实验17-灰鸽子木马利用与防护

灰鸽子木马利用与防护(SEC-W06-001.1)木马，又名特洛伊木马，其名称取自古希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己、加载运行的目的。本案例以国内著名的灰鸽子木马为例讲述木马的使用和防御。实验目的了解木马病毒对终端主机的安全威胁，以及木马病毒如何对主机进行攻击。实验准备准备两台电脑，一台为服务器（win2003）和一台为winxp电脑：Win2003服务器的设置：1．设置IP地址为192.168.25.772．右击我的电脑，选择管理，选择本地用户和组---用户---administrator,设置其密码为demo3．右击我的电脑，选择属性---远程选项卡，勾选远程桌面下的允许用户远程连接到这台计算机。（开启了3389端口，通过netstat–an可以查看）客户机(winxp)：设置其IP地址为192.168.25.78请下载灰鸽子木马程序(本案例使用的是灰鸽子牵手版)到个人PC(winxp电脑)上。（把木马程序放在winxp电脑上）如图1如图1在个人PC上运行远程桌面客户端程序mstsc.exe，输入服务器IP地址192.168.25.77，点击“连接”，登录时用户名为“administrator”，密码为“demo”。如图2图2登入远程虚拟平台之后，在服务器上建立“新建文件夹”，重命名为“share”，然后右击文件夹，选择“属性”，在“共享”栏中，选择“共享该文件夹”。如图3图3为了通过网络共享从本地拷贝文件到虚拟平台，确认控制权限为“完全控制”。如图4图4以上操作的目的是，为了以后把winxp上生成的服务端程序拷贝到服务器的共享文件夹share中。实验步骤下载使用灰鸽子木马步骤说明：下载和使用灰鸽子木马1.在winxp电脑上，打开已经下载好的灰鸽子木马所在的文件夹qs2004，双击里面的灰鸽子客户端H_client(本案例中如果碰到灰鸽子客户端无法打开的情形，请从“灰鸽子_牵手.zip”重新解压生成一个新的客户端程序再执行）。2.“文件”--“配置服务程序”或直接从F12进入服务器端配置，如：图5图53.进行相应的设置后，点击“生成服务器”。如：图6图64.通过Windows网络共享的方式，将winxp上生成出来的服务端程序拷贝到win2003服务器的文件夹share中，访问共享的用户名和密码仍然是“administrator”和“demo”。（在xp电脑上的开始—运行，输入\\192.168.25.77,输入用户名“administrator”和密码“demo”，双击共享文件夹share，然后把winxp上的灰鸽子木马所在的文件夹qs2004中的那个生成的服务端程序setup.exe拷贝到该目录中）如图7图75.再次通过使用远程桌面登录到win2003服务器上，双击运行那个共享文件夹share里的服务端程序。如：图8图86.关闭远程桌面，个人PC端（winxp）使用灰鸽子木马所在的文件夹qs2004下的客户端灰鸽子程序h_client，点击“增加主机”，添加服务端目标IP（192.168.25.77）。如：图9图97.可进行一系列操作，如查看对方系统信息，下载对方文件到本地等。如：图10和图11图10图11解决方案1.临时解决方案：使用系统自带的防火墙处阻止该进程。图122.更新您的杀毒软件查杀病毒或者从官方下载有效的灰鸽子专杀工具。图13图14