網(wǎng)絡(luò)安全實驗報告冰河木馬實驗

1、網(wǎng)絡(luò)安全實驗報告冰河木馬實驗網(wǎng)絡(luò)10-2班XXX08103635實驗?zāi)康耐ㄟ^學(xué)習(xí)冰河木馬遠程控制軟件的使用，熟悉使用木馬進行網(wǎng)絡(luò)攻擊的原理和方法。實驗內(nèi)容1、在計算機A上運行冰河木馬客戶端，學(xué)習(xí)其常用功能；2、在局域網(wǎng)內(nèi)另一臺計算機B上種入冰河木馬（服務(wù)器），用計算機A控制計算機B；打開殺毒軟件查殺冰河木馬；4、再次在B上種入冰河木馬，并手動刪除冰河木馬，修改注冊表和文件關(guān)聯(lián)。實驗準(zhǔn)備在兩臺計算機上關(guān)閉殺毒軟件；下載冰河木馬軟件；閱讀冰河木馬的關(guān)聯(lián)文件。實驗要求合理使用冰河木馬，禁止惡意入侵他人電腦和網(wǎng)絡(luò)；了解冰河木馬的主要功能；記錄實驗步驟、實驗現(xiàn)象、實驗過程中出現(xiàn)的意外情況及解決方法；總結(jié)

2、手動刪除冰河木馬的過程。實驗過程作為一款流行的遠程控制工具，在面世的初期，冰河就曾經(jīng)以其簡單的操作方法和強大的控制力令人膽寒，可以說達到了談冰色變的地步。鑒于此，我們就選用冰河完成本次實驗。若要使用冰河進行攻擊，則冰河的安裝（是目標(biāo)主機感染冰河）是首先必須要做的。冰河控制工具中有三個文件：Readme.txt,G_Client.exe,以及G_Server.exe。Readme.txt簡單介紹冰河的使用。G_Client.exe是監(jiān)控端執(zhí)行程序，可以用于監(jiān)控遠程計算機和配置服務(wù)器。G_Server.exe是被監(jiān)控端后臺監(jiān)控程序（運行一次即自動安裝，開機自啟動，可任意改名，運行時無任何提示:。運

3、行G_Server.exe后，該服務(wù)端程序直接進入內(nèi)存，并把感染機的7626端口開放。而使用冰河客戶端軟件（G_Client.exe）的計算機可以對感染機進行遠程控制。冰河木馬的使用：1、自動跟蹤目標(biāo)機屏幕變化，同時可以完全模擬鍵盤及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）。2、記錄各種口令信息：包括開機口令、屏?？诹?、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)的口令信息。3、獲取系統(tǒng)信息：包括計算機名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)。4、限制系統(tǒng)功能：包括遠程關(guān)機、遠程重啟計

4、算機、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制。5、遠程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、傷處文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（正常方式、最小化、最大化、隱藏方式）等多項文件操作功能。6、注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能。7、發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡短信息。8、點對點通訊：以聊天室形式同被控端進行在線交談等。入侵目標(biāo)主機：首先運行G_Client.exe，掃描主機。查找IP地址：在“起始域”編輯框中輸入要查找的IP地址，本實驗搜索IP地址“219.219.68.*”網(wǎng)段的計算機，點“開始搜索”按鈕，

5、在右邊列表框中顯示檢測到已經(jīng)在網(wǎng)上的計算機的IP地址。文件回編輯回設(shè)置文件回編輯回設(shè)置幫助回題翹里耍亶彳重塞措C4應(yīng)用S當(dāng)前連接：|219.219.68.101應(yīng)用S口文件管理器也命令控制吉忌皂旦旦旦旦旦旦旦旦s:+:+.:B引我的電腦219.219.68.157口文件管理器也命令控制吉忌皂旦旦旦旦旦旦旦旦s:+:+.:B引我的電腦219.219.68.157219.219.68.133219.219.68.110219.219.68.90219.219.68.141219.219.68.143219.219.68.117219.219.68.104219.219.68.128文件名也搜索計算

6、機不索范圍監(jiān)聽端口：畫延遲時間：忸而毫秒起始域：起蛤地址：終止地址：.聰首搜凄二搜索結(jié)果：OKOKOKOKOKOKOKOKnKERER甌RRRREEEEEEAIn.219.219.68.104219.219.68.110219.219.69.117219.219.68.128219.219.68.13321g.219.G8.141219.219.68.143219.219.68.15T21g.219.B8.90219.219.68.1219.219.68.100219.219.68,101219.219.68.102219.219.68.103JI正在掃描子網(wǎng),219,219.68.無法與主機

7、219.219.68.101J建立連接搜索框內(nèi)有顯示狀態(tài)為ERR的主機，是因為這些主機上沒有種馬，即沒有安裝服務(wù)器。實驗中，我選擇控制的主機的IP為“219.219.68.104”。在命令控制臺中操作：口令類命令：系統(tǒng)命令及口令歷史口令擊鍵記錄控制類命令:抓捕屏幕發(fā)送信息進程管理窗口管理系統(tǒng)控制鼠標(biāo)控制其他控制卜冰河V2.2DAEKSUI專版0回區(qū)文件回編輯團設(shè)置團幫助當(dāng)前連接：l21Q.21Q.B8.104T前口：畫訪問口專：|應(yīng)用國文件笆理器與命令控制白國C?L葉.葉s一：時：回：葉曲口令類命令控制類命令蟠屏幕發(fā)送信息進程首理窗口管理系蔬控制鼠標(biāo)控制J苴它控制網(wǎng)絡(luò)類命令文件非命令注冊表讀寫

8、謾置類命令自動撥目禁止自劫撥號后劭亙面圈藏桌面恢復(fù)把鍵屏蔽熱旗恢復(fù)注冊表鎖定I注冊表解鎖SysftMplrSysFaderfF始菜單CicaroUTWr.-lFruTiqS/PDIFIK/Ol.rrSeitircgsSc：tDaviType：MiMorToolBan接以設(shè)置CicaroUIWridFramaTF_F1oatirigLangBar_WndTitie_H：Documeritsand5201”=口1京卸轂件ESETNOD32AntivirusMCIcommandhandlingwindowConnectiodeTray電表MSebchedJiloriitorDTSCuriTLHctT

9、iT!1rP1數(shù)據(jù)流接收完畢網(wǎng)絡(luò)類命令:網(wǎng)絡(luò)信息一查看共享文件類命令:文件復(fù)制注冊表讀寫:鍵值讀取設(shè)置類命令：服務(wù)器端配置讀取服務(wù)器配置柱由河2.2DARKEmr專題匚1后1反文件舊輯回設(shè)置位幫助回國5*國5*誕察感當(dāng)前連接：l21Q.21Q.68.104當(dāng)前連接：l21Q.21Q.68.104三端口：西一訪同口令：_J文件管理器%命令控制臺應(yīng)用S日：國由：國.Q口令交命令面控制莞命笠立網(wǎng)絡(luò)交命令面文件莞命笠Q注冊表讀寫Q設(shè)置類命令更換墻紙更改計算機名日：國由：國.Q口令交命令面控制莞命笠立網(wǎng)絡(luò)交命令面文件莞命笠Q注冊表讀寫Q設(shè)置類命令更換墻紙更改計算機名a服資器端配置安裝路餞.文件名稱訪問口

10、令7626敏感寧符：口令，密碼，連鰲，登錄，帖戶，注冊表鍵名:關(guān)聯(lián)類型：TxtFile美劇文件名SMTF服箔相接收1F信箱無無手工復(fù)復(fù)矍I-FFh-FTF-iTF*ElU_rt-UMHtrtrd件件件件.支支于文卜connecaccount3lcginIcgon,.AUTOEXEC.EATSUAUTOEKEC.BATlAVLDE到I：XAVLI田boot.iid到:boot.inibootfontbi工l到bootfont.binfi&TLir171T7SI.Li11TLTrTTifT?修改服2器配置數(shù)據(jù)端接松完畢修改服務(wù)器配置六、實驗小結(jié)對于計算機木馬的概念，我們都還局限在很窄的層面，通過對冰河木馬的學(xué)習(xí)并使