实验五灰鸽子远程控制1、实验背景灰鸽子远程监控软件分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。值得注意的是，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项)，每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。2、实验目的1、课前预习灰鸽子病毒原理及其远程控制基本原理。2、掌握远程控制攻击技术的原理。3、学会使用常见的远程控制工具。4、学习掌握远程文件控制、远程进程查看、远程系统信息查看、远程注册表信息查看、远程监控、远程捕获屏幕、远程屏幕控制。3、实验所需设备◆网络：局域网环境。◆远程计算机◇操作系统：WindowsXPServer◇软件：运行了灰鸽子[牵手2004]服务器端程序（setup.exe）。《计算机网络安全》实验指导书◆本地计算机◇操作系统：WindowsXP主机◇软件：灰鸽子[牵手2004]。4、实验拓扑无5、实验步骤1、远程主机上的服务端配置运行实验工具目录下的。点击按钮，或者选择"文件"菜单项中的"配置服务端程序"。在连接类型下选定主动连接型，填入“监听端口”和“备用端口”。在安装信息下填入连接密码，并选择对安装文件的处置方式。图示中我们输入了密码123456，选择了”自动删除安装文件”。“提示信息”“启动项目”“邮件通1《计算机网络安全》实验指导书知”“代理服务”“绑定文件”我们都由系统默认。在安装信息下填入连接密码，并选择对安装文件的处置方式。图示中我们输入了密码123456，选择了”自动删除安装文件”。“提示信息”“启动项目”“邮件通知”“代理服务”“绑定文件”我们都由系统默认。2《计算机网络安全》实验指导书在”保存路径”填入地址C:\Setup.exe，点击。在C:\下执行。此时已在远程主机上安装服务器成功2、客户端控制运行实验工具目录下的。3《计算机网络安全》实验指导书在主界面点。填入远程主机IP及密码或者直接在主界面”当前连接”、”端口”、”连接密码”中填入填入远程主机IP、端口、连接密码，如下图。在主界面"文件管理器"选项卡左侧的列表中点击选中所添加的目标主机（"192.168.123.90）节点，观察在右侧文件树中是否能够查看到目标服务器上的驱动器列表。4《计算机网络安全》实验指导书在"文件管理器"中展开目标服务器的节点，在右边的文件列表中找到以下文件C:\ServerData\test.txt，将其下载到本地计算机。请将该文件的内容导入到实验报告中。切换到""远程控制命令"选项卡，先点左下角”查看进程”，再点右侧。请将所看到的界面截获并复制到实验报告。切换到""远程控制命令"选项卡，先点左下角”系统信息”，再点右侧。请将所看到的界面截获并复制到实验报告。切换到”注册表模拟器”选项卡，先点左侧”远程电脑”，再点HKEY-LOCAL-MACHINE->SAM->SAM。请将所看到的...