冰河木马实验.docVIP

PAGE PAGE 1 冰河木马实验实验报告 实验目的与要求: 了解木马运行机理 掌握查杀木马的基本方法。 实验重点与难点: 重点： 对目标机使用冰河软件进行感染后控制 清除冰河木马病毒 难点： 清除冰河木马病毒 仪器设备及用具: 连网的个人计算机 Windows 2000 系统平台 实验内容： 　1.冰河木马的组成 1)G_Server.exe：被监控端后台监控程序，在安装前可以先通过“G_Client.exe”进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听 端口、 设置访问口令等。黑客们想方设法对它进行伪装，用各种方法将 服务器端程序安装在你的电脑上，程序运行的时候一点痕迹也没有，你是很难发现有木马冰河在你的电脑上运行的; 　　 2)G_Client.exe： 监控端执行程序，用于监控远程计算机和配置服务器程序; 　　 3)Operate.ini：G_Server.exe的配置文件; 　　 2.冰河木马的使用 1）将G_Server.exe植入到目标主机 2 ）打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。 对服务器进行简单配置。监听端口2001可更换（范围在1024~32768之间）；关联可更改为与EXE文件关联（就是无论运行什么exe文件，冰河就开始加载；还有关键的邮件通知设置： A.服务器的配置 1)安装路径：即 服务器 程序安装的位置，有三个选项：分别为“ Windows”、“System”、“Temp”，这些都是Windows里的一些目录; 2) 文件名称：是服务器程序安装到目标 计算机之后的名称，默认是Winoldap.exe，对于不熟悉Windows系统的 用户来说，这可像是一个 系统程序啊。当然，这个名称是可以改的; 3)进程名称：服务器程序运行时，在进程栏中显示的名称。默认的进程名是Windows，也可以更改; 4)访问口令：客户机连接服务器程序时需要输入的口令。如果用于远程控制的时候，可以在一定程度上限制客户端程序的使用; 5)敏感字符： 设置冰河程序对某些敏感字符的信息加以记录。冰河把这些包含文字的信息保存下来，然后通过各种途径发给 黑客; 6)提示信息：被控制计算机运行时，弹出的对话框信息。如果为空的话，程序运行时就没有任何提示; 7)监听 端口：设置服务器程序在哪个端口等待客户程序的连接，以前的默认设置是 7626，在冰河 8.0版本中，端口号已经改为了2001; 8)自动 删除安装程序：如果选中此项的话，会自动删除安装程序; 9)禁止自动拨号：如果不选中此项的话，每次开机时，冰河就会自动拨号 上网，然后把系统信息发送到指定的邮箱。通常，黑客们都不会轻易暴露自己，所以他们会选中该项; 10)待配置文件：服务器程序的名称，原始的文件名是G_Server.exe。 　B.【自动保护】的配置： 　　如图所示，它可以设置服务器程序在目标计算机上的一些配置。 具体包括： 　　1)写入注册表启动项：选中此项的话，每次系统启动时都会自动运行冰河。它在注册表中的位置是：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\runservice; 　　2)键名：在注册表中的名称; 　　3)关联：这是一个令冰河死灰复燃的 功能。如果选中的话，当关联文件是文本文件的时候，用户执行文本文件之后，就会自动装载冰河;同样的道理， 选择可执行程序关联后，可执行程序也会自动装载冰河。 C.邮件通知的配置 　　1)SMTP服务器：冰河用来发送邮件的服务器，例如smtp.263 .net等; 　　2)接收信箱：这就是黑客用来接受目标计算机信息的信箱; 　　3)邮件内容：包括系统信息、开机口令、缓存口令、共享资源信息等，也可以只选择其中一项或几项。 3）搜索计算机 找到开启2001端口的计算机尝试连接控制。 3.冰河木马的清除 来 检测自己的计算机是否中了冰河， 那就是在本机上执行冰河客户端程序，进行自动搜索，搜索的网段设置要短，并且要包含本机的固定IP，如果发现本机IP的前面出现OK的话，那就意味着的存在。要消除冰河的话，在客户端执行 系统控制里的“自动卸载冰河”即可。此方法简单易用，并且卸载地比较彻底。