实验体会首先,不得不说一下,真的是第一次终于成功完成了实验要求.能够操作对方的机器真的是非常过瘾,而且还是利用木马的攻击的方法.终于体验到了什么是木马,近距离地看到了木马.因为,以前对于木马的了解只是停留于感性的认识,偶尔的从杀毒软件中查杀到木马,大概了解到世界上还有一种叫木马的东西.可是,自己却不知道什么才是木马,它是怎么工作的,它能带来哪些危害,这一些,在这一次实验课都得到了回答.特别是了解到了木马的基本入侵流程,让我对于安全防范有了进一步的认识.真希望以后可以有更多类似于此的实验内容,或者不仅仅是实验,而是实战.从课本上能学到的毕竟有限,自己以后课堂下也要多多努力.。
《计算机病毒》木马实现技术实验
《计算机病毒》木马实现技术实验实验报告题目:木马实现技术实验姓名:王宇航学号:09283020实验环境:主机:Windows 7 虚拟机:Windows xp操作系统:windows系统XP(√)2003()其他:软件:visual C++6.0 ,VMware ,远程连接工具:硬件环境:CPU主频()内存()实验内容:实验一:木马程序实验将Server程序放到受害者计算机上,然后诱骗他们执行一次木马程序。
在得到目标机的IP后,启动client程序,连接到目标机的777端口,连接成功后,就可以操作目标机,输入命令。
实验二:测试注册表加载型木马door1 用VC++编译door的代码,运行编译的程序,查看注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]2 分析代码,给出防御策略实验三:测试服务级木马svchost1 编译代码2 安装、卸载木马程序,观察系统服务状况。
3 分析程序,给出防御策略实验过程:实验一:1 打开给的实验文件,其中SocketListener 目录下是木马Server 端源代码,SocketCommand目录下是木马Client 端源代码。
2 用Visual Studio 6.0 环境分别编译这两部分代码3 运行SocketListener 应用程序,也就是启动了木马被控制端4 运行SocketCommand 应用程序,也就是启动了木马的控制端,可以在控制端执行命令来控制被控制端实验二:测试注册型加载木马door1、编译指定代码后,查看注册表的变化,多了一项door2、可以使用第三方的系统查看工具,例如IceSword 工具,查看启动组,也能发现注册表加载的所有程序。
实验三:测试服务级木马svchost1、编译并运行木马,若安装服务成功,运行windows 服务命令“net start system”查看启动的系统服务或是在“控制面板”的“管理工具”中“服务”查看已经启动的服务。
木马病毒原理及特征分析PPT演示课件
木马程序一般非常小,只有是几K到几十K,如果把木马捆绑到 其它正常文件上,用户是很难发现的,所以,有一些网站被人 利用,提供的下载软件往往捆绑了木马文件,在用户执行这些 下载的文件的同时,也运行了木马
通过一般的病毒和蠕虫传播
通过带木马的磁盘和光盘进行传播
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制;
木马病毒的原理及特征分 析
08:47:32
1
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一 种恶意程序,是一种基于远程控制的黑客工具, 一旦侵入用户的计算机,就悄悄地在宿主计算 机上运行,在用户毫无察觉的情况下,让攻击 者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘,或窃取用户信息
08:47:32
18
特洛伊木马技术的发展
木马的发展及成熟,大致也经历了两个阶段 Unix阶段 Windows阶段
木马技术发展至今,已经经历了4代 第一代木马
只是进行简单的密码窃取、发送等,没有什么特别之处
第二代木马
在密码窃取、发送等技术上有了很大的进步,冰河可以说是国内木马 的典型代表之一
Infis作为内核模式驱动程序驻留内存,并且挂钩文件 操作,它能够在文件打开时立即感染该文件。
安装程序把病毒拷贝到系统内存中,并在系统注册表 中添加该病毒的注册项。该病毒把自己的可执行代码 连同自己的PE文件头一起追加到目标文件的末尾, 然后从自己代码中提取出一个名为INF.SYS的独立驱 动程序,把这个程序保存在%SystemRoot%\ system32 \drivers目录下,修改注册表,保证下一次 系统启动时病毒也能够进入运行状态。
实验七 BO2K木马实验
实验七BO2K木马实验1.实验目的(1)熟悉BO2K木马的源代码。
(2)熟悉BO2K木马的原理和用法2.实验所需条件和环境1、硬件HPDX23582、Windows32操作系统,Visual Studio 6.0 编译环境3.实验步骤1、从随书资源目录\Experiment\BO2k,文件为工程文件bo2k.dsw,使用Visual Studio6.0 编译该工程,编译过程中需要修改配置2、链接生成bo2k.exe可执行程序及客户端程序bo_client.exe。
执行bo2k.exe和bo_client.exe观察执行源码观察实验效果。
3、设计思路:1. 设计1.1功能本程序利用开放主机端口号和各个木马程序使用端口的对应关系,判断主机是否已中木马,中了何种木马(目前能查找一百余种),并能根据所中木马的类型,对其中的二十几种进行杀灭。
此外,用户可自行追加数据库,增加能查找病毒的种类。
1.2程序流程1.3核心数据结构本程序的数据文件Trojan.txt使用了TROJAN结构来保存木马的名称,对应打开端口号和查杀代码:TROJAN:字段名称字段类型字段说明nPort 数字该木马所使用的端口号。
TroName 字符串该木马的名称。
nKillno 数字该木马的查杀号,杀除函数调用。
pnext 指针用于构成链表结构指针在Trojan.txt中,每行为一个木马项,格式为2. 关键技术2.1技术背景一般情况下,特定木马在运行时都会打开特定的端口和主控端进行通信,利用木马的这个特征,我们可以通过建立一个已知木马的名称和其使用端口的对应数据库来检测主机是否感染了木马,一旦得知了木马名称,就可以调用针对此木马的杀灭手段进行消除。
本程序就是利用了木马这样的特性进行编写,在windows系统中,netstat命令可以很轻松的取得本地打开端口的列表,我们可以在程序中用system函数调用此命令,并读取保存的结果,就可以取得主机所有打开的端口(包括tcp和udp)。
木马病毒攻击实验
访问以后看你的计算机是否开始注销或者关闭了。
八、实验数据及结果分析:
由于这个脚本是针对IE的漏洞进行设计的,因此对于Windows2000和Windows Xp,这个木马都有效。当然对于已经打了补丁的系统,这个脚本就无能为力了。另外由于已经对木马加密了,所以在一定程度上这个木马脚本还有一定免查杀能力,在某些实验环境下杀毒软件没有任何提示,因为现在的杀毒软件多数都是根据的病毒的特征码来查杀病毒的,而加密以后就不在具有病毒的特征码描述的特征了。
步骤2改为访问http://localhost/jstrojan/breed/index.html
通过命令行查看用户目录,然后到用户目录去看一下,是否有很多可执行文件生成(最多可以达到30000个,我们限制了数量),检查这些可执行文件是否有自我们繁殖功能。
实验三
通过木马关闭计算机
步骤基本和实验一相同
十一、对本实验过程及方法、手段的改进建议:
我们在实验中使用的木马功能其实并不够强大,也就是只有演示功能,其实我们完全可以把远程控制功能加到木马写木马中,这样才能够算是真正意义上的木马,一旦用户访问了我们指定的页面,该计算机就会被我们所控制。
报告评分:分
指导教师签字:
o.Fields("a").Value="这里是HTA的代码"
hta代码在IE临时文件夹内找到bbs003302.css并且改成可执行文件,然后修改成AUTOEXEC.BAT隐藏运行.这里HTA是指HTML Application(关于它的信息请参考Windows的帮助文档)
四、跨域运行HTA的实现.
冰河木马攻击实验报告(3篇)
第1篇一、实验背景随着互联网技术的飞速发展,网络安全问题日益突出。
为了提高网络安全防护能力,本实验旨在通过模拟冰河木马攻击,了解其攻击原理、传播途径以及防护措施。
实验过程中,我们将使用虚拟机环境,模拟真实网络环境下的木马攻击,并采取相应的防护措施。
二、实验目的1. 了解冰河木马的攻击原理和传播途径。
2. 掌握网络安全防护的基本方法,提高网络安全意识。
3. 熟悉网络安全工具的使用,为实际网络安全工作打下基础。
三、实验环境1. 操作系统:Windows 10、Linux Ubuntu2. 虚拟机软件:VMware Workstation3. 木马程序:冰河木马4. 网络安全工具:杀毒软件、防火墙四、实验步骤1. 搭建实验环境(1)在VMware Workstation中创建两个虚拟机,分别为攻击机和被攻击机。
(2)攻击机安装Windows 10操作系统,被攻击机安装Linux Ubuntu操作系统。
(3)在攻击机上下载冰河木马程序,包括GClient.exe和GServer.exe。
2. 模拟冰河木马攻击(1)在攻击机上运行GClient.exe,连接到被攻击机的GServer.exe。
(2)通过GClient.exe,获取被攻击机的远程桌面控制权,查看被攻击机的文件、运行进程等信息。
(3)尝试在被攻击机上执行恶意操作,如修改系统设置、删除文件等。
3. 检测与防护(1)在被攻击机上安装杀毒软件,对系统进行全盘扫描,查杀木马病毒。
(2)关闭被攻击机的远程桌面服务,防止木马再次连接。
(3)设置防火墙规则,阻止不明来源的连接请求。
4. 修复与恢复(1)对被攻击机进行系统备份,以防数据丢失。
(2)修复被木马破坏的系统设置和文件。
(3)重新安装必要的软件,确保系统正常运行。
五、实验结果与分析1. 攻击成功通过实验,我们成功模拟了冰河木马攻击过程,攻击机成功获取了被攻击机的远程桌面控制权,并尝试执行恶意操作。
2. 防护措施有效在采取防护措施后,成功阻止了木马再次连接,并修复了被破坏的系统设置和文件。
实验4-木马及病毒攻击与防范65页
三. 实验环境
三. 实验环境
两台运行windows 2000/XP/2019的计算机, 通过网络连接。通过配置“灰鸽子”木马, 了解木马工作原理并实现对木马的检测和查 杀。
11
四. 实验内容
四. 实验内容
1.灰鸽子介绍
灰鸽子是国内近年来危害非常严重的一种木马程 序。
12
四. 实验内容
4.配置服务端:在使用木马前配置好,一般不改变, 选择默认值。 细节注意如下:监听端口7626可更换(范围 在1024~32768之间);关联可更改为与EXE文件 关联(就是无论运行什么exe文件,冰河就开始 加载;还有关键的邮件通知设置:如下图!
33
冰河操作(9)
4.配置服务端:
34
冰河操作(10)
第五代木马在隐藏方面比第四代木马又进行了进 一步提升,它普遍采用了rootkit技术,通过 rootkit技术实现木马运行
5
二. 实验原理
二. 实验原理
4.木马的连接方式
一般木马都采用C/S运行模式,它分为两部分, 即客户端和服务器端木马程序。黑客安装木马的 客户端,同时诱骗用户安装木马的服务器端。
RootKit技术
RootKit是一种隐藏技术,它使得恶意程序可以逃避操 作系统标准诊断程序的查找。
9
二. 实验原理
二. 实验原理
6.木马的检测
木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再新, 也会在操作系统中留下痕迹。如果能够对系统中 的文件、注册表做全面的监控,可以实现发现和 清除各种木马的目的。
其生日号。2.2版本后均非黄鑫制作。
21
端口扫描工具
工具下载:远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
任务十木马演示
一、实验目的:
通过模拟演示木马程序,加深对恶意代码工作过程的理解,掌握恶意代码防范方法及清除方法。
二、实验环境:
两台预装WindowsXP的主机,通过网络互连
软件工具:冰河木马或灰鸽子木马
三、实验要求:
1.实训要求:使用冰河对远程计算机进行控制
2.实训步骤:
(1)配置服务器程序:冰河的客户端程序为G-client.exe,在冰河的控制端可以对服务器端进行配置,如图1所示:
图1
冰河的安装路径、文件名、监听端口为:<system> ;kernel32.exe ;7626。
冰河在注册表设置的自我保护的内容,就是我们查杀时所要寻找的内容,配置完后生成服务器端程序为G-server.exe。
服务器端一旦运行,该程序就会按照前面的设置在C:\WINNT\system32下生成kernel32.exe和sysexplr.exe,并删除自身。
Kernel32.exe在系统启动时自动加载运行,在注册表中sysexplr.exe和TXT文件关联,如图2所示:
图2
(2)传播木马:通过邮件、QQ等方式传播该木马服务器程序,并诱惑被攻击者运行改程序。
(3)客户端(控制端)操作:冰河的客户端界面如图3所示,冰河的功能是:自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息等
图3
(4)冰河木马的防御:中了该木马后,该计算机会主动打开端口等待控制端来连接。
这样很容易被人发现,而安装了防火墙的计算机会阻止该计算机主动对外的连接。
所以安装防火墙是对传统木马的有效防御。
(5)冰河木马的手工清除方法:
A、删除C:\WINNT\system下的kernel32.exe和sysexplr.exe文件
B、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run
下键值为C:\WINNT\system\kernel32.exe
C、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run
下键值为C:\WINNT\system\sysexplr.exe
D、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,将中木马
后的C:\WINNT\system32\sysexplr.exe%1改为正常的C:\WINNT\notepad.exe%1即可恢复TXT文件关联功能。
3.编写总结报告。