- 实验目的
1. 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容:
(1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击;
(2) 利用网络安全工具或设备对入侵与攻击进行检测;
(3) 能有效的对漏洞进行修补,提高系统的安全性,避免同种攻击的威胁。
2. 网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面,对学生的综合实验能力进行锻炼。
【注意事项】
1.本木马程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理,破坏功能有限。在测试病毒程序前,需先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。
2.若在个人电脑上实验,最好在虚拟机中运行。
3.测试完毕后,请注意病毒程序的清除,以免误操作破坏计算机上的其他程序。
4.请勿传播该木马。传播该病毒造成有用数据丢失、电脑故障甚至触犯法律等后果,由传播者负责。
- 实验要求
两个Windows系统 、linux系统、vmware等
Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行G_Server.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件(G_Client.exe)的计算机可以对感染机进行远程控制。
冰河木马的使用:
- 自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。
- 记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。
- 获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。
- 限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
- 远程文件操作:包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。
- 注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
- 发送信息:以四种常用图标向被控端发送简短信息。
- 点对点通讯:以聊天室形式同被控端进行在线交谈等。
四、实验步骤
一、攻击
- 入侵目标主机
首先运行G_Client.exe,扫描主机。
查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“10.1.13.1”至“10.1.13..255”网段的计算机,应将“起始域”设为“192.168.6”,将“起始地址”和“终止地址”分别设为“1”和“255”(由于我们是在宿舍做的,IP地址在100~120之间),然后点“开始搜索”按钮,在右边列表框中显示检测到已经在网上的计算机的IP地址。
操作截图:
所以,为了能够控制该计算机,我们就必须要让其感染冰河木马。
- 远程连接
使用Dos命令: net use \\ip\ipc$
操作截图:
- 磁盘映射。
本实验:将目标主机的C:盘映射为本地主机上的X:盘
操作截图
- 将本地主机上的G_Server.exe拷贝到目标主机的磁盘中,并使其自动运行。
操作截图
- 此时,在目标主机的Dos界面下,使用at命令,设定在晚上21:19启动木马G_Server.exe。
操作截图
5、设定时间到达之前(即G_Server.exe执行之前)的注册表信息,可以看到在注册表下的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run,其默认值并无任何值。
操作截图
当目标主机的系统时间到达设定时间之后,G_Server.exe程序自动启动,且无任何提示。
操作截图:
查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默认值发生了改变。
变成了:C:\\WINDOWS\\SYSTEM\\Kernel32.exe
这就说明冰河木马安装成功,拥有G_Client.exe的计算机都可以对此计算机进行控制了。
6、此时,再次使用G_Client.exe搜索计算机,可得结果如下图所示:
操作截图:
7、屏幕控制。
图像格式有BMP和JEPG两个选项,建议你选JEPG格式,因为它比较小,便于网络传输。“图像色深”第一格为单色,第二格为16色,第三格为256色,依此类推。“图像品质”主要反应的是图像的清晰度。按“确定”按钮后便出现远程计算机的当前屏幕内容。
操作截图
8、弹窗、发送消息
操作截图
9、进程控制
操作截图
- 修改服务器配置
操作截图
11、冰河信使
操作截图
以上是一些常用的控制命令,不过,冰河的强大功能当然远远不尽于此,在此就不一一实现了。
12、防范与清除冰河
当冰河的G_SErver.exe这个服务端程序在计算机上运行时,它不会有任何提示,而是在windows/system下建立应用程序“kernel32.exe”和“Sysexplr.exe”。若试图手工删除,“Sysexplr.exe”可以删除,但是删除“kernel32.exe”时提示“无法删除kernel32.exe:指定文件正在被windows使用”,按下“Ctrl+Alt+Del”时也不可能找到“kernel32.exe”,先不管它,重新启动系统,一查找,“Sysexplr.exe”一定会又出来的。可以在纯DOS模式下手工删除掉这两个文件。再次重新启动,你猜发生了什么?再也进不去Windows系统了。
重装系统后,再次运行G_Server.exe这个服务端程序,在“开始”→“运行”中输入“regedit”打开注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run下面发现@="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"的存在,说明它是每次启动自动执行的。
下图为卸载冰河木马前的注册表信息:
操作截图
下图为卸载冰河木马后的注册表信息:
操作截图
13、远程把你机器上的冰河木马卸载掉
操作截图
13、远程把你机器上的冰河木马卸载掉
操作截图
8046
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
