灰鸽子远程控制实验

实验名称:灰鸽子远程控制实验实验要求：[实验目的]1、掌握远程控制攻击技术的原理。2、学会使用常见的远程控制工具。3、掌握远程控制攻击的防范措施。[实验环境]◆网络：局域网环境。◆远程计算机

操作系统：WindowsXPServer

软件：运行了灰鸽子[牵手2004]服务器端程序（setup.exe）。◆本地计算机

操作系统：WindowsXP主机

软件：灰鸽子[牵手2004]。[实验内容]◆远程文件控制。◆远程屏幕查看。◆远程进程查看。◆远程网络信息查看。◆读取远端服务器配置。实验指导：1、远程主机上的服务端配置 运行实验工具目录下的。 点击按钮，或者选择"文件"菜单项中的"配置服务端程序"。 在连接类型下选定主动连接型，填入“监听端口”和“备用端口”。 在安装信息下填入连接密码，并选择对安装文件的处置方式。图示中我们输入了密码123456，选择了“自动删除安装文件”。“提示信息”“启动项目”“邮件通知”“代理服务”“绑定文件”我们都由系统默认。 在“保存路径”填入地址C:\Setup.exe，点击。 在C:\下执行。此时已在远程主机上安装服务器成功2、客户端控制 运行实验工具目录下的。 在主界面点。填入远程主机IP及密码或者直接在主界面“当前连接”、“端口”、“连接密码”中填入填入远程主机IP、端口、连接密码，如下图。 在主界面"文件管理器"选项卡左侧的列表中点击选中所添加的目标主机（"0）节点，观察在右侧文件树中是否能够查看到目标服务器上的驱动器列表。 在"文件管理器"中展开目标服务器的节点，在右边的文件列表中找到以下文件C:\ServerData\test.txt，将其下载到本地计算机。请将该文件的内容导入到实验报告中。 切换到""远程控制命令"选项卡，先点左下角“查看进程”，再点右侧。请将所看到的界面截获并复制到实验报告。 切换到“注册表模拟器”选项卡，先点左侧“远程电脑”，再点HKEY-LOCAL-MACHINE->SAM。请将所看到的界面截获并复制到实验报告。 在主界面点，请将所捕获的界面导入到实验报告。 在主界面点，请将所进行的屏幕控制填入实验报告。实验原理：远程控制实质上是一种网络客户机/服务器的通信模式，服务器端向客户端提供服务，客户端接受服务器端所提供的服务。可以使用多种语言实现远程控制，通常，控制端程序提供一个具有良好交互性的图形用户界面，而受控端程序则是一个在受控主机的后台运行控制台程序。一般情况下，客户端程序在控制主机上执行，服务器端程序在受控主机上执行。服务器端程序绑定在系统某个端口上监听网络的流量，当有信息（客户端请求连接的信息）流入，要求和服务器端连接时，服务器端将接受请求，和客户端建立连接通道。然后开始通信、发送指令、传递数据、执行命令、返回结果。在网络攻防中，由于受控端程序不能显示地运行在受控主机中，必须采取一定的措施隐藏自身的运行，以免被防火墙软件和防病毒软件发现。所以，在网络攻击中，并不都是客户端运行在控制主机上，服务器端运行在受控主机上。。特洛伊木马技术在网络攻防中作为一种远程控制技术，具有鲜明的代表性。下面将以特洛伊木马为例，详细介绍网络攻防中远程控制技术所采用的植入、自启动、隐藏技术以及远程控制所能实现的功能。1. 植入技术要能实现远程控制，就必须先将受控端程序植入到受控主机中。目前，比较常用的植入方式主要有： 通过邮件附件植入：某些用户可能直接打开附件运行可执行程序。 通过网页植入：IE允许自动下载ActiveX控件、对ActiveX控件进行初始化和脚本运行。此类脚本包括Script、Asp、Cgi等交互式脚本，受控端程序就以各种方式隐藏在这些脚本代码中。 通过文件捆绑植入：用户可能从网站上下载某些文件，若这些文件已和受控端程序绑定在一起，则当你打开或运行这些文件时，受控端程序也将同时偷偷运行，植入主机系统。 利用系统自身的漏洞植入：一般是指攻击者利用系统本身的漏洞或者配置不当，在获取了系统一定的权限之后，将受控端程序植入系统。2. 自启动技术受控端程序一般都会采取某种自启动技术，使得在系统重新启动、用户从系统注销或其它用户登录系统的情况下，受控端程序会自动运行，等待和控制端程序进行通信。根据不同的功能需求，自启动技术的种类很多，这里仅列出较常见的几种。（注：下列例子中的file.exe假设为受控端程序） 修改Win.ini文件：Win.ini文件的[windows]字段中的启动命令“load=”和“run=”，正常情况下为空。如果在这些启动命令后添加受控端程序的路径名，则当系统下次启动时，将自动运行路径名所指向的程序。例如：run=c:\windows\file.exe。 修改注册表：系统启动时，将会首先读取注册表中某些主键下子键的内容，判断是否需要加载特定的程序。许多远程控制程序就是利用这个机制，在注册表中新增键值，让系统自动加载和运行程序。注册表中具有这种功能的主键有：o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的某一主键（Run、RunOnce、RunOnceEx或RunServices）；o HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的某一主键（Run、RunOnce、RunOnceEx或RunServices）；o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下所有以“Run”开头的某一主键（Run、RunOnce、RunOnceEx或RunServices）。例如：在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下新建一个字符串值File，值为c:\windows\file.exe。 修改System.ini文件：在System.ini文件的[boot]字段的shell=Explorer.exe后添加受控端程序的路径。如：shell=Explorer.exefile.exe。 修改文件关联：修改注册表，改变文件的关联性，使得打开某类文件时，先启动受控端程序，再运行打开该文件所用的程序。这类文件有.exe、.htm、.txt、.zip、.com等文件。（本实验所使用的冰河木马程序，使用了其中的修改注册表方法：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下新建一字符串值，其值为C:\WINNT\system32\sysrun32.exe;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下新建一字符串值，其值为C:\WINNT\system32\sysrun32.exe;3. 隐藏技术远程控制中的隐藏技术是非常重要的。根据隐藏的对象不同，隐藏方式可以分为任务栏隐藏、进程隐藏和通信隐藏。下面将依次介绍这几种隐藏方式。 在Windows系统中，每启动一个应用程序，都会打开一个窗口，并在任务栏显示图标，表示该应用程序的运行。任务栏隐藏，指的就是不在任务栏中显示受控端程序的运行。这可以通过设置应用程序的窗口显示属性为UnVisiable，隐藏运行窗口，实现任务栏隐藏。 在Windows系统中，应用程序一般都是作为进程运行的。通过运行进程察看程序，可以察看当前系统正在运行的进程。进程隐藏，指的就是在Windows任务管理器的进程列表中看不到进程的运行，运行进程察看程序（如pslist等工具）也不能发现进程的运行。 远程控制程序是一个客户/服务器程序，客户端程序和服务器端程序要互相通信。通信隐藏，就是要尽量隐藏客户端和服务器端程序的通信过程，躲避防火墙、入侵检测设备等安全防御措施。4. 远程控制实现的功能在网络攻击中使用远程控制可以加大攻击的力度，实现更多的控制。具体来说，远程控制技术可以实现下列具体的功能： 自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕。 记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令、绝大多数在对话框中出现过的口令信息以及击键记录功能。 获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式-正常方式、最大化、最小化和隐藏方式）等