第3章实验报告之识别与清除计算机木马.docVIP

BENET2.0 网络实战 –第3章 实验时间 2010年 xx 月 xx 日 xx 时～ xx 时 实验人 xxx 实验名称 实验之2 ：识别与清除计算机木马 所属模块及课程 网络实战 第3章 实验目的 通过本实验，熟悉识别与清除计算机木马的方法与步骤 实验 拓扑 实验 环境 与 思路 实验环境： 需要二台虚拟机， Win2003-1 操作系统为win2003，网卡设在VMNet2，IP：192.168.0.10，工作组模式， 充当目标主机 Winxp-1 操作系统为winxp，网卡设在VMNet2，IP：192.168.0.14，工作组模式， 充当黑客机 完成时间 35分钟 完成标准 通过远程将冰河木马送到其它电脑上，并实现远程控制目标主机 能够手工或通过软件清除冰河木马 实验思路 在win2003-1上运行冰河服务器端程序，即执行木马病毒 在winxp-1上通过冰河客户端程序连接到win2003-1，进行远程控制 在win2003-1上清除冰河 在win2003-1打补丁，亡羊补牢 实验步骤 1.运行冰河服务器端g_server.exe 执行 g_server.exe 2.在winxp-1上运行客户端g_client.exe。双击g_client.exe 在左侧空白处点右键，选择添加，主机名任取，如win03，主机地址输入目的地址192.168.0.10。也可“文件”－“自动搜索”，输入网段地址和起止地址搜索目的主机。 3. 上传文件到目的主机和复制目的主机的文件到本地 右键单击目的主机win03的C盘盘符，在弹出的菜单中选择“文件上传自”，选择本地的一个文本文件上传。在目的主机的C盘选择一个文本文件单击右键，选择“文件下载至”到本地主机 4.通过查看屏幕远程监控目标主机 点击“查看屏幕”，设置图像格式为JPEG，图像品质中等，点确定。此时可以通过屏幕远程监控到目标主机正在进行什么操作 5.玩玩对方。点击“命令控制台”－“控制类命令”－“鼠标控制”－“鼠标锁定”，锁定目标主机的鼠标。去目标主机检查鼠标状况。 6.点击“命令控制台”－“控制类命令”－“发送信息”给目标主机发送消息 7.点击“网络类命令”－“创建共享”，在路径中输入“c:\”，共享名为“share”，点击“创建共享”。去目标主机检查C盘共享状况。 8.点击“设置类命令”－“服务器端配置”－“修改服务器设置”-“基本设置“中修改监听端口号为8000，到目标主机上运行netstat –an检查监听的端口是否由7626改为8000。在“自我保护”中将“关联类型”设为TXTFILE,即打开文本文件即触发冰河。 9.在win2003-1上清除冰河 先在任务管理器中停止进程kernel32 10.在注册表中搜索关于kernel32的项目，删除对应目录下的病毒文件 11.删除启动项中的有关kernel32的项目。 12.此时看起来冰河像是被清除了，但如果双击任一.txt文件，因为冰河与文本文件相关联了，所以又激活另一进程sysexplr.exe。冰河服务器端又会运行。同上方法清除主机关于sysexplr.exe的文件。 13.在运行中输入“regedit”进入注册表，按ctrl+F搜索“kernel32.exe”，发现病毒的位置在c:\windows\system32。删除注册表中这条记录，再打开winrar压缩软件，在地址栏中输入c:\windows\system32，找到“kernel32.exe”，按住shift键，单击右键删除该病毒文件。同理找到sysexplr.exe.exe在c:\windows\system32\下，删除注册表记录和该病毒文件。 14.打补丁，亡羊补牢 清除kernel32和sysexplr.exe后，注意我们上传的服务端g_server.exe被没有被找到（而且此程序可以改名改图标来增加隐蔽性），也就是说木马的根源没有被清除，黑客可以在合适的时间再次运行它。所以打上系统补丁，开启防火墙，防止黑客的再次入侵是我们要做的事情。 介绍一种方法（选做）： 下载超级巡警V4.0打开该软件后， 点击“工具”－“补丁检查”。超级巡警将自动检查当前操作系统和应用软件，发现系统和应用软件的漏洞会提示下载补丁。选择要下载的补丁后，点击“下载安装补丁”，超级巡警将自动上网下载补丁并安装。 点击“工具”－“系统修复”点“全选”再点“修复”，修复被冰河修改的注册表及文件的关联关系。 当然也可以选择使用360安全卫士来进行漏洞修复 实验结果分析 实验中遇到的问题及解决方法 组长签字：  14