【asp精品源码栏目提醒】:网学会员为广大网友收集整理了,信息安全实验指导(最新版) - 其它资料,希望对大家有所帮助!
信息安全实验指导 实验一 广外男生 实验二 冰河木马 实验三 账号口令破解 实验四 Sniffer工具嗅探 实验五 网络端口扫描 实验六 综合扫描及安全评估 1 实验一木马攻击与防范(一) 广外男生 2 实验目的 通过对木马的练习,使读者理解和掌握木马传播 和运行的机制;通过手动删除木马,掌握检查木 马和删除木马的技巧,学会防御木马的相关知 识,加深对木马的安全防范意识。
3 实验原理 木马的特性 伪装性:将自己的服务器端伪装成合法程序 隐藏性:不会暴露在系统进程管理器内,也不会 让使用者察觉到木马的存在 破坏性:通过远程控制,可以对系统中文件进行 删除、编辑,还可以格式化硬盘,改变系统启动 参数等 窃密性:窥视被入侵计算机上的所有资料,包括 硬盘上的文件、显示器画面、使用者在操作过程 中在硬盘上输入的所有命令等。
4 实验原理 木马的入侵途径 欺骗方法:更改图标、把木马文件与普通文件合 并,欺骗呗攻击者下载并执行做了手脚的木马程 序。
利用浏览器在执行Script脚本上存在的漏洞诱导 上网者单击网页,使IE浏览器自动执行脚本,实 现木马的下载和安装。
利用系统漏洞入侵:如微软的IIS服务器存在多种 溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务 器溢出。
5 实验原理 木马的种类 按木马发展历程分类:第一代木马是伪装型病 毒,第二代木马是网络传播型木马,第三代木马 利用端口反弹技术,第四代木马让木马服务器端 运行时没用进程。
按照功能分类:破坏型木马,服务型木马,DOS 攻击型木马,代理型木马,远程控制型木马。
6 实验原理 木马的工作原理 木马的传统连接技术:一般采用C/S运行模式。
木马的反弹端口技术:服务器端主动发起对外连 接请求,再通过某些方式连接到木马的客户端。
线程插入技术:利用线程之间运行的相对独立 性,使木马完全的融进了系统的内核。
7 实验环境 两台运行Windows server 2003的计算机,通过 网络连接。
使用“广外男生”木马作为练习工具。
8 实验内容和任务 “广外男生”的客户端和服务器端的配置连接。
打开“广外男生”的主程序 进行客户端设置 设置木马连接类型 进行服务器端设置 网络设置 生成文件 木马执行 9 实验内容和任务 “广外男生”的检测 使用两个强大工具fport和tlist 命令窗口输入cmd-netstat-an查看网络端口占用 状态 提示符下输入fport,找出木马插入的进程 Explorer.exe及其PID号 在提示符下输入tlist 848,查看在Explorer.exe 中运行的动态链接库 在命令提示符下输入tlist-m gwboydll.dll查看木 马是否还插入其它的进程 10 实验内容和任务 手动删除“广外男生”木马 单击“开始”-“运行”,输入regedit进入注册表,一次展开 到HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrent VersionRun在里面找到木 马文件并删除 进入C:WINNTSystem32,按文件大小排列,寻找 116KB的文件,找到木马文件删除 在注册表中单击“编辑”-“查找”,查找文件名为 “gwboydll.dll”的文件,找到相关注册表项全部删除 重新启动主机,按F8进入命令提示的安全模式,再进入 C:WINNTSystem32中,输入del gwboydll.dll删除木马 的动态链接库文件,这几彻底把木马文件清除了。
11 实验内容和任务 木马的防范 提高防范意识 如果网速变慢,这是因为使用的木马抢占带宽 查看本机连接,如果有使用不常见的端口与主机 通信,则需要进一步分析 木马可以通过注册表启动,所以可以通过注册表 来发现木马在注册表里留下的痕迹 使用杀毒软件和防火墙。
12 实验报告要求 安装或启动一款杀毒软件,对中了木马的主机进 行全面扫描,查看在那些目录下存在木马文件, 木马文件都是什么,加深对木马文件驻留主机位 置和原理的认识。
学习使用fport、tlist等工具 采用反弹端口方式二再次模拟入侵主机,将详细 的过程和结果提交上来,在此过程中需要申请动 态域名,可以使用服务器模拟一个DNS服务器, 在客户端主机上也要使用相关工具建立Web服务 器、FTP服务器。
13 实验二木马的攻击与防范(二) 冰河木马 14 实验目的 通过对木马的练习,了解和掌握木马的传播和运 行机制; 通过手动删除木马,掌握检查木马和删除木马的 技巧 15 实验原理1.木马的特性(1)伪装性:程序将自己的服务器端伪装成合法程序,并诱 使被攻击者 下载和安装木马程序到系统中。
(2)隐藏性:木马同病毒程序一样,不会暴露在系统进程 管理器中,也不会让使用者察觉木马的存在,它的所有动 作会伴随其他程序进行。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对 系统文件进行删除,编辑,还可以进行诸如格式会硬盘等 操作。
(4)窃取性:木马程序最大的特点就是可以窥视被入侵的计 算机的所有资料,这不仅是硬盘的文件,还包括屏幕画 面,及使用者在操作过程中的所有命令。
16 实验原理 2.木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改目标图标,把木马文件与普通文件合并,欺骗被攻击者下载并且执行木马程序,就会把木马安装在被攻击者者电脑。
木马也可以scriptActiveAsp CGI 交互脚本方式入侵。
由于微软的浏览器在执行script脚本上存在一些漏洞,攻击者可以利用这些漏洞诱惑上网者点击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
17 实验原理3.木马的种类(1)按木马发展历程,可以分四代:第一代伪装 型病毒,将木马伪装成合法程序让用户执行。
例 如pc-write第二代木马病毒是网路传播型病毒, 有伪装和传播的功能,例如BO_2000和冰河木马 第三代 端口反弹技术,例如灰鸽子木马;第四代木马在 进程隐藏方面做了很大的改动,让木马服务器运 行时没有进程,例如广外男生。
(2)按功能分类,可分为破坏型木马,密码发送 型木马,服务型木马,代理型木马。
18 实验原理4.木马工作原理 (1)木马的传统连接方式。
一般木马都采用C/S运行模 式,可以分两部分,即客户端和服务器端。
原理是当服 务器端在目标计算机运行时,一般会打开一个默认的端 口进行监听。
(2)木马反弹技术,随着防火墙技术发展,它可以有效 拦截传统的连接方式。
但是防火墙对内部发起连接认为 正常连接,利用这个缺点让服务器端主动发起连接在通 过某些方式连接到木马客户端。
(3)线程插入技术,一个应用程序运行后,都会在系统 中产生一个进程,同时每个进程对应不同的标识符,系 统会分配一个虚拟内存空间给这个进程,有关一切程序 都会在这里执行。
线程插入技术就是利用线程间运行相 对独立性,是木马融入系统的内核,这种技术把木马作 为一个进程,把自身插入其他的应用程序的地址空间。
这样就达到了彻底隐蔽的效果了。
19 实验环境 两台windows sever 2003的计算机,通过网络 连接。
安装冰河木马。
20
上一篇:
河南信息技术八年级下册教案
下一篇:
bc80e7a0-d1f2-4595-b21d-01a76798e87a