冰河木马的入侵

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

网络安全实验报告冰河木马实验网络10-2班 XXX 08103635一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、打开杀毒软件查杀冰河木马；4、再次在B上种入冰河木马，并手动删除冰河木马，修改注册表和文件关联。

三、实验准备1、在两台计算机上关闭杀毒软件；2、下载冰河木马软件；3、阅读冰河木马的关联文件。

四、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

五、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全防护能力，本实验旨在通过模拟冰河木马攻击，了解其攻击原理、传播途径以及防护措施。

实验过程中，我们将使用虚拟机环境，模拟真实网络环境下的木马攻击，并采取相应的防护措施。

二、实验目的1. 了解冰河木马的攻击原理和传播途径。

2. 掌握网络安全防护的基本方法，提高网络安全意识。

3. 熟悉网络安全工具的使用，为实际网络安全工作打下基础。

三、实验环境1. 操作系统：Windows 10、Linux Ubuntu2. 虚拟机软件：VMware Workstation3. 木马程序：冰河木马4. 网络安全工具：杀毒软件、防火墙四、实验步骤1. 搭建实验环境（1）在VMware Workstation中创建两个虚拟机，分别为攻击机和被攻击机。

（2）攻击机安装Windows 10操作系统，被攻击机安装Linux Ubuntu操作系统。

（3）在攻击机上下载冰河木马程序，包括GClient.exe和GServer.exe。

2. 模拟冰河木马攻击（1）在攻击机上运行GClient.exe，连接到被攻击机的GServer.exe。

（2）通过GClient.exe，获取被攻击机的远程桌面控制权，查看被攻击机的文件、运行进程等信息。

（3）尝试在被攻击机上执行恶意操作，如修改系统设置、删除文件等。

3. 检测与防护（1）在被攻击机上安装杀毒软件，对系统进行全盘扫描，查杀木马病毒。

（2）关闭被攻击机的远程桌面服务，防止木马再次连接。

（3）设置防火墙规则，阻止不明来源的连接请求。

4. 修复与恢复（1）对被攻击机进行系统备份，以防数据丢失。

（2）修复被木马破坏的系统设置和文件。

（3）重新安装必要的软件，确保系统正常运行。

五、实验结果与分析1. 攻击成功通过实验，我们成功模拟了冰河木马攻击过程，攻击机成功获取了被攻击机的远程桌面控制权，并尝试执行恶意操作。

2. 防护措施有效在采取防护措施后，成功阻止了木马再次连接，并修复了被破坏的系统设置和文件。

木马和冰河的使用！【教程】木马大家对他的名字很熟悉吧？？是啊木马作为一个远程控制的软件已经深入人心，木马是什么那？如何使用木马程序控制他人那？？先不要着急，我们来看看木马的发展，对这个工具作一个简单的介绍：黑客程序里的特洛伊木马有以下的特点：（1）主程序有两个，一个是服务端，另一个是控制端。

（如果你下载了，请千万不要用鼠标双击服务器端）（2）服务端需要在主机（被你控制的电脑）执行。

（3）一般特洛伊木马程序都是隐蔽的进程。

（需要专业的软件来查杀，也有不用软件查杀的办法，我会介绍）（4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。

而服务端主机在接受命令后，会执行相应的任务。

（5）每个系统都存在特洛伊木马。

（包括Windows，Unix，liunx等）眼中，特洛伊木马是一种病毒。

其实特洛伊木马并不是一种病毒，它没有完全具备病毒的性质。

（包括：转播，感染文件等，但是很多的杀毒软件还是可以查杀，毕竟这是一种使用简单但是危害比较大的软件）木马的发展：第一代木马：控制端-- 连接-- 服务端特点：属于被动型木马。

能上传，下载，修改注册表，得到内存密码等。

典型木马：冰河，NetSpy，back orifice（简称：BO）等。

第二代木马：服务端-- 连接-- 控制端特点：属于主动型木马。

隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态连接库）隐藏进程的，甚至出现能传播的木马。

典型木马：网络神偷，广外女生等。

（反弹端口型木马）第二代木马象广外女生可以使用WINDOWS的漏洞，越过许多防火墙从而进行对系统的监控（像金山，天网等）随着木马的发展，并且作为很多人使用的软件，杀毒软件也越来越对这个传播很广的半病毒不病毒的软件越来越关注（因为作为服务器端可以夹带在任何文件中传播，只要你打开这个文件，你就肯定会被中上木马，甚至可以在网络上通过下载来传播）所以查杀木马的工具很多，但是道高一尺，魔高一丈，木马又不断演化出新的品种来对抗杀毒软件，毕竟中国的广大网民的安全意识不高，加上盗版猖狂，可以正式在网络上进行升级的并不多，所以木马还是很有使用空间的。

怎么用冰河木马（冰河木马教程）点这里下载==》冰河木马从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为） 虽然过时了 但6.0的到现在也有人用的不少 现在为大家送上教程 新手们看好了 不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河v6.0GLUOSHI 专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way ，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么？ 因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K ，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

网络安全实验报告冰河木马实验实验目的：1.了解冰河木马的原理和特点；2.掌握冰河木马部署的方法以及检测与防御手段。

实验器材：1. 安装有Windows操作系统的虚拟机；2.冰河木马部署工具。

实验步骤：1.安装虚拟机：根据实验需要，选择合适的虚拟机软件，并安装Windows操作系统。

2.配置网络环境：将虚拟机的网络模式设置为桥接模式，使其可以直接连入局域网。

4.部署冰河木马：a)打开解压后的冰河木马部署工具；b)输入冰河木马的监听端口号；c)选择合适的木马文件类型并输入要部署的木马文件名；d)点击部署按钮，等待部署完成。

5.运行冰河木马：a)在虚拟机上运行冰河木马；b)冰河木马将开始监听指定的端口。

6.外部操作：a)在外部主机上打开浏览器，输入虚拟机IP地址和冰河木马监听端口号；实验原理：冰河木马是一种隐蔽性极高的网络攻击工具，其中”冰河”是指冰山一角，表示用户常用的木马查杀工具只能发现一小部分木马样本，而多数都无法查杀。

它通过监听指定端口，接收外部指令，并将得到的内容通过HTTP协议加密封装成HTTP请求发送给指定服务器。

可以通过浏览器的方式来控制远程主机。

实验总结：本次实验中，我通过部署和运行冰河木马对实验环境进行了攻击模拟。

冰河木马以其良好的隐蔽性和强大的功能，使得安全防护变得更加困难。

冰河木马能够对目标计算机进行文件传输、进程控制等操作，使得攻击者可以远程控制受害机器，对其进行攻击、窃取敏感信息等。

为了提高网络安全，我们需要采取以下防御措施：1.及时更新系统和应用程序的补丁，修复可能存在的安全漏洞；2.安装并定期更新杀毒软件和防火墙，提高恶意程序的检测和防范能力；3.加强网络安全意识教育，防止员工被钓鱼、诈骗等方式获取重要信息；4.强化网络审计和监控，及时发现并处置网络攻击行为；5.配置安全策略，限制外部访问和流量。

通过本次实验，我对冰河木马的工作原理有了一定的认识，并学会了一些基本的防御手段，这对我今后从事网络安全工作有着重要的意义。

冰河木马防范措施引言随着网络环境的不断进步和发展，网络安全威胁也日益增多。

其中之一的木马病毒被认为是网络安全中最严重的一种威胁之一。

而冰河木马作为木马病毒的一种，其具有隐蔽性强、入侵难以被检测以及攻击后门等特点，给互联网用户的安全带来了巨大的威胁。

在本文中，我们将探讨冰河木马的防范措施以及如何保护自己免受其攻击。

什么是冰河木马？冰河木马是一种高度隐蔽的远程控制木马，其名字来源于其对抗能力强大，可以有效躲避常规的安全防护措施，如防火墙和杀毒软件。

冰河木马可以通过对网络流量进行重定向和篡改，将受感染主机与控制服务器建立起联系，从而实现对主机的远程控制和操控。

冰河木马的攻击方式通常包括以下几种:1.欺骗性的电子邮件附件或链接：攻击者通过电子邮件发送伪装成常见文件的恶意程序，一旦用户点击或下载该附件或链接，冰河木马将被激活并感染主机。

2.恶意网站下载：用户在浏览互联网时访问了一个被感染的恶意网站，下载了一个包含冰河木马的程序文件，从而导致主机被感染。

3.受感染的外部设备：攻击者将冰河木马植入可移动存储媒介（如USB闪存驱动器），然后将其插入目标主机，从而感染该主机。

冰河木马的防范措施为了保护自己不被冰河木马攻击，在以下几个方面采取相应的防范措施是至关重要的。

1. 安装可靠的安全软件安装可靠的防火墙和杀毒软件是有效防范冰河木马的第一步。

这些软件可以帮助用户检测和删除潜在的冰河木马，同时也能够阻止未经授权的远程访问和网络连接。

确保你的防火墙和杀毒软件是最新版本，并及时更新其病毒数据库。

定期进行全盘扫描以确保系统安全。

2. 注意电子邮件和链接的可信度冰河木马经常通过电子邮件附件或链接进行传播。

因此，要注意来自不可信来源的电子邮件和链接。

不要打开未知或可疑的邮件附件，也不要点击未知来源的链接。

此外，要注意不要向任何可疑的邮件或网站提供个人信息。

3. 更新操作系统和软件定期更新操作系统和软件是防范冰河木马的重要步骤。