冰河木马软件使用实验

任务十木马演示一、实验目的：通过模拟演示木马程序，加深对恶意代码工作过程的理解，掌握恶意代码防范方法及清除方法。

二、实验环境：两台预装WindowsXP的主机，通过网络互连软件工具：冰河木马或灰鸽子木马三、实验要求：1.实训要求：使用冰河对远程计算机进行控制2.实训步骤：（1）配置服务器程序：冰河的客户端程序为G-client.exe,在冰河的控制端可以对服务器端进行配置，如图1所示：图1冰河的安装路径、文件名、监听端口为：<system> ；kernel32.exe ；7626。

冰河在注册表设置的自我保护的内容，就是我们查杀时所要寻找的内容，配置完后生成服务器端程序为G-server.exe。

服务器端一旦运行，该程序就会按照前面的设置在C:\WINNT\system32下生成kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，在注册表中sysexplr.exe和TXT文件关联，如图2所示：图2（2）传播木马：通过邮件、QQ等方式传播该木马服务器程序，并诱惑被攻击者运行改程序。

（3）客户端（控制端）操作：冰河的客户端界面如图3所示，冰河的功能是：自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息等图3（4）冰河木马的防御：中了该木马后，该计算机会主动打开端口等待控制端来连接。

这样很容易被人发现，而安装了防火墙的计算机会阻止该计算机主动对外的连接。

所以安装防火墙是对传统木马的有效防御。

（5）冰河木马的手工清除方法：A、删除C:\WINNT\system下的kernel32.exe和sysexplr.exe文件B、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run下键值为C:\WINNT\system\kernel32.exeC、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run下键值为C:\WINNT\system\sysexplr.exeD、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，将中木马后的C:\WINNT\system32\sysexplr.exe%1改为正常的C:\WINNT\notepad.exe%1即可恢复TXT文件关联功能。

计算机病毒实验报告姓名：学号:老师：一、实验目的学会使用冰河软件控制远端服务器，执行后门攻击。

了解木马的危害和攻击手段，为将来的防御和系统评估带来更高的认知度。

二、实验内容在实验环境下，完成冰河病毒体验实验。

三、实验环境● 硬件设备1) 小组PC（WIN2003系统）一台，用于远程控制2) 防火墙一台3) 机架服务器（WIN2003系统）一台，用于使其受控● 软件工具1) 冰河软件（程序包，含客户端、服务端）用于实现控制2) WireShark我所使用的PC终端IP地址是：192.168._1__._ 2_被分配的Windows2003 服务器对象地址是： 192.168.1.251本实验可单人或两人合作完成，从PC终端发起控制指令，使埋在服务器上的木马程序运行并连接到PC终端控制台上，完成整个实验过程。

并通过该远程控制程序研究如果引诱放置并执行该受控程序，同时也须研究如何防御封堵此类危险的远程控制行为。

四、实验步骤本实验由我和同学利用两台主机合作完成。

Step1：获取被控制主机的IP。

将G_server.exe程序放置一台主机(被控制的主机，即IP为192.168.1.1的主机)上并运行之。

在C盘中建立222.txt文件。

Step2：在终端PC 上，打开控制端程序：G_CLIENT.EXE。

在冰河主窗口下，选择扫描图标。

Step3：在起始域中选择<192.168.1>，在起始地址为1，终止地址为50，单击开始。

Step4：扫描成功，单击关闭。

在G_CLIENT中打开一添加的计算机。

或在G_CLIENT中直接添加计算机。

添加成功，可以看到被控制主机中的所有文件。

可以看到被控制主机中在C盘建立的222.txt文件。

复制到桌面。

打开查看内容。

Step5:点击冰河主界面空白部分，选择上传文件自，将一恶意网页病毒文件上传至被控制主机的C盘。

被控制端可以看到C盘中多了1.html 文件。

在控制端选择1.html文件，远程打开。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

实验2 冰河远程控制软件使用（2学时）实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法。

实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）实验内容与步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1-图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

图4在种木马之前，在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1。

在受控端计算机中双击Win32.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生。

我们再打开受控端计算机的注册表，查看打开txt 文件的应用注册项。

HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以发现，这时它的值为C:\winnt\system32\sysexplr.exe%1，见图7。

图5打开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到sysexplr.exe文件，如图8所示。

图6在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主控程序）。

可以看到如图9所示界面。

图7在该界面的【访问口令】编辑框中输入访问密码：12211987，设置访问密码，然后点击【应用】，见图10。

图8点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，见图11，弹出图12所示的服务器配置对话框。

一、实验目的1. 了解冰河木马的基本原理和功能。

2. 学习使用冰河木马进行远程控制。

3. 提高网络安全意识，掌握网络安全防护方法。

二、实验环境1. 操作系统：Windows 102. 网络环境：局域网3. 实验工具：冰河木马客户端、冰河木马服务器三、实验步骤1. 准备实验环境（1）在局域网内，分别搭建两台计算机A和B，A作为客户端，B作为服务器。

（2）在计算机A上安装冰河木马客户端，在计算机B上安装冰河木马服务器。

2. 配置冰河木马服务器（1）打开计算机B上的冰河木马服务器，设置服务器端口号（如：8899）。

（2）在服务器端，设置冰河木马密码，用于客户端连接服务器。

3. 连接冰河木马客户端（1）在计算机A上打开冰河木马客户端。

（2）输入冰河木马服务器的IP地址和端口号，以及密码。

（3）点击“连接”按钮，成功连接服务器。

4. 控制计算机B（1）在客户端界面，可以看到计算机B的基本信息，如IP地址、系统信息等。

（2）点击“控制端”按钮，进入远程控制界面。

（3）在远程控制界面，可以查看计算机B的屏幕、键盘、鼠标等。

（4）通过客户端操作，控制计算机B的运行、文件传输等功能。

5. 安全防护（1）在实验过程中，注意保护计算机B的安全，避免被恶意操作。

（2）关闭冰河木马客户端和服务器后，及时删除安装的木马程序。

四、实验结果与分析1. 实验成功连接冰河木马服务器，并成功控制计算机B。

2. 通过实验，了解到冰河木马的基本原理和功能，以及远程控制的方法。

3. 提高网络安全意识，认识到网络安全的重要性。

五、实验总结1. 本次实验成功实现了冰河木马的安装、配置、连接和控制，达到了实验目的。

2. 通过实验，掌握了冰河木马的基本原理和功能，以及网络安全防护方法。

3. 在实验过程中，注意到了网络安全的重要性，提高了自己的网络安全意识。

4. 在以后的学习和工作中，将继续关注网络安全问题，提高自己的网络安全防护能力。

六、实验建议1. 在进行类似实验时，应选择安全、合法的实验环境，确保实验过程中不会对他人造成损失。

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全防护能力，本实验旨在通过模拟冰河木马攻击，了解其攻击原理、传播途径以及防护措施。

实验过程中，我们将使用虚拟机环境，模拟真实网络环境下的木马攻击，并采取相应的防护措施。

二、实验目的1. 了解冰河木马的攻击原理和传播途径。

2. 掌握网络安全防护的基本方法，提高网络安全意识。

3. 熟悉网络安全工具的使用，为实际网络安全工作打下基础。

三、实验环境1. 操作系统：Windows 10、Linux Ubuntu2. 虚拟机软件：VMware Workstation3. 木马程序：冰河木马4. 网络安全工具：杀毒软件、防火墙四、实验步骤1. 搭建实验环境（1）在VMware Workstation中创建两个虚拟机，分别为攻击机和被攻击机。

（2）攻击机安装Windows 10操作系统，被攻击机安装Linux Ubuntu操作系统。

（3）在攻击机上下载冰河木马程序，包括GClient.exe和GServer.exe。

2. 模拟冰河木马攻击（1）在攻击机上运行GClient.exe，连接到被攻击机的GServer.exe。

（2）通过GClient.exe，获取被攻击机的远程桌面控制权，查看被攻击机的文件、运行进程等信息。

（3）尝试在被攻击机上执行恶意操作，如修改系统设置、删除文件等。

3. 检测与防护（1）在被攻击机上安装杀毒软件，对系统进行全盘扫描，查杀木马病毒。

（2）关闭被攻击机的远程桌面服务，防止木马再次连接。

（3）设置防火墙规则，阻止不明来源的连接请求。

4. 修复与恢复（1）对被攻击机进行系统备份，以防数据丢失。

（2）修复被木马破坏的系统设置和文件。

（3）重新安装必要的软件，确保系统正常运行。

五、实验结果与分析1. 攻击成功通过实验，我们成功模拟了冰河木马攻击过程，攻击机成功获取了被攻击机的远程桌面控制权，并尝试执行恶意操作。

2. 防护措施有效在采取防护措施后，成功阻止了木马再次连接，并修复了被破坏的系统设置和文件。

网络安全实验报告冰河木马实验实验目的：1.了解冰河木马的原理和特点；2.掌握冰河木马部署的方法以及检测与防御手段。

实验器材：1. 安装有Windows操作系统的虚拟机；2.冰河木马部署工具。

实验步骤：1.安装虚拟机：根据实验需要，选择合适的虚拟机软件，并安装Windows操作系统。

2.配置网络环境：将虚拟机的网络模式设置为桥接模式，使其可以直接连入局域网。

4.部署冰河木马：a)打开解压后的冰河木马部署工具；b)输入冰河木马的监听端口号；c)选择合适的木马文件类型并输入要部署的木马文件名；d)点击部署按钮，等待部署完成。

5.运行冰河木马：a)在虚拟机上运行冰河木马；b)冰河木马将开始监听指定的端口。

6.外部操作：a)在外部主机上打开浏览器，输入虚拟机IP地址和冰河木马监听端口号；实验原理：冰河木马是一种隐蔽性极高的网络攻击工具，其中”冰河”是指冰山一角，表示用户常用的木马查杀工具只能发现一小部分木马样本，而多数都无法查杀。

它通过监听指定端口，接收外部指令，并将得到的内容通过HTTP协议加密封装成HTTP请求发送给指定服务器。

可以通过浏览器的方式来控制远程主机。

实验总结：本次实验中，我通过部署和运行冰河木马对实验环境进行了攻击模拟。

冰河木马以其良好的隐蔽性和强大的功能，使得安全防护变得更加困难。

冰河木马能够对目标计算机进行文件传输、进程控制等操作，使得攻击者可以远程控制受害机器，对其进行攻击、窃取敏感信息等。

为了提高网络安全，我们需要采取以下防御措施：1.及时更新系统和应用程序的补丁，修复可能存在的安全漏洞；2.安装并定期更新杀毒软件和防火墙，提高恶意程序的检测和防范能力；3.加强网络安全意识教育，防止员工被钓鱼、诈骗等方式获取重要信息；4.强化网络审计和监控，及时发现并处置网络攻击行为；5.配置安全策略，限制外部访问和流量。

通过本次实验，我对冰河木马的工作原理有了一定的认识，并学会了一些基本的防御手段，这对我今后从事网络安全工作有着重要的意义。