木马分析(控制分析)实验

最新推荐文章于 2024-05-15 13:16:33 发布
最新推荐文章于 2024-05-15 13:16:33 发布
阅读量461 收藏 1
点赞数
文章标签: 运维 操作系统
原文链接:http://www.cnblogs.com/lv6965/p/7751277.html
版权

一、实验目的

  1. 理解和掌握木马传播和运行的基本原理
  2. 在虚拟机上模拟木马传播和感染
  3. 认识常见的木马控制功能
  4. 加深对木马的安全防范意识

二、实验内容

  1. 介绍与木马相关的基本概念
  2. 配置木马文件
  3. 测试木马的各项控制功能
  4. 使用Wireshark工具尝试分析木马的控制过程

三、要求环境

  1. 木马控制端及受控端生成程序:上兴远控
  2. 网络通信数据嗅探工具:Wireshark
  3. Windows操作系统

四、实验步骤

实验前准备:关闭控制端防火墙,尝试两台机器互相ping 看能否ping 通。要确保能ping通。(左边是主机,右边是虚拟机)

 

  1. 将控制端配置生成的木马文件复制到受控端。
  2. 同时在木马控制端和受控端开启网络数据嗅探工具Wireshark,开始数据捕获过程,同时设定数据包过滤规则为

(ip.src==主机IP &&ip.dst==192.168.19.130)或者反过来。

即,只显示木马控制端和受控端的交互数据。

  1. 双击木马程序后片刻,控制端主机一端会提示有受控主机“上线”,此时左侧边栏出现受控主机IP并可点击查看受控主机的文件资源。另外点击不同的功能按钮,还能实现更进一步的对受控主机的各种操控功能,如下所示,用wireshark抓包显示情况。下图显示控制端的情况:

 

下图显示用wireshark抓包的情况:

 

木马控制实验:

1、  可以对服务端进行各种控制管理,如下图所示:

 

2、  以屏幕监控为例,打开远程屏幕,就会出现下图所示的内容:

 

如果在监控端用鼠标键盘控制,则监控端可以对服务端进行任何操作,如下所示:

 

3、  监控端给服务端发送消息,如下所示:

 

用wireshark对发送消息这一过程进行监控:

 

可以看到上图红框内显示how old are you.

 

五、实验总结

可以看出,木马对于计算机的危害还是相当巨大的。木马的侵染结果,相当于把计算机的控制权完全交于控制者手中,不仅仅是给受害者带来计算机系统使用上的巨大不变,而且还会造成受害者不知不觉中暴露出许多敏感信息和个人隐私,甚至可能造成巨大的财产损失。其危害可见一斑。因此,对于木马的防治工作是十分必要的,必须引起任何一个计算机使用者的高度重视和警惕。

转载于:https://www.cnblogs.com/lv6965/p/7751277.html

孙瑞宇
关注
实验木马分析(隐藏分析实验
qq_30600405的博客
10-27 5565
实验木马分析(隐藏分析实验
实验木马分析控制分析实验实验三冰河木马实验
qq_30600405的博客
10-31 1万+
木马分析(隐藏分析实验 木马分析控制分析实验 木马植入方法实验---冰河木马
一款木马分析
03-21 1214
 by nbw4 NE365  为了配合kanxue老大倡议的多发文,加上近来有些乏,找个别的东西分析一下耍耍。随便从网上下了个木马生成器,是个所谓的下载者,就是Downloader。  名字叫什么 木马基地八一极限下载者,木马么,都喜欢搞得比较牛的样子,其实都比较龌龊,技术和人品一样龌龊。    附件是木马生成器,建议先运行一下看看,生成器无毒。  我下面分析的是这个生成器产生的木马,配置信息就
病毒木马防御与分析
Antz Uhl Kone
01-15 997
病毒木马防御与分析 病毒包和工具包下载:Github 一.前言 二.建立对手动查杀病毒技术的正确认识 1.病毒分析方法 2.病毒查杀步骤 3.必备知识 * 1) 熟悉windows系统进程 * 2) 熟悉常见端口与进程对应关系 * 3) 熟悉windows自带系统服务 * 4) 熟悉注册表启动项位置 三.详解Windows随机启动项目——注...
木马分析
qq_45157635的博客
06-19 1039
木马分析 原理 1.木马是隐藏在正常程序中的具有特殊功能恶意代码,是具备破坏,删除和修改文件,发送密码,记录键盘,实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 2.木马的传统连接技术: 一般木马都采用C/S(client/server,即服务器/客户端)运行模式,因此它分为两部分,即客户端和服务前端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出
一个木马分析(一)
白菜有罪的专栏
03-02 916
文件MD5:130862496f0fd7a4d6dcb519a06f9f80 分析完毕之后大概的结论有: 1)将自身拷贝到其他文件夹中,然后删除自身 2)结束指定进程,启动宿主进程 3)向系统进程注入代码 4)写启动项注册表 5)下载文件 6)查询DNS信息
Android木马分析实验,Android木马简介与分析
weixin_42500130的博客
05-26 1436
本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析和工具指引。要分析木马是一个2013年的syssecApp.apk,这个木马分析能对Android恶意软件有个大概了解。基础:1 –Android应用基础Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机 则提供了一个抽象...
Linux平台下Rootkit木马分析与检测.pdf
09-06
Linux平台下Rootkit木马分析与检测 Linux操作系统是当前最流行的操作系统之一,而Rootkit木马作为当前危害最大的木马程序,它能够运行在内核层,从中破坏系统的内核结构,隐蔽性比传统木马程序更强。因此,Rootkit...
【信息安全技术】实验报告:木马及远程控制技术
bameng0081的博客
11-28 3383
实验目的 剖析网页木马的工作原理 理解木马的植入过程 学会编写简单的网页木马脚本 通过分析监控信息实现手动删除木马 实验内容 木马生成与植入 利用木马实现远程控制 木马的删除 实验过程 主机A 通过IIS启动木马网站 启动灰鸽子,生成木马的“服务器程序”,生成界面如图: 编写生成网页木马脚本程序,并将之放入“木马网站”的网站空间目录中 改写index.html,完成“挂马”过...
木马分析方法
07-19 1732
isno  最近又有一种新的国产木马出现了,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。  由于“广外
木马分析(隐藏分析
lalalalala~~
11-03 1202
实验目的&要求: 了解木马隐藏技术的基本原理 提高木马攻击的防范意识 明确木马技术的发展方向 学会使用木马防范的相关工具 实现实验所提到的命令和工具,得到实验结果 预备知识 木马隐藏的技术 程序隐藏: 木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。 程序捆绑方式是将多个exe程序链接在一起组合成一个exe文件,当运行该exe文件时,多个程序同时运行。程序捆绑有多种方式,如将多个exe文件...
木马分析方法学习整理
相信未来!
05-26 1414
0x00 木马分析之旅 (待续) [1] RegSnap—注册表分析工具 [2] 怎样把任意exe程序注册成windows系统服务(手动注册服务) [3] Process Monitor监控目录 - 监控文件被哪个进程操作了 [4] Process Monitor—监控Windows系统的注册表、进程、文件系统、网络等信息 [5] 使用wireshark常用的过滤命令 [6]...
木马分析-01
Bill
05-05 463
序言 在吾爱破解论坛上面找的样本, 有的加了比较难点的壳. 无奈, 只能找一些没壳的或者简单壳的来分析. 这次分析的算是有点难度, 拭目以待. 总体分析 程序执行, 会释放一个EXE和DLL, 开启一个X6Remote的服务. 主程序 1.WinMain ... /* * 搜索Rstray.exe进程, Rstray.exe实际上是瑞星杀软的实时监控程序, 存在就创建一个线程, *...
木马分析-02
Bill
05-06 285
序言 接着上回分析,这回分析释放出来的EXE文件. 功能 设置服务名对应的处理函数. 函数分析 0x401D00 GetModuleFileNameA(hModule, &Filename, 0x104u); //获取执行文件路径 v2 = CreateFileA(&Filename, GENERIC_READ, FILE_SHARE_READ, NULL, O...
木马病毒分析笔记
m0_45503137的博客
05-06 2062
1.样本概况 1.1样本信息 文件: C:\Users\86134\Desktop\火\02156056304b0ef8122f0363efee43ec64013dfe.exe 大小: 57344 bytes 文件版本:1.00 修改时间: 2020年4月21日, 12:23:06 MD5: 26D9D3DE6426BB6F9D5F6B4039C3A1C0 SHA1: 02156056304B0E...
一个邮件钓鱼木马分析 (一)
浪子_三少(邮箱:basketwill@qq.com)
07-31 1万+
已发表于本人专栏:  http://www.freebuf.com/column/142406.html 最近收到一个钓鱼木马邮件,内容形式如下:   邮件里有个链接,当点开链接后会下载一个doc文档,打开文档会发现有宏代码   经过一些列解密后悔执行shell执行宏命令,打印出这个信息出来后发现,原来执行了powershell命令   是从网
木马病毒制作及分析
热门推荐
qq_45785457的博客
11-04 1万+
实验目的 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容: (1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击; (2) 利用网络安全工具或设备对入侵与攻击进行检测; 【注意事项】 1.本病毒程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理,破坏功能有限。在测试病毒程序前,需先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。 2.若在个人电脑上实验,最好在虚拟机中运行。 3.测试完毕后,请注意病毒程序的清除,以免误操作破坏
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
Hades的博客
07-16 3076
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))样本信息文件名称:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir大小: 46080 bytes修改时间: 2017年8月1日, 12:08:36MD5: A066B5BB41892068E172E5F52B3137F4SHA1: 658889F4B0F62...
(菜鸟自学)木马与后门技术
nbdlsplyb的博客
12-15 3865
它依赖于用户的行为,需要用户主动运行或安装木马文件。通过保持警惕,使用可信赖的安全软件,及时更新系统和应用程序,并避免点击可疑链接和下载未知来源的文件,可以有效减少木马对计算机和个人信息的风险。”,该路径是系统中的临时文件夹,系统会自动选中“”绝对路径,然后勾选“保存和还原路径”,选项允许自解压程序在注册表中存储用户输入的目标路径,并在自解压文件下一次运行时使用相同的解压路径。这些都是常见的木马分类,但需要注意的是,随着恶意软件技术的不断发展,新型的木马不断出现,可能具有多种复合的功能和特点。
使用Wireshark解决网络故障(木马)的一个典型案例
最新发布
normanhere的博客
05-15 625
使用conversation统计,可以看到明显的内网主机中木马的特征:顺序产生的源端口,按照列表扫描木马客户端的目的IP,目的端口都是445,字节大小是固定的66字节,短时间的大量并发连接,但是大多数木马客户端都是不在线的。1、安全设备如果配置不当,将无法起到安全作用,形同虚设,安全设备默认外网对内网访问端口必须全部关闭,只允许必要的端口开放,并且需要做7层或者3层的ACL来限制外来ip的登录,并且做AAA部署。这是一个正常的客户请求一个图片的下载的TCP序列,可以看到,发生了很多重传导致速度极慢。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值