信息安全实验七—邓昭—信息111—1108060103.docVIP

贵州大学实验报告 学院：计算机科学与技术 专业：信息安全 班级：信息111 姓名 邓昭 学号 1108060103 实验组 实验时间 2014.6.11 指导教师 成绩 实验项目名称 实验七：木马的攻击与防范 实验目的 掌握目前网络中常见的木马的检测及消除方法； 学会使用工具检测及清楚木马。 实验要求 实验原理 木马工作原理 1.木马系统构成：硬件、软件、具体连接 硬件是控制端和服务器端 软件是木马代码 连接一般通过网络（IP、端口） 2.木马配置程序的功能：伪装和信息反馈 3.传播木马 传播方式有2：通过e-mail和下载 （2）伪装方式： 修改图标（一般存在e-mail中，会将木马服务器端改为HTML、TXT、ZIP图标等） 捆绑文件：将木马捆绑在一个安装（可执行）文件上，当文件执行时，木马运行。（like网络公牛） 出错显示：一般木马执行时，会像执行程序但却没有任何反应，容易惹人怀疑，所以为了伪装，就显示出错。 定制端口：很多老师木马端口是固定的，只要检查端口可知是否被感染。现在的木马选择在1024~65535之间任选端口，那就不好判断了。 自我销毁：毁灭犯罪证据（在windows系统文件中无法找到了） 木马更名：也是为了防止被找到 4.运行木马 （1）自启动激活木马： 注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下的5个以Run和RunServices主键，有木马键值。 WIN.INI( 在C:\WINDOWS目录下有配置文件win.ini，用文本方式打开，在[windows]字段中有启动项命令load=和run=，一般为空，若有内容，可能是木马。 SYETEM.INI( 在C:\WINDOWS目录下有配置文件system.ini，用文本方式打开，在[386Enh]，[mic]，[driver32]中看有无木马命令木马。 Autoexec.bat 和Config.sys ( 在c盘根目录下着两个文件也可启用木马。（需要控制端的同名木马对客户端的这两个文件进行覆盖） *INI（应用程序的启用配置文件）：控制端用同名木马覆盖，服务端不知道，就启用了木马。 启用菜单：在【开始】(【程序】(【启用】，也有木马出发条件。 由触发式激活木马 注册表 HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看键值。（冰河就是修改txtfile下的键值） 捆绑文件：同伪装方式，就算木马被删除，只要运行与其捆绑的可执行文件，木马也执行，所以要删除被捆绑的关联文件 木马运行过程：木马被激活后，进入内存，开启预定义端口，与控制端建立连接，返回信息给控制端。 信息泄露：木马就是控制端拿来窃取其想要的信息的。（如服务端的硬件信息，包括操作系统及版本，系统目录，系统口令，最终要的是服务端IP，有IP才能建立连接） 建立连接：有2个条件：控制端将木马弄到了服务端；两端都在线。（一般是C/S结构，也有S/C结构的，灰鸽子就是用反弹主动连接技术要服务端连接控制端） 远程控制： 窃取密码：一切以明文形式，“*”形式或缓存在cache中的密码都能被木马侦测到，很多木马都有击键记录。 文件操作：由远程控制对文件进行删除、新建、修改、上传、下载、运行、更改属性等一系列操作。（基本涵盖了windows平台的所有文件操作） 修改注册表：任意修改服务端注册表，报告删除、新建、修改主键、子键、键值。这样可以禁止服务端软驱、光驱的使用。锁住服务端的注册表，将木马触发条件设置得更加隐秘。 系统操作：对操作系统的关闭重、启，断开网络连接，控制鼠标、键盘、监视桌面，查看进程、控制端还可以随时给服务端发送信息。 隐形木马启动方式：常用启动方式同上。 方式1：在用户策略组的“在用户登陆时运行这些程序”： 【开始】(【运行】Gpedit.exe命令。打开【组策略】(【本地计算机策略】(【用户配置】(【管理模块】(【系统】(【登陆】，双击【在用户登陆时运行这些程序】子项进行属性设置，选择【设置】(【应启用】选项并单击【显示】按钮打开【显示内容】窗口，再单击【添加】，在【添加项目】中输入要启动程序的路径，单击【确定】完成。 重启系统后，系统会在登陆时自动添加木马程序。 方式2：在不熟知的注册表中添加自启动程序： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Run 方式3：网页木马的寄存方式 把木马文件改成BMP文件，利用debug来还原成exe，网上存在该木马20% 下载一个TXT文件到你计算机，