赞
踩
攻击者主机:Win7 (192.168.30.221)
受害者主机:winXP(192.168.30.134)
两台主机均关闭防火墙
自定义安装(要记住自定义安装的文件夹)
选择安装路径
一键安装
2. 打开所选择安装的文件夹,进行解压
双击提取出来(类似解压)
提取密码为:www.downcc.com
打开解压后的文件夹
双击打开
打开后的应用面板
netstat -an
出现7626端口则表示木马运行成功,此时也会出现Kernel32进程
扫描可连接主机
从结果可以看出扫描出一台设备(WinXP主机)
拿下WinXP主机,可以进行查看文件信息
在受害者主机可以看到创建成功
再次查看端口与进程,发现7626端口关闭,进程Kernel32.exe已经关闭
四步骤:
1)受害者主机打开注册表
2)进入HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run,找到键值为C:/windows/system/Kernel32.exe,找到并删除。
1)进入注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command
2)选中,将值修改为C:\WINDOWS\notepad.exe %1
1)删除Kernel32.exe
2)删除sysexplr.exe
查看端口发现7626端口已经关闭,成功卸载冰河木马
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。