《信息安全技术》实验四木马及远程控制技术

实验目的

1．生成网页木马

主机A编写生成网页木马的脚本。
在桌面建立打开“Trojan.txt”，将实验原理中网马脚本写入，并将脚本第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”，生成“Trojan.htm”即网页木马程序。

2．完成对默认网站的“挂马”过程

3．木马的植入

主机B设置监控。
- 打开监控器。在向导栏中依次启动“进程监控”、“端口监控”，选择“文件监控”操作类型全部选中，启动文件监控。
- 启动协议分析器
- 单击菜单“设置”｜“定义过滤器”，在弹出的“定义过滤器”对话框中选择“网络地址”选项卡，设置捕获主机A与主机B之间的数据。
- 新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。
  主机B启动IE浏览器，访问“http://主机A的IP地址”。
主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。
主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。
- 在“端口监控”中查看“远程端口”为“8000”的新增条目，观察端口监控信息，回答下面问题：
  - 8000服务远程地址（控制端）地址：木马服务器主机地址

1．文件管理

2．系统信息查看

主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“系统信息”按钮，查看主机B操作系统信息。

3．进程查看

4．注册表管理

主机A单击“注册表编辑器”属性页，在左侧树状控件中“远程主机”（主机B）注册表的“HKEY_LOCAL_MACHINESoftware” 键下，创建新的注册表项；

5．Telnet

主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作，单击菜单项中的“Telnet”按钮，打开Telnet窗口，使用“cd c:”命令进行目录切换，使用“dir”命令显示当前目录内容，使用其它命令进行远程控制。

1．自动删除

主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。

2．手动删除

主机B启动IE浏览器，单击菜单栏“工具”｜“Internet 选项”，弹出“Internet 选项”配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对话框中，选中“删除所有脱机内容”复选框，单击“确定”按钮直到完成。
双击“我的电脑”，在浏览器中单击“工具”|“文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏受保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮。
关闭已打开的Web页，启动“Windows 任务管理器”。单击“进程”属性页，在“映像名称”中选中所有“IEXPLORE.EXE”进程，单击“结束进程”按钮。
删除“C:WidnowsHacker.com.cn.ini”文件。
启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目，单击右键，在弹出菜单中选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮。
启动注册表编辑器，删除“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista”节点。
重新启动计算机。
主机A如果还没卸载灰鸽子程序，可打开查看自动上线主机，已经不存在了。