公安信息系統(tǒng)應(yīng)用課程設(shè)計

1、公安信息系統(tǒng)應(yīng)用課程設(shè)計甘肅政法學(xué)院公安信息系統(tǒng)應(yīng)用課程設(shè)計題目木馬攻擊公安技術(shù)學(xué)院網(wǎng)絡(luò)安全與執(zhí)法專業(yè)級1班學(xué) 號：83030127姓 名：劉洋指導(dǎo)教師：王云峰成 績：完成時間：年7月實驗?zāi)康膶W(xué)習冰河木馬遠程控制軟件的使用了解木馬和計算機病毒的區(qū)別熟悉使用木馬進行網(wǎng)絡(luò)攻擊的原理和方法經(jīng)過手動刪除木馬，掌握檢查木馬和刪除木馬的技巧學(xué)會防御木馬的相關(guān)知識，加深對木馬的安全防范意識實驗原理木馬程序是當前比較流行的病毒文件，與一般的病毒不同， 它不會自我繁殖，也并不刻意地去感染其它文件，它經(jīng)過將自身 偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門 戶，使施種者能夠任意毀壞、竊取被種者的文件，

2、甚至遠程操控 被種者的電腦。木馬與計算機網(wǎng)絡(luò)中常常要用到的遠程控制軟件 有些相似，但由于遠程控制軟件是善意的控制，因此一般不具有 隱蔽性；木馬則完全相反，木馬要達到的是偷竊性的遠程控制。它是指經(jīng)過一段特定的程序（木馬程序）來控制另一臺計算 機。木馬一般有兩個可執(zhí)行程序：一個是客戶端，即控制端，另 一個是服務(wù)端，即被控制端。植入被種者電腦的是服務(wù)器部分， 而黑客正是利用控制器進入運行了服務(wù)器的電腦。運行了木馬程 序的服務(wù)器以后，被種者的電腦就會有一個或幾個端口被打開， 使黑客能夠利用這些打開的端口進入電腦系統(tǒng)，安全和個人隱私 也就全無保障。木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，而采用多種 手段隱藏木馬

3、。木馬的服務(wù)一旦運行并被控制端連接，其控制端 將享有服務(wù)端的大部分操作權(quán)限，例如給計算機增加口令，瀏 覽、移動、復(fù)制、刪除文件，修改注冊表，更改計算機配置等。隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來越 大，特別是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使 普通用戶很難在中毒后發(fā)覺。木馬是隱藏在正常程序中的具有特 殊功能的惡意代碼，是具備破壞、刪除和修改文件、發(fā)送密碼、 記錄鍵盤、實施DOS攻擊甚至完全控制計算機等特殊功能的后門 程序。它隱藏在目標的計算機里，能夠隨計算機自動啟動并在某 一端口監(jiān)聽來自控制端的控制信息。1、木馬的特性木馬程序為了實現(xiàn)某特殊功能，一般應(yīng)該具有以下性質(zhì)：（

4、1）偽裝性：程序把自己的服務(wù)器端偽裝成合法程序，而且誘惑 被攻擊者執(zhí)行，使木馬代碼會在未經(jīng)授權(quán)的情況下裝載到系 統(tǒng)中并開始運行。（2）隱藏性：木馬程序同病毒一樣，不會暴露在系統(tǒng)進程管理器 內(nèi)，也不會讓使用者察覺到木馬的存在，它的所有動作都是 伴隨其它程序進行的，因此在一般情況下使用者很難發(fā)現(xiàn)系 統(tǒng)中有木馬的存在。（3）破壞性：經(jīng)過遠程控制，攻擊者能夠經(jīng)過木馬程序?qū)ο到y(tǒng)中 的文件進行刪除、編輯操作，還能夠進行諸如格式化硬盤、 改變系統(tǒng)啟動參數(shù)等個性破壞操作。（4）竊密性：木馬程序最大的特點就是能夠窺視被入侵計算機上 的所有資料，這不但包括硬盤上的文件，還包括顯示器畫 面、使用者在操作電腦過程中在

5、硬盤上輸入的所有命令等。2、木馬的入侵途徑木馬入侵的主要途徑是經(jīng)過一定的欺騙方法，如更改圖標、把 木馬文件與普通文件合并，欺騙被攻擊者下載并執(zhí)行做了手腳 的木馬程序，就會把木馬安裝到被攻擊者的計算機中。木馬也 能夠經(jīng)過Script、ActiveX及ASP、CGI交互腳本的方式入 侵，由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞， 攻擊者能夠利用這些漏洞又到上網(wǎng)者單擊網(wǎng)頁，這樣IE瀏覽 器就會自動執(zhí)行腳本，實現(xiàn)木馬的下載和安裝。木馬還能夠利 用系統(tǒng)的一些漏洞入侵，如微軟的IIS服務(wù)存在多種溢出漏 洞，經(jīng)過緩沖區(qū)溢出攻擊程序造成IIS服務(wù)器溢出，獲得控制 權(quán)縣，然后在被攻的服務(wù)器上安裝并運

6、行木馬。3、木馬的種類按照木馬的發(fā)展歷程，能夠分為四個階段：第一代木馬是 偽裝型病毒，將病毒偽裝成一合法的程序讓用戶運行。第二代 木馬是網(wǎng)絡(luò)傳播型木馬，它具備偽裝和傳播兩種功能，能夠近 些年歌迷馬竊取、遠程控制。第三代木馬在連接方式上有了改 進，利用率端口反彈技術(shù)。第四代木馬在進程隱藏方面作了較 大改動，讓木馬服務(wù)器運行時沒有進程，網(wǎng)絡(luò)操作插入到系統(tǒng) 進程或者應(yīng)用進程完成。按照功能分類，木馬能夠分為：破壞型木馬，主要功能是 破壞刪除文件；密碼發(fā)送型木馬，它能夠找到密碼并發(fā)送到指 定的郵箱中；服務(wù)型木馬，它經(jīng)過啟動FTP服務(wù)或者建立共享 目錄，使黑客能夠連接并下載文件；DOS攻擊型木馬，它能夠

7、作為被黑客控制的肉雞實施DOS攻擊；代理型木馬，它作為黑 客發(fā)起攻擊的跳板；遠程控制型木馬，能夠使攻擊者利用客戶 端軟件完全控制。4、木馬的工作原理下面介紹木馬的傳統(tǒng)連接技術(shù)、反彈端口技術(shù)和線程插入技 術(shù)。（1）木馬的傳統(tǒng)連接技術(shù)一般木馬都采用C/S運行模式，因此它分為兩部 分，即客戶端和服務(wù)器端木馬程序。其原理是，當服務(wù) 器端程序在目標計算機上被執(zhí)行后，一般會打開一個默 認的端口進行監(jiān)聽，當客戶端向服務(wù)器端主動提出連接 請求，服務(wù)器端的木馬程序就會自動運行，來應(yīng)答客戶 端的請求，從而建立連接。第一代和第二代木馬都采用的是C/S連接方式，都 屬于客戶端主動連接方式。服務(wù)器端的遠程主機開放監(jiān) 聽

8、端口等待外部的連接，當入侵者需要與遠程主機連接 時，便主動發(fā)出連接請求，從而建立連接。（2）木馬的反彈端口技術(shù)隨著防火墻技術(shù)的發(fā)展，它能夠有效攔截采用傳 統(tǒng)連接方式從外部主動發(fā)起連接的木馬程序。但防火 墻對內(nèi)部發(fā)起的連接請求則認為是正常連接，第三代 和第四代“反彈式”木馬就是利用這個缺點，其服務(wù) 器端程序主動放棄對外連接請求，再經(jīng)過某些方式連 接到木馬的客戶端，就是說“反彈式”木馬是服務(wù)器 端主動發(fā)起連接請求，而客戶端是被動的連接。根據(jù)客戶端IP地址是靜態(tài)的還是動態(tài)的，反彈式 端口連接能夠有兩種方式。反彈端口連接方式一要求入侵者在設(shè)置服務(wù)器端的 時候，指明客戶端的IP地址和待連接端口，也就是遠

9、 程被入侵的主機預(yù)先知道客戶端的 IP地址和連接端 口。因此這種方式只適用于客戶端IP地址是靜態(tài)的情 況。反彈端口連接方式二在連接建立過程中，入侵者利用一個“代理服務(wù)器”保存客戶端的IP地址和待連 接端口，在客戶端的IP地址是動態(tài)的情況下，只要入 侵者更新“代理服務(wù)”中存放的IP地址預(yù)端口號，遠 程被入侵主機就能夠經(jīng)過先連接到“代理服務(wù)器”。查詢最新木馬客戶端信息，再和入侵者（客戶端）進行 連接。因此，這種連接方式適用于客戶端和服務(wù)器端都是動態(tài)IP地址的情況，況且還能夠穿透更加嚴密的 防火墻。表1反彈端口連接方式及其使用范圍反彈端口連接方式使用范圍方式一客戶端和服務(wù)器端都是獨立IP?？蛻舳霜毩?/p>

10、IP，服務(wù)器端在局域網(wǎng)內(nèi)?？蛻舳撕头?wù)器端都在同一局域網(wǎng)內(nèi)。方式二客戶端和服務(wù)器端都是獨立IP?？蛻舳霜毩P，服務(wù)器端在局域網(wǎng)內(nèi)。（3）線程插入技術(shù)一個應(yīng)用程序在運行之后，都會在系統(tǒng)中產(chǎn)生一個進程， 同時每個進程分別對應(yīng)另一個不同的進程標識符（PID）。系統(tǒng)會 分配一個虛擬的內(nèi)存空間地址端給這個進程，一切相關(guān)的程序操 作，都會在這個虛擬的空間進行。一個進程能夠?qū)?yīng)一個或多個 線程，線程之間能夠同步執(zhí)行。一般情況下，線程之間是相互獨 立的，當一個線程發(fā)生錯誤的時候，并不一定會導(dǎo)致整個進程的 崩潰?！熬€程插入”技術(shù)就是利用了線程之間運行的相對獨立 性，使木馬完全的融進了系統(tǒng)的內(nèi)核。這種技術(shù)把木馬

11、程序作為 一個線程，把自身插入其它應(yīng)用程序的地址空間。而這個被插入 的應(yīng)用程序?qū)ο到y(tǒng)來說，是一個正常的程序，這樣就達到了徹底 隱藏的效果。系統(tǒng)運行時會有許多的進程，而每個進程又有許多 的線程，這就導(dǎo)致了查殺利用“線程插入”技術(shù)木馬程序的難 度。實驗環(huán)境兩臺裝有Windows /XP系統(tǒng)的計算機，局域網(wǎng)或Internet，冰河木馬軟件（服務(wù)器和客戶端）。實驗步驟和方法雙擊冰河木馬.rar文件，將其進行解壓，解壓路徑能夠自定義。解壓過程見圖1 一圖4,解壓結(jié)果如圖4所示。圖1；E冰同術(shù)馬WinRARJnlxi立件命令（W收藏夾俗選項M幫助M毒加兇窗溢可刨試查看明醴向?qū)畔t V箜莊蜂保護 自株池

12、EE ?冰軻木馬.rar - KAF.怕案或件,解世太小力清,如/宇拍jJ名字令I(lǐng)大小I包裹rh類型I修改時間I_i.資料夾hackbdse.htm6,3711.947HTML Document2003-8-19 L.2CBFE836Operate.ini195ieo配置設(shè)置2003-11-29.675B94A2Readme .Let7.5Z04.Z46Z003-S-19 L.7ED1C3Z3.inSZ.exeZ66.90L苴S6.i布應(yīng)用程序2003-11-29 .9C974-3BBY_Client.eKe46E/32U44S*E應(yīng)用程序20U1-S-18 L.C251E：E：4E.總共有7

13、46,907字節(jié)在5個交件冰河木馬共有兩個應(yīng)用程序，見圖4,其中win32.exe是服 務(wù)器程序，屬于木馬受控端程序，種木馬時，我們需將該程序放入到受控端的計算機中，然后雙擊該程序即可；另一個是木馬的 客戶端程序，屬于木馬的主控端程序。圖4在種木馬之前，我們在受控端計算機中打開注冊表，查看打 開 txtfile 的應(yīng)用程序注冊項： HKEY_CLASSES_ROOTtxtfileshellopencommand，能夠看到打 開.txt 文件默認值是 c:winntsystem32notepad.exe%1，見圖 5。再打開受控端計算機的c:winntsystem32文件夾（XP系統(tǒng) 為 C:w

14、indowssystem32），我們不能找到 sysexplr.exe 文件， 如圖6所示。A后16* 魚|痘推素 每更供其 盤崔弟：X 的座b址址功|L_1辛w盈3仲毛翌*i_J iliiPHwMEiL .svsbem32送文件窕中包含.京與正量運行所需 跛件，沒有芯妄|砌其中的內(nèi) 容典取目雨以音看耳餛明.*5Q LPAP5E.DLL 器sqtadhc 尊灌血代 宜| 5QL5RCME ”兇 sqkr/E. 回卯占潟2 *j5ql5tT-.dl IsqlmriJII _sqhsa.ii | sqlfflna.dll 兇 SDfSTC.dl s59cfb Msstezict KssflwbnK

15、 ssmg日 Kasmazie-S5Ti!iJ0.5P.fi 給如:加 V| s tar rreni.dll *1 stcicntidl Qstdftchs.dll STODLEZ.rLH5P string,db 7 :l_ysti_d dl/st man 盤gtw mbiectd 3tnraqe.dllV5tO(PW.dl gr| st rearm .rill latrmdi.dl js*)sutrdrQ9.uc0 國與由o_tn Qsubst 匚1弓用姒 sga&.dl 因 SvQPAOaEtL 二1泗3叩 l-spresnq.rill ayrcui.dllIM5V5DM Qb心土 W%5

16、INCHSM SVSINFO-DEP *5SIJ=O.CCX*)5V5NFD-5PG 回gm. 塊 frSfcj&V 圖 sysmcmco： hJgmnigr 時沮肝Mep 刮罪鳴卻 兩 SvKT_P.Da二咿ay 國 tSsrrbedMI 叵TWCTO-E-DUL rf)TftBCTL32.DEP 旬 TfljacTLse.oo: 50 tepi.dl目 TiVm.ClL 豈 tapg.dl 職 tapta-v.dll 20 t-iui.dl 習t蘇州er 副 TASKMSR Ibcmsetun Ij tCpfrib .dl 園 bcpnHn.dl蘭蘭 Lurv*4*.*書一.三 I*區(qū) L

17、T2LJEE區(qū)匡：H海陽辱的電的Z.a37個對換血3 w砌剿圖6現(xiàn)在我們在受控端計算機中雙擊Win32.exe圖標，將木馬種 入受控端計算機中，表面上仿佛沒有任何事情發(fā)生。我們再打開 受控端計算機的注冊表，查看打開.txt文件的應(yīng)用程序注冊項：HKEY_CLASSES_ROOTtxtfileshellopencommand，能夠發(fā)現(xiàn)，這時它的值為 C:winntsystem32sysexplr.exe%，見圖 7。圖7我們再打開受控端計算機的C:WINNTSystem32文件夾，這 時我們能夠找到sysexplr.exe文件，如圖8所示。圖8我們在主控端計算機中，雙擊Y_Client.exe圖

18、標，打開木馬的客戶端程序（主控程序）。能夠看到如圖9所示界面。圖9我們在該界面的【訪問口令】編輯框中輸入訪問密碼:12211987，設(shè)置訪問密碼，然后點擊【應(yīng)用】，見圖10。圖10點擊【設(shè)置】-【配置服務(wù)器程序】菜單選項對服務(wù)器進行配置，見圖11，彈出圖12所示的服務(wù)器配置對話框。-In x文件回踽回設(shè)置日鉗助回 綁硒觸端口 U 闋莊機屈性句V W W 白當司疼符:予次=呻一|而:市訪問口令：甌用S之的電汩 LocilH&s host - c J E:言M垣導(dǎo)ffi-Ib-,E-.B-?G哀件名稱?；鹦〈婀?jié)）I最后史瞬n可Ie 重-in t enpCCIICLLtnl. lat 4tlL IP

19、 gr ELt g.tzt660 2C07-A1E 36:：32 32Ce.-ll-l& ll:-a5:26共有3個魏工圖11在服務(wù)器配置對話框中對待配置文件進行設(shè)置，如圖12點擊 該按鈕，找到服務(wù)器程序文件win32.exe，打開該文件（圖 13）；再在訪問口令框中輸入12211987，然后點擊【確定】（見 圖14），就對服務(wù)器已經(jīng)配置完畢，關(guān)閉對話框。圖12圖13圖14現(xiàn)在在主控端程序中添加需要控制的受控端計算機，我們先 在受控端計算機中查看其IP地址，如圖15 （本例中為 2）。Internet 所設(shè)(TCP/IP)尾性?| XI常規(guī)如果網(wǎng)路支持此功能，則可以荻職自動指派的IF設(shè)置。否則

20、， 您需要從網(wǎng)路系統(tǒng)管理員處獲根適當?shù)腎P設(shè)置。Ir自動獲程if地址但）*德用.TMX地址if S5：（1）：子網(wǎng)掩碼也）：| 172 . 17 .8. S2 | 255 .255 .255 . 0 | 172 . 17 .8254猷認網(wǎng)關(guān)：C自動荻帽DHS服務(wù)器地址但）F使用下面的DNS服務(wù)器地址也）:首選DN5服務(wù)爵（I）:| 210 . W9 .152 . 4備用DNS服答器兔）：210 .藥.152 . 5高觀）.確定 | 取消 I圖15這時能夠在我們的主控端計算機程序中添加受控端計算機了，詳細過程見圖16、圖17。圖162L面。確EH2消圖17當受控端計算機添加成功之后，我們能夠看到

21、圖18所示界A&-db-Loc-ilKo-st，方法是（見圖S 9 *匱奧瘩仁&jurists: I”.仃：.篇口:聲訪問口學(xué):|E用tyj二攵件管理囹|劉怖導(dǎo)控割白.swsfii工樣大小序節(jié)| 后更而町詞-! x文鈿礎(chǔ)S費置面 WHJ冗球祠Y&2L地仙寫場口兮有設(shè)拒喚有命號我圖18我們也能夠采用自動搜索的方式添加受控端計算機 點擊【文件】-【自動搜索】，打開自動搜索對話框 19）。圖19搜索結(jié)束時，我們發(fā)現(xiàn)在搜索結(jié)果欄中IP地址為 2的項旁狀態(tài)為OK，表示搜索到IP地址為 2的計算機已經(jīng)中了冰河木馬，且系統(tǒng)自動將該計算 機添加到主控程序中，見圖20。圖20將受控端計算機添加后，我們能夠瀏覽受

22、控端計算機中的文 件系統(tǒng)，見圖21 一圖23。圖215：件日踢加設(shè)置國 WhflP na :商7二空時建 |電曲尊潮泊=的哥5 I：- ： -訪月口兮；I-1-1應(yīng)用匡I |OFKfiWffl舊& B旦4 L曰 aJHaxth&i Lim療日.BEw.El ri Zui juh:或 口 LTDF7:J o.+ LJ Ftocrw Jil- 序 LJ:to MCKLEfi.+ LJTCWHHT血匚J昧河亦勇ii-LJ屏耳打1EEi-nrrinl e u*_JDaciXrin,tB. tnd S.止jlTDEK UmsiJt 誠 idjierarLER _JTC Ftwwtji imt al Ar

23、 rX-H%聞 tg imli圖22Ift (T11 I 最.，更打:-II5CE2B 16湖D2D0S-&-La 12： E EH EDK-fr-L3 】M 歸：HI 2Wt-L 0 網(wǎng) M nrw% 4 i n v% rv. pnBllw!. I 主全窒實 場ELL3c:費園困困曲曲國困困曲曲零 LOmLrn留甲金至&牛金至&宓K WITJWIT i由&!II:rrl_：3 邊 M_i如&. LWJJIW.TWTI Ir r-prwii Fa liMCTCLZE二J佐謎諭曲熟件 二）至因計貿(mào)機一受B 一|金臥題晾拘皺件 二弱i齡比撻 翔家材 IM dr-fraltFerfLo 地七Volu

24、iii4 I.圖23文件大小材）1星后更浙刊間哉 2006-11-15 11:45:60 affi-!-1? lq：6. L0我們還能夠?qū)κ芸囟擞嬎銠C中的文件進行復(fù)制與粘貼操作，見圖24、圖25。當前連接:12 17.S.G2 土文牛首理器|配命句+ -+三一I A-S I Hl7tWTin I f K+ l=J Il-IJ=J D:+ 一| :吊何*4- _J小仆4- _| p 59W Y4- U Jrkl 4_l4- _J MT I H+_ FrfT-疝 K i f4- _J K#地68曲恒-口_，|EI本地礁飲（曰）畋 5tnpCCHOtatr U當.口三也更耳更屈由$1凝宇節(jié)醫(yī)手節(jié) 4

25、拄或電的*丁夏制.】戲:i.L，玉另玲一筲機.：哭二吒：中二蠱晾0的次件我歐河術(shù)可境著-Mlcr獨址I WMd率*破配也；強.T卞馬|期|足泠T地魂rR-.F.4 Q El io：F-網(wǎng)倒 汗陟 中攵中E103廠圖31我們能夠經(jīng)過屏幕來對受控端計算機進行控制，方法見圖32,進行控制時，我們會發(fā)現(xiàn)操作遠程主機，就仿佛在本地機進 行操作一樣。圖32我們還能夠經(jīng)過冰河信使功能和服務(wù)器方進行聊天，具體見圖33 一圖35,當主控端發(fā)起信使通信之后，受控端也能夠向主 控端發(fā)送消息了。圖33圖34圖35展開命令控制臺，分為“口令類命令”、“注冊表讀表”、“設(shè)置類命令”。（1）口令命令類：“系統(tǒng)信息及口令“：

26、能夠查看遠程主機的系統(tǒng)信息、開 機口令、緩存口令等?！皻v史口令”：能夠查看遠程主機以往使用的口令?！皳翩I記錄”：啟動鍵盤記錄以后，能夠記錄遠程主機用 戶擊鍵記錄，以此能夠分析出遠程主機的各種帳號和口令或各種 秘密信息。（2）控制類命令捕獲屏幕”：這個功能能夠使控制端使用者查看遠程主機 的屏幕，仿佛遠程主機就在自己面前一樣，這樣更有利于竊取各 種信息。單擊“查看屏幕”，彈出遠程主機界面。“發(fā)送信息”：這個功能能夠使你向遠程計算機發(fā)送 Windows標準的各種信息?！斑M程管理”：這個功能能夠使控制者查看遠程主機上所有 的進程?！按翱诠芾怼保哼@個功能能夠使遠程主機上的窗口進行刷 新、最大化、最小化、

27、激活、隱藏等操作?！跋到y(tǒng)管理”：該功能能夠使遠程主機進行關(guān)機、重啟、重 新加載冰河、自動卸載冰河。“其它控制”：該功能能夠使遠程主機上進行自動撥號禁 止、桌面隱藏、注冊表鎖定等操作。（3）網(wǎng)絡(luò)類命令：“創(chuàng)立共享”：在遠程主機上創(chuàng)立自己的共享?！皠h除共享”：在遠程主機上刪除某個特定的共享?！熬W(wǎng)絡(luò)信息”：查看遠程主機上的共享信息，單擊“查看共享”能夠看到遠程主機上的IPC$,C$、ADMIN$等共享都存在。文件類命令：展開文件類命令、文件瀏覽、文件查找、文件 壓縮、文件刪除、文件打開等菜單能夠查看、查找、壓縮、刪 除、打開遠程主機上的某個文件。目錄增刪、目錄復(fù)制、主鍵 增刪、主鍵復(fù)制的功能。注冊表

28、讀寫：提供了鍵值讀取，鍵值寫入，鍵值重命名、主 鍵瀏覽、主鍵刪除、主鍵復(fù)制的功能。設(shè)置類命令：提供了更換墻紙、更改計算機名、服務(wù)器端配 置的功能。3、刪除冰河木馬刪除冰河木馬主要有以下幾種方法：客戶端的自動卸載功能，而實際情況中木馬客戶端不可能 為木馬服務(wù)器自動卸載木馬。手動卸載：查看注冊表，在“開始”中運行regedit,打開 Windows注冊表編輯器。依次打開子鍵目錄 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCruuentVersionrun.在目錄中發(fā)現(xiàn)一個默認的鍵值： C:WINNTSystem32kernel32.exe，這個就是冰河木馬在注 冊表中加入