网络安全(计算机病毒及恶意代码).pdfVIP

精品文档 实验二：计算机病毒及恶意代码 【实验目的】 练习木马程序安装和攻击过程， 了解木马攻击原理， 掌握手工查杀木马的基本方法， 提 高自己的安全意识。 【实验内容】 安装木马程序 NetBus ，通过冰刃 iceberg 、autoruns.exe 了解木马的加载及隐藏技术 【实验步骤】 1、 木马安装和使用 NetBus 不是病毒，但被认为是特洛伊木马。它十分广泛，常被用来偷窃数据和删除文 件。 Netbus 允许黑客读取数据和在远程控制一些视窗功能。 Netbus 工具有客户和服务器部 分。服务器部分安装在远端用于存储的系统中。 Netbus1.60 版的服务器是视窗 PE文件，叫 PATCH.EXE。在执行过程中，服务器把自己安装在 Windows 目录，并在视窗下次启动时自动 运行。 。 1欢迎下载 精品文档 。 2欢迎下载 精品文档 运行界面 。 3欢迎下载 精品文档 2.NetBus 的攻击原理 NetBus 由两部分组成：客户端程序（ netbus.exe ）和服务器端程序（通常文件名为： patch.exe ）。要想“控制” 远程机器， 必须先将服务器端程序安装到远程机器上－－这一般 是通过远程机器的主人无意中运行了带有 NetBus 的所谓特洛伊木马程序后完成的。这是特 洛伊木马程序的由来， 也是此类程序发挥作用的关键！ 因此，不要贸然运行网上下来的程序！ 这永远是金玉良言！ 特别是 NetBus 1.70 ，它在以前的版本上增加了许多 “新功能”，从而使它更具危险性！ 比如： NetBus 1.60 只能使用固定的服务器端 TCP/IP 端口： 12345 ，而在 1.70 版本中则允 许任意改变端口号，从而减少了被发现的可能性；重定向功能（ Redirection ）更使攻击者 可以通过被控制机控制其网络中的第三台机器， 从而伪装成内部客户机。 这样， 即使路由器 拒绝外部地址， 只允许内部地址相互通信， 攻击者也依然可以占领其中一台客户机并对网中 其它机器进行控制。 发现并清除 NetBus 的方法不过， NetBus 尽管厉害，发现并去除它却并不困难。 通常， NetBus 服务器端程序是放在 Windows 的系统目录中的，它会在 Windows 启动时自动 启动。该程序的文件名是 patch.exe ，如果该程序通过一个名为 whackamole.exe 的游戏安 装潜伏的话， 文件名应为 explore.exe （注意：不是 explorer.exe ！）或者简单地叫 game.exe 。 同时，你可以检查 Windows 系统注册表， NetBus 会在下面路径中加入其自身的启动项： \\HKEY_LOCAL_MACHINESOFTWARE\\Micros