赞
踩
本次记录曾做过的网络安全实验:phase 4
一、实验目的
1. 理解木马的关键技术:包括木马的启动、隐藏和远程控制。
2. 使用一种木马实施远程控制,并进行清除。
二、实验环境
Windows7 x64系统虚拟机;Window XP 系统虚拟机;冰河 V8.4
三、实验原理
,
使用两台虚拟机,一台充当操作机,一台充当被种植木马的目标机,然后使用冰河木马对目标机实行远程控制。
四、实验内容
1. 使用一种木马实施远程控制,具体而言,在被攻击者计算机B上种入木马(服务器端木马),用攻击者计算机A(客户端木马)对计算机B实施如下远程控制:
(1)查看屏幕
(2)控制屏幕
(3)冰河信使
2. 两种方法清除木马:反卸载和手动删除。
五、实验步骤
操作机 Windows 7 系统:
目标机 Windows XP 系统:
2.在操作机上准备好冰河软件
3.配置服务端
(1)点击g_client 打开软件
(2)点击“设置”中的“配置服务器程序”打开“服务器配置”,从中设置访问口令,进程名称等
4.运行目标主机
(1)将g_server发送到目标主机上
(2)运行g_server后,观察端口
查看端口,出现7626,证明端口已打开
(3)确定目标机的ip地址
(4)打开操作机的g_cilent,开始搜索目标机
搜索成功
点击文件就可以看到目标机里的文件
5.远程控制:
(1)查看屏幕
(2)控制屏幕
通过控制屏幕打开目标机的回收站
(3)冰河信使
通过信使可以实现操作机和目标机的交互
操作机端:
目标机端:
6.两种方法清除木马
(1)反卸载
在g_client中选中目标机点击命令控制台
选择控制类命令中的系统控制,点击右下角自动卸载冰河
点击“是”系统提示“服务器端监控程序自动卸载完毕”
(2)手动卸载
在任务管理器中找到进程“KERNEL32.EXE”并结束该进程
删除保存在目标机里的g_server程序
打开注册表,在目录HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run里删除binghe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunService”里删除binghe
在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认,将值改为:C:\WINDOWS\notepad.exe %1
六、实验结果分析及心得体会
实验结果分析:本次实验旨在理解木马的关键技术:包括木马的启动、隐藏和远程控制。使用一种木马实施远程控制,并进行清除。木马使用冰河木马,实验环境是在两台虚拟机上进行,一台为操作机Win 7 X64,一台为目标机Win XP 在操作机上配置好服务端,然后将木马种在目标机上,木马运行并打开7626端口,操作机便可通过木马对目标机进行远程操控。
心得体会:通过本次实验我了解到本次实验成功有好几个注意事项:冰河木马是一种很老的病毒,目前的系统已经可以自动对其作出识别并处理,所以运行只能在虚拟机上进行;值得注意的一点是冰河木马只能在32位的操作系统上运行,如果在64位操作系统运行则无法打开7626端口;操作机扫描目标机的过程中也需注意关掉目标机自带的Windows防火墙,否则无法成功建立连接。通过好几次的失败终于成功做成这次实验,大大加深了我对冰河木马的认知。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。