实验二木马分析(控制分析)实验和实验三冰河木马实验
实验二木马分析(控制分析)实验
1、伪装木马
木马的伪装方式主要有以下6种。
修改图标
现在,已经有木马服务端程序的图标改成HTML、TXT、ZIP等文件的图标,这具有相当大的迷惑性。
捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地入驻系统。至于被捆的文件,一般是可执行文件(即EXE、COM一类的文件)。
出错显示
当服务端用户打开木马程序时,为了迷惑用户,木马程序会弹出一个错误提示框。错误内容大多会定制成诸如“文件已破坏,无法打开!”之类的信息,如果服务端用户信以为真,木马会悄悄入驻系统。
定制端口
很多老式木马的端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断木马的类型带来了麻烦。
自我销毁
木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁。这样服务端用户就很难找到木马的来源,在没有查杀木马工具的帮助下很难删除木马。
木马更名
现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难根据文件名来判断所感染的木马类型。
2、感染过程嗅探分析
过程中我们使用的是两个虚拟机,win7作为控制机ip:192.168.19.131;windows xp 系统作为感染机ip:192.168.159.132.在感染中我捕获的报文利用(ip.src==192.168.159.131&&ip.dst==192.168.159.132)||(ip.dst==192.168.159.132 &&ip.src==192.168.159.131)筛选两台主机之间的通信。
我们能够看到,感染主机(131)向控制主机(132)发送报文,他们是通过tcp三次握手方式建立连接。我们也是可以看到会两台主机之间的通信会不断的增加(从xp不同时间段截获的报文可以看到),会不断发送TCP keep-Alive来保持两台机器的联系。
Windows7中截获的报文
Windowsxp中截获的报文
3、木马控制
当木马成功植入之后,会在控制端看到被控主机上线
在功能栏可以看到监控、监听、文件获取、命令行代码、操控主机等功能键
监视功能如果感染机器有摄像头可以打开摄像头经行监视对面的情况
监听功能见,可以调用对方的麦克风对对方实现有效的监听
在主界面的下方还有几个其他的功能,例如筛选、下载文件、打开网页、综合功能、ddos攻击发起、修改备注等等。
下图是向被控主机发送消息
下图展示了远程操作被控主机
打开网页功能可以让被控主机打开相应的网页
Ddos攻击,可以利用被控主机当作僵尸机器对某些网络发起ddos攻击
4、分析受控期间的网络通信数据
这里我们分析一个其中一种的控制方式控制期间的通信方式。
1)这是向被控主机发送消息的主机消息的通信方式。
2)截获的他们直接的通信
3)对其通信分析可以知道其中data就是我们发送的“你已经被我控制了”这里我们可以看到在两台主机之间传递信息是加密传送。
实验三木马植入方法实验
1、植入阶段
主要利用操作系统的漏洞进行攻击植入,造成缓冲区溢出。如堆栈型(Stack)缓冲区溢出、格式化字符串(Format String)漏洞、堆(Heap)和静态数据(BSS)的缓冲区溢出。以及利用应用软件的漏洞进行植入。
利用交互脚本植入:如通过Script、ActiveX及XML、ASP、CGI交互脚本植入。还有就是靠电子邮件植入和通过QQ或者MSN发送超链接。
2、安装阶段行为特征
木马被控制端程序在安装阶段存在显著的区别于一般合法程序的行为特征。表现出的具体行为特征如下:1)自动压缩或者解压缩文件。2)文件增大3)隐藏伪装安装木马控制端过程中产生的部分文件。4)将文件属性设置为系统隐蔽、只读。5)将文件图标更换进行伪装,冒充系统文件或者图片、文本等其他非可执行的文件。6)将文件的名字进行伪装,冒充系统文件或常用的应用程序文件名。7) 将文件自我删除等等。
3、网络通信阶段的行为特征分析
木马被控制端与控制端通常需要建立通信通道进行信息交流,在网络通信阶段,其行为特征表现如下:
利用1024以上的高端口进行网络通信。
利用端口复用技术或端口寄生技术进行网络通信。
利用 反向连接技术进行网络通信。主要利用防火墙的漏洞、反弹端口、创建套接字连接客户端。
利用潜伏技术,使用ICMP协议进行网络通信。
利用电子邮件、IRC及ICQ等方式与控制端进行网络通信。
通过发送UDP以及FTP的方式进行网络通信。
在网络通信过程中,产生异常的通信流量变化。
利用“HTTP隧道技术”。将所要传送的数据全部封装到HTTP协议里进行传送,访问局域网里通过HTTP、SOCK S4/5代理上网的电脑,实现穿墙。
建立隐蔽通道。
利用Option域和传输数据时通常很少用到的域。
利用传输数据时必须强制填充的域。
木马被控制端处于监听状态,等待其他进程通信。
利用数据缓冲区暂存待发送的数据。
利用进程通信发许多SYN包。
4、植入冰河木马
1)在网上下载冰河木马程序,可能会被拦截删除,自己主动添加信任就好。最好关闭防火墙,要不然容易扫描不到主机。
2)VM虚拟机安全策略配置(被控制机器)
账户:使用空白密码的本地账户只允许进行控制台登陆”设置为禁用
本地账户的共享和安全模式调整为经典模式
3)上传冰河木马服务端(控制机向被控制机可以通过ipc管道漏洞进行传输)
(1)进行主机扫描
(2)利用net命令使用登陆目标主机
(3)查看目标主机当前时间
(4)设定触发事件
(5)在目标主机查看触发时间
(6)查看前后注册表的变化
(7)再次扫描可以看到已经可以控制目标机
(8)操控目标主机
5、总结
本实验通过利用Windows的IPC$漏洞,向目标主机中植入冰河木马,从而实现对目标主机的控制,能够进一步了解木马植入的原理与方法。
实验二木马分析(控制分析)实验和实验三冰河木马实验相关推荐
- 【STM32 嵌入式课程实验】实验二 流水灯控制
实验二 流水灯控制 2.1 系统功能 使用STM32板载的八个LED灯,实现流水灯功能. 2.2系统组成 由STM32开发板及板上的LED灯组成,STM32为STM32F103RB芯片的NANO版本, ...
- 计算机网络实验二抓包协议分析,计算机网络实验-使用Wireshark分析TCP和UDP协议...
<计算机网络实验-使用Wireshark分析TCP和UDP协议>由会员分享,可在线阅读,更多相关<计算机网络实验-使用Wireshark分析TCP和UDP协议(6页珍藏版)>请 ...
- ArcGIS实验教程——实验二十一:DEM分析
ArcGIS实验视频教程合集:<ArcGIS实验教程从入门到精通>(附配套实验数据) 一.实验描述 表面分析主要通过生成新数据集,如等值线.坡度.坡向.山体阴影等派生数据,获取更多的反应原 ...
- 实验二_数据链路层协议分析(笔记)
1.熟悉协议分析软件Wireshark的使用 2.掌握Ethernet V2 标准的MAC 帧结构, 3.了解TCP/IP 的主要协议和协议的层次结构. 熟悉协议分析软件Wireshark的使用 熟悉 ...
- 实验二 Python流程控制
一.实验目的 1.掌握分支条件语句的使用. 2.掌握分支嵌套语句的使用. 3. 掌握for.while循环语句及break,continue的使用 4. 掌握带else字句的循环语句的使用 5. 掌握 ...
- 计算机网络实验以太网帧分析,实验二 用Ethereal捕获并分析以太网帧格式
<计算机网络>实验报告 – 实验二 指导老师:李旭宏 ------------------------------------------------------------------- ...
- 20172319 实验二《树》实验报告
20172319 2018.11.04-11.12 实验二<树> 实验报告 课程名称:<程序设计与数据结构> 学生班级:1723班 学生姓名:唐才铭 学生学号:20172319 ...
- 广州大学学生实验报告,进程控制与进程通信
广州大学学生实验报告 开课学院及实验室: 计算机科学与网络工程学院 电子楼418B 20 ...
- 20172310《程序设计与数据结构》(下)实验二:二叉树实验报告
20172310<程序设计与数据结构>(下)实验二:二叉树实验报告 报告封面 课程:<软件结构与数据结构> 班级: 1723 姓名: 仇夏 学号:20172310 实验教师:王 ...
- 2017-2018-1 20162316刘诚昊 实验二 树
20162316刘诚昊 2017-2018-2 <Java程序设计>第二次实验 树 实验链接: 实验二 树-1-实现二叉树 实验二 树-2-中序先序序列构造二叉树 实验二 树-3-决策树 ...
最新文章
- 红米android版本,微信红米低版本下载
- Emlog使用qq头像作为评论头像
- 建模数据科学家的福音:MIT系特征自动构造工具今日发布
- 九校联考-长沙市一中NOIP模拟总结
- 计算机视觉CV:图像处理面试题
- caffe中网络结构参数详解
- 下载IDEA - 2020.1以及安装IntelliJ IDEA
- 主流锂电池保护板原理
- 4-7终极无敌DP乱秀
- Google Guice依赖注入框架使用
- eNSP实验二:VLAN划分与配置
- 互动拍照 — 子弹时间
- mysql 插件相关命令
- 魔兽争霸无法在这个计算机,win10系统魔兽争霸按F1无法选中自己的英雄的图文办法...
- 飞机大战(完整代码)
- html5全景图微信查看,在微信上怎么展示全景图片?
- 少儿编程是不是智商税
- (17)雅思屠鸭第十七天:小作文完整攻略
- android10编译 lunch失败,Android N在lunch时出错如何解决?
- 学计算机做人需要有什么基础,计算机专业学生装逼入门(文/郭策)
热门文章
- 《2018华为92家核心供应商及其供应产品》
- IDEA中自动导包快捷键
- psftp查看服务器上的文件,PSFTP自动登录SFTP服务器,上传指定文件...
- 如何在revit中管理CAD的图层?
- allatori混淆工具_Java 代码混淆工具 Allatori
- Java SSM面试题
- 使用Python编写获取QQ群成员昵称及号码的小工具
- C# 一个基于.NET Core3.1的开源项目帮你彻底搞懂WPF框架Prism
- Hadoop以及组件介绍
- android nv21 nv12,直接进行nv21或者nv12的resize