實驗目的
- 剖析網頁木馬的工作原理
- 理解木馬的植入過程
- 學會編寫簡單的網頁木馬腳本
- 通過分析監控信息實現手動刪除木馬
實驗內容
- 木馬生成與植入
- 利用木馬實現遠程控制
- 木馬的刪除
實驗過程
主機A
-
通過IIS啟動木馬網站
-
啟動灰鴿子,生成木馬的“服務器程序”,生成界面如圖:
-
-
編寫生成網頁木馬腳本程序,並將之放入“木馬網站”的網站空間目錄中
-
改寫index.html,完成“掛馬”過程
主機B
- 設置監控,並啟動協議分析器捕捉數據
- 啟動http://172.16.0.97,並等待A的灰鴿子出現“自動上線主機”的字樣
- 查看“進程監控”、“服務監控”、“文件監控”、“端口監控”和協議分析器所捕獲到的信息
- 主機B創建一個.txt文件
主機A
- 通過灰鴿子修改主機B創建的文件文件名
- 查看主機B的操作系統信息
- 對主機B啟動的進程進行查看
- 創建新的注冊表項,並對新創建的注冊表項進行重命名等修改操作
- 刪除新創建的注冊表項
- 遠程控制操作
- 自動刪除木馬
主機B
- 手動刪除木馬
答題
- 在“進程監控”|“變化視圖”中查看是否存在“進程映像名稱”為“Hacker.com.cn.ini”的新增條目。觀察進程監控信息,結合實驗原理回答下面的問題。
- Hacker.com.cn.ini文件是由哪個進程創建的:ID584 ;
- 在“服務監控”中單擊工具欄中的“刷新”按鈕,查看是否存在“服務名稱”為“Windows XP Vista” 的新增條目,觀察服務監控信息,回答下面的問題。
- Windows XP vista服務的執行體文件是: Hacker.com.cn.ini ;
- 在“文件監控”中查看“文件名”為“C:\WINDOWS\Hacker.com.cn.ini”的新增條目。
- 在“端口監控”中查看“遠程端口”為“8000”的新增條目,觀察端口監控信息,回答下面問題:
- 8000服務遠程地址(控制端)地址:172.16.0.92 ;
- 經過對上述監控信息的觀察,你認為在“進程監控”中出現的winlogoin.exe進程(若存在)在整個的木馬植入過程中起到的作用是:檢測服務端的存在,若發現服務端則主動連接並打開其被動端口 ;
總結
本次實驗實際操作了一下基礎安木馬、刪除木馬的程序,也從側面告誡我們該如何防范木馬的入侵。
思考題
1.列舉出幾種不同的木馬植入方法
- 通過網頁的植入。比如某帶木馬代碼的網站,你登錄后,他就自動加載在你的系統里了。一般他們會把木馬放在圖片里
- 木馬可以通過程序的下載進行植入。例如通過提供免費的下載或者下載列表里下載的程序和實際你搜索到的程序不同,提供的是木馬程序,或者干脆在程序里添加木馬
- 人工植入
- 通過破解防火牆,指定IP進行攻擊的植入
- 基於DLL和遠程線程插入的木馬植入技術
- 把木馬和其他文件捆綁在一起
- 在Word文檔中加入木馬文件
- 偽裝成應用程序擴展組件
- 把木馬文件轉換為圖片格式
- 利用共享和Autorun文件
2.列舉出幾種不同的木馬防范方法。
- 安裝殺毒軟件和個人防火牆,並及時升級。
- 把個人防火牆設置好安全等級,防止未知程序向外傳送數據。
- 可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。
- 如果使用IE 瀏覽器,應該安裝卡卡安全助手,防止惡意網站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機侵入。
- 不要執行任何來歷不明的軟件
- 不要隨意打開郵件附件。
- 重新選擇新的客戶端軟件 。
- 將資源管理器配置成始終顯示擴展名
- 盡量少用共享文件夾
- 運行反木馬實時監控程序木馬
- 經常升級系統和更新病毒庫
- 非必要的網站插件不要安裝