实验..网络攻防之远程控制实验.docVIP

实验 网络攻防之远程控制实验 一、实训目的 1．掌握远程控制攻击技术的原理。 2．学会使用常见的远程控制工具。 3．掌握远程控制攻击的防范措施。 二、实训要求 1．远程文件控制。 2． 远程屏幕查看。 3． 远程进程查看。 4． 远程网络信息查看。 5． 读取远端服务器配置。 三、实训原理 远程控制实质上是一种网络客户机/服务器的通信模式，服务器端向客户端提供服务，客户端接受服务器端所提供的服务。可以使用多种语言实现远程控制，通常，控制端程序提供一个具有良好交互性的图形用户界面，而受控端程序则是一个在受控主机的后台运行控制台程序。 一般情况下，客户端程序在控制主机上执行，服务器端程序在受控主机上执行。服务器端程序绑定在系统某个端口上监听网络的流量，当有信息（客户端请求连接的信息）流入，要求和服务器端连接时，服务器端将接受请求，和客户端建立连接通道。然后开始通信、发送指令、传递数据、执行命令、返回结果。 在网络攻防中，由于受控端程序不能显示地运行在受控主机中，必须采取一定的措施隐藏自身的运行，以免被防火墙软件和防病毒软件发现。所以，在网络攻击中，并不都是客户端运行在控制主机上，服务器端运行在受控主机上。特洛伊木马技术在网络攻防中作为一种远程控制技术，具有鲜明的代表性。下面将以特洛伊木马为例，详细介绍网络攻防中远程控制技术所采用的植入、自启动、隐藏技术以及远程控制所能实现的功能。 植入技术 要能实现远程控制，就必须先将受控端程序植入到受控主机中。目前，比较常用的植入方式主要有： 通过邮件附件植入：某些用户可能直接打开附件运行可执行程序。 通过网页植入：IE允许自动下载ActiveX控件、对ActiveX控件进行初始化和脚本运行。此类脚本包括Script、Asp、Cgi等交互式脚本，受控端程序就以各种方式隐藏在这些脚本代码中。 通过文件捆绑植入：用户可能从网站上下载某些文件，若这些文件已和受控端程序绑定在一起，则当你打开或运行这些文件时，受控端程序也将同时偷偷运行，植入主机系统。 利用系统自身的漏洞植入：一般是指攻击者利用系统本身的漏洞或者配置不当，在获取了系统一定的权限之后，将受控端程序植入系统。 自启动技术 受控端程序一般都会采取某种自启动技术，使得在系统重新启动、用户从系统注销或其它用户登录系统的情况下，受控端程序会自动运行，等待和控制端程序进行通信。 根据不同的功能需求，自启动技术的种类很多，这里仅列出较常见的几种。（注：下列例子中的file.exe假设为受控端程序） 修改Win.ini文件：Win.ini文件的[windows]字段中的启动命令“load=”和“run=”，正常情况下为空。如果在这些启动命令后添加受控端程序的路径名，则当系统下次启动时，将自动运行路径名所指向的程序。 例如：run=c:\windows\file.exe。 修改注册表：系统启动时，将会首先读取注册表中某些主键下子键的内容，判断是否需要加载特定的程序。许多远程控制程序就是利用这个机制，在注册表中新增键值，让系统自动加载和运行程序。 注册表中具有这种功能的主键有： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的某一主键（Run、RunOnce、RunOnceEx或RunServices）； HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的某一主键（Run、RunOnce、RunOnceEx或RunServices）； HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下所有以“Run”开头的某一主键（Run、RunOnce、RunOnceEx或RunServices）。 例如：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下新建一个字符串值File，值为c:\windows\file.exe。 修改System.ini文件：在System.ini文件的[boot]字段的shell=Explorer.exe后添加受控端程序的路径。如：shell=Explorer.exe file.exe。 修改文件关联：修改注册表，改变文件的关联性，使得打开某类文件时，先启动受控端程序，再运行打开该文件所用的程序。这类文件有.exe、.htm、.txt、.zip、.com等文件。 （本实验所使用的冰河木马程序，使用了其中的修改注册表方法： HKEY_LOCAL_MACHINE\SOFTWARE\M