實驗一木馬分析(隱藏分析)實驗

2021-08-09 21:41:04 字數 2407 閱讀 4379

木馬程式可以利用程式**的方式,將自己和正常的exe 檔案進行**。當雙擊執行**後的程式時,正常的exe 檔案執行了。程式隱藏只能達到從表面上無法識別木馬程式的目的,但是可以通過任務管理器中發現木馬程式的蹤跡,這就需要木馬程式實現程序隱藏。

隱藏木馬程式的程序顯示能防止使用者通過任務管理器檢視到木馬程式的程序,從而提高木馬程式的隱蔽性。主要有兩種:

api攔截屬於程序偽隱藏方式通過利用hook技術監控並截獲系統中某些程式對程序顯示的api 函式呼叫,然後修改函式返回的程序資訊,將自己從結果中刪除,導致任務管理器等工具無法顯示該木馬程序。

遠端執行緒注入屬於進**隱藏方式主要是利用createremotethread函式在某乙個目標程序中建立遠端執行緒,共享目標程序的位址空間,並獲得目標程序的相關許可權,從而修改目標程序內部資料和啟動dll 木馬。

可以從通訊連線的狀況中發現木馬程式的蹤跡。因此,很有必要實現木馬程式的通訊隱藏。主要有兩種方式:

埠復用技術它讓木馬服務端程式共享其他網路程式已開啟的埠和客戶端進行連線,從而防止重新開啟埠降低隱蔽性。關鍵之處在於,木馬程式應增設乙個資料報轉交判斷模組,該模組控制主機對資料報的轉交選擇。

利用icmp和http 協議通常網路防火牆和入侵檢測系統等安全裝置只檢查icmp報文的首部,對資料部分不做處理。因此,可以將木馬程式的通訊資料隱藏在icmp 報文格式的選項資料字段進行傳送,如把服務端程式向客戶端程式傳輸的資料偽裝成回顯請求報文,而把客戶端程式向服務端程式傳輸的資料偽裝成回顯應答報文。這樣,就可以通過ping\pingresponse的方式在木馬服務端程式和客戶端程式之間建立起乙個高效的秘密會話通道。利用icmp 協議傳輸資料還有乙個很大的優點,即icmp 屬於ip 層協議,它在傳輸資料時並不使用任何埠,從而具有更好的隱蔽性。

vmware

為我們提供了三種網路工作模式,它們分別是:

bridged

(橋接模式)、

nat(網路位址轉換模式)、

host-only

(僅主機模式)。

1、bridged(橋接模式):預設使用vmnet0,不提供dhcp服務

在橋接模式下,虛擬機器和宿主計算機處於同等地位,虛擬機器就像是一台真實主機一樣存在於區域網中。因此在橋接模式下,我們就要像對待其他真實計算機一樣為其配置ip、閘道器、子網掩碼等等。當我們可以自由分配區域網ip時,使用橋接模式就可以虛擬出一台真實存在的主機。

2、nat(網路位址轉換模式):預設使用vmnet8,提供dhcp服務

在nat模式下,宿主計算機相當於一台開啟了dhcp功能的路由器,而虛擬機器則是內網中的一台真實主機,通過路由器(宿主計算機)dhcp動態獲得網路引數。因此在nat模式下,虛擬機器可以訪問外部網路,反之則不行,因為虛擬機器屬於內網。使用nat模式的方便之處在於,我們不需要做任何網路設定,只要宿主計算機可以連線到外部網路,虛擬機器也可以。nat模式通常也是大學校園網vmware最普遍採用的連線模式,因為我們一般只能擁有乙個外部ip。很顯然,在這種情況下,非常適合使用nat模式。

3、host-only(主機模式):預設使用vmnet1,提供dhcp服務

在host-only模式下,相當於虛擬機器通過雙絞線和宿主計算機直連,而宿主計算機不提供任何路由服務。因此在host-only模式下,虛擬機器可以和宿主計算機互相訪問,但是虛擬機器無法訪問外部網路。當你想組成乙個與物理網路相隔離的虛擬網路時,無疑非常適合使用host-only模式。

這裡可以通過多種方式,將其與其他軟體**、偽裝成其他軟體等。

4)在靶機中分析木馬是如何隱藏起來的

通過主機向虛擬機器中植入木馬程式後,虛擬機器成為客戶端,而主機成為了控制端,在虛擬機器中我們通過任務管理器並沒有發現木馬程式的程序,而是發現了兩項「可疑程序」,這是木馬隱藏原理中介紹的第一種隱藏方法「api」攔截偽隱藏方式。

結果分析:判斷這兩個可疑的程序「iexplore.exe」和「mstsc.exe」與木馬程式有關。所謂可疑是基於這個原因:因為實際上我們並沒有啟動ie瀏覽器和遠端控制程式,而且這兩個程序的父程序並不是explore.exe。表明這兩個程序並不是系統的正常服務。

我的正常電腦裡面的就沒有exploxer與mstsc這兩個程序

木馬分析(控制分析)實驗

1 理解和掌握木馬傳播和執行的基本原理 2 在虛擬機器上模擬木馬傳播和感染 3 認識常見的木馬控制功能 4 加深對木馬的安全防範意識 5 配置木馬檔案,測試其各項控制功能 6 嘗試分析木馬的控制過程 1 介紹與木馬相關的基本概念 2 配置木馬檔案 3 測試木馬的各項控制功能 4 使用wireshar...

實驗一 詞法分析實驗

實驗一 詞法分析實驗 專業 商軟2班 姓名 李文輝 學號 201506110168 一 實驗目的 編制乙個詞法分析程式 二 實驗內容和要求 實驗內容 1.對字串表示的源程式 2.從左到右進行掃瞄和分解 3.根據詞法規則 4.識別出乙個乙個具有獨立意義的單詞符號 5.以供語法分析之用 6.發現詞法錯誤...

實驗一 詞法分析實驗

實驗 一 詞法分析實驗 商業軟體工程專業 張煌 201506110130 一 實驗目的 從左至右地對源程式進行掃瞄,按照語言的詞法規則識別各類單詞,並產生以為格式的結果。二 實驗內容和要求 輸入 源程式字串 輸出 二元組 種別,單詞符號本身 三 實驗方法 步驟及結果測試 1.源程式名 壓縮包檔案 r...