網(wǎng)絡安全基礎實訓

1、蘇 州 市 職 業(yè) 大 學實習（實訓）任務書 名 稱： 網(wǎng)絡安全基礎實訓 起訖時間： 2012年6月20日 至 6月22日 院 系： 計算機工程系 班級： 10網(wǎng)絡安全（CIW） 指導教師： 肖長水 方立剛 系 主 任： 李 金 祥 一、 實習（實訓）目的和要求實訓說明：本次實訓使用信1-510信息安全實訓室的“網(wǎng)絡信息安全教學實驗系統(tǒng)”；實訓中所涉及主機名和IP地址應該用實訓中實際使用的主機名和IP地址代替；根據(jù)實訓過程，完成實訓步驟中所需填寫的內(nèi)容；實訓結(jié)束，對本次實訓過程寫一份實訓總結(jié)。實訓一 網(wǎng)頁木馬【實訓目的】l 剖析網(wǎng)頁木馬的工作原理l 理解木馬的植入過程l 學會編寫簡單的網(wǎng)頁木馬

2、腳本l 通過分析監(jiān)控信息實現(xiàn)手動刪除木馬【實訓人數(shù)】每組2人【系統(tǒng)環(huán)境】Windows 【網(wǎng)絡環(huán)境】交換網(wǎng)絡結(jié)構(gòu)【實訓工具】灰鴿子木馬監(jiān)控器工具網(wǎng)絡協(xié)議分析器【實訓原理】見網(wǎng)絡信息安全教學實驗系統(tǒng)實驗26練習一。實訓二 明文嗅探【實訓目的】l 了解明文嗅探l 能夠利用嗅探工具獲取郵件賬號l 了解Base64編碼應用【實訓人數(shù)】每組2人【系統(tǒng)環(huán)境】Windows 【網(wǎng)絡環(huán)境】交換網(wǎng)絡結(jié)構(gòu)【實訓工具】Base64轉(zhuǎn)碼器網(wǎng)絡協(xié)議分析器【實訓原理】見網(wǎng)絡信息安全教學實驗系統(tǒng)實驗21練習一。實訓三 Web漏洞掃描器【實訓目的】l 了解漏洞掃描原理l 設計一個簡單Web漏洞掃描器【實訓人數(shù)】每組1人【系統(tǒng)

3、環(huán)境】Windows 【網(wǎng)絡環(huán)境】交換網(wǎng)絡結(jié)構(gòu)【實訓工具】VC+6.0網(wǎng)絡協(xié)議分析器【實訓原理】見網(wǎng)絡信息安全教學實驗系統(tǒng)實驗20練習三。實訓四 Outlook郵件病毒【實訓目的】l 了解郵件型病毒的傳播方式l 了解郵件型病毒的工作原理l 掌握郵件型病毒的殺毒方法【實訓人數(shù)】每組2人【系統(tǒng)環(huán)境】Windows 【網(wǎng)絡環(huán)境】交換網(wǎng)絡結(jié)構(gòu)【實訓工具】Microsoft Outlook 2003Microsoft Word 2003【實訓原理】見網(wǎng)絡信息安全教學實驗系統(tǒng)實驗35練習一。實訓五 PGP應用【實訓目的】l 學會利用PGP工具實現(xiàn)安全通信l 解安全通信實現(xiàn)過程【實訓人數(shù)】每組2人【系統(tǒng)環(huán)境

4、】Windows【網(wǎng)絡環(huán)境】交換網(wǎng)絡結(jié)構(gòu)【實訓工具】GnuPG【實訓原理】見網(wǎng)絡信息安全教學實驗系統(tǒng)實驗9練習二。實訓六 Windows2003防火墻應用【實訓目的】l 了解防火墻的含義與作用l 學習防火墻的基本配置方法【實訓人數(shù)】每組3人【系統(tǒng)環(huán)境】Windows 【網(wǎng)絡環(huán)境】交換網(wǎng)絡結(jié)構(gòu)【實訓工具】UdpToolsWindows Server 2003系統(tǒng)防火墻網(wǎng)絡協(xié)議分析器【實訓原理】見網(wǎng)絡信息安全教學實驗系統(tǒng)實驗27練習一。二、實習（實訓）內(nèi)容實訓一 網(wǎng)頁木馬【實訓步驟】本練習主機A、B為一組，C、D為一組，E、F為一組。實訓角色說明如下：實訓主機實訓角色主機A、C、E木馬控制端（木馬

5、客戶端）主機B、D、F木馬被控端（木馬服務器）下面以主機A（丁正言）、B（吳寧）為例，說明實訓步驟。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一木馬生成與植入在進行本實訓步驟之前，我們再來闡述一下用戶主機通過訪問被“掛馬”的網(wǎng)站而被植入木馬的過程，便于同學們理解和完成實訓。（1）用戶訪問被“掛馬”的網(wǎng)站主頁。（此網(wǎng)站是安全的）（2）“掛馬”網(wǎng)站主頁中的<iframe>代碼鏈接一個網(wǎng)址（即一個網(wǎng)頁木馬），使用戶主機自動訪問網(wǎng)頁木馬。（通過把<iframe>設置成不可見的，使用戶無法察覺到這個過程）（3）網(wǎng)頁木馬在得到用戶連接后，自動發(fā)送安裝程序給用戶。（4）如果用戶主

6、機存在MS06014漏洞，則自動下載木馬安裝程序并在后臺運行。（5）木馬安裝成功后，木馬服務端定時監(jiān)測控制端是否存在，發(fā)現(xiàn)控制端上線后立即彈出端口主動連接控制端打開的被動端口。（6）客戶端收到連接請求，建立連接。1 生成網(wǎng)頁木馬（1）主機A首先通過Internet信息服務(IIS)管理器啟動“木馬網(wǎng)站”。如圖1-1所示：圖1-1 啟動“木馬網(wǎng)站”（2）主機A進入實訓平臺在工具欄中單擊“灰鴿子”按鈕運行灰鴿子遠程監(jiān)控木馬程序。如圖1-2所示：圖1-2 運行灰鴿子程序（3）主機A生成木馬的“服務器程序”。主機A單擊木馬操作界面工具欄“配置服務程序”按鈕，彈出“服務器配置”對話框,單擊“自動上線設置

7、”屬性頁，在“IP通知http訪問地址、DNS解析域名或固定IP”文本框中輸入本機IP地址，在“保存路徑”文本框中輸入“D:WorkIISServer_Setup.exe”，單擊“生成服務器”按鈕，生成木馬“服務器程序”。如圖1-3所示：圖1-3 服務器配置（4）主機A編寫生成網(wǎng)頁木馬的腳本。在桌面建立一個“Trojan.txt”文檔，打開“Trojan.txt”，將實訓原理中網(wǎng)馬腳本寫入，并將第15行“主機IP地址”替換成主機A的IP地址。把“Trojan.txt”文件擴展名改為“.htm”，生成“Trojan.htm”。注 C:ExpNISNetAD-LabProjectsTrojanTr

8、ojan.htm文件提供了VB腳本源碼。將生成的“Trojan.htm”文件保存到“D:WorkIIS”目錄下(“D:WorkIIS”為“木馬網(wǎng)站”的網(wǎng)站空間目錄)，“Trojan.htm”文件就是網(wǎng)頁木馬程序。2 完成對默認網(wǎng)站的“掛馬”過程（1）主機A進入目錄“C:Inetpubwwwroot”，使用記事本打開“index.html”文件。（“默認網(wǎng)站”的網(wǎng)站空間目錄為“C:Inetpubwwwroot”,主頁為“index.html”）（2）對“index.html”進行編輯。在代碼的底部加上<iframe>語句，具體見實訓原理名詞解釋iframe標簽（需將圖1-4 編輯“i

9、ndex.html”3 木馬的植入（1）主機B設置監(jiān)控。主機B進入實訓平臺，單擊工具欄“監(jiān)控器”按鈕，打開監(jiān)控器。在向?qū)谥幸来螁印斑M程監(jiān)控”、“端口監(jiān)控”，選擇“文件監(jiān)控”，在菜單欄中選擇“選項”“設置”，在設置界面中設置監(jiān)視目錄“C:Windows”（默認已被添加完成），操作類型全部選中，啟動文件監(jiān)控。如圖1-5所示：圖1-5 設置文件控制操作啟動協(xié)議分析器，單擊菜單“設置”“定義過濾器”，在彈出的“定義過濾器”對話框中選擇“網(wǎng)絡地址”選項卡，設置捕獲主機A與主機B之間的數(shù)據(jù)。如圖1-6所示：圖1-6 定義過濾器新建捕獲窗口，點擊“選擇過濾器”按鈕，確定過濾信息。在捕獲窗口工具欄中點擊“

10、開始捕獲數(shù)據(jù)包”按鈕，開始捕獲數(shù)據(jù)包。主機B啟動IE瀏覽器，訪問“http:/ 主機A的IP地址”。（2）主機A等待“灰鴿子遠程控制”程序主界面的“文件管理器”屬性頁中“文件目錄瀏覽”樹中出現(xiàn)“自動上線主機”時通知主機B。（3）主機B查看“進程監(jiān)控”、“服務監(jiān)控”、“文件監(jiān)控”和“端口監(jiān)控”所捕獲到的信息。如圖1-71-10所示：圖1-7 服務監(jiān)控圖1-8 端口監(jiān)控圖1-9 進程控制圖1-10 文件監(jiān)控在“進程監(jiān)控”“變化視圖”中查看是否存在“進程映像名稱”為“H.ini”的新增條目。觀察進程監(jiān)控信息，結(jié)合實訓原理回答下面的問題。H.ini文件是由哪個進程創(chuàng)建的：_3744_；在“服務監(jiān)控”中

11、單擊工具欄中的“刷新”按鈕，查看是否存在“服務名稱”為“Windows XP Vista” 的新增條目，觀察服務監(jiān)控信息，回答下面的問題。Windows XP vista服務的執(zhí)行體文件是：_ C:WINDOWSH.ini _；在“文件監(jiān)控”中查看“文件名”為“C:WINDOWSH.ini”的新增條目。在“端口監(jiān)控”中查看“遠程端口”為“8000”的新增條目，觀察端口監(jiān)控信息，回答下面問題：8000服務遠程地址（控制端）地址：_19_；經(jīng)過對上述監(jiān)控信息的觀察，你認為在“進程監(jiān)控”中出現(xiàn)的winlogoin.exe進程（若存在）在整個的木馬植入過程中起到的作用是：_管理用

12、戶登錄和退出_；（4）主機B查看協(xié)議分析器所捕獲的信息。如圖1-11所示：圖1-11 協(xié)議分析器捕獲信息二木馬的功能1 文件管理（1）主機B在目錄“D:WorkTrojan”下建立一個文本文件，并命名為“Test.txt”。如圖1-12所示：圖1-12 新建文本文件（2）主機A操作“灰鴿子遠程控制”程序來對主機B進行文件管理。單擊“文件管理器”屬性頁，效仿資源管理器的方法在左側(cè)的樹形列表的“自動上線主機”下找到主機B新建的文件“D:WorkTrojanTest.txt”。在右側(cè)的詳細列表中對該文件進行重命名操作。如圖1-13所示：圖1-13 重命名操作（3）在主機B上觀察文件操作的結(jié)果。如圖1

13、-14所示：圖1-14 觀察文件操作的結(jié)果2 系統(tǒng)信息查看主機A操作“灰鴿子遠程控制”程序查看主機B的操作系統(tǒng)信息。單擊“遠程控制命令”屬性頁，選中“系統(tǒng)操作”屬性頁，單擊界面右側(cè)的“系統(tǒng)信息”按鈕，查看主機B操作系統(tǒng)信息。如圖1-15所示：圖1-15 系統(tǒng)信息查看3 進程查看（1）主機A操作“灰鴿子遠程控制”程序?qū)χ鳈CB啟動的進程進行查看。單擊“遠程控制命令”屬性頁，選中“進程管理”屬性頁，單擊界面右側(cè)的“查看進程”按鈕，查看主機B進程信息。如圖1-16所示：圖1-16 查看主機B的進程信息（2）主機B查看“進程監(jiān)控”“進程視圖”枚舉出的當前系統(tǒng)運行的進程，并和主機A的查看結(jié)果相比較。如圖1

14、-17所示：圖1-17 在主機B上查看的進程4 注冊表管理主機A單擊“注冊表編輯器”屬性頁，在左側(cè)樹狀控件中“遠程主機”（主機B）注冊表的“HKEY_LOCAL_MACHINESoftware” 鍵下，創(chuàng)建新的注冊表項；對新創(chuàng)建的注冊表項進行重命名等修改操作；刪除新創(chuàng)建的注冊表項，主機B查看相應注冊表項。如圖1-18、1-19所示：圖1-18 主機A創(chuàng)建新的注冊表項圖1-19 在主機B上查看新建的注冊表項5 Telnet主機A操作“灰鴿子遠程控制”程序?qū)χ鳈CB進行遠程控制操作，單擊菜單項中的“Telnet”按鈕，打開Telnet窗口，使用“cd c:”命令進行目錄切換，使用“dir”命令顯示當

15、前目錄內(nèi)容，使用其它命令進行遠程控制。如圖1-20所示：圖1-20 主機A操作“灰鴿子遠程控制”6 其它命令及控制主機A通過使用“灰鴿子遠程控制”程序的其它功能（例如“捕獲屏幕”），對主機B進行控制。如圖1-21所示：圖1-21 捕捉屏幕 三木馬的刪除1 自動刪除主機A通過使用“灰鴿子遠程控制”程序卸載木馬的“服務器”程序。具體做法：選擇上線主機，單擊“遠程控制命令”屬性頁，選中“系統(tǒng)操作”屬性頁，單擊界面右側(cè)的“卸載服務端”按鈕，卸載木馬的“服務器”程序。如圖1-22所示：圖1-22 自動刪除2 手動刪除（1）主機B啟動IE瀏覽器，單擊菜單欄“工具”“Internet 選項”，彈出“Inte

16、rnet 選項”配置對話框，單擊“刪除文件”按鈕，在彈出的“刪除文件”對話框中，選中“刪除所有脫機內(nèi)容”復選框，單擊“確定”按鈕直到完成。如圖1-23所示：圖1-23 刪除文件（2）雙擊“我的電腦”，在瀏覽器中單擊“工具”“文件夾選項”菜單項，單擊“查看”屬性頁，選中“顯示所有文件和文件夾”，并將“隱藏受保護的操作系統(tǒng)文件”復選框置為不選中狀態(tài)，單擊“確定”按鈕。如圖1-24所示：圖1-24 文件夾選項（3）關(guān)閉已打開的Web頁，啟動“Windows 任務管理器”。單擊“進程”屬性頁，在“映像名稱”中選中所有“IEXPLORE.EXE”進程，單擊“結(jié)束進程”按鈕。如圖1-25所示：圖1-25

17、結(jié)束進程（4）刪除“C:WidnowsH.ini”文件。如圖1-26所示：圖1-26 刪除文件（5）啟動“服務”管理器。選中右側(cè)詳細列表中的“Windows XP Vista”條目，單擊右鍵，在彈出菜單中選中“屬性”菜單項，在彈出的對話框中，將“啟動類型”改為“禁用”，單擊“確定”按鈕。如圖1-27所示：圖1-27 修改“啟動類型”（6）啟動注冊表編輯器，刪除“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista”節(jié)點。如圖1-28所示：圖1-28 刪除注冊表節(jié)點（7）重新啟動計算機。（8）主機A如果還沒卸載灰鴿子程

18、序，可打開查看自動上線主機，已經(jīng)不存在了。實訓二 明文嗅探【實訓步驟】本練習主機A、B為一組，C、D為一組，E、F為一組。下面以主機A、B為例，說明實訓步驟。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一獲取FTP帳戶密碼FTP協(xié)議數(shù)據(jù)包在傳輸?shù)臅r候使用明文傳輸，我們可以通過對數(shù)據(jù)包的監(jiān)聽嗅探獲得FTP帳戶的用戶名和密碼。確保主機A啟動FTP服務使得主機B能夠正常登錄。1 主機A網(wǎng)絡嗅探（1）主機A進入實訓平臺，單擊工具欄“協(xié)議分析器”按鈕，啟動協(xié)議分析器。（2）啟動協(xié)議分析器,單擊菜單“設置”“定義過濾器”，在“定義過濾器”界面中，選擇“網(wǎng)絡地址”選項卡，設置捕獲本機IP地址與同組主機地址

19、間的數(shù)據(jù)；選擇“協(xié)議過濾”選項卡，選中“IP”“TCP”“FTP Control”和“FTP Data”節(jié)點，單擊“確定”按鈕完成過濾器設置。單擊“新建捕獲窗口”按鈕，點擊“選擇過濾器”按鈕，確定過濾信息。在新建捕獲窗口工具欄中點擊“開始捕獲數(shù)據(jù)包”按鈕，開始捕獲數(shù)據(jù)包。如圖2-1所示：圖2-1 定義過濾器2 主機B遠程FTP登錄（1）主機B通過“命令提示符”FTP登錄主機A，操作如下：首先輸入：ftp 主機A的IP；在出現(xiàn)User后面輸入：student；在Password后面輸入：123456，操作如圖2-2所示：圖2-2 FTP登錄成功3 分析捕獲數(shù)據(jù)包（1）主機B登錄主機A成功后，主機

20、A停止協(xié)議分析器捕獲數(shù)據(jù)包，并分析會話過程，在“會話分析”頁簽中，點擊會話交互圖上的用戶名及密碼即可以看到主機B登陸主機A所使用的用戶名和密碼。如圖2-3所示：圖2-2 捕獲的用戶名及密碼二郵件傳輸中獲取郵件帳號及郵件正文1 獲取郵件賬號（1）主機A配置Outlook Express（參見附錄AOutlook Express配置方法）。（2）主機B明文嗅探主機B啟動“協(xié)議分析器”，單擊工具欄按鈕，在“協(xié)議過濾”中設置過濾模式為僅捕獲主機A與郵件服務器之間的SMTP、POP3數(shù)據(jù)包（主機A的IP<->郵件服務器IP）。新建捕獲窗口，點擊“選擇過濾器”按鈕，確定過濾信息。在新建捕獲窗口

21、工具欄中點擊“開始捕獲數(shù)據(jù)包”按鈕，開始捕獲數(shù)據(jù)包。（3）主機A使用Outlook Express發(fā)送郵件給主機B，點擊“發(fā)送/接收”按鈕。（4）主機B分析采集到的數(shù)據(jù)包對過濾后的數(shù)據(jù)包進行分析，提取出帳戶用戶名和密碼，以及郵件的主題。截獲的密碼如圖2-4所示：圖2-3 提取帳戶的密碼2 解析郵件正文（Base64解碼）（1）在右側(cè)會話交互圖中，點擊“Text_Data”會話幀（可能存在多個Text_Data會話幀，逐一查找），在中間詳細解析樹中定位到郵件頭域（Header Field）解析部分，找到“Header Field = Content-Transfer-Encoding:base6

22、4”，類似圖2-5，定位Base64加密后的郵件密文。圖2-4 定位郵件密文內(nèi)容(Base64編碼)（2）單擊平臺工具欄“Base64”按鈕，打開BASE64編碼轉(zhuǎn)換工具。選擇轉(zhuǎn)換方向“BASE64->Content”，選擇轉(zhuǎn)換方式“文本直接轉(zhuǎn)換”，將郵件正文（Base64編碼）輸入到“要轉(zhuǎn)換的文本”域中，單擊“轉(zhuǎn)換”按鈕，在“轉(zhuǎn)換后的文本”域中查看郵件明文。如圖2-5所示：圖2-5 解析郵件明文實訓三 Web漏洞掃描器【實訓步驟】一Web漏洞掃描程序設計編寫Web漏洞掃描器WebScan探查遠程服務器（主機）上可能存在的具有安全隱患的文件是否存在。WebScan默認提供了幾個漏洞掃描，

23、開發(fā)人員可以根據(jù)自己的需要增加漏洞掃描的數(shù)量。WebScan的實現(xiàn)較為簡單，概括起來它主要完成下列四項工作：l 連接目標主機；l 向目標主機發(fā)送GET請求；l 接收目標返回的數(shù)據(jù)；l 根據(jù)返回數(shù)據(jù)判斷探測目標是否存在。開發(fā)流程如圖3-1所示：圖3-1 WebScan開發(fā)流程（1）單擊工具欄“VC6”按鈕，啟動VC+6.0。選擇“File”“Open Workspace”加載工程文件“C:ExpNISNetAD-LabProjectsWebScanWebScan.dsw”，打開WebScan.cpp源文件。如圖3-2所示：圖3-2 打開一個工作空間（2）調(diào)用WSAStartup函數(shù)，加載Wins

24、ock庫（版本2.2）。（3）創(chuàng)建流式套接字。（4）調(diào)用connect函數(shù)，嘗試與目標端口80建立連接，若返回SOCKET_ERROR則表示目標端口關(guān)閉，否則目標端口開放。（5）若目標端口80開放，調(diào)用send函數(shù)發(fā)送GET請求。（6）調(diào)用recv函數(shù)接收目標返回數(shù)據(jù)，若返回數(shù)據(jù)中包含HTTP/1.1 200 OK信息，則表示探測漏洞存在。（7）調(diào)用closesocket函數(shù)，關(guān)閉套接字。（8）在退出程序前卸載winsock庫。所需的代碼如圖3-3所示：圖3-3 所需要的代碼（9）啟動協(xié)議分析器捕獲Http會話，執(zhí)行編譯成功的掃描器，效果如圖3-4所示：圖3-4 WebScan執(zhí)行效果實訓四

25、Outlook郵件病毒【實訓步驟】本練習主機A、B為一組，C、D為一組，E、F為一組。下面以主機A、B為例，說明實訓步驟。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一觀察病毒感染現(xiàn)象（1）配置Outlook 2003，建立郵件帳戶主機A、B配置Outlook 2003（參見附錄AOutlook Express配置方法），建立郵件帳戶。主機A打開OutLook 2003，單擊“文件”“新建” “聯(lián)系人”，在右側(cè)的“電子郵件”欄中填入主機B的電子郵件地址，單擊左上方的“保存并關(guān)閉”完成聯(lián)系人的添加。如圖4-1所示：圖4-1 添加聯(lián)系人（2）查看病毒感染標記主機A打開注冊表編輯器，查看“HKEY

26、_CURRENT_USERSoftwareMicrosoftOffice”項中是否有鍵名為“Melissa?”，鍵值為“. by Kwyjibo”的鍵？ 否 。（3）設置發(fā)作條件觀察病毒發(fā)作現(xiàn)象主機A單擊工具欄“實訓目錄”按鈕，進入郵件病毒實訓目錄。打開病毒文檔MVirus.doc，此時OutLook 2003的安全機制會連續(xù)出現(xiàn)2個安全提示：l “有一個程序正試圖訪問保存于Outlook的電子郵件地址。是否允許該操作？”,選中“允許訪問”后單擊“是”。l “有一個程序正試圖以您的名義自動發(fā)送電子郵件。是否允許該操作？”，單擊“是”。這樣當前文檔即被病毒自動發(fā)送給對方（當前日期數(shù)和當前時間分鐘

27、數(shù)相同時，如當前日期為11月8日即將當前時間的分鐘數(shù)修改為08。則在文檔中輸出以下內(nèi)容“Twenty-two points, plus triple-word-score, plus fifty points for using all my letters.Game's over.I'm outta here.”）。（4）重新查看病毒感染標記主機A在注冊表編輯器中按快捷鍵“F5”刷新查看，在“HKEY_CURRENT_USERSoftware MicrosoftOffice”項中是否會有鍵名為“Melissa?”，鍵值為“. by Kwyjibo”的鍵？ 是 。（5）查看病毒

28、郵件發(fā)作現(xiàn)象主機B打開Outlook 2003，按“F9”鍵來接收被病毒發(fā)出的郵件，打開收件箱中的病毒郵件，雙擊附件名稱，出現(xiàn)提示信息“想要打開文件還是想將它保存到計算機中？”，單擊“打開”即出現(xiàn)前述Outlook 2003安全提示，參照前述進行處理，病毒文檔又將被發(fā)送給B的地址簿中前50位聯(lián)系人。如圖4-2所示：圖4-2 郵件附件二調(diào)試代碼了解工作原理（1）查看病毒代碼感染病毒的主機打開病毒文檔“MVirus.doc”，單擊菜單欄“工具”“宏”“Visual Basic編輯器”或使用快捷鍵“Alt+F11”打開Visual Basic編輯器。在此編輯器中即可以看到病毒代碼。將病毒代碼復制到記

29、事本中，然后關(guān)閉病毒文檔“MVirus.doc”。如圖4-3所示：圖4-3 復制病毒代碼（2）在注冊表中刪除病毒感染標記感染病毒的主機打開注冊表編輯器，刪除“HKEY_CURRENT_USERSoftwareMicrosoft Office”項中鍵名為“Melissa?”，鍵值為“. by Kwyjibo”的鍵。（3）調(diào)試代碼感染病毒的主機在實訓目錄C:ExpNISAntiVir-LabVirusMailVirus下新建一個任意文件名的Word文件。打開新創(chuàng)建文檔的Visual Basic編輯器，找到編輯器左上部“工程Project”工具欄中的“Project（新建Word文件名）”“Micr

30、osoft Word”“ThisDocument”對象，雙擊此對象打開編輯區(qū)并將病毒代碼復制到此區(qū)域中，通過單擊“調(diào)試”“逐語句”或者按快捷鍵“F8”來逐句調(diào)試代碼并配合代碼注釋了解其工作過程。如圖4-4所示：圖4-4 調(diào)試代碼在調(diào)試過程中，當出現(xiàn)提示信息“此時不能進入中斷模式”時，單擊“結(jié)束”重新進行調(diào)試。如圖4-5所示：圖4-5 不能進入中斷模式重新開始調(diào)試后，如圖4-6所示：圖4-6 文件已被感染l 查看病毒感染標記。l 觀察Microsoft Word對象名是否有變化。出現(xiàn)一個新的word文檔，如圖4-7所示：圖4-7 出現(xiàn)一個新的word文檔l 觀察代碼的運行路徑是否有變化。如圖4-

31、8所示：圖4-8 運行路徑發(fā)生改變在病毒代碼中有部分被注釋掉的語句，這些語句是病毒的自我保護措施，它們使病毒執(zhí)行完操作后將自己刪除。用戶可以去掉注釋，運行代碼查看效果。實訓五 PGP應用【實訓步驟】本練習主機A、B為一組，C、D為一組，E、F為一組。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一PGP安全通信說明：實訓應用PGP工具實現(xiàn)信息的安全通信，其實現(xiàn)流程為：本機首先生成公私鑰對，并導出公鑰給同組主機；在收到同組主機的公鑰后將其導入到本機中，并利用其對文件進行加密；將加密后的密文傳回給同組主機，本機利用自己的私鑰對來自同組主機的密文進行解密。要求：應用PGP工具過程中所使用的用戶名均為

32、userGX格式，其中G為組編號（1-32），X為主機編號(A-F)，如第2組主機D，其使用的用戶名應為user2D。1 生成公私密鑰（1）本機單擊實訓平臺“GnuPG”工具按鈕，進入工作目錄，鍵入命令：gpg -gen-key開始生成公私鑰對。期間gpg會依次詢問如下信息：l 欲產(chǎn)生密鑰種類（默認選擇1）l 密鑰大?。J大小2048字節(jié)）l 密鑰有效期限（默認選擇0永不過期）確定上述輸入后進入步驟（2）操作。如圖5-1所示：圖5-1 生成公私鑰對（2）生成用戶標識，期間gpg會依次詢問如下信息：l Real name（用戶名，請按本機的組編號和主機編號確定你的用戶名）l Email add

33、ress（Email地址，如user2DCServer.Netlab）l Common（注釋信息，建議與用戶名相同）確定上述輸入后，gpg會提示你將要生成的USER-ID,形如：user2D (user2D) (user2DCServer.Netlab) 如圖5-2所示：圖5-2 生成用戶標識鍵入“O”確定以上信息后，gpg需要一個密碼來保護即將生成的用戶私鑰，為了方便記憶，我們選擇密碼與用戶名相同。（3）接下來gpg會根據(jù)以上信息生成公私密鑰對，并將它們存放在 C:Documents and SettingsAdministratorApplication Datagnupg目錄下，名字分別

34、為：pubring.gpg和secring.gpg。如圖5-3所示：圖5-3 生成公私密鑰對說明 默認情況下Application Data目錄是隱藏的，通過“資源瀏覽器”“工具”菜單“文件夾選項”“查看”選項卡，選中“顯示所有文件和文件夾”項，即可顯示隱藏的目錄和文件。2 導出公鑰本機在gpg工作目錄鍵入命令：gpg -a -o D:WorkPGPuserGXpubkey.asc -export userGX (userGX) (userGXCServer.Netlab),gpg會將公鑰導入到D:WorkPGP這個指定目錄的userGXpubkey.asc文件中。將userGXpubkey.

35、asc文件發(fā)送到同組主機PGP共享目錄中。如圖5-4所示：圖5-4 導出公鑰3 導入同組主機公鑰本機從同組主機發(fā)送來的userGYpubkey.asc文件中，將對方公鑰導入至本機gpg庫，其命令如下：gpg -import D:WorkPGPuserGYpubkey.asc。如圖5-5所示：圖5-5導入同組主機公鑰4 利用對方公鑰進行加密（1）在“D:WorkPGP”目錄中新建一文本文件“userGX.txt”,內(nèi)容是: _wuning&dzy_。（2）利用對方公鑰對userGX.txt加密，并對其進行簽名在gpg工作目錄鍵入如下命令：gpg -sea -r userGYCServer

36、.Netlab 加密文件絕對路徑，其中userGYCServer.Netlab為USER-ID。加密完成后，gpg還要對其進行簽名表明這個密文文件是“我”發(fā)出的，而不是“其它人”，在提示處輸入前面設置的用于保護本機私鑰的密碼即可。最后在原文件所在目錄下，生成一個名為“userGX.txt.asc”的文件，將該文件發(fā)送到同組主機PGP目錄中。如圖5-6、5-7所示：圖5-6 使用命令圖5-7 加密文檔5 解密密文（1）在gpg工作目錄下鍵入命令：gpg -d 加密文件絕對路徑 > 解密后文件路徑,此時gpg要求輸入前面設置的用于保護本機私鑰的密碼，輸入密碼，解開私鑰。在存放加密文件的目錄下

37、就生了一個解密后的文件，打開解密文件，瀏覽正文，與同組主機確定其正確性。如圖5-8所示：圖5-8 解密后的文檔實訓六 Windows2003防火墻應用【實訓步驟】本練習主機A、C、E為一組，B、D、F為一組。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一防火墻日志設置在“Windows防火墻”的“高級”選項卡中，點擊“安全日志記錄”中的“設置”按鈕，在“日志設置”對話框中指定日志文件名稱、大小以及記錄選項。如圖6-1所示：圖6-1 日志設置二防火墻基礎操作操作概述：啟用Windows Server 2003系統(tǒng)防火墻，設置規(guī)則阻斷ICMP回顯請求數(shù)據(jù)包。（1）在啟用防火墻之前，同組主機通過p

38、ing指令互相測試網(wǎng)絡連通性，確?；ハ嗍沁B通的，若測試未通過請排除故障。如圖6-2所示：圖6-2 檢測主機之間的連通性（2）本機啟用防火墻，并設置防火墻僅對“本地連接”進行保護。如圖6-3所示：圖6-3 僅對“本地連接”進行保護（3）同組主機再次通過ping指令互相測試網(wǎng)絡連通性，確認是否相互連通_連通_。（4）設置本機防火墻允許其傳入ICMP回顯請求。如圖6-4所示：圖6-4設置本機防火墻允許其傳入ICMP回顯請求（5）同組主機第三次測試網(wǎng)絡連通性，確認是否相互連通 連通 。（6）查看防火墻日志，判斷已發(fā)生的網(wǎng)絡行為。三防火墻例外操作操作概述：啟用Windows Server 2003系統(tǒng)防

39、火墻，在“例外”選項卡中添加程序“UdpTools” （路徑為：C:ExpNISNetAD-LabToolsAnalyzertools UdpTools.exe），允許UdpTools間通信，并彈出網(wǎng)絡連接提示信息。如圖6-5所示：圖6-5添加程序“UdpTools”（1）關(guān)閉防火墻，同組主機間利用UdpTools進行數(shù)據(jù)通信，確保通信成功。說明 UdpTools通信雙方分別為客戶端和服務端，其默認通過2513/UDP端口進行通信，可以自定義通信端口，運行如圖6-6所示。圖6-6 UDP連接工具（2）本機啟用防火墻(僅對本地連接)，將本機作為UdpTools服務器端，同組主機以UdpTools

40、客戶端身份進行通信，確定客戶端通信請求是否被防火墻阻塞_沒有_。（3）斷開UdpTools通信，單擊“例外”選項卡，在“程序和服務”列表框添加程序“UdpTools.exe”（C:ExpNISNetAD-LabToolsAnalysertoolsUdpTools.exe）并將其選中。再次啟動UdpTools并以服務器身份運行，同組主機仍以客戶端身份與其通信，確定客戶端通信請求是否被防火墻阻塞_是_。實訓完成，關(guān)閉系統(tǒng)防火墻。四NAT操作實訓角色說明如下：實訓主機實訓角色主機A、B內(nèi)網(wǎng)主機主機C、DNAT主機E、F外網(wǎng)主機操作概述：Windows Server 2003“路由和遠程訪問”服務包括

41、NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運行“路由和遠程訪問”的服務器上，則使用專用IP地址的內(nèi)部網(wǎng)絡客戶端可以通過NAT服務器的外部接口訪問Internet。圖6-7 實訓網(wǎng)絡連接示意圖參看圖6-7，當內(nèi)部網(wǎng)絡主機PC1發(fā)送要連接Internet主機PC2的請求時，NAT協(xié)議驅(qū)動程序會截取該請求，并將其轉(zhuǎn)發(fā)到目標Internet主機。所有請求看上去都像是來自NAT服務器的外部連接IP地址，這樣就隱藏了內(nèi)部網(wǎng)絡主機。在這里我們將Windows Server 2003主機配置成為“路由和遠程訪問”NAT服務器，并模擬搭建Internet網(wǎng)絡環(huán)境對NAT服務器進行測試。（1）實訓網(wǎng)絡拓撲規(guī)

42、劃。l 按圖6-8所示，本實訓需3臺主機共同完成，設定主機A為內(nèi)網(wǎng)主機PC1，將其內(nèi)部網(wǎng)絡接口(默認為“本地連接”)的默認網(wǎng)關(guān)指向主機C的內(nèi)部網(wǎng)絡接口(默認為“本地連接”)；設定主機C為NAT服務器；設定主機E為外網(wǎng)主機PC2。l 默認外部網(wǎng)絡地址24；內(nèi)部網(wǎng)絡地址24，也可根據(jù)實際情況指定內(nèi)網(wǎng)與外網(wǎng)地址。圖6-8 指定外網(wǎng)地址 l 默認主機C“本地連接”為內(nèi)部網(wǎng)絡接口；“外部連接“為外部網(wǎng)絡接口，也可指定“本地連接”為外部網(wǎng)絡接口。（2）按步驟(1)中規(guī)劃，配置主機C“本地連接”、“外部連接”的IP地址。（3）主機C配置NAT路由服務。依次單擊“開始”

43、“程序”“管理工具”“路由和遠程訪問”，選擇要安裝NAT路由協(xié)議的本地服務器，右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠程訪問”。注 操作期間若彈出“為主機名啟用了Windows防火墻/Internet連接共享服務”警告信息，請先禁用“Windows防火墻/Internet連接共享”服務，后重試操作。具體做法：“開始”“程序” “管理工具”“計算機管理”“服務和應用程序”“服務”，在右側(cè)服務列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務，先將其停止，然后在啟動類型中將其禁用。（4）在“路由和遠程訪問服務器安裝向?qū)А敝羞x擇“網(wǎng)絡地址轉(zhuǎn)換(NAT)”服務。如圖6-9所示：圖6-9 選擇“網(wǎng)絡地址轉(zhuǎn)換”（5）在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡接口，該網(wǎng)絡接口對于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口，則此處應選擇“外部連接”。如圖6-10所示：圖6-10 選擇“外部連接”（6）在“名稱和地址轉(zhuǎn)換服務”界面中選擇“我將稍后設置名稱和地址服務”（若“本地連接”為自動獲取IP地址，安裝向?qū)詣訖z測到網(wǎng)絡上的DHCP服務器，因此“名稱和地址轉(zhuǎn)換服務”界面將不會出現(xiàn)）。至最后完成路由和遠程訪問配置。（7