实验四:木马攻击与防范
实验4-冰河木马实验
实验4-冰河木马实验实验报告如有雷同,雷同各方当次实验成绩均以0分计。
2. 在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。
实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。
若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。
冰河控制工具中有二个文件:G_Client.exe ,以及G_Server.exe 。
G_Client.exe 是监控端执行程序,可以用于监控远程计算机和配置服务器。
G_Server.exe 是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何本班序号 姓名警示提示)。
运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。
而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。
冰河木马的主要功能:(1)自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。
(2)记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。
(3)获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。
(4)限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
(5)远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。
(6)注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
(7)发送信息:以四种常用图标向被控端发送简短信息。
网络攻击的实验报告
一、实验背景随着信息技术的飞速发展,网络已经成为人们工作和生活中不可或缺的一部分。
然而,随之而来的网络安全问题也日益凸显。
为了提高对网络攻击的认识和防御能力,我们进行了本次网络攻击实验。
通过模拟网络攻击的过程,了解攻击者的攻击手段,以及防御网络攻击的方法。
二、实验目的1. 理解网络攻击的基本原理和常用手段。
2. 掌握网络安全防御的基本策略和工具。
3. 提高网络安全意识和自我保护能力。
三、实验环境1. 操作系统:Windows 102. 网络设备:路由器、交换机、PC机3. 软件环境:Wireshark、Nmap、Metasploit等网络安全工具四、实验步骤1. 信息收集利用Nmap扫描目标主机,获取目标主机的开放端口、操作系统等信息。
通过Wireshark抓取目标主机与网络之间的数据包,分析其网络流量。
2. 漏洞扫描利用Nmap对目标主机进行漏洞扫描,找出目标主机存在的安全漏洞。
3. 攻击模拟根据漏洞扫描结果,选择合适的攻击手段对目标主机进行攻击。
以下列举几种常见的网络攻击手段:(1)端口扫描攻击:通过扫描目标主机的开放端口,获取目标主机上的服务信息。
(2)拒绝服务攻击(DoS):通过大量请求占用目标主机资源,使目标主机无法正常响应。
(3)密码破解攻击:通过暴力破解、字典攻击等方法获取目标主机的登录凭证。
(4)木马攻击:通过植入木马程序,控制目标主机,获取敏感信息。
4. 攻击防御针对攻击模拟过程中发现的安全漏洞,采取相应的防御措施,如:(1)关闭不必要的开放端口,减少攻击面。
(2)更新操作系统和应用程序,修复已知漏洞。
(3)设置强密码,提高登录凭证的安全性。
(4)安装防火墙、入侵检测系统等安全设备,及时发现和阻止攻击。
五、实验结果与分析1. 通过信息收集,我们发现目标主机存在多个开放端口,其中包含Web服务、邮件服务、数据库服务等。
2. 漏洞扫描结果显示,目标主机存在多个安全漏洞,如:Web服务漏洞、数据库服务漏洞等。
木马攻击与防范
贵州大信息安全原理与技术实验报告学院:计算机学院专业:信息安全班级:信息121g)关闭所有磁盘的自动播放功能,避免带毒优盘,移动硬盘的感染h)经常去相关安全网站了解新出的木马,做到有所预防。
2.修改系统设置a)把windows\system(32)\mshta.exe文件改名,将windows\command\debug.exe 和windows\command\ftp.exe都改名或者删除b)注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\ActiveX Compatibility\下为Active Setup controls创建一个基于CLISID的新键值{6E44963_11CF_AAFA_00AA00 B6015C},然后在新值下创建一个REG_DWORD类型的键值Compatibility{0x00000400}3.把个人防火墙设置好安全等级,防止位置程序向外传送数据;选择安全性较高的浏览器和电子邮件客户端软件;使用IE时,安装卡卡安全助手,防止恶意网站在自己计算机上安装不明软件和浏览器插件,以免被木马侵入。
4.“DLL木马”:dll文件是不能单独执行的,它需要一个Loder(一般为exe文件),该木马可以直接注入Loder中。
“DLL木马”防御方法:用户经常查看系统启动项(Loder)中有无多出莫名的项目,或在进程中找陌生的dll。
(国外的防火墙软件tiny、SSM等对dll文件加载时附加提醒)实验仪器安装windows 2003 sever的两台电脑(虚拟机中完成)木马程序:网络公牛、冰河、灰鸽子实验步骤及实验内容一、网络公牛控制端:1.首先运行peep.exe,打开菜单"配置服务器",找到peepserver.exe打开,填写你的IP通知设置及捆绑运行与否.(与服务器端连接后也可动态设置)2.运行buildserver.exe,会在本目录下自动产生一个newserver.exe文件(大约213K).3.将newserver.exe文件 e_mail给服务端服务端IP:服务器端运行后会自动捆绑以下文件:notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exeNT/2000:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑) 以上文件还会捆绑在开机时自动运行的第三方软件上(如:realplay.exe等) 控制端:与服务端连接上,控制服务端用往服务端发送信息,服务端:删除netbull1.删除中的2.删除注册表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下的键值:删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run二、冰河冰河的服务器端为G_Server.exe,控制端为G_Client.exe 1.G_Server.exe运行后,控制端添加主机,建立连接:进行控制:a)查看被控端文件:b)新建文件夹:你好在被控端找到新建的文件夹:你好c)实验冰河信使与被控端聊天控制对方屏幕:3.服务器端删除冰河冰河的kernel程序将cpu占尽:(1)Kernel32.exe在系统重启后自动加载,Sysexplr.exe和TXT关联文件,即使删除Kernel32.exe,只要打开TXT文件,Sysexplr.exe就会被激活,再次生成Kernel32.exe。
《信息安全》实验报告5 木马攻击
《信息安全》实验报告(5)实验名称:________________ 指导教师:___________ 完成日期:________________专 业:________________ 班 级:___________ 姓 名:________________ 一、实验目的:了解常见的网络攻击的概念和类型;了解木马攻击的原理,了解常见的木马类型,掌握防范木马攻击的方法;了解利用木马实施攻击的方法。
二、实验内容:1、利用“冰河”或其他类型的木马实施攻击。
(该实验需要2名同学合作完成)。
2、验证电脑安全防护软件在防范木马攻击中的作用。
三、实验过程:(实现步骤等)1. 首先在要被攻击电脑上运行G_SERVER.EXE 冰河木马服务端(前提是360安全杀毒软件暂未运行);2. 然后再攻击端运行G_CLIENT.EXE 冰河木马客户端,运行如下图:木马攻击 于泳海 2014-12-3 信息管理与信息系统11级信本班 贾文丽3.添加被攻击端的IP地址,进行攻击,可对被攻击端进行,数据操作拷贝、删除,以及对屏幕进行操作等;1)添加被攻击者IP:2)查看、拷贝和删除被攻击者数据:3)对屏幕控制,可控制输入等操作:4.当被攻击者开启杀毒软件后,无法进行控制,木马将会被查杀。
四、实验结果与结论:在做木马攻击与被攻击实验,可以看出,在没有安装或运行杀毒软件时,攻击是轻而易举的,且对被攻击者电脑操作有很多,被攻击者电脑使用有时还会出现无法使用或不正常状态,例如输入文字时可能出现未按大写键,却出现输入大写字母而不是文字的情况。
从上述实验中可以了解到木马的作用在于以潜伏隐藏的手段,接收到发起攻击的客户端,服务端(被攻击端)就会相应操作,达到数据获取,破坏用户的正常使用等。
五、实验总结:(实验中遇到的问题及解决方法,心得体会等)通过对本节课程的学习,使我们了解了常见的网络攻击的概念和类型,知道了木马攻击的原理和常见的木马类型,掌握了防范木马攻击的方法并学会了利用木马实施攻击的方法。
冰河木马攻击实验报告(3篇)
第1篇一、实验背景随着互联网技术的飞速发展,网络安全问题日益突出。
为了提高网络安全防护能力,本实验旨在通过模拟冰河木马攻击,了解其攻击原理、传播途径以及防护措施。
实验过程中,我们将使用虚拟机环境,模拟真实网络环境下的木马攻击,并采取相应的防护措施。
二、实验目的1. 了解冰河木马的攻击原理和传播途径。
2. 掌握网络安全防护的基本方法,提高网络安全意识。
3. 熟悉网络安全工具的使用,为实际网络安全工作打下基础。
三、实验环境1. 操作系统:Windows 10、Linux Ubuntu2. 虚拟机软件:VMware Workstation3. 木马程序:冰河木马4. 网络安全工具:杀毒软件、防火墙四、实验步骤1. 搭建实验环境(1)在VMware Workstation中创建两个虚拟机,分别为攻击机和被攻击机。
(2)攻击机安装Windows 10操作系统,被攻击机安装Linux Ubuntu操作系统。
(3)在攻击机上下载冰河木马程序,包括GClient.exe和GServer.exe。
2. 模拟冰河木马攻击(1)在攻击机上运行GClient.exe,连接到被攻击机的GServer.exe。
(2)通过GClient.exe,获取被攻击机的远程桌面控制权,查看被攻击机的文件、运行进程等信息。
(3)尝试在被攻击机上执行恶意操作,如修改系统设置、删除文件等。
3. 检测与防护(1)在被攻击机上安装杀毒软件,对系统进行全盘扫描,查杀木马病毒。
(2)关闭被攻击机的远程桌面服务,防止木马再次连接。
(3)设置防火墙规则,阻止不明来源的连接请求。
4. 修复与恢复(1)对被攻击机进行系统备份,以防数据丢失。
(2)修复被木马破坏的系统设置和文件。
(3)重新安装必要的软件,确保系统正常运行。
五、实验结果与分析1. 攻击成功通过实验,我们成功模拟了冰河木马攻击过程,攻击机成功获取了被攻击机的远程桌面控制权,并尝试执行恶意操作。
2. 防护措施有效在采取防护措施后,成功阻止了木马再次连接,并修复了被破坏的系统设置和文件。
实验4-木马及病毒攻击与防范65页
三. 实验环境
三. 实验环境
两台运行windows 2000/XP/2019的计算机, 通过网络连接。通过配置“灰鸽子”木马, 了解木马工作原理并实现对木马的检测和查 杀。
11
四. 实验内容
四. 实验内容
1.灰鸽子介绍
灰鸽子是国内近年来危害非常严重的一种木马程 序。
12
四. 实验内容
4.配置服务端:在使用木马前配置好,一般不改变, 选择默认值。 细节注意如下:监听端口7626可更换(范围 在1024~32768之间);关联可更改为与EXE文件 关联(就是无论运行什么exe文件,冰河就开始 加载;还有关键的邮件通知设置:如下图!
33
冰河操作(9)
4.配置服务端:
34
冰河操作(10)
第五代木马在隐藏方面比第四代木马又进行了进 一步提升,它普遍采用了rootkit技术,通过 rootkit技术实现木马运行
5
二. 实验原理
二. 实验原理
4.木马的连接方式
一般木马都采用C/S运行模式,它分为两部分, 即客户端和服务器端木马程序。黑客安装木马的 客户端,同时诱骗用户安装木马的服务器端。
RootKit技术
RootKit是一种隐藏技术,它使得恶意程序可以逃避操 作系统标准诊断程序的查找。
9
二. 实验原理
二. 实验原理
6.木马的检测
木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再新, 也会在操作系统中留下痕迹。如果能够对系统中 的文件、注册表做全面的监控,可以实现发现和 清除各种木马的目的。
其生日号。2.2版本后均非黄鑫制作。
21
端口扫描工具
工具下载:远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5
南京邮电大学 木马攻防实验报告
网络安全实验 木马攻击与防范 年 12 月 日
实验时间 2013 指导单位 指导教师
学生姓名 学院(系)
班级学号 专 业
实 验 报 告
实验名称 实验类型
木马攻击与防范
设计 实验学时 8
指导教师 实验时间
一、 实验目的
1. 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括 以下几个方面内容: (1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击; (2) 利用网络安全工具或设备对入侵与攻击进行检测; (3) 能有效的对漏洞进行修补,提高系统的安全性,避免同种攻击的威胁。 2 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木
1
使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马 的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控 制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、 移动、复制、删除文件,修改注册表,更改计算机配置等。 一个完整的冰河木马套装程序含了两部分:服务端(服务器部分)和客户端(控制 器部分) 。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。 运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开 端口, 向指定地点发送数据 (如网络游戏的密码, 即时通信软件密码和用户上网密码等) , 黑客甚至可以利用这些打开的端口进入电脑系统。冰河木马程序不能自动操作,一个冰 河木马程序是包含或者安装一个存心不良的程序的,它可能看起来是有用或者有趣的计 划(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被运行。冰河木马不 会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文 档程序时, 冰河木马才会运行, 信息或文档才会被破坏和遗失。 冰河木马和后门不一样, 后门指隐藏在程序中的秘密功能, 通常是程序设计者为了能在日后随意进入系统而设置 的。 二、 过程与步骤及结果 一.攻击前的准备 首先解压冰河木马程序包,里面有四个文件,如图:
《木马攻击与防范》课件
# 木马攻击与防范
什么是木马
木马的定义
木马是一种隐藏在正常程序中的恶意软件,通过伪装成合法程序的方式进行潜入和传播。
木马的特点与分类
木马具有隐蔽性和破坏性,常见的木马分类有远程控制木马、数据窃取木马和勒索软件。
木马攻击的方式
1 邮件附件
攻击者通过发送带有木马程序的邮件附件,诱使接收者点击打开,从而实现木马的植入。
2 网络文件下载
攻击者通过欺骗用户下载文件,藉此实施木马的传播和感染。
3 假冒安全软件
攻击者通过制作伪装成安全软件的木马程序,骗取用户下载并安装,实际上是木马的植 入。
木马的危害
1 窃取个人信息
2 控制系统操作
木马可以监控用户的操作、 窃取敏感信息,如账号密 码、银行卡信息以及个人 隐私。
木马常被用来远程控制受 感染的系统,攻击者可以 在背后操控、控制文件操 作,损坏系统或进行非法 活动。
3 加密文件勒索
某些木马会将用户文件加 密,然后勒索用Байду номын сангаас支付赎 金才能解密文件,给用户 带来严重的财产损失。
木马的防范
1 常用安全软件
安装可信赖的安全软件,如杀毒软件、防火 墙和恶意软件清理工具,定期更新并全面扫 描。
3 注意邮件和下载来源
谨慎打开未知发件人的邮件附件,只从可靠 的官方或信任的网站下载文件。
3 系统重装
在严重受感染的情况下, 重新格式化硬盘并重新安 装操作系统。
总结
1 木马的危害与防范
了解木马的危害,采取有 效的安全防范措施以保护 个人信息和系统安全。
2 提高安全意识
加强用户教育和培训,提 高对木马的识别和防范能 力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
10计科罗国民 201030457115网络安全与维护实验报告实验四:木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验要求通过实验了解木马攻击的原理,了解如何防范木马的入侵。
三、实验原理及内容木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1、木马的特性木马程序为了实现某特殊功能,一般应该具有以下性质:(1)伪装性: 程序把自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2、木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,如微软的IIS 服务存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权县,然后在被攻的服务器上安装并运行木马。
3、木马的种类(1)按照木马的发展历程,可以分为四个阶段:第一代木马是伪装型病毒,将病毒伪装成一合法的程序让用户运行。
第二代木马是网络传播型木马,它具备伪装和传播两种功能,可以近些年歌迷马窃取、远程控制。
第三代木马在连接方式上有了改进,利用率端口反弹技术。
第四代木马在进程隐藏方面作了较大改动,让木马服务器运行时没有进程,网络操作插入到系统进程或者应用进程完成。
(2)按照功能分类,木马可以分为: 破坏型木马,主要功能是破坏删除文件;密码发送型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文件;DOS攻击型木马,它可以作为被黑客控制的肉鸡实施DOS攻击;代理型木马,它作为黑客发起攻击的跳板;远程控制型木马,可以使攻击者利用客户端软件完全控制。
4、木马的工作原理下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。
(1)木马的传统连接技术一般木马都采用C/S运行模式,因此它分为两部分,即客户端和服务器端木马程序。
其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端的木马程序就会自动运行,来应答客户端的请求,从而建立连接。
第一代和第二代木马都采用的是C/S连接方式,都属于客户端主动连接方式。
服务器端的远程主机开放监听端口等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。
(2)木马的反弹端口技术随着防火墙技术的发展,它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。
但防火墙对内部发起的连接请求则认为是正常连接,第三代和第四代“反弹式”木马就是利用这个缺点,其服务器端程序主动放弃对外连接请求,再通过某些方式连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求,而客户端是被动的连接。
根据客户端IP地址是静态的还是动态的,反弹式端口连接可以有两种方式。
反弹端口连接方式一要求入侵者在设置服务器端的时候,指明客户端的IP 地址和待连接端口,也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。
所以这种方式只适用于客户端IP地址是静态的情况。
反弹端口连接方式二在连接建立过程中,入侵者利用一个“代理服务器”保存客户端的IP地址和待连接端口,在客户端的IP地址是动态的情况下,只要入侵者更新“代理服务”中存放的IP地址预端口号,远程被入侵主机就可以通过先连接到“代理服务器”。
查询最新木马客户端信息,再和入侵者(客户端)进行连接。
因此,这种连接方式适用于客户端和服务器端都是动态IP地址的情况,况且还可以穿透更加严密的防火墙。
表6-1总结了反弹端口连接方式一和连接方式二的适用范围。
反弹端口连接方式使用范围方式一1.客户端和服务器端都是独立IP。
2.客户端独立IP,服务器端在局域网内。
3.客户端和服务器端都在同一局域网内。
表6-1 反弹端口连接方式及其使用范围(3) 线程插入技术一个应用程序在运行之后,都会在系统中产生一个进程,同时每个进程分别对应另一个不同的进程标识符(PID )。
系统会分配一个虚拟的内存空间地址端给这个进程,一切相关的程序操作,都会在这个虚拟的空间进行。
一个进程可以对应一个或多个线程,线程之间可以同步执行。
一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。
“线程插入”技术就是利用了线程之间运行的相对独立性,使木马完全的融进了系统的内核。
这种技术把木马程序作为一个线程,把自身插入其他应用程序的地址空间。
而这个被插入的应用程序对系统来说,是一个正常的程序,这样就达到了彻底隐藏的效果。
系统运行时会有许多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。
1. 实验软硬件环境两台运行Windows 2000/XP 的计算机,通过网络连接。
使用“冰河”木马作为联系工具。
2. 实验步骤和方法1、使用“冰河”对远程计算机进行控制“冰河”一般由两个文件组成:G_Client 和G_Server 。
其中G_Server 是木马的服务器端,即用来植入目标主机的程序,G_Client 是木马的客户端,就是木马的控制端。
打开控制端G_Client,弹出“冰河”的主界面,熟悉快捷工具栏。
2、在一台目标主机上植入木马并在此主机上运行G_Sere\ver ,作为服务器端;在另一台主机上运行G_Client.作为控制端。
打开控制端程序,单击“添加主机”按钮。
弹出如图2-1所示的对话框:图2-1 添加计算机“显示名称”:填入显示在主界面的名称。
“主机地址”:填入服务器端主机的IP 地址。
“访问口令”:填入每次访问主机的密码,“空”即可。
“监听端口”:“冰河”默认监听端口是7626,控制端可以修改它以绕过防火墙。
单击“确定”可以看到主机面上添加了test 的主机,如图2-2,就表明连接成功。
方式二1. 客户端和服务器端都是独立IP 。
2. 客户端独立IP ,服务器端在局域网内。
表明连接成功图2-2 添加test主机单击test主机名,如果连接成功,则会显示服务器端主机上的盘符。
这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。
“冰河”大部分功能都是在“命令控制台”实现的,单击“命令控制台”弹出命令控制界面,如图2-3所示:图2-3 命令控制台界面展开命令控制台,分为“口令类命令”、“注册表读表”、“设置类命令”。
(1)口令命令类:①“系统信息及口令“:可以查看远程主机的系统信息、开机口令、缓存口令等。
②“历史口令”:可以查看远程主机以往使用的口令。
③“击键记录”:启动键盘记录以后,可以记录远程主机用户击键记录,以此可以分析出远程主机的各种帐号和口令或各种秘密信息。
(2)控制类命令捕获屏幕”:这个功能可以使控制端使用者查看远程主机的屏幕,好像远程主机就在自己面前一样,这样更有利于窃取各种信息。
单击“查看屏幕”,弹出远程主机界面。
①“发送信息”:这个功能可以使你向远程计算机发送Windows标准的各种信息。
②“进程管理”:这个功能可以使控制者查看远程主机上所有的进程。
③“窗口管理”:这个功能可以使远程主机上的窗口进行刷新、最大化、最小化、激活、隐藏等操作。
④“系统管理”:该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。
⑤“其他控制”:该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、注册表锁定等操作。
(3)网络类命令:①“创建共享”:在远程主机上创建自己的共享。
②“删除共享”:在远程主机上删除某个特定的共享。
③“网络信息”:查看远程主机上的共享信息,单击“查看共享”可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。
⑷文件类命令:展开文件类命令、文件浏览、文件查找、文件压缩、文件删除、文件打开等菜单可以查看、查找、压缩、删除、打开远程主机上的某个文件。
目录增删、目录复制、主键增删、主键复制的功能。
⑸注册表读写:提供了键值读取,键值写入,键值重命名、主键浏览、主键删除、主键复制的功能。
⑹设置类命令:提供了更换墙纸、更改计算机名、服务器端配置的功能。
3、删除冰河木马删除冰河木马主要有以下几种方法:①客户端的自动卸载功能,而实际情况中木马客户端不可能为木马服务器自动卸载木马。
②手动卸载:查看注册表,在“开始”中运行regedit,打开Windows注册表编辑器。
依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CruuentVersion\run.在目录中发现一个默认的键值:C:\WINNT\System32\kernel32.exe,这个就是冰河木马在注册表中加入的键值,将它删除。
然后依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind-ows\CurrentVersion\Runservices,在目录中也发现一个默认键值:C:\WINNT\System32\kernel32.exe,这个也是冰河木马在注册表中加入的键值,删除。
进入C:\WINNT\System32目录,找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe,删除。
修改文件关联时木马常用的手段,冰河木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序,此外html、exe、zip、com等都是木马的目标。
所以还需要恢复注册表中的txt文件关联功能。