网络安全实验报告 冰河木马实验 网络10-2班 XXX 08103635 一、实验目的 通过学习冰河木马远程控制软件的使用,熟悉使用木马进行网络攻击的原理和方法。 二、实验内容 1、在计算机A上运行冰河木马客户端,学习其常用功能; 2、在局域网内另一台计算机B上种入冰河木马(服务器),用 计算机A控制计算机B; 3、打开杀毒软件查杀冰河木马; 4、再次在B上种入冰河木马,并手动删除冰河木马,修改注 册表和文件关联。 三、实验准备 1、在两台计算机上关闭杀毒软件; 2、下载冰河木马软件; 3、阅读冰河木马的关联文件。 四、实验要求 1、合理使用冰河木马,禁止恶意入侵他人电脑和网络; 2、了解冰河木马的主要功能; 3、记录实验步骤、实验现象、实验过程中出现的意外情况及
解决方法; 4、总结手动删除冰河木马的过程。 五、实验过程 作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。鉴于此,我们就选用冰河完成本次实验。 若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。 冰河控制工具中有三个文件:,,以及。 简单介绍冰河的使用。是监控端执行程序,可以用于监控远程计算机和配置服务器。是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件()的计算机可以对感染机进行远程控制。 冰河木马的使用: 1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。 6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)
简介 冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。 在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。目的:远程访问、控制。选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT 文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。 一、基础篇(揭开木马的神秘面纱) 无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机, G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
《网络安全与管理》 实训报告 指导老师: 班级: 学号: 姓名: 实训一、Windows口令安全与破译 Pwdump导出本地sam散列 实验目的 1.理解saminside破解本地sam散列的原理。 2.学习psaminside破解本地sam散列的过程。 实验原理 1.Windows hash由LM HASH&NT HASH组成。 2.LM HASH生成规则 系统中用户密码编码使用了OEM内码页,用户密码被限制为最多14个字符,不足14字节用0补全,并转换为大写。固定长度的密码分成两个7 byte部分,每部分在末尾加0,组成新的编码。以上步骤得到的两部分8byte组,分别作为DES key 进行加密。将加密后的两组进行拼接,就成了LM HASH值。 3.NT HASH生成规则
把明文口令从ASCII使用little-endian序转换成Unicode字符,对所获取的Unicode串进行标准MD4单向哈希,无论数据源长度多少字节,MD4固定产生128-bit的哈希值,就得到了NT HASH值。 实验步骤 1.打开开始菜单,找到运行输入“cmd”,找到pwdump工具,在cmd中输入pwddump 工具路径。如下图 2.继续在cmd中输入pwdump.exe ,如图进入pwdump界面。
3.然后再输入pwdump.exe --dump-hash-local,获得当前用户的SAM值。 4.右键标记,复制到文本中,保存到桌面上。 5.打开文件夹C:\实验工具集\02主机安全\02_windows口令安全与破解\第三节 saminside破解本地sam散列,打开SAMinside.exe
甘肃政法学院 本科学生实验报告 实验课程:安全扫描技术 实验名称:冰河木马的入侵和防御 计算机科学学院计算机科学与技术专业 09 级计算科学与技术本科班 学号:_ 姓名:_____ __ 指导教师:____李启南_ 成绩:_____________ 完成时间:2011年9月21日
一、实验名称 冰河木马的入侵和防御 二、实验目的 通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机,植入木马程序,控制远程主机。 通过入侵实验理解和账务木马的传播和运行机制,动手查杀木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 三、实验内容 安装、卸载、使用冰河木马。 四、实验原理 冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。冰河木马程序属于第二代木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制。 木马是隐藏在正常程序中的具有特殊功能的恶意代码,它可以自动启动并在某一端口监听来自控制端的控制信息。 一般木马都采用C/S运行模式,即分为两部分:客户端和服务端木马程序。当服务器端程序在目标计算机上执行后会打开一个默认端口监听,而客户端向服务器端秘密提出连接请求,获取服务器端的相关信息。 五、实验平台 冰河ROSE 版。 两台装有Windows 2000/XP/7系统的计算机,机房局域网。 六、实验步骤 1、在服务器端计算机上运行冰河服务器程序G_Server.exe。 2. 连接登陆远程主机。 在另一台计算机上打开冰河木马程序客户端,如图1所示。 图1 冰河木马程序客户端 选择“文件—>搜索计算机”,如图2所示设置起始域,起始地址和终止地址,
《网安全与防范》程准 络课标 (一)课程性质与任务 本课程是高职学段计算机网络技术专业的一门专业必修课程。其任务是培养学生能利用相应软件对网络进行安全性分析、测试、评价的能力,通过网络安全管理典型工作任务的分析,培养学生网络安全需求分析与规划设计、网络安全漏洞分析与处理、网络攻击、网络安全产品的使用与部署、根据网络安全相关法规应急处理基本的信息安全事件等专业能力,并逐步具备针对企业新的网络安全需求对企业网络安全策略进行改进、改造或重新设计的能力,以及资料收集整理、制定实施工作计划、分析检查判断、沟通协调、安全与自我保护等综合素质和能力,并树立良好的法律意识、职业道德与责任心。 (二)课程教学目标 1.知识目标 (1)能够掌握漏洞扫描、防御缓冲区溢出、恶意代码的攻击、密码破解等工作原理 及工具软件的使用,并通过相应工具软件发现主机系统安全漏洞,客观评价网络 风险等级,更正主机系统安全漏洞与错误配置,防范黑客对主机系统的攻击; (2)能够熟练Windows操作系统,配置用户访问权限与磁盘访问权限、注册表安全、 账户安全策略及审核策略等;具有破解Windows系统账号密码及防范密码本地、 远程破解的能力; (3)理解各种加密算法的加密与解密过程,掌握通过加密/解密软件完成文件的加密 与解密;能够对保护的数据文件在网络传输过程中,保证其机密性(不被其他人 看到)、完整性(不被修改或破坏)、不可抵赖性(认证发送此文件的人); (4)了解网络监听的工作原理,掌握使用网络监听工具来监控网络流量、捕获数据、 监视网络运行状况等的方法; (5)理解局域网中MAC地址攻击、ARP欺骗、DHCP监听的工作原理及带来的网 络危害,并掌握相应的防范措施及故障处理方法;掌握通过AAA认证、802.1x认 证等技术加强局域网接入安全。 (6)掌握防火墙的工作原理、防火墙的部署方式、防火墙的配置;掌握使用VPN 技术解决远程接入安全的访问控制,并具备VPN的安装与部署能力; 2.能力目标 (1)具备网络安全需求分析、网络安全管理的能力; (2)具备网络安全规划设计能力,包括分析项目总体方案、网络安全规划、网络安 全解决方案设计等;
版本:GLACIERXP-VER08-40-0628-BETA1 ICETEAM 倾情制作,请合法使用,谢谢! “冰河”[NEWFUN 专版] 使用说明 软件功能概述: 该软件主要用于远程监控,具体功能包括: 1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同 步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝 大多数在对话框中出现过的口令信息,且1.2以上的版本中允许用户对该功能自 行扩充,2.0以上版本还同时提供了击键记录功能; 3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作 系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据; 4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统 热键及锁定注册表等多项功能限制; 5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件 压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正 常方式、最大化、最小化和隐藏方式)等多项文件操作功能; 6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写 等所有注册表操作功能; 7.发送信息:以四种常用图标向被控端发送简短信息; 8.点对点通讯:以聊天室形式同被控端进行在线交谈。 本次改版主要是修正了以往各版中的已知问题(如'屏幕控制'和'邮件通知' 中的一些BUG),并增加了一些小功能,该版本在Windows 9X/NT下测试正常,且与2.0以后版本完全兼容。 一.文件列表: 1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装,可任意改 名),在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特 殊配置,例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等);
第6章特洛伊木马 6.7 实验 6.7.1 远程控制型木马的使用 1. 实验目的 熟悉利用远程控制型木马进行网络入侵的基本步骤,分析冰河木马的工作原理,掌握常见木马的清除方法,学会使用冰河陷阱。 2. 实验内容与要求 (1) 实验按2人一组方式组织,各自实验主机作为对方的控制目标。 (1) 使用冰河客户端G_Client.exe对冰河服务器程序G_Server.exe进行配置,然后感染局域网中的某台主机。 (3) 在感染冰河木马的主机上进行检查,判断对木马的配置是否生效;主要检查项包括:木马的监听端口是否为所设置的端口;木马的安装路径是否为所设置的路径;木马进程在进程列表中所显示的名称是否与设置相符;如果为木马设置了访问口令,是否必须通过设定的口令才能够对木马实施远程控制。 (4) 在感染主机上验证冰河的文件关联功能,将木马主程序删除,打开关联的文件类型,查看木马主程序是否会被恢复。 (5) 使用冰河客户端对感染冰河的主机实施远程控制,在感染主机上执行限制系统功能(如远程关机、远程重启计算机、锁定鼠标、锁定系统热键、锁定注册表等)、远程文件操作(创建、上传、下载、复制、删除文件或目录)以及注册表操作(对主键的浏览、增删、复制、重命名和对键值的读写操作等)。 (6)采用手工方法删除冰河木马,主要步骤包括:①检查系统文件,删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。②如果冰河木马启用开机自启动,那么会在注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Run中扎根。检查该注册表项,如果服务器程序的名称为KERNEL32.EXE,则存在键值C:/windows/system/Kernel32.exe,删除该键值。③检查注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices,如果存在键值C:/windows/system/Kernel32.exe的,也要删除。④如果木马设置了与文件相关联,例如与文本文件相关联,需要修改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command 下的默认值,由感染木马后的值:C: /windows/system/Sysexplr.exe %1改为正常情况下的值:C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。完成以上步骤后,依据端口和进程判断木马是否清除。 (7) 使用冰河陷阱清除冰河木马,在此基础上,利用冰河陷阱的伪装功能来诱捕入侵者。运行冰河陷阱后,使主机系统完全模拟真正的冰河服务器程序对攻击者的控制命令进行响应,使攻击者认为感染机器仍处于他的控制之下,进而观察攻击者在主机上所进行的攻击操作。 3. 实验环境 (1) 实验室环境,所有主机需禁用杀毒软件。 (2) 冰河木马客户端程序G_Client.exe,冰河木马服务器程序G_Server.exe,冰河陷阱。 6.7.2 编程实现键盘记录功能 1. 实验目的 掌握木马的键盘记录功能的编程实现技术。 2. 实验内容与要求 (1) 调试6.2.6节给出的keylogger.py程序。
关于网络攻击与防御技术实验教程 最近有网友想了解下《网络攻击与防御技术实验教程》张玉清写的这本书,所以小编就整理了相关资料分享给大家,具体内容如下.希望大家参考参考!!! 《网络攻击与防御技术实验教程》 《网络攻击与防御技术实验教程》内容简介 网络攻击与防御技术是网络安全的核心和焦点,也是确保网络安全实际动手能力的综合体现。全书共分11章,第1章介绍如何进行系统安全配置并搭建一个用于网络攻防实验的虚拟机,在接下来的各章中,在回顾理论知识的同时,结合动手实验介绍网络典型攻防技术,这些网络典型攻防技术包括扫描技术、网络监听及防御技术、口令攻击、欺骗攻击及防御、拒绝服务攻击与防范、缓冲区溢出攻击及防御、Web攻击及防范、木马攻击及防御、病毒与蠕虫攻击及防御和典型网络攻击防御技术。通过这种理论与实践相结合的网络攻防技术的学习,读者会对网络攻击与防御技术有更直观和深刻的理解。 书中各章内容安排方式为:理论知识回顾、基本实验指导
和巩固提高型实验。 本书可以作为信息安全、计算机、通信等相关专业研究生、本科生的教材,也可供从事网络安全研发的工程技术人员和热衷网络攻防技术的读者参考。 《网络攻击与防御技术实验教程》前言/序言 “知彼知己,百战不殆。" --孙子兵法网络安全已成为人们在信息空间中生存与发展的重要保证条件,与国家的政治安全、经济安全、军事安全、社会稳定以及人们的日常生活密切相关。由于兴趣爱好和经济利益的驱使,黑客攻击事件层出不穷。公司和国家只有积极防御,才能在攻击环境下生存。 攻击与防御是一对相互制约和相互发展的网络安全技术。 本实验教程的目标是帮助安全人员理解黑客的攻击方法和步骤,事实一次又一次地证明,理解敌人的策略、技巧和工具对保护自己是多么的重要。同时,本教程还让安全人员了解能采取哪些策略来防范各类攻击。
本科实验课程报告 (2016至2017学年第1学期) 课程名称:网络信息安全 专业名称: 行政班级: 学号: 姓名: 指导教师:赵学民 报告时间:年月日
实验一:分组密码-DES实验 实验地点:实验日期:成绩: 1、实验目的 通过用DES算法对实际的数据进行加密和解密来深刻了解DES的运行原理2、实验要求 编程实现DES密码。 3、实验原理 DES对64(bit)位的明文分组M进行操作,M经过一个初始置换IP置换成m0,将m0明文分成左半部分和右半部分m0=(L0,R0),各32位长。然后进行16 轮完全相同的运算,这些运算被称为函数f,在运算过程中数据与密匙结合。经过16轮后,左,右半部分合在一起经过一个末置换 DES算法框图 4、实验步骤 1、打开控制台,进入L001001013xp01_1虚拟环境。
2、使用默认用户名administrator,密码:123456登录到windows xp系统。 3.桌面找到Visual C++ 6.0双击打开 4.点击“文件”——“新建” 5.创建一个win32控制台工程,工程名称和位置自定。 6.左侧工作区,选择“FileView”选项卡。
7.右键工程文件名称,选择“添加文件到工程”。可到d:\tools\51elab1007B\des 中找到相关代码(G_des.c,test.cpp,des.h)。 8.根据原理编写程序,并编译运行(依次点击下图左起三个显性按钮进行编译、建立、运行)。 7、依次按要求输入qwqw、wq、回车、qw,对实验进行验证。 5、实验结果及总结
实验二:文件加解密实验 实验地点:实验日期:成绩: 1、实验目的 熟悉用对称加密的方法加密和解密,学会使用工具OpenSSL,熟悉利用RSA非对称密钥对文件进行加密与解密。 2、实验要求 使用工具OpenSSL,熟悉利用RSA非对称密钥对文件进行加密与解密。 3、实验原理 对称加密原理 对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 RSA非对称加解密算法原理。 RSA密码体制描述: (1).密钥的生成 选择p,q,p,q为两个大的互异素数,计算n=p*q, j(n)=(p-1)(q-1), 选择整数e使gcd(j(n),e)=1,(1 “冰河”木马的攻击与防范 林楚金班级(YL03) 0930103238 前言 随着网络的日益发展,通过网络攻击的手段也变得复杂多样,有组织,有预谋,有目的的攻击,破坏活动也频繁的发生,攻击点也越来越精确集中,攻击破坏的影响面不断扩大,甚至产生连锁反应,所以,我们必须要构筑一种主动的安全防御,才有可能最大限度地有效应对各种不同的攻击方式。接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。在此之前,先简单的介绍一下什么是特洛伊木马…… 目录 一、什么是木马 (3) 二、“冰河”木马的简介 (6) 三、“冰河”木马工作原理 (7) 四、“冰河”木马工作过程或步骤流程 (8) 五、“冰河”木马功能或后果 (17) 六、“冰河”木马防范手段与措施 (18) 什么是木马 1、木马的基础 特洛伊木马(TrojanHorse)简称“木马”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。 在计算机领域中,木马其实就是类恶意程序。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,病毒是一自我复制为明确目的的编写代码,它附着宿主程序,然后试图在计算机之间传播,会对硬件、软件和信息造成破坏。而“木马”不会自我繁殖,也不会刻意的去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被施种者电脑的门户,使施种者可以任意损坏、窃取被施种者的文件,甚至远程控制被施种者的电脑。“木马”与常用的远程控制软件不同,远程控制软件是善意的控制,不具有隐蔽性;“木马”正好相反,它是以“偷窃”为目的的远程控制,具有很强的隐蔽性。 一个完整的“木马”程序包括“服务器”和“控制器”两部分。被施种者的电脑是“服务器”部分,而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使施种者可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 2、木马的特性和功能 木马一般具有以下几个特性: ●伪装性(木马程序善于改头换面) ●潜伏性(等控制端的信号) ●隐蔽性(一般人不易发觉) ●不易删除(深藏于各个系统文件中) 网络安全课程设计报告 题目:冰河木马 专业物联网工程 学号 13002724 姓名赵鹏 指导教师孟超 日期 2015-10-22 评 分分 细 评分项优秀良好中等差遵守机房规章制度 实验原理分析与设计 课题功能实现情况 设计验收与答辩 课程设计报告书 写 简 短 评 语 教师签名: 年月日评 分 等 级 备 注 一、实验目的 (1)构建一个安装冰河木马服务器端程序的环境,利用客服端对服务器进行入侵或攻击; (2)利用网络安全工具或设备对入侵与攻击进行检测 二、实验要求 键盘记录, 定时把邮件内容成功发送到某邮箱中, 关闭某些防火墙和杀毒软件,开机自动隐藏运行, 开启2233端口取得CMD权限,实现对目标机器的文件操作, 开启3389端口,并替换系统目录下的sethc.exe为cmd.exe, 实现登录不要密码, 添加管理员等功能 三、实验过程 (1)攻击,入侵目标主机首先运行G_Client.exe,扫描主机。查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“10.100.122.1”至“10.100.122.255”网段的计算机,应将“起始域”设为“10.100.122.1”,将“起始地址”和“终止地址”分别设为“1”和“255”然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。选择可以入侵的主机。 (2)击键记录 选择目标主机后,点击命令控制台下击键记录,可以对目标主的键盘使用记录实现监控 (3)并定时把邮件内容成功发送到某邮箱中 (4)关闭防火墙和杀毒软件, (5)开机自动隐藏运行, 入 侵 检 测 试 验 实验名称:_ 冰河木马的使用 1.实验目的 本次实验学习冰河木马远程控制软件的使用,通过实验可以了解木马和计算机病毒的区别,熟悉使用木马进行网络攻击的原理和方法。 2.实验原理 木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。木马与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是善意的控制,因此通常不具有隐蔽性;木马则完全相反,木马要达到的是偷窃性的远程控制。 它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是服务器部分,而黑客正是利用控制器进入运行了服务器的电脑。运行了木马程序的服务器以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。 3.实验环境 装有Windows 2000/XP系统的计算机,局域网或Internet,冰河木马软件(服务器和客户端)。 4. 实验步骤 (一)、解压冰河木马,得到两个文件,其中G_Server.exe为服务器端程序,放在被攻击的主机上,g_client.exe为客户端软件,用于操作目标主机: 新疆师范大学 计算机网络安全(本科) 实验报告 实验名称:实验6 网络攻击实验 院系:计算机科学技术学院 班级: 2011-01班 学生姓名:木拉提·巴力 学号: 20111601141025 合作者姓名:米热古丽·塔力浦 指导教师:赵新元老师 教师评阅结果: 教师评语: 实验日期年月日 一、实验目的 1、了解Unicode漏洞及相应的攻击原理。 2、掌握利用Unicode漏洞进行攻击; 3、掌握基本的网络后门与网络隐身的基本方法 4、了解冰河木马 二、实验内容 1、使用各类工具软件来入侵目标主机。 2、利用各种方法来实现网络后门与网络隐身。 3、使用冰河木马控制目标机 三、实验原理 1. 请简要介绍冰河木马的工作原理。 网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client 是客户端应用程序。 四、实验步骤 用ipconfig命令显示真实主机的IP地址信息,截图。 2、配置Windows2000虚拟机,选择网络模式为“HOST-ONLY”方式。设置虚拟机的IP地址信息如下 请在这里截图显示你的虚拟机网络配置界面。 用ipconfig命令显示虚拟机的IP地址信息,截图。 设置结果。 4、请以真实机Windows 2003为攻击者机器,并利用第五章及第六章相关工具来按以下要求攻击Windows 2000虚拟机,要求如下: (1)开启被攻击者Windows 2000系统的WEB服务和Telnet服务,要求该服务能够自启动(2)开启被攻击者的远程桌面服务 (3)获取被攻击者Windows 2000系统的管理员帐号及密码 (4)记录被攻击者修改管理员密码的动作 (5)在目标主机上将Guest设置为具有管理员权限,但保持禁用 (6)清除目标主机IIS日志及主机日志 请根据第五章及第六章的相关内容写出你实施攻击的方法及步骤。 (1)开启被攻击者Windows 2000系统的WEB服务和Telnet服务,要求该服务能够自启动1.远程启动Telnet服务。 2.在运行窗口中输入tlntadmn.exe命令启动本地Telnet服务。 木马和冰河的使用!【教程】 木马 大家对他的名字很熟悉吧??是啊木马作为一个远程控制的软件已经深入人心,木马是 什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这 个工具作一个简单的介绍: 黑客程序里的特洛伊木马有以下的特点: (1)主程序有两个,一个是服务端,另一个是控制端。(如果你下载了,请千万不要 用鼠标双击服务器端) (2)服务端需要在主机(被你控制的电脑)执行。 (3)一般特洛伊木马程序都是隐蔽的进程。(需要专业的软件来查杀,也有不用软件 查杀的办法,我会介绍) (4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在 接受命令后,会执行相应的任务。 (5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等) 眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病 毒的性质。(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是 一种使用简单但是危害比较大的软件) 木马的发展: 第一代木马:控制端-- 连接-- 服务端 特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。 典型木马:冰河,NetSpy,back orifice(简称:BO)等。 第二代木马:服务端-- 连接-- 控制端 特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。 典型木马:网络神偷,广外女生等。(反弹端口型木马) 第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监控(像金山,天网等) 随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半 病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你 打开这个文件,你就肯定会被中上木马,甚至可以在网络上通过下载来传播)所以查杀 木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在网络上进行升级 的并不多,所以木马还是很有使用空间的。下面,我们将介绍一款国产的木马------- 冰河。 需要工具:冰河(随便你找什么版本,因为界面根本就差不多) Superscan3.0 中文汉化版(上黑白搜索一下可以找到) 首先最重要的一步-------工具接压缩(啊~~我知道是废话。。大家多多包涵嘛。。不 要打拉) 然后运行Superscan3.0(就是那连着的两个电脑图标) 出现界面在IP表里面有两个选项 起始IP: 终止IP: 随便填上两个IP地址(最好是C类IP范围从192.0.0.0--223.255.255.255) 实验报告 实验名称网络攻防综合实验指导教师李曙红 实验类型设计实验学时 2 实验时间2016.06.29 一、实验目的 1. 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容: (1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击; (2) 利用网络安全工具或设备对入侵与攻击进行检测; (3) 能有效的对漏洞进行修补,提高系统的安全性,避免同种攻击的威胁。 2 网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面,对学生的综合实验能力进行考核与评分,具体评分标准参考“评分标准”文档。 二、实验要求 1.2人一组,要求每人分工不同,例如一人负责网络攻击,一个负责网络防范。在实验过程和实验报告中要 体现两人的不同分工。 2.每组独立设计完成实验,不能雷同。 3.实验过程中以下三个阶段需上机演示给指导老师察看:完成网络攻击、检测到攻击、完成网络防范。 4.完成实验报告,能解释在实验使用到的技术或工具的基本原理。 三、实验环境 可以自由使用信息安全实验室的PC机,局域网,Linux服务器,Windows 服务器,防火墙,入侵检测系统等。 四、实验设计方案、实验过程及实验结果 作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。鉴于此,我们就选用冰河完成本次实验。 若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。 冰河控制工具中有三个文件:Readme.txt,G_Client.exe,以及G_Server.exe。 Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。 冰河木马的使用: 1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。 6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。 7、发送信息:以四种常用图标向被控端发送简短信息。 8、点对点通讯:以聊天室形式同被控端进行在线交谈等。 实验过程: 一、攻击 1、入侵目标主机 首先运行G_Client.exe,扫描主机。 查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“10.1.13.1”至“10.1.13..255”网段的计算机,应将“起始域”设为“192.168.1”,将“起始地址”和“终止地址”分别设为“1”和“255”(由于我们是在宿舍做的,IP地址在100~120之间),然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。 一、SuperScan功能介绍 SuperScan具有以下功能: 1)通过Ping来检验IP是否在线; 2) IP和域名相互转换; 3)检验目标计算机提供的服务类别; 4)检验一定范围目标计算机的是否在线和端口情况; 5)工具自定义列表检验目标计算机是否在线和端口情况; 6)自定义要检验的端口,并可以保存为端口列表文件; 7)软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表,更多的木马列表可以参考以下网址: https://www.doczj.com/doc/2018294258.html,/20011017/201151.shtml 我们可以看出,这款软件几乎将与IP扫描有关的所有功能全部做到了,而且,每一个功能都很专业。 二、下载安装 SuperScan的最新版本可以在以下网址下载: https://www.doczj.com/doc/2018294258.html,/home2/efocus/aqgj-index.htm 直接解压就可以使用,没有安装程序,是一款绿色软件。 三、软件具体使用 在使用软件之前,我们先来看看软件的全貌(图一) 图一 界面比较复杂,我们根据共享功能来介绍使用。 一)域名(主机名)和IP相互转换 这个功能的作用就是取得域名比如:https://www.doczj.com/doc/2018294258.html,的IP;或者根据IP: 202.106.185.77取得域名。 在SuperScan里面,有两种方法来实现此功能: (1)通过Hostname Lookup来实现(如图二) 图二 在Hostname Lookup的输入框输入需要转换的域名或者IP,按【LookUp】就可以取得结果。如果需要取得自己计算机的IP,可以点击【Me】按钮来取得;同时,也可以取得自己计算机的IP设置情况,点击【InterFaces】取得本地IP 设置情况(图三)。 冰河木马的使用 实验目的: 1.掌握冰河木马的具体功能 2.熟悉冰河木马的使用操作 3.懂得冰河木马的清除方法 实验原理: 1.基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe 是守护进程, G_client是客户端应用程序。 2.程序实现: 在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件): 服务端: G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值) G_Server.Listen(等待连接) 客户端: G_Client.RemoteHost=ServerIP(设远端地址为服务器地址) G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦) (在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配) G_Client.Connect (调用Winsock控件的连接方法) 一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接 Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestID End Sub 客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现) 如果客户断开连接,则关闭连接并重新监听端口 Private Sub G_Server_Close() G_Server.Close (关闭连接) G_Server.Listen (再次监听) End Sub 其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......实验步骤: 1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,填上我们搜索到的IP地址。 本文由WELCXX贡献 网络刺客II(英文名: NetHackerII)是天行出品的专门为安全人士设计的中文网络安全检测软件,它的功能强大,拥有网络嗅探器(Sniffer)、因特网共享资源扫描(Share Scan)、在线弱口令检测(Password Check)和网络工具(Network Tools 等四大功能模块。利用它提供的强大功能来查找可以入侵的主机很容易。 先来看看共享主机的查找。运行网络刺客II,出现如下界面: 图1 选择“主机资源”->“搜索共享资源”,在弹出的“搜索因特网共享资源”对话框,填入起始地址和结束地址,比如,起始地址填入203.172.11.0,结束地址填入203.172.11.225,点击“开始搜索” , 如果你的机子性能不大好,这时就可以趁机打上一路太极拳,活动活动筋骨,几分钟后,回来看看,在“网络刺客II”左下角的的主机资源框中将会出现一批主机(如): 图3 任选一台机子,比如“203.172.11.67”,选中后单击右键,在弹出的菜单中选定“映射成网络硬盘”,如果网络刺客右下角的信息提示框告诉你映射失败,你还可以在右键菜单中使用“刷新共享资源”再试。如果显示类似“203.172.11.67 发现共享资源”这样的信息,则再点击工具栏上的“映射指定网络硬盘” ,用你机 器上的多余盘符来映射共享的文件夹。在“路径”中输入“3.172.11.67\MY DOCUMENTS”,如果没出现错误提示框,那就是成功了!马上打开你的资源管理器,哈哈,是不是多了一个网络盘,快看看,哇!一览无余。如果此文件夹被设为只读,那就只能偷看一番了;如果是完全共享,那你就可以为所欲为了!下载、上传、移动、删除、改名……。 图4 不过一般情况下是需访问密码的,这也好办,网络刺客II 专门准备了“猜解大师”来应付这种情况!点击菜单条上的“猜解机->共享资源猜解机”,出现“猜解大师”对话框。在“目标地址”栏中输入加密文件夹,如“3.172.11.67\OFFICE”,网络协议选“SMB(共享资源)”, 接着配置字典文件,单击“字典设置”,出现“字典设 置”对话框,配置完毕后回到“猜解大师”,单击“开始猜解”。如果对方的共享资源密码不太复杂的话,一般几分钟就搞定了。浅析冰河木马
冰河木马实验报告13002724
冰河木马的使用
实验6 网络攻击实验
木马和冰河的使用!【教程】
冰河木马实验报告详解
superscan使用教程
冰河木马的使用
网络刺客II使用方法
相关主题
文本预览