1、理解和掌握木馬傳播和執行的基本原理 2、在虛擬機器上模擬木馬傳播和感染 3、認識常見的木馬控制功能 4、加深對木馬的安全防範意識 5、配置木馬檔案,測試其各項控制功能
6、嘗試分析木馬的控制過程
1、介紹與木馬相關的基本概念 2、配置木馬檔案 3、測試木馬的各項控制功能 4、使用wireshark工具嘗試分析木馬的控制過程
1、 學生機與實驗室網路直連;
2、 vpc與實驗室網路直連;
3、學生機與vpc物理鏈路連通;
pc1:172.16.1.145 pc2:172.16.1.144
1、學生單擊實驗拓撲按鈕,進入實驗場景,進入目標主機
2、學生輸入賬號administrator ,密碼123456,登入到實驗場景中的目標主機。
3、配置控制端,生成木馬
實驗前準備:關閉控制端防火牆,嘗試兩台機器互相ping 看能否ping 通。要確保能ping通。
1)、配置木馬控制端和受控端的網路,控制端的ip位址為172.16.1.144,受控端的ip位址為172.16.1.145,子網掩碼均為255.255.255.0。通過互相ping對方,保證兩台「主機」可達,之後再進行下面的操作。
2)、在控制端主機vpc2(桌面上興遠控.rar)解壓上興遠控壓縮包,雙擊開啟上興遠控的控制端配置程式rejoice.exe。
3)、單擊工具欄上的第乙個按鈕(或者按下f9鍵),配置受控端(生成木馬)。第一欄填入控制端的ip位址,此處填172.16.1.144:8181,其中8181為控制端的預設通訊埠。其他選項的填寫如下圖所示。
4)、點選「生成服務端」按鈕,選擇木馬檔案的存放位置和檔名,確定後即在指定位置產生了相應的木馬檔案,這裡將檔案命名為2018_misswe。
4、受控端感染木馬。
1)、將控制端配置生成的木馬檔案2018_misswe.exe複製到受控端。
2)、同時在木馬控制端和受控端開啟網路資料嗅探工具wireshark,開始資料捕獲過程,同時設定資料報過濾規則為
(ip.src==172.16.1.144 &&ip.dst==172.16.1.145) || (ip.dst==172.16.1.145 &&ip.src==172.16.1.144)
即,只顯示木馬控制端和受控端的互動資料。
3)、雙擊2018_misswe.exe使之執行,進而使受控端感染木馬。
5、木馬控制實驗
2)、 單擊工具欄第三個按鈕,開啟「向受控主機傳送指令」介面,選擇欲傳送指令的目的受控主機,在介面下方,可以選擇四類指令進行傳送,包括「主機操縱」、「傳送資訊」、「網路功能」、「網路殭屍」。
例如,單擊下方的「關閉遠端主機」按鈕,這時,受控端主機自動關閉系統,如下圖所示,受控端系統關閉後,控制端可見受控端「下線」。
又如,單擊下方的「傳送資訊」選項卡,可以根據需要遠端傳送資訊,以對話方塊或彩色文字顯示在受控端螢幕上。
控制端向受控端傳送資訊(左:控制端,右:受控端)
「網路功能」選項卡下的功能,主要與網頁瀏覽、**服務等有關,操控受控端ie瀏覽器的設定和使用;「網路殭屍」選項卡下的功能,主要是向受控端主機發起dos攻擊。如下圖所示:
3)、單擊工具欄第四個按鈕,進入「螢幕檢視」介面,在這個介面下,控制端可以遠端檢視受控端的螢幕內容,並且還可以操控受控端的鍵盤、滑鼠。如下圖所示:
5)、單擊工具欄第六個按鈕,進入「登錄檔管理」介面,可以對受控端主機的登錄檔進行檢視和修改。如下所示為,修改hkcu\software\microsoft\windows\currentversion\run的鍵值,以增加開機自啟動項。
6)、單擊工具欄第七個按鈕,進入「系統服務管理」介面,可以對受控端主機的系統服務狀態進行設定修改。如下,為修改受控端主機的srservice服務的狀態,以關閉受控端主機的系統還原功能。
7)、單擊工具欄第八個按鈕,進入「程序管理」介面,可以對受控端主機的程序狀態進行檢視,並可以結束程序。如下,為結束受控端主機的「畫圖」程序。
8)、單擊工具欄第九個按鈕,進入「命令提示符」介面,可以獲取受控端主機的cmd shell,對受控端主機進行基於命令列外殼下操作。如下圖所示。
9)、單擊工具欄第十個按鈕,進入「資料/鍵盤/記憶體捕獲」介面,可以獲取受控端主機的鍵盤操作、程序記憶體等資訊。以鍵盤捕獲為例,開啟鍵盤監控後,開啟受控端主機上的記事本程式,輸入test然後回車,然後回到控制端,檢視鍵盤捕獲結果,如下圖所示。
6、分析受控期間的網路通訊資料
1)以木馬控制端檢視受控端檔案系統目錄樹為例。以下為wireshark的嗅探結果。
2)、通過逐一檢視捕獲的各個資料報可以發現,除去第14個資料報以外,其餘資料報均為控制端和受控端的命令傳送和狀態互動過程,均為特定的二進位制指令**。而第14個資料報的應用層資料則是受控端的c盤根目錄下的目錄內容,採用未經任何編碼的明文傳輸,可以輕易看出,其內容就是所要檢視的目錄內容。所傳送的資訊包括檔名、檔案修改時間和檔案大小,其中,檔名和修改時間之間包含乙個換行符(0x0d 0x0a),而修改時間和檔案大小之間則是連續的;不同的檔案資訊之間用「|」(0x7c)隔開。這樣做的目的在於,使控制端將各項資訊區分開,並準確顯示在控制端的相應位置,如下圖所示。
7、.實驗完畢,關閉虛擬機器和所有視窗。
實驗一木馬分析(隱藏分析)實驗
木馬程式可以利用程式 的方式,將自己和正常的exe 檔案進行 當雙擊執行 後的程式時,正常的exe 檔案執行了。程式隱藏只能達到從表面上無法識別木馬程式的目的,但是可以通過任務管理器中發現木馬程式的蹤跡,這就需要木馬程式實現程序隱藏。隱藏木馬程式的程序顯示能防止使用者通過任務管理器檢視到木馬程式的程...
木馬病毒分析考試
木馬病毒分析考試 1 以下病毒中不屬於引導型病毒的是?c a 病毒 b 小球 病毒 c 衝擊波 病毒 d wyx病毒 2 cih 1.3病毒的發作時間是?d a 4月26日 b 6月26日 c 月份 日期 13 d 每月的26日 3 mbr的作用是?c a 負責從活動分割槽中裝載並執行系統引導程式 ...
rhsa型asp木馬隱藏分析
這個是因為木馬檔案中寫了更改自己屬性的一句話 if f.attributes 39 and session lock then f.attributes 1 2 4 32 end if 以後可以借鑑學習,加以防範。找了下資料,屬性如下 唯讀 read only 歸檔 archive 系統 syste...