实验五网络攻击与防范实验.doc

实验五：网络攻击与防范实验 一、实验目的 1、了解常见的木马程序进行远程控制的使用方法，掌握木马传播和运行的机制；2、掌握防范木马、检测木马以及手动删除木马的方法； 二、实验环境 1. Windows操作系统，局域网环境， “冰河”、“灰鸽子”木马实验软件。2. 实验每两个学生为一组：互相进行攻击或防范。 三、实验内容 练习“冰河”木马的攻击与防范 四、实验步骤 任务一：练习“冰河”木马的攻击与防范 “冰河”木马采用木马的传统连接技术，包含两个文件：G_Client.exe和G_Server.exe。G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，G_Server.exe是被监控端后台监控程序。打开控制端，弹出“冰河”主界面。文件管理器对文件操作提供了下列鼠标操作功能：1. 文件上传：右键单击欲上传的文件，选择复制，在目的目录中粘贴即可。也可以在目的目录中选择文件上传自，并选定欲上传的文件；2. 文件下载：右键单击欲下载的文件，选择复制，在目的目录中粘贴即可。也可以在选定欲下载的文件后选择文件下载至，并选定目的目录及文件名；3. 打开远程或本地文件：选定欲打开的文件,在弹出菜单中选择远程打开或本地打开，对于可执行文件若选择了远程打开，可以进一步设置文件的运行方式和运行参数(运行参数可为空)；4. 删除文件或目录：选定欲删除的文件或目录，在弹出菜单中选择删除；5. 新建目录：在弹出菜单中选择新建文件夹并输入目录名即可；6. 文件查找：选定查找路径,在弹出菜单中选择文件查找，并输入文件名即可(支持通配符)；7. 拷贝整个目录(只限于被监控端本机)：选定源目录并复制，选定目的目录并粘贴即可。 .. 单击“命令控制台”按钮，冰河的核心部分就在这里，点击“口令类命令”选择“系统信息及口令”项，点击“系统信息与口令”，得到下图所示的信息 命令控制台主要命令: 1. 口令类命令: 系统信息及口令、历史口令、击键记录； 2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如锁定注册表等)； 3. 网络类命令: 创建共享、删除共享、查看网络信息； 4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程)； 5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名； 6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。 分组角色：学生A运行冰河木马程序的客户端，学生B运行服务器端。 步骤一，攻击方法： （1）采用IPC$漏洞入侵的方法，将冰河木马服务器端运行程序植入学生B的主机上，并使用计划任务命令使目标主机运行木马服务器端程序G_Server.exe。 （2）学生A启动G_Client.exe,利用快捷栏的添加主机按钮，将学生B主机的IP地址添加至主机列表。 （3）“确定”后，可以看到主机面上添加了学生B的主机。单击主机名，如连接成功，则会显示服务器端主机上的盘符。 （4）尝试使用冰河客户端的控制功能对目标主机进行控制，使用口令类命令查看系统信息及口令；使用控制类命令进行捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制操作；使用文件类命令进行添加目录，复制目录等操作。 步骤二，防范方法： （1）学生B的主机速度明显变慢，为了删除“冰河”木马，可以选择用杀毒软件的方式或是手动删除的方式，这里我们采用手动删除的方式。 （2）在“开始”的“运行”里面输入regedit，打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除默认键值C:\WINNT\System32\kernel32.exe。 （3）进入C:\WINNT\System32目录，找到“冰河”木马的两个可执行文件Kernel32.exe和Sysexplr.exe文件删除。 （4）“冰河”木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，需要恢复txt文件关联功能，将注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\Windows\System\Sysexplr.exe%1改为C:\Windows\notepad.exe%1。 （5）学生A尝试再次用木马控制段连接学生B主机，观察结果 （6）互换角色，重做实验。 五、遇到的问题及解决办法 问题：无法成功入侵 解决办法：通过多次尝试，成功完成实验 六、心得体会 通过本次实验，了解了常见的木马程