6木马技术实验.docx
- 文档编号:18331799
- 上传时间:2023-08-15
- 格式:DOCX
- 页数:21
- 大小:1.44MB
6木马技术实验.docx
《6木马技术实验.docx》由会员分享,可在线阅读,更多相关《6木马技术实验.docx(21页珍藏版)》请在冰点文库上搜索。
6木马技术实验
课程编写
类别
内容
实验课题名称
6.木马技术初级实验
实验目的与要求
了解木马运行和传播方式
实验环境
VPC1(虚拟PC)
WindowsXP
VPC1连接要求
PC 网络接口,与VPC2相连
VPC2(虚拟PC)
WindowsXP
VPC2连接要求
PC 网络接口,与VPC1相连
软件描述
灰鸽子
实验环境描述
VPC1与VPC2在同一个局域网内
预备知识
灰鸽子是国内一款著名后门。
比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
灰鸽子包含客户端和服务端。
黑客利用客户端程序配置出服务端程序。
可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
实验内容
1、灰鸽子木马实验
2、了解木马的运行方式和表象
实验步骤
1、学生单击“试验环境试验”进入试验场景,单击“打开控制台”按钮,进入目标主机,如图1所示:
图1
2、客户端操作(VPC1):
双击桌面快捷方式“黑防灰鸽子2006企业破解版”,进入该目录,双击文件“黑防鸽子2006控制端.exe”,如图2所示。
灰鸽子控制端界面如图3所示。
图2
图3
3、在客户端(VPC1)生成服务器端:
点击图3菜单栏中的“配置服务程序”,弹出图4界面,对服务器进行配置。
(1)图4中,在“IP通知http访问地址、DNS解析域名或固定IP”一栏填写客户端(VPC1)IP地址,同时可以设置上线图象,上线分组,上线备注,连接密码等内容。
图4
(2)选择“安装选项”,“安装路径”的填写如图5所示,同时可以选择更改图标等选项。
图5
(3)下面对启动项进行配置,选上“Win2000/XP下优先安装成服务启动”;显示名称:
可以任意填写(尽量是与系统有关的单词);服务名称:
同上!
;描述信息:
只要说明此项服务是系统服务,十分重要,不可停止的服务就行!
这样配置具有很强的蒙蔽性,可以更好的隐藏自己。
图6
(4)选择“高级选项”,具体配置如图7所示。
图7
(5)解压“插件全集.rar”,可以看到里边包含了很多插件,如图9所示。
选择“插件功能”,如图10所示,可以根据自己的需要添加相应的插件。
图8
图9
图10
(6)配置服务器完成,点击“生成服务器”,提示配置成功。
图11
4、客户端(VPC1)将配置好的服务器程序(Server.exe)发给服务端(VPC2)(通过飞秋或共享文件夹方式传送)。
服务端(VPC2)双击文件“Server.exe”运行。
5、客户端(VPC1)看到服务器(VPC2)(肉鸡)已经上线,如图12所示。
可以看到服务器端(VPC2)的硬盘分区情况。
双击盘符,可以进入对应的硬盘分区,浏览文件,还可以进行删除,上传,下载等操作。
图12
6、选择“远程控制命令”,“系统操作”,点击“系统信息”,可以看到如图13所示界面,可以进行的操作有获得“系统信息”,“重启计算机”,“关闭计算机”,“卸载服务端”,如图13所示。
图13
7、图13中的其他操作还有:
剪切板查看、进程管理、服务管理、共享管理、代理服务、插件管理,可以在实验中自己尝试。
8、点击菜单栏中的“捕捉屏幕”,可以看到如图14所示窗口,该窗口中显示的就是服务器端(VPC2)的屏幕。
单击图14左上角的“传送鼠标和键盘操作”,即可对服务器端(VPC2)进行鼠标和键盘控制,其他如“保存当前画面”,“录制mpeg文件”,“发送组合键”等操作可以自己在实验中尝试。
图15中所示为新建一个文件夹。
图14
图15
9、灰鸽子除了能够远程视频监控,还有语音监听、语音发送功能,只要远程计算机(VPC2)有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!
还可以把远程摄像头捕获的画面存为Mpeg格式.远程语音也可以录制成Wav声音文件。
点击菜单栏中的“视频语音”,弹出图16画面,具体操作自己尝试。
图16
10、Telnet远程登录,如图17所示:
图17
11、灰鸽子的卸载。
方法一:
客户端(VPC1)卸载,单击图18中的“卸载服务器”,即可完成对服务器端(VPC2)的卸载。
(方法一可不操作,重点考察方法二)
图18
方法二:
服务器端(VPC2)手动卸载,这也是实验的重点内容。
第一步:
找到灰鸽子服务端进程,然后将它终止。
由于服务端进程隐藏了,所以通过任务管理器是看不到服务端进程的。
可以借助工具IceSword(桌面上有快捷方式)找到隐藏进程,如图19所示。
隐藏进程为iexplore.exe,单击右键,结束进程,如图20所示。
此时可以看到客户端的肉鸡已经下线了,如图21所示。
图19
图20
图21
第二步:
但是仅仅结束进程是没用的,当你重新开机启动时,灰鸽子的服务端进程又会重新启动,所以还需将它的启动项删除。
服务器端打开“控制面板-管理工具-服务”,可以看到我们在图6配置服务器端时填写的信息。
如图22所示内容。
图22
第三步:
将灰鸽子启动服务删除。
首先打开注册表编辑器:
“开始-运行-输入regedit”,如图23所示。
找到注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,找到WindowPowerControl,右键删除,如图24所示。
图23
图24
图25
第四步:
清除灰鸽子文件,在图25中可以看到它的服务启动文件路径为:
c:
\Windows\12345.ini,即配置服务器时,我们在图5中填写的安装路径。
下面要做的就是将该文件删除。
服务器端进入Windows目录,查找此文件并将它删除。
如果没有找到该文件,选择工具->文件夹选项,在图26中将“隐藏受保护的操作系统文件”前的对勾去掉,将“隐藏文件和文件夹”中的“显示所有文件和文件夹”选中,此时在windows目录中找到文件12345.ini将它删除。
图26
图27
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 木马 技术 实验