冰河木马入侵和防护试验报告-read.docVIP

冰河木马入侵和防护实验报告 实验目的 通过使用 IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 实验原理 IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。利用20CN IPC扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。 冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。 实验条件 工具 扫描端口工具：20CN IPC扫描器 木马程序：冰河ROSE 版 实验平台 WINDOWS XP，机房局域网。 实验步骤 实验分两步，入侵和查杀木马 入侵实验 扫描网络中的IPC$漏洞并植入木马 打开扫描器（见图1） 图-1 20CN 扫描器 设置扫描的IP开始和结束地址（见图2） 图-2 扫描器设置 本次实验我们扫描IP地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。选择要植入的木马程序，我们选择冰河木马（见标号2）。扫描过程显示每个IP的扫描结果（见标号3）。扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。 连接登陆远程主机 打开冰河木马程序客户端，选择 文件—搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3） 图-3 冰河木马程序客户端 搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。 或者点击 文件—添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。 图-4 添加远程主机的IP进行连接 我看到（标号2）出现192.168.3.28和192.168.3.29两台远程主机的IP，表示可以与这两台主机连接。 控制操纵远程主机 点击主机的IP地址，与他建立连接，我们选择192.168.3.28（见图5） 图-5 操纵远程主机的文件管理器 右边出现该主机的盘符，点击可以打开查看，并且可以下载其中的文件，保存到本机。 点击命令控制台，可以进一步控制主机（图6） 图-6 命令控制台 左边出现口令类命令、控制类命令、网络类命令、文件类命令、注册表读写、设置类命令。 口令类命令 口令类命令分系统系统口令、历史口令和击键记录。 系统信息及口令（见图7） 图-7 系统信息及口令 有四个按钮，可以查看远程主机的系统信息，包括其详细配置情况、系统设置、各盘符的使用情况等，还可以获取开机口令、缓存口令、其他口令。 控制类命令 控制类命令分捕获屏幕、发送信息、进程管理、窗口管理、系统控制、鼠标控制及其他控制。 捕获屏幕（见图8） 图-8 屏幕控制 屏幕控制可以查看远程主机的屏幕（见标号1），掌握远程主机上的一举一动，还可以根据网络情况制定不同的传送方案（见标号2）。 发送信息（如图9） 图-9 发送信息 可以向被控制的主机发送一条消息，在远程主机将跳出一个窗口（见标号1处），本机上可以设置跳出窗口的标题、图标类型（提示、警告、通知）、信息正文、按键类型（确定、取消、忽略、调试）（见标号2处）。 . 控制进程（如图10） 图-10 进程管理 可以查看远程主机的所有进程信息，并可终止进程。 其他控制类命令窗口管理、系统控制、鼠标控制及其他控制本文就不在列举。 网络类命令有创建共享、删除共享、网络信息。（图11） 图-11 网络类命令中创建共享 创建共享可以把远程主机上的文件设为共享并设定共享名。 删除共享则把远程主机上的共享删除，消除入侵痕迹。 网络信息可查看远程主机的网络连接等信息。 文件类命令：修改远程主机的文件信息。 注册表读写：修改远程主机的注册表信息。 设置类命令：设置远程主机的一些配置。 查杀木马 当我们发现机器无故经常重启、密码信息泄露、桌面不正常时，可能就是中了木马程序，需要进行杀毒。 判断是否存在木马：一般病毒都需要修改注册表，我们可以在注册表中查看到木马的痕迹。在“开始”---“运行”，输入“regedit”，这样就进入了注册表编辑器，依次打开子键目录“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run”（如图12） 图-12 注册表中的Run子键 在目录中我们发现第一项的数据 “C：\WINDOWS\system32\Kernel32.exe”（见标号1），Kernel32.ex