公安信息系统应用课程设计_第1页
公安信息系统应用课程设计_第2页
公安信息系统应用课程设计_第3页
公安信息系统应用课程设计_第4页
公安信息系统应用课程设计_第5页
已阅读5页,还剩29页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、公安信息系统应用课程设计甘肃政法学院公安信息系统应用课程设计题目木马攻击公安技术学院网络安全与执法专业级1班学 号:83030127姓 名:刘洋指导教师:王云峰成 绩:完成时间:年7月实验目的学习冰河木马远程控制软件的使用了解木马和计算机病毒的区别熟悉使用木马进行网络攻击的原理和方法经过手动删除木马,掌握检查木马和删除木马的技巧学会防御木马的相关知识,加深对木马的安全防范意识实验原理木马程序是当前比较流行的病毒文件,与一般的病毒不同, 它不会自我繁殖,也并不刻意地去感染其它文件,它经过将自身 伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门 户,使施种者能够任意毁坏、窃取被种者的文件,

2、甚至远程操控 被种者的电脑。木马与计算机网络中常常要用到的远程控制软件 有些相似,但由于远程控制软件是善意的控制,因此一般不具有 隐蔽性;木马则完全相反,木马要达到的是偷窃性的远程控制。它是指经过一段特定的程序(木马程序)来控制另一台计算 机。木马一般有两个可执行程序:一个是客户端,即控制端,另 一个是服务端,即被控制端。植入被种者电脑的是服务器部分, 而黑客正是利用控制器进入运行了服务器的电脑。运行了木马程 序的服务器以后,被种者的电脑就会有一个或几个端口被打开, 使黑客能够利用这些打开的端口进入电脑系统,安全和个人隐私 也就全无保障。木马的设计者为了防止木马被发现,而采用多种 手段隐藏木马

3、。木马的服务一旦运行并被控制端连接,其控制端 将享有服务端的大部分操作权限,例如给计算机增加口令,浏 览、移动、复制、删除文件,修改注册表,更改计算机配置等。随着病毒编写技术的发展,木马程序对用户的威胁越来越 大,特别是一些木马程序采用了极其狡猾的手段来隐蔽自己,使 普通用户很难在中毒后发觉。木马是隐藏在正常程序中的具有特 殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、 记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门 程序。它隐藏在目标的计算机里,能够随计算机自动启动并在某 一端口监听来自控制端的控制信息。1、木马的特性木马程序为了实现某特殊功能,一般应该具有以下性质:(

4、1)伪装性:程序把自己的服务器端伪装成合法程序,而且诱惑 被攻击者执行,使木马代码会在未经授权的情况下装载到系 统中并开始运行。(2)隐藏性:木马程序同病毒一样,不会暴露在系统进程管理器 内,也不会让使用者察觉到木马的存在,它的所有动作都是 伴随其它程序进行的,因此在一般情况下使用者很难发现系 统中有木马的存在。(3)破坏性:经过远程控制,攻击者能够经过木马程序对系统中 的文件进行删除、编辑操作,还能够进行诸如格式化硬盘、 改变系统启动参数等个性破坏操作。(4)窃密性:木马程序最大的特点就是能够窥视被入侵计算机上 的所有资料,这不但包括硬盘上的文件,还包括显示器画 面、使用者在操作电脑过程中在

5、硬盘上输入的所有命令等。2、木马的入侵途径木马入侵的主要途径是经过一定的欺骗方法,如更改图标、把 木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚 的木马程序,就会把木马安装到被攻击者的计算机中。木马也 能够经过Script、ActiveX及ASP、CGI交互脚本的方式入 侵,由于微软的浏览器在执行Script脚本上存在一些漏洞, 攻击者能够利用这些漏洞又到上网者单击网页,这样IE浏览 器就会自动执行脚本,实现木马的下载和安装。木马还能够利 用系统的一些漏洞入侵,如微软的IIS服务存在多种溢出漏 洞,经过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制 权县,然后在被攻的服务器上安装并运

6、行木马。3、木马的种类按照木马的发展历程,能够分为四个阶段:第一代木马是 伪装型病毒,将病毒伪装成一合法的程序让用户运行。第二代 木马是网络传播型木马,它具备伪装和传播两种功能,能够近 些年歌迷马窃取、远程控制。第三代木马在连接方式上有了改 进,利用率端口反弹技术。第四代木马在进程隐藏方面作了较 大改动,让木马服务器运行时没有进程,网络操作插入到系统 进程或者应用进程完成。按照功能分类,木马能够分为:破坏型木马,主要功能是 破坏删除文件;密码发送型木马,它能够找到密码并发送到指 定的邮箱中;服务型木马,它经过启动FTP服务或者建立共享 目录,使黑客能够连接并下载文件;DOS攻击型木马,它能够

7、作为被黑客控制的肉鸡实施DOS攻击;代理型木马,它作为黑 客发起攻击的跳板;远程控制型木马,能够使攻击者利用客户 端软件完全控制。4、木马的工作原理下面介绍木马的传统连接技术、反弹端口技术和线程插入技 术。(1)木马的传统连接技术一般木马都采用C/S运行模式,因此它分为两部 分,即客户端和服务器端木马程序。其原理是,当服务 器端程序在目标计算机上被执行后,一般会打开一个默 认的端口进行监听,当客户端向服务器端主动提出连接 请求,服务器端的木马程序就会自动运行,来应答客户 端的请求,从而建立连接。第一代和第二代木马都采用的是C/S连接方式,都 属于客户端主动连接方式。服务器端的远程主机开放监 听

8、端口等待外部的连接,当入侵者需要与远程主机连接 时,便主动发出连接请求,从而建立连接。(2)木马的反弹端口技术随着防火墙技术的发展,它能够有效拦截采用传 统连接方式从外部主动发起连接的木马程序。但防火 墙对内部发起的连接请求则认为是正常连接,第三代 和第四代“反弹式”木马就是利用这个缺点,其服务 器端程序主动放弃对外连接请求,再经过某些方式连 接到木马的客户端,就是说“反弹式”木马是服务器 端主动发起连接请求,而客户端是被动的连接。根据客户端IP地址是静态的还是动态的,反弹式 端口连接能够有两种方式。反弹端口连接方式一要求入侵者在设置服务器端的 时候,指明客户端的IP地址和待连接端口,也就是远

9、 程被入侵的主机预先知道客户端的 IP地址和连接端 口。因此这种方式只适用于客户端IP地址是静态的情 况。反弹端口连接方式二在连接建立过程中,入侵者利用一个“代理服务器”保存客户端的IP地址和待连 接端口,在客户端的IP地址是动态的情况下,只要入 侵者更新“代理服务”中存放的IP地址预端口号,远 程被入侵主机就能够经过先连接到“代理服务器”。查询最新木马客户端信息,再和入侵者(客户端)进行 连接。因此,这种连接方式适用于客户端和服务器端都是动态IP地址的情况,况且还能够穿透更加严密的 防火墙。表1反弹端口连接方式及其使用范围反弹端口连接方式使用范围方式一客户端和服务器端都是独立IP。客户端独立

10、IP,服务器端在局域网内。客户端和服务器端都在同一局域网内。方式二客户端和服务器端都是独立IP。客户端独立IP,服务器端在局域网内。(3)线程插入技术一个应用程序在运行之后,都会在系统中产生一个进程, 同时每个进程分别对应另一个不同的进程标识符(PID)。系统会 分配一个虚拟的内存空间地址端给这个进程,一切相关的程序操 作,都会在这个虚拟的空间进行。一个进程能够对应一个或多个 线程,线程之间能够同步执行。一般情况下,线程之间是相互独 立的,当一个线程发生错误的时候,并不一定会导致整个进程的 崩溃。“线程插入”技术就是利用了线程之间运行的相对独立 性,使木马完全的融进了系统的内核。这种技术把木马

11、程序作为 一个线程,把自身插入其它应用程序的地址空间。而这个被插入 的应用程序对系统来说,是一个正常的程序,这样就达到了彻底 隐藏的效果。系统运行时会有许多的进程,而每个进程又有许多 的线程,这就导致了查杀利用“线程插入”技术木马程序的难 度。实验环境两台装有Windows /XP系统的计算机,局域网或Internet,冰河木马软件(服务器和客户端)。实验步骤和方法双击冰河木马.rar文件,将其进行解压,解压路径能够自定义。解压过程见图1 一图4,解压结果如图4所示。图1;E冰同术马WinRARJnlxi立件命令(W收藏夹俗选项M帮助M毒加凶窗溢可刨试查看明醴向导信息It V箜庄蜂保护 自株池

12、EE ?冰轲木马.rar - KAF.怕案或件,解世太小力清,如/宇拍jJ名字令I大小I包裹rh类型I修改时间I_i.资料夹hackbdse.htm6,3711.947HTML Document2003-8-19 L.2CBFE836Operate.ini195ieo配置设置2003-11-29.675B94A2Readme .Let7.5Z04.Z46Z003-S-19 L.7ED1C3Z3.inSZ.exeZ66.90L苴S6.i布应用程序2003-11-29 .9C974-3BBY_Client.eKe46E/32U44S*E应用程序20U1-S-18 L.C251E:E:4E.总共有7

13、46,907字节在5个交件冰河木马共有两个应用程序,见图4,其中win32.exe是服 务器程序,属于木马受控端程序,种木马时,我们需将该程序放入到受控端的计算机中,然后双击该程序即可;另一个是木马的 客户端程序,属于木马的主控端程序。图4在种木马之前,我们在受控端计算机中打开注册表,查看打 开 txtfile 的应用程序注册项: HKEY_CLASSES_ROOTtxtfileshellopencommand,能够看到打 开.txt 文件默认值是 c:winntsystem32notepad.exe%1,见图 5。再打开受控端计算机的c:winntsystem32文件夹(XP系统 为 C:w

14、indowssystem32),我们不能找到 sysexplr.exe 文件, 如图6所示。A后16* 鱼|痘推素 每更供其 盘崔弟:X 的座b址址功|L_1辛w盈3仲毛翌*i_J iliiPHwMEiL .svsbem32送文件窕中包含.京与正量运行所需 跛件,没有芯妄|砌其中的内 容典取目雨以音看耳馄明.*5Q LPAP5E.DLL 器sqtadhc 尊灌血代 宜| 5QL5RCME ”凶 sqkr/E. 回卯占潟2 *j5ql5tT-.dl IsqlmriJII _sqhsa.ii | sqlfflna.dll 凶 SDfSTC.dl s59cfb Msstezict KssflwbnK

15、 ssmg日 Kasmazie-S5Ti!iJ0.5P.fi 给如:加 V| s tar rreni.dll *1 stcicntidl Qstdftchs.dll STODLEZ.rLH5P string,db 7 :l_ysti_d dl/st man 盘gtw mbiectd 3tnraqe.dllV5tO(PW.dl gr| st rearm .rill latrmdi.dl js*)sutrdrQ9.uc0 国与由o_tn Qsubst 匚1弓用姒 sga&.dl 因 SvQPAOaEtL 二1泗3叩 l-spresnq.rill ayrcui.dllIM5V5DM Qb心土 W%5

16、INCHSM SVSINFO-DEP *5SIJ=O.CCX*)5V5NFD-5PG 回gm. 块 frSfcj&V 图 sysmcmco: hJgmnigr 时沮肝Mep 刮罪鸣却 两 SvKT_P.Da二咿ay 国 tSsrrbedMI 叵TWCTO-E-DUL rf)TftBCTL32.DEP 旬 TfljacTLse.oo: 50 tepi.dl目 TiVm.ClL 岂 tapg.dl 职 tapta-v.dll 20 t-iui.dl 习t苏州er 副 TASKMSR Ibcmsetun Ij tCpfrib .dl 园 bcpnHn.dl兰兰 Lurv*4*.*书一.三 I*区 L

17、T2LJEE区匡:H海阳辱的电的Z.a37个对换血3 w砌剿图6现在我们在受控端计算机中双击Win32.exe图标,将木马种 入受控端计算机中,表面上仿佛没有任何事情发生。我们再打开 受控端计算机的注册表,查看打开.txt文件的应用程序注册项:HKEY_CLASSES_ROOTtxtfileshellopencommand,能够发现,这时它的值为 C:winntsystem32sysexplr.exe%,见图 7。图7我们再打开受控端计算机的C:WINNTSystem32文件夹,这 时我们能够找到sysexplr.exe文件,如图8所示。图8我们在主控端计算机中,双击Y_Client.exe图

18、标,打开木马的客户端程序(主控程序)。能够看到如图9所示界面。图9我们在该界面的【访问口令】编辑框中输入访问密码:12211987,设置访问密码,然后点击【应用】,见图10。图10点击【设置】-【配置服务器程序】菜单选项对服务器进行配置,见图11,弹出图12所示的服务器配置对话框。-In x文件回踽回设置日钳助回 绑硒触端口 U 阕庄机屈性句V W W 白当司疼符:予次=呻一|而:市访问口令:瓯用S之的电汩 LocilH&s host - c J E:言M垣导ffi-Ib-,E-.B-?G哀件名称牛火小存节)I最后史瞬n可Ie 重-in t enpCCIICLLtnl. lat 4tlL IP

19、 gr ELt g.tzt660 2C07-A1E 36::32 32Ce.-ll-l& ll:-a5:26共有3个魏工图11在服务器配置对话框中对待配置文件进行设置,如图12点击 该按钮,找到服务器程序文件win32.exe,打开该文件(图 13);再在访问口令框中输入12211987,然后点击【确定】(见 图14),就对服务器已经配置完毕,关闭对话框。图12图13图14现在在主控端程序中添加需要控制的受控端计算机,我们先 在受控端计算机中查看其IP地址,如图15 (本例中为 2)。Internet 所设(TCP/IP)尾性?| XI常规如果网路支持此功能,则可以荻职自动指派的IF设置。否则

20、, 您需要从网路系统管理员处获根适当的IP设置。Ir自动获程if地址但)*德用.TMX地址if S5:(1):子网掩码也):| 172 . 17 .8. S2 | 255 .255 .255 . 0 | 172 . 17 .8254猷认网关:C自动荻帽DHS服务器地址但)F使用下面的DNS服务器地址也):首选DN5服务爵(I):| 210 . W9 .152 . 4备用DNS服答器兔):210 .药.152 . 5高观).确定 | 取消 I图15这时能够在我们的主控端计算机程序中添加受控端计算机了,详细过程见图16、图17。图162L面。确EH2消图17当受控端计算机添加成功之后,我们能够看到

21、图18所示界A&-db-Loc-ilKo-st,方法是(见图S 9 *匮奥瘩仁&jurists: I”.仃:.篇口:声访问口学:|E用tyj二攵件管理囹|刘怖导控割白.swsfii工样大小序节| 后更而町词-! x文钿础S费置面 WHJ冗球祠Y&2L地仙写场口兮有设拒唤有命号我图18我们也能够采用自动搜索的方式添加受控端计算机 点击【文件】-【自动搜索】,打开自动搜索对话框 19)。图19搜索结束时,我们发现在搜索结果栏中IP地址为 2的项旁状态为OK,表示搜索到IP地址为 2的计算机已经中了冰河木马,且系统自动将该计算 机添加到主控程序中,见图20。图20将受控端计算机添加后,我们能够浏览受

22、控端计算机中的文 件系统,见图21 一图23。图215:件日踢加设置国 WhflP na :商7二空时建 |电曲尊潮泊=的哥5 I:- : -访月口兮;I-1-1应用匡I |OFKfiWffl旧& B旦4 L曰 aJHaxth&i Lim疗日.BEw.El ri Zui juh:或 口 LTDF7:J o.+ LJ Ftocrw Jil- 序 LJ:to MCKLEfi.+ LJTCWHHT血匚J昧河亦勇ii-LJ屏耳打1EEi-nrrinl e u*_JDaciXrin,tB. tnd S.止jlTDEK UmsiJt 诚 idjierarLER _JTC Ftwwtji imt al Ar

23、 rX-H%闻 tg imli图22Ift (T11 I 最.,更打:-II5CE2B 16湖D2D0S-&-La 12: E EH EDK-fr-L3 】M 归:HI 2Wt-L 0 网 M nrw% 4 i n v% rv. pnBllw!. I 主全窒实 场ELL3c:费园困困曲曲国困困曲曲零 LOmLrn留甲金至&牛金至&宓K WITJWIT i由&!II:rrl_:3 边 M_i如&. LWJJIW.TWTI Ir r-prwii Fa liMCTCLZE二J佐谜谕曲熟件 二)至因计贸机一受B 一|金卧题晾拘皱件 二弱i龄比挞 翔家材 IM dr-fraltFerfLo 地七Volu

24、iii4 I.图23文件大小材)1星后更浙刊间哉 2006-11-15 11:45:60 affi-!-1? lq:6. L0我们还能够对受控端计算机中的文件进行复制与粘贴操作,见图24、图25。当前连接:12 17.S.G2 土文牛首理器|配命句+ -+三一I A-S I Hl7tWTin I f K+ l=J Il-IJ=J D:+ 一| :吊何*4- _J小仆4- _| p 59W Y4- U Jrkl 4_l4- _J MT I H+_ FrfT-疝 K i f4- _J K#地68曲恒-口_,|EI本地礁饮(曰)畋 5tnpCCHOtatr U当.口三也更耳更屈由$1凝宇节医手节 4

25、拄或电的*丁夏制.】戏:i.L,玉另玲一筲机.:哭二吒:中二蛊晾0的次件我欧河术可境着-Mlcr独址I WMd率*破配也;强.T卞马|期|足泠T地魂rR-.F.4 Q El io:F-网倒 汗陟 中攵中E103厂图31我们能够经过屏幕来对受控端计算机进行控制,方法见图32,进行控制时,我们会发现操作远程主机,就仿佛在本地机进 行操作一样。图32我们还能够经过冰河信使功能和服务器方进行聊天,具体见图33 一图35,当主控端发起信使通信之后,受控端也能够向主 控端发送消息了。图33图34图35展开命令控制台,分为“口令类命令”、“注册表读表”、“设置类命令”。(1)口令命令类:“系统信息及口令“:

26、能够查看远程主机的系统信息、开 机口令、缓存口令等。“历史口令”:能够查看远程主机以往使用的口令。“击键记录”:启动键盘记录以后,能够记录远程主机用 户击键记录,以此能够分析出远程主机的各种帐号和口令或各种 秘密信息。(2)控制类命令捕获屏幕”:这个功能能够使控制端使用者查看远程主机 的屏幕,仿佛远程主机就在自己面前一样,这样更有利于窃取各 种信息。单击“查看屏幕”,弹出远程主机界面。“发送信息”:这个功能能够使你向远程计算机发送 Windows标准的各种信息。“进程管理”:这个功能能够使控制者查看远程主机上所有 的进程。“窗口管理”:这个功能能够使远程主机上的窗口进行刷 新、最大化、最小化、

27、激活、隐藏等操作。“系统管理”:该功能能够使远程主机进行关机、重启、重 新加载冰河、自动卸载冰河。“其它控制”:该功能能够使远程主机上进行自动拨号禁 止、桌面隐藏、注册表锁定等操作。(3)网络类命令:“创立共享”:在远程主机上创立自己的共享。“删除共享”:在远程主机上删除某个特定的共享。“网络信息”:查看远程主机上的共享信息,单击“查看共享”能够看到远程主机上的IPC$,C$、ADMIN$等共享都存在。文件类命令:展开文件类命令、文件浏览、文件查找、文件 压缩、文件删除、文件打开等菜单能够查看、查找、压缩、删 除、打开远程主机上的某个文件。目录增删、目录复制、主键 增删、主键复制的功能。注册表

28、读写:提供了键值读取,键值写入,键值重命名、主 键浏览、主键删除、主键复制的功能。设置类命令:提供了更换墙纸、更改计算机名、服务器端配 置的功能。3、删除冰河木马删除冰河木马主要有以下几种方法:客户端的自动卸载功能,而实际情况中木马客户端不可能 为木马服务器自动卸载木马。手动卸载:查看注册表,在“开始”中运行regedit,打开 Windows注册表编辑器。依次打开子键目录 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCruuentVersionrun.在目录中发现一个默认的键值: C:WINNTSystem32kernel32.exe,这个就是冰河木马在注 册表中加入

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论