2017-2018-1 20155232 20155215《信息安全技术》实验四—— 木马及远程控制技术

2017-2018-1 20155232 20155215《信息安全技术》实验四—— 木马及远程控制技术

【实验目的】

• 剖析网页木马的工作原理
• 理解木马的植入过程
• 学会编写简单的网页木马脚本
• 通过分析监控信息实现手动删除木马

【实验内容】

1. 木马生成与植入
2. 利用木马实现远程控制
3. 木马的删除

【实验原理】

• 网页木马原理及相关定义

“网页木马”由其植入方式而得名，是通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的木马。与其它网页不同，木马网页是黑客精心制作的，用户一旦访问了该网页就会中木马。因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

• 名词解释

MS06014漏洞

存在于Microsoft Data Access Components，利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的程序就会不经过用户的确认而自动执行。

iframe标签

iframe也叫浮动帧标签，它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。 被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽（width）、高（height）、边框（frameborder）都设置为0，代码插入到首页后，首页不会发生变化，但是嵌入的网页实际上已经打开。

反弹端口型木马

分析防火墙的特性后可以发现，防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。服务端通常会把打开的端口伪装成应用软件的端口，从而进一步降低被防火墙发现的概率。

网页木马生成脚本

通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的，进而达到用户浏览含有木马的网页即自动下载安装程序的目的。

【木马的工作过程】

木马的工作过程可分为四部分：
木马的植入、木马的安装、木马的运行和木马的自启动。

• 植入

网页木马就是一个由黑客精心制作的含有木马的HTML网页，因为MS06014漏洞存在，当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页，进而达到植入木马的目的。不过随着人们网络安全意识的提高，这种方法已经很难欺骗大家了。

2.还有一种方法就是通过

<iframe>

标签，在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时，iframe语句就会链接到含有木马的网页，网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马”，而中了木马的主机通常被幽默的称作“肉鸡”。“挂马”因为需要获取网站管理员的权限，所以难度很大。不过他的危害也是十分巨大的，如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马”，那试想他会有多少“肉鸡”。

• 木马的安装

木马的安装在木马植入后就被立即执行。当网页木马植入后，木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序，并根据脚本中的设定对安装程序进行重命名。通常会重新命名一个与系统进程相近的名字来迷惑管理员，使安装过程及其留下的痕迹不通过细心查看不易被发觉。安装程序下载完成后，自动进行安装。生成可执行文件C:\Windows\hack.com.cn.ini，并修改注册表生成名为windows XP Vista的系统服务。

• 木马的运行

灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端，并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE，此进程与Windows的IE浏览器进程同名，同样是为了迷惑管理员来伪装自己。当木马服务端与客户端建立连接后，客户端就如同拥有了管理员权限一样，可随意对“肉鸡”进行任何操作。

• 木马的自启动

木马安装时生成系统服务Windows XP
Vista。Windows XP Vista的可执行文件路径：“C:\WINDOWS\Hacker.com.cn.ini。”描述：“灰鸽子服务端程序，远程监控管理。”启动类型：“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。存在于系统目录下的Hack.com.cn.ini文件被设置成一个隐藏的受保护的操作系统文件，很难被人发现。

灰鸽子木马的基本功能。

（1）反向连接
（2）文件管理
（3）注册表管理
（4）系统信息查看
（5）剪贴板查看
（6）进程管理
（7）服务管理
（8）共享管理
（9）Telnet
（10）配置代理服务器
（11）插件功能
（12）命令广播
（13）捕获屏幕
（14）视频语音

木马的删除

木马的“客户端程序”可以控制木马的“服务器程序”的删除工作。另一种方法是通过手动删除。

实验步骤及部分截图

（一）木马的生成与植入

1．生成网页木马

（1）主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
（2）主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
（3）主机A生成木马的“服务器程序”。
（4）主机A编写生成网页木马的脚本。

2．完成对默认网站的“挂马”过程

（1）主机A进入目录“C:\Inetpub\wwwroot”，使用记事本打开“index.html”文件。
（2）对“index.html”进行编辑。在代码的底部加上