实验八报告木马病毒2冰河木马1.doc

计 算 机 病 毒 实验报告 姓 名： 学 号: 老 师： 一、实验目的 学会使用冰河软件控制远端服务器，执行后门攻击。了解木马的危害和攻击手段，为将来的防御和系统评估带来更高的认知度。 二、实验内容 在实验环境下，完成冰河病毒体验实验。 三、实验环境 ??硬件设备 1) 小组PC（WIN2003系统）一台，用于远程控制 2) 防火墙一台 3) 机架服务器（WIN2003系统）一台，用于使其受控 ??软件工具 1) 冰河软件（程序包，含客户端、服务端）用于实现控制 2) WireShark 我所使用的PC终端IP地址是：192.168._1__._ 2_ 被分配的Windows2003 服务器对象地址是： 192.168.1.251 本实验可单人或两人合作完成，从PC终端发起控制指令，使埋在服务器上的木马程序运行并连接到PC终端控制台上，完成整个实验过程。并通过该远程控制程序研究如果引诱放置并执行该受控程序，同时也须研究如何防御封堵此类危险的远程控制行为。 四、实验步骤 本实验由我和同学利用两台主机合作完成。 Step1：获取被控制主机的IP。 将G_server.exe程序放置一台主机(被控制的主机，即IP为192.168.1.1的主机)上并运行之。 在C盘中建立222.txt文件。 Step2：在终端PC 上，打开控制端程序：G_CLIENT.EXE。在冰河主窗口下，选择扫描图标。 Step3：在起始域中选择192.168.1，在起始地址为1，终止地址为50，单击开始。 Step4：扫描成功，单击关闭。 在G_CLIENT中打开一添加的计算机。 或在G_CLIENT中直接添加计算机。 添加成功，可以看到被控制主机中的所有文件。 可以看到被控制主机中在C盘建立的222.txt文件。复制到桌面。 打开查看内容。 Step5:点击冰河主界面空白部分，选择上传文件自，将一恶意网页病毒文件上传至被控制主机的C盘。 被控制端可以看到C盘中多了1.html 文件。 在控制端选择1.html文件，远程打开。方式选择正常打开方式即可。 文件打开成功，在被控制主机上可以看到恶意网页病毒运行现象。 多个360网页被打开。 在任务管理器关闭恶意打开的网页。 Step6:再在控制主机上传一恶意网页病毒(黑白变换)文件2.html至被控制主机。 上传成功后，选择远程打开。 被控制主机中现象如下： 单击鼠标，屏幕颜色停留为白色。 Step7：在桌面上新建文本文档text.txt 。进入编辑。 Step8：在文档的第一行输入net user sunshine sunshine /add 新增用户sunshine，密码 为sunshine。同时在第二行输入net localgroup administrators，将账户权限提升为管理员。 Step9：修改文本文档的扩展名为bat，便于远程执行。 Step10：在冰河主界面空白处，单击右键。出现菜单后选择文件上传自。选择刚刚建立的BAT文件：test.bat。单击打开。 Step11：上传成功后，右击图标，选择远程打开。 Step12：验证：远程登录到受控服务器是否已经成功新建账户sunshine。则在服务器上打开CMD 命令行。继续回到控制端终端PC，让打开控制端对应的DOS窗口。输入如下的命令：net use \\10.1.1.2\ipc$ sunshine/user:sunshine。打开被控制端的共享。 出现系统错误，实验终止。 五、心得体会