实验、网站渗透和加固-

1、实验介绍
实验简介

• 实验所属系列：安全审计
• 实验对象：本科/专科信息安全专业;相关工作从业人员;应用安全爱好者
• 相关课程及专业：网络安全
• 实验时数（学分）：2学时
• 实验类别：实践实验类
• 实验附件：https://xpro-adl.91ctf.com/userdownload?filename=禁止非法程序运行实验.rar&type=attach

实验目标

• 了解HostMonitor运行的基本原理，熟悉HostMonitor工具的使用，以及实验完成过程

预备知识
禁止非法程序运行有多种方法，注册表方法，添加dll方法，组策略方法等。用户可以通过修改注册表，来禁止运行某些具有危险性或不想让其运行的程序，以达到维护系统安全性的目的。添加dll的方法主要是在应用程序目录下添加空dll替换系统本身的dll文件，达到程序无法启动的目的。组策略主要是利用微软提供的组策略中的软件限制策略实现限制程序运行。

HostMonitor是KS-SOFT公司出品的一套安装在Windows上的网络监测工具，据官方网站的介绍，Host Monitor提供了56套测试工具和27种报警动作，能够定时监控目标主机Windows Server和各个版本的Linux上任何TCP服务、UDP、网络连通状态（Ping）、路由（Route）、DNS、FTP、SMTP、POP3、端口（Port）、URL以及Web Service、SQL Server、数据库表空间大小、硬盘空间、文件及文件夹大小、网络流量等指标，支持远程监控代理（RMA）、WMI、SNMP。当所监控的对象没有正常运作时，便会以警铃、Email错误信息、启动指定程序等的方式通知运维管理人员。

2、实验步骤
一、实验准备1、打开本地“远程桌面连接”工具，输入地址192.168.41.215（以实际获取ip为准），进入远程登陆界面，输入账号Administrator和密码7c1a9c，进入虚拟机。远程桌面连接，如下图所示

2、远程登录成功，如下图所示。

二、禁止非法程序运行
1、安装HostMonitor。打开C:\tools\AHCJ140目录，找到host-mon安装文件。如下图所示

2、双击打开host-mon安装文件，勾选“Installation”，点击“Next”按钮。如下图所示。

3、勾选“InstallAdvanced Host Monitor and utilities”，点击“Next”按钮。如下图所示。

4、勾选Lite/Standard。点击“Next”按钮。如下图所示。

5、确认之前的安装设置。检查无误后点击“Install”按钮安装。如下图所示。

6、待进度条完成，点击“Done”按钮完成安装。如下图所示。

7、安装完成以后打开Host Monitor程序，会弹出Options，点击“Save”按钮保持默认即可。如下图所示。

7、安装完成以后打开Host Monitor程序，会弹出Options，点击“Save”按钮保持默认即可。如下图所示。8、本实验中我们监控飞秋FeiQ程序的运行情况（也可以选择其他运行程序进行监控），在菜单栏“Test”→“New”→“Process test”中进行设置。如下图所示。

7、安装完成以后打开Host Monitor程序，会弹出Options，点击“Save”按钮保持默认即可。如下图所示。8、本实验中我们监控飞秋FeiQ程序的运行情况（也可以选择其他运行程序进行监控），在菜单栏“Test”→“New”→“Process test”中进行设置。如下图所示。

8、本实验中我们监控飞秋FeiQ程序的运行情况（也可以选择其他运行程序进行监控），在菜单栏“Test”→“New”→“Process test”中进行设置。如下图所示。

9、进行监控配置。在Test method处，将Alert when less than的勾去除，将第二排Alert when more than的勾选上，并将后面的数字改为0。然后将旁边的程序改为“飞秋FeiQ”。如下图所示。

10、在Regular schedule栏，将test时间改为10sec。如下图所示。

11、在Log&Reports栏设置输出日志文件存放地址。勾选上Use private log，并将右边的Default改为Full。这里日志的输出，是将日志写入已存在的文档，学生可以自行设置存放路径。为了方便起见，我们在桌面上新建一个txt文档，并将日志的输入路径设为这个桌面上的txt文档。设置完成后点击ok。如下图所示。



13、打开飞秋，现在超过0个程序在运行会产生警报，这时HostMonitor上飞秋FeiQ程序前的绿灯会变成红灯，Status也会由Ok变为Bad。如下图所示。

14、打开日志文件查看，可以看见之前飞秋FeiQ程序启动前后日志的变化

15、实验完成。
3、分析和思考
1.可通过哪些方法对非法程序进行防护？

答案：

1.注册表方法，添加dll方法，组策略方法等。

实验2、网络行为禁止非法输出实验

1、实验介绍
实验简介

• 实验所属系列：安全审计
• 实验对象：本科/专科信息安全专业;相关工作从业人员;应用安全爱好者
• 相关课程及专业：网络安全分析
• 实验时数（学分）：2学时
• 实验类别：实践实验类
• 实验附件：https://xpro-adl.91ctf.com/userdownload?filename=网络行为禁止非法输出实验.rar&type=attach

实验目标

• 了解禁止网络行为监控的基本原理以及网络行为监控的内容。
• 熟悉网络行为监控实现方式，以及实验完成过程。

预备知识
本实验中我们使用代理服务器进行网络行为监控。

代理服务器CCProxy，是国内最流行的下载量最大的的国产代理服务器软件。主要用于局域网内共享宽带上网，ADSL共享上网、专线代理共享、ISDN代理共享、卫星代理共享、蓝牙代理共享和二级代理等共享代理上网。

CCProxy可以完成两项大的功能：代理共享上网和客户端代理权限管理。只要局域网内有一台机器能够上网，其他机器就可以通过这台机器上安装的 CCProxy来共享上网，最大程度的减少了硬件费用和上网费用。只需要在服务器上CCProxy里进行帐号设置，就可以方便的管理客户端代理上网的权限。在提高员工工作效率和企业信息安全管理方面，CCProxy充当了重要的角色。

更多关于CCProxy的信息请参见http://www.ccproxy.com/

2、实验步骤
一、实验准备1、打开本地“远程桌面连接”工具，输入地址192.168.41.204（以实际获取ip为准），进入远程登陆界面，输入账号administrator和密码7afe5c，进入虚拟机。远程桌面连接，如下图所示。

一、实验准备1、打开本地“远程桌面连接”工具，输入地址192.168.41.204（以实际获取ip为准），进入远程登陆界面，输入账号administrator和密码7afe5c，进入虚拟机。远程桌面连接，如下图所示。

2、远程登录成功，如下图所示。

二、网络行为监控，禁止非法输出
1、ccproxy是国内最流行的、下载量最大的的国产代理服务器软件，通过使用代理上网，我们可以监控网络行为。安装ccproxy。打开C:\tools\网络行为禁止非法输出实验目录，文件夹中找到ccproxy安装文件。如下图所示。

2、双击打开ccproxy安装文件，使用默认配置安装。如下图所示。

3、安装完成后打开ccproxy程序，进入ccproxy主界面。如下图所示。

3、安装完成后打开ccproxy程序，进入ccproxy主界面。如下图所示。4、若是出现端口占用的情况，则点击界面上的“设置”按钮打开设置页面，修改相应的端口号。设置代理服务器的日志文件的存储路径。点击界面上的“设置”按钮打开设置页面。在设置页面中点击“高级”按钮进入高级页面，选择日志文件的存储路径为C:\CCProxy\Log，点击“确定”按钮。如下图所示。

5、返回到ccproxy主界面，点击“帐号”按钮打开账号管理页面。如下图所示。

6、点击“新建”按钮打开账号页面。如下图所示。

7、点击“IP地址/IP段”右边的“？”按钮，打开获取地址页面。点击“获取”按钮，获得本地的计算机名、IP地址、MAC地址。如下图所示。

8、点击“应用”按钮，返回账号页面。点击“网站过滤”右边的“E”按钮打开网站过滤按钮，在其中填入相应的信息之后。如下图所示

9、点击“确定”按钮，返回账号页面。勾选“网站过滤”，右边的下拉栏选择WebFilter-1，。如下图所示。

10、点击“确定”按钮，返回账号管理页面。在账号管理页面点击“确定”按钮，返回ccproxy主界面。如下图所示。


11、在IE浏览器中使用代理上网。打开IE浏览器，在上方菜单栏中打开“工具”→“Internet选项”。如下图所示。

12、在连接页面中找到“局域网设置”按钮，点击打开。如下图所示。


13、勾选“为LAN使用代理服务器”，在地址栏中填入代理机地址（本实验中为本地主机ip地址192.168.41.204），在端口栏中填入808，点击“确定”按钮。如下图所示。

14、设置完成后使用IE浏览器访问网页可以在ccproxy的主界面中看到流量信息。其中绿色区域中的曲线图显示的是服务器当前的连接数曲线（绿色）和带库曲线（黄色）。如下图所示。

15、点击“监控”按钮查看日志信息以及当前连接、用户等信息。如下图所示。

16、使用IE浏览器访问www.baidu.com。说明第9步中设置的网站过滤生效。如下图所示。

17、在C:\CCProxy\Log目录下可以看到ccproxy的日志文件。如下图所示。

17、在C:\CCProxy\Log目录下可以看到ccproxy的日志文件。如下图所示。18、实验完成，关闭所有窗口和虚拟机。

3、分析和思考
1、网络监控的技术手段有哪些？

2、网络监控是否可以抵御网络渗透等攻击行为？
　　　
答案：

1、监控聊天记录、监控上网记录、监控远程操作、监控邮件记录、监控实时屏幕、文件远程管理、限制软硬件运行、限制流量、实时报警等。

2、在一定程度上可以提高抵抗网络渗透攻击的能力。