木馬攻擊實(shí)驗(yàn)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上木馬攻擊實(shí)驗(yàn)應(yīng)用場(chǎng)景計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼 ,對(duì)計(jì)算機(jī)的正常使用進(jìn)行破壞，使得電腦無(wú)法正常使用甚至整個(gè)操作系統(tǒng)或者電腦硬盤(pán)損壞。 就像生物病毒一樣， 計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類(lèi)型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶(hù)傳送到另一個(gè)用戶(hù)時(shí)，它們就隨同文件一起蔓延開(kāi)來(lái)。這種程序不是獨(dú)立存在的，它隱蔽在其他可執(zhí)行的程序之中，既有破壞性，又有傳染性和潛伏性。輕則影響機(jī)器運(yùn)行速度，使機(jī)器不能正常運(yùn)行；重則使機(jī)器處于癱瘓，會(huì)給用戶(hù)帶來(lái)不可估量的損失。通常就把這種具有破壞作用的程序稱(chēng)為計(jì)算機(jī)病毒。除復(fù)制能力外

2、，某些計(jì)算機(jī)病毒還有其它一些共同特性：一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖像上時(shí)，它們可能也已毀壞了文件、再格式化了你的硬盤(pán)驅(qū)動(dòng)或引發(fā)了其它類(lèi)型的災(zāi)害。 若是病毒并不寄生于一個(gè)污染程序， 它仍然能通過(guò)占據(jù)存貯空間給你帶來(lái)麻煩，并降低你的計(jì)算機(jī)的全部性能。病毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)進(jìn)行傳播， 提高系統(tǒng)的安全性是防病毒的一個(gè)重要方面， 但完美的系統(tǒng)是不存在的， 過(guò)于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時(shí)間用于病毒檢查，系統(tǒng)失去了可用性、實(shí)用性和易用性，另一方面，信息保密的要求讓人們?cè)谛姑芎妥プ〔《局g無(wú)法選擇。 病毒與反病毒將作為一種技術(shù)對(duì)抗長(zhǎng)期存在， 兩種

3、技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)展而得到長(zhǎng)期的發(fā)展。“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過(guò)將自身偽裝吸引用戶(hù)下載執(zhí)行，向施種木馬者提供打開(kāi)被種者電腦的門(mén)戶(hù)，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。它是指通過(guò)一段特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶(hù)端，即控制端，另一個(gè)是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。實(shí)訓(xùn)目標(biāo)：l 掌握木馬攻擊的原理；l 了解通過(guò)木馬對(duì)被控制主機(jī)的攻擊過(guò)程l 了解典型

4、的木馬的破壞結(jié)果；實(shí)訓(xùn)環(huán)境：虛擬機(jī)： Windows XP，灰鴿子客戶(hù)端軟件Client 為攻擊端，Server 為被攻擊端實(shí)訓(xùn)過(guò)程指導(dǎo)：木馬，全稱(chēng)為：特洛伊木馬（Trojan Horse） 。 “特洛伊木馬”這一詞最早出先在希臘神話(huà)傳說(shuō)中。相傳在 3000 年前，在一次希臘戰(zhàn)爭(zhēng)中。麥尼勞斯（人名）派兵討伐特洛伊（王國(guó)） ，但久攻不下。他們想出了一個(gè)主意：首先他們假裝被打敗，然后留下一個(gè)木馬。而木馬里面卻藏著最強(qiáng)悍的勇士。最后等時(shí)間一到，木馬里的勇士全部沖出來(lái)把敵人打敗了。這就是后來(lái)有名的“木馬計(jì)”把預(yù)謀的功能隱藏在公開(kāi)的功能里，掩飾真正的企圖。計(jì)算機(jī)木馬程序一般具有以下幾個(gè)特征：1.主程序有

5、兩個(gè)，一個(gè)是服務(wù)端，另一個(gè)是控制端。服務(wù)端需要在主機(jī)執(zhí)行。2.當(dāng)控制端連接服務(wù)端主機(jī)后，控制端會(huì)向服務(wù)端主機(jī)發(fā)出命令。而服務(wù)端主機(jī)在接受命令后，會(huì)執(zhí)行相應(yīng)的任務(wù)。一般木馬程序都是隱蔽的進(jìn)程,不易被用戶(hù)發(fā)現(xiàn)。啟動(dòng)虛擬機(jī)，并設(shè)置虛擬機(jī)的 IP 地址，以虛擬機(jī)為目標(biāo)主機(jī)進(jìn)行實(shí)驗(yàn)。個(gè)別實(shí)驗(yàn)學(xué)生可以以 2 人一組的形式，互為攻擊方和被攻擊方來(lái)做實(shí)驗(yàn)。1. 木馬制作1）根據(jù)攻防實(shí)驗(yàn)制作灰鴿子木馬，首先配置服務(wù)程序。2）啟動(dòng)項(xiàng)配置3）在自動(dòng)上線(xiàn)設(shè)置中填寫(xiě)本機(jī)的 IP 地址。4）在高級(jí)設(shè)置，選擇使用瀏覽器進(jìn)程啟動(dòng)，并生成服務(wù)器程序。2. 木馬種植通過(guò)漏洞或溢出得到遠(yuǎn)程主機(jī)權(quán)限，上傳并運(yùn)行灰鴿子木馬，本地對(duì)植入

6、灰鴿子的主機(jī)進(jìn)行連接，看是否能連接灰鴿子。(如無(wú)法獲得遠(yuǎn)程主機(jī)權(quán)限可將生成的服務(wù)器程序拷貝到遠(yuǎn)程主機(jī)并運(yùn)行)3. 木馬分析將木馬制作實(shí)驗(yàn)中產(chǎn)生的服務(wù)器端程序在網(wǎng)絡(luò)上的另外一臺(tái)主機(jī)上1) 察看端口當(dāng)灰鴿子的客戶(hù)端服務(wù)器啟動(dòng)之后， 會(huì)發(fā)現(xiàn)本地灰鴿子客戶(hù)端有主機(jī)上線(xiàn)， 說(shuō)明灰鴿子已經(jīng)啟動(dòng)成功。查看遠(yuǎn)程主機(jī)的開(kāi)放端口如下圖， 肉雞192.168.1.54 正在與本地192.168.1.15 連接，表示肉雞已經(jīng)上線(xiàn)，可以對(duì)其進(jìn)行控制。2) 查看進(jìn)程啟動(dòng)icesword 檢查開(kāi)放進(jìn)程， 進(jìn)程中多出了IEXPLORE.exe 進(jìn)程， 這個(gè)進(jìn)程即為啟動(dòng)灰鴿子木馬的進(jìn)程，起到了隱藏灰鴿子自身程序的目的。3) 查看服務(wù)進(jìn)入控制面板的“服務(wù)”，增加了一個(gè)名為huigezi 的服務(wù)，該服務(wù)為啟動(dòng)計(jì)算機(jī)時(shí)，灰鴿子的啟動(dòng)程序。4) 卸載灰鴿子首先，停止當(dāng)前運(yùn)行的IEXPLORE 程序，并停止huigezi 服務(wù)，將windows 目