实验4冰河木马实验.docx
《实验4冰河木马实验.docx》由会员分享,可在线阅读,更多相关《实验4冰河木马实验.docx(20页珍藏版)》请在冰豆网上搜索。
实验4冰河木马实验
实验4-冰河木马实验
1.
警示
实验报告如有雷同,雷同各方当次实验成绩均以0分计。
2.在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。
本班序号
姓名
实验4冰河木马实验
【实验原理】
作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。
若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。
冰河控制工具中有二个文件:
G_Client.exe,以及G_Server.exe。
G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器。
G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。
运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。
而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。
冰河木马的主要功能:
(1)自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。
(2)记录各种口令信息:
包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。
(3)获取系统信息:
包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。
(4)限制系统功能:
包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
(5)远程文件操作:
包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。
(6)注册表操作:
包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
(7)发送信息:
以四种常用图标向被控端发送简短信息。
(8)点对点通讯:
以聊天室形式同被控端进行在线交谈等。
【实验步骤】
一、攻击
1、入侵目标主机
首先运行G_Client.exe,扫描主机。
查找IP地址:
在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“192.168.1.1”至“192.168.1.255”网段的计算机,应将“起始域”设为“192.168.1”,将“起始地址”和“终止地址”分别设为“1”和“255”,然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。
从上图可以看出,搜索结果中,每个IP前都是ERR。
地址前面的“ERR:
”表示这台计算机无法控制。
所以,为了能够控制该计算机,必须要让其感染冰河木马。
1、远程连接
使用Dos命令:
netuse\\ip\ipc$
如下图所示:
2、磁盘映射。
本实验:
将目标主机的C:
盘映射为本地主机上的X:
盘
如下图所示
3、将本地主机上的G_Server.exe拷贝到目标主机的磁盘中,并使其自动运行。
如下图所示:
上图中,目标主机的C盘中没有G_Server.exe程序存在。
此时,目标主机的C盘中已存在冰河的G_Server.exe程序,使用Dos命令添加启动事件,如下图所示:
首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。
此时,在目标主机的Dos界面下,使用at命令,可看到:
下图为设定时间到达之前(即G_Server.exe执行之前)的注册表信息,可以看到在注册表下的:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,其默认值并无任何值。
当目标主机的系统时间到达设定时间之后,G_Server.exe程序自动启动,且无任何提示。
从上图可以看到,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的默认值发生了改变。
变成了:
C:
\\WINDOWS\\SYSTEM\\Kernel32.exe
这就说明冰河木马安装成功,拥有G_Client.exe的计算机都可以对此计算机进行控制了。
此时,再次使用G_Client.exe搜索计算机,可得结果如下图所示:
从搜索结果可以看到,我们刚安装了冰河木马的计算机(其IP:
192.168.1.112)的IP地址前变成了“OK:
”,而不是之前的“ERR:
”。
下面对该计算机进行连接控制:
上图显示,连接失败了。
其实原因很简单,冰河木马是访问口令的,且不同版本的访问口令不尽相同,本实验中,我们使用的是冰河V2.2版,其访问口令是05181977,当在访问口令一栏输入该口令(或者右击“文件管理器”中的该IP,“修改口令”),并点击应用,即可连接成功。
连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。
比如说:
1、屏幕控制。
图像格式有BMP和JEPG两个选项,建议选JEPG格式,因为它比较小,便于网络传输。
“图像色深”第一格为单色,第二格为16色,第三格为256色,依此类推。
“图像品质”主要反应的是图像的清晰度。
按“确定”按钮后便出现远程计算机的当前屏幕内容。
设置相关属性
上图为查看到的远程屏幕,远程屏幕如下图所示
2、弹窗、发送消息
“发送信息”主要是让操作者选择合适的“图标类型”和“按钮类型”,然后在“信息正文”里写上要发送的信息,按“预览”觉得满意后点“发送”即可。
3、进程控制
“进程管理”是“查看进程”,了解远程计算机正在使用的进程,便于控制。
4、修改服务器配置
5、冰河信使
以上是一些常用的控制命令,不过,冰河的强大功能当然远远不尽于此,在此就不一一实现了。
各类控制命令如下图所示:
二、防范与清除冰河
当冰河的G_SErver.exe这个服务端程序在计算机上运行时,它不会有任何提示,而是在windows/system下建立应用程序“kernel32.exe”和“Sysexplr.exe”。
若试图手工删除,“Sysexplr.exe”可以删除,但是删除“kernel32.exe”时提示“无法删除kernel32.exe:
指定文件正在被windows使用”,按下“Ctrl+Alt+Del”时也不可能找到“kernel32.exe”,先不管它,重新启动系统,一查找,“Sysexplr.exe”一定会又出来的。
可以在纯DOS模式下手工删除掉这两个文件。
再次重新启动,你猜发生了什么?
再也进不去Windows系统了。
重装系统后,再次运行G_Server.exe这个服务端程序,在“开始”→“运行”中输入“regedit”打开注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面发现@="C:
\\WINDOWS\\SYSTEM\\Kernel32.exe"的存在,说明它是每次启动自动执行的。
下图为卸载冰河木马前的注册表信息:
卸载清除:
1、攻击你的主机良心发现,远程把你机器上的冰河木马卸载掉。
步骤如下图:
2、自己动手,丰衣足食。
步骤如下:
下图为清除冰河木马之后的注册表信息:
【实验体会】
(包括问题和解决方法、心得体会、应用网络安全原理对实验中的现象与问题进行解释等)
冰河木马功能强大,操作方便,的确是XP时代的经典之一;
但是,由于系统的更新换代,没有持续更新的冰河木马在新系统中的使用也碰到了种种问题:
1.对用户权限的严格管理:
到了win7时代,windows系统对权限的管理变得十分严格,XP时代的很多操作都会因为权限不足而被拒绝:
像第一步的$IPC共享入侵,若没有正确密码是无法进行操作的;而且,新加入的用户账户控制(UAC)也使得冰河在安装注册时无法做到静默安装,过早暴露自身;更改注册表等修改系统关键部位的操作更是会被报告;
2.许多设置的改变:
Win7时代中$IPC共享大部分已被取消(系统优化软件),通过IPC入侵系统变得困难;注册表的键位与功能发生变化等
3.现代安全软件的防御:
由于未持续更新,特征码被录入,冰河很容易被安全软件发现并清除;其常用的动作也容易被监控,如使用的7626端口易被监控;修改系统关键部位的操作也会被拦截;试图登录入侵的连接会被防火墙拦截等;
基于以上几点,旧版的冰河在新系统中的生存能力较弱,用户可以通过了解冰河的具体行为来进行针对性的检测与清除:
如检测注册表键值等系统关键部位;监听特定端口;加强用户口令的强度;打开UAC等操作。
但与此同时,冰河木马也在由许多爱好者改进更新中,许多的特性会发生改变,新系统中的不足与缺陷也会被填补;甚至会因新系统的新漏洞而发展出更强大的功能和特性;
总之,系统安全的斗争是在快速发展中的,哪一边若没能跟上时代的脚步都会被淘汰,了解对方的特性、行动与弱点,就能在对抗上获得优势。
【上传实验作业】
ftp:
//222.200.180.109(用户名:
seclab口令:
)
文件名命名规则:
序号_姓名_实验名.doc
如序号为1的同学蔡华,本次的文件名为:
1_蔡华_FTP实验.doc
最后上传时间:
2015-12-20日24:
00。
升级会员 