实验6 特洛伊木马.docx

实验6特洛伊木马6.1实验类型综合型，2学时6.2实验目的理解木马工作的原理；掌握典型的木马清除方法。6.3实验要求与内容（1）利用灰鸽子木马模拟木马的工作流程，要求能够完成以下任务： 生成木马服务端，尽可能的生成能诱惑用户的服务端，比如修改安装路径， 修改图标，修改服务端名称，修改服务名称等。 控制对方电脑，要求能够浏览对方的文件，修改对方的注册表，终止对方的 进程，捕获对方的屏幕等操作（2）清除木马，受害者根据灰鸽子木马的原理清除掉本机上的木马，包括程序，服务6.4实验设备 两人合作完成，其中一人为控制端，另一人为服务器端 灰鸽子远程控制2007VIP疯狂魔鬼破解版 Windows XP Professional作为客户操作系统（Guest OS），要求关闭防火墙功能6.5相关知识1. 什么是木马（Trojan）?/基于远程控制的黑客工具/恶意程序，非法获取授权权限，肆意篡改用户电脑中的文件，注册表，控制鼠标， 截取用户信息/木马一般是C/S（客户/服务器）结构，控制程序处于客户端，被控制程序处于服务器 端。2. 木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。木马服务器木马控制端（客户端）3. 木马实施入侵的基本步骤控制端Internet服务端 配置木马木马 传播木马 运行木马 信息反馈信息 建立连接 远程控制4. 特洛伊木马具有如下特性：隐蔽性，主要体现在意下几个方面：（1）启动的隐蔽性（2）运行的隐蔽性（3）通信的隐蔽性开机自动运行欺骗性，比如JPEG木马自动恢复，多重备份，相互恢复非授权5. 木马按照传输方式进行分类：主动型反弹端口型：木马服务器主动连接控制端端口，一般去连接80端口嵌入式木马6. 清除木马的典型步骤：断开 查找并停止清除木马启动刁网络连接木马进程、线程项及木马文件6.6实验指导特别注意：本次实验需要分析的病毒具有破坏性，仅限于信息安全实验室内使用。请 严格遵守信息安全实验室操作规程，切勿拷贝、传播等，否则后果自负。6.6.1特洛伊木马的配置步骤1）生成服务端点击“配置服务程序”，在“IP通知HTTP地址”那一栏填入控制端的IP地址（这 里一定要填正确，否则木马不能上线，IP地址是以10开头的），通过设置“安装选项”，“启 动项设置”等可以构造出迷惑用户的木马服务端程序。图1服务端的设置2）发送服务端将木马服务端发送出去3）控制服务端木马受害者上线以后，控制端可以控制木马受害者的文件，远程控制命令，控制注册表， 以及屏幕等。QWIHIiOWS2008-10-14 1631boot, ini> i rrurffTC229n图2.文件控制2口个对象 当前路径：CA直Telnet电脑名称：搜索文件管理器 远程控制命令 注册表编辑器 命令广播文件目录浏览& 固国查看，自动上携主机1搜索结果：显示搜索结果。匡当也 X 若2009-10-24 14:117riFifi-1 fi- 1 .-1 1 p. - -!自动上线：台日.参SS3配置定务程序最小化退出D-01-03连接密码：保存<文件 设置姐 工具（X）帮助安 窿1 缪 自旬上践 捕获屏幕 视痴,金音当前连接：I D-01-03搜索内容：内目V我的电脑 Jp C:D:& E:I曰停自动上统主机-易 D-01-03+ ,廉+ D:&>符合条件主机读取文件列表命令发送成功！ 文件列表读理完毕一 19：09：41IlcicijnientE and S.2008-10-14 1633一Fipgram Files2008-10-14 1638Recycled2009-01-09 1402_IL >:> >:> t2009-01-16 1620_|5vEtem VoIuitih I.2009-10-24 133TJltdrv2009-10-24 1435.hiberfil. sys2009-10-24 1436回 bootfont, bin3227302001-09-05 2000回 ntldr257T282008-04-13 1131jNTDETECT. COM47564200T-0T-09 2300大小存节）L修改日期Tnlnet自动上践捕获屏幕文件田）设置 工具（I）帮助也）系统操作 理切损查看 进程管理 服务管理 共享管理 代理服务 插件管理读取文件列表命令发送成功！ 文件列表读职完毕一 19:09:41让我们共同进步图3.远程控制命令交件（I）设置（©工具（I）帮助QD当前连接：D-E-D3搜索内容：自动上堪主机文件管理器远程控制命舍注册表编辑器命令广播自动上践捕获屏幕+岛我的电脑-玻远程电脑+ _| HKEY_CLASSES_ROOT+ _| HKEY_CUEEEHT USER-_J电脑名称：D-01-03保存搜索名称数据理默认）MG_SZ徼值未设置）< *HKEY LOCAL读取注册表键值命令发送成功!注册表薜值读取成功.19:11:36+ 2j hakdwaee+ _J SAP+ _J SECUEITY+ _| SOFTWAEE+ _J SYSTEM+ _J HKEY_USERS+ _| HKEY_CUEEEHT+ _J HKEY_DYN_DATA图5.截获屏幕6.6.2清除木马清除木马的一般思路是先清除进程和服务，清楚启动项，再删除病毒文件6.7分析与思考1）实验中的木马与现实中的木马有哪些区别?2）如何预防木马?