實驗指導5木馬攻擊與防范實驗指導書

1、實驗指導5木馬攻擊與防備實驗實驗目的理解和掌握木馬流傳和運轉(zhuǎn)的體制，掌握檢查和刪除木馬的技巧，學會防守木馬的有關知識，加深對木馬的安全防備意識。預備知識木馬及木馬技術的介紹（1）木馬觀點介紹好多人把木馬看得很神奇，其實，木馬就是在用戶不知道的狀況下被植入用戶計算機，用來獲得用戶計算機上敏感信息（如用戶口令，個人隱私等）或使攻擊者能夠遠程控制用戶主機的一個客戶服務程序。這類客戶/服務模式的原理是一臺主機供給服務（服務器），另一臺主機使用服務（客戶機）。作為服務器的主機一般會翻開一個默認的端口并進行監(jiān)聽（Listen），假如有客戶機向服務器的這一端口提出連結(jié)懇求（ConnectRequest），服

2、務器上的相應守衛(wèi)進度就會自動運轉(zhuǎn)，來應答客戶機的懇求。往常來說，被控制端相當于一臺服務器，控制端則相當于一臺客戶機，被控制端為控制端供給預約的服務。（2）木馬的反彈端口技術因為防火墻關于進入的鏈接常常會進行特別嚴格的過濾，可是關于連出的鏈接卻疏于防備。于是，與一般的木馬相反，反彈端口型木馬的服務端(被控制端)使用主動端口，客戶端(控制端)使用被動端口。木馬準時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立刻彈出端口主動連結(jié)控制端翻開的主動端口；為了隱蔽起見，控制端的被動端口一般開在80，這樣，即便用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是近似TCPUserIP:1026ControllerIP:80E

3、STABLISHED的狀況，略微大意一點，你就會認為是自己在閱讀網(wǎng)頁。（3）線程插入技術木馬程序的攻擊性有了很大的增強，在進度隱蔽方面，做了較大的變動，不再采納獨立的EXE可履行文件形式，而是改為內(nèi)核嵌入方式、遠程線程插入技術、掛接PSAPI等。這樣木馬的攻擊性和隱蔽性就大大增強了。木馬攻擊原理特洛伊木馬是一個程序，它駐留在目標計算機里，能夠隨計算機自動啟動并在某一端口進行偵聽，在對接收的數(shù)據(jù)辨別后，對目標計算機履行特定的操作。木馬，其實質(zhì)就是一個經(jīng)過端口進行通訊的網(wǎng)絡客戶/服務程序。（1）基本觀點網(wǎng)絡客戶/服務模式的原理是一臺主機供給服務(服務器)，另一臺主機接受服務(客戶機)。作為服務器的

4、主機一般會翻開一個默認的端口并進行監(jiān)聽(Listen)，假如有客戶機向服務器的這一端口提出連結(jié)懇求(ConnectRequest)，服務器上的相應程序就會自動運轉(zhuǎn)，來應答客戶機的懇求，這個程序稱為守衛(wèi)進度(UNIX的術語，可是已經(jīng)被移植到了MS系統(tǒng)上)。關于特洛伊木馬，被控制端就成為一臺服務器，控制端則是一臺客戶機，是守衛(wèi)進度，G_client是客戶端應用程序。（2）實現(xiàn)木馬的控制功能因為Win98開放了所有的權(quán)限給用戶，所以，以用戶權(quán)限運轉(zhuǎn)的木馬程序幾乎能夠控制全部，下邊僅對木馬的主要功能進行簡單的概括，主假如使用WindowsAPI函數(shù)。遠程監(jiān)控(控制對方鼠標、鍵盤，并監(jiān)督對方屏幕)key

5、bd_event模擬一個鍵盤動作。mouse_event模擬一次鼠標事件mouse_event(dwFlags，dx，dy，cButtons，dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE指定鼠標坐標系統(tǒng)中的一個絕對地點MOUSEEVENTF_MOVE挪動鼠標MOUSEEVENTF_LEFTDOWN模擬鼠標左鍵按下MOUSEEVENTF_LEFTUP模擬鼠標左鍵抬起MOUSEEVENTF_RIGHTDOWN模擬鼠標右鍵按下MOUSEEVENTF_RIGHTUP模擬鼠標右鍵按下dx，dy:MOUSEEVENTF_ABSOLUTE中的鼠標坐標。記錄各樣口令信息ke

6、ylogbegin：將擊鍵記錄在一個文本文件里，同時還記錄履行輸入的窗口名。獲得系統(tǒng)信息a.獲得計算機名GetComputerNameb.改正計算機名SetComputerNamec.目前用戶GetUserName系統(tǒng)路徑獲得系統(tǒng)版本目前顯示分辨率限制系統(tǒng)功能a.遠程關機或重啟計算機，使用WinAPI中的以下函數(shù)能夠?qū)崿F(xiàn)。ExitWindowsEx(UINTuFlags，DWORDdwReserved)當uFlags=EWX_LOGOFF中斷進度，而后注銷=EWX_SHUTDOWN關掉系統(tǒng)但不關電源=EWX_REBOOT從頭指引系統(tǒng)=EWX_FORCE逼迫中斷沒有響應的進度=EWX_POWER

7、DOWN關掉系統(tǒng)及封閉電源b.鎖定鼠標，ClipCursor(lpRectAsRECT)能夠?qū)⒅羔樝拗频街付ǖ貐^(qū)，或許用ShowCursor(FALSE)把鼠標隱蔽起來也能夠，RECT是定義的一個矩形。c.讓對方掉線RasHangUpd.停止進度ExitProcesse.封閉窗口利用FindWindow函數(shù)找到窗口并利用SendMessage函數(shù)封閉窗口遠程文件操作刪除文件：Filedelete拷貝文件：Filecopy共享文件：Exportlist（列出目前共享的驅(qū)動器、目錄、權(quán)限及共享密碼）注冊表操作在VB中只需SetRegEdit=CreateObject（)就能夠使用以下的注冊表功能：

8、刪除鍵值:RegKey增添鍵值:RegKey，RegValue獲得鍵值:(Value)木馬的防備建議不要任意翻開來歷不明的郵件此刻很多木馬都是經(jīng)過郵件來流傳的，當你收到來歷不明的郵件時，請不要翻開，應趕快刪除。并增強郵件監(jiān)控系統(tǒng)，拒收垃圾郵件。不要任意下載來歷不明的軟件最好是在一些著名的網(wǎng)站下載軟件，不要下載和運轉(zhuǎn)來歷不明的軟件。在安裝軟件的同時最好用殺毒軟件查察有沒有病毒，以后才進行安裝。及時修理破綻和封閉可疑的端口一般木馬都是經(jīng)過破綻在系統(tǒng)上翻初步口留下后門，以便上傳木馬文件和履行代碼，在把破綻修理上的同時，需要對端口進行檢查，把可疑的端口封閉。盡量少用共享文件夾假如一定使用共享文件夾，則

9、最好設置帳號和密碼保護。注意千萬不要將系統(tǒng)目錄設置成共享，最好將系統(tǒng)下默認共享的目錄封閉。Windows系統(tǒng)默認狀況下將目錄設置成共享狀態(tài)，這是特別危險的。運轉(zhuǎn)及時監(jiān)控程序在上網(wǎng)時最好運轉(zhuǎn)反木馬及時監(jiān)控程序和個人防火墻，并準時對系統(tǒng)進行病毒檢查。常常升級系統(tǒng)和更新病毒庫。實驗環(huán)境1）預備知識要求認識網(wǎng)絡的基本知識；嫻熟使用windows操作系統(tǒng)；充分理解木馬攻擊原理；熟習緩沖溢出攻擊。2）下載和運轉(zhuǎn)木馬軟件時期，請封閉殺毒軟件的自動防備功能以及防火墻，不然程序會被看作病毒而強行停止。運轉(zhuǎn)環(huán)境1）需要下載的其余的工具軟件有：tftp服務程序，用來傳輸“冰河”木馬服務端程序緩沖溢出攻擊反向連結(jié)服務

10、程序（拜見“緩沖區(qū)溢出攻擊與防備實驗”）；緩沖溢出攻擊工具（拜見“緩沖區(qū)溢出攻擊與防備實驗”）；冰河木馬.exe:冰河木馬程序；：“廣外男生”木馬程序。2）本實驗需要用到虛構(gòu)機，所以每臺實驗主機都經(jīng)過安裝軟件WMwareWorkstation切割出虛構(gòu)機。真切主機P1的配置為：操作系統(tǒng)Windows2000server或許windowsxpsp2，而且安裝緩沖區(qū)溢出攻擊軟件，“冰河”木馬，“廣外男生”木馬。虛構(gòu)機P2配置為：操作系統(tǒng)Windows2000Server（沒有打補丁，存在ms05039破綻，而且安裝了IIS組件）。3）實驗環(huán)境拓撲如圖1所示：圖1實驗網(wǎng)絡拓撲圖請依據(jù)實驗環(huán)境將IP地

11、點填入下表，攻防實驗服務器IPP1:本機IPP2:本機上的虛構(gòu)機IPP3:表1實驗IP實驗中，可把真切機P2作為攻擊機，安裝上“冰河”木馬程序，和“廣外男生”；虛構(gòu)機P3作為被攻擊主機，安裝IIS組件。實驗內(nèi)容和步驟實驗任務一：“冰河”木馬本實驗需要把真切主機作為攻擊機，虛構(gòu)機作為靶機。即第一利用ms05039溢出工具入侵虛構(gòu)機，而后利用“冰河”木馬實現(xiàn)對虛構(gòu)機的完整控制。最后對木馬進行查殺。“冰河”使用：冰河是一個鑒于TCP/IP協(xié)講和Windows操作系統(tǒng)的網(wǎng)絡工具，所以第一應保證該協(xié)議已被安裝且網(wǎng)絡連結(jié)無誤，而后配置服務器程序(假如不進行配置則取默認設置)，并在欲監(jiān)控的計算機上運轉(zhuǎn)服務器

12、端監(jiān)控程序即可。主要文件包含：a.:被監(jiān)控端后臺監(jiān)控程序(運轉(zhuǎn)一次即自動安裝，可任意更名)，在安裝前能夠先經(jīng)過“G_Client”的配置當?shù)胤掌鞒绦蚬δ苓M行一些特別配置，比如能否將動向IP發(fā)送到指定信箱、改變監(jiān)聽端口、設置接見口令等)；b.:監(jiān)控端履行程序，用于監(jiān)控遠程計算機和配置服務器程序。詳細功能操作包含：增添主機：將被監(jiān)控IP地點增添至主機列表，同時設置好接見口令及端口，設置將保留在文件中，此后不用重輸。假如需要改正設置，能夠從頭增添該主機，或在主界面工具欄內(nèi)從頭輸入接見口令及端口并保留設置。刪除主機：將被監(jiān)控端IP地點從主機列表中刪除。自動搜尋：搜尋指定子網(wǎng)內(nèi)安裝有冰河的計算機。查察

13、屏幕：查察被監(jiān)控端屏幕。屏幕控制：遠程模擬鼠標及鍵盤輸入。“冰河”信使：點對點聊天室。改正遠程配置：在線改正接見口令，監(jiān)聽端口等服務器程序設置，不需要從頭上傳整個文件，改正后立刻奏效。在對“冰河”有所認識以后，我們進入攻防實驗階段使用“冰河”對目標計算機進行控制：在目標主機（虛構(gòu)機）上植入木馬，即在此主機上運轉(zhuǎn)G_Sever，作為服務器端；在攻擊機上運轉(zhuǎn)G_Client，作為控制端。分別運轉(zhuǎn)這兩個.exe文件后，我們進入控制端主界面，依據(jù)以下步驟來實現(xiàn)對目標主機的控制。步驟1：入侵準備工作1）下載和安裝木馬軟件前，封閉殺毒軟件的自動防備功能，防止程序會被看作病毒而強行停止。2）運轉(zhuǎn)，如圖2；圖

14、2“冰河”運轉(zhuǎn)主界面3）選擇菜單“設置”-“配置服務程序”，如圖3；圖3設置木馬服務4）設置接見口令為“1234567”，其余為默認值，點擊“確立”生成木馬的服務端程序。5）將生成的木馬服務程序拷貝到tftp服務的目錄即攻防tftp32，如圖4。圖4將拷貝到目錄攻防tftp326）運轉(zhuǎn)，如圖5。保持此程序向來開啟，用于等候攻擊成功后傳輸木馬服務程序。圖5tftp服務運轉(zhuǎn)步驟2：進行攻擊，將木馬擱置在被攻擊端對靶機P3進行攻擊，第一運轉(zhuǎn)nc-vv-l-p99接著再開一個dos窗口，運轉(zhuǎn)ms05039991(注意：此次IP地點請依據(jù)實質(zhì)IP地點改正)2)攻擊成功后，在運轉(zhuǎn)nc-vv-l-p99的d

15、os窗口中出現(xiàn)如圖6提示，若攻擊不可功請參照“緩沖區(qū)溢出攻擊與防備實驗”，再次進行攻擊。圖6攻擊成功表示3）在此窗口中運轉(zhuǎn)tftp-iget將木馬服務程序上傳到靶機P3上，并直接輸入使之運轉(zhuǎn)，如圖7。圖7上載木馬程序并運轉(zhuǎn)步驟3：運轉(zhuǎn)木馬客戶程序控制遠程主機1）翻開程序端程序，單擊快捷工具欄中的“增添主機”按扭，如圖8所示。“顯示名稱”：填入顯示在主界面的名稱“target”“主機地點”：填入服務器端主機的IP地點“.20.23”?！敖右娍诹睢保禾钊朊看谓右娭鳈C的密碼，這里輸入“1234567”?！氨O(jiān)聽端口”：“冰河”默認的監(jiān)聽端口是7626，控制端能夠改正它以繞過防火墻。圖8增添主機單擊“確

16、立”按扭，即能夠看到主機面上增添了主機，如圖16。圖9增添主機后主界面這時我們就能夠像操作自己的電腦同樣操作遠程目標電腦，比方翻開C:WINNTsystem32config目錄能夠找到對方主機上保留用戶口令的SAM文件。點擊鼠標右鍵，能夠發(fā)現(xiàn)有上傳和下載功能。即能夠任意將虛構(gòu)機器上的機密文件下載到本機上，也能夠把歹意文件上傳到該虛構(gòu)機上并運轉(zhuǎn)。可見，其損壞性是巨大的。2）“文件管理器”使用。點擊各個驅(qū)動器或許文件夾前面的睜開符號，可以閱讀目標主機內(nèi)容。如圖17所示，經(jīng)過閱讀能夠發(fā)現(xiàn)目標主機的敏感信息，如“銀行賬號”等。圖9閱讀至敏感信息而后選中文件，在右鍵菜單中選中“下載文件至.”，在彈出的對

17、話框中選好當?shù)貎Υ媛窂?，點擊“保留”。下載成功是界面如圖10。圖10成功下載文件后界面2）“命令控制臺”使用。單擊“命令控制臺”的標簽，彈出命令控制臺界面，如圖11，考證控制的各樣命令。圖11命令控制臺口令類命令：睜開“口令類命令”，如圖12圖12口令類命令“系統(tǒng)信息及口令”能夠查察遠程主機的系統(tǒng)信息，開機口令，緩存口令等?！皻v史口令”能夠查察遠程主機過去使用的口令?！皳翩I記錄”能夠記錄遠程主機用戶擊鍵記錄，以次能夠剖析出遠程主機的各樣帳號和口令或各樣奧密信息?？刂祁惷睿罕犻_“控制類命令”，如圖13。圖13控制類命令“捕捉屏幕”能夠使控制端使用者查察遠程主機的屏幕。“發(fā)送信息”能夠向遠程計算

18、機發(fā)送Windows標準的各樣信息。“進度管理”能夠使控制者查察遠程主機上所有的進度，如圖14。單擊“查看進度”按鈕，就能夠看到遠程主機上存在的進度，甚至還能夠停止某個進度，只需選中相應的進度，而后單擊“停止進度”就能夠了。圖14遠程主機進度控制“窗口管理”能夠使遠程主機上的窗口進行刷新，最大化，最小化，激活，隱蔽等?！跋到y(tǒng)管理”能夠使遠程主機進行關機，重啟，從頭加載“冰河”，自動卸載“冰河”的操作?！笆髽丝刂啤蹦軌蚴惯h程主機上的鼠標鎖定在某個范圍內(nèi)?！捌溆嗫刂啤蹦軌蚴惯h程主機長進行自動撥號嚴禁，桌面隱蔽，注冊表鎖定等操作。c網(wǎng)絡類命令睜開“網(wǎng)絡類命令”，如圖15:“創(chuàng)立共享”在遠程主機上創(chuàng)立

19、自己的共享。“刪除共享”在遠程主機上刪除某個特定的共享?！熬W(wǎng)絡信息”能夠看到遠程主機上的IPC$，C$，ADMIN$等共享。文件類命令：睜開“文件類命令”，文件閱讀，“文件查找”，“文件壓縮”，“文件刪除”，“文件翻開”等。注冊表讀寫：睜開“注冊表讀寫”設置類命令:睜開“設置類命令”圖15網(wǎng)絡命令步驟4：刪除“冰河”木馬刪除“冰河”木馬的方法：A客戶端的自動卸載功能，在“控制命令類”中的“系統(tǒng)控制”里面就有自動卸載功能，履行這個功能，遠程主機上的木馬就自動卸載了。B手動卸載，查察注冊表，翻開windows注冊編寫器。翻開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi

20、ndowsCurrentVersionRun如圖16。在目錄中發(fā)現(xiàn)了一個默認的鍵值，這就是“冰河”木馬在注冊表中加入的鍵值，將它刪除。翻開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVesionRunservices，如圖17。在目錄中也發(fā)現(xiàn)了一個默認的鍵值，這也是“冰河”在注冊表中加入的鍵值，將它刪除。上邊兩個注冊表的子鍵目錄Run和Runservices中寄存的鍵值是系統(tǒng)啟動時自啟動的程序，一般病毒程序，木馬程序，后門程序等都放在這些子鍵目錄下，所以要常常檢查這些目錄下的程序。圖16注冊表編寫圖17注冊表編寫而后再進入C:WINNTSy

21、stem32目錄，找到“冰河”的兩個可履行文件和文件，將它們刪除，如圖18。圖18刪除木馬程序改正文件關系也是木馬常用的手段，“冰河”將txt文件的缺省翻開方式由改為木馬的啟動程序，除此以外，html，exe，zip，com等都是木馬的目標。所以，最后還需要恢復注冊表中的txt文件關系功能，只需將注冊表中的HKEY_CLASSES_ROOTtxtfileshellopencommand下的默認值，改為C:Windows%1，即可，如圖19。這樣，再次重啟計算機我們就完整刪除了“冰河”木馬。C殺毒軟件查殺大多數(shù)殺毒軟件都有查殺木馬的功能，能夠經(jīng)過這個功能對主機進行全面掃描往來除木馬，就完全把木馬

22、文件刪除了。圖19去除關系實驗任務二：“廣外男生”木馬本實驗將真切機作為攻擊機，虛構(gòu)機作為靶機。真切機利用“廣外男生”木馬對虛構(gòu)機進行攻擊，最后完整獲得虛構(gòu)機的控制權(quán)。最后學習木馬的查殺。1）“廣外男生”的連結(jié)運轉(zhuǎn)，翻開“廣外男生”的主程序，主界面如圖20。圖20“廣外男生”主界面進行客戶端設置。挨次單擊“設置”“客戶端設置”，彈出客戶端設置界面如圖21。我們能夠看到它采納“反彈窗口線程插入技術”的提示。在“客戶端最大連結(jié)數(shù)”中填入允很多少臺客戶端主機來控制服務器端，注意不要太多，不然簡單造成服務器端主機死機。在“客戶端使用端口”填入服務器端連結(jié)到客戶端的那個端口，這是誘惑遠程服務器端主機管理

23、員和防火墻的重點，填入一些常用端口，會使遠程主機管理員和防火墻誤認為連結(jié)的是個合法的程序。比方使用端口80（此例中，為防止端口矛盾，我們使用1500端口）。選擇“只同意以上地點連結(jié)”選項，使客戶端主機IP地點處于默認的合法控制IP地點池中。圖21客戶端設置程序（2）設置木馬的連結(jié)種類，假如使用反彈端口方式二則在彈出對話框中選中“使用HTTP網(wǎng)頁IP通知”；假如使用反彈端口方式一，則選擇“客戶處于靜態(tài)IP（固定IP地點）”，如圖22。此處我們選擇后者。單擊“下一步”，和“達成”，結(jié)束客戶端設置。圖22木馬連結(jié)種類設置（4）進行服務器端設置。挨次單擊“設置”“生成服務器端”，這時彈出“廣外男生”服

24、務器端生成導游，直接單擊“下一步”，彈出慣例設置界面，如圖23。圖23服務器端設置在“EXE文件名”和“DLL文件名”中填入加載到遠程主機系統(tǒng)目錄下的可履行文件和動向鏈接庫文件，在“注冊表項目”中填入加載到遠程主機注冊表中的Run目錄下的鍵值名。這些文件名都是相當重要的，因為這是誘惑遠程主機管理員的重點所在，假如文件名起的特別隱蔽，如，那么就算管理員發(fā)現(xiàn)了這些文件也不一定這些文件就是木馬而輕易刪除。注意：把“服務器端運轉(zhuǎn)時顯示運轉(zhuǎn)標記并同意對方退出”前面的對勾去掉，不然服務器端主機的管理員就能夠輕易發(fā)現(xiàn)自己被控制了。（5）進行網(wǎng)絡設置，如圖24選擇“靜態(tài)IP”，在“客戶端IP地點”中填入入侵者

25、的靜態(tài)IP地點（即真切機IP），“客戶端用端口”填入在客戶端設置中選則的連結(jié)端口。圖24網(wǎng)絡設置（6）生成代理文件，在“目標文件”中填入所生成服務器端程序的寄存位置，如，這個文件就是需要植入遠程主機的木馬文件。單擊“完成”即可達成服務器端程序的設置，這時就生成了一個文件名為的可履行文件，如圖25，并將該文件拷貝到虛構(gòu)機桌面上圖25生成代理文件（7）進行客戶端與服務器連結(jié)。在虛構(gòu)機上履行木馬程序，等候一段時間后客戶端主機“廣外男生”顯示連結(jié)成功，如圖26。這時，就能夠和使用第2代木馬“冰河”同樣控制遠程主機，主要的控制選項有“文件共享”，“遠程注冊表”，“進度與服務”，“遠程桌面”等。圖26客戶

26、端與服務器連結(jié)成功2）命令行下“廣外男生”的檢測（1）因為使用了“線程插入技術”，所以在windows系統(tǒng)中采納任務管理器查察線程是發(fā)現(xiàn)不了木馬的蹤影的，只好看到一些正常的線程在運轉(zhuǎn)，所以需要用到此外兩個工具：fport和tlist。fport是第三方供給的一個工具，能夠查察某個詳細的端口被哪個進度所占用，并能查察PID。tlist是windows資源工具箱中供給的工具，功能特別強盛，我們利用它查察進度中有哪些動向鏈接庫正在運轉(zhuǎn)，這關于檢測插入在某個正常進度中的線程是特別實用的?！締栴}2】：什么是“線程插入技術”（2）在服務器端主機（虛構(gòu)機）上挨次單擊“開始”“運轉(zhuǎn)”，輸入cmd，進入命令行提示符，在這里輸入netstat-an，查察網(wǎng)絡端口占用狀態(tài)，如圖27。在顯示結(jié)果中，發(fā)現(xiàn)可疑IP地點（就是客戶端IP地點）與本機成立了連結(jié)，這是我們需要注意的地方，記著本機用于連結(jié)的端口號1231，1232，1233，1234。圖2