L00300冰河木马安全测试.docx

L00300冰河木马安全测试.docx

《L00300冰河木马安全测试.docx》由会员分享，可在线阅读，更多相关《L00300冰河木马安全测试.docx（19页珍藏版）》请在冰点文库上搜索。

L00300冰河木马安全测试

 课程编写

类别

内容

实验课题名称

L003002003-冰河木马安全测试

实验目的与要求

本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

实验环境

VPC1（虚拟PC）

操作系统类型：

windowsserver2003和windowsXPprofessional，网络接口：

本地连接

VPC1 连接要求

PC 网络接口，本地连接与实验网络直连

软件描述

1、学生机要求安装java环境

2、windowsserver2003系统和windowsXPprofessional，冰河木马软件（服务器和客户端）。

实验环境描述

1、 学生机与实验室网络直连；

2、 VPC1与实验室网络直连；

3、 学生机与VPC1物理链路连通；

预备知识

7、会打开注册表

8、会查看ip地址

实验内容

本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

实验步骤

  学生登录实验场景的操作

（1）学生单击“网络拓扑”进入实验场景，单击windows2003中的“打开控制台”按钮，进入目标主机。

如图所示：

2、学生输入账号administrator,密码123456，登录到实验场景中的目标主机。

如图所示:

3、双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图解压结果如图所示。

4、冰河木马共有两个应用程序，见图，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

5、在种木马之前，我们在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：

HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:

\winnt\system32\notepad.exe%1，见图。

6、再打开受控端计算机的c:

\winnt\system32文件夹（XP系统为C:

\windows\system32），我们不能找到sysexplr.exe文件，如图所示。

7、现在我们在受控端计算机中双击Win32.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生。

（此时cpu使用率为100%）我们也可以打开受控端计算机的注册表，查看打开.txt文件的应用程序注册项：

HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以发现，这时它的值为C:

\winnt\system32\sysexplr.exe%1，见图。

8、我们再打开受控端计算机的C:

\WINNT\System32文件夹，这时我们可以找到sysexplr.exe文件，如图所示。

9、我们在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主控程序）。

可以看到如图所示界面。

10、我们在该界面的【访问口令】编辑框中输入访问密码：

12211987，设置访问密码，然后点击【应用】，见图。

11、点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，弹出图11所示的服务器配置对话框。

图11:

12、在服务器配置对话框中对待配置文件进行设置，如图11点击该按钮，找到服务器程序文件win32.exe，打开该文件；再在访问口令框中输入12211987，然后点击【确定】，就对服务器已经配置完毕，关闭对话框。

13、现在在主控端程序中添加需要控制的受控端计算机，我们先在受控端计算机中查看其IP地址，（本例中为172.16.8.62）。

14、这时可以在我们的主控端计算机程序中添加受控端计算机了，详细过程见图

15、当受控端计算机添加成功之后，我们可以看到图所示界面。

16、我们也可以采用自动搜索的方式添加受控端计算机，方法是点击【文件】->【自动搜索】，打开自动搜索对话框。

17、搜索结束时，我们发现在搜索结果栏中IP地址为172.16.8.62的项旁状态为OK，表示搜索到IP地址为172.16.8.62的计算机已经中了冰河木马，且系统自动将该计算机添加到主控程序中。

18、将受控端计算机添加后，我们可以浏览受控端计算机中的文件系统

19、我们还可以对受控端计算机中的文件进行复制与粘贴操作，把C盘中的boot.ini文件拷贝到D盘中，见图。

20、在受控端计算机中进行查看，可以发现在相应的文件夹中确实多了一个刚复制的文件，该图为受控端计算机中文件夹。

21、我们可以在主控端计算机上观看受控端计算机的屏幕，方法见图

22、这时在屏幕的左上角有一个窗口，该窗口中的图像即受控端计算机的屏幕见图。

23、我们将左上角的窗口全屏显示，可得如图所示（屏幕的具体状态应视具体实验而不同）。

24、我们在受控端计算机上进行验证发现：

主控端捕获的屏幕和受控端上的屏幕非常吻合。

见图

25、我们可以通过屏幕来对受控端计算机进行控制，方法见图，进行控制时，我们会发现操作远程主机，就好像在本地机进行操作一样。

26、我们还可以通过冰河信使功能和服务器方进行聊天，具体见图，当主控端发起信使通信之后，受控端也可以向主控端发送消息了。

27、实验小结

通过本次实验，我们可以学会冰河木马的使用，从而理解木马的工作原理及木马的本来面目。