《信息安全技术》实验四木马及远程控制技术

实验目的

剖析网页木马的工作原理
理解木马的植入过程
学会编写简单的网页木马脚本
通过分析监控信息实现手动删除木马

实验内容

木马生成与植入
利用木马实现远程控制
木马的删除

实验人数

每组2人，本组为20155202 20155220

实验环境

系统环境：Windows Server 2003虚拟机
网络环境:交换网络结构

实验工具

网络协议分析器
灰鸽子
监控器

实验类型

设计性实验

实验原理

一、网页木马原理及相关定义

浏览器是用来解释和显示万维网文档的程序，已经成为用户上网时必不可少的工具之一。“网页木马”由其植入方式而得名，是通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的木马。与其它网页不同，木马网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

如果打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那么用户将会面临巨大的威胁。实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。本练习中，我们利用微软的MS06014漏洞，完成网页木马的植入。

三、木马的工作过程

木马的植入
木马的安装
木马的运行
木马的自启动

五．木马的删除

木马的“客户端程序”可以控制木马的“服务器程序”的删除工作。另一种方法是通过手动删除，具体步骤将在“实验步骤”中详细说明。

实验步骤

本练习主机A、B为一组，C、D为一组，E、F为一组。实验角色说明如下：

实验主机	实验角色
主机A、C、E	木马控制端（木马客户端）
主机B、D、F	木马被控端（木马服务器）

下面以主机A、B为例，说明实验步骤。

首先在Windows Server 2003虚拟机中使用ipconfig命令查看虚拟机IP地址，再在本机上用ping命令尝试与虚拟机连接;

一、木马生成与植入

用户主机通过访问被“挂马”的网站而被植入木马的过程：

1.用户访问被“挂马”的网站主页。（此网站是安全的）

2.“挂马”网站主页中的<iframe>代码链接一个网址（即一个网页木马），使用户主机自动访问网页木马。（通过把<iframe>设置成不可见的，使用户无法察觉到这个过程）

3.网页木马在得到用户连接后，自动发送安装程序给用户。

4.如果用户主机存在MS06014漏洞，则自动下载木马安装程序并在后台运行。

5.木马安装成功后，木马服务端定时监测控制端是否存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。

6.客户端收到连接请求，建立连接。

（一）生成网页木马

1.主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。（为什么启动木马网站？）

2.主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。

3.主机A生成木马的“服务器程序”。

4.主机A编写生成网页木马的脚本。

（二）完成对默认网站的“挂马”过程

1.主机A进入目录C:Inetpubwwwroot，使用记事本打开index.html文件。

2.对index.html进行编辑。在代码的底部加上<iframe>语句，具体见实验原理-->名词解释-->iframe标签（需将http://www.jlcss.com/index.html修改为http://本机IP:9090/Trojan.htm），实现从此网页对网页木马的链接。

3.木马的植入。

二、木马的功能

（一）文件管理

（二）系统信息查看

（三）进程查看

（四）注册表管理

（五）Telnet

（六）其它命令及控制

三、木马的删除

（一）自动删除

主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。

（二）手动删除

1.主机B启动IE浏览器，单击菜单栏“工具”-->“Internet 选项”，弹出“Internet 选项”配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对话框中，选中“删除所有脱机内容”复选框，单击“确定”按钮直到完成。

2.双击“我的电脑”，在浏览器中单击“工具”-->“文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏受保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮
。

3.关闭已打开的Web页，启动“Windows 任务管理器”。单击“进程”属性页，在“映像名称”中选中所有“IEXPLORE.EXE”进程，单击“结束进程”按钮。

4.删除C:WidnowsHacker.com.cn.ini文件。

5.启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目，单击右键，在弹出菜单中选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮。

6.启动注册表编辑器，删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista节点。

7.重新启动计算机。

8.主机A如果还没卸载灰鸽子程序，可打开查看自动上线主机，已经不存在了