信息安全实验报告26658new

信息安全实验报告26658new

ID:19777711

大小:1.68 MB

页数:6页

时间:2018-10-06

信息安全实验报告26658new_第1页
信息安全实验报告26658new_第2页
信息安全实验报告26658new_第3页
信息安全实验报告26658new_第4页
信息安全实验报告26658new_第5页
资源描述:

《信息安全实验报告26658new》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、电子信息工程学系实验报告——适用于计算机课程成绩:课程名称:信息保障与安全指导教师(签名):实验项目名称:木马协议分析实验时间:2011-11-24班级:********姓名:****学号:********实验目的:通过对木马协议的深入研究和分析,进一步了解和掌握木马病毒的工作原理,为预防及检测木马病毒奠定基础。实验环境:1.虚拟机环境下,分别安装WindowsXP及Windows2000操作系统;2.“轻松控制”或“冰河”木马;3.ethereal网络嗅探软件实验内容及过程:1.角色的选择WindowsXP

2、系统和Windows2000系统可自行选择角色【肉鸡”(服务器端)和“控制端”(客户端)】,在相应的角色系统中安装木马的server.exe及client.exe,其中ethereal嗅探软件运行在客户端监听往来数据。2.“轻松控制”及Ethereal网络嗅探软件的使用。3.过程:a.打开“轻松控制”,生成被控制端,将其保存的桌面,打开虚拟机中Windows2000操作系统,通过共享的方式,将生成的被控制端“server.exe”复制到Windows2000的桌面。b.双击虚拟机中“server.exe”,通

3、过是否与肉鸡的“轻松控制”连接来实现“未连接”、“未连接->连接”、“连接后控制”三个阶段,其中“未连接->连接”及“连接后控制”是本实验分析的重点来分析木马协议。实验结果及分析:实验分“未连接”、“未连接->连接”、“连接后控制”三个阶段,其中“未连接->连接”及“连接后控制”是本实验分析的重点。第6页共6页通过“轻松控制”及Ethereal网络嗅探软件我们可以实现对这三个阶段木马协议的监控轻松控制界面Ethereal网络嗅探软件抓包设置界面第6页共6页未连接阶段:中了木偶2009的肉鸡每秒向控制端发送3次

4、请求,这3次请求使用同一端口,而控制端也会有3次回应;之后肉鸡请求的连接端口号每秒加1,并持续发送请求,直到控制端打开指定端口确认为止,此时肉鸡的请求端口作为以后二者的通讯端口;后续实验发现,中了木马的机器在未连接阶段,该特征基本相同,只是在请求连接的频率上有不同:小结:在监控设备端发现类似的连接请求(请求连接的端口固定,连接时间及频率有一定规律性),可将其IP列入重点监控对象;此项对分析具体的木马类型无用,但可缩小抓包范围。未连接->连接阶段成功连接:第6页共6页小结:未连接->连接阶段的数据包中有较多稳定

5、的特征信息,因此可以作为定位木偶2009的主要条件。特征规则总结如下(按数据包出现的先后):1.肉鸡—>控制端:两个字节,16进制表示为(3d,3d),数据显示“==”,此内容固定。2.控制端—>肉鸡:两个字节,16进制表示为(31,31),数据显示“11”,此内容固定。连接后控制阶段打开C盘:开启服务BR:关闭服务BR:第6页共6页删除进程Server.U:重启系统:第6页共6页小结:实验心得:通过本实验,对于“轻松控制”病毒的种植与运行,Ethereal网络嗅探软件的使用有了一定的了解。通过对于木马特征的

6、数据分析,对于木马的特征及特性有了一定的熟悉,懂得了端口的是否开放对信息安全与否的重要。第6页共6页

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。