信息安全技术实验四木马及远程控制技术

实验报告

实验名称： 木马及远程控制技术

姓名： 杨笛、辜彦霖

学号： 20155217、20155227

班级： 1552

日期： 2017.11.21

一、实验目的与要求：

1.剖析网页木马的工作原理
2.理解木马的植入过程
3.学会编写简单的网页木马脚本
4.通过分析监控信息实现手动删除木马

二、实验原理

1.网页木马原理

网页木马是通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的木马。嵌入在网页中的脚本利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，用户一旦打开这个网页，下载过程和运行过程就自动开始。

2.MS06014漏洞

MS06014漏洞存在于Microsoft Data Access Components，利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的程序就会不经过用户的确认而自动执行。

4.木马的工作过程

1）木马的植入

当用户浏览安装木马的网页时就被在后台自动安装了木马的安装程序。

2）木马的安装

木马的安装在木马植入后就被立即执行。当网页木马植入后，木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序，并根据脚本中的设定对安装程序进行重命名。通常是一个与系统进程相近的名字（本实验中为winlogin.exe）。安装程序下载完成后，自动进行安装。生成可执行文件C:Windowshack.com.cn.ini，并修改注册表生成名为windows XP Vista的系统服务。

3）木马的运行

灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端，并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE，此进程与Windows的IE浏览器进程同名，同样是为了迷惑管理员来伪装自己。当木马服务端与客户端建立连接后，客户端就如同拥有了管理员权限一样，可随意对感木马的主机进行任何操作。

4）木马的自启动

木马安装时生成系统服务Windows XP Vista。Windows XP Vista的可执行文件路径：“C:WINDOWSHacker.com.cn.ini。”描述：“灰鸽子服务端程序，远程监控管理。”启动类型：“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。存在于系统目录下的Hack.com.cn.ini文件被设置成一个隐藏的受保护的操作系统文件，很难被人发现。

三、实验内容、步骤及结论

实验主机	角色	IP
主机A（20155217杨笛）	木马控制端（木马客户端）	172.16.0.97
主机B（20155227辜彦霖）	木马被控端（木马服务器）	172.16.0.116

1.木马生成与植入

a.生成网页木马

（1）主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”，并单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。主机A生成木马的“服务器程序”。

（2）主机A编写生成网页木马的脚本。

b.完成对默认网站的“挂马”过程

（1）主机A进入目录“C:Inetpubwwwroot”，使用记事本打开“index.html”文件。

（2）对“index.html”进行编辑。

c.木马的植入

（1）主机B设置监控。主机B进入实验平台，打开监控器。在向导栏中依次启动“进程监控”、“端口监控”，选择“文件监控”，操作类型全部选中，启动文件监控。并捕获传送的数据包。主机B启动IE浏览器，访问“http:// 172.16.0.97”。启动协议分析器，单击菜单“设置”｜“定义过滤器”，在弹出的“定义过滤器”对话框中选择“络地址”选项卡，设置捕获主机A与主机B之间的数据。

（2）主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。

（3）主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。

（4）主机B查看协议分析器所捕获的信息。

2.木马的功能

a.文件管理

（1）主机B在目录“D:WorkTrojan”下建立一个文本文件，并命名为“Test.txt”。

（2）主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。在主机B上观察文件操作的结果，发现文件名已被修改。
b.系统信息查看

主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“系统信息”按钮，查看主机B操作系统信息。
c.进程查看

（1）主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看

（2）主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程，并和主机A的查看结果相比较。

d.注册表管理

e.Telnet

主机A操作“灰鸽子远程控制”，单击菜单项中的“Telnet”按钮，打开Telnet窗口，使用“cd c:”命令进行目录切换，使用“dir”命令显示当前目录内容，使用其它命令进行远程控制。

f.其它命令及控制

主机A通过使用“灰鸽子远程控制”程序的其它功能（例如“捕获屏幕”），对主机B进行控制。

3.木马的删除

a.自动删除

b.手动删除

四、思考题

1、列举出几种不同的木马植入方法.

（1）通过网页的植入（2）木马可以通过程序的下载进行植入（3）人工植入（4）通过破解防火墙，指定IP进行攻击的植入

2、列举出几种不同的木马防范方法。

（1）定期使用杀毒软件对电脑进行清理（2）使用杀毒软件对浏览的网页进行实时监控（3）不随意下载来路不明的文件（4）使用外部存储硬件的需要进行监管

五、实验体会

20155217杨笛
通过这一次的实验，我们第一次从攻击的角度上体验和了解木马的生成植入、木马的功能以及对其如何删除，也更进一步的懂得了木马这样的病毒文件对于计算机的影响与危害。这一次的实验，我们依靠着详细的实验指导步骤进行着实验。当然，也遇到了一些主机上线有阻碍的困难，在老师和同学的指导下，我们很快的克服了这些障碍。
虽然说只是一次简短的实验，但是我们也有了类似黑客的经历，懂得了木马利用ie的漏洞在后台就行下载和运行；同时，在了解了木马的功能之后，我们也更明白了适合的杀毒软件和系统漏洞补丁对于计算机安全的重要性。

20155227辜彦霖
在本次实验中我掌握了网页木马的基本过程，了解了基本原理。我们小组进行的比较顺利，在这次实验中我们小组基本理解了木马是怎样植入、安装、自启动的，实验中我们不仅体会到了远程控制的神奇，也感受到被木马操控的危险，从实例中体验到了信息安全的重要性。
在这次实验中有很大的收获，木马是信息安全中要防御的一个重要方面，网页木马在我们日常生活中也很常见，此次实验也算是积累了生活知识，同时也掌握了一些防御木马的方法，发现每一次信息安全概论的课程都能使我学到很多东西，也感受到很多。