当前位置:   article > 正文

木马的远程控制和清除 实验_冰河信使

冰河信使

本次记录曾做过的网络安全实验:phase 4

一、实验目的

    1. 理解木马的关键技术:包括木马的启动、隐藏和远程控制。

2. 使用一种木马实施远程控制,并进行清除。

二、实验环境

      Windows7 x64系统虚拟机;Window XP 系统虚拟机;冰河 V8.4

三、实验原理

                ,

    使用两台虚拟机,一台充当操作机,一台充当被种植木马的目标机,然后使用冰河木马对目标机实行远程控制。

四、实验内容

1. 使用一种木马实施远程控制,具体而言,在被攻击者计算机B上种入木马(服务器端木马),用攻击者计算机A(客户端木马)对计算机B实施如下远程控制:

(1)查看屏幕

(2)控制屏幕

(3)冰河信使

2. 两种方法清除木马:反卸载和手动删除。

五、实验步骤

  1. 准备好两个虚拟机

操作机 Windows 7 系统:

 目标机 Windows XP 系统:

     2.在操作机上准备好冰河软件

      3.配置服务端

(1)点击g_client 打开软件

(2)点击“设置”中的“配置服务器程序”打开“服务器配置”,从中设置访问口令,进程名称等

      4.运行目标主机

(1)将g_server发送到目标主机上

(2)运行g_server后,观察端口

查看端口,出现7626,证明端口已打开

(3)确定目标机的ip地址

(4)打开操作机的g_cilent,开始搜索目标机

搜索成功

点击文件就可以看到目标机里的文件

       5.远程控制:

(1)查看屏幕   

(2)控制屏幕

通过控制屏幕打开目标机的回收站

(3)冰河信使

通过信使可以实现操作机和目标机的交互

     操作机端:

     目标机端:

       6.两种方法清除木马

(1)反卸载

在g_client中选中目标机点击命令控制台

选择控制类命令中的系统控制,点击右下角自动卸载冰河

点击“是”系统提示“服务器端监控程序自动卸载完毕”

(2)手动卸载

在任务管理器中找到进程“KERNEL32.EXE”并结束该进程

删除保存在目标机里的g_server程序

打开注册表,在目录HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run里删除binghe

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunService”里删除binghe

在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认,将值改为:C:\WINDOWS\notepad.exe %1

 

六、实验结果分析及心得体会

实验结果分析:本次实验旨在理解木马的关键技术:包括木马的启动、隐藏和远程控制。使用一种木马实施远程控制,并进行清除。木马使用冰河木马,实验环境是在两台虚拟机上进行,一台为操作机Win 7 X64,一台为目标机Win XP 在操作机上配置好服务端,然后将木马种在目标机上,木马运行并打开7626端口,操作机便可通过木马对目标机进行远程操控。

心得体会:通过本次实验我了解到本次实验成功有好几个注意事项:冰河木马是一种很老的病毒,目前的系统已经可以自动对其作出识别并处理,所以运行只能在虚拟机上进行;值得注意的一点是冰河木马只能在32位的操作系统上运行,如果在64位操作系统运行则无法打开7626端口;操作机扫描目标机的过程中也需注意关掉目标机自带的Windows防火墙,否则无法成功建立连接。通过好几次的失败终于成功做成这次实验,大大加深了我对冰河木马的认知。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/452971
推荐阅读
相关标签
  

闽ICP备14008679号