实验二木马分析(控制分析)实验和实验三冰河木马实验

最新推荐文章于 2024-05-17 09:51:11 发布
最新推荐文章于 2024-05-17 09:51:11 发布
阅读量1w 收藏 48
点赞数 8
分类专栏: 作业 文章标签: 木马 网络控制 冰河木马 上兴远控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30600405/article/details/78408752
版权

 实验二木马分析(控制分析)实验

          备注可以到我的石墨分享看 https://shimo.im/doc/5tIpxHuWgjsiNqWY?r=JKZ3D8

1、伪装木马

木马的伪装方式主要有以下6种。

修改图标

现在,已经有木马服务端程序的图标改成HTML、TXT、ZIP等文件的图标,这具有相当大的迷惑性。

捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地入驻系统。至于被捆的文件,一般是可执行文件(即EXE、COM一类的文件)。

出错显示

当服务端用户打开木马程序时,为了迷惑用户,木马程序会弹出一个错误提示框。错误内容大多会定制成诸如“文件已破坏,无法打开!”之类的信息,如果服务端用户信以为真,木马会悄悄入驻系统。

定制端口

很多老式木马的端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断木马的类型带来了麻烦。

自我销毁

木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁。这样服务端用户就很难找到木马的来源,在没有查杀木马工具的帮助下很难删除木马。

木马更名

现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难根据文件名来判断所感染的木马类型。

2、感染过程嗅探分析

过程中我们使用的是两个虚拟机,win7作为控制机ip:192.168.19.131;windows xp 系统作为感染机ip:192.168.159.132.在感染中我捕获的报文利用(ip.src==192.168.159.131&&ip.dst==192.168.159.132)||(ip.dst==192.168.159.132 &&ip.src==192.168.159.131)筛选两台主机之间的通信。

   我们能够看到,感染主机(131)向控制主机(132)发送报文,他们是通过tcp三次握手方式建立连接。我们也是可以看到会两台主机之间的通信会不断的增加(从xp不同时间段截获的报文可以看到),会不断发送TCP keep-Alive来保持两台机器的联系。

 

Windows7中截获的报文

最低0.47元/天 解锁文章
李_栋
关注
  • 8
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
冰河木马简易使用 ——病毒木马 003
jammny
06-03 9469
前言: 冰河木马是一种远程控制木马,这次主要想认识一下利用冰河来控制目标主机的整个流程,其实冰河是巨老版本的木马,在很多版本较新的WIN系统即使不开杀毒软件,运行冰河服务端也不能开启7626端口。因此这里用的是win2003当靶机,win7当攻击机器。 步骤一: 准备好冰河木马,第一个是客户端,放在攻击机上进行控制,第个是服务端,放到靶机上的 对冰河服务器程序G_ Server.exe进行配置,配置好了放到靶机上 步骤2:在靶机上运行g_server.exe,然后查看自己的端..
冰河木马的使用实验
你的猴子呀
12-19 8799
前言: 作者是一个普通高校学生,在博客上开通了[网络安全学习]专栏,以此激励自己坚持学习。由于是初次进行博客创作、经验不足、可能比较粗糙,如有错漏之处希望大家能够指正、也欢迎大家一起交流学习。 如需查看完整学习博文(笔记)请点击 [网络安全学习] 进行查看 注:本实验只为与大家一起学习探讨网络安全学习,请勿用作恶意途径。 一、实验目的及要求 (1)了解冰河木马的使用 (2)掌握木马防范措施 实验仪器、设备或软件 软件:冰河木马名为冰河远程监控软件,在推出伊始便饱受追捧,作为一款强大的远程监控软件,它
程序内存驻留与木马原型
最新发布
L_C_S_S_G的博客
05-17 817
冰河”木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。“冰河”木马有如下功能。
冰河木马实验
qq_45785457的博客
11-15 1万+
实验目的 1. 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容: (1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击; (2) 利用网络安全工具或设备对入侵与攻击进行检测; (3) 能有效的对漏洞进行修补,提高系统的安全性,避免同种攻击的威胁。 2. 网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面,对学生的综合实验能力进行锻炼。 【注意事项】 1.本木马程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理
木马编写小技巧
尹成的技术博客
12-31 2万+
 1.锁定鼠标:这个功能很简单只要一个ClipCursor()就可以搞定了看看下面的小程序#include #include int main(int argc, char* argv[]){ printf("/n别害怕15妙后你的鼠标就可以使用了^_^/n"); RECT rect; rect.bottom=1; rect.right=1;  ClipCursor(&rect); ::Sleep
木马冰河之原理篇(深入浅出看木马
Inside Windows
11-05 5250
主题:木马冰河之原理篇(转载)    在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 冰河为例,向大家剖析木马的基本原理,为大家揭开木马的神秘面纱。   木马冰河是用delphi和C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Win
网络安全基础(木马、概述、冰河木马实验
Pluto.的博客
12-10 4053
文章目录网络安全基础一、木马1. 概述2. 特性3. 组成4. 危害5. 传播途径6. 模拟实验 网络安全基础 一、木马 1. 概述 木马通常成为黑客程序,恶意代码,也称特洛伊木马,是一个基于远程控制的黑客工具,木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。 2. 特性 隐蔽性 将自己伪装成合法应用程序,使得用户难以识别,这是木马病毒的首要也是重要的特征。 潜伏性 木马病毒隐蔽的主要手段是欺骗,经常使用伪装的手段将自己合法化。例如,使用合法的
(2.1)【经典木马-冰河木马】详细介绍,原理、使用方法
07-09 7741
【经典木马-冰河木马
2022秋季信息安全实验3
09-21
6. **恶意软件分析**:通过分析病毒、木马、蠕虫等恶意软件的行为,理解其工作原理和检测方法。 7. **网络安全攻防**:实验可能包括基本的网络攻击(如DoS攻击)和防御策略,以及入侵检测系统(IDS)和入侵防御系统...
软件安全实验报告集.zip
12-01
实验可能包含木马的分类、特征分析,以及如何使用网络嗅探工具、日志分析等方法检测潜在的木马活动。同时,实验还会讨论预防木马攻击的方法,如保持软件更新、不随意下载不明程序等。 这五个实验覆盖了软件安全的多...
天津理工大学信息安全网络攻击预防与技术实验4
11-28
本次实验我们在目标机上编写并运行木马程序,在实验机上利用telnet命令控制木马攻击目标机。Mini木马作为早期的远程控制木马,非常具有代表性,它的基本工作原理就是基于TCP的Socket技术,这也是现有木马技术的...
计算机病毒与木马分析
05-05
好东西 和大家一期分享
冰河实例 消除冰河程序与文本文件的关联
04-17
检测注册表文本文件出键值有无被修改,可以还原 源代码 MFC编程
《互联网发展趋势及安全实验》教学大纲.docx
12-18
4. **黑客的攻击与防范**(2学时,必修):通过实际操作,如使用"冰河"木马的防护工具RegRun,以及设置防火墙,让学生理解黑客攻击的手段并学习如何防御。 课程考核主要依赖实验实习报告,学生需完成4次实验报告,...
木马病毒造成网络异常分析
02-27
主要对木马病毒造成的网络异常该如何诊断和分析
冰河木马使用(纯属学习)
热门推荐
Prodigal
11-26 4万+
冰河木马准备工作第一步第冰河木马以及灰鸽子木马都可以实现远程控制。 一下举例冰河木马软件使用 准备工作 要向看到现象 必须用虚拟机,因为外面系统,我的是win10,即使关闭防火墙,关闭360,也会被自动删除冰河木马,因为这种木马很老,已经被列入检测的范围内,所以一般都会被干掉。 1、虚拟机中安装,两个win7 32位系统,或者一个32位一个64位,32位梓潼作为攻击目标靶机,另一个作为攻击者...
黑客攻击之冰河木马
weixin_33889665的博客
11-23 2657
黑客之木马攻击篇 作者:许本新 笔者声明:水能载舟、亦能覆舟。如果使用不慎,你自己将会深受其害,一切后果与笔者无关。 木马,可以说是目前最常见的病毒之一了,我想刚接触网络的朋友,也曾经有过受害的经历或正在受害其中。 也许有很多朋友看到此文的时候还不太清楚什么是木马吧?那我先简单的介绍一下什么是木马木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,...
冰河木马的使用
我还在的博客
10-06 9667
冰河木马的使用0x00 前言0x01 环境0x02 利用过程 0x00 前言 这是我对冰河木马的使用的学习记录。 0x01 环境 服务端:windows XP sp3 客户端:windows XP sp3 0x02 利用过程 1.相互ping通 2.在其中一台windows XP sp3上打开冰河2004的客户端 3.文件---->配置服务器的程序---->设置访问口令----&gt...
冰河浅析 - 揭开木马的神秘面纱(下)
01-08 999
  冰河浅析   -   揭开木马的神秘面纱(下)     作者:·   shotgun·yesky   四、破解篇(魔高一尺、道高一丈)           本文主要是探讨木马的基本原理,   木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载方法做一个小小的总结
实验一 程序内存驻留与木马原型 实验结果分析
05-24
实验一中,我们了解了程序内存驻留的概念,并通过实验展示了如何使用C语言编写一个简单的木马程序。 在实验结果分析中,我们可以得到以下结论: 1. 程序内存驻留是指程序在运行时将一部分数据或代码存储在内存中,以提高程序的运行效率。这种方式可以减少硬盘读写操作,从而提高程序的响应速度。 2. 木马程序是一种恶意软件,它可以在未被授权的情况下获取计算机系统中的信息、控制计算机系统或者进行其他恶意活动。在实验中,我们编写了一个简单的木马程序,它可以在后台运行并向指定的IP地址发送数据。 3. 通过对实验结果的观察和分析,我们可以发现,程序内存驻留可以提高程序的运行效率,但同时也会增加系统的安全风险。而木马程序的存在则会导致计算机系统的信息泄露和功能失常等问题,因此需要采取相应的安全措施来防范恶意软件的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值