木马攻击与防范.doc

. .. 实验3－2　　木马攻击与防范 一　实验目的 通过对木马的练习，理解与掌握木马传播与运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二　实验原理 木马的全称为特洛伊木马，源古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码，它具备破坏、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机中，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 三　实验环境 两台运行Windows 2000/XP的计算机，通过网络连接。使用“冰河”和“广外男生”木马作为练习工具。 任务一　使用冰河对远程计算机进行控制 在一台目标主机上植入木马，在此主机上运行G_server，作为服务器端；在另一台主机上运行G_Client，作为控制端。 在控制端中添加主机，名为T_security，添加目标主机的IP—192.168.1.145。 截下添加成功后的主机画面。 截下捕获远程主机屏幕的画面（整个屏幕）。 尝试打开远程主机的C盘的文件夹，截图。 任务二　手动删除冰河 运行REGEDIT命令打开注册表编辑器，在: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 查看键值中没有自己不熟悉自动启动文件，扩展名为EXE。 一般“冰河”的默认文件名为KERNEL32.EXE，注意此文件的名字可能会被种马的人改变）。 如果有，那我们现在开始进行修改，先删除该键值中这一项，再删除RUNDRIVES 这个键值。 一般“冰河”用户端程序的自我保护设为：关联TXT文件或EXE文件，关联的文件为：SYSEXPLR.EXE。 A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框，选择 “文件类型” 在“已注册文件类型”框中找到“TXT FILE”这一项，看一下 “打开方式”有无变化（一般为：NOTEPAD），如果关联对象不是NOTEPAD， 选择“编辑”按钮，在“操作”框中删除“OPEN”这一项，那关联 TXT文件的 用户程序就失效了。 B、如果是关联的EXE文件，那打开注册表编辑器，在: HKEY_CLASSES_ROOT\.exe中把 “默认”的键值随便改成什么 ： 任务三　广外男生木马的使用 “广外男生”是广外程序员网络小组精心制作的远程控制以及网络监控工具。它采用了“端口反弹”和“线程插入”技术，可以有效逃避防火墙对木马的拦截。 （1）打开广外男生的主程序。 （2）、进行客户端设置。（设置――客户端设置） （3）设置木马的类型，选择固定IP。 （4）进行服务端设置。将EXE文件名设置为zqboy.exe，将DLL文件名设置为zqboy.dll,注册表项目为“广外男生启动项”。 在“网络设置”端口的设置IP和端口。 在“生成文件”中设置生成文件为gwhack.exe。 在目标主机上执行木马程序gwhack.exe，主程序显示连接成功，显示目标主机的IP。 任务四 手动删除广外男生 1.清理注册表。 打开注册表编辑器，展开到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下.删除字符串指gwboy.exe。 然后到HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSIDT,删除ID为{5EAE4ACO-!46E-IID2-A96E-000000000009}的键及其下所有子键和键值。接下来，点击 编辑菜单中的 查找，在注册表编辑器中有哪些信誉好的足球投注网站gwVboydl1.dll，找到所有和它有关的注册表项，全部删除。 2.删除木马文件 删除system32目录下的gwboy.exe。然后进入纯DOS下，输入del winnt\system32\gwVboydll.dll命令，删除system32目录中的gwboydll.dll文件。