冰河木马的入侵

本科学生实验报告

实验课程： 安全扫描技术

实验名称： 冰河木马的入侵和防御 计算机科学学院 计算机科学与技术 专业

09 级 计算科学与技术本科 班

学 号：_

姓 名：_____ __

指导教师：____李启南_

成 绩：_____________ 完成时间：2011年9月21日

一、实验名称

冰河木马的入侵和防御

二、实验目的

通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机，植入木马程序，控制远程主机。

通过入侵实验理解和账务木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

三、实验内容

安装、卸载、使用冰河木马。

四、实验原理

冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，它可以自动启动并在某一端口监听来自控制端的控制信息。

一般木马都采用C/S运行模式，即分为两部分：客户端和服务端木马程序。当服务器

端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端秘密提出连接请求，获取服务器端的相关信息。

五、实验平台

冰河ROSE 版。

两台装有Windows 2000/XP/7系统的计算机，机房局域网。

六、实验步骤

1、在服务器端计算机上运行冰河服务器程序G_Server.exe。

2. 连接登陆远程主机。

在另一台计算机上打开冰河木马程序客户端，如图1所示。

图1 冰河木马程序客户端

选择“文件—>搜索计算机”，如图2所示设置起始域，起始地址和终止地址，监听端口、延迟选择默认值。

图2搜索计算机

搜索结果如图2所示，在219.246.153.30和219.246.153.5前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

3.控制操纵远程主机,查看被控主机的内容。

点击可以连接主机的IP地址，与它建立连接。如图3所示，选择219.246.153.5右边出现该主机的盘符，点击可以打开查看的内容，并且可以下载其中的文件，保存到本机。

图3操纵远程主机的文件管理器

5.控制台命令。如图4所示，点击命令控制台，可以进一步控制主机。

图4 命令控制台

左边出现口令类命令、控制类命令、网络类命令、文件类命令、注册表读写、设置类命令。

口令类命令分系统系统口令、历史口令和击键记录。单击系统信息及口令，可以得到如图5所示界面。

图5 系统信息及口令

单击“历史口令”后可以得到如图7所示界面。

图6历史口令

单击“击键记录”后可以得到如图7所示界面。其中有四个按钮，可以查看远程主机的系统信息，包括其详细配置情况、系统设置、各盘符的使用情况等，还可以获取开机口令、缓存口令、其他口令。

图7击键记录

6.控制类命令。

控制类命令分捕获屏幕、发送信息、进程管理、窗口管理、系统控制、鼠标控制及其他控制。

使用“捕获屏幕”命令，可得到类似图8所示界面。

图8 屏幕控制

屏幕控制可以查看远程主机的屏幕，掌握远程主机上的一举一动，还可以根据网络情况制定不同的传送方案。

发送信息结果如图10所示。

图9发送信息

可以向被控制的主机发送一条消息，在远程主机将跳出一个窗口本机上可以设置跳出窗口的标题、图标类型（提示、警告、通知）、信息正文、按键类型（确定、取消、忽略、调试）。控制进程如图10所示。

图10进程管理

可以查看远程主机的所有进程信息，并可终止进程。

其他控制类命令窗口管理、系统控制、鼠标控制及其他控制本文就不在列举。

如图11所示，网络类命令有创建共享、删除共享、网络信息。

图11网络类命令中创建共享

创建共享可以把远程主机上的文件设为共享并设定共享名。

删除共享则把远程主机上的共享删除，消除入侵痕迹。

网络信息可查看远程主机的网络连接等信息。

如图12所示，文件类命令可以查找修改远程主机的文件信息。

图12 文件类命令

注册表读写：修改远程主机的注册表信息。

设置类命令：设置远程主机的一些配置。

7．我们还可以通过冰河信使功能和服务器方进行聊天，当主控端发起信使通信之后，受控端也可以向主控端发送消息了。

图13冰河信使

8.查杀木马：当我们发现机器无故经常重启、密码信息泄露、桌面不正常时，可能就是中了木马程序，需要进行杀毒。

判断是否存在木马：一般病毒都需要修改注册表，我们可以在注册表中查看到木马的痕迹。在“开始”--->“运行”，输入“regedit”，这样就进入了注册表编辑器，依次打开子

键

目

录

“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windwos\\CurrentVersion\\Run”。

图14 注册表中的Run子键

在目录中我们发现第一项的数据

“C：\\WINDOWS\\system32\\Kernel32.exe”，Kernel32.exe就是冰河木马程序在注册表中加入的键值，将该项删除。

然后再打开

“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windwos\\CurrentVersion\\RunServices”如图15所示。

图-15注册表中的RunServices子键

在目录中也发现了一个键值“C：\\WINDOWS\\system32\\Kernel32.exe”将其删除。

Run和RunServices中存放的键值是系统启动是启动启动的程序，一般的病毒、木马、后门等都是存放在这些子键目录下，所以要经常检查这些子键目录下的程序，如有不明程序，则要认真检查。

删掉其在注册表中的启动项后，再删除病毒原文件。打开“ C:\\WINDWOS\\system32”，找到kernel32.exe将其删除，如图16所示。

图16示，打开“ C:\\WINDWOS\\system32”，找到sysexplr.exe将其删除。

图17 \\WINDWOS\\system32中sysexplr.exe的搜索结果

之后重起之后，冰河木马就彻底被删除掉了。

七、实验结论

冰河木马控制肉机，可任意操作远程主机，获取远程主机的各类信息文件，修改设置远程主机，这种入侵带来的危害是显而易见的。在我们学习安全扫描过程中就得认真学习木马入侵计算机的过程和步骤，那样才能更好地做好计算机信息的维护。

但是我们也应该看到，冰河木马入侵计算机受到各种杀毒软件和防火墙的阻碍，这种简单的木马已经不能破坏我们的计算机，但是，从另一方面也说明我们的黑客也在不断的成长，任何时候，网络都是一个不安全的环境，我们必须做好网络的安全防护。

八、实验心得

对于计算机木马的概念我们都局限在很窄的认识层面，通过冰河木马实验的学习我们认识到人们是怎样利用木马侵入到计算机并且获得所需要的信息的。实验过程磨练了我们

的耐心，也增强了我们动手的能力。