冰河木马远程控制

实验5：网络攻击与防范实验一、实验目的1、了解常见的木马程序进行远程控制的使用方法，掌握木马传播和运行的机制；2、掌握防范木马、检测木马以及手动删除木马的方法；二、实验环境..Windows操作系统，局域网环境，“冰河”、“灰鸽子”木马实验软件。

...实验每两个学生为一组：互相进行攻击或防范。

三、实验原理.木马是隐藏在正常程序中的具有特殊功能的恶意代码。

它可以随着计算机自动启动并在某一端口监听来自控制端的控制信息。

.. 木马的传统连接技术：一般木马都采用C/S运行模式，即分为两部分：客户端和服务器端木马程序。

当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端主动提出连接请求。

木马的反弹端口技术：它的特点是使服务器端程序主动发起对外连接请求，再通过一定方式连接至木马的客户端，客户端是被动的连接。

四、实验内容和步骤任务一：练习“冰河”木马的攻击与防范..“冰河”木马采用木马的传统连接技术，包含两个文件：G_Client.exe和win32。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，win32是被监控端后台监控程序。

打开控制端，弹出“冰河”主界面。

分组角色：学生A运行冰河木马程序的客户端，学生B运行服务器端。

步骤一，攻击方法：（1）采用IPC$漏洞入侵的方法，将冰河木马服务器端运行程序植入学生B的主机上，并使用计划任务命令使目标主机运行木马服务器端程序G_Server.exe。

（2）学生A启动G_Client.exe,利用快捷栏的添加主机按钮，将学生B主机的IP地址添加至主机列表。

（3）“确定”后，可以看到主机面上添加了学生B的主机。

单击主机名，如连接成功，则会显示服务器端主机上的盘符。

（4）尝试使用冰河客户端的控制功能对目标主机进行控制，使用口令类命令查看系统信息及口令；使用控制类命令进行捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制操作；使用文件类命令进行添加目录，复制目录等操作。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

网络安全实验报告冰河木马实验网络10-2班 XXX 08103635一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、打开杀毒软件查杀冰河木马；4、再次在B上种入冰河木马，并手动删除冰河木马，修改注册表和文件关联。

三、实验准备1、在两台计算机上关闭杀毒软件；2、下载冰河木马软件；3、阅读冰河木马的关联文件。

四、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

五、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

实验2 冰河远程控制软件使用（2学时）实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法。

实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）实验内容与步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1-图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

图4在种木马之前，在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1。

在受控端计算机中双击Win32.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生。

我们再打开受控端计算机的注册表，查看打开txt 文件的应用注册项。

HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以发现，这时它的值为C:\winnt\system32\sysexplr.exe%1，见图7。

图5打开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到sysexplr.exe文件，如图8所示。

图6在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主控程序）。

可以看到如图9所示界面。

图7在该界面的【访问口令】编辑框中输入访问密码：12211987，设置访问密码，然后点击【应用】，见图10。

图8点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，见图11，弹出图12所示的服务器配置对话框。

冰河远程控制软件解决方法冰河远程控制软件是我国冰河在国内一直是不可动摇的领军远程监控软件，它主要适用于远程监控，在国内没用过冰河的人等于没用过远程监控软件，由此可见冰河远程控制软件在国内的影响力之巨大，它不同于我国内网穿透技术如网络人等远程监控软件。

具体功能包括:1．冰河远程控制软件自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．冰河远程控制软件记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．冰河远程控制软件获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．冰河远程控制软件限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．冰河远程控制软件远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．冰河远程控制软件注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7. 冰河远程控制软件发送信息：以四种常用图标向被控端发送简短信息；8. 冰河远程控制软件点对点通讯：以聊天室形式同被控端进行在线交谈。

解决方法：中了冰河远程控制软件病毒如何清除冰河服务端，主要有以下方法：方法一：中了冰河，就用它的控制端来卸载服务端。

具体做法：1、启动“冰河”的控制端程序。

冰河远程控制软件选择“文件”——“添加主机”，或者直接点击快接按钮栏的第一个图标。

3、冰河远程控制软件弹出的对话框中，“远程主机”一项，填写自己的IP。

4、冰河远程控制软件连接服务端，然后，点击“命令控制台”标签。

5、冰河远程控制软件选择“控制类命令”——“系统控制”，在右面的窗口下方，你会发现四个按钮。

一、实验目的1. 了解冰河木马的基本原理和功能。

2. 学习使用冰河木马进行远程控制。

3. 提高网络安全意识，掌握网络安全防护方法。

二、实验环境1. 操作系统：Windows 102. 网络环境：局域网3. 实验工具：冰河木马客户端、冰河木马服务器三、实验步骤1. 准备实验环境（1）在局域网内，分别搭建两台计算机A和B，A作为客户端，B作为服务器。

（2）在计算机A上安装冰河木马客户端，在计算机B上安装冰河木马服务器。

2. 配置冰河木马服务器（1）打开计算机B上的冰河木马服务器，设置服务器端口号（如：8899）。

（2）在服务器端，设置冰河木马密码，用于客户端连接服务器。

3. 连接冰河木马客户端（1）在计算机A上打开冰河木马客户端。

（2）输入冰河木马服务器的IP地址和端口号，以及密码。

（3）点击“连接”按钮，成功连接服务器。

4. 控制计算机B（1）在客户端界面，可以看到计算机B的基本信息，如IP地址、系统信息等。

（2）点击“控制端”按钮，进入远程控制界面。

（3）在远程控制界面，可以查看计算机B的屏幕、键盘、鼠标等。

（4）通过客户端操作，控制计算机B的运行、文件传输等功能。

5. 安全防护（1）在实验过程中，注意保护计算机B的安全，避免被恶意操作。

（2）关闭冰河木马客户端和服务器后，及时删除安装的木马程序。

四、实验结果与分析1. 实验成功连接冰河木马服务器，并成功控制计算机B。

2. 通过实验，了解到冰河木马的基本原理和功能，以及远程控制的方法。

3. 提高网络安全意识，认识到网络安全的重要性。

五、实验总结1. 本次实验成功实现了冰河木马的安装、配置、连接和控制，达到了实验目的。

2. 通过实验，掌握了冰河木马的基本原理和功能，以及网络安全防护方法。

3. 在实验过程中，注意到了网络安全的重要性，提高了自己的网络安全意识。

4. 在以后的学习和工作中，将继续关注网络安全问题，提高自己的网络安全防护能力。

六、实验建议1. 在进行类似实验时，应选择安全、合法的实验环境，确保实验过程中不会对他人造成损失。

Copyright By「黑白网络工作室」2002 All Rights Reserve※黑客攻防指南※===>工具介绍==>国产远程控制软件——冰河国产远程控制软件——冰河作为一款流行的远程控制工具，在面世的初期，冰河就曾经以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

鉴于此，这里进行简要介绍。

1、冰河的安装该控制工具中有三个文件：Readme.txt，G_Client.exe和G_Server.exe。

Readme.txt简单介绍自己的使用，冰河当然也不例外了。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，G_Server.exe是被监控端后台监控程序（运行一次即自动安装，可任意改名）。

最好不要在自己本机运行G_Server.exe，否则可能处于别人的控制之中了。

也就是说，你要控制的远程计算机必须是要运行过G_Server.exe这个程序的。

该服务端程序直接进入内存，并把感染机的7626端口开放。

而使得拥有冰河客户端软件（G_Cl ient.exe)的计算机可以对感染机进行远程控制。

G_server.exe可以任意改名，运行时无任何提示。

2、冰河的基本使用运行客户端控制程序G_Client.exe，界面如下图所示。

点击菜单“文件”下的“自动收索”，弹出如下图的窗口。

查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“192.168. 1.1”至“192.168.1.255”网段的计算机，应将“起始域”设为“192.168.1”，将“起始地址”和“终止地址”分别设为“1”和“255”，然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址，地址前面的“ERR:”表示这台计算机无法控制；显示“OK:”的表示它曾经运行过G_Server.exe，也就是你可以控制了，同时它的IP地址将“文件管理器”里显示出来。