云计算技术与应用专业《防病毒-案例-木马攻击实验》.docxVIP

木马攻击实验

【实验环境】

Windows实验台

所需工具：灰鸽子客户端软件

【实验内容】

灰鸽子木马是网络上常见的并且功能强大的远程后门软件。采用dll注入技术，开启效劳程序，从而实现远程控制的目的。本实验以灰鸽子木马为例进行如下实验内容：

木马制作

木马种植

查看木马验证和系统状态

卸载灰鸽子木马

木马攻击实验

【实验原理】

木马，全称为特洛伊木马Trojan?Horse。“特洛伊木马〞这一词最早出先在希腊神话传说中。计算机木马程序一般具有以下几个特征：

主程序有两个，一个是效劳端，另一个是控制端。效劳端需要在主机执行。?

当控制端连接效劳端主机后，控制端会向效劳端主机发出命令。而效劳端主机在接受命令后，会执行相应的任务。

灰鸽子是国内一款著名后门软件，是国内后门软件的集大成者。具有丰富而强大的功能、灵活多变的操作、良好的隐藏性。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的。

木马攻击实验

【实验步骤】

启动Windows实验台，并设置实验台的IP地址，以实验台为目标主机进行实验。个别实验学生可以以2人一组的形式，互为攻击方和被攻击方来进行。

木马制作

根据攻防实验制作灰鸽子木马，配置安装目录，如下图。

图启动项配置，如下图。

图高级设置，选择使用浏览器进程启动。并生成效劳器程序，如下图。

图木马种植

通过漏洞或溢出得到远程主机权限，上传并运行灰鸽子木马。

本地对植入灰鸽子的主机进行连接，看是否能连接灰鸽子。

木马分析

观察端口

当灰鸽子的客户端效劳器启动之后，会发现本地灰鸽子客户端有主机上线，说明灰鸽子已经启动成功，如下图。

图查看远程主机的开放端口如下图，肉鸡正在与本地连接，表示肉鸡已经上线，可以对其进行控制。

图查看进程

启动icesWord检查开放进程，进程中多出了进程，如下图；这个进程即为启动灰鸽子木马的进程，起到了隐藏灰鸽子自身程序的目的。

图查看效劳

进入控制面板的“效劳〞，增加了一个名为huigei的效劳，如下图；该效劳为启动计算机时，灰鸽子的启动程序。

图卸载灰鸽子

停止当前运行的IEXPLORE程序和huigei效劳。

将Windows目录下的文件删除，重新启动计算机即可卸载灰鸽子程序。