公安信息系統(tǒng)設(shè)計(jì)應(yīng)用課程設(shè)計(jì)報(bào)告

-z.政法學(xué)院公安信息系統(tǒng)應(yīng)用課程設(shè)計(jì)題目木馬攻擊公安技術(shù)學(xué)院網(wǎng)絡(luò)平安與執(zhí)法專(zhuān)業(yè)2014級(jí)1班**：201483030127姓名：洋指導(dǎo)教師：王云峰成績(jī)：完成時(shí)間：2017年7月一．實(shí)驗(yàn)?zāi)康膶W(xué)習(xí)冰河木馬遠(yuǎn)程控制軟件的使用了解木馬和計(jì)算機(jī)病毒的區(qū)別熟悉使用木馬進(jìn)展網(wǎng)絡(luò)攻擊的原理和方法通過(guò)手動(dòng)刪除木馬，掌握檢查木馬和刪除木馬的技巧學(xué)會(huì)防御木馬的相關(guān)知識(shí)，加深對(duì)木馬的平安防意識(shí)二．實(shí)驗(yàn)原理木馬程序是目前比擬流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不刻意地去感染其他文件，它通過(guò)將自身偽裝吸引用戶(hù)下載執(zhí)行，向施種木馬者提供翻開(kāi)被種者電腦的門(mén)戶(hù)，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。木馬與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是善意的控制，因此通常不具有隱蔽性；木馬則完全相反，木馬要到達(dá)的是偷竊性的遠(yuǎn)程控制。它是指通過(guò)一段特定的程序〔木馬程序〕來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶(hù)端，即控制端，另一個(gè)是效勞端，即被控制端。植入被種者電腦的是效勞器局部，而黑客正是利用控制器進(jìn)入運(yùn)行了效勞器的電腦。運(yùn)行了木馬程序的效勞器以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被翻開(kāi)，使黑客可以利用這些翻開(kāi)的端口進(jìn)入電腦系統(tǒng)，平安和個(gè)人隱私也就全無(wú)保障。木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的效勞一旦運(yùn)行并被控制端連接，其控制端將享有效勞端的大局部操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表，更改計(jì)算機(jī)配置等。隨著病毒編寫(xiě)技術(shù)的開(kāi)展，木馬程序?qū)τ脩?hù)的威脅越來(lái)越大，尤其是一些木馬程序采用了極其狡猾的手段來(lái)隱蔽自己，使普通用戶(hù)很難在中毒后覺(jué)察。木馬是隱藏在正常程序中的具有特殊功能的惡意代碼，是具備破壞、刪除和修改文件、發(fā)送密碼、記錄鍵盤(pán)、實(shí)施DOS攻擊甚至完全控制計(jì)算機(jī)等特殊功能的后門(mén)程序。它隱藏在目標(biāo)的計(jì)算機(jī)里，可以隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在*一端口監(jiān)聽(tīng)來(lái)自控制端的控制信息。木馬的特性木馬程序?yàn)榱藢?shí)現(xiàn)*特殊功能，一般應(yīng)該具有以下性質(zhì)：偽裝性:程序把自己的效勞器端偽裝成合法程序，并且誘惑被攻擊者執(zhí)行，使木馬代碼會(huì)在未經(jīng)授權(quán)的情況下裝載到系統(tǒng)中并開(kāi)場(chǎng)運(yùn)行。隱藏性：木馬程序同病毒一樣，不會(huì)暴露在系統(tǒng)進(jìn)程管理器，也不會(huì)讓使用者覺(jué)察到木馬的存在，它的所有動(dòng)作都是伴隨其它程序進(jìn)展的，因此在一般情況下使用者很難發(fā)現(xiàn)系統(tǒng)中有木馬的存在。破壞性：通過(guò)遠(yuǎn)程控制，攻擊者可以通過(guò)木馬程序?qū)ο到y(tǒng)中的文件進(jìn)展刪除、編輯操作，還可以進(jìn)展諸如格式化硬盤(pán)、改變系統(tǒng)啟動(dòng)參數(shù)等個(gè)性破壞操作。竊密性：木馬程序最大的特點(diǎn)就是可以窺視被入侵計(jì)算機(jī)上的所有資料，這不僅包括硬盤(pán)上的文件，還包括顯示器畫(huà)面、使用者在操作電腦過(guò)程中在硬盤(pán)上輸入的所有命令等。木馬的入侵途徑木馬入侵的主要途徑是通過(guò)一定的欺騙方法，如更改圖標(biāo)、把木馬文件與普通文件合并，欺騙被攻擊者下載并執(zhí)行做了手腳的木馬程序，就會(huì)把木馬安裝到被攻擊者的計(jì)算機(jī)中。木馬也可以通過(guò)Script、Active*及ASP、CGI交互腳本的方式入侵，由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞，攻擊者可以利用這些漏洞又到上網(wǎng)者單擊網(wǎng)頁(yè)，這樣IE瀏覽器就會(huì)自動(dòng)執(zhí)行腳本，實(shí)現(xiàn)木馬的下載和安裝。木馬還可以利用系統(tǒng)的一些漏洞入侵，如微軟的IIS效勞存在多種溢出漏洞，通過(guò)緩沖區(qū)溢出攻擊程序造成IIS效勞器溢出，獲得控制權(quán)縣，然后在被攻的效勞器上安裝并運(yùn)行木馬。木馬的種類(lèi)按照木馬的開(kāi)展歷程，可以分為四個(gè)階段：第一代木馬是偽裝型病毒，將病毒偽裝成一合法的程序讓用戶(hù)運(yùn)行。第二代木馬是網(wǎng)絡(luò)傳播型木馬，它具備偽裝和傳播兩種功能，可以近些年歌迷馬竊取、遠(yuǎn)程控制。第三代木馬在連接方式上有了改良，利用率端口反彈技術(shù)。第四代木馬在進(jìn)程隱藏方面作了較大改動(dòng)，讓木馬效勞器運(yùn)行時(shí)沒(méi)有進(jìn)程，網(wǎng)絡(luò)操作插入到系統(tǒng)進(jìn)程或者應(yīng)用進(jìn)程完成。按照功能分類(lèi),木馬可以分為:破壞型木馬，主要功能是破壞刪除文件；密碼發(fā)送型木馬，它可以找到密碼并發(fā)送到指定的中；效勞型木馬，它通過(guò)啟動(dòng)FTP效勞或者建立共享目錄，使黑客可以連接并下載文件；DOS攻擊型木馬，它可以作為被黑客控制的肉雞實(shí)施DOS攻擊；代理型木馬，它作為黑客發(fā)起攻擊的跳板；遠(yuǎn)程控制型木馬，可以使攻擊者利用客戶(hù)端軟件完全控制。木馬的工作原理下面介紹木馬的傳統(tǒng)連接技術(shù)、反彈端口技術(shù)和線(xiàn)程插入技術(shù)。木馬的傳統(tǒng)連接技術(shù)一般木馬都采用C/S運(yùn)行模式，因此它分為兩局部，即客戶(hù)端和效勞器端木馬程序。其原理是，當(dāng)效勞器端程序在目標(biāo)計(jì)算機(jī)上被執(zhí)行后，一般會(huì)翻開(kāi)一個(gè)默認(rèn)的端口進(jìn)展監(jiān)聽(tīng)，當(dāng)客戶(hù)端向效勞器端主動(dòng)提出連接請(qǐng)求，效勞器端的木馬程序就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答客戶(hù)端的請(qǐng)求，從而建立連接。第一代和第二代木馬都采用的是C/S連接方式，都屬于客戶(hù)端主動(dòng)連接方式。效勞器端的遠(yuǎn)程主機(jī)開(kāi)放監(jiān)聽(tīng)端口等待外部的連接，當(dāng)入侵者需要與遠(yuǎn)程主機(jī)連接時(shí)，便主動(dòng)發(fā)出連接請(qǐng)求，從而建立連接。木馬的反彈端口技術(shù)隨著防火墻技術(shù)的開(kāi)展，它可以有效攔截采用傳統(tǒng)連接方式從外部主動(dòng)發(fā)起連接的木馬程序。但防火墻對(duì)部發(fā)起的連接請(qǐng)求則認(rèn)為是正常連接，第三代和第四代“反彈式〞木馬就是利用這個(gè)缺點(diǎn)，其效勞器端程序主動(dòng)放棄對(duì)外連接請(qǐng)求，再通過(guò)*些方式連接到木馬的客戶(hù)端，就是說(shuō)“反彈式〞木馬是效勞器端主動(dòng)發(fā)起連接請(qǐng)求，而客戶(hù)端是被動(dòng)的連接。根據(jù)客戶(hù)端IP地址是靜態(tài)的還是動(dòng)態(tài)的，反彈式端口連接可以有兩種方式。反彈端口連接方式一要求入侵者在設(shè)置效勞器端的時(shí)候，指明客戶(hù)端的IP地址和待連接端口，也就是遠(yuǎn)程被入侵的主機(jī)預(yù)先知道客戶(hù)端的IP地址和連接端口。所以這種方式只適用于客戶(hù)端IP地址是靜態(tài)的情況。反彈端口連接方式二在連接建立過(guò)程中，入侵者利用一個(gè)“代理效勞器〞保存客戶(hù)端的IP地址和待連接端口，在客戶(hù)端的IP地址是動(dòng)態(tài)的情況下，只要入侵者更新“代理效勞〞中存放的IP地址預(yù)端口號(hào)，遠(yuǎn)程被入侵主機(jī)就可以通過(guò)先連接到“代理效勞器〞。查詢(xún)最新木馬客戶(hù)端信息，再和入侵者(客戶(hù)端〕進(jìn)展連接。因此，這種連接方式適用于客戶(hù)端和效勞器端都是動(dòng)態(tài)IP地址的情況，況且還可以穿透更加嚴(yán)密的防火墻。表1反彈端口連接方式及其使用圍反彈端口連接方式使用圍方式一客戶(hù)端和效勞器端都是獨(dú)立IP。客戶(hù)端獨(dú)立IP，效勞器端在局域網(wǎng)?？蛻?hù)端和效勞器端都在同一局域網(wǎng)。方式二客戶(hù)端和效勞器端都是獨(dú)立IP。客戶(hù)端獨(dú)立IP，效勞器端在局域網(wǎng)。線(xiàn)程插入技術(shù)一個(gè)應(yīng)用程序在運(yùn)行之后，都會(huì)在系統(tǒng)中產(chǎn)生一個(gè)進(jìn)程，同時(shí)每個(gè)進(jìn)程分別對(duì)應(yīng)另一個(gè)不同的進(jìn)程標(biāo)識(shí)符〔PID〕。系統(tǒng)會(huì)分配一個(gè)虛擬的存空間地址端給這個(gè)進(jìn)程，一切相關(guān)的程序操作，都會(huì)在這個(gè)虛擬的空間進(jìn)展。一個(gè)進(jìn)程可以對(duì)應(yīng)一個(gè)或多個(gè)線(xiàn)程，線(xiàn)程之間可以同步執(zhí)行。一般情況下，線(xiàn)程之間是相互獨(dú)立的，當(dāng)一個(gè)線(xiàn)程發(fā)生錯(cuò)誤的時(shí)候，并不一定會(huì)導(dǎo)致整個(gè)進(jìn)程的崩潰。“線(xiàn)程插入〞技術(shù)就是利用了線(xiàn)程之間運(yùn)行的相對(duì)獨(dú)立性，使木馬完全的融進(jìn)了系統(tǒng)的核。這種技術(shù)把木馬程序作為一個(gè)線(xiàn)程，把自身插入其他應(yīng)用程序的地址空間。而這個(gè)被插入的應(yīng)用程序?qū)ο到y(tǒng)來(lái)說(shuō)，是一個(gè)正常的程序，這樣就到達(dá)了徹底隱藏的效果。系統(tǒng)運(yùn)行時(shí)會(huì)有許多的進(jìn)程，而每個(gè)進(jìn)程又有許多的線(xiàn)程，這就導(dǎo)致了查殺利用“線(xiàn)程插入〞技術(shù)木馬程序的難度。三．實(shí)驗(yàn)環(huán)境兩臺(tái)裝有Windows2000/*P系統(tǒng)的計(jì)算機(jī)，局域網(wǎng)或Internet，冰河木馬軟件〔效勞器和客戶(hù)端〕。四．實(shí)驗(yàn)步驟和方法雙擊冰河木馬.rar文件，將其進(jìn)展解壓，解壓路徑可以自定義。解壓過(guò)程見(jiàn)圖1—圖4，解壓結(jié)果如圖4所示。圖1圖2圖3冰河木馬共有兩個(gè)應(yīng)用程序，見(jiàn)圖4，其中win32.e*e是效勞器程序，屬于木馬受控端程序，種木馬時(shí)，我們需將該程序放入到受控端的計(jì)算機(jī)中，然后雙擊該程序即可；另一個(gè)是木馬的客戶(hù)端程序，屬于木馬的主控端程序。圖4在種木馬之前，我們?cè)谑芸囟擞?jì)算機(jī)中翻開(kāi)注冊(cè)表，查看翻開(kāi)t*tfile的應(yīng)用程序注冊(cè)項(xiàng)：HKEY_CLASSES_ROOT\t*tfile\shell\open\command，可以看到翻開(kāi).t*t文件默認(rèn)值是c:\winnt\system32\notepad.e*e%1，見(jiàn)圖5。圖5再翻開(kāi)受控端計(jì)算機(jī)的c:\winnt\system32文件夾〔*P系統(tǒng)為C:\windows\system32〕，我們不能找到syse*plr.e*e文件，如圖6所示。圖6現(xiàn)在我們?cè)谑芸囟擞?jì)算機(jī)中雙擊Win32.e*e圖標(biāo)，將木馬種入受控端計(jì)算機(jī)中，外表上好似沒(méi)有任何事情發(fā)生。我們?cè)俜_(kāi)受控端計(jì)算機(jī)的注冊(cè)表，查看翻開(kāi).t*t文件的應(yīng)用程序注冊(cè)項(xiàng)：HKEY_CLASSES_ROOT\t*tfile\shell\open\command，可以發(fā)現(xiàn)，這時(shí)它的值為C:\winnt\system32\syse*plr.e*e%1，見(jiàn)圖7。圖7我們?cè)俜_(kāi)受控端計(jì)算機(jī)的C:\WINNT\System32文件夾，這時(shí)我們可以找到syse*plr.e*e文件，如圖8所示。圖8我們?cè)谥骺囟擞?jì)算機(jī)中，雙擊Y_Client.e*e圖標(biāo)，翻開(kāi)木馬的客戶(hù)端程序〔主控程序〕?？梢钥吹饺鐖D9所示界面。圖9我們?cè)谠摻缑娴摹驹L(fǎng)問(wèn)口令】編輯框中輸入訪(fǎng)問(wèn)密碼：12211987，設(shè)置訪(fǎng)問(wèn)密碼，然后點(diǎn)擊【應(yīng)用】，見(jiàn)圖10。圖10點(diǎn)擊【設(shè)置】->【配置效勞器程序】菜單項(xiàng)選擇項(xiàng)對(duì)效勞器進(jìn)展配置，見(jiàn)圖11，彈出圖12所示的效勞器配置對(duì)話(huà)框。圖11在效勞器配置對(duì)話(huà)框中對(duì)待配置文件進(jìn)展設(shè)置，如圖12點(diǎn)擊該按鈕，找到效勞器程序文件win32.e*e，翻開(kāi)該文件〔圖13〕；再在訪(fǎng)問(wèn)口令框中輸入12211987，然后點(diǎn)擊【確定】〔見(jiàn)圖14〕，就對(duì)效勞器已經(jīng)配置完畢，關(guān)閉對(duì)話(huà)框。圖12圖13圖14現(xiàn)在在主控端程序中添加需要控制的受控端計(jì)算機(jī)，我們先在受控端計(jì)算機(jī)中查看其IP地址，如圖15〔本例中為〕。圖15這時(shí)可以在我們的主控端計(jì)算機(jī)程序中添加受控端計(jì)算機(jī)了，詳細(xì)過(guò)程見(jiàn)圖16、圖17。圖16圖17當(dāng)受控端計(jì)算機(jī)添加成功之后，我們可以看到圖18所示界面。圖18我們也可以采用自動(dòng)搜索的方式添加受控端計(jì)算機(jī)，方法是點(diǎn)擊【文件】->【自動(dòng)搜索】，翻開(kāi)自動(dòng)搜索對(duì)話(huà)框〔見(jiàn)圖19〕。圖19搜索完畢時(shí)，我們發(fā)現(xiàn)在搜索結(jié)果欄中IP地址為的項(xiàng)旁狀態(tài)為OK，表示搜索到IP地址為的計(jì)算機(jī)已經(jīng)中了冰河木馬，且系統(tǒng)自動(dòng)將該計(jì)算機(jī)添加到主控程序中，見(jiàn)圖20。圖20將受控端計(jì)算機(jī)添加后，我們可以瀏覽受控端計(jì)算機(jī)中的文件系統(tǒng)，見(jiàn)圖21—圖23。圖21圖22圖23我們還可以對(duì)受控端計(jì)算機(jī)中的文件進(jìn)展復(fù)制與粘貼操作，見(jiàn)圖24、圖25。圖24圖25我們?cè)谑芸囟擞?jì)算機(jī)中進(jìn)展查看，可以發(fā)現(xiàn)在相應(yīng)的文件夾中確實(shí)多了一個(gè)剛復(fù)制的文件，見(jiàn)圖26，該圖為受控端計(jì)算機(jī)中文件夾。圖26我們可以在主控端計(jì)算機(jī)上觀(guān)看受控端計(jì)算機(jī)的屏幕，方法見(jiàn)圖27、圖28。圖27圖28這時(shí)在屏幕的左上角有一個(gè)窗口，該窗口中的圖像即受控端計(jì)算機(jī)的屏幕見(jiàn)圖29。圖29我們將左上角的窗口全屏顯示，可得如圖30所示〔屏幕的具體狀態(tài)應(yīng)視具體實(shí)驗(yàn)而不同〕。圖30我們?cè)谑芸囟擞?jì)算機(jī)上進(jìn)展驗(yàn)證發(fā)現(xiàn)：主控端捕獲的屏幕和受控端上的屏幕非常吻合。見(jiàn)圖31。圖31我們可以通過(guò)屏幕來(lái)對(duì)受控端計(jì)算機(jī)進(jìn)展控制，方法見(jiàn)圖32，進(jìn)展控制時(shí)，我們會(huì)發(fā)現(xiàn)操作遠(yuǎn)程主機(jī)，就好似在本地機(jī)進(jìn)展操作一樣。圖32我們還可以通過(guò)冰河信使功能和效勞器方進(jìn)展聊天，具體見(jiàn)圖33—圖35，當(dāng)主控端發(fā)起信使通信之后，受控端也可以向主控端發(fā)送消息了。圖33圖34圖35展開(kāi)命令控制臺(tái)，分為“口令類(lèi)命令〞、“注冊(cè)表讀表〞、“設(shè)置類(lèi)命令〞?！?〕口令命令類(lèi)：①“系統(tǒng)信息及口令“：可以查看遠(yuǎn)程主機(jī)的系統(tǒng)信息、開(kāi)機(jī)口令、緩存口令等。②“歷史口令〞：可以查看遠(yuǎn)程主機(jī)以往使用的口令。③“擊鍵記錄〞：?jiǎn)?dòng)鍵盤(pán)記錄以后，可以記錄遠(yuǎn)程主機(jī)用戶(hù)擊鍵記錄，以此可以分析出遠(yuǎn)程主機(jī)的各種和口令或各種秘密信息?！?〕控制類(lèi)命令捕獲屏幕〞：這個(gè)功能可以使控制端使用者查看遠(yuǎn)程主機(jī)的屏幕，好似遠(yuǎn)程主機(jī)就在自己面前一樣，這樣更有利于竊取各種信息。單擊“查看屏幕〞，彈出遠(yuǎn)程主機(jī)界面。=1\*GB3①“發(fā)送信息〞：這個(gè)功能可以使你向遠(yuǎn)程計(jì)算機(jī)發(fā)送Windows標(biāo)準(zhǔn)的各種信息。=2\*GB3②“進(jìn)程管理〞：這個(gè)功能可以使控制者查看遠(yuǎn)程主機(jī)上所有的進(jìn)程。=3\*GB3③“窗口管理〞：這個(gè)功能可以使遠(yuǎn)程主機(jī)上的窗口進(jìn)展刷新、最大化、最小化、激活、隱藏等操作。=4\*GB3④“系統(tǒng)管理〞：該功能可以使遠(yuǎn)程主機(jī)進(jìn)展關(guān)機(jī)、重啟、重新加載冰河、自動(dòng)卸載冰河。=5\*GB3⑤“其他控制〞：該功能可以使遠(yuǎn)程主機(jī)上進(jìn)展自動(dòng)撥號(hào)制止、桌面隱藏、注冊(cè)表鎖定等操作?！?〕網(wǎng)絡(luò)類(lèi)命令：①“創(chuàng)立共享〞：在遠(yuǎn)程主機(jī)上創(chuàng)立自己的共享。②“刪除共享〞：在遠(yuǎn)程主機(jī)上刪除*個(gè)特定的共享。③“網(wǎng)絡(luò)信息〞：查看遠(yuǎn)程主機(jī)上的共享信息，單擊“查看共享〞可以看到遠(yuǎn)程主機(jī)上的IPC$,C$、ADMIN$等共享都存在。⑷文件類(lèi)命令：展開(kāi)文件類(lèi)命令、文件瀏覽、文件查找、文件壓縮、文件刪除、文件翻開(kāi)等菜單可以查看、查找、壓縮、刪除、翻開(kāi)遠(yuǎn)程主機(jī)上的*個(gè)文件。目錄增刪、目錄復(fù)制、主鍵增刪、主鍵復(fù)制的功能。=5\*GB2⑸注冊(cè)表讀寫(xiě)：提供了鍵值讀取，鍵值寫(xiě)入，鍵值重命名、主鍵瀏覽、主鍵刪除、主鍵復(fù)制的功能。=6\*GB2⑹設(shè)置類(lèi)命令：提供了更換墻紙、更改計(jì)算機(jī)名、效勞器端配置的功能。3、刪除冰河木馬刪除冰河木馬主要有以下幾種方法：客戶(hù)端的自動(dòng)卸載功能，而實(shí)際情況中木馬客戶(hù)端不可能為木馬效勞器自動(dòng)卸載木馬。手動(dòng)卸載：查看注冊(cè)表，在“開(kāi)場(chǎng)〞中運(yùn)行regedit,翻開(kāi)Windows注冊(cè)表編輯器。依次翻開(kāi)子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CruuentVersion\run.在目錄中發(fā)現(xiàn)一個(gè)默認(rèn)的鍵值：C:\WINNT\System32\kernel32.e*e，這個(gè)就是冰河木馬在注冊(cè)表中參加的鍵值，將它刪除。然后依次翻開(kāi)子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind-ows\CurrentVersion\Runservices,在目錄中也發(fā)現(xiàn)一個(gè)默認(rèn)鍵值：C:\WINNT\System32\kernel32.e*e，這個(gè)也是冰河木馬在注冊(cè)表中參加的鍵值，刪除。進(jìn)入C:\WINNT\System32目錄，找到冰河的兩個(gè)可執(zhí)行文件Kernel32.e*e和Suse*plr.e*e，刪除。修改文件關(guān)聯(lián)時(shí)木馬常用的手段，冰河木馬將t*t文件的缺