公安信息系统应用课程设计报告书.docx
《公安信息系统应用课程设计报告书.docx》由会员分享,可在线阅读,更多相关《公安信息系统应用课程设计报告书.docx(22页珍藏版)》请在冰豆网上搜索。
公安信息系统应用课程设计报告书
政法学院
公安信息系统应用课程设计
题目木马攻击
公安技术学院网络安全与执法专业
2014级1班
学号:
7
姓名:
洋
指导教师:
王云峰
成绩:
完成时间:
2017年7月
一.实验目的
1.学习冰河木马远程控制软件的使用
2.了解木马和计算机病毒的区别
3.熟悉使用木马进行网络攻击的原理和方法
4.通过手动删除木马,掌握检查木马和删除木马的技巧
5.学会防御木马的相关知识,加深对木马的安全防意识
二.实验原理
木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
木马与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是善意的控制,因此通常不具有隐蔽性;木马则完全相反,木马要达到的是偷窃性的远程控制。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:
一个是客户端,即控制端,另一个是服务端,即被控制端。
植入被种者电脑的是服务器部分,而黑客正是利用控制器进入运行了服务器的电脑。
运行了木马程序的服务器以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障。
木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。
木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1、木马的特性
木马程序为了实现某特殊功能,一般应该具有以下性质:
(1)伪装性:
程序把自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在XX的情况下装载到系统中并开始运行。
(2)隐藏性:
木马程序同病毒一样,不会暴露在系统进程管理器,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:
通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。
(4)窃密性:
木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2、木马的入侵途径
木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,如微软的IIS服务存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权县,然后在被攻的服务器上安装并运行木马。
3、木马的种类
按照木马的发展历程,可以分为四个阶段:
第一代木马是伪装型病毒,将病毒伪装成一合法的程序让用户运行。
第二代木马是网络传播型木马,它具备伪装和传播两种功能,可以近些年歌迷马窃取、远程控制。
第三代木马在连接方式上有了改进,利用率端口反弹技术。
第四代木马在进程隐藏方面作了较大改动,让木马服务器运行时没有进程,网络操作插入到系统进程或者应用进程完成。
按照功能分类,木马可以分为:
破坏型木马,主要功能是破坏删除文件;密码发送型木马,它可以找到密码并发送到指定的中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文件;DOS攻击型木马,它可以作为被黑客控制的肉鸡实施DOS攻击;代理型木马,它作为黑客发起攻击的跳板;远程控制型木马,可以使攻击者利用客户端软件完全控制。
4、木马的工作原理
下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。
(1)木马的传统连接技术
一般木马都采用C/S运行模式,因此它分为两部分,即客户端和服务器端木马程序。
其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端的木马程序就会自动运行,来应答客户端的请求,从而建立连接。
第一代和第二代木马都采用的是C/S连接方式,都属于客户端主动连接方式。
服务器端的远程主机开放监听端口等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。
(2)木马的反弹端口技术
随着防火墙技术的发展,它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。
但防火墙对部发起的连接请求则认为是正常连接,第三代和第四代“反弹式”木马就是利用这个缺点,其服务器端程序主动放弃对外连接请求,再通过某些方式连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求,而客户端是被动的连接。
根据客户端IP地址是静态的还是动态的,反弹式端口连接可以有两种方式。
反弹端口连接方式一要求入侵者在设置服务器端的时候,指明客户端的IP地址和待连接端口,也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。
所以这种方式只适用于客户端IP地址是静态的情况。
反弹端口连接方式二在连接建立过程中,入侵者利用一个“代理服务器”保存客户端的IP地址和待连接端口,在客户端的IP地址是动态的情况下,只要入侵者更新“代理服务”中存放的IP地址预端口号,远程被入侵主机就可以通过先连接到“代理服务器”。
查询最新木马客户端信息,再和入侵者(客户端)进行连接。
因此,这种连接方式适用于客户端和服务器端都是动态IP地址的情况,况且还可以穿透更加严密的防火墙。
表1反弹端口连接方式及其使用围
反弹端口连接方式
使用围
方式一
1.客户端和服务器端都是独立IP。
2.客户端独立IP,服务器端在局域网。
3.客户端和服务器端都在同一局域网。
方式二
1.客户端和服务器端都是独立IP。
2.客户端独立IP,服务器端在局域网。
(3)线程插入技术
一个应用程序在运行之后,都会在系统中产生一个进程,同时每个进程分别对应另一个不同的进程标识符(PID)。
系统会分配一个虚拟的存空间地址端给这个进程,一切相关的程序操作,都会在这个虚拟的空间进行。
一个进程可以对应一个或多个线程,线程之间可以同步执行。
一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。
“线程插入”技术就是利用了线程之间运行的相对独立性,使木马完全的融进了系统的核。
这种技术把木马程序作为一个线程,把自身插入其他应用程序的地址空间。
而这个被插入的应用程序对系统来说,是一个正常的程序,这样就达到了彻底隐藏的效果。
系统运行时会有许多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。
三.实验环境
两台装有Windows2000/XP系统的计算机,局域网或Internet,冰河木马软件(服务器和客户端)。
四.实验步骤和方法
双击冰河木马.rar文件,将其进行解压,解压路径可以自定义。
解压过程见图1—图4,解压结果如图4所示。
图1
图2
图3
冰河木马共有两个应用程序,见图4,其中win32.exe是服务器程序,属于木马受控端程序,种木马时,我们需将该程序放入到受控端的计算机中,然后双击该程序即可;另一个是木马的客户端程序,属于木马的主控端程序。
图4
在种木马之前,我们在受控端计算机中打开注册表,查看打开txtfile的应用程序注册项:
HKEY_CLASSES_ROOT\txtfile\shell\open\command,可以看到打开.txt文件默认值是c:
\winnt\system32\notepad.exe%1,见图5。
图5
再打开受控端计算机的c:
\winnt\system32文件夹(XP系统为C:
\windows\system32),我们不能找到sysexplr.exe文件,如图6所示。
图6
现在我们在受控端计算机中双击Win32.exe图标,将木马种入受控端计算机中,表面上好像没有任何事情发生。
我们再打开受控端计算机的注册表,查看打开.txt文件的应用程序注册项:
HKEY_CLASSES_ROOT\txtfile\shell\open\command,可以发现,这时它的值为C:
\winnt\system32\sysexplr.exe%1,见图7。
图7
我们再打开受控端计算机的C:
\WINNT\System32文件夹,这时我们可以找到sysexplr.exe文件,如图8所示。
图8
我们在主控端计算机中,双击Y_Client.exe图标,打开木马的客户端程序(主控程序)。
可以看到如图9所示界面。
图9
我们在该界面的【访问口令】编辑框中输入访问密码:
12211987,设置访问密码,然后点击【应用】,见图10。
图10
点击【设置】->【配置服务器程序】菜单选项对服务器进行配置,见图11,弹出图12所示的服务器配置对话框。
图11
在服务器配置对话框中对待配置文件进行设置,如图12点击该按钮,找到服务器程序文件win32.exe,打开该文件(图13);再在访问口令框中输入12211987,然后点击【确定】(见图14),就对服务器已经配置完毕,关闭对话框。
图12
图13
图14
现在在主控端程序中添加需要控制的受控端计算机,我们先在受控端计算机中查看其IP地址,如图15(本例中为172.16.8.62)。
图15
这时可以在我们的主控端计算机程序中添加受控端计算机了,详细过程见图16、图17。
图16
图17
当受控端计算机添加成功之后,我们可以看到图18所示界面。
图18
我们也可以采用自动搜索的方式添加受控端计算机,方法是点击【文件】->【自动搜索】,打开自动搜索对话框(见图19)。
图19
搜索结束时,我们发现在搜索结果栏中IP地址为172.16.8.62的项旁状态为OK,表示搜索到IP地址为172.16.8.62的计算机已经中了冰河木马,且系统自动将该计算机添加到主控程序中,见图20。
图20
将受控端计算机添加后,我们可以浏览受控端计算机中的文件系统,见图21—图23。
图21
图22
图23
我们还可以对受控端计算机中的文件进行复制与粘贴操作,见图24、图25。
图24
图25
我们在受控端计算机中进行查看,可以发现在相应的文件夹中确实多了一个刚复制的文件,见图26,该图为受控端计算机中文件夹。
图26
我们可以在主控端计算机上观看受控端计算机的屏幕,方法见图27、图28。
图27
图28
这时在屏幕的左上角有一个窗口,该窗口中的图像即受控端计算机的屏幕见图29。
图29
我们将左上角的窗口全屏显示,可得如图30所示(屏幕的具体状态应视具体实验而不同)。
图30
我们在受控端计算机上进行验证发现:
主控端捕获的屏幕和受控端上的屏幕非常吻合。
见图31。
图31
我们可以通过屏幕来对受控端计算机进行控制,方法见图32,进行控制时,我们会发现操作远程主机,就好像在本地机进行操作一样。
图32
我们还可以通过冰河信使功能和服务器方进行聊天,具体见图33—图35,当主控端发起信使通信之后,受控端也可以向主控端发送消息了。
图33
图34
图35
展开命令控制台,分为“口令类命令”、“注册表读表”、“设置类命令”。
(1)口令命令类:
①“系统信息及口令“:
可以查看远程主机的系统信息、开机口令、缓存口令等。
②“历史口令”:
可以查看远程主机以往使用的口令。
③“击键记录”:
启动键盘记录以后,可以记录远程主机用户击键记录,以此可以分析出远程主机的各种和口令或各种秘密信息。
(2)控制类命令
捕获屏幕”:
这个功能可以使控制端使用者查看远程主机的屏幕,好像远程主机就在自己面前一样,这样更有利于窃取各种信息。
单击“查看屏幕”,弹出远程主机界面。
“发送信息”:
这个功能可以使你向远程计算机发送Windows标准的各种信息。
“进程管理”:
这个功能可以使控制者查看远程主机上所有的进程。
“窗口管理”:
这个功能可以使远程主机上的窗口进行刷新、最大化、最小化、激活、隐藏等操作。
“系统管理”:
该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。
“其他控制”:
该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、注册表锁定等操作。
(3)网络类命令:
①“创建共享”:
在远程主机上创建自己的共享。
②“删除共享”:
在远程主机上删除某个特定的共享。
③“网络信息”:
查看远程主机上的共享信息,单击“查看共享”可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。
⑷文件类命令:
展开文件类命令、文件浏览、文件查找、文件压缩、文件删除、文件打开等菜单可以查看、查找、压缩、删除、打开远程主机上的某个文件。
目录增删、目录复制、主键增删、主键复制的功能。
注册表读写:
提供了键值读取,键值写入,键值重命名、主键浏览、主键删除、主键复制的功能。
设置类命令:
提供了更换墙纸、更改计算机名、服务器端配置的功能。
3、删除冰河木马
删除冰河木马主要有以下几种方法:
1客户端的自动卸载功能,而实际情况中木马客户端不可能为木马服务器自动卸载木马。
2手动卸载:
查看注册表,在“开始”中运行regedit,打开Windows注册表编辑器。
依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CruuentVersion\run.
在目录中发现一个默认的键值:
C:
\WINNT\System32\kernel32.exe,这个就是冰河木马在注册表中加入的键值,将它删除。
然后依次打开子键目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind-
ows\CurrentVersion\Runservices,在目录中也发现一个默认键值:
C:
\WINNT\System32\
kernel32.exe,这个也是冰河木马在注册表中加入的键值,删除。
进入C:
\WINNT\System32目录,找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe,删除。
修改文件关联时木马常用的手段,冰河木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序,此外html、exe、zip、com等都是木马的目标。
所以还需要恢复注册表中的txt文件关联功能。
将注册表中HKEY_CLASSES_ROOT\txtfile\shell\open\
command下的默认值,由中木马后的C:
\Windows\SSystem\Susex-plr.exe%1改为正常情况下的C:
\Windows\notepad.exe%1。
3、木马的防
木马的危害显而易见,防木马的方法主要有:
1提高防意识,不要打开陌生人传来的可疑和附件。
确认来信的源地址是否合法。
2如果网速变慢,往往是因为入侵者使用的木马抢占带宽。
双击任务栏右下角连接图标,仔细观察发送“已发送字节”项,如果数字比较大,可以确认有人在下在你的硬盘文件,除非你正使用FTP等协议进行文件传输。
3察看本机的连接,在本机上通过netstat-an(或第三方程序)查看所有的TCP/UDP连接,当有些IP地址的连接使用不常见的端口与主机通信时,这个连接九需要进一步分析。
4木马可以通过注册表启动,所以通过检查注册表来发现木马在注册表里留下的痕迹。
5使用杀毒软件和防火墙。
五.实验总结
在这次的计算机网络安全实验中,我们主要是学习木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防意识。
虽然在实验的过程中出现过很多问题,但在老师跟同学的帮助之下,都一一解决了,通过本次木马的攻击与防实验,让我认识到计算机网络安全的重要性,我们要提高自己的防意识,使用杀毒软件和防火墙。
升级会员 