信息系統(tǒng)安全-計算機病毒實驗-L002003013-windows下手工木馬檢測

1、課程編寫類別內(nèi)容實驗課題名稱L002003013-windows下手工木馬檢測實驗?zāi)康呐c要求1、檢查網(wǎng)絡(luò)連接情況2、查看目前運行的服務(wù)3、檢查系統(tǒng)啟動項4、檢查系統(tǒng)帳戶實驗環(huán)境VPC1(虛擬PC）操作系統(tǒng)類型：windows，網(wǎng)絡(luò)接口：eth0VPC1連接要求PC 網(wǎng)絡(luò)接口，與實驗室網(wǎng)絡(luò)相連實驗環(huán)境描述1、學(xué)生機與實驗室網(wǎng)絡(luò)直連;2、VPC1與實驗室網(wǎng)絡(luò)直連;3、學(xué)生機與VPC1物理鏈路連通預(yù)備知識“木馬”與計算機網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強的隱蔽

2、性的話，那就是“毫無價值”的。它是指通過一段特定的程序（木馬程序）來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端；另一個是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進入運行了“服務(wù)器”的電腦。運行了木馬程序的“服務(wù)器”以后，被種者的電腦就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進入電腦系統(tǒng)，安全和個人隱私也就全無保障了！ 木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計算機增加口令，瀏覽、移動、復(fù)制、刪除文件，修改注冊表，更改

3、計算機配置等。隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒后發(fā)覺。     那么，我們在不依賴殺毒軟件的時候，作為一名信息安全員，我們該如何去檢測計算機中，是否中了木馬呢！那就跟我一起來看看吧！ 相信你一定有不少收獲。實驗內(nèi)容1、檢查網(wǎng)絡(luò)連接情況2、查看目前運行的服務(wù)3、檢查系統(tǒng)啟動項4、檢查系統(tǒng)帳戶實驗步驟l  學(xué)生登錄實驗場景的操作1、學(xué)生單擊“網(wǎng)絡(luò)拓?fù)洹边M入實驗場景，單擊windows2003中的“打開控制臺”按鈕，進入目標(biāo)主機。2.登陸系

4、統(tǒng)，輸入賬號administrator ，密碼1234563. 檢查網(wǎng)絡(luò)連接情況   由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以我們可以在沒有正常程序連接網(wǎng)絡(luò)的情況下，通過檢查網(wǎng)絡(luò)連情情況來發(fā)現(xiàn)木馬的存在。具體的步驟是點擊“開始”->“運行”->“cmd”，然后輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口，它包含四個部分-proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前

5、端口狀態(tài))。通過這個命令的詳細(xì)信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。4. 查看目前運行的服務(wù)   服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠(yuǎn)能處于運行狀態(tài)的方法之一。我們可以通過點擊“開始”->“運行”->“cmd”，然后輸入“net start”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。5. 檢查系統(tǒng)啟動項  由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下:點擊“開始”->

6、;“運行”->“regedit”，然后檢查HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以“run”開頭的鍵值;檢查HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion下所有以“run”開頭的鍵值;檢查HKEY-USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以“run”開頭的鍵值。Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看， 打

7、開C盤下的windows 目錄，找到System.ini文件。在該文件的boot字段中，是不是有shell=Explorer.exe file.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了!6. 檢查系統(tǒng)帳戶      惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認(rèn)賬戶，但這個賬戶卻很少用的，然后把這個賬戶的權(quán)限提升為管理員權(quán)限，這個帳戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方

8、法對賬戶進行檢測。     點擊“開始”->“運行”->“cmd”，然后在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用“net user 用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了。快使用“net user用戶名/del”來刪掉這個用戶吧! 7.如果檢查出有木馬的存在，可以按以后步驟進行殺

9、木馬的工作。1、運行任務(wù)管理器，殺掉木馬進程。 2、檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址， 再將可疑的刪除。3、刪除上述可疑鍵在硬盤中的執(zhí)行文件。4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復(fù)制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。5、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的幾項(如Local Page)，如果被修改了，改回來就可以。6、檢查HKEY_CLASSES_ROOTtxtfileshellopenc