公安信息系統(tǒng)設(shè)計應(yīng)用課程設(shè)計報告

-z.政法學(xué)院公安信息系統(tǒng)應(yīng)用課程設(shè)計題目木馬攻擊公安技術(shù)學(xué)院網(wǎng)絡(luò)平安與執(zhí)法專業(yè)2014級1班**：201483030127姓名：洋指導(dǎo)教師：王云峰成績：完成時間：2017年7月一．實驗?zāi)康膶W(xué)習(xí)冰河木馬遠(yuǎn)程控制軟件的使用了解木馬和計算機病毒的區(qū)別熟悉使用木馬進(jìn)展網(wǎng)絡(luò)攻擊的原理和方法通過手動刪除木馬，掌握檢查木馬和刪除木馬的技巧學(xué)會防御木馬的相關(guān)知識，加深對木馬的平安防意識二．實驗原理木馬程序是目前比擬流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不刻意地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供翻開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。木馬與計算機網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是善意的控制，因此通常不具有隱蔽性；木馬則完全相反，木馬要到達(dá)的是偷竊性的遠(yuǎn)程控制。它是指通過一段特定的程序〔木馬程序〕來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端，另一個是效勞端，即被控制端。植入被種者電腦的是效勞器局部，而黑客正是利用控制器進(jìn)入運行了效勞器的電腦。運行了木馬程序的效勞器以后，被種者的電腦就會有一個或幾個端口被翻開，使黑客可以利用這些翻開的端口進(jìn)入電腦系統(tǒng)，平安和個人隱私也就全無保障。木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的效勞一旦運行并被控制端連接，其控制端將享有效勞端的大局部操作權(quán)限，例如給計算機增加口令，瀏覽、移動、復(fù)制、刪除文件，修改注冊表，更改計算機配置等。隨著病毒編寫技術(shù)的開展，木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒后覺察。木馬是隱藏在正常程序中的具有特殊功能的惡意代碼，是具備破壞、刪除和修改文件、發(fā)送密碼、記錄鍵盤、實施DOS攻擊甚至完全控制計算機等特殊功能的后門程序。它隱藏在目標(biāo)的計算機里，可以隨計算機自動啟動并在*一端口監(jiān)聽來自控制端的控制信息。木馬的特性木馬程序為了實現(xiàn)*特殊功能，一般應(yīng)該具有以下性質(zhì)：偽裝性:程序把自己的效勞器端偽裝成合法程序，并且誘惑被攻擊者執(zhí)行，使木馬代碼會在未經(jīng)授權(quán)的情況下裝載到系統(tǒng)中并開場運行。隱藏性：木馬程序同病毒一樣，不會暴露在系統(tǒng)進(jìn)程管理器，也不會讓使用者覺察到木馬的存在，它的所有動作都是伴隨其它程序進(jìn)展的，因此在一般情況下使用者很難發(fā)現(xiàn)系統(tǒng)中有木馬的存在。破壞性：通過遠(yuǎn)程控制，攻擊者可以通過木馬程序?qū)ο到y(tǒng)中的文件進(jìn)展刪除、編輯操作，還可以進(jìn)展諸如格式化硬盤、改變系統(tǒng)啟動參數(shù)等個性破壞操作。竊密性：木馬程序最大的特點就是可以窺視被入侵計算機上的所有資料，這不僅包括硬盤上的文件，還包括顯示器畫面、使用者在操作電腦過程中在硬盤上輸入的所有命令等。木馬的入侵途徑木馬入侵的主要途徑是通過一定的欺騙方法，如更改圖標(biāo)、把木馬文件與普通文件合并，欺騙被攻擊者下載并執(zhí)行做了手腳的木馬程序，就會把木馬安裝到被攻擊者的計算機中。木馬也可以通過Script、Active*及ASP、CGI交互腳本的方式入侵，由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞，攻擊者可以利用這些漏洞又到上網(wǎng)者單擊網(wǎng)頁，這樣IE瀏覽器就會自動執(zhí)行腳本，實現(xiàn)木馬的下載和安裝。木馬還可以利用系統(tǒng)的一些漏洞入侵，如微軟的IIS效勞存在多種溢出漏洞，通過緩沖區(qū)溢出攻擊程序造成IIS效勞器溢出，獲得控制權(quán)縣，然后在被攻的效勞器上安裝并運行木馬。木馬的種類按照木馬的開展歷程，可以分為四個階段：第一代木馬是偽裝型病毒，將病毒偽裝成一合法的程序讓用戶運行。第二代木馬是網(wǎng)絡(luò)傳播型木馬，它具備偽裝和傳播兩種功能，可以近些年歌迷馬竊取、遠(yuǎn)程控制。第三代木馬在連接方式上有了改良，利用率端口反彈技術(shù)。第四代木馬在進(jìn)程隱藏方面作了較大改動，讓木馬效勞器運行時沒有進(jìn)程，網(wǎng)絡(luò)操作插入到系統(tǒng)進(jìn)程或者應(yīng)用進(jìn)程完成。按照功能分類,木馬可以分為:破壞型木馬，主要功能是破壞刪除文件；密碼發(fā)送型木馬，它可以找到密碼并發(fā)送到指定的中；效勞型木馬，它通過啟動FTP效勞或者建立共享目錄，使黑客可以連接并下載文件；DOS攻擊型木馬，它可以作為被黑客控制的肉雞實施DOS攻擊；代理型木馬，它作為黑客發(fā)起攻擊的跳板；遠(yuǎn)程控制型木馬，可以使攻擊者利用客戶端軟件完全控制。木馬的工作原理下面介紹木馬的傳統(tǒng)連接技術(shù)、反彈端口技術(shù)和線程插入技術(shù)。木馬的傳統(tǒng)連接技術(shù)一般木馬都采用C/S運行模式，因此它分為兩局部，即客戶端和效勞器端木馬程序。其原理是，當(dāng)效勞器端程序在目標(biāo)計算機上被執(zhí)行后，一般會翻開一個默認(rèn)的端口進(jìn)展監(jiān)聽，當(dāng)客戶端向效勞器端主動提出連接請求，效勞器端的木馬程序就會自動運行，來應(yīng)答客戶端的請求，從而建立連接。第一代和第二代木馬都采用的是C/S連接方式，都屬于客戶端主動連接方式。效勞器端的遠(yuǎn)程主機開放監(jiān)聽端口等待外部的連接，當(dāng)入侵者需要與遠(yuǎn)程主機連接時，便主動發(fā)出連接請求，從而建立連接。木馬的反彈端口技術(shù)隨著防火墻技術(shù)的開展，它可以有效攔截采用傳統(tǒng)連接方式從外部主動發(fā)起連接的木馬程序。但防火墻對部發(fā)起的連接請求則認(rèn)為是正常連接，第三代和第四代“反彈式〞木馬就是利用這個缺點，其效勞器端程序主動放棄對外連接請求，再通過*些方式連接到木馬的客戶端，就是說“反彈式〞木馬是效勞器端主動發(fā)起連接請求，而客戶端是被動的連接。根據(jù)客戶端IP地址是靜態(tài)的還是動態(tài)的，反彈式端口連接可以有兩種方式。反彈端口連接方式一要求入侵者在設(shè)置效勞器端的時候，指明客戶端的IP地址和待連接端口，也就是遠(yuǎn)程被入侵的主機預(yù)先知道客戶端的IP地址和連接端口。所以這種方式只適用于客戶端IP地址是靜態(tài)的情況。反彈端口連接方式二在連接建立過程中，入侵者利用一個“代理效勞器〞保存客戶端的IP地址和待連接端口，在客戶端的IP地址是動態(tài)的情況下，只要入侵者更新“代理效勞〞中存放的IP地址預(yù)端口號，遠(yuǎn)程被入侵主機就可以通過先連接到“代理效勞器〞。查詢最新木馬客戶端信息，再和入侵者(客戶端〕進(jìn)展連接。因此，這種連接方式適用于客戶端和效勞器端都是動態(tài)IP地址的情況，況且還可以穿透更加嚴(yán)密的防火墻。表1反彈端口連接方式及其使用圍反彈端口連接方式使用圍方式一客戶端和效勞器端都是獨立IP?？蛻舳霜毩P，效勞器端在局域網(wǎng)?？蛻舳撕托谄鞫硕荚谕痪钟蚓W(wǎng)。方式二客戶端和效勞器端都是獨立IP?？蛻舳霜毩P，效勞器端在局域網(wǎng)。線程插入技術(shù)一個應(yīng)用程序在運行之后，都會在系統(tǒng)中產(chǎn)生一個進(jìn)程，同時每個進(jìn)程分別對應(yīng)另一個不同的進(jìn)程標(biāo)識符〔PID〕。系統(tǒng)會分配一個虛擬的存空間地址端給這個進(jìn)程，一切相關(guān)的程序操作，都會在這個虛擬的空間進(jìn)展。一個進(jìn)程可以對應(yīng)一個或多個線程，線程之間可以同步執(zhí)行。一般情況下，線程之間是相互獨立的，當(dāng)一個線程發(fā)生錯誤的時候，并不一定會導(dǎo)致整個進(jìn)程的崩潰。“線程插入〞技術(shù)就是利用了線程之間運行的相對獨立性，使木馬完全的融進(jìn)了系統(tǒng)的核。這種技術(shù)把木馬程序作為一個線程，把自身插入其他應(yīng)用程序的地址空間。而這個被插入的應(yīng)用程序?qū)ο到y(tǒng)來說，是一個正常的程序，這樣就到達(dá)了徹底隱藏的效果。系統(tǒng)運行時會有許多的進(jìn)程，而每個進(jìn)程又有許多的線程，這就導(dǎo)致了查殺利用“線程插入〞技術(shù)木馬程序的難度。三．實驗環(huán)境兩臺裝有Windows2000/*P系統(tǒng)的計算機，局域網(wǎng)或Internet，冰河木馬軟件〔效勞器和客戶端〕。四．實驗步驟和方法雙擊冰河木馬.rar文件，將其進(jìn)展解壓，解壓路徑可以自定義。解壓過程見圖1—圖4，解壓結(jié)果如圖4所示。圖1圖2圖3冰河木馬共有兩個應(yīng)用程序，見圖4，其中win32.e*e是效勞器程序，屬于木馬受控端程序，種木馬時，我們需將該程序放入到受控端的計算機中，然后雙擊該程序即可；另一個是木馬的客戶端程序，屬于木馬的主控端程序。圖4在種木馬之前，我們在受控端計算機中翻開注冊表，查看翻開t*tfile的應(yīng)用程序注冊項：HKEY_CLASSES_ROOT\t*tfile\shell\open\command，可以看到翻開.t*t文件默認(rèn)值是c:\winnt\system32\notepad.e*e%1，見圖5。圖5再翻開受控端計算機的c:\winnt\system32文件夾〔*P系統(tǒng)為C:\windows\system32〕，我們不能找到syse*plr.e*e文件，如圖6所示。圖6現(xiàn)在我們在受控端計算機中雙擊Win32.e*e圖標(biāo)，將木馬種入受控端計算機中，外表上好似沒有任何事情發(fā)生。我們再翻開受控端計算機的注冊表，查看翻開.t*t文件的應(yīng)用程序注冊項：HKEY_CLASSES_ROOT\t*tfile\shell\open\command，可以發(fā)現(xiàn)，這時它的值為C:\winnt\system32\syse*plr.e*e%1，見圖7。圖7我們再翻開受控端計算機的C:\WINNT\System32文件夾，這時我們可以找到syse*plr.e*e文件，如圖8所示。圖8我們在主控端計算機中，雙擊Y_Client.e*e圖標(biāo)，翻開木馬的客戶端程序〔主控程序〕?？梢钥吹饺鐖D9所示界面。圖9我們在該界面的【訪問口令】編輯框中輸入訪問密碼：12211987，設(shè)置訪問密碼，然后點擊【應(yīng)用】，見圖10。圖10點擊【設(shè)置】->【配置效勞器程序】菜單項選擇項對效勞器進(jìn)展配置，見圖11，彈出圖12所示的效勞器配置對話框。圖11在效勞器配置對話框中對待配置文件進(jìn)展設(shè)置，如圖12點擊該按鈕，找到效勞器程序文件win32.e*e，翻開該文件〔圖13〕；再在訪問口令框中輸入12211987，然后點擊【確定】〔見圖14〕，就對效勞器已經(jīng)配置完畢，關(guān)閉對話框。圖12圖13圖14現(xiàn)在在主控端程序中添加需要控制的受控端計算機，我們先在受控端計算機中查看其IP地址，如圖15〔本例中為〕。圖15這時可以在我們的主控端計算機程序中添加受控端計算機了，詳細(xì)過程見圖16、圖17。圖16圖17當(dāng)受控端計算機添加成功之后，我們可以看到圖18所示界面。圖18我們也可以采用自動搜索的方式添加受控端計算機，方法是點擊【文件】->【自動搜索】，翻開自動搜索對話框〔見圖19〕。圖19搜索完畢時，我們發(fā)現(xiàn)在搜索結(jié)果欄中IP地址為的項旁狀態(tài)為OK，表示搜索到IP地址為的計算機已經(jīng)中了冰河木馬，且系統(tǒng)自動將該計算機添加到主控程序中，見圖20。圖20將受控端計算機添加后，我們可以瀏覽受控端計算機中的文件系統(tǒng)，見圖21—圖23。圖21圖22圖23我們還可以對受控端計算機中的文件進(jìn)展復(fù)制與粘貼操作，見圖24、圖25。圖24圖25我們在受控端計算機中進(jìn)展查看，可以發(fā)現(xiàn)在相應(yīng)的文件夾中確實多了一個剛復(fù)制的文件，見圖26，該圖為受控端計算機中文件夾。圖26我們可以在主控端計算機上觀看受控端計算機的屏幕，方法見圖27、圖28。圖27圖28這時在屏幕的左上角有一個窗口，該窗口中的圖像即受控端計算機的屏幕見圖29。圖29我們將左上角的窗口全屏顯示，可得如圖30所示〔屏幕的具體狀態(tài)應(yīng)視具體實驗而不同〕。圖30我們在受控端計算機上進(jìn)展驗證發(fā)現(xiàn)：主控端捕獲的屏幕和受控端上的屏幕非常吻合。見圖31。圖31我們可以通過屏幕來對受控端計算機進(jìn)展控制，方法見圖32，進(jìn)展控制時，我們會發(fā)現(xiàn)操作遠(yuǎn)程主機，就好似在本地機進(jìn)展操作一樣。圖32我們還可以通過冰河信使功能和效勞器方進(jìn)展聊天，具體見圖33—圖35，當(dāng)主控端發(fā)起信使通信之后，受控端也可以向主控端發(fā)送消息了。圖33圖34圖35展開命令控制臺，分為“口令類命令〞、“注冊表讀表〞、“設(shè)置類命令〞?！?〕口令命令類：①“系統(tǒng)信息及口令“：可以查看遠(yuǎn)程主機的系統(tǒng)信息、開機口令、緩存口令等。②“歷史口令〞：可以查看遠(yuǎn)程主機以往使用的口令。③“擊鍵記錄〞：啟動鍵盤記錄以后，可以記錄遠(yuǎn)程主機用戶擊鍵記錄，以此可以分析出遠(yuǎn)程主機的各種和口令或各種秘密信息。〔2〕控制類命令捕獲屏幕〞：這個功能可以使控制端使用者查看遠(yuǎn)程主機的屏幕，好似遠(yuǎn)程主機就在自己面前一樣，這樣更有利于竊取各種信息。單擊“查看屏幕〞，彈出遠(yuǎn)程主機界面。=1\*GB3①“發(fā)送信息〞：這個功能可以使你向遠(yuǎn)程計算機發(fā)送Windows標(biāo)準(zhǔn)的各種信息。=2\*GB3②“進(jìn)程管理〞：這個功能可以使控制者查看遠(yuǎn)程主機上所有的進(jìn)程。=3\*GB3③“窗口管理〞：這個功能可以使遠(yuǎn)程主機上的窗口進(jìn)展刷新、最大化、最小化、激活、隱藏等操作。=4\*GB3④“系統(tǒng)管理〞：該功能可以使遠(yuǎn)程主機進(jìn)展關(guān)機、重啟、重新加載冰河、自動卸載冰河。=5\*GB3⑤“其他控制〞：該功能可以使遠(yuǎn)程主機上進(jìn)展自動撥號制止、桌面隱藏、注冊表鎖定等操作。〔3〕網(wǎng)絡(luò)類命令：①“創(chuàng)立共享〞：在遠(yuǎn)程主機上創(chuàng)立自己的共享。②“刪除共享〞：在遠(yuǎn)程主機上刪除*個特定的共享。③“網(wǎng)絡(luò)信息〞：查看遠(yuǎn)程主機上的共享信息，單擊“查看共享〞可以看到遠(yuǎn)程主機上的IPC$,C$、ADMIN$等共享都存在。⑷文件類命令：展開文件類命令、文件瀏覽、文件查找、文件壓縮、文件刪除、文件翻開等菜單可以查看、查找、壓縮、刪除、翻開遠(yuǎn)程主機上的*個文件。目錄增刪、目錄復(fù)制、主鍵增刪、主鍵復(fù)制的功能。=5\*GB2⑸注冊表讀寫：提供了鍵值讀取，鍵值寫入，鍵值重命名、主鍵瀏覽、主鍵刪除、主鍵復(fù)制的功能。=6\*GB2⑹設(shè)置類命令：提供了更換墻紙、更改計算機名、效勞器端配置的功能。3、刪除冰河木馬刪除冰河木馬主要有以下幾種方法：客戶端的自動卸載功能，而實際情況中木馬客戶端不可能為木馬效勞器自動卸載木馬。手動卸載：查看注冊表，在“開場〞中運行regedit,翻開Windows注冊表編輯器。依次翻開子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CruuentVersion\run.在目錄中發(fā)現(xiàn)一個默認(rèn)的鍵值：C:\WINNT\System32\kernel32.e*e，這個就是冰河木馬在注冊表中參加的鍵值，將它刪除。然后依次翻開子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind-ows\CurrentVersion\Runservices,在目錄中也發(fā)現(xiàn)一個默認(rèn)鍵值：C:\WINNT\System32\kernel32.e*e，這個也是冰河木馬在注冊表中參加的鍵值，刪除。進(jìn)入C:\WINNT\System32目錄，找到冰河的兩個可執(zhí)行文件Kernel32.e*e和Suse*plr.e*e，刪除。修改文件關(guān)聯(lián)時木馬常用的手段，冰河木馬將t*t文件的缺