贵州大学《信息安全技术》实验指导书.docx

《贵州大学《信息安全技术》实验指导书.docx》由会员分享，可在线阅读，更多相关《贵州大学《信息安全技术》实验指导书.docx（29页珍藏版）》请在三一办公上搜索。

1、电子科学与信息技术学院信息安全技术实验指导书蒋朝惠编写适用专业:通信工程、网络工程 贵州大学二OO六年八月前言随着近年来计算机和网络的迅速普及，给我国经济发展和社会进步带来了前所未有的机遇。但不容乐观的是，来自网络安全的威胁也日趋严重。例如，近年来多次在全球范围内爆发的蠕虫病毒，对社会经济造成了巨大的损失，因而，信息安全问题已经成为制约社会信息化发展的一个瓶颈。面对这一现状，如何提高我国的信息安全建设水平和网络安全的防范意识，已成为全社会共同关注的问题。为适应这一形式，教育部从2000年开始批准在高校中建立信息安全及其相关本科专业，以期为社会培养更多精通安全技术的专业人才。为了加深他们对信息安

2、全知识的了解，进一步培养在信息安全方面的动手能力和感性认识，特编写了这个指导书。学生应认真阅读信息安全技术教材中的与实验相关的章节内容，提前做好实验预习，做到每个实验前明确实验目的、掌握实验的基本内容及操作方法；在实验中正确使用实验设备，认真观察实验结果；实验后根据要求做好总结，上交实验报告。目 录 实验一：常用信息安全工具的使用4实验二：防火墙配置与使用7实验三：Snort入侵检测系统的配置与使用10实验四：木马攻击与防范18实验报告的基本内容及要求27贵州大学实验报告28实验一：常用信息安全工具的使用实验学时：2实验类型：验证实验要求：必修一、实验目的1、 理解并掌握基于网络的信息安全概念

3、和原理2、 熟悉嗅探、网络漏洞扫描等常用工具的安装、配置与使用。二、实验内容1、 利用嗅探器监视网络上的信息（数据包），分析网络性能和故障。2、 利用嗅探器监视网络上的信息窃听用户的账号与密码信息。3、 利用网络端口扫描器发现网络系统的安全漏洞。三、实验原理、方法和手段1、Sniffer工具嗅探Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址（代表所有的接口地址），在正常情况下

4、，一个合法的网络接口应该只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，同时丢弃不是发给自己的数据帧。而sniffer就是一种能将本地网络接口设置成“混杂”（promiscuous）状态的软件，当网络接口处于这种混杂方式时，该网络接口具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。2、网络端口扫描Superscan一个开放的网络端口就是一条与计算机通信的信道，对

5、网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。对网络端口的扫描可以通过执行手工命令实现，但效率较低；也可以通过扫描工具实现，效率较高。扫描工具是对目标主机的安全性弱点进行扫描的软件。它一般具有数据分析功能，通过对端口的扫描分析，可以发现目标主机开放的端口和所提供的服务以及相应服务软件版本和这些服务软件的安全漏洞，从而及时了解目标主机存在的安全隐患。扫描工具根据作用的环境不同，可分为两种类型：网络漏洞扫描工具和主机漏洞扫描工具。主机漏洞扫描工具是指在本机运行的扫描工具，以期检测本地系统存在的安全漏洞。网络漏洞扫描工具是指通过网络检测远程目标网络和

6、主机系统所存在漏洞的扫描工具。本实验主要针对网络漏洞扫描工具进行。l 端口的基础知识端口是TCP协议中所定义的，TCP协议通过套接字（Socket）建立两台计算机之间的网络连接。套接字采用IP地址：端口号的形式来定义，通过套接字中不同的端口号可以区别同一台计算机上开启的不同TCP和UDP连接进程。对于两台计算机间的任意一个TCP连接，一台计算机的一个IP地址：端口套接字会和另一台计算机的一个IP：端口套接字相对应，彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。由此可见，端口和服务进程一一对应，通过扫

7、描开放的端口，就可以判断出计算机正在运行的服务程序。TCP/UDP的端口号在065535范围之内，其中1024以下的服务保留给常用的网络服务。例如，21端口为TCP服务，23端口为TELNET服务，25端口为SMTP服务，80端口为HTTP服务，110端口为POP3服务等。l 扫描的原理（1）TCP全连接扫描TCP全连接扫描是利用TCP的三次握手，与目标主机建立正常的TCP连接，以判断指定端口是否开放。这种方法的缺点是非常容易被记录或者被检测出来。（2）TCP SYN扫描本地主机向目标主机发送SYN数据段，如果远端目标主机端口开放，则回应SYN=1,ACK=1,此时本地主机发送RST给目标主机

8、，拒绝连接。如果远端主机端口未开放，则会回应RST给本地主机。由此可知，根据回应的数据段可以判断目标主机的端口是否开放。由于TCP SYN扫描并没有建立TCP正常连接，所以降低了被发现的可能，同时提高了扫描性能。（3）TCP FIN扫描本地主机向目标主机发送FIN=1,如果远端目标主机端口开放，则丢弃此包，不回应；如果远端主机未开放，则返回一个RST包。FIN扫描通过发送FIN的反馈判断远端目标主机的端口是否开放。由于这种扫描方法没有涉及TCP的正常连接，所以使扫描更隐秘，也称为秘密扫描。这种方法通常适用于Unix操作系统主机，但有的操作系统（如Windows NT）不管端口是否打开，都回复R

9、ST，此时这种方法就不适用了。（4）UDP ICMP扫描这种方法利用了UDP协议，当向目标主机的一个未打开的UDP端口发送数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，这样就会发现关闭的端口。（5）ICMP扫描这种扫描方法利用了ICMP协议的功能，如果向目标主机发送一个协议项存在错误的IP数据包，则根据反馈的ICMP错误报文，判断目标主机使用的服务。（6）间接扫描入侵者间接利用第三方主机进行扫描，以隐藏真正入侵者的痕迹。第三方主机是通过其他入侵方法控制主机的，扫描的最终结果会从第三方主机发送给真正的入侵者。扫描往往是入侵的前奏，所以如何有效的屏蔽端口，保护自身计算机的安全

10、，成为计算机管理人员首要考虑的问题。为了防止对计算机网络端口的扫描，我们可以采用端口扫描监测工具来监测对端口的扫描，防止端口信息外露。此外，安装防火墙也是防止端口扫描的有效方法。四、实验组织运行要求采用集中授课演示操作步骤，学生独立操作形式。五、实验条件联网的PC机，两台为一组，Windows2000或WindowsXP操作系统，嗅探器Sniffer Pro、简单端口扫描器Superscan，扫描器Fluxay5。六、实验步骤1、 关闭计算机的防病毒软件。2、 安装Sniffer Pro。3、 安装Superscan4、 安装Fluxay5。5、 将同一实验组的计算机设为同一网段。6、 利用S

11、niffer Pro观察对方的网络数据包，分析网络性能和故障。7、 用Superscan扫描对方的计算机，记录扫描的结果和发现的漏洞。8、 用Fluxay5扫描系统的漏洞并破解出另一台机器的帐号与口令七、思考题 八、实验报告学生实验报告主要包括实验预习、实验记录和实验报告三部分，基本内容详见附件1。九、其它说明实验二：防火墙配置与使用实验学时：4实验类型：综合实验要求：必修一、实验目的1、 熟悉skynet天网防火墙安装和基本配置方法；2、 通过配置防火墙特性，进行攻击与防范。二、实验内容1、 skynet天网防火墙软件的安装与配置2、 SYNFlood攻击软件的安装与配置3、 配置天网防火墙

12、来阻挡SYNFlood软件的攻击三、实验原理、方法和手段一个完整的TCP连接分三步，也就是我们常说的三次握手：1.客户端SYN 服务端2.服务端ACK+SYN 客户端3.客户端ACK 服务端 FLOOD攻击就是利用三次握手的漏洞来实现的：假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异

13、常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪

14、水攻击）。四、实验组织运行要求采用集中授课演示操作步骤，学生独立操作形式。五、实验条件1） 集线器或交换机（8口或24口）若干台2） 带网卡且装有Windows 2000/XP的PC机若干台3） 网卡及其驱动程序若干套4） 打印机1台及其驱动程序若干套5） 已做好RJ-45接头（2-5米）的UTP电缆若干条6） RJ-45接头若干个和五类双绞线若干米7） RJ-45压线工具若干把8） MS Windows 2000/XP软件（光碟）若干套六、实验步骤1.根据天网防火墙的帮助文档进行安装和基本的配置学习2.修改防火墙相关的配置，用superscan等扫描，观察天网的日志记录，并记录可以从其中获得

15、的攻击等信息 （1）Firewall包过滤操作步骤用superscan扫描工具；从Server B向A ping 192.168.x.x；改变天网的配置：从Server B向A ping 192.168.x.x；改变天网的配置：从Server B向A ping 192.168.x.x；改变天网的配置：从Server B向A ping 192.168.x.x。观察防火墙日志的记录并分析出现的原因（2）攻击防范功能测试由于资源的限制，TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点，它伪造一个SYN报文，其源地址是伪造、或者一个不存在的地址，向服务器发起连接，服

16、务器在收到报文后用SYN-ACK应答，而此应答发出去后，不会收到ACK报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗其资源，使正常的用户无法访问，直到半连接超时。在一些创建连接不受限制的实现里，SYN Flood具有类似的影响，它会消耗掉系统的内存等资源。SYN Flood攻击防范测试操作步骤在Server B上发送大量的TCP SYN报文到Server A上；在Server A上使用转包工具抓包；在Server B上发送大量SYN攻击报文的背景流量下，telnet到Server A；在Server B上发送大量SYN攻击报文的背景流量下，通过htt

17、p访问Server A；在Server B上发送大量的SYN报文，同时在Server A上抓包。地址扫描攻击防范测试操作步骤在Server B上使用地址扫描程序对网络进行地址扫描；在天网日志中观察设备的报警输出；在Server B上Ping Server A；七、思考题怎么在天网防火墙的日志记录里面分析得到我们需要的信息？ 八、实验报告学生实验报告主要包括实验预习、实验记录和实验报告三部分，基本内容详见附件1。九、其它说明实验三：Snort入侵检测系统的配置与使用实验学时：4实验类型：综合实验要求：必修一、实验目的学会搭建snort+windows+mysql+php+acid的网络入侵检测系

18、统平台，并学习简单snort规则的编写与使用，了解snort的检测原理。二、实验内容1、 Apache_2.0.46的安装与配置2、 php-4.3.2的安装与配置3、 snort2.0.0的安装与配置4、 Mysql数据库的安装与配置5、 adodb的安装与配置6、 数据控制台acid的安装与配置7、 jpgraph库的安装8、 winpcap的安装与配置9、 snort规则的配置10、 测试snort的入侵检测相关功能三、实验原理、方法和手段有关本实验的原理参见教材信息安全实验指导书，崔宝江 周亚建 杨义先 钮心忻编著，国防工业出版社出版社，2005年。四、实验组织运行要求采用集中授课演示

19、操作步骤，学生独立操作形式。五、实验条件联网的装有Windows2000或WindowsXP操作系统的PC机；Apache_2.0.46、php-4.3.2、snort2.0.0、Mysql、adodb、acid、jpgraph库、winpcap等软件。六、实验步骤（一） windows环境下snort的安装1 安装Apache_2.0.46（1） 双击Apache_2.0.46-win32-x86-no_src.msi，安装在默认文件夹C:apache下。安装程序会在该文件夹下自动产生一个子文件夹apache2。（2） 打开配置文件C:apacheapache2confhttpd.conf，

20、将其中的Listen 8080，更改为Listen 50080。（这主要是为了避免冲突）。（3） 进入命令行运行方式（单击“开始”按钮，选择“运行”，在弹出窗口中输入“cmd”，回车），转入C:apacheapachebin子目录，输入下面命令：C:apacheapache2binapache k install将apache设置为以windows中的服务方式运行。2 安装PHP（1） 解压缩php-4.3.2-Win32.zip至C:php。（2） 复制C:php下php4ts.dll 至%systemroot%System32，php.ini-dist至%systemroot%php.in

21、i。（3） 添加gd图形支持库，在php.ini中添加extension=php_gd2.dll。如果php.ini有该句，将此句前面的“；”注释符去掉。（4） 添加Apache对PHP的支持。在C:apahceapache2confhttpd.conf中添加：LoadModule php4_module “C:/php/sapi/php4apache2.dll”AddType application/x-httpd-php .php（5） 进入命令行运行方式，输入下面命令：Net start apache2 (这将启动Apache Web服务)（6） 在C:apacheapche2htdoc

22、s目录下新建test.php测试文件，test.php文件内容为使用http:/127.0.0.1:50080/test.php，测试PHP是否成功安装，如成功安装，则在浏览器中出现如下图所示的网页3 安装snort安装snort-2_0_0.exe，snort的默认安装路径在C:snort4 安装配置Mysql数据库（1） 安装Mysql到默认文件夹C:mysql，并在命令行方式下进入C:mysqlbin，输入下面命令：C:mysqlbinmysqld install这将使mysql在Windows中以服务方式运行。（2） 在命令行方式下输入net start mysql，启动mysql服务

23、（3） 进入命令行方式，输入以下命令 C:mysqlbinmysql u root p 如下图： 出现Enter Password提示符后直接按“回车”，这就以默认的没有密码的root用户登录mysql数据库。（4） 在mysql提示符后输入下面的命令（Mysql）表示屏幕上出现的提示符，下同）：（Mysql）create database snort;（Mysql）create database snort_archive;注意：在输入分号后mysql才会编译执行语句。上面的create语句建立了snort运行必须的snort数据库和snort_archive数据库。（5） 输入quit命令

24、退出mysql后，在出现的提示符之后输入:（c:mysqlbin）Mysql D snort u root p）Mysql D snort_archive u root p）grant usage on *.* to “acid”loacalhost” identified by “acidtest”;（mysql）grant usage on *.* to “snort”loacalhost” identified by “snorttest”; 上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttet）两个用户，以备后面使用。（7） 在my

25、sql提示符后面输入下面的语句： （mysql）grant select,insert,update,delete,create,alter on snort.* to “adid”localhost; （mysql）grant select,insert on snort.* to “snort”localhost; （mysql）grant select,insert,update,delete,create,alter on snort_archive.* to “adid”localhost;这是为新建的用户在snort和snort_archive数据库中分配权限。5 安装adodb将

26、adodb360.zip解压缩至C:phpadodb目录下，即完成了adodb的安装。6 安装配置数据控制台acid（1） 解压缩acid-0.9.6b23.tat.gz至C:apacheapache2htdocsacid目录下。（2） 修改C:apahceapache2htdocs下的acid_conf.php文件：DBlib_path = C:phpadodb; $DBtype=”mysql”;$alert_dbname = snort;$alert_host = localhost;$alert_port = 3306;$alert_user = acid;$alert_password

27、 = acidtest;/* Archive DB connection parameters */$archive_dbname = snort_archive;$archive_host = localhost;$archive_port = 3306;$archive_user = acid;$archive_password = acidtest;$ChartLib_path=”C:phpjpgraphsrc”;注意：修改时要将文件中原来的对应内容注释掉，或者直接覆盖。（3） 查看http:/127.0.0.1:50080/acid/acid_db_setup.php网页，如下图所示，

28、单击create ACID AG 建立数据库。 7 安装jpgraph库（1） 解压缩jpgraph-1.12.2.tar.gz至C:phpjpgraph（2） 修改C:phpjpgrahsrc下jpgraph.php文件，去掉下面语句的注释。DEFINE（”CACHE_DIR”,”/tmp/jpgraph_cache/”）;8 安装winpcap安装默认选项和默认路径安装winpcap。9 配置并启动snort（1） 打开C:snortetcsnort.conf文件，将文件中的下列语句：include classification.configinclude reference.config

29、修改为绝对路径：include C:snortetcclassfication.configinclude C:snortetcreference.config（2） 在该文件的最后加入下面语句：Output database: alert,mysql,host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full（3） 进入命令行方式，输入下面的命令：C:snortbinsnort c “C:snortetcsnort.conf” l “C:snortlog” d e X上面的命令将启动sn

30、ort，如果snort正常运行，系统最后将显示如下图所示（4） 打开http:/127.0.0.1:50080/acid/acid_main.php网页，进入acid分析控制台主界面。如上述配置均正确，将出现如下图所示的页面。（二）Windows下snort的使用1 完善配置文件（1） 打开C:snortetcsnort.conf（2） 配置snort的内、外网检测范围。将snort.conf文件中var Home_NET any语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在局域网。如本地IP为192.168.1.10，则将any改为192.168.1.0/24。

31、并将var EXTERNAL_NET any语句中的any改为！192.168.1.1/24，即将snort监测的外网改为本机所在局域网以外的网络（3） 设置监测包含规则。找到snort.conf文件中描述规则的部分，前面加“#”表示该规则没有启用，将local.rules之前的“#”去掉，其余规则保持不变。2 使用控制台查看结果3 配置snort规则（1） 打开C:snortruleslocal.rules文件。（2） 在规则中添加一条语句，实现对内网的UDP协议相关流量进行检测，并报警：udp ids/dns-version-query。语句如下：Alert tcp any any-$Ho

32、me_NET any（msg:”udp ids/dns-version-query”;content:”version”;）（3） 重启snort和acid检测控制台，使规则生效。七、思考题八、实验报告学生实验报告主要包括实验预习、实验记录和实验报告三部分，基本内容详见附件1。九、其它说明实验四：木马攻击与防范实验学时：2实验类型：综合实验要求：选修一、实验目的通过对木马的练习，理解木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二、实验内容1、 木马的置入或安装2、 木马的远程控制与操纵3、 木马的删除与卸载三、实验原

33、理、方法和手段1. “冰河”“冰河”是国内一款非常有名的木马，功能非常强大。“冰河”一般由两个文件组成：G_Client和G_Server，其中G_Server是木马的服务器端，就是用来植入目标主机的程序，G_Client是木马的客户端，就是木马的控制端。该软件主要用于远程监控，具体功能包括：（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；（2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；（3）获取系统信息：包括计算机名、注册公司、当前用户

34、、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；（4）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；（5）远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；（6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；（7）发送信息：以四种常用图标向被控端发送简短信息；（8）点对点通讯：以聊天室形式同被控端进行在线交谈。2.“灰鸽子”一、灰鸽子远程控制企业版整个界

35、面看起来非常时尚，整洁，布局合理，功能齐全，实用。功能是最重要的，下面让我小游鱼为大家逐个介绍这些的功能，先让我介绍一些枯燥的东西，然后再为大家奉上灰鸽子黑防专版，请大家亲自体验灰鸽子远程控制之旅。第一：超强的文件传输管理。有时候想从远程主机拿一点东西，速度不快，又常断线，真的很头晕，怎么办呢？灰鸽子可以对远程计算机文件管理：模枋 Windows 资源管理器，可以对文件进行复制、粘贴、删除，重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用。并且有断点续传功能。一点也不逊色于WINDOWS的资源管理器，简直就像在自己机器上操作一样方便。第二:流畅的屏幕控制控制当然离不开屏幕了，谁不想又

36、快又准哇, 因为这个版本捕获屏幕使用到了驱动技术，只传送屏幕变化部分，所以它的传输效率非常高，它的屏幕传输已经非常完美，其它软件操作了几十秒再反应的的事情在它身上已经得到了根本改善。带给用户全新的远程控制体验。在测试中我们发现在CPU占用率上远低于Radmin，遗憾的是这个技术不支持Win9x系统。第三：清晰的视频语音对话 想通话？很容易！灰鸽子用最小的带宽达到最好的音效传输效果，再也不用竖起耳朵来辨听哪些沙哑的声音了，能更好的达到远程排除故障的目的。第四: 贴心的注册表模拟如果用户需要编辑注册表怎么办？内建的远程注册表操作就像操作本地注册表一样方便，极大的方便了用户。第五：多种自动上线方式专

37、用上线、DNS解析域名、固定IP等，这是国外其它软件少有的功能，主要是对国内普遍的上网方式作了优化，使它能适应多种网络条件，达到更好的软件使用效果，第六：专用的自动上线系统 如果你没有主页空间，又不想使用免费的域名，专用的自动上线系统正适合你的选择,这项服务是提供给注册用户的。第七：模拟telnet(超级终端)登录对于高手，你想要更底层的操作，更强大的功能，没关系，模拟Telnet功能让你能够一展拳脚，一试你高强的命令行操作。第八：易于操作的命令广播功能它提供一个企业级的控制面，解决多台主机操控的难题，实现了多台主机实现联动操作，如(关机、重启、打开网页，筛选符合条件的机)等，点一个按钮就可以

38、让多台机器同时关机或其它操作，非常实用.说的没用，对比才是最重要，让我们来和远程控制也很强的Radmin(镭)来作一个对比.镭的简介： 出生地：美国 出生年月：1999 特长：远程控制灰鸽子简介： 出生地：中国 出生年月：未知 特长：远程控制以下是它们所具有的功能：灰鸽子镭(Radmin)屏幕控制是是文件传输是是Telnet模拟是是语音传送是否注册表模拟是否主动连接方式是是自动上线方式选择是否专用的自动上线系统是否同时可以控制多台机器是否从字面上看，灰鸽子功能比较多，而镭的功能比较单一实测条件：带宽1M灰鸽子镭屏幕控制相同文件传输灰鸽子支付续传，镭传输比较容易中断，没有续传功能Telnet模拟

39、相同是否可以同时多窗口操作相同条件：拨号灰鸽子镭屏幕控制镭比较好文件传输灰鸽子支付续传，镭传输比较容易中断，没有续传功能Telnet模拟相同是否可以同时多窗口操作相同二、灰鸽子VIP版1、服务端安装过程可以由用户设置是否显示windows安装过程，可能被会部分杀毒软件误杀！(若有这种情况属为正常,用户可以在杀毒软件上设置过滤或暂时关闭杀毒软件,再下载使用!)2、具有插件功能，用户可以按照自己的需要使用一些插件，使用上更灵活！3、只有自动上线方式，没有主动连接方式！也就是说，企业版和VIP版，最主要不同的地方就是，VIP版的服务端在安装的时候，可以选择在托盘显示或不显示图标，没有标准的windo

40、ws安装过程！及VIP版不是使用驱动来捕获屏幕，屏幕控制的速度没有企业版的快！正因为这样，除了正常的远程管理外，便有部份人把灰鸽子作成黑客工具来使用了，于是，一些杀毒软件，便把灰鸽子列为了后门程序来查杀！ 国内媒体对这款软件的反应： 电脑报，黑客X档案，新电脑等报刊杂志对灰鸽子的报道相信大家已经不少见了。因为灰鸽子是一款远程控制软件，长期以来，人们总是认为这是一款黑客软件。下面是瑞星公司对灰鸽子的评价：“其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非

41、法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。”以上足以证明它是一款在远程控制领域中非常出色的软件，近来他们推出了一款企业版的灰鸽子，决定改变长期以来只能被用来做黑客软件的状况，把他们最好的技术应用在我们的生活应用中去，为我们排忧解难，确实是一件令人感到高兴的事.附：企业版与VIP版比较企业版VIP版屏幕控制使用驱动捕屏，速度更快稍慢于企业版上线方式支持反弹连接和主动连接方式不支持主动连接方式服务端安装具有标准的windows安装过程可以不显示安装过程托盘图标服务端安装后在托盘显示图标可以选择不显示托盘图标是否会被查杀不被杀毒软件查杀会被部份杀毒软件

42、当作后门查杀服务端升级服务端不能自动升级服务端具有后台自动升级功能插件功能无有四、实验组织运行要求采用集中授课演示操作步骤，学生独立操作形式。五、实验条件1） 连网的几台PC机（防火墙和杀毒软件关掉）；2） 冰河8.4或灰鸽子软件六、实验步骤任务一：“冰河”木马的使用1“冰河”安装 直接把G_SERVER.EXE拷贝到目标机器，运行就安装了。2使用“冰河”对远程计算机进行控制（具体使用方法见资料中的“冰河”Readme文档）见图：1 图1 这时就可以在控制的“肉鸡”里面，干任何事情了。任务二：删除“冰河”木马删除“冰河”木马主要有以下几种方法：（1）客户端的自动卸载功能在“控制类命令”中的“系

43、统控制”里面就有自动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。见图2和图3： 图2（2）手动卸载查看注册表，在“开始”的“运行”里面输入regedit，打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVer-sionRun，在目录中发现了一个默认的键值C:WINNTSystem32kernel32.exe，这就是“冰河”木马在注册表中加入的键值，将它删除。然后再依次打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices，再目录中也发现了一个默认的键值C:WINNTSystem32kernel32.exe，这也是“冰河”木马在注册表中加入的键值，将它删除。然后进入C:WINNTSystem32目录，找到“冰河”木马的两个可执行文件Kernel32.exe和Sysexplr.exe文件，将它们删除。修改文件关联也是木马常用的手段，“冰河”木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，除此之外，html、exe、zip、com等也都是木马的目标。所以，在最后需要恢复注册表中的txt文件关联功能，只要将注册表的HKEY_C