冰河木马的攻击和防御
冰河木马入侵和防护报告-Read
冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机,植入木马程序,控制远程主机,然后在客户端查杀木马,进行防护。
通过入侵实验理解和掌握木马的传播和运行机制,动手查杀木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理IPC$是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理和查看计算机。
利用20CN IPC 扫描器可以发现网络上的IPC$漏洞,并往远程主机植入木马。
冰河木马程序属于第二代木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制。
三、实验条件工具扫描端口工具:20CN IPC扫描器木马程序:冰河ROSE 版实验平台WINDOWS XP,机房局域网。
四、实验步骤实验分两步,入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器(见图1)图-1 20CN 扫描器设置扫描的IP 开始和结束地址(见图2)图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机,设置步进为1,逐个扫描主机,线程数默认64,线程间延默认50(标号见1)。
选择要植入的木马程序,我们选择冰河木马(见标号2)。
扫描过程显示每个IP 的扫描结果(见标号3)。
扫描完成后会自动植入有IPC$漏洞的主机,接下来就可以控制了。
2 1 32、连接登陆远程主机打开冰河木马程序客户端,选择文件—>搜索计算机,设置起始域,起始地址和终止地址,我们进行如下设置,监听端口、延迟选择默认值,(见图3)21图-3 冰河木马程序客户端搜索结果(见标号2),在192.168.3.28和192.168.3.29前面是OK表示可以连接,其他主机都是ERR表示不能建立连接。
或者点击 文件—>添加计算机,输入扫描并已植入木马的远程主机IP(见标号1),访问口令为空,监听端口默认7626。
浅析冰河木马
“冰河”木马的攻击与防范林楚金班级(YL03) 0930103238前言随着网络的日益发展,通过网络攻击的手段也变得复杂多样,有组织,有预谋,有目的的攻击,破坏活动也频繁的发生,攻击点也越来越精确集中,攻击破坏的影响面不断扩大,甚至产生连锁反应,所以,我们必须要构筑一种主动的安全防御,才有可能最大限度地有效应对各种不同的攻击方式。
接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。
在此之前,先简单的介绍一下什么是特洛伊木马……目录一、什么是木马 (3)二、“冰河”木马的简介 (6)三、“冰河”木马工作原理 (7)四、“冰河”木马工作过程或步骤流程 (8)五、“冰河”木马功能或后果 (17)六、“冰河”木马防范手段与措施 (18)什么是木马1、木马的基础特洛伊木马(TrojanHorse)简称“木马”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。
在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。
在计算机领域中,木马其实就是类恶意程序。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,病毒是一自我复制为明确目的的编写代码,它附着宿主程序,然后试图在计算机之间传播,会对硬件、软件和信息造成破坏。
而“木马”不会自我繁殖,也不会刻意的去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被施种者电脑的门户,使施种者可以任意损坏、窃取被施种者的文件,甚至远程控制被施种者的电脑。
“木马”与常用的远程控制软件不同,远程控制软件是善意的控制,不具有隐蔽性;“木马”正好相反,它是以“偷窃”为目的的远程控制,具有很强的隐蔽性。
一个完整的“木马”程序包括“服务器”和“控制器”两部分。
被施种者的电脑是“服务器”部分,而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。
实验八-木马攻击实验
实验八木马攻击实验一、实验目的通过学习冰河木马远程控制软件的使用,熟悉使用木马进行网络攻击的原理和方法。
二、实验内容1、在计算机A上运行冰河木马客户端,学习其常用功能;2、在局域网内另一台计算机B上种入冰河木马(服务器),用计算机A控制计算机B;3、手动删除冰河木马,修改注册表和文件关联。
三、实验要求1、合理使用冰河木马,禁止恶意入侵他人电脑和网络;2、了解冰河木马的主要功能;3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法;4、总结手动删除冰河木马的过程。
四、实验过程作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。
鉴于此,我们就选用冰河完成本次实验。
若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。
冰河控制工具中有两个文件:G_Client.exe,以及G_Server.exe。
G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器。
G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。
运行G_Server.exe 后,该服务端程序直接进入内存,并把感染机的7626端口开放。
而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。
1、入侵目标主机:首先运行G_Client.exe,扫描主机。
查找IP地址:在“起始域”编辑框中输入要查找的IP地址,本实验搜索IP地址“219.219.68.***”网段的计算机,点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。
搜索框内有显示状态为ERR的主机,是因为这些主机上没有种马,即没有安装服务器。
2、在命令控制台中操作:口令类命令:系统命令及口令历史口令击键记录控制类命令:抓捕屏幕发送信息进程管理窗口管理系统控制鼠标控制其他控制网络类命令:网络信息---查看共享文件类命令:文件复制注册表读写:键值读取设置类命令:服务器端配置读取服务器配置修改服务器配置删除“冰河”木马的方法:A.客户端的自动卸载功能,在“控制命令类”中的“系统控制”里面就有自动卸载功能,执行这个功能,远程主机上的木马就自动卸载了。
冰蝎马原理
冰蝎马原理冰蝎马原理是近年来比较流行的一种黑客攻击手段,可以用于植入恶意代码、窃取敏感信息等违法行为。
而了解冰蝎马原理可以让大家更好地防范和对抗黑客攻击,本文将从步骤、原理等方面进行阐述。
步骤一:破解攻击目标的密码冰蝎马的攻击方式有着相对固定的套路,在攻击一个目标之前,需要先进行密码破解。
这一步骤需要黑客运用多种破解密码的工具和技术,例如:暴力破解、字典攻击等。
在此步骤中,如果密码被正确猜测到,黑客就能成功登录攻击目标的系统。
步骤二:植入冰蝎马一旦黑客登录了攻击目标的系统,接下来就是要植入冰蝎马。
黑客首先会将恶意代码上传至目标服务器,然后通过一些方法执行该代码。
如果一切进行顺利,冰蝎马就成功地植入了目标系统。
步骤三:控制目标系统在冰蝎马植入目标系统之后,黑客需要打开冰蝎马的控制端口,然后即可控制目标系统。
黑客可以通过冰蝎马的控制端口监视目标系统的所有操作,获取一切所需的信息。
同时,黑客还可以通过此端口向目标系统发送指令,例如:窃取信息、上传文件等。
冰蝎马原理主要基于系统中远程控制协议的漏洞所进行的攻击,漏洞主要存在于网络协议的实现中。
在Windows操作系统内部,远程控制协议是指RDP和SMB协议,而在Unix操作系统中,则是指SSH协议。
黑客利用这些协议中的漏洞,实现对目标系统的控制和操作。
需要注意的是,在防范这种类型的攻击时,我们需要将防范措施集中在两个方面:一是提高账号密码的安全性,避免被破解;二是加强系统的安全性,减少系统漏洞的数量,提高黑客攻击的难度。
总之,冰蝎马原理是一种危害性较高的黑客攻击手段,但是了解冰蝎马原理可以更好地帮助我们加强对相应安全风险的防范和应对,阻止黑客攻击,保护个人信息和机构安全。
木马攻击实训报告
木马攻击实训报告
班级:___10网络(1)____ 姓名:_许曾丽娜_______ 一、冰河木马工作原理
二、冰河木马工作过程
1、配置木马:
(1)木马伪装:冰河木马如何进行自我伪装?
(2)信息反馈:你配置冰河木马通过哪个端口进行连接?
2、传播木马:木马主要的传播方式?
3、启动木马:冰河木马可以通过哪几种方式实现启动?
4、建立连接:冰河木马建立连接的两个条件?
5、___远程控制______?:在此阶段你可以获取哪些信息?[附上截图]
三、冰河木马的检测与清除
1、查看任务管理器,发现冰河木马有什么明显的表现形式?[附上截图]
2、在任务管理器中关掉冰河木马进程,然后打开任何一个记事本文件,出现何种结果?为
什么会这样?
3、查看端口信息,发现有何异常?[附上截图]
4、查看系统启动选项,及注册表启动选项,发现有何异常?[附上截图]
四、冰河木马与灰鸽子木马的区别。
冰河木马攻击实验报告(3篇)
第1篇一、实验背景随着互联网技术的飞速发展,网络安全问题日益突出。
为了提高网络安全防护能力,本实验旨在通过模拟冰河木马攻击,了解其攻击原理、传播途径以及防护措施。
实验过程中,我们将使用虚拟机环境,模拟真实网络环境下的木马攻击,并采取相应的防护措施。
二、实验目的1. 了解冰河木马的攻击原理和传播途径。
2. 掌握网络安全防护的基本方法,提高网络安全意识。
3. 熟悉网络安全工具的使用,为实际网络安全工作打下基础。
三、实验环境1. 操作系统:Windows 10、Linux Ubuntu2. 虚拟机软件:VMware Workstation3. 木马程序:冰河木马4. 网络安全工具:杀毒软件、防火墙四、实验步骤1. 搭建实验环境(1)在VMware Workstation中创建两个虚拟机,分别为攻击机和被攻击机。
(2)攻击机安装Windows 10操作系统,被攻击机安装Linux Ubuntu操作系统。
(3)在攻击机上下载冰河木马程序,包括GClient.exe和GServer.exe。
2. 模拟冰河木马攻击(1)在攻击机上运行GClient.exe,连接到被攻击机的GServer.exe。
(2)通过GClient.exe,获取被攻击机的远程桌面控制权,查看被攻击机的文件、运行进程等信息。
(3)尝试在被攻击机上执行恶意操作,如修改系统设置、删除文件等。
3. 检测与防护(1)在被攻击机上安装杀毒软件,对系统进行全盘扫描,查杀木马病毒。
(2)关闭被攻击机的远程桌面服务,防止木马再次连接。
(3)设置防火墙规则,阻止不明来源的连接请求。
4. 修复与恢复(1)对被攻击机进行系统备份,以防数据丢失。
(2)修复被木马破坏的系统设置和文件。
(3)重新安装必要的软件,确保系统正常运行。
五、实验结果与分析1. 攻击成功通过实验,我们成功模拟了冰河木马攻击过程,攻击机成功获取了被攻击机的远程桌面控制权,并尝试执行恶意操作。
2. 防护措施有效在采取防护措施后,成功阻止了木马再次连接,并修复了被破坏的系统设置和文件。
11-冰河木马的演示解析
希望不是你。你下载看看吧! http://192.168.1.1/G_server.exe
- 10 -
陌生的邮件不要点
下载软件从正规网站下载
3、客户端(G-client操作)--连接并控制:
- 11 -
三、分角色操作演示:
成员甲(客户端,控制者) 192.168.1.1 第1步:配置服务器端程序。 第2步:将服务器端程序共享给成员 乙。
作为一名网络安全人 员,应该如何避免这 样的事情发生?
- 2 -
(11)本节任务目标和内容
任务目标:
了解:木马的定义; 熟悉: 木马传播与运行的工作原理;
掌握:冰河木马的攻击过程。
任务内容:
冰河木马实际攻击演示操作,掌握冰河木马的攻
击原理,为防范冰河木马的学习作准备。
- 3 -
一、认识木马
计算机网络安全技术与管理
项目4 计算机病毒及防治
任务4:冰河木马的演示 P110
- 1 -
任务4:冰河木马的演示 P110
项目背景
在现实生活中,如果有第三只眼睛在黑暗中默默注视 着你的一举一动,相信这是件非常让你恐怖的事情, 在使用网络中也一样,如果有人通过远程记录了你所 制端
通过端口进行通信
被控制端
- 5 -
一、认识木马
(2)工作过程 P92
木马伪装 配置木马 信息反馈 传播木马
启动木马 建立连接
远程控制
- 6 -
6
二、冰河木马的演示
冰河木马的组成:
P110
服务端
G_SERVER.EXE 被控制端
客户端
G_CLIENT.EXE 控制端
- 7 -
1、配置“冰河”木马的服务器端程序
2.3网络安全攻防
Page 11/36
步骤二,防范方法: (1)学生B的主机速度明显变慢,为了删除“冰河”木马,可以选择用杀毒软件的方式或是手动删 除的方式,这里我们采用手动删除的方式。 (2)在“开始”的“运行”里面输入regedit,打开Windows注册表编辑器。依次打开子键目录 HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除默认键值 C:\WINNT\System32\kernel32.exe。 (3)进入C:\WINNT\System32目录,找到“冰河”木马的两个可执行文件Kernel32.exe和 Sysexplr.exe文件删除。 (4)“冰河”木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序,需要恢复txt文件 关联功能,将注册表的 HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的 C:\Windows\System\Sysexplr.exe%1改为 C:\Windows\notepad.exe%1。 (5)学生A尝试再次用木马控制段连接学生B主机,观察结果 (6)互换角色,重做实验。
Page 7/36
单击“命令控制台”按钮,冰河的核心部分就在这里,点击“口令类命令”选择“系 统信息及口令”项,点击“系统信息与口令”,得到下图所示的信息。
Page 8/36
命令控制台主要命令: 1. 口令类命令: 系统信息及口令、历史口令、击键记录; 2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、 其它控制(如'锁定注册表'等); 3. 网络类命令: 创建共享、删除共享、查看网络信息; 4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、 删除、打开(对于可执行文件则相当于创建进程); 5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名; 6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全项目实战报告2012年5月9日目录目录论文摘要 (2)一、网络现状分析 ............................................................ 错误!未定义书签。
二、木马病毒的危害........................................................... 错误!未定义书签。
三、冰河木马的具体功能…………………………………………………………………………四、模拟实验过程 .............................................................. 错误!未定义书签。
4.1环境配置 (4)4.2实验过程 (5)4.3删除冰河木马程序文件.......................................... 错误!未定义书签。
五、冰河木马的防御 (17)六、结论 (20)论文摘要“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。
“计算机病毒”有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。
在《中华人民共和国计算机信息系统安全保护条例》中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
随着当今社会的发展和科技的日益进步,网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出.具体表现为:计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节;网络政治颠覆活动频繁.因此,黑客软件显得更是火热。
在众多黑客软件中“灰鸽子”无疑是其中的佼佼者.冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。
但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词,在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。
一、网络现状分析近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。
据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。
而全球平均每20秒钟就发生一起Internet计算机侵入事件。
在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。
在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。
而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。
他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。
不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。
使得针对计算机信息系统的犯罪活动日益增多。
从人为(黑客)角度来看,常见的计算机网络安全威胁主要有:信息泄露、完整性破坏、拒绝服务、网络滥用。
信息泄露:信息泄露破坏了系统的保密性,他是指信息被透漏给非授权的实体。
常见的,能够导致信息泄露的威胁有:网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。
完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒,木马,漏洞来等方式实现。
网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
常见的计算机网络络安全威胁的表现形式主要有:窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。
窃听:攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。
重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。
积极侵犯者的破坏作用最大。
拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
行为否认:通讯实体否认已经发生的行为。
电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。
传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
当然,除了人为因素,网络安全还在很大部分上由网络内部的原因或者安全机制或者安全工具本身的局限性所决定,他们主要表现在:每一种安全机制都有一定的应用范围和应用环境、安全工具的使用受到人为因素的影响、系统的后门是传统安全工具难于考虑到的地方、只要是程序,就可能存在BUG。
而这一系列的缺陷,更加给想要进行攻击的人以方便。
因此,网络安全问题可以说是由人所引起的。
三、木马带来的危害1、盗取我们的网游账号,威胁我们的虚拟财产的安全。
木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息,威胁我们的真实财产的安全。
木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。
3、利用即时通讯软件盗取我们的身份,传播木马病毒。
中了此类木马病毒后,可能导致我们的经济损失。
在中了木马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。
如恶作剧等。
4、给我们的电脑打开后门,使我们的电脑可能被黑客控制。
5获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。
不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。
使得针对计算机信息系统的犯罪活动日益增多。
6黑客和反黑客、破坏和反破坏的斗争愈演愈烈,不仅仅影响了网络的稳定运行和用户的正常使用,造成了重大经济损失,而且还可能威胁到国家安全.四、冰河木马的具体功能1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);2.记录各种口令信息:包括开机口令,屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;7.发送信息:以四种常用图标向被控端发送简短信息;8.点对点通讯:以聊天室形式同被控端进行在线交谈。
从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。
虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。
一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。
Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。
即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次产生Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因四、实验模拟过程(一)环境配置冰河木马是远程控制管理软件,为了达到实验目的,我们小组建立四台虚拟机作为实验机器,具体情况如下表所示:我们首先分别把四台虚拟机的IP 设置为192.168.1.4、192.168.1.3、192.168.1.5、192.168。
1.6其中用IP为192.168.1.4电脑作为控制端来配置服务端,其他三台虚拟机分别作为被控制电脑;在控制端电脑192.168.1.4上通过冰河木马软件对其他虚拟机进行远程控制和管理(包括文件上传、下载、屏幕捕捉、远程命令等操作)。
(二)实验过程我们把实验过程规划为*步骤,分别是:下面我们对实验步骤进行简要描述1冰河木马共有两个应用程序,,其中G-Server.exe是服务器程序,属于木马受控端程序,种木马时,我们需将该程序放入到受控端的计算机中,然后双击该程序即可;Y-Clint是木马的客户端程序,属木马的主控端程序2 现在我们在受控端计算机中双击G-Server.exe图标,将木马种入受控端计算机中,表面上好像没有任何事情发生我们再打开受控端计算机的C:\WINNT\System32文件夹,这时我们可以找到sysexplr.exe文件。
3 我们在主控端计算机中,双击Y_Client.exe图标,打开木马的客户端程序(主控程序)。
击【应用】5 点击【设置】->【配置服务器程序】菜单选项对服务器进行配置,弹出服务器配置对话框。
6在服务器配置对话框中对待配置文件进行设置,点击待配置文件该按钮,找到服务器程序文件G-Server.exe;再在访问口令框中输入05181977,然后点击【确定】,就对服务器已经配置完毕,关闭对话框。
7再采用自动搜索的方式添加受控端计算机,方法是点击【文件】->【自动搜索】,打开自动搜索对话框。
8搜索结束时,我们发现在搜索结果栏中IP地址旁状态为OK,表示搜索到IP地址的计算机已经中了冰河木马,且系统自动将该计算机添加到主控程序中。
9将受控端计算机添加后,我们可以浏览受控端计算机中的文件系统10我们还可以对受控端计算机中的文件进行复制与粘贴操作11我们可以在主控端计算机上观看受控端计算机的屏幕,这时在屏幕的左上角有一个窗口,该窗口中的图像即受控端计算机的屏幕我们将左上角的窗口全屏显示12我们可以通过屏幕来对受控端计算机进行控制.执行删除操作创建目录操作执行创建一个文本文档操作发起信使通信之后,受控端也可以向主控端发送消息了4.3删除冰河木马程序文件1、删除C:Windowssystem 下的Kernel32.exe 和Sysexplr.exe 文件。