• 實驗目的

1. 本次實驗為考核實驗，需要獨立設計完成一次網絡攻防的綜合實驗。設計的實驗中要包括以下幾個方面內容：

(1) 構建一個具有漏洞的服務器，利用漏洞對服務器進行入侵或攻擊；

(2) 利用網絡安全工具或設備對入侵與攻擊進行檢測；

(3) 能有效的對漏洞進行修補，提高系統的安全性，避免同種攻擊的威脅。

2． 網絡攻防綜合實驗將從實驗設計、實驗過程、實驗結果、實驗報告幾個方面，對學生的綜合實驗能力進行鍛煉。

【注意事項】

1.本木馬程序用于實驗目的，面向實驗演示，側重于演示和說明病毒的內在原理，破壞功能有限。在測試病毒程序前，需先關閉殺毒軟件的自動防護功能或直接關閉殺毒軟件。

2.若在個人電腦上實驗，最好在虛擬機中運行。

3.測試完畢后，請注意病毒程序的清除，以免誤操作破壞計算機上的其他程序。

4.請勿傳播該木馬。傳播該病毒造成有用數據丟失、電腦故障甚至觸犯法律等后果，由傳播者負責。

• 實驗要求

兩個Windows系統 、linux系統、vmware等

Readme.txt簡單介紹冰河的使用。G_Client.exe是監控端執行程序，可以用于監控遠程計算機和配置服務器。G_Server.exe是被監控端后臺監控程序（運行一次即自動安裝，開機自啟動，可任意改名，運行時無任何提示）。運行G_Server.exe后，該服務端程序直接進入內存，并把感染機的7626端口開放。而使用冰河客戶端軟件（G_Client.exe）的計算機可以對感染機進行遠程控制。

冰河木馬的使用：

自動跟蹤目標機屏幕變化，同時可以完全模擬鍵盤及鼠標輸入，即在同步被控端屏幕變化的同時，監控端的一切鍵盤及鼠標操作將反映在被控端屏幕（局域網適用）。

記錄各種口令信息：包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現的口令信息。

獲取系統信息：包括計算機名、注冊公司、當前用戶、系統路徑、操作系統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統數據。

限制系統功能：包括遠程關機、遠程重啟計算機、鎖定鼠標、鎖定系統熱鍵及鎖定注冊表等多項功能限制。

遠程文件操作：包括創建、上傳、下載、復制、傷處文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（正常方式、最小化、最大化、隱藏方式）等多項文件操作功能。

注冊表操作：包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作功能。

發送信息：以四種常用圖標向被控端發送簡短信息。

點對點通訊：以聊天室形式同被控端進行在線交談等。

四、實驗步驟

一、攻擊

入侵目標主機

首先運行G_Client.exe，掃描主機。

查找IP地址：在“起始域”編輯框中輸入要查找的IP地址，例如欲搜索IP地址“10.1.13.1”至“10.1.13..255”網段的計算機，應將“起始域”設為“192.168.6”，將“起始地址”和“終止地址”分別設為“1”和“255”（由于我們是在宿舍做的，IP地址在100~120之間），然后點“開始搜索”按鈕，在右邊列表框中顯示檢測到已經在網上的計算機的IP地址。

操作截圖：

所以，為了能夠控制該計算機，我們就必須要讓其感染冰河木馬。

遠程連接

使用Dos命令： net use \\ip\ipc$

操作截圖：

磁盤映射。

本實驗：將目標主機的C：盤映射為本地主機上的X：盤

操作截圖

將本地主機上的G_Server.exe拷貝到目標主機的磁盤中，并使其自動運行。

操作截圖

此時，在目標主機的Dos界面下，使用at命令，設定在晚上21：19啟動木馬G_Server.exe。

操作截圖

?

5、設定時間到達之前（即G_Server.exe執行之前）的注冊表信息，可以看到在注冊表下的：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run，其默認值并無任何值。

操作截圖

當目標主機的系統時間到達設定時間之后，G_Server.exe程序自動啟動，且無任何提示。

操作截圖：

查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默認值發生了改變。

變成了：C:\\WINDOWS\\SYSTEM\\Kernel32.exe

這就說明冰河木馬安裝成功，擁有G_Client.exe的計算機都可以對此計算機進行控制了。

6、此時，再次使用G_Client.exe搜索計算機，可得結果如下圖所示：

操作截圖：

7、屏幕控制。

圖像格式有BMP和JEPG兩個選項，建議你選JEPG格式，因為它比較小，便于網絡傳輸?！皥D像色深”第一格為單色，第二格為16色，第三格為256色，依此類推?！皥D像品質”主要反應的是圖像的清晰度。按“確定”按鈕后便出現遠程計算機的當前屏幕內容。

操作截圖

8、彈窗、發送消息

操作截圖

?

9、進程控制

操作截圖

修改服務器配置

操作截圖

11、冰河信使

操作截圖

以上是一些常用的控制命令，不過，冰河的強大功能當然遠遠不盡于此，在此就不一一實現了。

??

12、防范與清除冰河

當冰河的G_SErver.exe這個服務端程序在計算機上運行時，它不會有任何提示，而是在windows/system下建立應用程序“kernel32.exe”和“Sysexplr.exe”。若試圖手工刪除，“Sysexplr.exe”可以刪除，但是刪除“kernel32.exe”時提示“無法刪除kernel32.exe:指定文件正在被windows使用”，按下“Ctrl+Alt+Del”時也不可能找到“kernel32.exe”，先不管它，重新啟動系統，一查找，“Sysexplr.exe”一定會又出來的。可以在純DOS模式下手工刪除掉這兩個文件。再次重新啟動，你猜發生了什么？再也進不去Windows系統了。

重裝系統后，再次運行G_Server.exe這個服務端程序，在“開始”→“運行”中輸入“regedit”打開注冊表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run下面發現@="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"的存在，說明它是每次啟動自動執行的。

下圖為卸載冰河木馬前的注冊表信息：

操作截圖

下圖為卸載冰河木馬后的注冊表信息：

操作截圖

13、遠程把你機器上的冰河木馬卸載掉

操作截圖

13、遠程把你機器上的冰河木馬卸載掉

操作截圖

總結

以上是生活随笔為你收集整理的冰河木马实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。