實(shí)驗(yàn)2-4木馬攻擊與防范實(shí)驗(yàn)2-4木馬攻擊與防范目錄一.實(shí)驗(yàn)?zāi)康亩?實(shí)驗(yàn)原理三.實(shí)驗(yàn)環(huán)境四.實(shí)驗(yàn)內(nèi)容五.實(shí)驗(yàn)報(bào)告要求目錄一.實(shí)驗(yàn)?zāi)康囊?實(shí)驗(yàn)?zāi)康囊?實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)對(duì)木馬的練習(xí)，使讀者理解和掌握木馬傳播和運(yùn)行的機(jī)制；通過(guò)手動(dòng)刪除木馬，掌握檢查木馬和刪除木馬的技巧，學(xué)會(huì)防御木馬的相關(guān)知識(shí)，加深對(duì)木馬的安全防范意識(shí)。一.實(shí)驗(yàn)?zāi)康囊?實(shí)驗(yàn)?zāi)康亩?實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理1．木馬的特性偽裝性隱藏性破壞性竊密性二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理2．木馬的入侵途徑捆綁欺騙利用網(wǎng)頁(yè)腳本入侵利用漏洞入侵和病毒協(xié)作入侵二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理3．木馬的種類(lèi)第一代木馬，主要是在UNIX環(huán)境中通過(guò)命令行界面實(shí)現(xiàn)遠(yuǎn)程控制。第二代木馬，具有圖形控制界面，可以進(jìn)行密碼竊取、遠(yuǎn)程控制，例如BO2000和冰河木馬。第三代木馬，通過(guò)端口反彈技術(shù)，可以穿透硬件防火墻，例如灰鴿子木馬，但木馬進(jìn)程外聯(lián)黑客時(shí)會(huì)被軟件防火墻阻擋。二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理3．木馬的種類(lèi)第四代木馬通過(guò)線程插入技術(shù)隱藏在系統(tǒng)進(jìn)程或者應(yīng)用進(jìn)程中，實(shí)現(xiàn)木馬運(yùn)行時(shí)沒(méi)有進(jìn)程，比如廣外男生木馬。第四代木馬可以實(shí)現(xiàn)對(duì)硬件和軟件防火墻的穿透。第五代木馬在隱藏方面比第四代木馬又進(jìn)行了進(jìn)一步提升，它普遍采用了rootkit技術(shù)，通過(guò)rootkit技術(shù)實(shí)現(xiàn)木馬運(yùn)行二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理4．木馬的連接方式一般木馬都采用C/S運(yùn)行模式，它分為兩部分，即客戶端和服務(wù)器端木馬程序。黑客安裝木馬的客戶端，同時(shí)誘騙用戶安裝木馬的服務(wù)器端。木馬的傳統(tǒng)連接方式第一代和第二代木馬均采用傳統(tǒng)的連接方式，即由木馬的客戶端程序主動(dòng)連接服務(wù)器端程序。二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理木馬的反彈端口技術(shù)二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理木馬的反彈端口技術(shù)二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理5．木馬的隱藏技術(shù)線程插入技術(shù)這種技術(shù)把木馬程序做為一個(gè)線程，把自身插入其他應(yīng)用程序的地址空間。而這個(gè)被插入的應(yīng)用程序?qū)τ谙到y(tǒng)來(lái)說(shuō)，是一個(gè)正常的程序，這樣，就達(dá)到了徹底隱藏的效果。RootKit技術(shù)RootKit是一種隱藏技術(shù)，它使得惡意程序可以逃避操作系統(tǒng)標(biāo)準(zhǔn)診斷程序的查找。二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理6．木馬的檢測(cè)木馬的遠(yuǎn)程控制功能要實(shí)現(xiàn)，必須通過(guò)執(zhí)行一段代碼來(lái)實(shí)現(xiàn)。為此，木馬采用的技術(shù)再新，也會(huì)在操作系統(tǒng)中留下痕跡。如果能夠?qū)ο到y(tǒng)中的文件、注冊(cè)表做全面的監(jiān)控，可以實(shí)現(xiàn)發(fā)現(xiàn)和清除各種木馬的目的。二.實(shí)驗(yàn)原理二.實(shí)驗(yàn)原理三.實(shí)驗(yàn)環(huán)境三.實(shí)驗(yàn)環(huán)境兩臺(tái)運(yùn)行windows2000/XP/2003的計(jì)算機(jī)，通過(guò)網(wǎng)絡(luò)連接。通過(guò)配置“灰鴿子”木馬，了解木馬工作原理并實(shí)現(xiàn)對(duì)木馬的檢測(cè)和查殺。三.實(shí)驗(yàn)環(huán)境三.實(shí)驗(yàn)環(huán)境四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容1．灰鴿子介紹灰鴿子是國(guó)內(nèi)近年來(lái)危害非常嚴(yán)重的一種木馬程序。

四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容2“灰鴿子”的連接與配置四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容2“灰鴿子”的連接與配置四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容2“灰鴿子”的連接與配置四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容3“灰鴿子”的檢測(cè)四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容3“灰鴿子”的檢測(cè)四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容3“灰鴿子”的檢測(cè)四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容4灰鴿子的查殺

四.實(shí)驗(yàn)內(nèi)容四.實(shí)驗(yàn)內(nèi)容五.實(shí)驗(yàn)報(bào)告要求1．配置采用端口反彈技術(shù)的灰鴿子木馬，實(shí)現(xiàn)木馬服務(wù)端