实验五（选做二）木马和防火网络与信息安全实验报告.docVIP

实验 同组实验者 实验日期 成绩 1.剖析网页木马的工作原理2.理解木马的植入过程3.学会编写简单的网页木马脚本4.通过分析监控信息实现手动删除木马灰鸽子木马监控器工具网络协议分析器一、实验原理详见“信息安全实验平台”，“实验”，“练习一”。 二、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。下面以主机A、B为例，说明实验步骤。首先使用“快照X”恢复Windows系统环境。实验角色说明如下： 实验主机 实验角色 主机A、C、E 木马控制端（木马客户端） 主机B、D、F 木马被控端（木马服务器） 一．木马生成与植入在进行本实验步骤之前，阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程，便于理解和完成实验。（1）用户访问被“挂马”的网站主页。（此网站是安全的）（2）“挂马”网站主页中的iframe代码链接一个网址（即一个网页木马），使用户主机自动访问网页木马。（通过把iframe设置成不可见的，使用户无法察觉到这个过程）（3）网页木马在得到用户连接后，自动发送安装程序给用户。（4）如果用户主机存在MS06014漏洞，则自动下载木马安装程序并在后台运行。（5）木马安装成功后，木马服务端定时监测控制端是否存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。（6）客户端收到连接请求，建立连接。1．生成网页木马（1）主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。（2）主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。（3）主机A生成木马的“服务器程序”。主机A单击木马操作界面工具栏“配置服务程序”按钮，弹出“服务器配置”对话框,单击“自动上线设置”属性页，在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址，在“保存路径”文本框中输入“D:\Work\IIS\Server_Setup.exe”，单击“生成服务器”按钮，生成木马“服务器程序”。（4）主机A编写生成网页木马的脚本。在桌面建立一个“Trojan.txt”文档，打开“Trojan.txt”，将实验原理中网马脚本写入，并将脚本第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”，生成“Trojan.htm”。将生成的“Trojan.htm”文件保存到“D:\Work\IIS\”目录下(“D:\Work\IIS\”为“木马网站”的网站空间目录)，“Trojan.htm”文件就是网页木马程序。2．完成对默认网站的“挂马”过程（1）主机A进入目录“C:\Inetpub\wwwroot”，使用记事本打开“index.html”文件。（“默认网站”的网站空间目录为“C:\Inetpub\wwwroot\”,主页为“index.html”）（2）对“index.html”进行编辑。在代码的底部加上iframe语句，具体见实验原理｜名词解释｜iframe标签（需将/index.html修改为http://本机IP:9090/Trojan.htm），实现从此网页对网页木马的链接。3．木马的植入（1）主机B设置监控。主机B进入实验平台，单击工具栏“监控器”按钮，打开监控器。在向导栏中依次启动“进程监控”、“端口监控”，选择“文件监控”，在菜单栏中选择“选项”|“设置”，在设置界面中设置监视目录“C:\Windows\”（默认已被添加完成），操作类型全部选中，启动文件监控。启动协议分析器，单击菜单“设置”｜“定义过滤器”，在弹出的“定义过滤器”对话框中选择“网络地址”选项卡，设置捕获主机A与主机B之间的数据。新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。主机B启动IE浏览器，访问“http://主机A的IP地址”。（2）主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。（3）主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。在“进程监控”|“变化视图”中查看是否存在“进程映像名称”为“H.ini”的新增条目。观察进程监控信息，结合实验原理回答下面的问题。H.ini文件是由哪个进程创建的：；在“服务监控”中单击工具栏中的“刷新”按钮，查看是否存在“服务名称”为“Windows XP Vista” 的新增条目，观察服务监控信息，回答下面的问题。Windows XP vista服务的执行体文件是：；在“文件监控”中查看“文件名”为“C:\WINDOWS\H.ini”的新增条目。在“端口监控”中查看“远程端口”为“8000”的新增条目，观察端口监控信息，回答下面问题：8000