• 實(shí)驗(yàn)?zāi)康?/li>

1. 本次實(shí)驗(yàn)為考核實(shí)驗(yàn)，需要獨(dú)立設(shè)計(jì)完成一次網(wǎng)絡(luò)攻防的綜合實(shí)驗(yàn)。設(shè)計(jì)的實(shí)驗(yàn)中要包括以下幾個(gè)方面內(nèi)容：

(1) 構(gòu)建一個(gè)具有漏洞的服務(wù)器，利用漏洞對(duì)服務(wù)器進(jìn)行入侵或攻擊；

(2) 利用網(wǎng)絡(luò)安全工具或設(shè)備對(duì)入侵與攻擊進(jìn)行檢測(cè)；

(3) 能有效的對(duì)漏洞進(jìn)行修補(bǔ)，提高系統(tǒng)的安全性，避免同種攻擊的威脅。

2． 網(wǎng)絡(luò)攻防綜合實(shí)驗(yàn)將從實(shí)驗(yàn)設(shè)計(jì)、實(shí)驗(yàn)過(guò)程、實(shí)驗(yàn)結(jié)果、實(shí)驗(yàn)報(bào)告幾個(gè)方面，對(duì)學(xué)生的綜合實(shí)驗(yàn)?zāi)芰M(jìn)行鍛煉。

【注意事項(xiàng)】

1.本木馬程序用于實(shí)驗(yàn)?zāi)康?#xff0c;面向?qū)嶒?yàn)演示，側(cè)重于演示和說(shuō)明病毒的內(nèi)在原理，破壞功能有限。在測(cè)試病毒程序前，需先關(guān)閉殺毒軟件的自動(dòng)防護(hù)功能或直接關(guān)閉殺毒軟件。

2.若在個(gè)人電腦上實(shí)驗(yàn)，最好在虛擬機(jī)中運(yùn)行。

3.測(cè)試完畢后，請(qǐng)注意病毒程序的清除，以免誤操作破壞計(jì)算機(jī)上的其他程序。

4.請(qǐng)勿傳播該木馬。傳播該病毒造成有用數(shù)據(jù)丟失、電腦故障甚至觸犯法律等后果，由傳播者負(fù)責(zé)。

• 實(shí)驗(yàn)要求

兩個(gè)Windows系統(tǒng) 、linux系統(tǒng)、vmware等

Readme.txt簡(jiǎn)單介紹冰河的使用。G_Client.exe是監(jiān)控端執(zhí)行程序，可以用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器。G_Server.exe是被監(jiān)控端后臺(tái)監(jiān)控程序（運(yùn)行一次即自動(dòng)安裝，開機(jī)自啟動(dòng)，可任意改名，運(yùn)行時(shí)無(wú)任何提示）。運(yùn)行G_Server.exe后，該服務(wù)端程序直接進(jìn)入內(nèi)存，并把感染機(jī)的7626端口開放。而使用冰河客戶端軟件（G_Client.exe）的計(jì)算機(jī)可以對(duì)感染機(jī)進(jìn)行遠(yuǎn)程控制。

冰河木馬的使用：

自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）。

記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)的口令信息。

獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。

限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。

遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、傷處文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（正常方式、最小化、最大化、隱藏方式）等多項(xiàng)文件操作功能。

注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能。

發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息。

點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談等。

四、實(shí)驗(yàn)步驟

一、攻擊

入侵目標(biāo)主機(jī)

首先運(yùn)行G_Client.exe，掃描主機(jī)。

查找IP地址：在“起始域”編輯框中輸入要查找的IP地址，例如欲搜索IP地址“10.1.13.1”至“10.1.13..255”網(wǎng)段的計(jì)算機(jī)，應(yīng)將“起始域”設(shè)為“192.168.6”，將“起始地址”和“終止地址”分別設(shè)為“1”和“255”（由于我們是在宿舍做的，IP地址在100~120之間），然后點(diǎn)“開始搜索”按鈕，在右邊列表框中顯示檢測(cè)到已經(jīng)在網(wǎng)上的計(jì)算機(jī)的IP地址。

操作截圖：

所以，為了能夠控制該計(jì)算機(jī)，我們就必須要讓其感染冰河木馬。

遠(yuǎn)程連接

使用Dos命令： net use \\ip\ipc$

操作截圖：

磁盤映射。

本實(shí)驗(yàn)：將目標(biāo)主機(jī)的C：盤映射為本地主機(jī)上的X：盤

操作截圖

將本地主機(jī)上的G_Server.exe拷貝到目標(biāo)主機(jī)的磁盤中，并使其自動(dòng)運(yùn)行。

操作截圖

此時(shí)，在目標(biāo)主機(jī)的Dos界面下，使用at命令，設(shè)定在晚上21：19啟動(dòng)木馬G_Server.exe。

操作截圖

?

5、設(shè)定時(shí)間到達(dá)之前（即G_Server.exe執(zhí)行之前）的注冊(cè)表信息，可以看到在注冊(cè)表下的：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run，其默認(rèn)值并無(wú)任何值。

操作截圖

當(dāng)目標(biāo)主機(jī)的系統(tǒng)時(shí)間到達(dá)設(shè)定時(shí)間之后，G_Server.exe程序自動(dòng)啟動(dòng)，且無(wú)任何提示。

操作截圖：

查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默認(rèn)值發(fā)生了改變。

變成了：C:\\WINDOWS\\SYSTEM\\Kernel32.exe

這就說(shuō)明冰河木馬安裝成功，擁有G_Client.exe的計(jì)算機(jī)都可以對(duì)此計(jì)算機(jī)進(jìn)行控制了。

6、此時(shí)，再次使用G_Client.exe搜索計(jì)算機(jī)，可得結(jié)果如下圖所示：

操作截圖：

7、屏幕控制。

圖像格式有BMP和JEPG兩個(gè)選項(xiàng)，建議你選JEPG格式，因?yàn)樗容^小，便于網(wǎng)絡(luò)傳輸?！皥D像色深”第一格為單色，第二格為16色，第三格為256色，依此類推?！皥D像品質(zhì)”主要反應(yīng)的是圖像的清晰度。按“確定”按鈕后便出現(xiàn)遠(yuǎn)程計(jì)算機(jī)的當(dāng)前屏幕內(nèi)容。

操作截圖

8、彈窗、發(fā)送消息

操作截圖

?

9、進(jìn)程控制

操作截圖

修改服務(wù)器配置

操作截圖

11、冰河信使

操作截圖

以上是一些常用的控制命令，不過(guò)，冰河的強(qiáng)大功能當(dāng)然遠(yuǎn)遠(yuǎn)不盡于此，在此就不一一實(shí)現(xiàn)了。

??

12、防范與清除冰河

當(dāng)冰河的G_SErver.exe這個(gè)服務(wù)端程序在計(jì)算機(jī)上運(yùn)行時(shí)，它不會(huì)有任何提示，而是在windows/system下建立應(yīng)用程序“kernel32.exe”和“Sysexplr.exe”。若試圖手工刪除，“Sysexplr.exe”可以刪除，但是刪除“kernel32.exe”時(shí)提示“無(wú)法刪除kernel32.exe:指定文件正在被windows使用”，按下“Ctrl+Alt+Del”時(shí)也不可能找到“kernel32.exe”，先不管它，重新啟動(dòng)系統(tǒng)，一查找，“Sysexplr.exe”一定會(huì)又出來(lái)的?？梢栽诩僁OS模式下手工刪除掉這兩個(gè)文件。再次重新啟動(dòng)，你猜發(fā)生了什么？再也進(jìn)不去Windows系統(tǒng)了。

重裝系統(tǒng)后，再次運(yùn)行G_Server.exe這個(gè)服務(wù)端程序，在“開始”→“運(yùn)行”中輸入“regedit”打開注冊(cè)表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run下面發(fā)現(xiàn)@="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"的存在，說(shuō)明它是每次啟動(dòng)自動(dòng)執(zhí)行的。

下圖為卸載冰河木馬前的注冊(cè)表信息：

操作截圖

下圖為卸載冰河木馬后的注冊(cè)表信息：

操作截圖

13、遠(yuǎn)程把你機(jī)器上的冰河木馬卸載掉

操作截圖

13、遠(yuǎn)程把你機(jī)器上的冰河木馬卸載掉

操作截圖

總結(jié)

以上是生活随笔為你收集整理的冰河木马实验的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。