冰河远程控制实验.docVIP

实验名称: 冰河远程控制实验 实验要求： [实验目的] ◆ 掌握远程控制攻击技术的原理。 ◆ 学会使用常见的远程控制工具。 ◆ 掌握远程控制攻击的防范措施。 [实验环境] ◆ 网络：局域网环境。 ◆ 远程计算机 ◇ 操作系统：Windows 2000 Server ◇ 软件：运行了冰河服务器端程序（G_Server.exe）。 ◆ 本地计算机 ◇ 操作系统：Windows 2000主机 ◇ 软件：Binhe6.0。 [实验内容] ◆ 远程文件控制。 ◆ 远程屏幕查看。 ◆ 远程进程查看。 ◆ 远程网络信息查看。 ◆ 读取远端服务器配置。 实验指导： ? 运行实验工具目录下的G_Client.exe（注意不是G_Server.exe）。 ? 点击 按钮，或者选择文件菜单项中的添加主机。 ? 在显示名称输入框中输入目标服务器的IP地址（如11），也就是我们的远程控制对象；在访问口令输入框中输入连接口令，默认为空；在监听端口输入框中连接端口（即远程服务器监听的端口）号，默认为7626。点击确定按钮返回主界面。 ? 在主界面文件管理器选项卡左侧的列表中点击选中所添加的目标主机（11）节点，观察在右侧文件树中是否能够查看到目标服务器上的驱动器列表。 ? 在文件控制台中展开目标服务器的节点，在右边的文件列表中找到以下文件C:\ServerData\test.txt，将其下载到本地计算机。请将该文件的内容导入到实验报告中。 ? 切换到命令控制台选项卡，展开控制类命令-捕获屏幕节点。 ? 在右下方区域选择屏幕捕获的捕获区域参数为全屏，色深、品质、传输格式等参数为默认，然后点击查看屏幕按钮。 在自动弹出的图像显示窗口中查看所捕获到的屏幕图像，在该窗口中右击鼠标选择保存图像将屏幕图片保存到本地计算机。请将该图片导入实验报告。 ? 在控制类命令中选中进程管理，在右下方区域中点击查看进程按钮。请将所得到的远程服务器上存在的进程列表写入实验报告。 ? 在网络类命令中选中网络信息，在右下方区域中点击查看共享按钮。请将所得到的远程服务器上所开放的文件共享列表写入实验报告。 ? 在网络类命令中选中网络信息，在右下方区域中点击查看连接按钮。请将所得到的远程服务器上的网络连接列表写入实验报告。 ? 在设置类命令中选中服务器端配置，在右下方区域中点击按钮。请将所得到的配置信息写入实验报告。 实验原理： 远程控制实质上是一种网络客户机/服务器的通信模式，服务器端向客户端提供服务，客户端接受服务器端所提供的服务。可以使用多种语言实现远程控制，通常，控制端程序提供一个具有良好交互性的图形用户界面，而受控端程序则是一个在受控主机的后台运行控制台程序。 一般情况下，客户端程序在控制主机上执行，服务器端程序在受控主机上执行。服务器端程序绑定在系统某个端口上监听网络的流量，当有信息（客户端请求连接的信息）流入，要求和服务器端连接时，服务器端将接受请求，和客户端建立连接通道。然后开始通信、发送指令、传递数据、执行命令、返回结果。 在网络攻防中，由于受控端程序不能显示地运行在受控主机中，必须采取一定的措施隐藏自身的运行，以免被防火墙软件和防病毒软件发现。所以，在网络攻击中，并不都是客户端运行在控制主机上，服务器端运行在受控主机上。。 特洛伊木马技术在网络攻防中作为一种远程控制技术，具有鲜明的代表性。下面将以特洛伊木马为例，详细介绍网络攻防中远程控制技术所采用的植入、自启动、隐藏技术以及远程控制所能实现的功能。 1. 植入技术 要能实现远程控制，就必须先将受控端程序植入到受控主机中。目前，比较常用的植入方式主要有： ? 通过邮件附件植入：某些用户可能直接打开附件运行可执行程序。 ? 通过网页植入：IE允许自动下载ActiveX控件、对ActiveX控件进行初始化和脚本运行。此类脚本包括Script、Asp、Cgi等交互式脚本，受控端程序就以各种方式隐藏在这些脚本代码中。 ? 通过文件捆绑植入：用户可能从网站上下载某些文件，若这些文件已和受控端程序绑定在一起，则当你打开或运行这些文件时，受控端程序也将同时偷偷运行，植入主机系统。 ? 利用系统自身的漏洞植入：一般是指攻击者利用系统本身的漏洞或者配置不当，在获取了系统一定的权限之后，将受控端程序植入系统。 2. 自启动技术 受控端程序一般都会采取某种自启动技术，使得在系统重新启动、用户从系统注销或其它用户登录系统的情况下，受控端程序会自动运行，等待和控制端程序进行通信。 根据不同的功能需求，自启动技术的种类很多，这里仅列出较常见的几种。（注：下列例子中的file.exe假设为受控端程序） ? 修改Win.ini文件：Win.ini文件的[windows]字段中的启动命令“lo