信息安全 DCNS 实验五 安全攻击实验-特洛伊木马.doc

第二部分 安全攻防实验 第二部分 安全攻防实验 实验五 安全攻击实验—特洛伊木马 实验五 安全攻击实验—特洛伊木马 PAGE 82 PAGE 82 PAGE 81 PAGE 81 实验 实验五 安全攻击实验— 特洛伊木马 一、实验目的 认识特洛伊木马的攻击原理并进行防范。 二、应用环境 特洛伊木马（以下简称木马），英文叫做“Trojanhorse”，其名称取自希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹；所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等。黑客往往利用特洛伊木马进行远程控制窃取资料。 本实验选择的netbull是一个类似冰河的远程控制软件，该软件的目的是为在局域网和因特网上、甚至在无网络状态时仍可以用电话和modem完成对服务器的控制，界面简单，但功能强大。其优点是： 服务器端代码小到只有100K。 server端运行时CPU占用率极低，在资源管理器状态几乎不占用CPU，屏幕动态捕捉时占CPU少于30%。（而冰河自服务器端运行后一直占用CPU达100%，这样容易使被攻击者觉察到并直接杀掉进程） 屏幕动态捕捉时图像效果极佳，就象在本地显示一样，原因在于该软件采用的屏幕传输方式不是BMP（冰河使用的是BMP）或JPEG，而是类同于电视电话之原理。 可用本地鼠标键盘控制对方屏幕，而冰河只能使用特定的几个键盘按键控制被攻击主机。 三、实验设备 1．netbull 软件 2．控制主机一台 3．被控制主机一台 4．交换机一台 四、实验拓扑 受攻击主机 受攻击主机 木马监控端 五、实验要求 1．学会使用netbull软件生成服务器端木马程序 2．启动木马程序服务器端，从监控端对感染木马的主机进行监视 3．在控制台控制被攻击主机 六、实验步骤 (一) 使用netbull软件生成服务器端木马程序 netbull.zip解包后会产生以下几个文件： buildserver.exe （用于把autobind.dat，peepshell.dll，peepserver.exe，keycap.dll 捆绑成一个单独的可执行文件newserver.exe） peepshell.dll （自动运行二个可执行文件的外壳） autobind.dat （用于在服务器端自动执行一系列动作的外壳） keycap.dll （按键捕捉DLL） peepserver.exe （在服务器端真正执行的EXE文件） peep.exe （客户端EXE文件） 1．运行peep.exe 2．配置服务器 找到peepserver.exe打开，填写IP通知设置及捆绑运行与否。（与服务器端连接后也可动态设置） 3．运行buildserver.exe 在当前目录下自动产生一个newserver.exe文件（大约213K）. 将newserver.exe改为具有诱惑力的名字e_mail给别人就行了！（注：newserver.exe为木马的server端程序） 注意autobind.dat，peepshell.dll，keycap.dll不能缺少。 (二) 启动木马程序服务器端，从监控端对感染木马的主机进行监视 服务器端只需运行刚刚生成的newserver.exe文件即表示此机器已经开启了木马监控指令的接受过程。newserver.exe到服务器端运行后会自动脱壳成checkdll.exe（就是peepserver.exe）。并设置成开机自动运行。 此时在受感染主机中运行任务管理器，可以看到如下的特殊进程： 查看受感染主机当前开启的端口，可以看到如下端口 Netbull远程控制软件正是使用TCP的23444端口对远端程序进行控制的。 (三) 在控制台控制被攻击主机 在控制台主机中启动peep.exe文件，界面同前步骤。 点击增加一台受控主机，如下所示： 点击OK，则主机列表中增加了一台机器，如下所示： 点击连接快捷键，则监控端开始与受控端连接，如上所示为连接成功的系统显示。 此时可以针对某些方面对远端主机进行操控了。 1．控制台操作 a) 系统信息显示 选中受控主机，点击控制台快捷键 在下面的弹出框中选择系统消息，则显示如下： 点击获取密码，由于本受控机的系统为windows2000系统，故密码采用此种方式无法获取，后面的试验，我们使用另外的方式获取密码。 点击重启计算机、关闭计算机将使远端主机重新启动和关闭，闭锁计算机操作将使远端主机呈现