目录
一、 实验目的 2
二、 实验步骤及结果 2
1, 配置灰鸽子病毒服务端程序 2
2, 共享灰鸽子文件夹 7
3, 利用远程共享,将木马程序上传至目标机 9
4, 运行利用灰鸽子软件对目标机进行操作控制 11
三、 实验小结 13
实验目的
学会理解和掌握木马传播和运行的机制以及检查木马和删除木马的技巧,并学会防御木马的相关知识,加深对木马的安全防范意识。
实验步骤及结果
配置灰鸽子病毒服务端程序
打开操作机目录:D:\软件安全\11.木马技术初级实验\黑防灰鸽子,此文件夹有灰鸽子木马的控制端程序,双击打开【黑防鸽子2006控制端.exe】
点击菜单栏的【配置服务程序】,进行服务器端文件配置。点击【自动上线设置】,IP地址填写操作机的IP地址,连接密码填写123456。
选择【安装选项】,【安装路径】最终名称填写12345.ini。
下面对启动项进行配置,勾选【Win2000/XP下优先安装成服务启动】;显示名称:可以任意填写(尽量是与系统有关的单词);服务名称:同上!;描述信息:只要说明此项服务是系统服务,十分重要,不可停止的服务就行!这样配置具有很强的蒙蔽性,可以更好的隐藏自己。
选择【高级选项】,勾选【隐藏服务端进程】。
回到工具目录,解压【插件全集.rar】到当前文件夹,可以看到里边包含了很多插件。
回到灰鸽子服务器配置选项卡,选择【插件功能】,可以根据自己的需要添加相应的插件。
配置服务器完成,点击【生成服务器】,提示配置成功。
结果
共享灰鸽子文件夹
回到操作机目录【D:\软件安全\11.木马技术初级实验】文件夹,将【黑防灰鸽子】文件夹共享,右键点击文件,选择【属性】→【共享】。
共享属性框下有个共享按钮,弹出【文件共享】窗口,在添加栏输入【everyone】。点击【添加】按钮后,下面会出现Everyone用户,将其权限级别调成【读取/写入】权限,然后点击下面的【共享】按钮,共享文件。弹出【文件共享】窗口,提示已经共享完毕,点击【完成】,确认已共享完毕。
结果
利用远程共享,将木马程序上传至目标机
进入目标机上,点击【开始】→【所有程序】→【附件】→【运行】,输入“\\10.143.0.55”(输入操作机IP地址,根据实际输入),成功打开操作机共享的文件夹。
进入黑防灰鸽子文件夹将【Server.exe】文件(服务端程序)复制到目标机桌面中。
双击运行桌面的Server.exe的文件。
操作机看到目标机(肉鸡)已经上线,如下图所示。输入连接密码123456,可以看到目标机的硬盘分区情况。双击盘符,可以进入对应的硬盘分区,浏览文件,还可以进行删除,上传,下载等操作。
结果
运行利用灰鸽子软件对目标机进行操作控制
选择【远程控制命令】→【系统操作】,点击【系统信息】,可以看到如下界面,可以进行的操作有获得【系统信息】、【重启计算机】、【关闭计算机】、【卸载服务端】。
上图中存在其他操作还有:剪切板查看、进程管理、服务管理、共享管理、代理服务、插件管理,可以在实验中自己尝试。
点击菜单栏的【Telnet】按钮,就可以Telnet远程登录目标机,执行命令netuser查看用户。
点击【远程控制指令】下的【系统操作】在右边可看到【卸载服务端】按钮并点击,则可以卸载远程主机上的木马。
结果
。
实验小结
通过本次木马技术初级实验,我对木马的传播机制、控制原理以及防御方法有了更深入的理解。在配置灰鸽子服务端程序时,通过伪装系统服务名称、隐藏进程、添加迷惑性描述信息等手段,我深刻认识到木马如何利用用户对系统服务的信任实现隐蔽运行。这让我意识到,日常系统管理中需警惕异常服务项,定期检查进程和服务列表,并借助专业工具(如Process Explorer)识别可疑行为。