COM病毒实验报告
我们小组已经成功的实现了COM病毒感染实验。
在整个实验过程中,由于是初次配置Dos环境,我们遇到了很多问题,也花了很多时间去解决问题,因此,我们在此写出我们整个配置过程的主要步骤及其遇到的问题。
一.配置MS-Dos
1. 新建一个虚拟机
2. 用虚拟机的软驱载入,安装程序的第一个镜像 DOS71_1.IMG (在安装时设备里面没有floppy时只需add一下就好,选择物理软盘驱动器)
3.此时MS-DOS虚拟机处于半安装状态,然后开始命令配置
先创建一个文件夹tmp md tmp
复制软盘A的文件到C copy A:\ C:\tmp
关机 shutdown -s
4.用虚拟机的软驱载入安装程序的第二个镜像 DOS71_2.IMG
复制软盘A的文件到C copy A:\ C:\tmp
5.开始配置
先进入到tmp文件夹下
运行setup.bat (在此运行过程中,出现死机,原因不明,最后通过重启解决此问题)
6. 然后一路next和ok完成配置
二.安装MASM611
1.下载MASM611(里面包括5个DISK)
2.在虚拟机里面通过映射到磁盘(我们所做实验为Z盘),在映射过程中,特别注意把只读属性去掉,然后把下载的MASM611拷贝到此磁盘
3.打开MS-DOS系统,进入到MASM611下的DISK1文件目录下
4.开始安装
运行命令 setup.exe
5.在安装过程中,特别注意在第二次选项时应选择MS-DOS/Microsoft
Windows,否则无法使用link链接命令
6.其它一律按默认值点击确定,安装成功
三.实验过程
1.在使用MASM611前,应在MASM611目录下进行路径的配置(这点要特别注意)
路径配置命令 set PATH=C:\DOS71;..;C:\MASM611\BIN;
2.编译链接test文件(test文件是正常文件),在此实验中,链接后需要把test.exe改为https://www.doczj.com/doc/158081755.html,文件
编译test文件时出错 unmatched block nesting:main(解决方法:在test 文件中加入一句与main匹配的代码main endp)
3.运行test文件(命令为https://www.doczj.com/doc/158081755.html,),运行成功,显示字符串:This a simple com program for a test
4.编译链接virus文件(virus文件为病毒),此时virus.exe文件已经生成
编译virus文件时出错 invalid character in file(解决方法:在相应的出错处加上分号;)
6.新建一个文件del.txt
命令 echo aaa >del.txt
7.查看MASM611下的文件目录,此时可以看到del.txt文件
8.运行virus.exe,成功后出现字符串 You are infected by a simple com
virus,(但在运行该命令时,系统有时会死机,原因不明,最后解决方法,强制关掉MS-DOS系统后重新启动)
9.然后运行https://www.doczj.com/doc/158081755.html,,此时运行结果为 You are infected by a simple com
virus 以及相关的乱码等等
10.此时在MASM611目录下查找刚刚新建的文件del.txt,可以发现del.txt不
见了,并且https://www.doczj.com/doc/158081755.html,文件变大
11.实验结束,病毒virus文件成功感染test文件
实 验 报 告 实验名称灰鸽子木马实验报告 课程名称网络安全 院系部:信息技术系专业班级:网络101 学生姓名:学号:20100901099
一、实验目的及要求: [目的] 1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。 [内容及要求] 1、练习软件的哪些功能,自己总结 2、通过实验了解灰鸽子是一款的远程控制软件。 3、熟悉使用木马进行网络攻击的原理和方法。 [试验环境] 虚拟机下安装组建一个局域网,2台安装了win2000/win2003/XP系统的电脑,灰鸽子木马软件。 二、实验方法与步骤: (1)打开虚拟机,开启windows server 2003 A 与 windows server 2003 B ,将其网络设备器设置在同一局域网内(例vmnet2)
(2)打开灰鸽子,并查看本机IP地址: (3)点击配置服务程序,新建一个木马病毒:
密码可设置也可不设置 (3)将生产的木马病毒设法放入目标主机,并使其运行: (原始木马样子) (4)目标主机运行后,本机灰鸽子显示其登录: 我们可对目标及进行,下载上传等基本运行 (5)还可以进行更深层次的控制,例如屏幕捕捉与控制,广播,关机开机,注册表的编辑等(看红框标识处):
(6)灰鸽子木马的伪装,木马捆绑器: 现今社会杀毒软件的辨识度已然很高,而人们的警惕度也越来越 高,木马若想成功的被目标主机运行,必然要做一定的伪装
生成一个可执行文件,虽然风险乜很高,但不失为一种方法! (6)木马分离器: 三、使用心得 (1)熟悉灰鸽子之后,我们了解了木马的强大以及危害之处,如何防范木马,是当今信息社会的一种不可不重视的问题。 计算机病毒泛滥尤以木马病毒为甚。木马病毒是一种远程控制程 序,“黑客”利用计算机系统和软件的漏洞将一段程序植入远端电脑后,可以借助其配套的控制程序来远程控制中毒
网络安全实验报告 冰河木马实验 网络10-2班 XXX 08103635 一、实验目的 通过学习冰河木马远程控制软件的使用,熟悉使用木马进行网络攻击的原理和方法。 二、实验内容 1、在计算机A上运行冰河木马客户端,学习其常用功能; 2、在局域网内另一台计算机B上种入冰河木马(服务器),用 计算机A控制计算机B; 3、打开杀毒软件查杀冰河木马; 4、再次在B上种入冰河木马,并手动删除冰河木马,修改注 册表和文件关联。 三、实验准备 1、在两台计算机上关闭杀毒软件; 2、下载冰河木马软件; 3、阅读冰河木马的关联文件。 四、实验要求 1、合理使用冰河木马,禁止恶意入侵他人电脑和网络; 2、了解冰河木马的主要功能; 3、记录实验步骤、实验现象、实验过程中出现的意外情况及
解决方法; 4、总结手动删除冰河木马的过程。 五、实验过程 作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。鉴于此,我们就选用冰河完成本次实验。 若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。 冰河控制工具中有三个文件:,,以及。 简单介绍冰河的使用。是监控端执行程序,可以用于监控远程计算机和配置服务器。是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件()的计算机可以对感染机进行远程控制。 冰河木马的使用: 1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。 6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
南京信息工程大学实验(实习)报告 实验(实习)名称防火墙实验(实习)日期2012.12.6指导教师朱节中 专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分 【实验名称】 防火墙实验 【实验目的】 掌握防火墙的基本配置;掌握防火墙安全策略的配置。 【背景描述】 1.用接入广域网技术(NA T),将私有地址转化为合法IP地址。解决IP地址不足的问题,有效避免来自外部网络的攻击,隐藏并保护内部网络的计算机。 2.网络地址端口转换NAPT(Network Address Port Translation)是人们比较常用的一种NA T方式。它可以将中小型的网络隐藏在一个合法的IP地址后面,将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NA T设备选定的TCP端口号。 3.地址绑定:为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP 地址,也因MAC地址不匹配而盗用失败,而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配,将无法通过防火墙。 4.抗攻击:锐捷防火墙能抵抗以下的恶意攻击:SYN Flood攻击;ICMP Flood攻击;Ping of Death 攻击;UDP Flood 攻击;PING SWEEP攻击;TCP端口扫描;UDP端口扫描;松散源路由攻击;严格源路由攻击;WinNuke攻击;smuef攻击;无标记攻击;圣诞树攻击;TSYN&FIN攻击;无确认FIN攻击;IP安全选项攻击;IP记录路由攻击;IP流攻击;IP时间戳攻击;Land攻击;tear drop攻击。 【小组分工】 组长:IP:192.168.10.200 管理员 :IP:172.16.5.4 策略管理员+日志审计员 :IP:172.16.5.3 日志审计员 :IP:172.16.5.2 策略管理员 :IP:172.16.5.1 配置管理员 【实验设备】 PC 五台 防火墙1台(RG-Wall60 每实验台一组) 跳线一条 【实验拓扑】
灰鸽子”网页木马从原理、制作到防范 如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么? 因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马 的攻击原理说起。 一、网页木马的攻击原理 首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。 有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞 来分别说明这两个问题。 ⒈自动下载程序 小提示:代码说明 a. 代码中“src”的属性为程序的网络地址,本例中“https://www.doczj.com/doc/158081755.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe 改为bat或com,这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的
甘肃政法学院 本科学生实验报告 实验课程:安全扫描技术 实验名称:冰河木马的入侵和防御 计算机科学学院计算机科学与技术专业 09 级计算科学与技术本科班 学号:_ 姓名:_____ __ 指导教师:____李启南_ 成绩:_____________ 完成时间:2011年9月21日
一、实验名称 冰河木马的入侵和防御 二、实验目的 通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机,植入木马程序,控制远程主机。 通过入侵实验理解和账务木马的传播和运行机制,动手查杀木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 三、实验内容 安装、卸载、使用冰河木马。 四、实验原理 冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。冰河木马程序属于第二代木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制。 木马是隐藏在正常程序中的具有特殊功能的恶意代码,它可以自动启动并在某一端口监听来自控制端的控制信息。 一般木马都采用C/S运行模式,即分为两部分:客户端和服务端木马程序。当服务器端程序在目标计算机上执行后会打开一个默认端口监听,而客户端向服务器端秘密提出连接请求,获取服务器端的相关信息。 五、实验平台 冰河ROSE 版。 两台装有Windows 2000/XP/7系统的计算机,机房局域网。 六、实验步骤 1、在服务器端计算机上运行冰河服务器程序G_Server.exe。 2. 连接登陆远程主机。 在另一台计算机上打开冰河木马程序客户端,如图1所示。 图1 冰河木马程序客户端 选择“文件—>搜索计算机”,如图2所示设置起始域,起始地址和终止地址,
网络安全实验报告 务书 一、目的与要求根据实验内容的要求和实验安排,要求学生在掌握网络信息安全基本知识的基础上,能够设计出相应的软件,并且熟练地运用各种网络信息安全技术和手段,发现并解决各类安全问题,维护网络及操作系统的安全。 二、主要内容实验一加密认证通信系统实现设计实现一个通信系统,双方可以通过消息和文件通信,用户可选择一种加密算法和认证算法,对消息和文件进行加密通信和完整性验证。(要实现认证和加密,工具和语言不限,可以直接调用现有模块,认证和加密不限)实验二 综合扫描及安全评估利用常见的一些扫描工具可以检测本系统及其它系统是否存在漏洞等安全隐患,给出全面而完善的评估报告,帮助管理员发现存在的问题,进而采取有力措施予以弥补,从而提高系统的安全性能。实验三 网络攻防技术矛与盾的关系告诉我们,在研究网络安全技术时,只着眼于安全防范技术是远远不够的,知己知彼方能百战不殆,因此,很有必要同时研究攻击与防范技术,才能更有效地解决各种威胁。实验四 Windows系统安全配置方案作为网络节点,操作系统安全成为网络信息安全首先应予考虑的事务,然而人们往往忽视了OS的安
全性。其实,OS的安全不只体现在密码口令上,这仅仅是最基本的一个方面。除此之外,服务、端口、共享资源以及各种应用都很有可能存在着安全隐患,因此,应采取相应措施设置完善的本地安全策略,并使用防病毒软件、防火墙软件甚至入侵检测软件来加强系统的安全。其中实验一要求编程实现,可直接调用相关功能函数完成。实验二至实验四可在机房的网络信息安全综合实验系统上完成。 三、进度计划序号设计(实验)内容完成时间备注1接受任务,查阅文献,开始实现密码算法和认证算法第一天2完成加密认证通信系统第二至七天3上午完成综合扫描及安全评估实验,下午进行网络攻防实验第八天4上午完成网络攻防实验,下午进行系统安全配置实验第九天5撰写实验报告并验收第天 四、实验成果要求 1、要求程序能正常运行,并实现任务书要求功能。 2、完成实验报告,要求格式规范,内容具体而翔实,应体现自身所作的工作,注重对设计思路的归纳和对问题解决过程的总结。 五、考核方式平时成绩+程序验收+实验报告。 学生姓名: 指导教师:xx 年6 月13 日实验报告题目: 网络信息安全综合实验院系: 计算机系班级:
概述 一、项目由来 旬阳县何家沟毒重石矿位于旬阳县城185°方位,直距13km,行政区划隶属旬阳县吕河镇管辖。矿区范围由4个拐点圈定,面积 1.71km2,其矿区中心地理坐标(1980西安坐标系)为:东经:109°21′53″,北纬:32°43′05″,矿区面积约1.71km2,矿区有2.5km简易公路与乡级公路吕(河镇)—赤(岩镇)公路相接。 旬阳县何家沟毒重石矿采矿权于2006年3月首次设置,采矿权人为旬阳县金龙矿业有限公司,2011年8月采矿权人变更为旬阳县金辉矿业有限公司(后文简称“建设单位”),并取得安康市国土资源局颁发的采矿许可证(采矿证号:C6109002010126120100471)。2006年至2016年8月,建设单位主要针对区内的K1、K2矿体进行探矿和采矿,累计采出矿石量4.19万t,消耗地质矿石量4.66万t,矿石平均品位57.17%,平均生产规模约0.5万t/a。由于受毒重石矿市场因素影响,矿山自2016年8月至今处于停产状态。2006年6月22日,矿山取得旬阳县环境保护局环境影响评价备案登记(编号:200636)。根据安康市政府、安康市国土资源局及安康市安全生产监督管理局对矿山最低生产规模的要求,建设单位拟实施旬阳县何家沟毒重石矿开采项目,对矿山进行扩能提升,使矿山生产规模由4万t/a 增至5万t/a,采矿证开采深度+650~+200m,实际最低开采水平341m。根据旬阳县国土资源局关于办理旬阳县何家沟毒重石矿采矿许可证延续的函(旬国土资函[2018]400号),本项目符合《旬阳县第三轮矿产资源总体规划》要求,经旬阳县人民政府2018年第11次常务委员会议通过,同意办理采矿权延续。 二、项目特点 根据建设单位提供的资料和现场调研,该项目具有以下特点: (1)本项目为增产扩能,项目建成后开采规模增至5万t/a,扩建前后矿权范围不变。 (2)本次评价对象为何家沟K1、K2毒重石矿体开采工程,开采出的原矿直接外运出售,不涉及后续的破碎、洗选等,项目仅设置临时堆矿场;项目开采过程
木马捆绑与隐藏 12.2.1背景描述 木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email或MSN等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。 12.2.2工作原理 1.木马捆绑 木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。 木马捆绑的手段归纳起来共有四种: (1)利用捆绑机软件和文件合并软件捆绑木马; (2)利用WINRAR、WINZIP等软件制作自解压捆绑木马; (3)利用软件打包软件制作捆绑木马; (4)利用多媒体影音文件传播。 2.木马隐藏 隐藏是一切恶意程序生存之本。以下是木马的几种隐藏手段: (1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。 (2)伪装成图像文件:即将木马图标修改成图像文件图标。
组网配置实验报告 参赛队名:西南交通大学1队完成时间:17:30 1.实验目的: 通过实验模拟校园网络内部的具体功能和三层结构: a.模拟网络的3层结构如下: 核心层——负责进行数据的快速转发。 汇聚层——负责汇集分散的接入点,进行数据交换,提供流量控制和用户管理功能。 接入层——负责提供各种类型用户的接入,在有需要时提供用户流量控制功能。 路由采用RG-R1700,用模块化结构设计,具有1个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。采用64位的微处理器技术,CPU为Motorola PowerPC 8248,主频高达到266MHz,固化两个10/100M快速以太口,2个高速同步口;提供丰富的网络安全特性,支持哑终端接入服务器功能;提供完备的冗余备份解决方案,支持VoIP特性、IP 组播协议,支持IPv4/IPv6,有丰富的QoS特性。 核心层采用RG-S3760-24,硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性,为IPv6网络之间的通信提供了丰富的Tunnel技术,并提供了丰富而完善的路由协议,内在的安全防御机制和用户管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障网络安全、网络合理化使用和运营;提供了多种形式的管理工具如SNMP、Telnet、Web和Console口等。 汇聚层采用RG-S3550-24,硬件支持多层交换,提供二到七层的智能的流分类和完善的服务质量(QoS)以及组播管理特性,支持完善的路由协议,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。可通过SNMP、Telnet、Web和Console 口等多种方式提供丰富的管理。 接入层采用STAR-S2126G,是一款高性能、高安全、可堆叠的网管型以太网交换机。基于高背板的全线速设计,提供智能流分类和完善的服务质量(QoS)以及组播管理特性,使其在企业级网络多种应用中,实施灵活多样的ACL访问控制和安全防范;同时,配合灵活的堆叠功能,使得本地高密度端口可随时被智能集中管理,方便较大规模网络用户在接入层的数据集中管理;另外,针对不同的管理手段,分别提供了SNMP、Telnet、Web和Console口等多种管理方式。
目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)
简介 冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。 在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。目的:远程访问、控制。选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT 文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。 一、基础篇(揭开木马的神秘面纱) 无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机, G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
实验报告模板
【实验目的】(简要描述实验目的) 采用免杀、混淆等技术的恶意代码有可能突破安全软件的防护而运行在目标主机中。即使用户感受到系统出现异常,但是仅仅通过杀毒软件等也无法检测与根除恶意代码,此时需要用户凭借其它系统工具和对操作系统的了解对恶意代码手工查杀。本实验假设在已经确定木马进程的前提下,要求学生借助进程检测和注册表检测等系统工具,终止木马进程运行,消除木马程序造成的影响,从而实现手工查杀恶意代码的过程。 【实验结果及分析】(需要有结果截图) 一、恶意代码手工查杀实验 1、虚拟机快照 为防止虚拟机破坏后无法恢复,应先将干净的虚拟机进行快照设置。点击菜单“虚拟机”“快照”“拍摄快照”,创建一个干净的虚拟机快照。 2.创建被感染的系统环境 由于恶意代码采用了免杀技术,因此能够成功绕过防病毒等安全软件检测,等用户感到系统异常时,通常恶意代码已经在主机系统内加载运行。为了尽量模拟一个逼真的用户环境,我们在搭建好的虚拟机中运行木马宿主程序 “radar0.exe”。运行完后,可以看见,“radar0.exe”自动删除。
3.木马进程的定位 用户对系统的熟悉程度决定了发现系统异常继而查找恶意代码的早晚。在本例中,明显可以感受到系统运行速度变慢,打开任务管理器,可以观察到有一个“陌生”的进程(非系统进程或安装软件进程)“wdfmgr.exe”占用CPU比率很高。 为了确定该进程为木马进程,可以通过查找该进程的静态属性如创建时间、
开发公司、大小等,以及通过对该进程强制终止是否重启等现象综合判断。在本例中,“Wdfmgr.exe”为木马radar.exe运行后新派生的木马进程。 4.记录程序行为 打开工具“ProcMon.exe”,为其新增过滤规则“Process Name”“is”“wdfmgr.exe”,然后开始监控。点击“Add”将过滤规则加入,可以看到ProcMon开始监控“wdfmgr.exe”进程的行为。需要注意的是,有时为了保证观察到的行为完备性,会先启动ProcMon工具,然后再启动被监控进程。 为了分别观察该进程对文件系统和注册表的操作,点击菜单 “Tools”“File Summary”,观察对文件系统的修改。
HUNAN UNIVERSITY 课程实习报告 题目:网络攻防 学生姓名李佳 学生学号201308060228 专业班级保密1301班 指导老师钱鹏飞老师 完成日期2016/1/3 完成实验总数:13 具体实验:1.综合扫描 2.使用 Microsoft 基线安全分析器
3.DNS 溢出实验 4. 堆溢出实验 5.配置Windows系统安全评估 6.Windows 系统帐户安全评估 7.弱口令破解 8.邮件明文窃听 9.网络APR攻击 10.Windows_Server_IP安全配置 11.Tomcat管理用户弱口令攻击 12.木马灰鸽子防护 13.ping扫描 1.综合扫描 X-scan 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息、
注册表信息等。 2.使用 Microsoft 基线安全分析器 MBSA:安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。微软基线安全分析器可对系统扫描后将生成一份检测报告,该报告将列举系统中存在的所有漏洞和弱点。 3.DNS 溢出实验 DNS溢出DNS 的设计被发现可攻击的漏洞,攻击者可透过伪装 DNS 主要服务器的方式,引导使用者进入恶意网页,以钓鱼方式取得信息,或者植入恶意程序。 MS06‐041:DNS 解析中的漏洞可能允许远程代码执行。 Microsoft Windows 是微软发布的非常流行的操作系统。 Microsoft Windows DNS 服务器的 RPC 接口在处理畸形请求时存在栈溢出漏洞,远程攻击者可能利用此漏洞获取服务器的管理权限。
木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
实验三网站规划书撰写 一、实验目的 1、了解网站规划的主要内容 2、掌握网站规划的要点 3、能够撰写专业的网站规划书 二、实验内容 网站规划是从网站开发目标到实际运用过程的全盘谋略与策划,是企业实施电子商务网站建设最重要的环节。网站规划既有战略性内容,也有战术性内容,对网站建设起到计划与指导的作用。在建立网站前应进行必要的市场分析,明确建设网站的目的,确定网站的功能、规模、投入费用等。只有详细的规划,才能避免在网站建设中出现的很多问题,使网站建设能顺利进行。 思考题: 1、网站规划书的主要内容有哪些? 一、建设网站前的市场分析 1、相关行业的市场是怎样的,有什么样的特点,是否能够在互联网上开展公司业务。 2、市场主要竞争者分析,竞争对手上网情况及其网站规划、功能作用。 3、公司自身条件分析、公司概况、市场优势,可以利用网站提升哪些竞争力,建设网站的能力(费用、技术、人力等)。 二、建设网站目的及功能定位1、为什么要建网站,是为了宣传产品,进行电子商务,还是建行业性网站?是企业的需要还是市场开拓的延伸?2、整合公司资源,确定网站功能。根据公司的需要和计划,确定网站的功能:产品宣传型、网上营销型、客户服务型、电子商务型等。3、根据网站功能,确定网站应达到的目的作用。 三、网站技术解决方案根据网站的功能确定网站技术解决方案。1、租用虚拟主机的配置。2、网站安全性措施,防黑、防病毒方案。3、相关程序开发。如网页程序ASP、JSP、CGI、数据库程序等。 四、网站内容规划1、根据网站的目的和功能规划网站内容,一般企业网站应包括:公司简介、产品介绍、服务项目、价格信息、联系方式、网上定单等基本内容。2、电子商务类网站要提供会员注册、详细的商品服务信息、信息搜索查询、定单确认、付款、相关帮助等。3、如果网站栏目比较多,则考虑采用网站编程专人负责相关内容。注意:网站内容是网站吸引浏览者最重要的因素,无内容或不实用的信息不会吸引匆匆浏览的访客。可事先对人们希望阅读的信息进行调查,并在网站发布后调查人们对网站内容的满意度,以及时调整网站内容。 五、网页设计1、网页设计一般要与企业整体形象一致,要符合CI规范。要注意网页色彩、图片的应用及版面规划,保持网页的整体一致性。2、新技术的采用要考虑主要目标访问群体的分布地域、年龄阶层、网络速度、阅读习惯等。3、制定网页改版计划,如半年到一年时间进行较大规模改版等。 六、网站维护1、服务器及相关软硬件的维护,对可能出现的问题进行评估,制定响应时间。2、数据库维护,有效地利用数据是网站维护的重要内容,因此数据库的维护要受到重视。3、及时进行网站内容的更新、调整等。4、制定相关网站维护的规定,将网站维护制度化、规范化。 七、网站测试网站发布前要进行细致周密的测试,以保证正常浏览和使用。主要测试内容有:1、服务器稳定性、安全性。2、程序及数据库测试。3、网页兼容性测试,如浏览器、显示器。4、根据需要进行其他测试。 八、网站发布与推广1、网站测试后进行发布的公关,广告等活动。2、搜索引掣登记等。 九、网站建设日程表各项规划任务的开始完成时间,负责人等。 十、费用明细各项事宜所需费用清单。 2、试为“格兰仕微波炉电子商务网站”拟定设计规划书。
防病毒实验报告 姓名:王宝 学号:08103663 班级:信安10-1班 指导教师:朱长征 2013.7
实验一PE结构分析及DOS病毒感染与清除 一、实验目的 1.熟悉PE文件结构 2.掌握DOS系统下.EXE文件病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)手工或编程从user32.dll中获得MessageBoxA的函数地址;1、打开lordPE软件,查找user32.dll,找到如下图: 图 1
2、右击点载入到PE文件编辑器 3、点击目录,查看目录表信息 4、用软件给出的文件位置计算器就可以得到MessageBoxA的一些信息如下:
如此就可以得到MessageBoxA的VA。又因为,文件中的地址与内存中表示不同,它是用偏移量(File offset)来表示的。在SoftICE和W32Dasm下显示的地址值是内存地址(memory offset),或称之为虚拟地址(Virual Address,VA)。而十六进制工具里,如:Hiew、Hex Workshop等显示的地址就是文件地址,称之为偏移量(File offset) 或物理地址(RAW offset)。所以偏移地址就是物理地址。这样就得到了MessageBoxA的地址了。
2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE Explorer、PEditor、Stud_PE等工具软件查看、分析PE 文件格式。针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改; PE的总体结构如下表所示: DOS MZ header部分是DOS时代遗留的产物,是PE文件的一个遗传基因,一个Win32程序如果在DOS下也是可以执行,只是提示:“This
南昌航空大学实验报告 二〇一三年十一月八日 课程名称:信息安全实验名称:实验1木马攻击与防范 班级:xxx 姓名:xxx 同组人: 指导教师评定:签名: 一、实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1.木马的特性 木马程序为了实现其特殊功能,一般应该具有以下性质: (1)伪装性(2)隐藏性(3)破坏性(4)窃密性 2.木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,攻击者可以利用浏览器的漏洞诱导上网者单击网页,这样浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,获得控制权限,然后在被攻击的服务器上安装并运行木马。3.木马的种类 (1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒;第2代木马是网络传播型木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。 (2)按照功能分类,木马又可以分为:破坏型木马;密码发送型木马;服务型木马;DOS 攻击型木马;代理型木马;远程控制型木马。 4.木马的工作原理 下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。 (1)木马的传统连接技术;C/S木马原理如图1-1所示。第1代和第2代木马都采用的是C/S连接方式,这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。 (2)木马的反弹端口技术;随着防火墙技术的发展,它可以有效拦截采用传统连接方式。但防火墙对内部发起的连接请求则认为是正常连接,第3代和第4代“反弹式”木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式连接到木马的客户端,如图1-2和图1-3所示。
校园网的组建与应用 摘要: 本文针对实验室的设备环境,对校园网的组网方式进行了研究和模拟,并最终提出了一套完整的校园网组网方案。 实验中我们对路由器、交换机等组网基础设备进行了认真的研究。关于路由器,我们实现了本地基本配置,并分别使用路由器的串口和以太网口实现了不同网段的网络互联,对路由器静态及动态路由机制进行了探究。关于交换机,我们实现了VLAN的划分以及不同VLAN间的相互通信,对广播风暴现象的产生原理及解决方案进行了特定的实验。综合两者的功能,我们对多种网络拓扑结构进行了分析,讨论和改进。最后通过实验和模拟提出了一套完整的校园网组建方案。 在此方案中,我们在实现了网络互通的情况下,我们进行了IP地址的划分,IP地址利用DHCP进行自动分配。并根据模拟实际,对不同的主机进行VLAN划分,同时保证不同VLAN间的相互访问与特定VLAN的保护与单向访问。同时构建内部防火墙保证校园网与外部的安全访问。构建了完整可靠的网络之后,依据校园网的功能和服务需求,我们搭建了FTP服务器,用于提供基础的网络服务。 限于实验室条件的限制,我们的方案并不是完全能够适用于现实的。但是,通过实验使我们对校园网乃至更大的网络有了更加深刻的了解。
目录
一、前言 随着信息的调整膨胀,全球信息已经进入以计算机网络为核心的时代。作为科技先导的教育行业,计算机校园网已是教育进行科研和现代化管理的重要手段。近几年、校园网已经取得很大的发展,中国教育科研网投入运营,全国多所高校校园网络开通联网。 随着学校教育手段的现代化,很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展,校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一,此时,校园网上的应用系统就显得尤为重要。一方面,学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识,毫无疑问,这是学生综合素质中极为重要的一部分;另一方面,基于先进的网络平台和其上的应用系统,将极大的促进学校教育的现代化进程,实现高水平的教学和管理。 学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设,旨在推动学校信息化建设,其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络,最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统,并保证将来可扩展骨干网络节点互联带宽为10G,为用户提供高速接入网络,并实现网络远程教学、在线服务、教育资源共享等各种应用;利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面,更好的对众多网络使用及数据资源的安全控制,同时具有高性能,高效率,不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和管理。 二、综述 2.1 概述 从物理意义上来说,校园网就是一种局域网。校园网是各类型网络中一大分支,有着非常广泛的应用及代表性。作为新技术的发祥地,学校、尤其是高等院校,和网络的关系是密不可分的。作为“高新技术孵化器”的高校,是知识、人才的高地,资源十分丰富,比其他行业更渴求网络新技术、网络新应用,
实验6 特洛伊木马 6.1 实验类型 综合型,2学时 6.2 实验目的 理解木马工作的原理;掌握典型的木马清除方法。 6.3 实验要求与内容 (1)利用灰鸽子木马模拟木马的工作流程,要求能够完成以下任务: ●生成木马服务端,尽可能的生成能诱惑用户的服务端,比如修改安装路径, 修改图标,修改服务端名称,修改服务名称等。 ●控制对方电脑,要求能够浏览对方的文件,修改对方的注册表,终止对方的 进程,捕获对方的屏幕等操作 (2)清除木马,受害者根据灰鸽子木马的原理清除掉本机上的木马,包括程序,服务等 6.4 实验设备 ●两人合作完成,其中一人为控制端,另一人为服务器端 ●灰鸽子远程控制2007VIP疯狂魔鬼破解版 ●Windows XP Professional作为客户操作系统(Guest OS),要求关闭防火墙功能 6.5 相关知识 1.什么是木马(Trojan)? ?基于远程控制的黑客工具 ?恶意程序,非法获取授权权限,肆意篡改用户电脑中的文件,注册表,控制鼠标,截取用户信息 ?木马一般是C/S(客户/服务器)结构,控制程序处于客户端,被控制程序处于服务器端。 2.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。 配置程序 木马程序 控制程序
3.木马实施入侵的基本步骤 4.特洛伊木马具有如下特性: 隐蔽性,主要体现在意下几个方面: (1)启动的隐蔽性 (2)运行的隐蔽性 (3)通信的隐蔽性 开机自动运行 欺骗性,比如JPEG 木马 自动恢复,多重备份,相互恢复 非授权 5. 木马按照传输方式进行分类: 主动型 反弹端口型:木马服务器主动连接控制端端口,一般去连接80端口 嵌入式木马 6. 6.6 实验指导 特别注意:本次实验需要分析的病毒具有破坏性,仅限于信息安全实验室内使用。请严格遵守《信息安全实验室操作规程》,切勿拷贝、传播等,否则后果自负。 6.6.1 特洛伊木马的配置步骤 1)生成服务端 点击“配置服务程序”,在“IP 通知HTTP 地址”那一栏填入控制端的IP 地址(这里一定要填正确,否则木马不能上线,IP 地址是以10开头的),通过设置“安装选项”,“启动项设置”等可以构造出迷惑用户的木马服务端程序。 木马信息控制端Internet 服务端 ①配置木马②传播木马 ③运行木马④信息反馈⑤建立连接 ⑥远程控制