1、第 1 页 共 6 页电子信息工程学系实验报告 适用于计算机课程课程名称:信息保障与安全 实验项目名称:木马协议分析 实验时间:2011-11-24 班级:* 姓名:* 学号: * 实 验 目 的: 通过对木马协议的深入研究和分析,进一步了解和掌握木马病毒的工作原理,为预防及检测木马病毒奠定基础。实 验 环 境:1. 虚拟机环境下,分别安装 Windows XP 及 Windows 2000 操作系统;2. “轻松控制”或“冰河”木马;3. ethereal 网络嗅探软件实 验 内 容 及 过 程: 1. 角色的选择Windows XP 系统和 Windows 2000 系统可自行选择角色【肉
2、鸡” (服务器端)和“控制端” (客户端) 】 ,在相应的角色系统中安装木马的 server.exe 及 client.exe,其中 ethereal 嗅探软件运行在客户端监听往来数据。2. “轻松控制”及 Ethereal 网络嗅探软件的使用。3. 过程:a.打开“轻松控制 ”,生成被控制端,将其保存的桌面,打开虚拟机中Windows2000 操作系统,通过共享的方式,将生成的被控制端“server.exe”复制到 Windows2000 的桌面。b.双击虚拟机中“server.exe” ,通过是否与肉鸡的 “轻松控制”连接来实现“未连接” 、 “未连接-连接” 、 “连接后控制”三个阶段,
3、其中“未连接-连接”及“连接后控制”是本实验分析的重点来分析木马协议。实 验 结 果 及 分 析:实验分“未连接” 、 “未连接-连接” 、 “连接后控制”三个阶段,其中“未连接-连接”及“连接后控制”是本实验分析的重点。成 绩:指导教师(签名):第 2 页 共 6 页通过“轻松控制”及 Ethereal 网络嗅探软件我们可以实现对这三个阶段木马协议的监控轻松控制界面Ethereal 网络嗅探软件抓包设置界面第 3 页 共 6 页未连接阶段:中了木偶 2009 的肉鸡每秒向控制端发送 3 次请求,这 3 次请求使用同一端口,而控制端也会有 3 次回应;之后肉鸡请求的连接端口号每秒加 1,并持续
4、发送请求,直到控制端打开指定端口确认为止,此时肉鸡的请求端口作为以后二者的通讯端口;后续实验发现,中了木马的机器在未连接阶段,该特征基本相同,只是在请求连接的频率上有不同:小结:在监控设备端发现类似的连接请求(请求连接的端口固定,连接时间及频率有一定规律性) ,可将其 IP 列入重点监控对象;此项对分析具体的木马类型无用,但可缩小抓包范围。未连接-连接阶段成功连接:第 4 页 共 6 页小结: 未连接-连接阶段的数据包中有较多稳定的特征信息,因此可以作为定位木偶 2009 的主要条件。特征规则总结如下(按数据包出现的先后):1. 肉鸡控制端:两个字节,16 进制表示为(3d,3d) ,数据显示“= = ”,此内容固定。2. 控制端肉鸡:两个字节,16 进制表示为(31,31) ,数据显示“11” ,此内容固定。连接后控制阶段打开 C 盘:开启服务 BR:关闭服务 BR:第 5 页 共 6 页删除进程 Server.U:重启系统:第 6 页 共 6 页小结:实 验 心 得:通过本实验,对于“轻松控制”病毒的种植与运行,Ethereal 网络嗅探软件的使用有了一定的了解。通过对于木马特征的数据分析,对于木马的特征及特性有了一定的熟悉,懂得了端口的是否开放对信息安全与否的重要。
