网络安全（计算机病毒及恶意代码）

实验二：计算机病毒及恶意代码

【实验目的】

练习木马程序安装和攻击过程，了解木马攻击原理，掌握手工查杀木马的基本方法，提高自己的安全意识。

【实验内容】

安装木马程序NetBus，通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术

【实验步骤】

1、 木马安装和使用

NetBus不是病毒，但被认为是特洛伊木马。它十分广泛，常被用来偷窃数据和删除文件。Netbus允许黑客读取数据和在远程控制一些视窗功能。Netbus工具有客户和服务器部分。服务器部分安装在远端用于存储的系统中。Netbus1.60版的服务器是视窗PE文件，叫PATCH.EXE。在执行过程中，服务器把自己安装在Windows目录，并在视窗下次启动时自动运行。

运行界面

2.NetBus的攻击原理

NetBus由两部分组成：客户端程序（netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上－－这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。这是特洛伊木马程序的由来，也是此类程序发挥作用的关键！因此，不要贸然运行网上下来的程序！这永远是金玉良言！

特别是NetBus 1.70，它在以前的版本上增加了许多“新功能”，从而使它更具危险性！比如： NetBus 1.60只能使用固定的服务器端TCP/IP端口：12345，而在1.70版本中则允许任意改变端口号，从而减少了被发现的可能性；重定向功能（Redirection）更使攻击者可以通过被控制机控制其网络中的第三台机器，从而伪装成内部客户机。这样，即使路由器拒绝外部地址，只允许内部地址相互通信，攻击者也依然可以占领其中一台客户机并对网中其它机器进行控制。

发现并清除NetBus的方法不过，NetBus尽管厉害，发现并去除它却并不困难。

通常，NetBus服务器端程序是放在Windows的系统目录中的，它会在Windows启动时自动启动。该程序的文件名是patch.exe，如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话，文件名应为explore.exe（注意：不是explorer.exe！）或者简单地叫game.exe。 同时，你可以检查Windows系统注册表，NetBus会在下面路径中加入其自身的启动项： \NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del，在任务列表中是看不到它的存在的。 3.

命令行运行服务

打开所有服务