灰鸽子木马利用与防护(SEC-W06-001.1)
木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。本案例以国内著名的灰鸽子木马为例讲述木马的使用和防御。
实验目的
●了解木马病毒对终端主机的安全威胁,以及木马病毒如何对主机进行攻击。
实验准备
●准备两台电脑,一台为服务器(win2003)和一台为winxp电脑:
Win2003 服务器的设置:
1.设置IP地址为192.168.25.77
2.右击我的电脑,选择管理,选择本地用户和组---用户---administrator,设置其密码为demo 3.右击我的电脑,选择属性---远程选项卡,勾选远程桌面下的允许用户远程连接到这台计算机。(开启了3389端口,通过netstat –an 可以查看)
客户机(win xp):设置其IP地址为192.168.25.78
●请下载灰鸽子木马程序(本案例使用的是灰鸽子牵手版)到个人PC(winxp电脑)上。(把
木马程序放在winxp电脑上)如图1
如图1
●在个人PC上运行远程桌面客户端程序mstsc.exe,输入服务器IP地址192.168.25.77,
点击―连接‖,登录时用户名为―administrator‖,密码为―demo‖。如图2
图2
●登入远程虚拟平台之后,在服务器上建立―新建文件夹‖,重命名为―share‖,然后右击文
件夹,选择―属性‖,在―共享‖栏中,选择―共享该文件夹‖ 。如图3
图3
为了通过网络共享从本地拷贝文件到虚拟平台,确认控制权限为―完全控制‖。如图4
图4
以上操作的目的是,为了以后把winxp上生成的服务端程序拷贝到服务器的共享文件夹share 中。
实验步骤
下载使用灰鸽子木马
步骤说明:
下载和使用灰鸽子木马
1.在winxp电脑上,打开已经下载好的灰鸽子木马所在的文件夹qs2004,双击里面的灰鸽子客户端H_client(本案例中如果碰到灰鸽子客户端无法打开的情形,请从―灰鸽子_牵手.zip‖重新解压生成一个新的客户端程序再执行)。
2.―文件‖--―配置服务程序‖或直接从F12进入服务器端配置,如:图5
图5
3.进行相应的设置后,点击―生成服务器‖。如:图6
图6
4.通过Windows 网络共享的方式,将winxp上生成出来的服务端程序拷贝到win2003服务器的文件夹share中,访问共享的用户名和密码仍然是―administrator‖ 和―demo‖ 。(在xp电脑上的开始—运行,输入\\192.168.2
5.77,输入用户名―administrator‖和密码―demo‖,双击共享文件夹share,然后把winxp上的灰鸽子木马所在的文件夹qs2004中的那个生成的服务端程序setup.exe拷贝到该目录中)如图7
图7
5.再次通过使用远程桌面登录到win2003服务器上,双击运行那个共享文件夹share里的服务端程序。如:图8
图8
6.关闭远程桌面,个人PC端(winxp)使用灰鸽子木马所在的文件夹qs2004下的客户端灰鸽子程序h_client,点击―增加主机‖,添加服务端目标IP(192.168.25.77)。如:图9
图9
7.可进行一系列操作,如查看对方系统信息,下载对方文件到本地等。如:图10和图11
图10
图11
解决方案
1.临时解决方案:使用系统自带的防火墙处阻止该进程。
图12
2.更新您的杀毒软件查杀病毒或者从官方下载有效的灰鸽子专杀工具。
图13
图14
实 验 报 告 实验名称灰鸽子木马实验报告 课程名称网络安全 院系部:信息技术系专业班级:网络101 学生姓名:学号:20100901099
一、实验目的及要求: [目的] 1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。 [内容及要求] 1、练习软件的哪些功能,自己总结 2、通过实验了解灰鸽子是一款的远程控制软件。 3、熟悉使用木马进行网络攻击的原理和方法。 [试验环境] 虚拟机下安装组建一个局域网,2台安装了win2000/win2003/XP系统的电脑,灰鸽子木马软件。 二、实验方法与步骤: (1)打开虚拟机,开启windows server 2003 A 与 windows server 2003 B ,将其网络设备器设置在同一局域网内(例vmnet2)
(2)打开灰鸽子,并查看本机IP地址: (3)点击配置服务程序,新建一个木马病毒:
密码可设置也可不设置 (3)将生产的木马病毒设法放入目标主机,并使其运行: (原始木马样子) (4)目标主机运行后,本机灰鸽子显示其登录: 我们可对目标及进行,下载上传等基本运行 (5)还可以进行更深层次的控制,例如屏幕捕捉与控制,广播,关机开机,注册表的编辑等(看红框标识处):
(6)灰鸽子木马的伪装,木马捆绑器: 现今社会杀毒软件的辨识度已然很高,而人们的警惕度也越来越 高,木马若想成功的被目标主机运行,必然要做一定的伪装
生成一个可执行文件,虽然风险乜很高,但不失为一种方法! (6)木马分离器: 三、使用心得 (1)熟悉灰鸽子之后,我们了解了木马的强大以及危害之处,如何防范木马,是当今信息社会的一种不可不重视的问题。 计算机病毒泛滥尤以木马病毒为甚。木马病毒是一种远程控制程 序,“黑客”利用计算机系统和软件的漏洞将一段程序植入远端电脑后,可以借助其配套的控制程序来远程控制中毒
网络安全实验报告 冰河木马实验 网络10-2班 XXX 08103635 一、实验目的 通过学习冰河木马远程控制软件的使用,熟悉使用木马进行网络攻击的原理和方法。 二、实验内容 1、在计算机A上运行冰河木马客户端,学习其常用功能; 2、在局域网内另一台计算机B上种入冰河木马(服务器),用 计算机A控制计算机B; 3、打开杀毒软件查杀冰河木马; 4、再次在B上种入冰河木马,并手动删除冰河木马,修改注 册表和文件关联。 三、实验准备 1、在两台计算机上关闭杀毒软件; 2、下载冰河木马软件; 3、阅读冰河木马的关联文件。 四、实验要求 1、合理使用冰河木马,禁止恶意入侵他人电脑和网络; 2、了解冰河木马的主要功能; 3、记录实验步骤、实验现象、实验过程中出现的意外情况及
解决方法; 4、总结手动删除冰河木马的过程。 五、实验过程 作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。鉴于此,我们就选用冰河完成本次实验。 若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。 冰河控制工具中有三个文件:,,以及。 简单介绍冰河的使用。是监控端执行程序,可以用于监控远程计算机和配置服务器。是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件()的计算机可以对感染机进行远程控制。 冰河木马的使用: 1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。 6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
我的空间为企业和个人用户提供免费自助建站服务,当然免费服务是有不少限制的 FreeW eb免费100M主页空间,号称无限流量、每天备份,web方式上传管理文件,无广告。 我家在线免费https://www.doczj.com/doc/b6385698.html,二级域名,支持转发、IP/别名解析、动态解析;50M免费虚拟主机空间,ftp上传管理文件,支持php,并提供10M的MySQL空间,有广告。 爱迪免费个人主页空间,可以使用他们的模版,也可以自己上传页面,总共仅有10M空间,还提供免费论坛、日记本、相册等免费服务。 久留一会免费ASP空间,1000M容量,但对上传文件限制较严,且文件仅保存1、2个月,无广告。申请有数量限制,每隔一个小时才有N个申请机会,比较麻烦。 4000Web免费4000M主页空间,每月8000M流量限制、每天500M流量限制,ftp、web方式上传管理文件,支持php、mysql,无广告。 赛腾网免费自助建站,150M存储空间,需要下载一个将近167M的软件来使用,但功能确实很强大,无广告。 FSDesigner免费自助建站,只需选择模板进行内容修改设计就能生成漂亮的网 站,直接把页面通过ftp传送到你的空间,很方便,支持中文。 9999mb为您提供10G免费主页空间,每月100G流量限制,可以绑定顶级域名,还有流量统计功能,ftp、web方式上传管理文件,支持php、mysql,有广告。 RedRival免费2M主页空间,ftp方式上传管理文件,支持php5,有广告。中国学生网为您提供50M免费主页空间,ftp方式上传管理文件,单个文件不超过3M,无广告。 YFWebSpace为您提供400M免费主页空间,无限流量,ftp、web方式上传管理文件,无广告。 IGotFree 为您提供无限容量免费主页空间,并且不限制流量,web方式上传管理文件,支持php、mysql,速度比较慢,无广告。 MyJavaS erver为您提供5M免费主页空间,ftp方式上传管理文件,支持JSP应用,主要是面向JSP编程爱好者提供空间,申请的时候要完成一道题目才行。
灰鸽子”网页木马从原理、制作到防范 如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么? 因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马 的攻击原理说起。 一、网页木马的攻击原理 首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。 有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞 来分别说明这两个问题。 ⒈自动下载程序 小提示:代码说明 a. 代码中“src”的属性为程序的网络地址,本例中“https://www.doczj.com/doc/b6385698.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe 改为bat或com,这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的
甘肃政法学院 本科学生实验报告 实验课程:安全扫描技术 实验名称:冰河木马的入侵和防御 计算机科学学院计算机科学与技术专业 09 级计算科学与技术本科班 学号:_ 姓名:_____ __ 指导教师:____李启南_ 成绩:_____________ 完成时间:2011年9月21日
一、实验名称 冰河木马的入侵和防御 二、实验目的 通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机,植入木马程序,控制远程主机。 通过入侵实验理解和账务木马的传播和运行机制,动手查杀木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 三、实验内容 安装、卸载、使用冰河木马。 四、实验原理 冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。冰河木马程序属于第二代木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制。 木马是隐藏在正常程序中的具有特殊功能的恶意代码,它可以自动启动并在某一端口监听来自控制端的控制信息。 一般木马都采用C/S运行模式,即分为两部分:客户端和服务端木马程序。当服务器端程序在目标计算机上执行后会打开一个默认端口监听,而客户端向服务器端秘密提出连接请求,获取服务器端的相关信息。 五、实验平台 冰河ROSE 版。 两台装有Windows 2000/XP/7系统的计算机,机房局域网。 六、实验步骤 1、在服务器端计算机上运行冰河服务器程序G_Server.exe。 2. 连接登陆远程主机。 在另一台计算机上打开冰河木马程序客户端,如图1所示。 图1 冰河木马程序客户端 选择“文件—>搜索计算机”,如图2所示设置起始域,起始地址和终止地址,
“灰鸽子”攻击原理以及制作和清理 院别计算机科学与通信工程学院专业计算机科学与技术 班级学号4090511 姓名唐盼 指导教师曲荣欣 成绩 2012年 6 月7 日
“灰鸽子”攻击原理以及制作和清理 一.灰鸽子简介: “灰鸽子”是一种远程控制软件. 最早出现的时候是在模仿前辈“冰河”。“灰鸽子”在2001年出现的,采用Delphi编写,最早并未以成品方式发布,更多的是以技术研究的姿态,采用了源码共享的方式出现在互联网,导致”灰鸽子”迅速发展起来.并且出现了多种不同的版本. “灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。由于服务端都以隐藏方式启动,就奠定了其恶意后门木马的地位. 而我个人就是高中时候,在”灰鸽子”最盛行和风靡的时候,开始认识”灰鸽子”和关注网络安全这个话题.这也是我最早认识和接触到一种黑客软件.在伴随着”灰鸽子”的盛行发展的同时,自己的对网络互联网安全问题的兴趣也随着同步提高.在有关黑客攻击和防范领域过程中享受这种成就感.但是对于”灰鸽子”的了解大多都是来自于<<电脑报>>,<<电脑爱好者>>这些杂志.没有深入了学习.但是”灰鸽子”这个概念却深入脑海.一直伴随我成长到如今.如今虽然”灰鸽子”已经不再流行,但是这个在我心底有着深刻影响的软件,已然成了一个黑客软件的代名词. 二,灰鸽子基本原理: “灰鸽子”客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。 客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
木马捆绑与隐藏 12.2.1背景描述 木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email或MSN等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。 12.2.2工作原理 1.木马捆绑 木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。 木马捆绑的手段归纳起来共有四种: (1)利用捆绑机软件和文件合并软件捆绑木马; (2)利用WINRAR、WINZIP等软件制作自解压捆绑木马; (3)利用软件打包软件制作捆绑木马; (4)利用多媒体影音文件传播。 2.木马隐藏 隐藏是一切恶意程序生存之本。以下是木马的几种隐藏手段: (1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。 (2)伪装成图像文件:即将木马图标修改成图像文件图标。
灰鸽子[VIP 专业版] 1.只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以 上的端口来完成! 2.支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读 取系统设定的代理服务器信息,无需用户设置! 3.无需知道服务端IP,自动上线功能让服务端自动上线报道!灰鸽子专用的 上线系统无需您注册免费域名才能使用,同时也提供了备用上线方式,在我们的专 用上线系统出现故障时,您可以使用备用上线方式来使用自动上线功能。在使用 专用上线系统时,你还可以控制远程电脑通过Socks5代理来中转自动上线。 4.自动上线可以在第一次设置分组,自定义上线图像,上线备注等,这样都 可以让你轻而易举的找到目标主机,同时设置连接密码保证了服务主机的安全性 !同时具用牵手版的搜索符合条件主机的功能: a.从主机窗口筛选:可以列出只有某个窗口的一批主机,可以轻松找到哪些人 在玩某个游戏! b.从主机进程筛选:可以列出运行了某个程序的一批主机,例如QQ.exe,就可 以找到打开了QQ的自动上线主机有哪些了! 5.文件管理:管理远程电脑的文件系统,支持复制、粘贴、删除,断点下载、 上传文件或文件夹,文件内容均以加密方式传输,确保通讯的安全性. 6.远程控制命令:包括远程系统信息、剪切板信息、进程管理、窗口管理、 键盘记录、服务管理、管理管理、MS-DOS模拟、代理服务控制! 7.注册表编辑器:可以像操作本机注册表一样的编辑远程注册表。 8.常用命令广播,让你控制主机众多主机更多的方便!详细的在线主机线表 显示了:主机IP地址,地址位置,电脑名称,系统版本,备注等信息, 9.除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机 有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还 可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。 10.可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第 三方软件支持!支持Windows9x/ME/2000/Xp/2003。 11.软件附带有四款实用工具: a. EXE工具: 可以修改任何EXE文件图标,支持真彩色! b. 内网端口映射器: 它允许你将局域网内的服务映射到internet上,使 你在局域网内部也能使用自动上线功能! c. FTP服务器: 可以开本机FTP服务! d. Web服务器: 可以建立一个简单的Web服务器! 12.服务端程序在Windows 2000 / xp / 2003 可以以服务启动,支持发送多 种组合键,比如:Ctrl+Alt+del等等,适用于管理服务器主机!远程屏幕捕获还可以 录制为Mpeg-1文件格式. 13.全中文友好操作界面,让你一目了然,漂亮皮肤让使用时也倍感亲切! 功能简单介绍: 【1】对远程计算机文件管理:模枋Windows 资源管理器,可以对文件进行复制、粘贴、删除,重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用
目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)
简介 冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。 在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。目的:远程访问、控制。选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT 文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。 一、基础篇(揭开木马的神秘面纱) 无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机, G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
灰鸽子使用方法++网页木马生成和制作详解++图片噢!!! 2007-11-28 23:22:31| 分类:技术| 标签:|字号大中小订阅 一、工具:灰鸽子VIP 200 5破解版 服务端配置是最基础的,我大概说下重点.首先点”自动上线”,在”网易免费域名更新IP”处先申请一个免费域名,比如https://www.doczj.com/doc/b6385698.html,,再点”更新IP到域名”,如果一次更新出错就反复多试几次,一般会成功 的 图1 再点”配置服务程序’,这里有几点值得注意: 1.”自动上线”处一定要填正确了,就填我们刚才申请的域名https://www.doczj.com/doc/b6385698.html,,下面的”自动上线连 接密码”可不填,填写是为了安全. 2.关于破解:这也是最关键的地方,在运行鸽子客户端的时候我们先要运行它的破解文件,我们双击hosts.exe,自解压路径不能改变,至于为什么不能变大家想下就会明白了,然后运行http.exe,点”开始服务”(如果你本身的IIS开了的话应该先将其停止).前提步骤做好了,我们打开鸽子.如图2.在配置服务端的用户名和用户密码处随便填写即可.然后点”生成服务端”,到这服务端就生成了,每一步都是关键的,少一步, 服务端可能就不能生成.
二、制作网页木马 工具:专业版网页木马生成器[IFRAME溢出] 南域剑盟网页木马生成器 教主网页木马生成器 潜入者修改免杀版(备用) 光有服务端是不行的,必需要发给对方运行才行,那怎么让对方运行呢?直接将exe文件发给对方吗?基本上是很难成功的,我想最好是通过网页,让对方在浏览网页的时候不知不觉中马.做网页木马之前必需要有一个免费的空间让你放马.网上免费空间很多,大家去申请就是了.假设我们现在已经申请好了,空间地址为:https://www.doczj.com/doc/b6385698.html,/setup.exe.前提具备了.我们开始工作!先使用专业版网页木马生成器.如图 3. 在”木马程序路径”上填写http;//https://www.doczj.com/doc/b6385698.html,/setup.exe”,”生成的网页名1,2” 可以随便填,保持默认即可。下面一栏”对于IE5,IE5.5使用冰狐浪子超级木马”使用之前需要把setup.exe拷贝到chm目录中,在”木马程序名称”处填写setup.exe,在”生成后的chm文件名”处保持默认icyfox.chm即可,在”用于存放上面chm文件的完整地址处填写https://www.doczj.com/doc/b6385698.html,/icyfox.htm,最后单击生成。将生成的
HUNAN UNIVERSITY 课程实习报告 题目:网络攻防 学生姓名李佳 学生学号201308060228 专业班级保密1301班 指导老师钱鹏飞老师 完成日期2016/1/3 完成实验总数:13 具体实验:1.综合扫描 2.使用 Microsoft 基线安全分析器
3.DNS 溢出实验 4. 堆溢出实验 5.配置Windows系统安全评估 6.Windows 系统帐户安全评估 7.弱口令破解 8.邮件明文窃听 9.网络APR攻击 10.Windows_Server_IP安全配置 11.Tomcat管理用户弱口令攻击 12.木马灰鸽子防护 13.ping扫描 1.综合扫描 X-scan 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息、
注册表信息等。 2.使用 Microsoft 基线安全分析器 MBSA:安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。微软基线安全分析器可对系统扫描后将生成一份检测报告,该报告将列举系统中存在的所有漏洞和弱点。 3.DNS 溢出实验 DNS溢出DNS 的设计被发现可攻击的漏洞,攻击者可透过伪装 DNS 主要服务器的方式,引导使用者进入恶意网页,以钓鱼方式取得信息,或者植入恶意程序。 MS06‐041:DNS 解析中的漏洞可能允许远程代码执行。 Microsoft Windows 是微软发布的非常流行的操作系统。 Microsoft Windows DNS 服务器的 RPC 接口在处理畸形请求时存在栈溢出漏洞,远程攻击者可能利用此漏洞获取服务器的管理权限。
木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
南京信息工程大学实验(实习)报告 实验(实习)名称防火墙实验(实习)日期2012.10.12指导教师朱节中 专业10软件工程年级三班次 2 班姓名曾艺学号20102344070 得分 一.实验目的: 1. 了解防火墙的相关知识 2. 防火墙的简单实验 二.实验步骤: 1. 了解防火墙的概念,类型及作用 2. 防火墙的实验 三.实验内容: 1.防火墙的概念防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。由计算机硬件或软件系统构成防火墙,来保护敏感的数据部被窃取和篡改。防火墙是设置在可信任的企业内部和不可信任的公共网或网络安全域之间的以系列部件的组合,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 2防火墙的类型技术上看,防火墙有三种基本类型:包过滤型、代理服务器型和复合型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。 包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目
的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。 代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。它代理用户完成TCP/IP网络的访问功能,实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的代理。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中间转换,实现了安全的网络访问,并可以实现用户认证、详细日志、审计跟踪和数据加密等功能,实现协议及应用的过滤及会话过程的控制,具有很好的灵活性。代理服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个代理模块,建立对应的网关,实现起来比较复杂。 复合型防火墙(Hybrid Firewall)把包过滤、代理服务和许多其他的网络安全防护功能结合起来,形成新的网络安全平台,以提高防火墙的灵活性和安全性 3.防火墙技术在网络中的作用防火墙技术作为保护内部网络与外部网络相接入的一道安全屏障,已经越来越受到人们的普遍关注。作为网络安全的屏障只有经过精心选择的应用协议才能通过防火墙,可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。如防火墙
灰鸽子使用教程图解 (考虑到灰鸽子技术性较强和传插黑客技术要低调,将网络人远程控制教程放第一部份,灰鸽子教程放在了文章后面第二部份,请大家耐心观看) 第一部份:网络人远程监控软件 网络人远程控制个人版分为Netman办公版与Netman监控版。两个版本主要区别在于:Netman办公版连接远程电脑时,对方会弹出提示,知道电脑正在远程连接,主要用于个人远程控制、远程办公、远程协助和远程桌面连接等方面使用,是一款免费的远程控制软件;Netman监控版使用会员登录后再连接,远程电脑无任何提示,对方不会发觉,主要用于监管孩童电脑,掌握孩子上网情况,保护孩子健康上网。 Netman监控版详细安装方法: 1.要实现远程监控控制,双方都要安装Netman监控版,双方电脑的安装方法一样,控制端同时也是被控端,只要知道ID和密码,双方可以互相控制。 2.下载软件解压缩后,双击“Netman监控版.EXE”,软件默认安装路径为“C:\Program
式,需要自己进入安装文件夹,双击iexplore.exe启动软件,这时会弹出一个提示窗口,问是否要让软件随系统启动,通常直接点“确定”。 3.完成以上操作后,再按ctrl+y即可呼出软件主界面。监控版必须使用会员登录才能实现监控功能,所以呼出主界面后,应点击免费注册会员。
4.注册好会员后,点“选项”-“会员登录”,填上注册好的会员号。 5.第一次使用会员登录时,会弹出“设置控制密码”选项,需要注意的是,这里修改的不是前面填写的“登录密码”,而是从其他电脑连接本电脑时需要输入的“控制密码”。很多用户会误以为这里是修改“登录密码”,导致第二次使用会员登录时,发现登录密码不正确。 出于安全考虑,网络人设置了“登录密码”与“控制密码”两道密码保护,“登录密码”用于登录会员ID,“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。想要修改这两个密码,可点击“选项”-“修改密码”。
南昌航空大学实验报告 二〇一三年十一月八日 课程名称:信息安全实验名称:实验1木马攻击与防范 班级:xxx 姓名:xxx 同组人: 指导教师评定:签名: 一、实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1.木马的特性 木马程序为了实现其特殊功能,一般应该具有以下性质: (1)伪装性(2)隐藏性(3)破坏性(4)窃密性 2.木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,攻击者可以利用浏览器的漏洞诱导上网者单击网页,这样浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,获得控制权限,然后在被攻击的服务器上安装并运行木马。3.木马的种类 (1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒;第2代木马是网络传播型木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。 (2)按照功能分类,木马又可以分为:破坏型木马;密码发送型木马;服务型木马;DOS 攻击型木马;代理型木马;远程控制型木马。 4.木马的工作原理 下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。 (1)木马的传统连接技术;C/S木马原理如图1-1所示。第1代和第2代木马都采用的是C/S连接方式,这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。 (2)木马的反弹端口技术;随着防火墙技术的发展,它可以有效拦截采用传统连接方式。但防火墙对内部发起的连接请求则认为是正常连接,第3代和第4代“反弹式”木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式连接到木马的客户端,如图1-2和图1-3所示。
怎样使用灰鸽子 (考虑到灰鸽子技术性较强和传插黑客技术要低调,将网络人远程控制教程放第一部份,灰鸽子教程放在了文章后面第二部份,请大家耐心观看) 第一部份:网络人远程监控软件 网络人远程控制个人版分为Netman办公版与Netman监控版。两个版本主要区别在于:Netman办公版连接远程电脑时,对方会弹出提示,知道电脑正在远程连接,主要用于个人远程控制、远程办公、远程协助和远程桌面连接等方面使用,是一款免费的远程控制软件;Netman监控版使用会员登录后再连接,远程电脑无任何提示,对方不会发觉,主要用于监管孩童电脑,掌握孩子上网情况,保护孩子健康上网。 Netman监控版详细安装方法: 1.要实现远程监控控制,双方都要安装Netman监控版,双方电脑的安装方法一样,控制端同时也是被控端,只要知道ID和密码,双方可以互相控制。 2.下载软件解压缩后,双击“Netman监控版.EXE”,软件默认安装路径为“C:\Program
式,需要自己进入安装文件夹,双击iexplore.exe启动软件,这时会弹出一个提示窗口,问是否要让软件随系统启动,通常直接点“确定”。 3.完成以上操作后,再按ctrl+y即可呼出软件主界面。监控版必须使用会员登录才能实现监控功能,所以呼出主界面后,应点击免费注册会员。
4.注册好会员后,点“选项”-“会员登录”,填上注册好的会员号。 5.第一次使用会员登录时,会弹出“设置控制密码”选项,需要注意的是,这里修改的不是前面填写的“登录密码”,而是从其他电脑连接本电脑时需要输入的“控制密码”。很多用户会误以为这里是修改“登录密码”,导致第二次使用会员登录时,发现登录密码不正确。 出于安全考虑,网络人设置了“登录密码”与“控制密码”两道密码保护,“登录密码”用于登录会员ID,“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。想要修改这两个密码,可点击“选项”-“修改密码”。
实验6 特洛伊木马 6.1 实验类型 综合型,2学时 6.2 实验目的 理解木马工作的原理;掌握典型的木马清除方法。 6.3 实验要求与内容 (1)利用灰鸽子木马模拟木马的工作流程,要求能够完成以下任务: ●生成木马服务端,尽可能的生成能诱惑用户的服务端,比如修改安装路径, 修改图标,修改服务端名称,修改服务名称等。 ●控制对方电脑,要求能够浏览对方的文件,修改对方的注册表,终止对方的 进程,捕获对方的屏幕等操作 (2)清除木马,受害者根据灰鸽子木马的原理清除掉本机上的木马,包括程序,服务等 6.4 实验设备 ●两人合作完成,其中一人为控制端,另一人为服务器端 ●灰鸽子远程控制2007VIP疯狂魔鬼破解版 ●Windows XP Professional作为客户操作系统(Guest OS),要求关闭防火墙功能 6.5 相关知识 1.什么是木马(Trojan)? ?基于远程控制的黑客工具 ?恶意程序,非法获取授权权限,肆意篡改用户电脑中的文件,注册表,控制鼠标,截取用户信息 ?木马一般是C/S(客户/服务器)结构,控制程序处于客户端,被控制程序处于服务器端。 2.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。 配置程序 木马程序 控制程序
3.木马实施入侵的基本步骤 4.特洛伊木马具有如下特性: 隐蔽性,主要体现在意下几个方面: (1)启动的隐蔽性 (2)运行的隐蔽性 (3)通信的隐蔽性 开机自动运行 欺骗性,比如JPEG 木马 自动恢复,多重备份,相互恢复 非授权 5. 木马按照传输方式进行分类: 主动型 反弹端口型:木马服务器主动连接控制端端口,一般去连接80端口 嵌入式木马 6. 6.6 实验指导 特别注意:本次实验需要分析的病毒具有破坏性,仅限于信息安全实验室内使用。请严格遵守《信息安全实验室操作规程》,切勿拷贝、传播等,否则后果自负。 6.6.1 特洛伊木马的配置步骤 1)生成服务端 点击“配置服务程序”,在“IP 通知HTTP 地址”那一栏填入控制端的IP 地址(这里一定要填正确,否则木马不能上线,IP 地址是以10开头的),通过设置“安装选项”,“启动项设置”等可以构造出迷惑用户的木马服务端程序。 木马信息控制端Internet 服务端 ①配置木马②传播木马 ③运行木马④信息反馈⑤建立连接 ⑥远程控制
本科实验课程报告 (2016至2017学年第1学期) 课程名称:网络信息安全 专业名称: 行政班级: 学号: 姓名: 指导教师:赵学民 报告时间:年月日
实验一:分组密码-DES实验 实验地点:实验日期:成绩: 1、实验目的 通过用DES算法对实际的数据进行加密和解密来深刻了解DES的运行原理2、实验要求 编程实现DES密码。 3、实验原理 DES对64(bit)位的明文分组M进行操作,M经过一个初始置换IP置换成m0,将m0明文分成左半部分和右半部分m0=(L0,R0),各32位长。然后进行16 轮完全相同的运算,这些运算被称为函数f,在运算过程中数据与密匙结合。经过16轮后,左,右半部分合在一起经过一个末置换 DES算法框图 4、实验步骤 1、打开控制台,进入L001001013xp01_1虚拟环境。
2、使用默认用户名administrator,密码:123456登录到windows xp系统。 3.桌面找到Visual C++ 6.0双击打开 4.点击“文件”——“新建” 5.创建一个win32控制台工程,工程名称和位置自定。 6.左侧工作区,选择“FileView”选项卡。
7.右键工程文件名称,选择“添加文件到工程”。可到d:\tools\51elab1007B\des 中找到相关代码(G_des.c,test.cpp,des.h)。 8.根据原理编写程序,并编译运行(依次点击下图左起三个显性按钮进行编译、建立、运行)。 7、依次按要求输入qwqw、wq、回车、qw,对实验进行验证。 5、实验结果及总结
实验二:文件加解密实验 实验地点:实验日期:成绩: 1、实验目的 熟悉用对称加密的方法加密和解密,学会使用工具OpenSSL,熟悉利用RSA非对称密钥对文件进行加密与解密。 2、实验要求 使用工具OpenSSL,熟悉利用RSA非对称密钥对文件进行加密与解密。 3、实验原理 对称加密原理 对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 RSA非对称加解密算法原理。 RSA密码体制描述: (1).密钥的生成 选择p,q,p,q为两个大的互异素数,计算n=p*q, j(n)=(p-1)(q-1), 选择整数e使gcd(j(n),e)=1,(1
相关主题
文本预览