- 1、本文档共61页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络安全(黑客防)_木马攻击
第3章 木马攻击 实验3-1:传统连接技术木马之一─Netbus木马 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施 实验3-1:传统连接技术木马之一──Netbus木马 木马分为客户端与服务器端。按照这两端的连接方式分可以分为传统连接技术木马和反弹式木马。 传统连接技术木马(即采用正向端口连接技术的木马),是采用C/S运行模式,分为客户端程序(控制端)和服务器端程序(受害端)。服务器端程序在目标主机上被执行后,打开一个默认的端口进行监听,当客户端(黑客机)向服务器端(受害主机)主动提出连接请示时,服务器端程序便会应答连接请求,从而建立连接。常见的有Netbus、冰河等。 一、实验目的 了解传统木马的攻击原理,掌握传统木马攻击的方法和防御传统木马攻击的措施。 二、实验设备 2台XP/2000 Server/2003 Server的主机,Netbus1.70,均要关闭防火墙和杀毒软件。 三、实验步骤(1) 1、受害主机B运行黑客机A上Netbus压缩包中的Patch.exe,受害主机B的任务管理器中多了名为Patch.exe的进程,(图3-1 受害主机的任务管理器)。 三、实验步骤(2) 2、黑客机A上运行Netbus,在Netbus界面中输入受害主机IP,点击“Connet”钮,(图3-2 netbus木马的主界面)。 三、实验步骤(3) 3、黑客机A在Netbus界面可以对受害主机B进行弹出光驱、交换鼠标左右键等控制操作。 三、实验步骤(4) 4、黑客机A在Netbus界面可运行受害主机B上的%Systemroot%\System32\Calc.exe或者Notepad.exe,(图3-3 远程运行受害主机上的计算器程序)。 三、实验步骤(5) 5、黑客机A可在此界面进行端口重定向。 (1)使用应用程序重定向将对方的Cmd.exe程序重新映射至对方100端口(Netbus的默认设置),(图3-4 端口重定向)。 (2)使用端口重定向功能,在(图3-5 端口重定向)的界面中再用端口重定向打开23口。 监听(Listen)口:23。 主机:50(运行Netbus的受害主机IP)。 重定向TCP端口:100。 (3)测试:在受害主机B上,点击开始任务栏―运行―Cmd并回车。黑客机A可以成功地利用Telnet拨入至受害主机B,而受害主机B上根本没启动Telnet服务,黑客机A通过端口重定向与应用程序重定向将Cmd.exe指派到23端口,又将23端口重定向至100端口,再Telnet至受害主机B,从而接管受害主机B系统的命令提示符窗口。 三、实验步骤(6) 6、浏览受害主机B的网页或者网站(黑客机A在IE的地址栏中输入50:100)。 三、实验步骤(7) 7、在黑客机A上点击Netbus界面中的“Listen”钮,受害主机B在键盘输入的内容全部显示到黑客机A。(图3-6 受害机上的键盘输入情况)是受害机上的输入情况,(图3-7 黑客机上监听的情况)。 三、实验步骤(8) 8、键盘管理器(即Key Manager钮):控制对方几个键或者主键盘区的全部键无法输入(但小键盘区不受控制),(图3-8 禁用受害主机的键盘)。 三、实验步骤(9) 9、远程关机,(图3-9 对受害主机进行关机)。 三、实验步骤(10) 10、查看受害主机窗口。在Netbus界面中点击“Active Wnds”钮,(图3-10 查看受害主机窗口)。 三、实验步骤(11) 11、让受害主机屏幕崩溃(类似死机状态)。在Netbus界面中点击“Screendump”钮,(图3-11 屏幕崩溃)。 三、实验步骤(12) 12、用File Manager上传、下载文件:点击“File Manager”钮即可完成。 思考:受害机如何摆脱黑客机的控制? 回答:受害机任务管理器中有Patch程序,将它结束掉,则受害机不再受控制。 补充:现在的木马采用的技术比Netbus更为先进,任务管理器中无法观察出新加的任务(或者发现了新增加的进程但无法结束该进程),只能通过Icesword之类的进(线)程查看器进行观察,发现危险进程或线程时禁用它。 四、实验小结 采用正向连接技术的木马的黑客机主动与受害主机相连,即木马的客户端程序主动连接服务器端程序。一旦受害主机开启防火墙,客户端与服务器端之间的通讯将被阻止。 五、防御措施 同时开启防火墙、杀毒软件的实时监控。 实验3-2:传统连接技术木马之二──冰河木马 一、
文档评论(0)