2.3网络安全攻防.pptVIP

Company Name 信息管理与信息系统系统专业 计算机网络实验 中国药科大学 中国药科大学 中国药科大学 中国药科大学 中国药科大学 中国药科大学 中国药科大学 中国药科大学 中国药科大学 中国药科大学 中国药科大学 冰河木马攻防 Page */36 目标 冰河是国产正向端口连接技术木马的鼻祖。作为一款流行的远程控制工具，在面世的初期，冰河就曾经以它简单的操作方法和强大的控制能力而闻名。冰河除了具有采用正向连接技术木马的特征（即黑客机主动与中木马的服务器端主机进行连接）外，还有自我保护机制。 一、实验目的 了解冰河木马的工作原理及冰河木马的功能，掌握冰河木马的使用。 二、实验设备 2台以上Windows主机（可以是2000 Server主机、2003 Server主机或者XP主机）。 Page */36 三、冰河木马介绍 “冰河”木马采用木马的传统连接技术，包含两个文件：G_Client.exe和G_Server.exe。 G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，G_Server.exe是被监控端后台监控程序。打开控制端，弹出“冰河”主界面。 中国药科大学 Page */36 文件管理器对文件操作提供了下列鼠标操作功能： 1. 文件上传：右键单击欲上传的文件，选择复制，在目的目录中粘贴即可。也可以在目的目录中选择文件上传自，并选定欲上传的文件； 2. 文件下载：右键单击欲下载的文件，选择复制，在目的目录中粘贴即可。也可以在选定欲下载的文件后选择文件下载至，并选定目的目录及文件名； 3. 打开远程或本地文件：选定欲打开的文件,在弹出菜单中选择远程打开或本地打开，对于可执行文件若选择了远程打开，可以进一步设置文件的运行方式和运行参数(运行参数可为空)； 4. 删除文件或目录：选定欲删除的文件或目录，在弹出菜单中选择删除； 5. 新建目录：在弹出菜单中选择新建文件夹并输入目录名即可； 6. 文件查找：选定查找路径,在弹出菜单中选择文件查找，并输入文件名即可(支持通配符)； 7. 拷贝整个目录(只限于被监控端本机)：选定源目录并复制，选定目的目录并粘贴即可。 Page */36 单击“命令控制台”按钮，冰河的核心部分就在这里，点击“口令类命令”选择“系统信息及口令”项，点击“系统信息与口令”，得到下图所示的信息。 Page */36 命令控制台主要命令: 1. 口令类命令: 系统信息及口令、历史口令、击键记录； 2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如锁定注册表等)； 3. 网络类命令: 创建共享、删除共享、查看网络信息； 4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程)； 5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名； 6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。 Page */36 四、分角色演练 分组角色：学生A运行冰河木马程序的客户端，学生B运行服务器端。 Page */36 步骤一，攻击方法： （1）学生B在主机上运行冰河木马服务器端程序win.exe. （2）学生A启动G_Client.exe,利用快捷栏的添加主机按钮，将学生B主机的IP地址添加至主机列表。 （3）“确定”后，可以看到主机面上添加了学生B的主机。单击主机名，如连接成功，则会显示服务器端主机上的盘符。 （4）尝试使用冰河客户端的控制功能对目标主机进行控制，使用口令类命令查看系统信息及口令；使用控制类命令进行捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制操作；使用文件类命令进行添加目录，复制目录等操作。 Page */36 步骤二，防范方法： （1）学生B的主机速度明显变慢，为了删除“冰河”木马，可以选择用杀毒软件的方式或是手动删除的方式，这里我们采用手动删除的方式。 （2）在“开始”的“运行”里面输入regedit，打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除默认键值C:\WINNT\System32\kernel32.exe。 （3）进入C:\WINNT\System32目录，找到“冰河”木马的两个可执行文件Kernel32.exe和Sysexplr.exe文件删除。 （4）“冰河”木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，需要恢复txt文件关联功能，将注册表的 HKEY_CLASS