安全技术及应用实训报告项目一：网络渗透攻击实训项目学号：09011319姓名：雷超信息技术分院计算机技术机网络技术目录任务1 社会工程学 (1)1.1 “社会工程学”概述 (1)1.2 “社会工程学”特点 (1)1.3“社会工程学”的3个步骤 (1)1.4 知识运用 (1)任务2 木马免杀 (1)2.1 木马免杀概述 (1)2.2 木马免杀原理 (2)2.3 木马免杀的实现步骤 (2)任务3 木马捆绑 (3)3.1 木马捆绑概述 (3)3.2 木马捆绑原理 (3)3.2 实验步骤 (3)任务4 木马植入 (4)4.1 木马植入的方式 (4)4.2 实验步骤 (4)任务5 远程控制 (5)5.1 远程控制的概念 (5)5.2 远程控制原理 (6)5.3 远程控制运用 (6)5.4 实验步骤 (6)任务6 主机发现 (6)6.1 主机发现概述 (6)6.2 主机发现原理 (6)6.3 主机发现的实现 (6)6.4 实验步骤 (7)任务7 端口扫描 (7)7.1 口扫描原理 (7)7.2 实现步骤 (7)任务8 漏洞扫描 (8)8.1 漏洞扫描概述 (8)8.2 漏洞扫描原理 (9)8.3 实现步骤 (9)任务9 缓冲区溢出 (10)9.1 缓冲区溢出概述 (10)9.2 缓冲区溢出原理 (10)9.3 缓冲区溢出危害 (10)任务10 ARP 欺骗 (11)10.1 ARP欺骗定义 (11)10.2 ARP欺骗原理 (11)10.3 ARP命令解释 (12)任务11 网络嗅探 (12)11.1 网络嗅探概述 (12)11.2 网络嗅探原理 (12)11.3 实现步骤 (13)任务1 社会工程学1.1 “社会工程学”概述“社会工程学（Social Engineering）”是一种通过对受害者的心理弱点、本能反应、好奇心、信任和贪婪等心理陷阱，来骗取用户的信任以获取机密信息和系统设置等不公开资料，为黑客攻击和病毒感染创造了有利条件。

1.2 “社会工程学”特点网络安全技术发展到一定程度后，起决定因素的不再是技术问题，而是人。

由于安全产品的技术越来越完善，使用这些技术的人，就成为整个环节上最为脆弱的部分，加上人具有贪婪、自私、好奇和信任等心理弱点，因此通过恰当的方法和方式，入侵者完全可以从相关人员那里获取入侵所需的信息。

“社会工程学”陷阱通常是以交谈、欺骗、假冒或口语等方式，从合法用户那里套取用户系统的秘密。

“社会工程学”并不等同于一般的木马伪装欺骗等攻击手法，“社会工程学”尤其复杂，即使自认为最警惕最小心的人，一样会被高明的“社会工程学”手段损害利益。

“社会工程学”是一种与普通的欺骗和诈骗不同层次的手法，它需要搜集大量的信息针对对方的实际情况来进行相应的心理战术。

从人性及心理的方面来讲，“社会工程学”是一种利用人性的弱点和贪婪等心理表现进行攻击的，是防不胜防的。

1.3“社会工程学”的3个步骤(1) 信息刺探(2) 心理学的应用(3) 反查技术1.4 知识运用（1）黑客渗透视角采用一系列巧妙的手段迅速地骗取了受害者的信任，从受害人哪里获取有用的信息（如管理员登录密码）。

从而为进一步的渗透攻击打开了一个方便之门。

（2）网络运维视角单纯的依靠防火墙并不是最安全的方案，时常对网络进行手工分析也是不可避免的。

同时，网络的安全并不能仅依靠各种工具，人才是网络安全中最重要的一个环节。

任务2 木马免杀2.1 木马免杀概述免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，我们可以翻译为“反杀毒技术”。

木马免杀可以将其看为一种能使木马避免被杀毒软件查杀的技术。

木马免杀技术的涉猎面非常广，涉及反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术。

2.2 木马免杀原理(1) 杀毒原理当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法两种。

特征码就是能识别一个程序是病毒的一段不大于64字节的特征串。

特征码定位法分为文件查杀和内存查杀，杀毒软件公司拿到病毒的样本以后，定义一段病毒特征码到病毒库中，然后与扫描的文件比对，如果一致则认为是病毒。

内存查杀则是载入内存后再比对。

行为检测法是新出现的一种定义病毒的方法，它利用的原理是某些特定的病毒会有某些特定的行为来做出是否为病毒的判断。

(2) 木马免杀原理免杀在某种程度上可以说是杀毒软件的对立面。

杀毒软件通过特征码查杀病毒，相应的，通过修改特征码的方法来实现木马免杀。

特征码修改方法：方法一：直接修改特征码的十六进制法●修改方法：把特征码所对应的十六进制改成数字差1或差不多的十六进制。

●适用范围：一定要精确定位特征码所对应的十六进制，修改后一定要测试一下文件能否正常使用。

方法二：修改字符串大小写法●修改方法：如果特征码所对应的内容是字符串，只要把大小字互换一下就可以了。

●适用范围：特征码所对应的内容必须是字符串，否则不能成功。

方法三：等价替换法●修改方法：把特征码所对应的汇编指令，替换成功能类似的指令。

●适用范围：特征码中必须有可以替换的汇编指令，比如JE，JNE 换成JMP等。

方法四：指令顺序调换法●修改方法：把具有特征码的代码顺序互换一下。

●适用范围：具有一定的局限性，代码互换后必须不能影响程序的正常执行。

方法五：通用跳转法●修改方法：把特征码移到零区域（指代码的空隙处）执行后，使用JMP指令无条件调回原代码处继续执行下一条指令。

●适用范围：通用的改法，建议大家要掌握这种改法（在【学习模式】的【应用再现】中使用的就是该方法）。

2.3 木马免杀的实现步骤第一步：用特征码定位器（如MYCCL）来准确定位杀毒软件内存特征码的具体位置。

第二步：用特征码修改工具（如OllyDbg）打开木马文件，定位到特征码所在位置（在第一步完成），找出适合的方法，进行特征码修改。

3.1 木马捆绑概述鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，其中捆绑文件是常用的手段之一。

这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。

至于被捆绑的文件一般是可执行文件即EXE、COM一类的文件。

3.2 木马捆绑原理为了将两个可执行程序结合在一起，攻击者会使用一个包装工具。

这些工具包括包装工具（Wrappers）、绑定工具（binders）、打包工具（packers）、EXE绑定工具（EXE binders）和EXE结合工具（EXE joiner）等。

下图说明了攻击者如何使用包装程序。

本质上，这些包装器允许攻击者使用任何可执行后门程序，并将其与任何的合法程序结合起来，不用写一行新代码就可以创建一个特洛伊木马。

3.2 实验步骤实验操作前实验主机需从Web资源库下载实验所需木马程序（灰鸽子）、zsoft软件程序（一个即时通信工具）及捆绑工具（学生可以选择使用系统自带的IExpress或专门用于打包的软件）。

「注」实验过程两主机可同步进行，即主机B同时进行木马捆绑，并最终将捆绑的程序发送给主机A，主机A运行打包后的程序。

主机B对主机A进行控制。

主机A1. 生成木马服务器程序2. 捆绑过程实现3. 将打包生成的程序software.exe发送给主机B主机B4. 运行打包程序(1) 主机B运行主机A发送过来的软件程序software.exe。

(2) 观察软件运行过程中出现的现象，能否发现除zsoft软件外其它程序的运行过程。

主机A5. 查看肉鸡是否上线，若上线尝试对其进行控制4.1 木马植入的方式使用木马程序的第一步是将木马的“服务器程序”放到远程被监控主机上，这个过程成为木马的植入过程。

常见的植入过程有如下几种方法。

●邮件收发：将木马的“服务器程序”放入电子邮件中植入到远程主机。

●网页浏览：将木马的“服务器程序”放入网页中植入到远程主机。

●文件下载：将木马的“服务器程序”和被下载的文件捆绑到一起植入到远程主机。

4.2 实验步骤实验操作前实验主机需从Web资源库下载实验所需木马程序（灰鸽子）和恶意网页模板。

方法一：网页木马与木马植入1. 生成网页木马(1) 生成木马的“服务器程序”。

主机A运行“灰鸽子”木马，参考知识点二配置生产木马被控制端安装程序Server_Setup.exe，并将其放置于Internet信息服务(IIS) 默认网站目录“C:\Inetpub\wwwroot”下。

(2) 编写生成网页木马的脚本。

主机A在Web资源库中下载恶意网页模板Trojan.htm，并编辑内容，将脚本第15行“主机IP地址”替换成主机A的IP地址。

主机A将生成的“Trojan.htm”文件保存到“C:\Inetpub\wwwroot”目录下(“C:\Inetpub\wwwroot”为“默认”的网站空间目录)，“Trojan.htm”文件就是网页木马程序。

(3) 启动WWW服务。

鼠标右键单击“我的电脑”，选择“管理”。

在“计算机管理（本地）”中选择“服务和应用程序”｜“服务”，启动“World Wide Web Publishing Service”服务。

2. 木马的植入主机B启动IE浏览器，访问http://主机A的IP地址/Trojan.htm。

观察实验现象是否有变化。

3. 查看肉鸡是否上线，并尝试进行控制主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”。

尝试对被控主机B进行远程控制。

4. 主机B验证木马现象(1) 主机B查看任务管理器中有几个“IEXPLORE.EXE”进程。

(2) 主机B查看服务中是否存在名为“Windows XP Vista”的服务。

5. 主机A卸载掉主机B的木马器程序主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。

具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。

方法二：缓冲区溢出与木马植入攻击者通过远程缓冲区溢出攻击受害者主机后，得到受害者主机的命令行窗口，在其命令行窗口下使用VBE脚本程序实现木马植入。

下面，由主机B来重点验证利用VBE脚本上传木马的过程。

（远程缓冲区溢出部分内容将在后续知识学习中进行详细介绍）1. 生成下载脚本主机B在命令行下逐条输入如下命令生成木马自动下载脚本down.vbs。

该脚本的作用是：使主机B自动从主机A的WEB服务器上下载Server_Setup.exe到主机B的C:\WINDOWS\system32目录下，并重命名为down.exe，而该程序就是主机A要植入的灰鸽子服务器端。