实验6 基于木马的入侵

木马攻击实验应用场景计算机病毒是一个程序，一段可执行码,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。

就像生物病毒一样，计算机病毒有独特的复制能力。

计算机病毒可以很快地蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上。

当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。

轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。

通常就把这种具有破坏作用的程序称为计算机病毒。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。

当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。

若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。

病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

实验六服务器的安全配置及木马攻击实验【实验目的】1.学会用软件工具监视并控制其他电脑2.了解服务器安全配置的基本方法【实验内容】1.用冰河黑客工具监视并控制另一台电脑2.服务器的安全配置【实验步骤】（一）用冰河黑客工具监视并控制另一台电脑1.配置服务器端程序。

解压“冰河”程序,在控制端计算机上执行客户端监控程序G_Cli-ent.exe,选择“设置”一“配置服务器程序”命令,设置访问口令、将动态IP 发送到指定信箱、邮件通知内容、关联文件类型、改变监听端口等,将服务器端程序G_Server.exe 安装到被监控端计算机上。

2.配置客户端程序。

执行G_Client.exe,选择“文件”一“添加主机”命令,添加要控制的远程计算机名、地址访问口令等，单击“确定”按钮,这时就可以查看被监控端计算机的信息。

3.搜索装有“冰河”程序的计算机。

选择“文件”一“自动搜索”命令，输入监听的端口号、起始城等，单击“开始搜索”按钮,G_Client 可以搜索到指定子网内安装有G_Server.exe“冰河”程序的计算机。

4.控制被监控的计算机屏幕。

选择“文件”一“屏幕控制”命令,单击“确定”按钮，可以在本地计算机上对远程计算机进行操作。

5.操作被监控计算机的文件。

执行G_Client.exe,在“文件管理器”中可以看到被监控的计算机磁盘目录,可以对远程计算机执行复制、文件下载等操作。

6.获取被监控计算机的口令。

在“命令控制台”中选择“口令类命令”选项，可以看到被监控计算机的系统信息及口令、历史口令、击键记录等。

（一）服务器安全配置1.严格控制硬盘读写权限、用户的用户与密码要足够复杂、取消系统默认的共享文件夹。

开启系统的防火墙，安装齐全最新的系统补丁。

系统防火墙的管理界面，在右击“本地连接”——“属性”——“高级”2.在网络设备甚至在服务器，限制敏感端口的访问，例如，修改Tcp的1433端口、UDP的1434端口，修改远程登陆默认的端口号3389；甚至只允许个别IP能访问服务器。

病毒实验报告——木马程序设计姓名：潘莹学号：U200915340 班级：信息安全0903班日期：2012.01.10目录木马原理 (3)实验目的 (9)实验设计 (9)实现的功能 (9)各个功能陈述 (10)实验模块 (11)socket编程 (11)隐藏技术——服务级木马 (13)钩子技术 (14)进程查杀 (15)实验详细设计 (15)实验截屏 (16)心得体会 (18)附录 (18)附录一木马程序源代码 (18)附录二钩子源代码 (37)附录三参考书籍 (45)木马原理一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

木马原理用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：(1) 木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2) 信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

电子科技大学实验报告学生姓名：学号：指导教师：实验地点：主楼A2-413-1 实验时间：一、实验室名称：主楼A2-413-1二、实验项目名称：木马技术初级实验1三、实验学时：1 学时四、实验原理：木马进行网络入侵，从过程上看大致可分为六步：（1）木马配置一般来说，一个成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下的功能：第一让木马程序更加隐蔽，比如隐蔽的文件名，文件图标，文件属性。

第二就是设置信息反馈的方式，比如在窃取信息后，发送邮件到攻击者，或者上传至某处等等。

第三就是如果是反向连接的木马，需要配置获得攻击者的IP并连接的具体方式。

（2）传播木马根据配置生产木马后，需要将木马传播出去，比如通过邮件诱骗，漏洞攻击等。

（3）运行木马在用户机器上木马程序一旦被运行后，木马便会安装并驻留在用户系统中。

木马通过各种手段防止不被用户发现，并且随系统启动而启动，以求获得最长的生命期。

并在这一期间会通过各种手段向攻击者发出反馈信息，表示木马已经获得运行。

（4）建立连接无论是正向连接还是反向连接的木马，都会在入侵用户机器成功运行伺机与攻击者获得联系，正向连接的木马往往是开发一个特定的端口，然后由攻击者扫描到被攻击机器建立连接。

如果是反向连接的木马，则是木马本身在一定的情况下获得攻击者的IP地址，并主动建立连接。

（5）远程控制攻击者一端与被控端建立连接后，它们之间便架起了一条网络通讯的通道，攻击者通过向被控端发出各种请求操作实现远程控制。

现在的木马程序功能都做的非常完善，操作远端机器就如同本地操作一样简单容易。

4．木马/后门的特点与技术（1）木马隐蔽技术木马的隐藏主要分为文件隐藏、进线程隐藏、端口隐藏、注册表隐藏等等。

隐藏的手段也多种多样。

并且这项技术是关乎木马本身生命周期的关键因素。

通过编写驱动程序隐藏木马的方法已非常多见，用户在未使用一些更高级的工具之前是无法发现木马的存在的，对于防病毒软件来说清除难度也较大。

利用IPC$植入木马实验班级：113801姓名：崔征学号：080223实验环境：本机系统XP 或win7，虚拟机运行XP 或win003。

实验软件：冰河2.2实验目的：掌握这类病毒入侵计算机的基本方法实验内容：Ipc$是windows 操作系统专有的远程管理工具，但由于其在相对应的安全策略上有漏洞，导致在整个windows 中存在巨大的隐患。

本实验就是通过利用Ipc$向目标计算机（windowsXP 或windows2003）植入冰河木马来达到远程控制对方计算机，让大家了解windows 安全策略的重要性。

实验准备：VM 中运行windowsXP 或2003，充当被控制机器，本机充当攻击者，本机准备冰河木马软件，关闭两个机器的防火墙，关闭两个机器的杀毒软件。

配置虚拟机网卡连接到本机的Vnet1 网卡上，配置内外网络畅通，本例内部计算机地址为192.168.242.130。

实验步骤：步骤1：配置VM 计算机的安全策略，使攻击能顺利进行。

这个账户策略中指定administrator 在空白密码时只能进行控制台登陆，如果不关闭这个选项，则Ipc$攻击无法进行。

所以这个策略在我们的计算机上一定要打开！将网络访问：本地账户的共享和安全模式调整为经典模式，这样在登录时可以使用管理员账户获取到最大权限，否则只能以guest 模式运行，导致文件无法上传。

步骤2：在攻击计算机上的命令行方式执行以下命令：注意net 和use，use 和\\中有空格，另一个空格在/user 前。

如果策略只允许控制台登录，攻击将得到上述信息，则攻击失败。

如果策略调整过后，则得到以下信息，表示连接建立成功。

此时，我们将可以直接向默认开放的共享目录上传木马。

如果你想知道机器都开有什么样的默认共享，请使用下述命令查看。

注意：带$的都是系统默认的共享，即使你没有共享！步骤3：向admin$下上传冰河木马主程序g_server.exe注意：本例中冰河木马被放置在攻击机的c:\windows 目录下。

实验指导5 木马攻击与防范实验1.实验目的理解和掌握木马传播和运行的机制，掌握检查和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

2.预备知识2.1木马及木马技术的介绍（1）木马概念介绍很多人把木马看得很神秘，其实，木马就是在用户不知道的情况下被植入用户计算机，用来获取用户计算机上敏感信息（如用户口令，个人隐私等）或使攻击者可以远程控制用户主机的一个客户服务程序。

这种客户/服务模式的原理是一台主机提供服务（服务器），另一台主机使用服务（客户机）。

作为服务器的主机一般会打开一个默认的端口并进行监听（Listen），如果有客户机向服务器的这一端口提出连接请求（Connect Request），服务器上的相应守护进程就会自动运行，来应答客户机的请求。

通常来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供预定的服务。

（2）木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。

于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口。

木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口；为了隐蔽起见，控制端的被动端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。

（3）线程插入技术木马程序的攻击性有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的EXE可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。

这样木马的攻击性和隐藏性就大大增强了。

2.2木马攻击原理特洛伊木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。

一．网页木马原理及相关定义浏览器是用来解释和显示万维网文档的程序，已经成为用户上网时必不可少的工具之一。

“网页木马”由其植入方式而得名，是通过浏览网页的方式被植入到被控主机上，并对被控主机进行控制。

与其它网页不同，木马网页是黑客精心制作的，木马网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

如果打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那么用户将会面临巨大的威胁。

实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

本练习中，我们利用微软的MS06014漏洞，完成网页木马的植入。

二．名词解释1．MS06014漏洞MS06014漏洞存在于Microsoft Data Access Components,利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。

由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的程序就会不经过用户的确认而自动执行。

2．iframe标签iframe 也叫浮动帧标签，它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。

例如：被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。

如果把宽（width）、高（height）、边框（frameborder）都设置为了“0”，代码插入到首页后，首页不会发生变化，但是嵌入的网页实际上已经打开。