L003002003-冰河木马安全测试

实验5：网络攻击与防范实验一、实验目的1、了解常见的木马程序进行远程控制的使用方法，掌握木马传播和运行的机制；2、掌握防范木马、检测木马以及手动删除木马的方法；二、实验环境..Windows操作系统，局域网环境，“冰河”、“灰鸽子”木马实验软件。

...实验每两个学生为一组：互相进行攻击或防范。

三、实验原理.木马是隐藏在正常程序中的具有特殊功能的恶意代码。

它可以随着计算机自动启动并在某一端口监听来自控制端的控制信息。

.. 木马的传统连接技术：一般木马都采用C/S运行模式，即分为两部分：客户端和服务器端木马程序。

当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端主动提出连接请求。

木马的反弹端口技术：它的特点是使服务器端程序主动发起对外连接请求，再通过一定方式连接至木马的客户端，客户端是被动的连接。

四、实验内容和步骤任务一：练习“冰河”木马的攻击与防范..“冰河”木马采用木马的传统连接技术，包含两个文件：G_Client.exe和win32。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，win32是被监控端后台监控程序。

打开控制端，弹出“冰河”主界面。

分组角色：学生A运行冰河木马程序的客户端，学生B运行服务器端。

步骤一，攻击方法：（1）采用IPC$漏洞入侵的方法，将冰河木马服务器端运行程序植入学生B的主机上，并使用计划任务命令使目标主机运行木马服务器端程序G_Server.exe。

（2）学生A启动G_Client.exe,利用快捷栏的添加主机按钮，将学生B主机的IP地址添加至主机列表。

（3）“确定”后，可以看到主机面上添加了学生B的主机。

单击主机名，如连接成功，则会显示服务器端主机上的盘符。

（4）尝试使用冰河客户端的控制功能对目标主机进行控制，使用口令类命令查看系统信息及口令；使用控制类命令进行捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制操作；使用文件类命令进行添加目录，复制目录等操作。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

六招教你检测是否中病毒木马介绍六招教你检测病毒木马介绍：六招教你检测病毒木马一、进程首先排查的就是进程了，方法简单，开机后，什么都不要启动!第一步：直接打开任务管理器计算机爱好者，学习计算机基础，电脑入门，请到本站PS：如果任务管理器打开后一闪就消失了，可以判定已经中毒;如果提示已经被管理员禁用，则要引起警惕!第二步：打开冰刃等软件，先查看有没有隐藏进程冰刃中以红色标出，然后查看系统进程的路径是否正确。

PS：如果冰刃无法正常使用，可以判定已经中毒;如果有红色的进程，基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程，也可以判断已经中毒。

第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。

PS：Wsyscheck会用不同颜色来标注被注入的进程和正常进程，如果有进程被注入，不要着急，先确定注入的模块是不是病毒，因为有的杀软也会注入进程。

六招教你检测病毒木马二、自启动项目进程排查完毕，如果没有发现异常，则开始排查启动项。

第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有 Microsoft 服务”复选框，然后逐一确认剩下的服务是否正常可以凭经验识别，也可以利用搜索引擎。

PS：如果发现异常，可以判定已经中毒;如果msconfig无法启动，或者启动后自动关闭，也可以判定已经中毒。

第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。

第三步，用Autoruns等，查看更详细的启动项信息包括服务、驱动和自启动项、IEBHO等信息。

PS：这个需要有一定的经验。

六招教你检测病毒木马三、网络连接ADSL用户，在这个时候可以进行虚拟拨号，连接到Internet了。

然后直接用冰刃的网络连接查看，是否有可疑的连接，对于IP地址，可以到相关网站查询，对应的进程和端口等信息可以到Google或百度查询。

网络安全实验报告冰河木马实验网络10-2班 XXX 08103635一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、打开杀毒软件查杀冰河木马；4、再次在B上种入冰河木马，并手动删除冰河木马，修改注册表和文件关联。

三、实验准备1、在两台计算机上关闭杀毒软件；2、下载冰河木马软件；3、阅读冰河木马的关联文件。

四、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

五、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

实验一冰河木马1．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

2．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

3．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

4．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1 —图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

一、实验目的1. 了解冰河木马的基本原理和功能。

2. 学习使用冰河木马进行远程控制。

3. 提高网络安全意识，掌握网络安全防护方法。

二、实验环境1. 操作系统：Windows 102. 网络环境：局域网3. 实验工具：冰河木马客户端、冰河木马服务器三、实验步骤1. 准备实验环境（1）在局域网内，分别搭建两台计算机A和B，A作为客户端，B作为服务器。

（2）在计算机A上安装冰河木马客户端，在计算机B上安装冰河木马服务器。

2. 配置冰河木马服务器（1）打开计算机B上的冰河木马服务器，设置服务器端口号（如：8899）。

（2）在服务器端，设置冰河木马密码，用于客户端连接服务器。

3. 连接冰河木马客户端（1）在计算机A上打开冰河木马客户端。

（2）输入冰河木马服务器的IP地址和端口号，以及密码。

（3）点击“连接”按钮，成功连接服务器。

4. 控制计算机B（1）在客户端界面，可以看到计算机B的基本信息，如IP地址、系统信息等。

（2）点击“控制端”按钮，进入远程控制界面。

（3）在远程控制界面，可以查看计算机B的屏幕、键盘、鼠标等。

（4）通过客户端操作，控制计算机B的运行、文件传输等功能。

5. 安全防护（1）在实验过程中，注意保护计算机B的安全，避免被恶意操作。

（2）关闭冰河木马客户端和服务器后，及时删除安装的木马程序。

四、实验结果与分析1. 实验成功连接冰河木马服务器，并成功控制计算机B。

2. 通过实验，了解到冰河木马的基本原理和功能，以及远程控制的方法。

3. 提高网络安全意识，认识到网络安全的重要性。

五、实验总结1. 本次实验成功实现了冰河木马的安装、配置、连接和控制，达到了实验目的。

2. 通过实验，掌握了冰河木马的基本原理和功能，以及网络安全防护方法。

3. 在实验过程中，注意到了网络安全的重要性，提高了自己的网络安全意识。

4. 在以后的学习和工作中，将继续关注网络安全问题，提高自己的网络安全防护能力。

六、实验建议1. 在进行类似实验时，应选择安全、合法的实验环境，确保实验过程中不会对他人造成损失。