冰河木马实验报告材料.docx

1、冰河木马实验报告材料实 验 报 告实验名称网络攻防综合实验指导教师李曙红实验类型设计实验学时2实验时间一、实验目的1. 本次实验为考核实验，需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容：(1) 构建一个具有漏洞的服务器，利用漏洞对服务器进展入侵或攻击；(2) 利用网络安全工具或设备对入侵与攻击进展检测；(3) 能有效的对漏洞进展修补，提高系统的安全性，防止同种攻击的威胁。2 网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面，对学生的综合实验能力进展考核与评分，具体评分标准参考“评分标准文档。二、实验要求1.2人一组，要求每人分工不同，例如一人负责

2、网络攻击，一个负责网络防X。在实验过程和实验报告中要表现两人的不同分工。2.每组独立设计完成实验，不能雷同。3.实验过程中以下三个阶段需上机演示给指导教师观察：完成网络攻击、检测到攻击、完成网络防X。4.完成实验报告，能解释在实验使用到的技术或工具的根本原理。三、实验环境可以自由使用信息安全实验室的PC机，局域网，Linux服务器，Windows 服务器，防火墙，入侵检测系统等。四、实验设计方案、实验过程与实验结果作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。鉴于此，我们就选用冰河完本钱次实验。假如要使用冰河进展攻击，

3、如此冰河的安装是目标主机感染冰河是首先必须要做的。冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以与G_Server.exe。Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示。运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件G_Client.exe的计算机可以对感染机进展远程控制。冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完

4、全模拟键盘与鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘与鼠标操作将反映在被控端屏幕局域网适用。2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令与绝大多数在对话框中出现的口令信息。3、获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理与逻辑磁盘信息等多项系统数据。4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键与锁定注册表等多项功能限制。5、远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件正常方式、最小化、最大化、隐藏方式等多项文件操作功能。6、注册表操作

5、：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。7、发送信息：以四种常用图标向被控端发送简短信息。8、点对点通讯：以聊天室形式同被控端进展在线交谈等。实验过程：一、攻击1、入侵目标主机首先运行G_Client.exe，扫描主机。查找IP地址：在“起始域编辑框中输入要查找的IP地址，例如欲搜索IP地址“至“10.1.13.255网段的计算机，应将“起始域设为“，将“起始地址和“终止地址分别设为“1和“255由于我们是在宿舍做的，IP地址在100120之间，然后点“开始搜索按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。从上图可以看出，搜索结果中，每个IP前都

6、是ERR。地址前面的“ERR:表示这台计算机无法控制。所以，为了能够控制该计算机，我们就必须要让其感染冰河木马。1、远程连接使用Dos命令： net use ipipc$如如下图所示：2、磁盘映射。本实验：将目标主机的C：盘映射为本地主机上的X：盘如如下图所示3、将本地主机上的G_Server.exe拷贝到目标主机的磁盘中，并使其自动运行。如如下图所示：上图中，目标主机的C盘中没有G_Server.exe程序存在。此时，目标主机的C盘中已存在冰河的G_Server.exe程序，使用Dos命令添加启动事件，如如下图所示：首先，获取目标主机上的系统时间，然后根据该时间设置启动事件。此时，在目标主机

7、的Dos界面下，使用at命令，可看到：如下图为设定时间到达之前即G_Server.exe执行之前的注册表信息，可以看到在注册表下的：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun，其默认值并无任何值。当目标主机的系统时间到达设定时间之后，G_Server.exe程序自动启动，且无任何提示。从上图可以看到，HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun的默认值发生了改变。变成了：这就说明冰河木马安装成功，拥有G_Client.exe的计算机都可以对此

8、计算机进展控制了。此时，再次使用G_Client.exe搜索计算机，可得结果如如下图所示：从搜索结果可以看到，我们刚安装了冰河木马的计算机其IP：10.1.13.214的IP地址前变成了“OK:，而不是之前的“ERR:。下面对该计算机进展连接控制：上图显示，连接失败了，为什么呢？其实原因很简单，冰河木马是访问口令的，且不同版本的访问口令不尽一样，本实验中，我们使用的是冰河V2.2版，其访问口令是05181977，当我们在访问口令一栏输入该口令或者右击“文件管理器中的该IP，“修改口令，并点击应用，即可连接成功。连接成功了，我们就可以在“命令控制台下对该计算机进展相关的控制操作了。比如说：1、屏

9、幕控制。图像格式有BMP和JEPG两个选项，建议你选JEPG格式，因为它比拟小，便于网络传输。“图像色深第一格为单色，第二格为16色，第三格为256色，依此类推。“图像品质主要反响的是图像的清晰度。按“确定按钮后便出现远程计算机的当前屏幕内容。设置相关属性上图为查看到的远程屏幕，远程屏幕如如下图所示2、弹窗、发送消息“发送信息主要是让操作者选择适宜的“图标类型和“按钮类型，然后在“信息正文里写上要发送的信息，按“预览觉得满意后点“发送即可。3、进程控制“进程管理是“查看进程，了解远程计算机正在使用的进程，便于控制。4、修改服务器配置5、冰河信使以上是一些常用的控制命令，不过，冰河的强大功能当然

10、远远不尽于此，在此就不一一实现了。各类控制命令如如下图所示：二、防X与去除冰河当冰河的G_SErver.exe这个服务端程序在计算机上运行时，它不会有任何提示，而是在windows/system下建立应用程序“和“。假如试图手工删除，“可以删除，但是删除“时提示“无法删除kernel32.exe:指定文件正在被windows使用，按下“Ctrl+Alt+Del时也不可能找到“，先不管它，重新启动系统，一查找，“一定会又出来的。可以在纯DOS模式下手工删除掉这两个文件。再次重新启动，你猜发生了什么？再也进不去Windows系统了。重装系统后，再次运行G_Server.exe这个服务端程序，在“开

11、始“运行中输入“regedit打开注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下面发现=的存在，说明它是每次启动自动执行的。如下图为卸载冰河木马前的注册表信息：卸载去除：1、攻击你的主机良心发现，远程把你机器上的冰河木马卸载掉。步骤如如下图：2、自己动手，丰衣足食。步骤如下：如下图为去除冰河木马之后的注册表信息：五、实验小结包括问题和解决方法、心得体会、应用网络安全原理对实验中的现象与问题进展解释等 本节实验熟悉了ipc$空连接命令，熟悉了冰河控制其他计算机的过程，对网络入侵有了一定认识。通过本次实验体验了简单的网络攻防操作，对网络攻防有了更深的了解，在网络攻击和防护上有许许多多的方法和技术，但每一种方法和技术都有各自的限制和特定使用条件，我们要想攻克一个系统，需要进展仔仔细细的分析，使用多种方式进展尝试，才可能攻克。收获有：平时要保护好自己信息，应该做到以下几点：第一在自己电脑上安装能够实时更新的杀毒软件。第二在安装从网上下载下来的软件时一定要一步步看清楚各个选项。现在很多软件为了自身盈利的需要而夹杂了流氓软件，流氓软件安装之后又是极不容易卸载的。 第三不浏览来历不明的。五、指导教师评语成 绩批阅人日 期