2017-2018-1 20155321 20155330 《信息安全技术》 实验四 木马及远程控制技术

《信息安全技术》 实验四 木马及远程控制技术

实验名称： 木马及远程控制技术

姓名： 林汝婷、朱玥

学号： 20155321、20155330

班级： 1553

日期： 2017.11.21

一、 实验目的

该实验为设计性实验。

剖析网页木马的工作原理

理解木马的植入过程

学会编写简单的网页木马脚本

通过分析监控信息实现手动删除木马

二、 实验内容

木马生成与植入

利用木马实现远程控制

木马的删除

注：详细实验操作请参考实验室服务器上的参考资料。

三、实验环境

操作系统：windows 7、VM虚拟机中的windows 2003

实验工具：灰鸽子远程控制、监控器、协议分析器

四、 实验步骤

（一） 木马生成与植入

生成网页木马

（1）【主机A】首先通过Internet信息服务(IIS)管理器启动

木马网站

。

因为网页木马通常是通过“网马生成器”将木马安装程序的下载地址附加在网页上的，进而达到用户浏览含有木马的网页即自动下载安装程序的目的。木马网站利用MS06014漏洞，让浏览器自动下载网站上挂载的木马启动器。

（2）【主机A】进入实验平台在工具栏中单击

灰鸽子

按钮运行灰鸽子远程监控木马程序。

（3）【主机A】生成木马的

服务器程序

。

【主机A】单击木马操作界面工具栏

配置服务程序

按钮，弹出

服务器配置

对话框,单击

自动上线设置

属性页，在

IP通知http访问地址、DNS解析域名或固定IP

文本框中输入本机IP地址，在

保存路径

文本框中输入

D:\Work\IIS\Server_Setup.exe

，单击

生成服务器

按钮，生成木马

服务器程序

。

除了“自动上线设置”属性页，还有哪些属性页？

还有“牧民战天主机”和“灰鸽子2006版”。



为什么在

保存路径

文本框中输入

D:\Work\IIS\Server_Setup.exe

？换为另一个路径可以吗？

不可以，因为

D:\Work\IIS

为“木马网站”的网站空间目录。

（4）【主机A】编写生成网页木马的脚本。

「注」

C:\ExpNIS\NetAD-Lab\Projects\Trojan\Trojan.htm

文件提供了VB脚本源码。

将生成的

Trojan.htm

文件保存到

D:\Work\IIS\

目录下(

D:\Work\IIS\

为

木马网站

的网站空间目录)，

Trojan.htm

文件就是网页木马程序。

为什么要将Trojan.htm文件保存到

D:\Work\IIS\

目录下？

因为这样可以将携带自己IP的网页木马程序保存到

D:\Work\IIS

的网站空间目录下。

完成对默认网站的

挂马

过程

（1）【主机A】进入目录

C:\Inetpub\wwwroot

，使用记事本打开

index.html

文件。

「注」

默认网站

的网站空间目录为

C:\Inetpub\wwwroot\

,主页为

index.html

（2）对

index.html

进行编辑。在代码的底部加上

<iframe>

语句，实现从此网页对网页木马的链接。

iframe标签有什么作用？

浮动帧标签可以把一个HTML网页嵌入到另一个网页里。被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽、高、边框都设置为0，代码插入到首页后，首页不会发生变化，但嵌入的网页实际上已经打开。

为什么使用9090端口？

此端口是在服务器编辑时已经设置

木马的植入

（1）【主机B】设置监控并启动IE浏览器，访问

http://【主机A】的IP地址

（2）【主机A】等待

灰鸽子远程控制

程序主界面的

文件管理器

属性页中

文件目录浏览

树中出现

自动上线主机

时通知【主机B】。



（3）【主机B】查看

进程监控

、

服务监控

、

文件监控

和

端口监控

所捕获到的信息

在

进程监控

|

变化视图

中查看是否存在

进程映像名称

为

Hacker.com.cn.ini

的新增条目。观察进程监控信息，结合实验原理回答下面的问题。

Hacker.com.cn.ini在前面的过程中哪里设置的？

木马的安装程序下载完成后，自动进行安装

Hacker.com.cn.ini

文件是由哪个进程创建的：

Windows XP Vista

在

服务监控

中单击工具栏中的

刷新

按钮，查看是否存在

服务名称

为

Windows XP Vista

的新增条目，观察服务监控信息，回答下面的问题。

Windows XP Vista服务在前面的过程中哪里设置的？

在服务器配置的安装路径中进行配置

Hacker.com.cn.ini文件是由哪个进程创建的：

ID584

Windows XP Vista服务在前面的过程中哪里设置的？

在服务器配置的启动项设置中进行配置

Windows XP vista服务的执行体文件是： Hacker.com.cn.ini

8000服务远程地址（控制端）地址：

172.16.0.96

经过对上述监控信息的观察，你认为在“进程监控”中出现的winlogoin.exe进程（若存在）在整个的木马植入过程中起到的作用是：

检测服务端的存在，若发现服务端则主动连接并打开其被动端口

winlogoin.exe在前面的过程中哪里设置的？

木马网页的脚本Trojan.htm文件中设置的

在

文件监控

中查看

文件名

为

C:\WINDOWS\Hacker.com.cn.ini

的新增条目。

（4）【主机B】查看协议分析器所捕获的信息

（二） 木马的功能

文件管理

（1）【主机B】在目录

D:\Work\Trojan\

下建立一个文本文件，并命名为

Test.txt

。

（2）【主机A】操作

灰鸽子远程控制

程序来对【主机B】进行文件管理。

（3）在【主机B】上观察文件操作的结果。

系统信息查看

【主机A】操作

灰鸽子远程控制

程序查看【主机B】的操作系统信息。单击

远程控制命令

属性页，选中

系统操作

属性页，单击界面右侧的

系统信息

按钮，查看【主机B】操作系统信息。

进程查看

（1）【主机A】操作

灰鸽子远程控制

程序对【主机B】启动的进程进行查看

单击

远程控制命令

属性页，选中

进程管理

属性页，单击界面右侧的

查看进程

按钮，查看【主机B】进程信息。

（2）【主机B】查看

进程监控

|

进程视图

枚举出的当前系统运行的进程，并和【主机A】的查看结果相比较。

注册表管理

【主机A】创建新的注册表项，对新创建的注册表项进行重命名等修改操作，删除新创建的注册表项，【主机B】查看相应注册表项。





Telnet

【主机A】操作

灰鸽子远程控制

程序对【主机B】进行远程控制操作，单击菜单项中的

Telnet

按钮，打开Telnet窗口，使用

cd c:\

命令进行目录切换，使用

dir

命令显示当前目录内容，使用其它命令进行远程控制。



其它命令及控制

【主机A】通过使用

灰鸽子远程控制

程序的其它功能对【主机B】进行控制。

（三） 木马的删除

自动删除

【主机A】通过使用

灰鸽子远程控制

程序卸载木马的

服务器

程序。具体做法：选择上线主机，单击

远程控制命令

属性页，选中

系统操作

属性页，单击界面右侧的

卸载服务端

按钮，卸载木马的

服务器

程序

手动删除

（1）【主机B】启动IE浏览器，单击菜单栏

工具

｜

Internet 选项

，弹出

Internet 选项

配置对话框，单击

删除文件

按钮，在弹出的

删除文件

对话框中，选中

删除所有脱机内容

复选框，单击

确定

按钮直到完成

（2）双击

我的电脑

，在浏览器中单击

工具

|

文件夹选项

菜单项，单击

查看

属性页，选中

显示所有文件和文件夹

，并将

隐藏受保护的操作系统文件

复选框置为不选中状态，单击

确定

按钮

（3）关闭已打开的Web页，启动

Windows 任务管理器

。单击

进程

属性页，在

映像名称

中选中所有

IEXPLORE.EXE

进程，单击

结束进程

按钮

（4）删除

C:\Widnows\Hacker.com.cn.ini

文件

（5）启动

服务

管理器。选中右侧详细列表中的

Windows XP Vista

条目，单击右键，在弹出菜单中选中

属性

菜单项，在弹出的对话框中，将

启动类型

改为

禁用

，单击

确定

按钮

（6）启动注册表编辑器，删除

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows XP Vista

节点

（7）重新启动计算机

（8）【主机A】如果还没卸载灰鸽子程序，可打开查看自动上线主机，已经不存在了

五、总结

20155321：

此次实验主要学习了如何进行远程控制，黑客通过客户端的一系列操作进而到达控制服务端的目的，它把自己隐藏在计算机的某个角落里面，以防被用户发现；同时监听某个特定的端口，等待客户端并与其取得连接。这提醒我在以后上网的过程中，对于一些安全性低的网页尽量不要打开，避免在打开网页的同时下载了木马病毒。

20155330：

此次实验主要学习了简单的木马生成与植入方法，以及利用木马远程控制，和删除木马。木马主要通过诱骗的形式进行安装的，然后在计算机中隐藏运行。并且木马是为了实施特殊功能，木马和病毒不一样，木马往往没有病毒的感染功能，主要功能是实现远程操控。在实验过程中遇到

灰鸽子

软件无法显示【自动上线主机】的问题，通过设置IP及其他相关内容，解决了该问题。

六、 思考题

列举出几种不同的木马植入方法。

利用E-mail；

软件下载；

利用共享和Autorun文件；

把木马文件转换为图片格式；

伪装成应用程序扩展组件；

利用WinRar制作成自释放文件；

在Word文档中加入木马文件；

把木马和其他文件捆绑在一起；

基于DLL和远程线程插入的木马植入技术。

列举出几种不同的木马防范方法。

不到不受信任的网站上下载软件运行；

不随便点击来历不明邮件所带的附件；

及时安装相应的系统补丁程序；

为系统选用合适的正版杀毒软件，并及时升级相关的病毒库；

为系统所有的用户设置合理的用户口令。