20155205 20155218 信息安全技术第四次实验 木马及远程控制技术
一、实验目的
- 剖析网页木马的工作原理
- 理解木马的植入过程
- 学会编写简单的网页木马脚本
- 通过分析监控信息实现手动删除木马
二、实验内容
- 木马生成与植入
- 利用木马实现远程控制
- 木马的删除
三、实验步骤与部分实验截图以及对老师提问的回答
木马生成与植入
1. 生成网页木马
-
打开
计算机管理/服务和应用程序/ Internet信息服务(IIS)管理器/网站来启动木马网站,只有启动了木马网站才能植入木马。 -
在“配置服务程序”中可以看到以下几个模块:
2. 完成对默认网站的“挂马”过程
- 这里老师问道:“iframe标签有什么作用?”我们在实验原理中可以看到: iframe也叫浮动帧标签,它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。
如图,添加了iframe框架。
3.木马的植入
- 在安装选项中,默认的安装路径是
Hacker.com.cn.ini,因此Hacker.com.cn.ini是在服务器配置设置的。 - Hacker.com.cn.ini文件是由进程3136创建的。
- Windows XP Vista 是在服务器配置启动项设置里设置的。
-
winlogoin.exe是由网页脚本里的 fnamel=“winlogin.exe” 语句设置的。 -
木马的自启动方式:利用增加系统服务
木马的功能
- 主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看
主机A
主机B
可以看到两边结果是一样的。
- 主机B查看协议分析器所捕获的信息如下(自己做实验的时候没有找全图片。。。),顺序是从后到前。
这是我们捕获到的信息截图:
四、思考题
1. 列举出几种不同的木马植入方法。
答:
1、通过网页的植入,比如通过iframe标签或者把木马连接到图片中。
2、木马可以通过程序的下载进行植入。
3、人工植入,通过U盘等直接烤入电脑。
4、通过破解防火墙,指定IP进行攻击的植入。
2. 列举出几种不同的木马防范方法。
答:
1、不到不受信任的网站上下载软件运行 2、不随便点击来历不明邮件所带的附件 3、及时安装相应的系统补丁程序 4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库 5、为系统所有的用户设置合理的用户口令