admin管理员组文章数量:1532656
2024年1月19日发(作者:)
木马攻击实验
【实验环境】
Windows实验台
所需工具:灰鸽子客户端软件
【实验内容】
灰鸽子木马是网络上常见的并且功能强大的远程后门软件。采用dll注入技术,开启效劳程序,从而实现远程控制的目的。本实验以灰鸽子木马为例进行如下实验内容:
(1)
木马制作
(2)
木马种植
(3)
查看木马验证和系统状态
(4)
卸载灰鸽子木马
木马攻击实验
【实验原理】
木马,全称为特洛伊木马Trojan Horse。“特洛伊木马〞这一词最早出先在希腊神话传说中。计算机木马程序一般具有以下几个特征:
主程序有两个,一个是效劳端,另一个是控制端。效劳端需要在主机执行。
当控制端连接效劳端主机后,控制端会向效劳端主机发出命令。而效劳端主机在接受命令后,会执行相应的任务。
灰鸽子是国内一款著名后门软件,是国内后门软件的集大成者。具有丰富而强大的功能、灵活多变的操作、良好的隐藏性。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的。
木马攻击实验
【实验步骤】
启动Windows实验台,并设置实验台的IP地址,以实验台为目标主机进行实验。个别实验学生可以以2人一组的形式,互为攻击方和被攻击方来进行。
一、
木马制作
(1)
根据攻防实验制作灰鸽子木马,配置安装目录,如下图。
(2)
图启动项配置,如下图。
(3)
图高级设置,选择使用浏览器进程启动。并生成效劳器程
序,如下图。
二、
图木马种植
(1)
通过漏洞或溢出得到远程主机权限,上传并运行灰鸽子木马。
(2)
本地对植入灰鸽子的主机进行连接,看是否能连接灰鸽子。
三、
木马分析
(1)
观察端口
当灰鸽子的客户端效劳器启动之后,会发现本地灰鸽子客户端有主机上线,说明灰鸽子已经启动成功,如下图。
图查看远程主机的开放端口如下图,肉鸡正在与本地连接,表示肉鸡已经上线,可以对其进行控制。
(2)
图查看进程
启动icesWord检查开放进程,进程中多出了进程,如下图;这个进程即为启动灰鸽子木马的进程,起到了隐藏灰鸽子自身程序的目的。
(3)
图查看效劳
进入控制面板的“效劳〞,增加了一个名为huigei的效劳,如下图;该效劳为启动计算机时,灰鸽子的启动程序。
四、
图卸载灰鸽子
(1)
停止当前运行的
IEXPLORE程序和huigei效劳。
(2)
将Windows目录下的文件删除,重新启动计算机即可卸载灰鸽子程序。
版权声明:本文标题:云计算技术与应用专业《防病毒-案例-木马攻击实验》 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1705636465a148710.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论