冰河木马实验报告13002724

实验5：网络攻击与防范实验一、实验目的1、了解常见的木马程序进行远程控制的使用方法，掌握木马传播和运行的机制；2、掌握防范木马、检测木马以及手动删除木马的方法；二、实验环境..Windows操作系统，局域网环境，“冰河”、“灰鸽子”木马实验软件。

...实验每两个学生为一组：互相进行攻击或防范。

三、实验原理.木马是隐藏在正常程序中的具有特殊功能的恶意代码。

它可以随着计算机自动启动并在某一端口监听来自控制端的控制信息。

.. 木马的传统连接技术：一般木马都采用C/S运行模式，即分为两部分：客户端和服务器端木马程序。

当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端主动提出连接请求。

木马的反弹端口技术：它的特点是使服务器端程序主动发起对外连接请求，再通过一定方式连接至木马的客户端，客户端是被动的连接。

四、实验内容和步骤任务一：练习“冰河”木马的攻击与防范..“冰河”木马采用木马的传统连接技术，包含两个文件：G_Client.exe和win32。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，win32是被监控端后台监控程序。

打开控制端，弹出“冰河”主界面。

分组角色：学生A运行冰河木马程序的客户端，学生B运行服务器端。

步骤一，攻击方法：（1）采用IPC$漏洞入侵的方法，将冰河木马服务器端运行程序植入学生B的主机上，并使用计划任务命令使目标主机运行木马服务器端程序G_Server.exe。

（2）学生A启动G_Client.exe,利用快捷栏的添加主机按钮，将学生B主机的IP地址添加至主机列表。

（3）“确定”后，可以看到主机面上添加了学生B的主机。

单击主机名，如连接成功，则会显示服务器端主机上的盘符。

（4）尝试使用冰河客户端的控制功能对目标主机进行控制，使用口令类命令查看系统信息及口令；使用控制类命令进行捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制操作；使用文件类命令进行添加目录，复制目录等操作。

冰河病毒实验报告一：实验目的通过对本次冰河木马的实验，更进一步的认识木马的危害，以及增强自己对木马的查杀能力。

二：实验原理其实质只是一个网络客户/服务程序，一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。

对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。

三：实验环境和实验前准备1，装有操作系统的虚拟机；2，2，G_server.exe守护进程, G_client 客户端应用程序；3，关掉防火墙和所有防病毒软件。

四：实验步骤和过程一：在一台机（客服端）打开G_client应用程序，在另一台机（服务端）打开G_server.exe 程序。

服务端情况：⑤①：打开任务管理器可以看到多了一个名为Kernel32.exe的进程，并且CPU使用率100%②：发现在C:\windows\system32 目录下，有Kernel32.exe 程序③：在运行框输入msconfig 命令，可以在启动菜单下看到病毒程序修改了注册表中的自启动注册项。

去掉勾，禁用即可。

④：借用Registry Workshop 注册表管理工具来查看病毒修改的注册项。

在改工具的查找框中输入sysexplr.exe,可以看到下面的现象：客户端情况：如果没有关掉防病毒软件，则会出现下面情况：所以要关掉防病毒软件，打开界面如下：如果有服务端打开了G_server.exe程序，可用G_client应用程序扫描对方IP，界面如下：扫描到两个IP地址，。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

网络安全实验报告冰河木马实验网络10-2班 XXX 08103635一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、打开杀毒软件查杀冰河木马；4、再次在B上种入冰河木马，并手动删除冰河木马，修改注册表和文件关联。

三、实验准备1、在两台计算机上关闭杀毒软件；2、下载冰河木马软件；3、阅读冰河木马的关联文件。

四、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

五、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

实验一冰河木马1．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

2．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

3．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

4．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1 —图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

实验报告从上图可以瞧出,搜索结果中,每个IP前都就是ERR。

地址前面的“ERR:”表示这台计算机无法控制。

所以,为了能够控制该计算机,我们就必须要让其感染冰河木马。

1、远程连接使用Dos命令: net use \\ip\ipc$如下图所示:2、磁盘映射。

本实验:将目标主机的C:盘映射为本地主机上的X:盘如下图所示首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。

此时,在目标主机的Dos界面下,使用at命令,可瞧到:下图为设定时间到达之前(即G_Server、exe执行之前)的注册表信息,可以瞧到在注册表下的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run,其默认值并无任何值。

当目标主机的系统时间到达设定时间之后,G_Server、exe程序自动启动,且无任何提示。

从上图可以瞧到,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默认值发生了改变。

变成了:C:\\WINDOWS\\SYSTEM\\Kernel32、exe这就说明冰河木马安装成功,拥有G_Client、exe的计算机都可以对此计算机进行控制了。

此时,再次使用G_Client、exe搜索计算机,可得结果如下图所示:从搜索结果可以瞧到,我们刚安装了冰河木马的计算机(其IP:10、1、13、214)的IP地址前变成了“OK:”,而不就是之前的“ERR:”。

下面对该计算机进行连接控制:上图显示,连接失败了,为什么呢？其实原因很简单,冰河木马就是访问口令的,且不同版本的访问口令不尽相同,本实验中,我们使用的就是冰河V2、2版,其访问口令就是05181977,当我们在访问口令一栏输入该口令(或者右击“文件管理器”中的该IP,“修改口令”),并点击应用,即可连接成功。

连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

一、实验目的1. 了解冰河木马的基本原理和功能。

2. 学习使用冰河木马进行远程控制。

3. 提高网络安全意识，掌握网络安全防护方法。

二、实验环境1. 操作系统：Windows 102. 网络环境：局域网3. 实验工具：冰河木马客户端、冰河木马服务器三、实验步骤1. 准备实验环境（1）在局域网内，分别搭建两台计算机A和B，A作为客户端，B作为服务器。

（2）在计算机A上安装冰河木马客户端，在计算机B上安装冰河木马服务器。

2. 配置冰河木马服务器（1）打开计算机B上的冰河木马服务器，设置服务器端口号（如：8899）。

（2）在服务器端，设置冰河木马密码，用于客户端连接服务器。

3. 连接冰河木马客户端（1）在计算机A上打开冰河木马客户端。

（2）输入冰河木马服务器的IP地址和端口号，以及密码。

（3）点击“连接”按钮，成功连接服务器。

4. 控制计算机B（1）在客户端界面，可以看到计算机B的基本信息，如IP地址、系统信息等。

（2）点击“控制端”按钮，进入远程控制界面。

（3）在远程控制界面，可以查看计算机B的屏幕、键盘、鼠标等。

（4）通过客户端操作，控制计算机B的运行、文件传输等功能。

5. 安全防护（1）在实验过程中，注意保护计算机B的安全，避免被恶意操作。

（2）关闭冰河木马客户端和服务器后，及时删除安装的木马程序。

四、实验结果与分析1. 实验成功连接冰河木马服务器，并成功控制计算机B。

2. 通过实验，了解到冰河木马的基本原理和功能，以及远程控制的方法。

3. 提高网络安全意识，认识到网络安全的重要性。

五、实验总结1. 本次实验成功实现了冰河木马的安装、配置、连接和控制，达到了实验目的。

2. 通过实验，掌握了冰河木马的基本原理和功能，以及网络安全防护方法。

3. 在实验过程中，注意到了网络安全的重要性，提高了自己的网络安全意识。

4. 在以后的学习和工作中，将继续关注网络安全问题，提高自己的网络安全防护能力。

六、实验建议1. 在进行类似实验时，应选择安全、合法的实验环境，确保实验过程中不会对他人造成损失。

《信息安全》实验报告（5）实验名称：________________ 指导教师：___________ 完成日期：________________专 业：________________ 班 级：___________ 姓 名：________________ 一、实验目的：了解常见的网络攻击的概念和类型；了解木马攻击的原理，了解常见的木马类型，掌握防范木马攻击的方法；了解利用木马实施攻击的方法。

二、实验内容：1、利用“冰河”或其他类型的木马实施攻击。

（该实验需要2名同学合作完成）。

2、验证电脑安全防护软件在防范木马攻击中的作用。

三、实验过程：(实现步骤等)1. 首先在要被攻击电脑上运行G_SERVER.EXE 冰河木马服务端（前提是360安全杀毒软件暂未运行）；2. 然后再攻击端运行G_CLIENT.EXE 冰河木马客户端，运行如下图：木马攻击 于泳海 2014-12-3 信息管理与信息系统11级信本班 贾文丽3.添加被攻击端的IP地址，进行攻击，可对被攻击端进行，数据操作拷贝、删除，以及对屏幕进行操作等；1)添加被攻击者IP：2)查看、拷贝和删除被攻击者数据：3)对屏幕控制，可控制输入等操作：4.当被攻击者开启杀毒软件后，无法进行控制，木马将会被查杀。

四、实验结果与结论：在做木马攻击与被攻击实验，可以看出，在没有安装或运行杀毒软件时，攻击是轻而易举的，且对被攻击者电脑操作有很多，被攻击者电脑使用有时还会出现无法使用或不正常状态，例如输入文字时可能出现未按大写键，却出现输入大写字母而不是文字的情况。

从上述实验中可以了解到木马的作用在于以潜伏隐藏的手段，接收到发起攻击的客户端，服务端（被攻击端）就会相应操作，达到数据获取，破坏用户的正常使用等。

五、实验总结：（实验中遇到的问题及解决方法，心得体会等）通过对本节课程的学习，使我们了解了常见的网络攻击的概念和类型，知道了木马攻击的原理和常见的木马类型，掌握了防范木马攻击的方法并学会了利用木马实施攻击的方法。