木马攻击实验课稿.doc

木马攻击实验 应用场景 计算机病毒是一个程序，一段可执行码 ,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。 就像生物病毒一样， 计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。 若是病毒并不寄生于一个污染程序， 它 仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。 病毒往往会利用计算机操作系统的弱点进行传播， 提高系统的安全性是防病毒的一个重要方面， 但完美的系统是不存在的， 过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。 病毒与反病毒将作为一种技术对抗长期存在， 两种技术都将随计算机技术的发展而得到长期的发展。 “木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者 的电脑。 它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。 实训目标： ? 掌握木马攻击的原理； ? 了解通过木马对被控制主机的攻击过程 ? 了解典型的木马的破坏结果； 实训环境： 虚拟机： Windows XP，灰鸽子客户端软件 Client 为攻击端，Server 为被攻击端 实训过程指导： 木马，全称为：特洛伊木马（Trojan Horse） 。 “特洛伊木马”这一词最早出先在希腊神话传说中。相传在 3000 年前，在一次希腊战争中。麦尼劳斯（人名）派兵讨伐特洛伊（王国） ，但久攻不下。他们想出了一个主意：首先他们假装被打败，然后留下一个木马。而木马里面却藏着最强悍的勇士。最后等时间一到，木马里的勇士全部冲出来把敌人打败了。这就是后来有名的“木马计”——把预谋的功能隐藏在公开的功能里，掩饰真正的企图。 计算机木马程序一般具有以下几个特征： 1.主程序有两个，一个是服务端，另一个是控制端。服务端需要在主机执行。 2.当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在接受命令后，会执行相应的任务。一般木马程序都是隐蔽的进程,不易被用户发现。 启动虚拟机，并设置虚拟机的 IP 地址，以虚拟机为目标主机进行实验。个别实验学生可以以 2 人一组的形式，互为攻击方和被攻击方来做实验。 1. 木马制作 1）根据攻防实验制作灰鸽子木马，首先配置服务程序。 2）启动项配置 3）在自动上线设置中填写本机的 IP 地址。 4）在高级设置，选择使用浏览器进程启动，并生成服务器程序。 2. 木马种植 通过漏洞或溢出得到远程主机权限，上传并运行灰鸽子木马，本地对植入灰鸽子的主机进行连接，看是否能连接灰鸽子。(如无法获得远程主机权限可将生成的服务器程序拷贝到远程主机并运行) 3. 木马分析 将木马制作实验中产生的服务器端程序在网络上的另外一台主机上 1) 察看端口 当灰鸽子的客户端服务器启动之后， 会发现本地灰鸽子客户端有主机上线， 说明灰鸽子已经启动成功。 查看远程主机的开放端口如下图， 肉鸡192.168.1.54 正在与本地192.168.1.15 连接，表示肉鸡已经上线，可以对其进行控制。 2) 查看进程 启动icesword 检查开放进程， 进程中多出了IEXPLORE.exe 进程， 这个进程即为启动灰鸽子木马的进程，起到了隐藏灰鸽子自身程序的目的。 3) 查看服务 进入控制面板的“服务”，增加了一个名为huigezi 的服务，该服务为启动计算机时，灰鸽子的启动程序。 4) 卸载灰鸽子 首先，停止当前运行的IEXPLORE 程序，并停止huigezi 服务，将windows 目录下的huigezi.exe 文件删除，重新启动计算机即可卸载灰鸽子程序。 【实验