1、网络安全管理课程设计实训实验指导书2实验一 学习网络安全相关法律法规实验目的:学习网络安全相关法律法规实验步骤:1. 上网搜索网络安全相关法律法规;2. 学习: 互联网上网服务营业场所管理条例 互联网电子公告服务管理规定 计算机病毒防治管理办法 中华人民共和国计算机信息系统安全保护条例 互联网信息服务管理办法(国务院令第292号) 计算机信息网络国际联网安全保护管理办法 关于维护互联网安全的决定 中华人民共和国刑法(摘录):第二百八十五条 第二百八十六条 第二百八十七条3实验二 常用攻击协议的原理验证一、ARP 欺骗背景描述:流经主机 A 和主机 C 的数据包被主机 D 使用 ARP 欺骗进行
2、截获和转发。流经主机 E(172.16.0.2 接口)和主机 F 的数据包被主机 B(172.16.0.1 接口)使用 ARP 欺骗进行截获和转发。环境拓扑图如下:原理:ARP 表是 IP 地址和 MAC 地址的映射关系表,任何实现了 IP 协议栈的设备,一般情况下都通过该表维护 IP 地址和 MAC 地址的对应关系,这是为了避免 ARP 解析而造成的广播数据报文对网络造成冲击。ARP 表的建立一般情况下是通过二个途径:1、主动解析,如果一台计算机想与另外一台不知道 MAC 地址的计算机通信,则该计算机主动发 ARP 请求,通过 ARP 协议建立(前提是这两台计算机位于同一个 IP 子网上);
3、2、 被动请求,如果一台计算机接收到了一台计算机的 ARP 请求,则首先在本地建立请求计算机的 IP 地址和 MAC 地址的对应表。因此,针对 ARP 表项,一个可能的攻击就是误导计算机建立正确的 ARP 表。根据 ARP 协议,如果一台计算机接收到了一个 ARP 请求报文,在满足下列两个条件的情况下,该计算机会用 ARP 请求报文中的源 IP 地址和源 MAC 地址更新自己的 ARP 缓存:1、 如果发起该 ARP 请求的 IP 地址在自己本地的 ARP 缓存中;2、 请求的目标 IP 地址不是自己的。举例说明过程:假设有三台计算机 A,B,C,其中 B 已经正确建立了 A 和 C 计算机的
4、 ARP表项。假设 A 是攻击者,此时,A 发出一个 ARP 请求报文,该 ARP 请求报文这样构造:1、 源 IP 地址是 C 的 IP 地址,源 MAC 地址是 A 的 MAC 地址;2、 请求的目标 IP 地址是 B 的 IP 地址。这样计算机 B 在收到这个 ARP 请求报文后(ARP 请求是广播报文,网络上所有设备都能收到),发现 C 的 ARP 表项已经在自己的缓存中,但 MAC 地址与收到的请求的源 MAC 地址不符,于是根据 ARP 协议,使用 ARP 请求的源 MAC 地址(即 A 的 MAC 地址)更新自己的 ARP 表。4这样 B 的 ARP 缓存中就存在这样的错误 AR
5、P 表项:C 的 IP 地址跟 A 的 MAC 地址对应。这样的结果是,B 发给 C 的数据都被计算机 A 接收到。步骤:按照拓扑结构图连接网络,使用拓扑验证检查连接的正确性。本练习将主机 A、C 和 D 作为一组,主机 B、E、F 作为一组。现仅以主机 A、C 和 D 为例说明试验步骤。(由于两组使用的设备不同,采集到的数据包不完全相同) 1. 主机 A 和主机 C 使用“arp -a”命令察看并记录 ARP 高速缓存。 2. 主机 A、C 启动协议分析器开始捕获数据并设置过滤条件(提取 ARP 协议和 ICMP 协议)。 3. 主机 A ping 主机 C。观察主机 A、C 上是捕获到的
6、ICMP 报文,记录 MAC 地址。 4. 主机 D 启动仿真编辑器向主机 A 编辑 ARP 请求报文(暂时不发送)。其中:MAC 层:“源 MAC 地址”设置为主机 D 的 MAC 地址“目的 MAC 地址”设置为主机 A 的 MAC 地址ARP 层:“源 MAC 地址”设置为主机 D 的 MAC 地址“源 IP 地址”设置为主机 C 的 IP 地址“目的 MAC 地址”设置为 000000-000000。“目的 IP 地址”设置为主机 A 的 IP 地址5. 主机 D 向主机 C 编辑 ARP 请求报文(暂时不发送)。其中:MAC 层:“源 MAC 地址”设置为主机 D 的 MAC 地址“
7、目的 MAC 地址”设置为主机 C 的 MAC 地址ARP 层:“源 MAC 地址”设置为主机 D 的 MAC 地址“源 IP 地址”设置为主机 A 的 IP 地址“目的 MAC 地址”设置为 000000-000000。“目的 IP 地址”设置为主机 C 的 IP 地址6. 同时发送第 4 步和第 5 步所编辑的数据包。注意:为防止主机 A 和主机 C 的 ARP 高速缓存表被其它未知报文更新,可以定时发送数据包(例如:每隔 500ms 发送一次)。 7. 观察并记录主机 A 和主机 C 的 ARP 高速缓存表。 8. 在主机 D 上启动静态路由服务(方法:在命令行方式下,输入“static
8、route_config”),目的是实现数据转发。 9. 主机 D 禁用 ICMP 协议。a. 在命令行下输入“mmc”,启动微软管理控制台。b. 导入控制台文件。单击“文件(F)打开(O).”菜单项来打开“c:WINNTsystem32IPSecPolicystopicmp.msc”。 c. 导入策略文件。单击“操作(A)所有任务(K)导入策略(I).”菜单项来打开“c:WINNTsystem32IPSecPolicy stopicmp.ipsec”。此命令执行成功后,在策略名称列表中会出现“禁用 ICMP”项。d. 启动策略。用鼠标选中“禁用 ICMP”项,单击右键,选择“指派(A)”菜单
9、项。10.主机 A 上 ping 主机 C(“ping 主机 C 的 IP 地址 n 1”)。 -n :发送 count 指定的 ECHO 数据包数。通过这个命令可以自己定义发送的个数,对衡量网络速度很有帮助。能够测试发送数据包的返回平均时间及时间的快慢程度。默认值为 4。 11.主机 A、C 停止捕获数据,分析捕获到的数据,并回答以下问题: 主机 A、C 捕获到的 ICMP 数据包的源 MAC 地址和目的 MAC 地址是什么? 5 结合主机 A 和主机 C 捕获到的数据包,绘制出第 6 步发送的 ICMP 数据包在网络中的传输路径图。 主机 D 取消对 ICMP 的禁用。在微软管理控制台(m
10、mc)上,用鼠标选中“禁用 ICMP”项,单击右键,选择“不指派(U)”菜单项。 二、利用 ICMP 重定向进行信息窃取原理在 Internet 上,主机数量要比路由器多出许多,为了提高效率,主机都不参与路由选择过程。主机通常使用静态路由选择。当主机开始联网时,其路由表中的项目数很有限,通常只知道默认路由的 IP 地址。因此主机可能会把某数据发送到一个错误的路由,其实该数据本应该发送给另一个网络的。在这种情况下,收到该数据的路由器会把数据转发给正确的路由器,同时,它会向主机发送 ICMP 重定向报文,来改变主机的路由表。 路由器发送 ICMP Redirect 消息给主机来指出存在一个更好的路
11、由。ICMP Redirect 数据包使用下图中显示的结构。 当 IP 数据报应该被发送到另一个路由器时,收到数据报的路由器就要发送 ICMP 重定向差错报文给 IP 数据报的发送端。ICMP 重定向报文的接收者必须查看三个 IP 地址: (1)导致重定向的 IP 地址(即 ICMP 重定向报文的数据位于 IP 数据报的首部); (2)发送重定向报文的路由器的 IP 地址(包含重定向信息的 IP 数据报中的源地址);(3)应该采用的路由器的 IP 地址(在 ICMP 报文中的 4-7 字节)。 类型 = 5 代码 = 0 - 3 检 验 和应该使用的路由器 IP 地址IP 首部(包括选项)+原
12、始 IP 数据报中数据的前 8 字节代码为 0:路由器可以发送这个 ICMP 消息来指出有一个到达目标网络的更好方法。 代码为 1:路由器可以发送这个 ICMP 消息来指出有一个到达目标主机的更好方法。 代码为 2:路由器可以发送这个 ICMP 消息来指出有一个更好的方法到达使用希望的 TOS目标网络。 代码为 3:路由器可以发送这个 ICMP 消息来指出有一个更好的方法到达使用所要求的TOS 的目标主机。环境拓扑图如下:6步骤:1. 主机 A 启动 ICMP 重定向功能,在命令行方式下输入“icmpredirect_config enable”。 2. 主机 B 启动静态路由服务,在命令行方
13、式下输入“staticroute_config”。 3. 主机 A、B、D、E、F 启动协议分析器开始捕获数据并设置过滤条件(提取 ICMP 协议)。 4. 主机 A ping 主机 E(172.16.0.2),察看主机 A、B、D、E、F 捕获到的数据。 通过此 ICMP 及其应答报文的 MAC 地址,绘制其在网络中的传输路径图。 5. 主机 C 模拟主机 B 的身份(172.16.1.1)向主机 A 发送 ICMP 重定向报文,其中: MAC 层:“源 MAC 地址”设置为主机 C 的 MAC 地址“目的 MAC 地址”设置为主机 A 的 MAC 地址 IP 层:“源 IP 地址”设置为主
14、机 B 的 IP 地址(172.16.1.1) “目的 IP 地址”设置为主机 A 的 IP 地址(172.16.1.2) ICMP 层:“类型”设置为 5 “代码”设置为 1 “网关地址”设置为主机 C 的 IP 地址(172.16.1.3) ICMP 数据:伪造的主机 A 向主机 E 发送的 ping 请求报文的一部份(包括整个 IP 首部和数据的前 8 个字节)。 注意:为防止主机 B 的路由表被其它未知数据包更新,可以定时发送此报文(例如:每隔 500ms 发送一次)。 6. 查看主机 A 的路由表(route print)发现一条到主机 E 的直接路由信息,其网关是主机 C 的 IP
15、 地址(172.16.1.3)。 7. 在主机 C 上启动静态路由服务(方法:在命令行方式下,输入“staticroute_config”),并添加一条静态路由条目(方法:在命令行方式下,输入“route add 172.16.0.0 mask 255.255.255.0 172.16.1.1 metric 2”),目的是实现数据转发。8. 主机 C 禁用 ICMP 协议。a) 在命令行下输入“mmc”,启动微软管理控制台。7b) 导入控制台文件。单击“文件(F)打开(O).”菜单项来打开“c:WINNTsystem32IPSecPolicystopicmp.msc”。 c) 导入策略文件。单
16、击“操作(A)所有任务(K)导入策略(I).”菜单项来打开“c:WINNTsystem32IPSecPolicy stopicmp.ipsec”。此命令执行成功后,在策略名称列表中会出现“禁用 ICMP”项。d) 启动策略。用鼠标选中“禁用 ICMP”项,单击右键,选择“指派(A)”菜单项。9. 主机 A ping 主机 E(172.16.0.2),查看主机 A、B、E、F 捕获到的数据: 通过此 ICMP 及其应答报文的 MAC 地址,绘制其在网络中的传输路径图。 比较两次 ICMP 报文的传输路径,简述 ICMP 重定向报文的作用。 简述第 5 步和第 6 步在信息窃取过程中所起到的作用。
17、10.主机 C 取消对 ICMP 的禁用。在微软管理控制台(mmc)上,用鼠标选中“禁用ICMP”项,单击右键,选择“不指派(U)”菜单项。11.主机 C 在命令行下输入“recover_config”,停止静态路由服务。三、TCP 与 UDP 端口扫描环境拓扑图如下:说明:IP 地址分配规则为主机使用原有 IP,保证所有主机在同一网段内。步骤:将主机 A 和 B 作为一组,主机 C 和 D 作为一组,主机 E 和 F 作为一组。 现仅以主机 A 和 B为例,说明实验步骤。一:TCP Connect 扫描1. 在主机 B 上启动协议分析器进行数据捕获,并设置过滤条件(提取 TCP 协议)。2.
18、 在主机 A 上使用 TCP 连接工具,扫描主机 B 的某一端口:a. 主机 A 上填入主机 B 的 IP、主机 B 的某一开放端口号,点击“连接”按钮进行连接。b. 观察提示信息,是否连接上。c. 主机 A 点击“断开”按钮断开连接。d. 主机 A 使用主机 B 的某一未开放的端口重复以上试验步骤。83. 察看主机 B 捕获的数据,分析连接成功与失败的数据包差别。结合捕获数据的差别,说明 TCP Connet 扫描的实现原理。二:TCP SYN 扫描1. 在主机 A 上使用端口扫描来获取主机 B 的 TCP 活动端口列表(扫描端口范围设置为065535)。2. 在主机 B 上启动协议分析器进
19、行数据捕获,并设置过滤条件(提取 TCP 协议)。3. 主机 A 编辑 TCP 数据包:MAC 层:目的 MAC 地址:B 的 MAC 地址。源 MAC 地址:A 的 MAC 地址。 IP 层:源 IP 地址:A 的 IP 地址。目的 IP 地址:B 的 IP 地址。 TCP 层:源端口:A 的未用端口(大于 1024)。目的端口:B 的开放的端口(建议不要选择常用端口)。标志 SYN 置为 1,其他标志置为 0。4. 发送主机 A 编辑好的数据包。5. 修改主机 A 编辑的数据包(将目的端口置为主机 B 上未开放的 TCP 端口),将其发送。6. 察看主机 B 捕获的数据,找到主机 A 发送
20、的两个数据包对应的应答包。分析两个应答包的不同之处,说明 TCP SYN 扫描的实现原理。三:UDP 端口扫描1. 在主机 B 上使用命令“netstat -a”,显示本机可用的 TCP、UDP 端口。注意:通过此命令,会得到一个 UDP 开放端口列表,同学可以在 UDP 开放端口列表中任选一个来完成此练习。下面以 microsoft-ds(445)端口为例,说明练习步骤。2. 在主机 B 上启动协议分析器进行数据捕获并设置过滤条件( 提取主机 A 的 IP 和主机 B的 IP)。3. 主机 A 编辑 UDP 数据包:MAC 层:目的 MAC 地址:B 的 MAC 地址。源 MAC 地址:A
21、的 MAC 地址。IP 层:源 IP 地址:A 的 IP 地址。目的 IP 地址:B 的 IP 地址。UDP 层: 源端口:A 的可用端口。目的端口:B 开放的 UDP 端口 445。 4. 发送主机 A 编辑好的数据包。5. 修改主机 A 编辑的数据包(将目的端口置为主机 B 上未开放的 UDP 端口),将其发送。6. 察看主机 B 捕获的数据。主机 A 发送的数据包,哪个收到目的端口不可达的 ICMP 数据报。 说明这种端口扫描的原理。使用这种端口扫描得到的结果准确吗?说明理由。四、路由欺骗原理:9RIP 协议是通过周期性(一般情况下为 30S)的路由更新报文来维护路由表的,一台运行 RI
22、P 路由协议的路由器,如果从一个接口上接收到了一个路由更新报文,它就会分析其中包含的路由信息,并与自己的路由表进行比较,如果该路由器认为这些路由信息比自己所掌握的要有效,它便把这些路由信息引入自己的路由表中。这样如果一个攻击者向一台运行 RIP 协议的路由器发送了人为构造的带破坏性的路由更新报文,就很容易的把路由器的路由表搞紊乱,从而导致网络中断。如果运行 RIP 路由协议的路由器启用了路由更新信息的 HMAC 验证,则可从很大程度上避免这种攻击,另外 RIP 第二版增加了在安全方面的功能。环境拓扑图如下:步骤:1. 在主机 A、B、D、E、F 上启动协议分析器开始捕获数据,并设置过滤条件(提
23、取 RIP和 ICMP)。 2. 主机 B 和主机 E 启动 RIP 协议并添加新接口: 在主机 B 上启动 RIP 协议:在命令行方式下输入“rip_config”; 在主机 E 上启动 RIP 协议:在命令行方式下输入“rip_config”; 添加主机 B 的接口:添加 IP 为 172.16.0.1 的接口:在命令行方式下输入“rip_config “172.16.0.1 的接口名“ enable”;添加 IP 为 192.168.0.2 的接口:在命令行方式下输入“rip_config “192.168.0.2的接口名“ enable”; 添加主机 E 的接口: 添加 IP 为 19
24、2.168.0.1 的接口:在命令行方式下输入“rip_config “192.168.0.1的接口名“ enable”;添加 IP 为 172.16.1.1 的接口:在命令行方式下输入“rip_config “172.16.1.1 的接口名“ enable”。 3. 等待一段时间,直到主机 B 和主机 E 的路由表达到稳定态。使用“netsh routing ip show rtmroutes”命令察看主机 B 和主机 E 的路由表。 4. 通过主机 A ping 主机 F(172.16.1.2)。 10 通过主机 A、B、D、E、F 上协议分析器采集到的数据包,记录 ping 报文的路径。
25、5. 在主机 C 上启动静态路由。在命令行方式下,输入“staticroute_config”。 为主机 C 添加两个静态路由条目在命令行方式下,输入: “route add 172.16.1.0 mask 255.255.255.0 192.168.0.1 metric 2”; “route add 172.16.0.0 mask 255.255.255.0 192.168.0.2 metric 2”;目的是实现数据转发。6. 在主机 C 上启动协议仿真编辑器,编辑 RIP-Request 报文。MAC 层: 源 MAC 地址:主机 C 的 MAC 地址 目的 MAC 地址:主机 B 的 M
26、AC 地址(192.168.0.2 接口对应的 MAC) IP 层: 源 IP 地址:主机 C 的 IP 地址目的 IP 地址:广播地址(192.168.0.255) UDP 层: 源端口:520目的端口: 520 RIP 层: 命令:1(RIP-Response) 版本:2 路由选择信息选项号:右击,追加块 计算“长度”和“校验和”字段,填充后发送。 7. 察看主机 B 的邻居列表(在命令行方式下,输入“rip_config showneighbor”),确定主机 B 添加了一个新邻居(192.168.0.3)。 8. 在主机 C 上,编辑 RIP-Response 报文。MAC 层: 源
27、MAC 地址:主机 C 的 MAC 地址。 目的 MAC 地址:主机 B 的 MAC 地址(192.168.0.2 接口对应的 MAC)。IP 层: 源 IP 地址:主机 C 的 IP 地址。目的 IP 地址:广播地址(192.168.0.255)。UDP 层: 源端口:520。目的端口:520。 RIP 层:命令:2(RIP-Response)。版本:2。路由选择信息选项号:右击,追加块。地址族 ID:2。网络地址:172.16.1.0。下一跳路由器:主机 C 地址(192.168.0.3)。度量:1。计算并填充“长度”和“校验和”,以时间间隔为 1 秒发送此报文 6000 次。 9. 察看
28、主机 B 的路由表中路由条目变化。 10.通过主机 A 来 ping 主机 F(172.16.1.2)。 通过主机 A、B、D、E、F 上协议分析器,记录 ping 报文的路径。 比较两次 ping 报文的路径。简述发生欺骗的原理(DV 算法)。主机C输入“recover_config”,停止静态路由服务。 输入“route delete 172.16.1.0”和“route delete 172.16.0.0”删除手工添加的静态路由条目。11实验三 典型木马的原理及使用实验目的:1.理解典型木马的原理。2.掌握典型木马的使用。3.了解典型木马的清除和防御。实验设备:两台安装 Windows
29、2000/2003/XP 或更高级别的 Windows 操作系统的主机。所用软件:B e a s t 2.0 2、 CHM 文件生成软件、广外男生一、线性插入型木马-禽兽木马 beast实验步骤:1服务端的配置(1)禽兽木马下载解压后只有一个可执行文件 B e a s t.e x e,它是禽兽的客户端,其服务器端需要由此文件生成,再发送别人运行后客户端才能进行控制。(2)双击运行客户端文件,点击禽兽木马的客户端程序主界面中的“生成服务”按钮,进入服务端设置对话框。在“基础设置”里,可以设置木马的名称、开放端口、连接密码及木马的安装目录,是否注入到 I n t e r n e tExplorer
30、 和 Explorer.exe 等。如果没有使用注入技术,在 Windows XP/2000的任务管理器中可以发现其进程,但是这种方式的连接成功率很高,可达 100%。在“信息通知”里,你可以设置收取受害者 IP 的 ICQ 号码、E-mail 地址等,只是 E-mail 地址不支持 Hotmail 账户。在“启动键”里,可以设置将木马的根键放到注册表的什么地方。在“防火墙杀除”里,可以设置启动时是否关闭防火墙和某些进程,至于关闭哪些种类的防火墙和进程。点击“设置”按钮即可进入杀除设置对话框。对于列表中不存在的防火墙或是进程,你想要在启动时清除的话,可以在列表中直接添加。最多可以达到 5 0
31、0 个防火墙或是进程服务,并且可以设置每几秒钟杀除一次,对于 Windows XP 自带的防火墙可以选择杀除。防火墙进程名不可以加入扩展名.exe 。在“混合选项”中可以设置安装后是否自毁服务端,是否允许使用键盘记录,是否显示虚假错误信息等,至于显示什么样的错误信息可以点击“虚假错误信息”旁边的“配置”按钮进行设置。如果选择“自毁服务端”将在第一次运行后自动删除服务端本身,“虚假信息”同样仅限于第一次运行,建议不要两项同时选取。在“e x e 图标”里,你可以任意设置服务端的图标,也可以点击“从文件中选取图标”按钮从某个文件中选取其图标,以增强木马的隐蔽性。设置好以后你就可以点击下侧的“生成”
32、按钮,满足需要的服务器端就生成了,默认的文件名为 server.exe 文件,你可以任意改名后与别的文件进行捆绑。(3)如果需要对文件进行捆绑,则可以直接点击“捆绑”按钮,将木马文件添加进去,再添加要捆绑的程序文件,并且取原文件一样的图标,然后点击“捆绑文件”按钮,并设置好新生成的文件名称(可同原有的文件一样,以增强隐蔽性),点击“保存”即可。仔细比较会发现捆绑了禽兽木马的文件比原文件大 5 0 K 左右。2.实施控制服务端配置好以后,就可以发送给别人执行以后,你就可实施远程控制了。运行客户端程序 beast.exe,在程序主界面的左上角主机地址处填入对方的 I P 地址,端口处填入端口地址(
33、默认是 6 6 6 6,就看你在设置时是否更改),连接密码处填入你当初设置的连接密码,然后点击“开始连接”,如果连接密码正确(也即是你种的木马),很快就可连接上肉机。连接肉机以后,你就可运行右下侧的命令对此肉机进行远程控制了。12(1)选中“管理命令”,则可远程进行文件管理、桌面进程管理、远程桌面、注册表项、所有进程、远程监视等操作。如我们想要远程对文件进行操作,可以单击“文件管理”按钮,即可对远程机器进行文件管理,点击“查找硬盘”,然后选中某个驱动器,再点击“显示文件”,该驱动器所有的文件便可显示出来。所有可进行的操作都清晰地显示在文件列表的右侧,你可以进行下载、上传、删除、查找、执行、重命
34、名文件等操作。同样单击“注册表项”可以对远程注册表进行操作,可以在某个根键或是子键下添加或删除某个子键或键值。点击“所有进程”,即可对远程机器的进程进行管理,如想关闭某个进程,可以选中该进程,再点击“K i l lP r o c”按钮即可轻松删除某个进程,有时本地都不能删除的,远程倒还可以轻松删除。(2)选中“系统操作”,则可以对远程机器实施隐藏所有、关闭电源、远程关机、杀掉所有、远程重启、远程注销等操作。(3)选中“恶作剧”,则可以对远程机器实施隐藏托盘、禁止托盘、隐藏开始、打开光驱、锁定鼠标、隐藏时钟等操作。另外,在杂项中还可以查看到肉机的主机信息及服务端的信息,可向对方发送消息(相当于冰
35、河信使),运行 D O S 命令查看对方信息等操作。这个线程插入木马,比我们以前使用的一些木马功能还要强大得多,而这个线程插入技术使得对方既不易发现你的木马,而且也不容易清除。3.木马植入肉鸡的方法如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。一般来讲,木马主要有两种隐藏手段:一.把自己伪装成一般的软件很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩的小程序,拿下来执行,但系统报告了内部错误,程序退出了。一般人都会认为是程序没有开发好,不会怀疑到运行了木马程序这上面。等到运行自己的 Q Q 等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想
36、起检查自己的机器是否被人安装了木马这回事情。这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。二.把自己绑定在正常的程序上面对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。不过,这种木马是有可能被细心的用户发觉的,因为这个 WinZip 程序在绑定了木马之后尺寸通常都会变大。伪装之后,木马就可以通过邮件发给被攻击者了,或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“C u
37、 t e F T P 5.0 完全解密版!”等。在安装了这个 CuteFTP 之后,你的机器就被“完全解密”了。那些喜欢免费软件的朋友们要小心了!鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。介绍几种常见的伪装植入木马的方法:1直接发送式欺骗将木马服务端程序更改图标,如设为图片图标,可将其扩展名设置为*.jpg.exe 格式,直接发给对方,由于 Windows 的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。对方运行后,结果毫无反
38、应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!13”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。2捆绑欺骗把木马服务端和某个游戏或工具捆绑成一个文件在 Q Q 或邮件中发给别人,别人运行后它们往往躲藏在 W i n d o w s 的系统目录下,图标伪装成一个文本文件或者网页文件,通过端口与外界进行联系。然后把自己和一些 E X E 文件捆绑在一起,或者采用改变文件关联方式的方法来达到自启动的目的。而且,即使以后系统重装了,如果该程序他还是保存着的话,还是有可能再次中
39、招的。3文件夹惯性点击把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹的木马时,也会收不住鼠标点下去,这样木马就成功运行了。4危险下载点攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,就等于多了一台中木马的计算机。或者把木马捆绑到其他软件上,然后“正大光明”地发布到各大软件下载网站,它们也不查毒,就算查也查不出一些新木马。5邮件冒名欺骗该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构、单位向别人发木马附件,别人下载附件并运行的话就中木马了。如冒充单
40、位的系统管理员,向各个客户端发送系统补丁或是其它安装程序。6QQ 冒名欺骗该类木马植入的前提是,必须先拥有一个不属于自己的 Q Q 号。然后使用这个 Q Q 号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,结果就中招了。7ZIP 伪装将一个木马和一个损坏的 Z I P 包(可自制)捆绑在一起,然后指定捆绑后的文件为 Z I P 图标,这样一来,除非别人看了他的后缀,否则点下去将和一般损坏的 Z I P 没什么两样,根本不知道其实已经有木马在悄悄运行了。Z I P 伪装的常见做法如下:首先创建一个文本文档,输入任意个字节(其实一个就行,最小)将它的后缀 t x
41、t 直接改名为 z i p 即可,然后把它和木马程序捆在一起,修改捆绑后的文件图标为 z i p 图标就成了。8.论坛上发链接在可以上传附件的论坛上传捆绑好的木马(如将木马捆绑在图片上传),然后把链接发给想要攻击的目标肉机的主人,诱惑他点击那个链接。10.网页木马法在自己的网页上捆绑木马,再在 Q Q 上邀请想要攻击的目标网友去访问,轻松给他种上你配置的木马。二、chm 木马的制作需要下载和安装一个 QuickCHM 软件,并且准备一个 chm 电子书以及一个木马。(一)、chm 电子书的制作1. 安装 Quick CHM 文件。2. 事先准备好要制作成 CHM 文件的文本文件。14如下图,我
42、们是放在 Ctest 文件夹下。下面看如何制作 CHM 文件。CHM 文件制作过程:1. 利用 Quick CHM2.6 向导进行制作操作打开 QUICK CHM2.6 软件,选择文件菜单下 CHM 向导。2. 在向导设置框中设置项目参数3. 选择项目文件夹为文本文件的文件夹,如 C:test4. 设置完参数后点击下一步。5. 调整文件文件之间的先后顺序,调整后点击下一步。156. 设置主题及标题如图,我在标题中写上标题“菜谱”设置完成后点击 完成7. 编译文本文件。点击图标菜单中绿色的三角箭头,如下图。提示编译进度编译完成:168. 打开设置目录,我们可以看到,新制作出来的 CMH 文件。1
43、79. 打开查看一下,可以看到,如下图界面。10.制作完成。(二)、chm 木马的制作1.编写一个小小的网页代码,18chm 木马生成网页文件名.htm。codebase=“木马.exe“,codebase 后面即是木马文件。将其保存为.html 类型的文件,本例保存为:aaa.html2.接下来对 CHM 电子书进行反编译,运行 QuickCHM 软件,选择“文件”“ 反编译”菜单项。3.在弹出的【 反编译】对话框中选择“输入”和“输出”文件夹,“输入”框选择电子书路径,“输出”框选择反编译后的文件存储路径(一定要选择已存在的文件夹路径),然后点击“确定”即可自动反编译。4.反编译完成后会弹
44、出反编译文件夹,找到其中后缀名为.hhp 的文件,也就是和电子书名称相同的那个文件。本例中是“电子书.hhp”。5.用记事本打开.hhp 文件,在文件末尾添加我们前面编写的网页文件名和木马名。6.将前面编写的网页文件(aaa.html )和木马文件(木马 .exe)复制到反编译后的文件夹中。7.此时需要重新编译。再次运行 QuickCHM 软件,选择“文件”“ 打开”菜单项,弹出【打开】对话框,选择刚刚修改过的“电子书.hhp”文件,点击 “打开”,回到 QuickCHM 软件主窗口。8.选择“ 文件”“编译” ,稍等片刻编译完成,弹出对话框中会显示“完成!你希望运行吗?”的字样,选择“否”
45、按钮,此时,已完成了一个 chm 电子书木马的制作,生成的电子书木马在“反编译文件夹” 内。9.可通过比较前后两次的文件大小,判断是否成功。10.此时运行 chm 就会运行木马。三、 “广外男生”木马的使用客户端模仿 Windows 资源管理器:除了全面支持访问远程服务器文件系统,也同时支持通过对方的“网上邻居” ,访问对方内部网其他机器 运用了“反弹窗口” 技术 使用了“线程插入” 技术:服务器运行时没有进程,所有网络操作均插入到其他应用程序的进程中完成。即便受控端安装的防火墙 有“应用程序访问权限”的功能,也不能对广外男生的服务器进行有效警告和拦截。1.下载广外男生木马软件。2.利 用 客
46、 户 端 程 序 配 置 出 服 务 端 程 序 。服务端常规设置: EXE 文件名:您的服务端运行后拷贝到系统目录中的 EXE 文件名。DLL 文件名:您的服务端运行后拷贝到系统目录中的 DLL 文件名。注册表启动项:服务端在注册表中的自启动项目的名称。服务端网络设置: 19HTTP 网页形式 IP 通知:您的服务端将会每隔一段时间从您所设置的 HTTP 网页地址中读取一次您的 IP 地址和端口。请您在“HTTP 网页地址”中设置好您的主页上的 IP 文件地址静态 IP:您的服务端运行后将直接连接到您设置的 IP 地址和端口号,这种设置适合于客户端是固定 IP 和服务端和客户端处于同一局域网
47、并且 IP 地址相对静止的用户。生成文件: 保存文件:就是您的服务端生成的路径,将要写入的文件。保存设置:如果您想把该次的设置保存下来,您可以选“保存设置” 并存成相应的文件,下次只要导入该文件就可以轻松生成服务端了。3. 设置客户端 客户端的网络设置页面: 客户端最大连接数:由于使用者操作系统各有所异,如果使用 WIN9X 的用户本地是不能创建超过一定数目的 SOCKET,因此,9X 的用户请把该数字保持在 30 左右。WINNT,2K,XP 的用户可以把该数字设大点也没有影响。客户端使用端口:就是服务端反弹连接时使用的远程端口,最好是设置为 80,这样更容易突破服务端的 TCP 过滤。如果
48、您的 80 号端口被占用了,可以在此设置另一个使用端口。IP 地址段的过滤:有时候不想让某个网段的机器访问或只想让某个网段的机器连接您的客户段的话,可以在这里输入起止 IP 段。服务端的连接类型: HTTP 网页连接:就是把客户端的 IP 以及开放端口写到一个 HTM 文件中,再把它上传到HTTP 服务器上,服务端每隔一个时间就读取一次该网页的内容,从中还原客户端的 IP 地址和端口,再进行连接,该种连接方式适合于动态 IP 用户。静态 IP 连接:就是指客户端的 IP 地址是固定的,服务端随时都可以连到该机器上,这种连接方式适合两台机器在同一局域网或客户端 IP 固定的用户。4.发 布 服
49、务 端 , 进 行 远 程 控 制 。 广 外 男 生 隐 藏 了 服 务 端 , 只 有 运 行 服 务 端 时 , 服 务 端的 进 程 会 短 时 暴 露 在 任 务 管 理 器 下 , 不 过 是 一 闪 而 过 , 它 运 用 了 DLL 注 入 到 远 程 进 程里 面 , 利 用 dll 插 入 线 程 寄 生 到 Windows 系 统 进 程 (如 explorer)中 , 本 身 没 有 单 独 进程 , 复 制 自 身 到 system32 目 录 下 , 在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 中 添 加 自 己 ,复 制 寄 生 到 进 程 的 一 个 DLL 到 system32 目 录 下 , 随 机 写 入 注 册 表 , 位 置 不 固 定 , 重 启之 后 随 系 统 进 程 启 动 自 身 。5.在 网 上 搜 索 如 何 卸 载 广 外 男 生 。20实验四 windows 漏洞利用实验目的:深入了解系统弱口令和 IPC 共享的原理;利用系统弱口令和 IPC 共享进行攻击。
