當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

恶意代码攻击实验（冰河木马和广外男孩的使用）

發布時間：2023/12/14 编程问答 33 豆豆

生活随笔收集整理的這篇文章主要介紹了恶意代码攻击实验（冰河木马和广外男孩的使用）小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

前言

本文用來記錄實驗課上冰河木馬和廣外男生兩個病毒的使用。

冰河木馬文件
鏈接：https://pan.baidu.com/s/1R7biBH_kYPkWErhYtrJnmA
提取碼：pbbs
廣外男生文件
鏈接：https://pan.baidu.com/s/1H3E3nWHPzwrrYMRaVvErqg
提取碼：4s5t
windows7 64位鏡像
鏈接：https://pan.baidu.com/s/1mwrVq3T-94tnuR571PQmYw
提取碼：ew2n
windows7 32位鏡像
鏈接：https://pan.baidu.com/s/1m4rKQOtx7HCoIdMO0xngRw
提取碼：1tqv

一、冰河木馬

1.冰河木馬的安裝使用

1.首先安裝兩臺win7虛擬機（一臺32位作為靶機、一臺64位作為攻擊機）
2.在win7環境下下載安裝冰河木馬

g_sever是放到被攻擊電腦上的。(即目標靶機, win32位系統)
g_client是放到攻擊者電腦上的。 (64位)
在cmd中使用ipconfig指令查看兩臺虛擬機IP地址
靶機

攻擊機

3.首先在被攻擊電腦上運行g_sever后，靶機上會打開一個端口在cmd命令行輸入netstat -an查看端口，出現7626，證明端口已經打開并且進程中會出現 Kernel32.exe:

4.打開攻擊者虛擬機，運行g_client:

點擊開始搜索

這時單擊主機名，如果連接成功，則會顯示服務器端主機上的盤符·這時我們就可以像操作自己的電腦一樣操作遠程目標電腦，比如打開C:\WINNTsystem32\config目錄可以找到對方主機上保存用戶口令的SAM文件。

“冰河”的大部分功能都是在這里實現的，單擊“命令控制臺”的標簽，彈出命令控制臺界面，如圖所示。

2.冰河木馬的刪除

刪除C:\Windows\system下的Kernel32.exe和 Sysexplr.exe文件。

冰河會在注冊表
HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun下扎根，鍵值為C:/windows/system/Kernel32.exe，刪除它·在注冊表的
HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices下，還有鍵值為C:/windows/system/Kernel32.exe的,也要刪除。

最后，改注冊表HKEY/CLASSES/ROOT/txtfile/shell/open/command 下的默認值，由中木馬后的C: /windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe %1，即可恢復TXT文件關聯功能。

二、廣外男生

1.廣外男生的安裝和使用

1.運行gwboy.exe,打開“廣外男生”的主程序，如下圖所示:

進行客戶端設置，依次單擊“設置”——“客戶端設置”，彈出客戶端界面如下圖所示:

2.設置木馬的連接類型，選擇“客戶端處于靜態IP"，單擊下一步和完成,結束客戶端的設置，如下圖所示:

3.進行服務器端設置，依次單擊“設置”——“生成服務器端”，這時彈出“廣外男生”服務器向導，點擊“我同意”，單擊“下一步”，進入設置界面，如下圖所示:

4.進行網絡設置，選擇“靜態IP"，在“客戶端IP地址”中填入入侵者的靜態IP地址，“客戶端端口”填入在客戶端設置中選擇的連接端口

5.生成代理文件，在目標文件中填入所生成服務器端程序的存放位置，如C:\Usersxy\Desktop\test.exe，這個文件就是需要植入遠程主機的木馬文件，單擊“完成”即可完成服務器端程序的配置，這時就生成了一個文件名為test.exe的可執行文件，并將該文件如冰河木馬的方式一樣上傳到目標主機桌面上，如下圖所示:

6.將生成的test文件拷貝到虛擬機

7.查看插入進程

2.廣外男生的刪除

1.依次單擊“開始”一“運行”，輸入regedit進入注冊表，依次展開到HKEY_ LOCAL_ MACHINE\SOF TWAREMicrosoft\Windows\CurrentVersion\Run，在里面找到木馬自啟動文件進行刪除:

2.進入C:\WINNT\System32,按文件大小進行排序，尋找116kb的文件，在這些文件中找到修改時間離現在比較近的，一般就是最近所添加的文件，將gwboy.exe文件刪除。

總結

本次實驗在虛擬機上安裝并使用了兩個由國人設計的強大木馬軟件，冰河木馬分為server和client分別放到靶機和攻擊機上，server打開后隱藏在進程里并打開7626端口，client可以通過探測7626端口的打開情況來搜尋可攻擊的靶機，建立連接后可以直接打開目標的文件獲取記錄口令的SAM文件并且也可以監視屏幕等操作。“廣外男生”木馬的使用需要自己生成服務器端文件拷貝到靶機上，在自己電腦使用客戶端同樣可以達到竊取文件，監聽的效果。木馬啟動后會在系統文件中保留并且在注冊表殘留，刪除很麻煩，可見木馬的隱蔽性和危害性很強。

總結

以上是生活随笔為你收集整理的恶意代码攻击实验（冰河木马和广外男孩的使用）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： BeanUtils之commons-be
下一篇： 2次成功投诉EMS和中国移动的经验