冰河木马实验报告.docx

实验报告

试验名称试验类型

网络攻防综合试验设计 试验学时 8

指导教师试验时间

一、试验目的

1.本次试验为考核试验，需要独立设计完成一次网络攻防的综合试验。设计的试验中要包括以下几个方面内容：

构建一个具有漏洞的效劳器，利用漏洞对效劳器进展入侵或攻击；

利用网络安全工具或设备对入侵与攻击进展检测；

能有效的对漏洞进展修补，提高系统的安全性，避开同种攻击的威逼。

2 网络攻防综合试验将从试验设计、试验过程、试验结果、试验报告几个方面，对学生的综合试验力量进展考核与评分，具体评分标准参考“评分标准”文档。

二、试验要求

2人一组，要求每人分工不同，例如一人负责网络攻击，一个负责网络防范。在试验过程和试验报告中要表达两人的不同分工。

每组独立设计完成试验，不能雷同。

试验过程中以下三个阶段需上机演示给指导教师观察：完成网络攻击、检测到攻击、完成网络防范。

完成试验报告，能解释在试验使用到的技术或工具的根本原理。

三、试验环境

可以自由使用信息安全试验室的PC机，局域网，Linux效劳器，Windows效劳器，防火墙，入侵检测系统等。

四、试验设计方案、试验过程及试验结果

作为一款流行的远程掌握工具，在面世的初期，冰河就曾经以其简洁的操作方法和强大的掌握力令人胆寒，可以说到达了谈冰色变的地步。鉴于此，我们就选用冰河完本钱次试验。

假设要使用冰河进展攻击，则冰河的安装〔是目标主机感染冰河〕是首先必需要做的。冰河掌握工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。Readme.txt简洁介绍冰河的使用。G_Client.exe是监控端执行程序，可以用于监控

远程计算机和配置效劳器。G_Server.exe是被监控端后台监控程序〔运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示〕。运行G_Server.exe后，该效劳端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件

〔G_Client.exe〕的计算机可以对感染机进展远程掌握。

冰河木马的使用：

1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕〔局域网适用〕。

2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中消灭的口令信息。

3、猎取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示区分率、物理及规律磁盘信息等多项系统数据。

4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

5、远程文件操作：包括创立、上传、下载、复制、伤处文件或名目、文件压缩、快速扫瞄文本文件、远程翻开文件〔正常方式、最小化、最大化、隐蔽方式〕等多项文件操作功能。

6、注册表操作：包括对主键的扫瞄、增删、复制、重命名和对键值的读写等全部注册表操作功能。

7、发送信息：以四种常用图标向被控端发送简短信息。

8、点对点通讯：以谈天室形式同被控端进展在线交谈等。

试验过程：

一、攻击

1、入侵目标主机

首先运行G_Client.exe，扫描主机。

查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜寻IP地址“192.168.1.1”至“192.168.1.255”网段的计算机，应将“起始域”设为“192.168.1”，

将“起始地址”和“终止地址”分别设为“1”和“255”〔由于我们是在宿舍做的，IP地址在100~120之间〕，然后点“开头搜寻”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

从上图可以看出，搜寻结果中，每个IP前都是ERR。地址前面的“ERR:”表示这台计算机无法掌握。

所以，为了能够掌握该计算机，我们就必需要让其感染冰河木马。

1、远程连接

使用Dos命令：netuse\\ip\ipc$如以下图所示：

2、磁盘映射。

本试验：将目标主机的C：盘映射为本地主机上的X：盘

如以下图所示

3、将本地主机上的G_Server.exe拷贝到目标主机的磁盘中，并使其自动运行。如以下图所示：

上图中，目标主机的C盘中没有G_Server.exe程序存在。

此时，目标主机的C盘中已存在冰河的G_Server.exe程序，使用Dos命令添加启动大事，如以下图所示：

首先，猎取目标主机上的系统时间，然后依据该时间设置启动大事。

此时，在目标主机的Dos界面下，使用at命令，可看到：

以下图为设定时间到达之前〔即G_Server.exe执行之前〕的注册表信息，可以看到在注册表下的：HKEY_LOCAL_MA