浅析冰河木马

论冰河木马的攻防目录1.内容摘要2.绪论3病毒与木马区别与联系4.木马的清除与防范5.冰河木马的实现原理6.冰河木马的远程控制7.冰河木马的攻击原理与过程8.冰河木马的防范9.总结1.摘要：病毒和木马是现代计算机网络的主要威胁，其中木马病毒是最主要的威胁，为了保障计算机网络安全，要对计算机病毒要有所了解。

黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。

在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。

在日本《新黑客词典》中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。

他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。

”由这些定义中，我们还看不出太贬义的意味。

他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。

“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。

计算机病毒是一个程序，一段可执行码。

就像生物病毒一样，计算机病毒有独特的复制能力。

计算机病毒可以很快地蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上。

当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。

当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。

若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能2.绪论随着计算机科学技术的迅速发展和广泛应用，计算机系统的安全问题已成为人们十分关注的重要课题。

对计算机系统的威胁和攻击主要有两类：一类是对计算机系统实体的威胁和攻击；一类是对信息的威胁和攻击。

计算机犯罪和计算机病毒则包含了对实体和信息两个方面的威胁和攻击。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

实验一冰河木马1．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

2．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

3．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

4．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1 —图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

冰河木马的入侵一、实验目的通过使用冰河木马软件在局域网中扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理冰河木马是用C++Builder写的，冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe 在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件a)工具：木马程序：冰河ROSE 版b)实验平台：WINDOWS XP，两台电脑在同一局域网中。

实验步骤1.双击冰河木马.rar文件，将其进行解压，冰河木马共有两个应用程序，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

2.打开冰河界面,2.点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，弹出所示的服务器配置对话框。

打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，搜索结果，在192.168.1.101和192.168.1.103前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

分析一个恶意代码样本：冰河木马分析该软件主要用于远程监控，具体功能包括:1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7．发送信息：以四种常用图标向被控端发送简短信息；8．点对点通讯：以聊天室形式同被控端进行在线交谈。

1.程序实现:在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):（1）服务端:G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)G_Server.Listen(等待连接)（2）客户端:G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)G_Client.RemotePort=7626(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)G_Client.Connect (调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)G_Server.Accept requestIDEnd Sub客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口Private Sub G_Server_Close()G_Server.Close (关闭连接)G_Server.Listen (再次监听)End Sub其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令...... （3）控制对冰河的主要功能进行简单的概述,主要是使用Windows API函数1.远程监控(控制对方鼠标、键盘，并监视对方屏幕)keybd_event 模拟一个键盘动作mouse_event 模拟一次鼠标事件mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

路由器命令router> 用户模式1：进入特权模式 enablerouter > enablerouter #2：进入全局配置模式 configure terminalrouter > enablerouter #configure terminalrouter (conf)#3：交换机命名 hostname routera 以routerA为例router > enablerouter #configure terminalrouter(conf)#hostname routerAroutera (conf)#4：配置使能口令 enable password cisco 以cisco为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# enable password cisco5：配置使能密码 enable secret ciscolab 以cicsolab为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# enable secret ciscolab6：进入路由器某一端口 interface fastehernet 0/17 以17端口为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# interface fastehernet 0/17routerA (conf-if)#进入路由器的某一子端口 interface fastethernet 0/17.1 以17端口的1子端口为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# interface fastehernet 0/17.17：设置端口ip地址信息router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA(conf)# interface fastehernet 0/17 以17端口为例routerA (conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码routerA (conf-if)#no shut 是配置处于运行中routerA (conf-if)#exit8：查看命令 showrouter > enablerouter # show version 察看系统中的所有版本信息show interface vlan 1 查看交换机有关ip 协议的配置信息show running-configure 查看交换机当前起作用的配置信息show interface fastethernet 0/1 察看交换机1接口具体配置和统计信息show mac-address-table 查看mac地址表show mac-address-table aging-time 查看mac地址表自动老化时间show controllers serial + 编号查看串口类型show ip router 查看路由器的路由表9：cdp相关命令router > enablerouter # show cdp 查看设备的cdp全局配置信息show cdp interface fastethernet 0/17 查看17端口的cdp配置信息show cdp traffic 查看有关cdp包的统计信息show cdp nerghbors 列出与设备相连的cisco设备10：csico2600的密码恢复重新启动路由器，在启动过程中按下win+break键，使路由器进入rom monitor在提示符下输入命令修改配置寄存器的值，然后重新启动路由器remmon1>confreg 0x2142remmon2>reset重新启动路由器后进入setup模式，选择“no”，退回到exec模式，此时路由器原有的配置仍然保存在startup-config 中，为使路由器恢复密码后配置不变把startup-config中配置保存到running-config中，然后重新设置enable密码，并把配置寄存器改回0x2102：router>enablerouter#copy startup-config running-configrouter#configure terminalrouter(conf)#enable password ciscorouter(conf)#config-register 0x2102保存当前配置到startup-config , 重新启动路由器。

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全防护能力，本实验旨在通过模拟冰河木马攻击，了解其攻击原理、传播途径以及防护措施。

实验过程中，我们将使用虚拟机环境，模拟真实网络环境下的木马攻击，并采取相应的防护措施。

二、实验目的1. 了解冰河木马的攻击原理和传播途径。

2. 掌握网络安全防护的基本方法，提高网络安全意识。

3. 熟悉网络安全工具的使用，为实际网络安全工作打下基础。

三、实验环境1. 操作系统：Windows 10、Linux Ubuntu2. 虚拟机软件：VMware Workstation3. 木马程序：冰河木马4. 网络安全工具：杀毒软件、防火墙四、实验步骤1. 搭建实验环境（1）在VMware Workstation中创建两个虚拟机，分别为攻击机和被攻击机。

（2）攻击机安装Windows 10操作系统，被攻击机安装Linux Ubuntu操作系统。

（3）在攻击机上下载冰河木马程序，包括GClient.exe和GServer.exe。

2. 模拟冰河木马攻击（1）在攻击机上运行GClient.exe，连接到被攻击机的GServer.exe。

（2）通过GClient.exe，获取被攻击机的远程桌面控制权，查看被攻击机的文件、运行进程等信息。

（3）尝试在被攻击机上执行恶意操作，如修改系统设置、删除文件等。

3. 检测与防护（1）在被攻击机上安装杀毒软件，对系统进行全盘扫描，查杀木马病毒。

（2）关闭被攻击机的远程桌面服务，防止木马再次连接。

（3）设置防火墙规则，阻止不明来源的连接请求。

4. 修复与恢复（1）对被攻击机进行系统备份，以防数据丢失。

（2）修复被木马破坏的系统设置和文件。

（3）重新安装必要的软件，确保系统正常运行。

五、实验结果与分析1. 攻击成功通过实验，我们成功模拟了冰河木马攻击过程，攻击机成功获取了被攻击机的远程桌面控制权，并尝试执行恶意操作。

2. 防护措施有效在采取防护措施后，成功阻止了木马再次连接，并修复了被破坏的系统设置和文件。