实验6 特洛伊木马
6.1 实验类型
综合型，2学时
6.2 实验目的
理解木马工作的原理；掌握典型的木马清除方法。

6.3 实验要求与内容
（1）利用灰鸽子木马模拟木马的工作流程，要求能够完成以下任务：
●生成木马服务端，尽可能的生成能诱惑用户的服务端，比如修改安装路径，
修改图标，修改服务端名称，修改服务名称等。

●控制对方电脑，要求能够浏览对方的文件，修改对方的注册表，终止对方的
进程，捕获对方的屏幕等操作
（2）清除木马，受害者根据灰鸽子木马的原理清除掉本机上的木马，包括程序，服务等
6.4 实验设备
●两人合作完成，其中一人为控制端，另一人为服务器端
●灰鸽子远程控制2007VIP疯狂魔鬼破解版
●Windows XP Professional作为客户操作系统（Guest OS），要求关闭防火墙功能
6.5 相关知识
1.什么是木马(Trojan)?
✓基于远程控制的黑客工具
✓恶意程序，非法获取授权权限，肆意篡改用户电脑中的文件，注册表，控制鼠标，截取用户信息
✓木马一般是C/S(客户/服务器)结构，控制程序处于客户端，被控制程序处于服务器端。

2.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。

配置程序
木马程序
控制程序
3.木马实施入侵的基本步骤
4.特洛伊木马具有如下特性： 隐蔽性，主要体现在意下几个方面： （1）启动的隐蔽性
（2）运行的隐蔽性
（3）通信的隐蔽性 开机自动运行
欺骗性，比如JPEG 木马
自动恢复，多重备份，相互恢复
非授权
5. 木马按照传输方式进行分类：
主动型
反弹端口型：木马服务器主动连接控制端端口，一般去连接80端口
嵌入式木马
6. 6.6 实验指导
特别注意：本次实验需要分析的病毒具有破坏性，仅限于信息安全实验室内使用。

请严格遵守《信息安全实验室操作规程》，切勿拷贝、传播等，否则后果自负。

6.6.1 特洛伊木马的配置步骤
1）生成服务端
点击“配置服务程序”，在“IP 通知HTTP 地址”那一栏填入控制端的IP 地址（这里一定要填正确，否则木马不能上线，IP 地址是以10开头的），通过设置“安装选项”,“启动项设置”等可以构造出迷惑用户的木马服务端程序。

木马信息控制端Internet 服务端
①配置木马②传播木马
③运行木马④信息反馈⑤建立连接
⑥远程控制
图1 服务端的设置
2）发送服务端
将木马服务端发送出去
3）控制服务端
木马受害者上线以后，控制端可以控制木马受害者的文件，远程控制命令，控制注册表，以及屏幕等。

图2. 文件控制
图3. 远程控制命令
图4 控制注册表
图5. 截获屏幕
6.6.2 清除木马
清除木马的一般思路是先清除进程和服务，清楚启动项，再删除病毒文件6.7 分析与思考
1）实验中的木马与现实中的木马有哪些区别?
2）如何预防木马？。