20155301、20155339《信息安全技术》实验四 木马及远程控制技术

20155301、20155339《信息安全技术》实验四 木马及远程控制技术

实验目的

1）剖析网页木马的工作原理

2）理解木马的植入过程

3）学会编写简单的网页木马脚本

4）通过分析监控信息实现手动删除木马

实验内容

1）木马生成与植入

2）利用木马实现远程控制

3）木马的删除

实验人数

1）每组2人，本组为20155301、20155339

实验主机
| 实验角色
---|---
主机A | 木马控制端（木马客户端）
主机B | 木马被控端（木马服务器）

实验环境

1）Windows Server 2003虚拟机

2）交换网络结构

实验工具

1）网络协议分析器

2）灰鸽子

3）监控器

实验原理

1）网页木马原理及相关定义：

“网页木马”由其植入方式而得名，是通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的木马。与其它网页不同，木马网页是黑客精心制作的，用户一旦访问了该网页就会中木马。因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

2）名词解释：

MS06014漏洞：

存在于Microsoft Data Access Components，利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的程序就会不经过用户的确认而自动执行。

iframe标签：

iframe也叫浮动帧标签，它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。 被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽（width）、高（height）、边框（frameborder）都设置为0，代码插入到首页后，首页不会发生变化，但是嵌入的网页实际上已经打开。

反弹端口型木马：

分析防火墙的特性后可以发现，防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。服务端通常会把打开的端口伪装成应用软件的端口，从而进一步降低被防火墙发现的概率。

网页木马生成脚本：

通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的，进而达到用户浏览含有木马的网页即自动下载安装程序的目的。

3）木马的工作过程：

木马的工作过程可分为四部分：木马的植入、木马的安装、木马的运行和木马的自启动。

木马的植入 ：

网页木马就是一个由黑客精心制作的含有木马的HTML网页，因为MS06014漏洞存在，当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页，进而达到植入木马的目的。不过随着人们网络安全意识的提高，这种方法已经很难欺骗大家了。

还有一种方法就是通过