2017-2018-1 20155232 《信息安全技术》课上测试未提交补充博客

2017-2018-1 20155232 《信息安全技术》课上测试未提交补充博客

• 在实验楼的课程中搜索了相关的木马的实验，但是要加入会员才可以有环境做实验，于是就看了一下实验的整个过程，了解了一下。还在

i春秋上查找了木马相关的视频内容，了解木马的植入以及如何防范等等。还做了恶意程序的相关实验，加深了理解。

使用Python开发木马程序

实验内容

课程将用Python实现一个简易的木马程序,该程序会记录用户的键盘输入和屏幕截图并将数据发送到指定的服务器。通过分析键盘输入的数据，可以分析出root密码和其他账号的密码等等。

实验原理

input子系统是linux kernel中与外部输入设备联系比较紧密的模块，例如我们的键盘设备会映射到/dev/input目录下的某个设备文件，由于键盘属于字符设备，所以我们可以将其当做普通的文件来操作(比如read、write)。通过不断的读取键盘设备文件,就可以完全获取到用户的键盘输入。注意该程序无法运行在windows和macos系统下。

程序总体设计

程序主要分为两个大的功能： 键盘记录 屏幕截图

• 屏幕截图功能使用了Python调用外部程序技术，常用的库用subprocess、os.system,commands等，在这里我们使用了commands库。
  

• 找到所有的键盘设备

• 使用evdev获取键盘输入的数据

在这里我们使用evdev库来获取原始的键盘数据，在这里我们使用select库来监听键盘的状态，若有输入时，readers返回键盘的文件描述符，evdev把键盘的输入转化为多个event对象。在这里只需要筛选类型为EV_KEY的键盘输入event对象即可。

Metasploit实现木马生成、捆绑及免杀

还在i春秋上面找到了疯狂的勒索软件这个视频

老师在上课有讲到17年发生的比特币勒索软件，于是就学习了这个课程，进行课下的补充。“勒索软件”是近年数量增加最快的电脑网络威胁之一，黑客通常为隐藏踪迹而要求用户以电子货币方式支付赎金，以换取解密电脑数据所需电子“秘钥”。据估计，黑客借助此类软件每年得手金额合计数亿美元。

本次课程生动形象地介绍了勒索软件到底是什么以及它是如何运作的，我们又应该如何防范以保障自身安全。

所以最好的教训不是不是乖乖付钱，而是定期备份数据，事前预防总比事后补救要好。

在i春秋上找到一个关于恶意代码的实验课程

开始进行实验

实验工具

Process Explorer：你可以使用它方便地管理你的 程序进程，能强行关闭任何程序(包括系统级别的不允许随便终止的”顽固”进程)。除此之外，它还详尽地显示计算机信息：CPU、内存使用情况，DLL、句柄信息，很酷的曲线图。

Process Explorer：是一款进程管理器吗，让使用者能了解看不到的在后台执行的处理程序，能显示目前已经载入哪些模块，分别是正在被哪些程序使用着，process explorer可显示这些程序所调用的 DLL进程，以及他们所打开的句柄。Process Explorer最大的特色就是可以中终任何进程，甚至包括系统的关键进程。

实验目的

学习恶意程序是如何窃取键盘输入

首先可以打开Process Monitor以及Process Explorer这两款工具进行监视。然后运行本次的实验程序。在Process Explorer中可以发现，在Process列中，我们这次的程序Lab03-03.exe创建了一个名为 svchost.exe的程序，然后Lab03-03.exe就消失掉了，只剩下了svchost：

这个svchost是与正常的svchost是不一样的，因为它是一个孤儿进程。所谓的孤儿进程是一个没有父进程的进程。而正常的svchost的父进程都是services.exe。那么这个“孤儿”svchost就是我们的重点怀疑对象。

• 可以找出任何的内存修改行为吗？

对于这个问题，我们可以用右键单击这个可疑的svchost，选择“属性”，查看“strings”标签，该标签下有两个选项，一个是“Image”也就是磁盘映像，另一个就是“Memory”也就是内存中的情况，可以大致浏览一下，然后重点关注“Memory”中的情况。

这里可以发现一个log，也就是日志文件，还有诸如[SHIFT]这样的键盘上的按键，而这些在磁盘映像中是没有的。所以这些就是内存的修改行为。而通过以上的分析，我们有理由相信，这个恶意程序可能是一个键盘记录器。

• 这个恶意代码在主机上的感染迹象特征是什么？

这里我们不妨实验一下，看看这个程序是不是键盘记录器。首先可以通过Process Explorer来查看一下这个恶意程序的PID值，它是1640，然后在Process Monitor中的筛选器中设置PID为1640。那么此时所显示出的结果就是关于PID为1640的程序的行为了。现在可以做一个实现，在桌面上新建一个文本文档，然后输入一些内容。再看一下Process Monitor都监控到了什么。可以发现，恶意程序在不断地调用CreateFile与WriteFile这两个函数：

这两个函数都在频繁地对我们之前发现的日志文件进行操作，那么结合日志文件就可以确定，这个恶意程序确实是一个键盘记录器。

• 这个恶意代码的目的是什么？

这个程序会创建一个svchost，以混淆视听。然后通过这个程序，就可以启动一个键盘记录器。这就是这个程序的目的。

实验总结

本次实验我通过运行恶意程序，了解了恶意程序的运行过程，并知道了键盘记录功能如何工作，了解了它的进程和工作原理，这类程序隐蔽性十分强，在以后使用和研究中，要随时注意异常进程。在上次试验中做了关于灰鸽子木马的实验，又自己做了恶意程序的实验，感触颇深，在以后的学习生活中要学会识别和保护电脑系统，防止被木马等恶意程序侵入，要做好随时备份的习惯。