电子科技大学
实验报告
学生姓名：学号：指导教师：
实验地点：主楼A2-413-1 实验时间：
一、实验室名称：主楼A2-413-1
二、实验项目名称：木马技术初级实验1
三、实验学时：1 学时
四、实验原理：
木马进行网络入侵，从过程上看大致可分为六步：
（1）木马配置
一般来说，一个成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下的功能：第一让木马程序更加隐蔽，比如隐蔽的文件名，文件图标，文件属性。

第二就是设置信息反馈的方式，比如在窃取信息后，发送邮件到攻击者，或者上传至某处等等。

第三就是如果是反向连接的木马，需要配置获得攻击者的IP并连接的具体方式。

（2）传播木马
根据配置生产木马后，需要将木马传播出去，比如通过邮件诱骗，漏洞攻击等。

（3）运行木马
在用户机器上木马程序一旦被运行后，木马便会安装并驻留在用户系统中。

木马通过各种手段防止不被用户发现，并且随系统启动而启动，以求获得最长的生命期。

并在这一期间会通过各种手段向攻击者发出反馈信息，表示木马已经获得运行。

（4）建立连接
无论是正向连接还是反向连接的木马，都会在入侵用户机器成功运行伺机与攻击者获得联系，正向连接的木马往往是开发一个特定的端口，然后由攻击者扫描到被攻击机器建立连接。

如果是反向连接的木马，则是木马本身在一定的情况下获得攻击者的IP地址，并主动建立连接。

（5）远程控制
攻击者一端与被控端建立连接后，它们之间便架起了一条网络通讯的通道，攻击者通过向被控端发出各种请求操作实现远程控制。

现在的木马程序功能都做的非常完善，操作远端机器就如同本地操作一样简单容易。

4．木马/后门的特点与技术
（1）木马隐蔽技术
木马的隐藏主要分为文件隐藏、进线程隐藏、端口隐藏、注册表隐藏等等。

隐藏的手段也多种多样。

并且这项技术是关乎木马本身生命周期的关键因素。

通过编写驱动程序隐藏木马的方法已非常多见，用户在未使用一些更高级的工具之前是无法发现木马的存在的，对于防病毒软件来说清除难度也较大。

（2）传播
木马这种恶意代码本身并无传播能力，随着恶意代码各个种类的界限越来越模糊，木马也会具备一些传播的能力。

（3）自启动
自启动功能是木马的标准功能，因为需要在系统每次关机重启后都能再次获得系统的控制权。

自启动的方法也是五花八门，种类繁多。

五、实验目的：
1．实践木马配置、木马控制的方法、并体会木马控制连接的实质。

2．学习和发现木马，研究检测木马的方法。

六、实验内容：
1．木马配置
2．木马应用
七、实验器材（设备、元器件）：
PC微机一台、SimpleNAD网络实验教学系统
八、实验步骤：
1．IP交换地址配置原理
现在普遍被采用的是反向连接的木马，即：被控端系统启动后主动获取主控端的IP地址并向主控端发起连接请求，当主控端相应请求建立连接后，再控制被控端做出操作。

被控端获取主控端的IP的方法可以多种多样，这里讲述2种：
一种是建立一个静态IP的FTP的服务器，建立账户并上传一个填有主控端IP地址的文件。

被控端的木马程序会主动连接这个静态FTP服务器并获取填有IP地址的文件，解析后即可向主控端发起连接建立通信。

而作为主控端需要在上线后实时更新FTP服务器上的IP地址的文件以方便连接。

当然这种方法也可以转化为在某个网站的某个页面上填好IP地址。

只要被控端程序能够解析IP地址成功即可。

另一种方法就是采用动态域名解析的方法。

动态域名解析服务一种根据域名解析成动态IP的服务。

一个动态IP地址上搭建起来的网站，可以通过动态域名解析同样可以正常提供服务，用户在访问特定域名时，服务器方就会反馈实时的IP地址，同样主控端也需要实时更新自己的IP地址。

在本次实验中，我们采用方法一中提到的方案，即采用主控端主动更新自己的IP地址到静态FTP服务器上，同时被控端主动连接FTP服务器获取IP地址并请求连接的方法。

2．木马相关配置
（1）运行主程序如图8- 1：
图8- 1
主程序界面如上图，主程序主要实现了IP地址更新、木马程序定制、控制远端主机等功能。

（2）主控端配置
通过点击文件->自动上线配置主控端程序。

获取FTP服务器，并拥有一个可以写入的FTP服务账号。

填入静态FTP服务器地址，用户名和密码。

存放IP的文件是指，主控端是希望把IP地址信息以什么样的方式存到什么文件里。

图例中指出主控端的IP地址是192.168.1.100，监听的端口是8000。

如
图8- 2
图8- 2
（3）定制木马程序，如图8- 3
图8- 3
通过点击文件->配置服务程序填入配置信息定制木马程序
上线地址是指FTP服务器的地址，其他的选项是一些功能选项，如果勾选或者填写就表明定制好的木马就具备相应的功能。

当木马程序在被控端运行后，就会去访问填写的FTP获取主控端IP地址进而建立连接。

点击生成服务端程序，拷贝至被控端虚拟机运行。

九、实验数据及结果分析：
十、实验结论：
防范木马可以从以下几点做起：
1、检测网络连接
2、禁用不明服务
3、检查账户
4、对比系统服务项
十一、总结及心得体会：
通过本次实验，了解了木马配置、木马控制的方法、并体会木马控制连接的实质，并通过实际的实验过程，了解了木马控制的效果，同时学习和发现木马，研究检测木马的方法。

十二、对本实验过程及方法、手段的改进建议：提高实验设备，两同学互相攻防
报告评分：
指导教师签字：。