冰河木马实验报告1.docx

上传人:b****6 文档编号:8372970 上传时间:2023-01-30 格式:DOCX 页数:20 大小:3.19MB
下载 相关 举报
冰河木马实验报告1.docx_第1页
第1页 / 共20页
冰河木马实验报告1.docx_第2页
第2页 / 共20页
冰河木马实验报告1.docx_第3页
第3页 / 共20页
冰河木马实验报告1.docx_第4页
第4页 / 共20页
冰河木马实验报告1.docx_第5页
第5页 / 共20页
点击查看更多>>
下载资源
资源描述

冰河木马实验报告1.docx

《冰河木马实验报告1.docx》由会员分享,可在线阅读,更多相关《冰河木马实验报告1.docx(20页珍藏版)》请在冰豆网上搜索。

冰河木马实验报告1.docx

冰河木马实验报告1

实验报告

实验名称

网络攻防综合实验

指导教师

实验类型

设计

实验学时

8

实验时间

一、实验目的

1.本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。

设计的实验中要包括以下几个方面内容:

(1)构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击;

(2)利用网络安全工具或设备对入侵与攻击进行检测;

(3)能有效的对漏洞进行修补,提高系统的安全性,避免同种攻击的威胁。

2网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面,对学生的综合实验能力进行考核与评分,具体评分标准参考“评分标准”文档。

二、实验要求

1.2人一组,要求每人分工不同,例如一人负责网络攻击,一个负责网络防范。

在实验过程和实验报告中要体现两人的不同分工。

2.每组独立设计完成实验,不能雷同。

3.实验过程中以下三个阶段需上机演示给指导老师察看:

完成网络攻击、检测到攻击、完成网络防范。

4.完成实验报告,能解释在实验使用到的技术或工具的基本原理。

三、实验环境

可以自由使用信息安全实验室的PC机,局域网,Linux服务器,Windows服务器,防火墙,入侵检测系统等。

四、实验设计方案、实验过程及实验结果

作为一款流行的远程控制工具,在面世的初期,冰河就曾经以其简单的操作方法和强大的控制力令人胆寒,可以说达到了谈冰色变的地步。

鉴于此,我们就选用冰河完成本次实验。

若要使用冰河进行攻击,则冰河的安装(是目标主机感染冰河)是首先必须要做的。

冰河控制工具中有三个文件:

Readme.txt,G_Client.exe,以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。

运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。

而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。

冰河木马的使用:

1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。

2、记录各种口令信息:

包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

3、获取系统信息:

包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

4、限制系统功能:

包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

5、远程文件操作:

包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。

6、注册表操作:

包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

7、发送信息:

以四种常用图标向被控端发送简短信息。

8、点对点通讯:

以聊天室形式同被控端进行在线交谈等。

实验过程:

一、攻击

1、入侵目标主机

首先运行G_Client.exe,扫描主机。

查找IP地址:

在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“192.168.1.1”至“192.168.1.255”网段的计算机,应将“起始域”设为“192.168.1”,将“起始地址”和“终止地址”分别设为“1”和“255”(由于我们是在宿舍做的,IP地址在100~120之间),然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。

从上图可以看出,搜索结果中,每个IP前都是ERR。

地址前面的“ERR:

”表示这台计算机无法控制。

所以,为了能够控制该计算机,我们就必须要让其感染冰河木马。

1、远程连接

使用Dos命令:

netuse\\ip\ipc$

如下图所示:

2、磁盘映射。

本实验:

将目标主机的C:

盘映射为本地主机上的X:

如下图所示

3、将本地主机上的G_Server.exe拷贝到目标主机的磁盘中,并使其自动运行。

如下图所示:

上图中,目标主机的C盘中没有G_Server.exe程序存在。

此时,目标主机的C盘中已存在冰河的G_Server.exe程序,使用Dos命令添加启动事件,如下图所示:

首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。

 

此时,在目标主机的Dos界面下,使用at命令,可看到:

下图为设定时间到达之前(即G_Server.exe执行之前)的注册表信息,可以看到在注册表下的:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,其默认值并无任何值。

 

当目标主机的系统时间到达设定时间之后,G_Server.exe程序自动启动,且无任何提示。

从上图可以看到,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的默认值发生了改变。

变成了:

C:

\\WINDOWS\\SYSTEM\\Kernel32.exe

这就说明冰河木马安装成功,拥有G_Client.exe的计算机都可以对此计算机进行控制了。

此时,再次使用G_Client.exe搜索计算机,可得结果如下图所示:

从搜索结果可以看到,我们刚安装了冰河木马的计算机(其IP:

192.168.1.112)的IP地址前变成了“OK:

”,而不是之前的“ERR:

”。

 

下面对该计算机进行连接控制:

上图显示,连接失败了,为什么呢?

其实原因很简单,冰河木马是访问口令的,且不同版本的访问口令不尽相同,本实验中,我们使用的是冰河V2.2版,其访问口令是05181977,当我们在访问口令一栏输入该口令(或者右击“文件管理器”中的该IP,“修改口令”),并点击应用,即可连接成功。

连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

比如说:

1、屏幕控制。

图像格式有BMP和JEPG两个选项,建议你选JEPG格式,因为它比较小,便于网络传输。

“图像色深”第一格为单色,第二格为16色,第三格为256色,依此类推。

“图像品质”主要反应的是图像的清晰度。

按“确定”按钮后便出现远程计算机的当前屏幕内容。

设置相关属性

上图为查看到的远程屏幕,远程屏幕如下图所示

 

2、弹窗、发送消息

“发送信息”主要是让操作者选择合适的“图标类型”和“按钮类型”,然后在“信息正文”里写上要发送的信息,按“预览”觉得满意后点“发送”即可。

3、进程控制

“进程管理”是“查看进程”,了解远程计算机正在使用的进程,便于控制。

 

4、修改服务器配置

 

5、冰河信使

 

以上是一些常用的控制命令,不过,冰河的强大功能当然远远不尽于此,在此就不一一实现了。

各类控制命令如下图所示:

二、防范与清除冰河

当冰河的G_SErver.exe这个服务端程序在计算机上运行时,它不会有任何提示,而是在windows/system下建立应用程序“kernel32.exe”和“Sysexplr.exe”。

若试图手工删除,“Sysexplr.exe”可以删除,但是删除“kernel32.exe”时提示“无法删除kernel32.exe:

指定文件正在被windows使用”,按下“Ctrl+Alt+Del”时也不可能找到“kernel32.exe”,先不管它,重新启动系统,一查找,“Sysexplr.exe”一定会又出来的。

可以在纯DOS模式下手工删除掉这两个文件。

再次重新启动,你猜发生了什么?

再也进不去Windows系统了。

重装系统后,再次运行G_Server.exe这个服务端程序,在“开始”→“运行”中输入“regedit”打开注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面发现@="C:

\\WINDOWS\\SYSTEM\\Kernel32.exe"的存在,说明它是每次启动自动执行的。

下图为卸载冰河木马前的注册表信息:

卸载清除:

1、攻击你的主机良心发现,远程把你机器上的冰河木马卸载掉。

步骤如下图:

2、自己动手,丰衣足食。

步骤如下:

 

 

下图为清除冰河木马之后的注册表信息:

 

五、实验小结(包括问题和解决方法、心得体会、应用网络安全原理对实验中的现象与问题进行解释等)

对于计算机木马的概念,我们都还局限在很窄的层面,通过对冰河木马的学习并使用它完成本次实验,认识到木马是怎样侵入到我们的计算机并获得所需要的信息的。

本次实验,我们是利用IPC$漏洞进行攻击的。

不过,事实上,仅仅使用IPC$漏洞扫描器并不太容易找到存在漏洞可供植入病毒的主机,通过其他途径(下载运行隐藏病毒文件)更容易使远程主机中木马病毒。

对木马病毒的防护建议:

1、及时下载系统补丁,修补系统漏洞。

2、提高防范意识,不要打开陌生人的可以邮件和附件,其中可能隐藏病毒。

3、如果电脑出现无故重启、桌面异常、速度变慢等情况,注意检查是否已中病毒。

4、使用杀毒软件和防火墙,配置好运行规则。

 

五、指导教师评语

成绩

批阅人

日期

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 初中教育 > 学科竞赛

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1