实验：通过NetBus了解计算机病毒及恶意代码及其防范

实验二：计算机病毒及恶意代码

【实验目的】

练习木马程序安装和攻击过程，了解木马攻击原理，掌握手工查杀木马的基本方法，提高自己的安全意识。

【实验内容】

安装木马程序NetBus，通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术

查看我的上传可下载NetBus

【实验步骤】

1. 木马安装和使用

1)  在菜单运行中输入cmd打开dos命令编辑器

2 )  安装netbus软件

在虚拟机win8系统下安装netbus软件

会报毒，提前应关掉所有杀毒软件，包括windows自带杀毒软件。

 

3) 在DOS命令窗口启动进程并设置密码

 

关掉windows defender,因为计算机会报毒，所以在虚拟机上做，我的系统是win8，netbus支持win8版本和winxp，虚拟机环境很方便

4) 打开木马程序，连接别人主机

ping一下开的另一台主机IP地址,可以通

 

 

输入IP点连接，输入密码123456.成功连接上，如上图

 

5) 控制本地电脑打开学院网页

 

 

恭喜你，成功打开了学校主页，但是还是有缺陷，目标主机上要手动点击打开方式，真正攻击肯定不会这样名目打开一个网站。

 

 

7) 查看任务管理器进程

 

 

8 移除木马控制程序进程

点是

 

查看任务管理器（注意：Patch.exe进程已经关闭）

 

NetBus由两部分组成：客户端程序（netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上－－这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。

NetBus服务器端程序是放在Windows的系统目录中的，它会在Windows启动时自动启动。该程序的文件名是patch.exe，如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话，文件名应为explore.exe（注意：不是explorer.exe！）或者简单地叫game.exe。
同时，你可以检查Windows系统注册表，NetBus会在下面路径中加入其

自身的启动项：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del，在任务列表中是看不到它的存在的。
正确的去除方法如下：
1、运行regedit.exe；
2、找到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；
3、将patch项删除（或者explore项）；
4、重新启动机器后删除Windows系统目录下的patch.exe（或者explore.exe）即可。

2、木马防御实验

 

在木马安装过程可以运行一下软件查看主机信息变化：

1. 使用autoruns.exe软件，查看windows程序启动程序的位置，了解木马的自动加载技术。

如自动运行进程（下图所示）、IE浏览器调运插件、任务计划等：

1. 查看当前运行的进程，windows提供的任务管理器可以查看当前运行的进程，但其提供的信息不全面。利用第三方软件可以更清楚地了解当前运行进程的信息。这里procexp.exe为例

 启动procexp.exe程序，查看当前运行进程所在位置，如图所示：

 

 

3）木马综合查杀练习

使用冰刃IceSword查看木马可能修改的位置：

主要进行以下练习：

1. 查看当前通信进程开放的端口。

 木马攻击

1. 查看当前启动的服务
2. 练习其他功能，如强制删除其他文件，SPI、内核模块等。

 

【实验报告】

1. 分析木马传播、自启动、及隐藏的原理。
2. 提交运行测试的结果，并分析。