第二章网络攻击与防范综述.ppt

步骤2：此时若在主机A的浏览器地址栏中输入“\\02\d$”，即可访问主机B(已开启Guest账户)的D盘，并可以进行复制、删除等操作，如图6-26所示。 步骤3：如果需要关闭远程主机的D盘共享，可在“CMD”文本框中输入“net share D$ /delete”命令。 当然，可在“CMD”文本框中输入其他命令，达到远程运行各种程序的目的。 ④ 清除远程主机上的日志。 黑客为了消除各种入侵痕迹，最后需要清除日志。在“日志”选项卡中，输入远程主机的IP地址、用户名和密码后，单击“开始执行”按钮，可以清除远程主机上的日志。 ⑤ 重新启动远程主机。 在“重启”选项卡中，输入远程主机的IP地址、用户名和密码后，单击“开始执行”按钮，即可重新启动远程主机。 ⑥ 控制远程主机中的进程。 步骤1：在“进程”选项卡中，输入远程主机的IP地址、用户名和密码后，在进程列表处右击，选择“获取进程信息”命令，可以显示主机B上目前正在运行的所有进程。 步骤2：如果需要关闭某进程，如360杀毒进程“360sd.exe”，防止以后要上传的木马文件被杀毒软件等杀除，可右击该进程，选择“关闭进程”命令即可，如图6-27所示。 ⑦ 控制远程主机中的服务。 步骤1：在“服务”选项卡中，输入远程主机的IP地址、用户名和密码后，在服务列表处右击，选择“获取服务信息”命令，可以显示主机B上的所有服务名、当前状态和启动类型等信息，如图6-28所示。其中“状态”列中，“Running”表示该服务已经启动，“Stopped”表示该服务已经停止。“启动类型”列中，“Auto”表示自动启动，“Manual”表示手动启动，“Disabled”表示已禁用。 步骤2：可以右击某个服务，选择“启动/停止服务”命令，改变所选服务的当前状态。 ⑧ 控制远程主机中的共享。 步骤1：在“共享”选项卡中，输入远程主机的IP地址、用户名和密码后，在共享列表处右击，选择“获取共享信息”命令，可以查看远程主机当前所有的共享信息，如图6-29所示。 步骤2：如果要在远程主机上新建共享，可以右击共享列表，选择“创建共享”命令，此时会连续弹出三个对话框，根据提示分别输入要创建的共享名、共享路径和备注信息后即可在远程主机上新建共享磁盘或文件夹。用这种方法新建的共享与使用CMD命令新建的共享是一样的，在远程主机上不会显示共享图标，且为完全共享。 步骤3：如果需要关闭某共享，可以在该共享上右击，选择“关闭共享”命令即可。 ⑨ 向远程主机种植木马 步骤1：在“种植者”选项卡中，输入远程主机的IP地址、用户名和密码。从图6-29可以知道，远程主机上已有IPC$共享，因此在这里可以选中“IPC上传”单选按钮，单击“本地文件”文本框右侧的按钮，选择要种植的木马程序，如“C:\木马.exe”，该程序必须为可执行文件。 步骤2：单击“获取共享目录”按钮，再在“共享目录”和“对应路径”下拉列表中选择相应的选项。在“启动参数”文本框中设置木马程序启动时需要的参数，这里不需要设置启动参数，如图6-30所示。 步骤3：单击“开始种植”按钮后，所选择的木马程序文件将被复制到远程主机的共享目录中，木马程序还将进行倒计时，60秒后启动已经种植在远程主机上的木马程序。 (4) 利用DameWare软件远程监控主机B 步骤1：在主机A中安装并运行DameWare(迷你中文版4.5)软件，如图6-31所示，输入远程主机B的IP地址、用户名和口令(密码)。 步骤2：单击“设置”按钮，在打开的对话框中选择“服务安装选项”选项卡，选中“设置服务启动类型为‘手动’－默认为‘自动’”和“复制配置文件DWRCS.INI”复选框，如图6-32所示。 步骤3：单击“编辑”按钮，在打开的对话框中选择“通知对话框”选项卡，取消选中“连接时通知”复选框，如图6-33所示。 步骤4：在“附加设置”选项卡中，取消选中所有的复选框，如图6-34所示，这样设置的目的是在连接并监控远程主机时不易被其发现。 步骤5：单击“确定”按钮，返回到“远程连接”对话框，单击“连接”按钮进行远程连接。 步骤6：在第一次连接远程主机B时，会弹出“错误”对话框，提示远程控制服务没有安装在远程主机上，如图6-35所示，单击“确定”按钮，开始安装远程控制服务。 服务安装完成后，会显示远程主机B的当前桌面，并且同步显示主机B的所有操作，实现远程监视主机B的目的。 135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。 * (2) 建立后门账号 ① 编写批处理文件。在“记事本”中输入“net user sysback 123456 /add”和“net localgroup administrators sy