公安信息系统设计应用课程设计报告

-z.政法学院公安信息系统应用课程设计题目木马攻击公安技术学院网络平安与执法专业2014级1班**：201483030127姓名：洋指导教师：王云峰成绩：完成时间：2017年7月一．实验目的学习冰河木马远程控制软件的使用了解木马和计算机病毒的区别熟悉使用木马进展网络攻击的原理和方法通过手动删除木马，掌握检查木马和删除木马的技巧学会防御木马的相关知识，加深对木马的平安防意识二．实验原理木马程序是目前比拟流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供翻开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要到达的是偷窃性的远程控制。它是指通过一段特定的程序〔木马程序〕来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是效劳端，即被控制端。植入被种者电脑的是效劳器局部，而黑客正是利用控制器进入运行了效劳器的电脑。运行了木马程序的效劳器以后，被种者的电脑就会有一个或几个端口被翻开，使黑客可以利用这些翻开的端口进入电脑系统，平安和个人隐私也就全无保障。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的效劳一旦运行并被控制端连接，其控制端将享有效劳端的大局部操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。随着病毒编写技术的开展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后觉察。木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标的计算机里，可以随计算机自动启动并在*一端口监听来自控制端的控制信息。木马的特性木马程序为了实现*特殊功能，一般应该具有以下性质：伪装性:程序把自己的效劳器端伪装成合法程序，并且诱惑被攻击者执行，使木马代码会在未经授权的情况下装载到系统中并开场运行。隐藏性：木马程序同病毒一样，不会暴露在系统进程管理器，也不会让使用者觉察到木马的存在，它的所有动作都是伴随其它程序进展的，因此在一般情况下使用者很难发现系统中有木马的存在。破坏性：通过远程控制，攻击者可以通过木马程序对系统中的文件进展删除、编辑操作，还可以进展诸如格式化硬盘、改变系统启动参数等个性破坏操作。窃密性：木马程序最大的特点就是可以窥视被入侵计算机上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。木马也可以通过Script、Active*及ASP、CGI交互脚本的方式入侵，由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞又到上网者单击网页，这样IE浏览器就会自动执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵，如微软的IIS效劳存在多种溢出漏洞，通过缓冲区溢出攻击程序造成IIS效劳器溢出，获得控制权县，然后在被攻的效劳器上安装并运行木马。木马的种类按照木马的开展历程，可以分为四个阶段：第一代木马是伪装型病毒，将病毒伪装成一合法的程序让用户运行。第二代木马是网络传播型木马，它具备伪装和传播两种功能，可以近些年歌迷马窃取、远程控制。第三代木马在连接方式上有了改良，利用率端口反弹技术。第四代木马在进程隐藏方面作了较大改动，让木马效劳器运行时没有进程，网络操作插入到系统进程或者应用进程完成。按照功能分类,木马可以分为:破坏型木马，主要功能是破坏删除文件；密码发送型木马，它可以找到密码并发送到指定的中；效劳型木马，它通过启动FTP效劳或者建立共享目录，使黑客可以连接并下载文件；DOS攻击型木马，它可以作为被黑客控制的肉鸡实施DOS攻击；代理型木马，它作为黑客发起攻击的跳板；远程控制型木马，可以使攻击者利用客户端软件完全控制。木马的工作原理下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。木马的传统连接技术一般木马都采用C/S运行模式，因此它分为两局部，即客户端和效劳器端木马程序。其原理是，当效劳器端程序在目标计算机上被执行后，一般会翻开一个默认的端口进展监听，当客户端向效劳器端主动提出连接请求，效劳器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。第一代和第二代木马都采用的是C/S连接方式，都属于客户端主动连接方式。效劳器端的远程主机开放监听端口等待外部的连接，当入侵者需要与远程主机连接时，便主动发出连接请求，从而建立连接。木马的反弹端口技术随着防火墙技术的开展，它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。但防火墙对部发起的连接请求则认为是正常连接，第三代和第四代“反弹式〞木马就是利用这个缺点，其效劳器端程序主动放弃对外连接请求，再通过*些方式连接到木马的客户端，就是说“反弹式〞木马是效劳器端主动发起连接请求，而客户端是被动的连接。根据客户端IP地址是静态的还是动态的，反弹式端口连接可以有两种方式。反弹端口连接方式一要求入侵者在设置效劳器端的时候，指明客户端的IP地址和待连接端口，也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。所以这种方式只适用于客户端IP地址是静态的情况。反弹端口连接方式二在连接建立过程中，入侵者利用一个“代理效劳器〞保存客户端的IP地址和待连接端口，在客户端的IP地址是动态的情况下，只要入侵者更新“代理效劳〞中存放的IP地址预端口号，远程被入侵主机就可以通过先连接到“代理效劳器〞。查询最新木马客户端信息，再和入侵者(客户端〕进展连接。因此，这种连接方式适用于客户端和效劳器端都是动态IP地址的情况，况且还可以穿透更加严密的防火墙。表1反弹端口连接方式及其使用围反弹端口连接方式使用围方式一客户端和效劳器端都是独立IP。客户端独立IP，效劳器端在局域网。客户端和效劳器端都在同一局域网。方式二客户端和效劳器端都是独立IP。客户端独立IP，效劳器端在局域网。线程插入技术一个应用程序在运行之后，都会在系统中产生一个进程，同时每个进程分别对应另一个不同的进程标识符〔PID〕。系统会分配一个虚拟的存空间地址端给这个进程，一切相关的程序操作，都会在这个虚拟的空间进展。一个进程可以对应一个或多个线程，线程之间可以同步执行。一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。“线程插入〞技术就是利用了线程之间运行的相对独立性，使木马完全的融进了系统的核。这种技术把木马程序作为一个线程，把自身插入其他应用程序的地址空间。而这个被插入的应用程序对系统来说，是一个正常的程序，这样就到达了彻底隐藏的效果。系统运行时会有许多的进程，而每个进程又有许多的线程，这就导致了查杀利用“线程插入〞技术木马程序的难度。三．实验环境两台装有Windows2000/*P系统的计算机，局域网或Internet，冰河木马软件〔效劳器和客户端〕。四．实验步骤和方法双击冰河木马.rar文件，将其进展解压，解压路径可以自定义。解压过程见图1—图4，解压结果如图4所示。图1图2图3冰河木马共有两个应用程序，见图4，其中win32.e*e是效劳器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。图4在种木马之前，我们在受控端计算机中翻开注册表，查看翻开t*tfile的应用程序注册项：HKEY_CLASSES_ROOT\t*tfile\shell\open\command，可以看到翻开.t*t文件默认值是c:\winnt\system32\notepad.e*e%1，见图5。图5再翻开受控端计算机的c:\winnt\system32文件夹〔*P系统为C:\windows\system32〕，我们不能找到syse*plr.e*e文件，如图6所示。图6现在我们在受控端计算机中双击Win32.e*e图标，将木马种入受控端计算机中，外表上好似没有任何事情发生。我们再翻开受控端计算机的注册表，查看翻开.t*t文件的应用程序注册项：HKEY_CLASSES_ROOT\t*tfile\shell\open\command，可以发现，这时它的值为C:\winnt\system32\syse*plr.e*e%1，见图7。图7我们再翻开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到syse*plr.e*e文件，如图8所示。图8我们在主控端计算机中，双击Y_Client.e*e图标，翻开木马的客户端程序〔主控程序〕。可以看到如图9所示界面。图9我们在该界面的【访问口令】编辑框中输入访问密码：12211987，设置访问密码，然后点击【应用】，见图10。图10点击【设置】->【配置效劳器程序】菜单项选择项对效劳器进展配置，见图11，弹出图12所示的效劳器配置对话框。图11在效劳器配置对话框中对待配置文件进展设置，如图12点击该按钮，找到效劳器程序文件win32.e*e，翻开该文件〔图13〕；再在访问口令框中输入12211987，然后点击【确定】〔见图14〕，就对效劳器已经配置完毕，关闭对话框。图12图13图14现在在主控端程序中添加需要控制的受控端计算机，我们先在受控端计算机中查看其IP地址，如图15〔本例中为〕。图15这时可以在我们的主控端计算机程序中添加受控端计算机了，详细过程见图16、图17。图16图17当受控端计算机添加成功之后，我们可以看到图18所示界面。图18我们也可以采用自动搜索的方式添加受控端计算机，方法是点击【文件】->【自动搜索】，翻开自动搜索对话框〔见图19〕。图19搜索完毕时，我们发现在搜索结果栏中IP地址为的项旁状态为OK，表示搜索到IP地址为的计算机已经中了冰河木马，且系统自动将该计算机添加到主控程序中，见图20。图20将受控端计算机添加后，我们可以浏览受控端计算机中的文件系统，见图21—图23。图21图22图23我们还可以对受控端计算机中的文件进展复制与粘贴操作，见图24、图25。图24图25我们在受控端计算机中进展查看，可以发现在相应的文件夹中确实多了一个刚复制的文件，见图26，该图为受控端计算机中文件夹。图26我们可以在主控端计算机上观看受控端计算机的屏幕，方法见图27、图28。图27图28这时在屏幕的左上角有一个窗口，该窗口中的图像即受控端计算机的屏幕见图29。图29我们将左上角的窗口全屏显示，可得如图30所示〔屏幕的具体状态应视具体实验而不同〕。图30我们在受控端计算机上进展验证发现：主控端捕获的屏幕和受控端上的屏幕非常吻合。见图31。图31我们可以通过屏幕来对受控端计算机进展控制，方法见图32，进展控制时，我们会发现操作远程主机，就好似在本地机进展操作一样。图32我们还可以通过冰河信使功能和效劳器方进展聊天，具体见图33—图35，当主控端发起信使通信之后，受控端也可以向主控端发送消息了。图33图34图35展开命令控制台，分为“口令类命令〞、“注册表读表〞、“设置类命令〞。〔1〕口令命令类：①“系统信息及口令“：可以查看远程主机的系统信息、开机口令、缓存口令等。②“历史口令〞：可以查看远程主机以往使用的口令。③“击键记录〞：启动键盘记录以后，可以记录远程主机用户击键记录，以此可以分析出远程主机的各种和口令或各种秘密信息。〔2〕控制类命令捕获屏幕〞：这个功能可以使控制端使用者查看远程主机的屏幕，好似远程主机就在自己面前一样，这样更有利于窃取各种信息。单击“查看屏幕〞，弹出远程主机界面。=1\*GB3①“发送信息〞：这个功能可以使你向远程计算机发送Windows标准的各种信息。=2\*GB3②“进程管理〞：这个功能可以使控制者查看远程主机上所有的进程。=3\*GB3③“窗口管理〞：这个功能可以使远程主机上的窗口进展刷新、最大化、最小化、激活、隐藏等操作。=4\*GB3④“系统管理〞：该功能可以使远程主机进展关机、重启、重新加载冰河、自动卸载冰河。=5\*GB3⑤“其他控制〞：该功能可以使远程主机上进展自动拨号制止、桌面隐藏、注册表锁定等操作。〔3〕网络类命令：①“创立共享〞：在远程主机上创立自己的共享。②“删除共享〞：在远程主机上删除*个特定的共享。③“网络信息〞：查看远程主机上的共享信息，单击“查看共享〞可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。⑷文件类命令：展开文件类命令、文件浏览、文件查找、文件压缩、文件删除、文件翻开等菜单可以查看、查找、压缩、删除、翻开远程主机上的*个文件。目录增删、目录复制、主键增删、主键复制的功能。=5\*GB2⑸注册表读写：提供了键值读取，键值写入，键值重命名、主键浏览、主键删除、主键复制的功能。=6\*GB2⑹设置类命令：提供了更换墙纸、更改计算机名、效劳器端配置的功能。3、删除冰河木马删除冰河木马主要有以下几种方法：客户端的自动卸载功能，而实际情况中木马客户端不可能为木马效劳器自动卸载木马。手动卸载：查看注册表，在“开场〞中运行regedit,翻开Windows注册表编辑器。依次翻开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CruuentVersion\run.在目录中发现一个默认的键值：C:\WINNT\System32\kernel32.e*e，这个就是冰河木马在注册表中参加的键值，将它删除。然后依次翻开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind-ows\CurrentVersion\Runservices,在目录中也发现一个默认键值：C:\WINNT\System32\kernel32.e*e，这个也是冰河木马在注册表中参加的键值，删除。进入C:\WINNT\System32目录，找到冰河的两个可执行文件Kernel32.e*e和Suse*plr.e*e，删除。修改文件关联时木马常用的手段，冰河木马将t*t文件的缺