灰鴿子遠(yuǎn)程控制實(shí)驗(yàn)

實(shí)驗(yàn)名稱:灰鴿子遠(yuǎn)程控制實(shí)驗(yàn)實(shí)驗(yàn)要求：[實(shí)驗(yàn)?zāi)康腯1、掌握遠(yuǎn)程控制攻擊技術(shù)的原理。2、學(xué)會(huì)使用常見的遠(yuǎn)程控制工具。3、掌握遠(yuǎn)程控制攻擊的防范措施。[實(shí)驗(yàn)環(huán)境]◆網(wǎng)絡(luò)：局域網(wǎng)環(huán)境?！暨h(yuǎn)程計(jì)算機(jī)

操作系統(tǒng)：WindowsXPServer

軟件：運(yùn)行了灰鴿子[牽手2004]服務(wù)器端程序（setup.exe）。◆本地計(jì)算機(jī)

操作系統(tǒng)：WindowsXP主機(jī)

軟件：灰鴿子[牽手2004]。[實(shí)驗(yàn)內(nèi)容]◆遠(yuǎn)程文件控制?！暨h(yuǎn)程屏幕查看。◆遠(yuǎn)程進(jìn)程查看。◆遠(yuǎn)程網(wǎng)絡(luò)信息查看?！糇x取遠(yuǎn)端服務(wù)器配置。實(shí)驗(yàn)指導(dǎo)：1、遠(yuǎn)程主機(jī)上的服務(wù)端配置 運(yùn)行實(shí)驗(yàn)工具目錄下的。 點(diǎn)擊按鈕，或者選擇"文件"菜單項(xiàng)中的"配置服務(wù)端程序"。 在連接類型下選定主動(dòng)連接型，填入“監(jiān)聽端口”和“備用端口”。 在安裝信息下填入連接密碼，并選擇對(duì)安裝文件的處置方式。圖示中我們輸入了密碼123456，選擇了“自動(dòng)刪除安裝文件”?！疤崾拘畔ⅰ薄皢?dòng)項(xiàng)目”“郵件通知”“代理服務(wù)”“綁定文件”我們都由系統(tǒng)默認(rèn)。 在“保存路徑”填入地址C:\Setup.exe，點(diǎn)擊。 在C:\下執(zhí)行。此時(shí)已在遠(yuǎn)程主機(jī)上安裝服務(wù)器成功2、客戶端控制 運(yùn)行實(shí)驗(yàn)工具目錄下的。 在主界面點(diǎn)。填入遠(yuǎn)程主機(jī)IP及密碼或者直接在主界面“當(dāng)前連接”、“端口”、“連接密碼”中填入填入遠(yuǎn)程主機(jī)IP、端口、連接密碼，如下圖。 在主界面"文件管理器"選項(xiàng)卡左側(cè)的列表中點(diǎn)擊選中所添加的目標(biāo)主機(jī)（"0）節(jié)點(diǎn)，觀察在右側(cè)文件樹中是否能夠查看到目標(biāo)服務(wù)器上的驅(qū)動(dòng)器列表。 在"文件管理器"中展開目標(biāo)服務(wù)器的節(jié)點(diǎn)，在右邊的文件列表中找到以下文件C:\ServerData\test.txt，將其下載到本地計(jì)算機(jī)。請(qǐng)將該文件的內(nèi)容導(dǎo)入到實(shí)驗(yàn)報(bào)告中。 切換到""遠(yuǎn)程控制命令"選項(xiàng)卡，先點(diǎn)左下角“查看進(jìn)程”，再點(diǎn)右側(cè)。請(qǐng)將所看到的界面截獲并復(fù)制到實(shí)驗(yàn)報(bào)告。 切換到“注冊(cè)表模擬器”選項(xiàng)卡，先點(diǎn)左側(cè)“遠(yuǎn)程電腦”，再點(diǎn)HKEY-LOCAL-MACHINE->SAM。請(qǐng)將所看到的界面截獲并復(fù)制到實(shí)驗(yàn)報(bào)告。 在主界面點(diǎn)，請(qǐng)將所捕獲的界面導(dǎo)入到實(shí)驗(yàn)報(bào)告。 在主界面點(diǎn)，請(qǐng)將所進(jìn)行的屏幕控制填入實(shí)驗(yàn)報(bào)告。實(shí)驗(yàn)原理：遠(yuǎn)程控制實(shí)質(zhì)上是一種網(wǎng)絡(luò)客戶機(jī)/服務(wù)器的通信模式，服務(wù)器端向客戶端提供服務(wù)，客戶端接受服務(wù)器端所提供的服務(wù)?？梢允褂枚喾N語(yǔ)言實(shí)現(xiàn)遠(yuǎn)程控制，通常，控制端程序提供一個(gè)具有良好交互性的圖形用戶界面，而受控端程序則是一個(gè)在受控主機(jī)的后臺(tái)運(yùn)行控制臺(tái)程序。一般情況下，客戶端程序在控制主機(jī)上執(zhí)行，服務(wù)器端程序在受控主機(jī)上執(zhí)行。服務(wù)器端程序綁定在系統(tǒng)某個(gè)端口上監(jiān)聽網(wǎng)絡(luò)的流量，當(dāng)有信息（客戶端請(qǐng)求連接的信息）流入，要求和服務(wù)器端連接時(shí)，服務(wù)器端將接受請(qǐng)求，和客戶端建立連接通道。然后開始通信、發(fā)送指令、傳遞數(shù)據(jù)、執(zhí)行命令、返回結(jié)果。在網(wǎng)絡(luò)攻防中，由于受控端程序不能顯示地運(yùn)行在受控主機(jī)中，必須采取一定的措施隱藏自身的運(yùn)行，以免被防火墻軟件和防病毒軟件發(fā)現(xiàn)。所以，在網(wǎng)絡(luò)攻擊中，并不都是客戶端運(yùn)行在控制主機(jī)上，服務(wù)器端運(yùn)行在受控主機(jī)上。。特洛伊木馬技術(shù)在網(wǎng)絡(luò)攻防中作為一種遠(yuǎn)程控制技術(shù)，具有鮮明的代表性。下面將以特洛伊木馬為例，詳細(xì)介紹網(wǎng)絡(luò)攻防中遠(yuǎn)程控制技術(shù)所采用的植入、自啟動(dòng)、隱藏技術(shù)以及遠(yuǎn)程控制所能實(shí)現(xiàn)的功能。1. 植入技術(shù)要能實(shí)現(xiàn)遠(yuǎn)程控制，就必須先將受控端程序植入到受控主機(jī)中。目前，比較常用的植入方式主要有： 通過(guò)郵件附件植入：某些用戶可能直接打開附件運(yùn)行可執(zhí)行程序。 通過(guò)網(wǎng)頁(yè)植入：IE允許自動(dòng)下載ActiveX控件、對(duì)ActiveX控件進(jìn)行初始化和腳本運(yùn)行。此類腳本包括Script、Asp、Cgi等交互式腳本，受控端程序就以各種方式隱藏在這些腳本代碼中。 通過(guò)文件捆綁植入：用戶可能從網(wǎng)站上下載某些文件，若這些文件已和受控端程序綁定在一起，則當(dāng)你打開或運(yùn)行這些文件時(shí)，受控端程序也將同時(shí)偷偷運(yùn)行，植入主機(jī)系統(tǒng)。 利用系統(tǒng)自身的漏洞植入：一般是指攻擊者利用系統(tǒng)本身的漏洞或者配置不當(dāng)，在獲取了系統(tǒng)一定的權(quán)限之后，將受控端程序植入系統(tǒng)。2. 自啟動(dòng)技術(shù)受控端程序一般都會(huì)采取某種自啟動(dòng)技術(shù)，使得在系統(tǒng)重新啟動(dòng)、用戶從系統(tǒng)注銷或其它用戶登錄系統(tǒng)的情況下，受控端程序會(huì)自動(dòng)運(yùn)行，等待和控制端程序進(jìn)行通信。根據(jù)不同的功能需求，自啟動(dòng)技術(shù)的種類很多，這里僅列出較常見的幾種。（注：下列例子中的file.exe假設(shè)為受控端程序） 修改Win.ini文件：Win.ini文件的[windows]字段中的啟動(dòng)命令“l(fā)oad=”和“run=”，正常情況下為空。如果在這些啟動(dòng)命令后添加受控端程序的路徑名，則當(dāng)系統(tǒng)下次啟動(dòng)時(shí)，將自動(dòng)運(yùn)行路徑名所指向的程序。例如：run=c:\windows\file.exe。 修改注冊(cè)表：系統(tǒng)啟動(dòng)時(shí)，將會(huì)首先讀取注冊(cè)表中某些主鍵下子鍵的內(nèi)容，判斷是否需要加載特定的程序。許多遠(yuǎn)程控制程序就是利用這個(gè)機(jī)制，在注冊(cè)表中新增鍵值，讓系統(tǒng)自動(dòng)加載和運(yùn)行程序。注冊(cè)表中具有這種功能的主鍵有：o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的某一主鍵（Run、RunOnce、RunOnceEx或RunServices）；o HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的某一主鍵（Run、RunOnce、RunOnceEx或RunServices）；o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的某一主鍵（Run、RunOnce、RunOnceEx或RunServices）。例如：在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下新建一個(gè)字符串值File，值為c:\windows\file.exe。 修改System.ini文件：在System.ini文件的[boot]字段的shell=Explorer.exe后添加受控端程序的路徑。如：shell=Explorer.exefile.exe。 修改文件關(guān)聯(lián)：修改注冊(cè)表，改變文件的關(guān)聯(lián)性，使得打開某類文件時(shí)，先啟動(dòng)受控端程序，再運(yùn)行打開該文件所用的程序。這類文件有.exe、.htm、.txt、.zip、.com等文件。（本實(shí)驗(yàn)所使用的冰河木馬程序，使用了其中的修改注冊(cè)表方法：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下新建一字符串值，其值為C:\WINNT\system32\sysrun32.exe;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下新建一字符串值，其值為C:\WINNT\system32\sysrun32.exe;3. 隱藏技術(shù)遠(yuǎn)程控制中的隱藏技術(shù)是非常重要的。根據(jù)隱藏的對(duì)象不同，隱藏方式可以分為任務(wù)欄隱藏、進(jìn)程隱藏和通信隱藏。下面將依次介紹這幾種隱藏方式。 在Windows系統(tǒng)中，每啟動(dòng)一個(gè)應(yīng)用程序，都會(huì)打開一個(gè)窗口，并在任務(wù)欄顯示圖標(biāo)，表示該應(yīng)用程序的運(yùn)行。任務(wù)欄隱藏，指的就是不在任務(wù)欄中顯示受控端程序的運(yùn)行。這可以通過(guò)設(shè)置應(yīng)用程序的窗口顯示屬性為UnVisiable，隱藏運(yùn)行窗口，實(shí)現(xiàn)任務(wù)欄隱藏。 在Windows系統(tǒng)中，應(yīng)用程序一般都是作為進(jìn)程運(yùn)行的。通過(guò)運(yùn)行進(jìn)程察看程序，可以察看當(dāng)前系統(tǒng)正在運(yùn)行的進(jìn)程。進(jìn)程隱藏，指的就是在Windows任務(wù)管理器的進(jìn)程列表中看不到進(jìn)程的運(yùn)行，運(yùn)行進(jìn)程察看程序（如pslist等工具）也不能發(fā)現(xiàn)進(jìn)程的運(yùn)行。 遠(yuǎn)程控制程序是一個(gè)客戶/服務(wù)器程序，客戶端程序和服務(wù)器端程序要互相通信。通信隱藏，就是要盡量隱藏客戶端和服務(wù)器端程序的通信過(guò)程，躲避防火墻、入侵檢測(cè)設(shè)備等安全防御措施。4. 遠(yuǎn)程控制實(shí)現(xiàn)的功能在網(wǎng)絡(luò)攻擊中使用遠(yuǎn)程控制可以加大攻擊的力度，實(shí)現(xiàn)更多的控制。具體來(lái)說(shuō)，遠(yuǎn)程控制技術(shù)可以實(shí)現(xiàn)下列具體的功能： 自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕。 記錄各種口令信息：包括開機(jī)口令、屏?？诹?、各種共享資源口令、絕大多數(shù)在對(duì)話框中出現(xiàn)過(guò)的口令信息以及擊鍵記錄功能。 獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。 限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。 遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式-正常方式、最大化、最小化和隱藏方式）等