冰河木马的使用

甘肃政法学院本科学生实验报告实验课程：安全扫描技术实验名称：冰河木马的入侵和防御计算机科学学院计算机科学与技术专业09 级计算科学与技术本科班学号：_姓名：_____ __指导教师：____李启南_成绩：_____________完成时间：2011年9月21日一、实验名称冰河木马的入侵和防御二、实验目的通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机，植入木马程序，控制远程主机。

通过入侵实验理解和账务木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

三、实验内容安装、卸载、使用冰河木马。

四、实验原理冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，它可以自动启动并在某一端口监听来自控制端的控制信息。

一般木马都采用C/S运行模式，即分为两部分：客户端和服务端木马程序。

当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端秘密提出连接请求，获取服务器端的相关信息。

五、实验平台冰河ROSE 版。

两台装有Windows 2000/XP/7系统的计算机，机房局域网。

六、实验步骤1、在服务器端计算机上运行冰河服务器程序G_Server.exe。

2. 连接登陆远程主机。

在另一台计算机上打开冰河木马程序客户端，如图1所示。

图1 冰河木马程序客户端选择“文件—>搜索计算机”，如图2所示设置起始域，起始地址和终止地址，监听端口、延迟选择默认值。

图2搜索计算机搜索结果如图2所示，在219.246.153.30和219.246.153.5前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

特别提示1．实验报告首页是封面，在实验报告封面上要正确写上课程名称“计算机信息安全”、班级、学号、姓名等。

2．实验报告内容包括：（1）实验目的与要求；（2）实验环境；（3）实验内容与实验步骤；（4）实验心得（可以是心得体会、难点讨论、意见建议等）。

3．实验内容提前预习，充分准备，注意实验说明。

4．实验时要及时记录实验过程中所碰到问题和解决方法，并写到实验报告上。

5．写实验报告时，除“实验目的与要求”外，“实验环境”要和当前实验室的实验环境相同，实验内容应该是在实验室所做实验的具体内容，做什么就写什么，请不要照抄实验指导中的“实验内容与步骤”，实验指导中的“实验内容与步骤”只是一个形式化的范例。

6.实验报告可纸质提交，也可在网络课堂上提交电子版。

实验二冰河远程控制软件使用一、实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法，加深对木马的安全防范意识。

二、实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）三、实验说明学生可以相互组合，将对方的计算机作为被监控端，自己的计算机作为监控端，将“冰河”的所有功能都试做一下。

学生做实验的同时将实验过程及时记录到实验报告上或记录到一个Word文档中，课后再完善实验报告。

实验过程用文字和屏幕截图描述。

开设该实验是为了了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法，不能用来故意实施网络攻击。

四、实验内容与步骤注意：实验时先关闭防火墙和杀毒软件的自动防护功能。

双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1-图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

“冰河”木马的攻击与防范林楚金班级(YL03) 0930103238前言随着网络的日益发展，通过网络攻击的手段也变得复杂多样，有组织，有预谋，有目的的攻击，破坏活动也频繁的发生，攻击点也越来越精确集中，攻击破坏的影响面不断扩大，甚至产生连锁反应，所以，我们必须要构筑一种主动的安全防御，才有可能最大限度地有效应对各种不同的攻击方式。

接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。

在此之前，先简单的介绍一下什么是特洛伊木马……目录一、什么是木马 (3)二、“冰河”木马的简介 (6)三、“冰河”木马工作原理 (7)四、“冰河”木马工作过程或步骤流程 (8)五、“冰河”木马功能或后果 (17)六、“冰河”木马防范手段与措施 (18)什么是木马1、木马的基础特洛伊木马(TrojanHorse)简称“木马”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。

在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

在计算机领域中，木马其实就是类恶意程序。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，病毒是一自我复制为明确目的的编写代码，它附着宿主程序，然后试图在计算机之间传播，会对硬件、软件和信息造成破坏。

而“木马”不会自我繁殖，也不会刻意的去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被施种者电脑的门户，使施种者可以任意损坏、窃取被施种者的文件，甚至远程控制被施种者的电脑。

“木马”与常用的远程控制软件不同，远程控制软件是善意的控制，不具有隐蔽性；“木马”正好相反，它是以“偷窃”为目的的远程控制，具有很强的隐蔽性。

一个完整的“木马”程序包括“服务器”和“控制器”两部分。

被施种者的电脑是“服务器”部分，而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。

实验八木马攻击实验一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、手动删除冰河木马，修改注册表和文件关联。

三、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

四、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有两个文件：G_Client.exe，以及G_Server.exe。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe 后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

1、入侵目标主机：首先运行G_Client.exe，扫描主机。

查找IP地址：在“起始域”编辑框中输入要查找的IP地址，本实验搜索IP地址“219.219.68.***”网段的计算机，点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

搜索框内有显示状态为ERR的主机，是因为这些主机上没有种马，即没有安装服务器。

2、在命令控制台中操作：口令类命令：系统命令及口令历史口令击键记录控制类命令：抓捕屏幕发送信息进程管理窗口管理系统控制鼠标控制其他控制网络类命令：网络信息---查看共享文件类命令：文件复制注册表读写：键值读取设置类命令：服务器端配置读取服务器配置修改服务器配置删除“冰河”木马的方法：A．客户端的自动卸载功能，在“控制命令类”中的“系统控制”里面就有自动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。

冰河木马的使用LT
（一）、解压冰河木马，得到两个文件，其中G_Server.exe为服务器端程序，放在被攻击的主机上，g_client.exe为客户端软件，用于操作目标主机：
（二）、在目标主机放置G_Server.exe后，打开g_client.exe程序，主界面如下图：
（三）、查看本机所在网段：
（四）、在冰河主程序中点击“文件-自动搜索”，打开如下界面：
（五）、在“起始域”中输入本机所在网段，点击“开始搜索”：
(六)、搜索完毕，结果如下：
（七）、选择一台目标主机，向其D盘放置一个文件名为“冰河实验用”的txt文件：
（八）、在目标主机打开D盘，查看是否拷贝成功：
（九）、选择一个目标主机，点击“文件-屏幕控制”，成功控制：。

实验报告从上图可以瞧出,搜索结果中,每个IP前都就是ERR。

地址前面的“ERR:”表示这台计算机无法控制。

所以,为了能够控制该计算机,我们就必须要让其感染冰河木马。

1、远程连接使用Dos命令: net use \\ip\ipc$如下图所示:2、磁盘映射。

本实验:将目标主机的C:盘映射为本地主机上的X:盘如下图所示首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。

此时,在目标主机的Dos界面下,使用at命令,可瞧到:下图为设定时间到达之前(即G_Server、exe执行之前)的注册表信息,可以瞧到在注册表下的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run,其默认值并无任何值。

当目标主机的系统时间到达设定时间之后,G_Server、exe程序自动启动,且无任何提示。

从上图可以瞧到,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默认值发生了改变。

变成了:C:\\WINDOWS\\SYSTEM\\Kernel32、exe这就说明冰河木马安装成功,拥有G_Client、exe的计算机都可以对此计算机进行控制了。

此时,再次使用G_Client、exe搜索计算机,可得结果如下图所示:从搜索结果可以瞧到,我们刚安装了冰河木马的计算机(其IP:10、1、13、214)的IP地址前变成了“OK:”,而不就是之前的“ERR:”。

下面对该计算机进行连接控制:上图显示,连接失败了,为什么呢？其实原因很简单,冰河木马就是访问口令的,且不同版本的访问口令不尽相同,本实验中,我们使用的就是冰河V2、2版,其访问口令就是05181977,当我们在访问口令一栏输入该口令(或者右击“文件管理器”中的该IP,“修改口令”),并点击应用,即可连接成功。

连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。