实验八木马攻击实验.docx

实验八木马攻击实验.docx

《实验八木马攻击实验.docx》由会员分享，可在线阅读，更多相关《实验八木马攻击实验.docx（23页珍藏版）》请在冰豆网上搜索。

实验八木马攻击实验

实验八木马攻击实验

一、实验目的

通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容

1、在计算机A上运行冰河木马客户端，学习其常用功能；

2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；

3、手动删除冰河木马，修改注册表和文件关联。

三、实验要求

1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；

2、了解冰河木马的主要功能；

3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；

4、总结手动删除冰河木马的过程。

四、实验过程

作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有两个文件：

G_Client.exe，以及G_Server.exe。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

1、入侵目标主机：

首先运行G_Client.exe，扫描主机。

查找IP地址：

在“起始域”编辑框中输入要查找的IP地址，本实验搜索IP地址“219.219.68.***”网段的计算机，点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

搜索框内有显示状态为ERR的主机，是因为这些主机上没有种马，即没有安装服务器。

2、在命令控制台中操作：

口令类命令：

系统命令及口令

历史口令

击键记录

控制类命令：

抓捕屏幕

发送信息

进程管理

窗口管理

系统控制

鼠标控制

其他控制

网络类命令：

网络信息---查看共享

文件类命令：

文件复制

注册表读写：

键值读取

设置类命令：

服务器端配置

读取服务器配置

修改服务器配置

删除“冰河”木马的方法：

A．客户端的自动卸载功能，在“控制命令类”中的“系统控制”里面就有自动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。

B．手动卸载，查看注册表，打开windows注册编辑器。

✧打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

如图16。

在目录中发现了一个默认的键值C:

\WINNT\System32\kernel32.exe，这就是“冰河”木马在注册表中加入的键值，将它删除。

✧打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\Runse

rvices。

在目录中也发现了一个默认的键值C:

\WINNT\System32\kernel32.exe，这也是“冰河”在注册表中加入的键值，将它删除。

上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自启动的程序，一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些目录下的程序。

✧然后再进入C:

\WINNT\System32目录，找到“冰河”的两个可执行文件Kernel32.exe和Sysexplr.exe文件，将它们删除。

✧html，exe，zip，com等都是木马的目标。

所以，最后还需要恢复注册表中的txt文件关联功能，只要将注册表中的HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，改为C:

\Windows\notpad.exe%1，即可。

这样，再次重启计算机我们就完全删除了“冰河”木马。

五、实验过程

冰河木马功能强大，操作方便，的确是XP时代的经典之一；但是，由于系统的更新换代，没有持续更新的冰河木马在新系统中的使用也碰到了种种问题对用户权限的严格管理：

到了win7时代，windows系统对权限的管理变得十分严格，XP时代的很多操作都会因为权限不足而被拒绝：

若没有正确密码是无法进行入侵的；而且，新加入的用户账户控制也使得冰河在安装注册时无法做到静默安装，过早暴露自身。

由于未持续更新，特征码被录入，冰河很容易被安全软件发现并清除；其常用的动作也容易被监控，如使用的7626端口易被监控；修改系统关键部位的操作也会被拦截；试图登录入侵的连接会被防火墙拦截等。

总之，系统安全的斗争是在快速发展中的，哪一边若没能跟上时代的脚步都会被淘汰，了解对方的特性、行动与弱点，就能在对抗上获得优势。

通过本实验，利用Windows的IPC$漏洞，向目标主机中植入冰河木马，从而实现对目标主机的控制，能够进一步了解木马植入的原理与方法。