实验计算机病毒分析与对抗.ppt

实验一 冰河木马软件的使用及清除 信息工程学院计算机系 1. 实验目的 1）了解冰河木马的基本原理； 2）学习在Windows操作系统下冰河木马的安 装和使用； 3）认识木马的危害性，注意防范木马。 1）运行Windows XP操作系统的PC 2）每台PC具有一块以太网卡，通过双绞线 与局域网相连 3）两人一组（2台机器）。 2. 实验环境 3. 冰河木马原理 网络客户机/服务器端程序 G_server.exe是守护进程，G_client是客户端应用程序 被控制端作为服务器，控制端作为客户机 默认连接端口为7626 C：\Windows\system32目录下生成Kernel32.exe和sysexplr.exe，和记事本文件相关联，用户每次打开记事本时就会自动启动冰河木马。 4. 冰河木马危害 自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控制端的屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控制端的屏幕（局域网适用）； 记录各种口令信息：包括开机口令、屏幕保护口令、各种共享资源口令及绝大对话框中出现过的口令信息； 获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项限制； 远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四种不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 发送信息：以四种常用图标向被控端发送简短信息； 点对点通讯：以聊天室形式同被控端进行在线交谈。 5. 实验步骤 5.1.安装冰河软件 1）关闭Windows防火墙； 2）解压冰河软件包glac2.2，其中包含服务器程序G_Server.exe 和客户端程序G_Client.exe； 3）在一台机器上安装服务器程序G_Server.exe，安装时没有显 示界面； 4）在另一台机器上安装客户端程序G_Client.exe。 5.2.清除冰河软件 1）打开“任务管理器”窗口，在进程选项卡中找到kernel32.exe，点击“结束进程”按钮，中止当前冰河木马的进程； 2）删除C:Windows\system32下的Kernel32.exe和Sysexplr.exe文件； （若这两个文件会被隐藏起来，选择“工具”中的“文件夹选项”，找到“查看”选项，清除“隐藏受保护的操作系统”，同时选中“显示所有文件和文件夹”，即可发现它们的踪迹并删除它们。） 3）删除注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersionRun下键值C:/windows/system/Kernel32.exe； 4）删除注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下键值C:/windows/system/Kernel32.exe； 5）改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。