L00300冰河木马安全测试.docx
《L00300冰河木马安全测试.docx》由会员分享,可在线阅读,更多相关《L00300冰河木马安全测试.docx(19页珍藏版)》请在冰点文库上搜索。
![L00300冰河木马安全测试.docx](https://file1.bingdoc.com/fileroot1/2023-7/14/a7bd862f-a609-4468-a186-28c4c26c558c/a7bd862f-a609-4468-a186-28c4c26c558c1.gif)
L00300冰河木马安全测试
课程编写
类别
内容
实验课题名称
L003002003-冰河木马安全测试
实验目的与要求
本次实验学习冰河木马远程控制软件的使用,通过实验可以了解木马和计算机病毒的区别,熟悉使用木马进行网络攻击的原理和方法。
实验环境
VPC1(虚拟PC)
操作系统类型:
windowsserver2003和windowsXPprofessional,网络接口:
本地连接
VPC1 连接要求
PC 网络接口,本地连接与实验网络直连
软件描述
1、学生机要求安装java环境
2、windowsserver2003系统和windowsXPprofessional,冰河木马软件(服务器和客户端)。
实验环境描述
1、 学生机与实验室网络直连;
2、 VPC1与实验室网络直连;
3、 学生机与VPC1物理链路连通;
预备知识
7、会打开注册表
8、会查看ip地址
实验内容
本次实验学习冰河木马远程控制软件的使用,通过实验可以了解木马和计算机病毒的区别,熟悉使用木马进行网络攻击的原理和方法。
实验步骤
学生登录实验场景的操作
(1)学生单击“网络拓扑”进入实验场景,单击windows2003中的“打开控制台”按钮,进入目标主机。
如图所示:
2、学生输入账号administrator,密码123456,登录到实验场景中的目标主机。
如图所示:
3、双击冰河木马.rar文件,将其进行解压,解压路径可以自定义。
解压过程见图解压结果如图所示。
4、冰河木马共有两个应用程序,见图,其中win32.exe是服务器程序,属于木马受控端程序,种木马时,我们需将该程序放入到受控端的计算机中,然后双击该程序即可;另一个是木马的客户端程序,属于木马的主控端程序。
5、在种木马之前,我们在受控端计算机中打开注册表,查看打开txtfile的应用程序注册项:
HKEY_CLASSES_ROOT\txtfile\shell\open\command,可以看到打开.txt文件默认值是c:
\winnt\system32\notepad.exe%1,见图。
6、再打开受控端计算机的c:
\winnt\system32文件夹(XP系统为C:
\windows\system32),我们不能找到sysexplr.exe文件,如图所示。
7、现在我们在受控端计算机中双击Win32.exe图标,将木马种入受控端计算机中,表面上好像没有任何事情发生。
(此时cpu使用率为100%)我们也可以打开受控端计算机的注册表,查看打开.txt文件的应用程序注册项:
HKEY_CLASSES_ROOT\txtfile\shell\open\command,可以发现,这时它的值为C:
\winnt\system32\sysexplr.exe%1,见图。
8、我们再打开受控端计算机的C:
\WINNT\System32文件夹,这时我们可以找到sysexplr.exe文件,如图所示。
9、我们在主控端计算机中,双击Y_Client.exe图标,打开木马的客户端程序(主控程序)。
可以看到如图所示界面。
10、我们在该界面的【访问口令】编辑框中输入访问密码:
12211987,设置访问密码,然后点击【应用】,见图。
11、点击【设置】->【配置服务器程序】菜单选项对服务器进行配置,弹出图11所示的服务器配置对话框。
图11:
12、在服务器配置对话框中对待配置文件进行设置,如图11点击该按钮,找到服务器程序文件win32.exe,打开该文件;再在访问口令框中输入12211987,然后点击【确定】,就对服务器已经配置完毕,关闭对话框。
13、现在在主控端程序中添加需要控制的受控端计算机,我们先在受控端计算机中查看其IP地址,(本例中为172.16.8.62)。
14、这时可以在我们的主控端计算机程序中添加受控端计算机了,详细过程见图
15、当受控端计算机添加成功之后,我们可以看到图所示界面。
16、我们也可以采用自动搜索的方式添加受控端计算机,方法是点击【文件】->【自动搜索】,打开自动搜索对话框。
17、搜索结束时,我们发现在搜索结果栏中IP地址为172.16.8.62的项旁状态为OK,表示搜索到IP地址为172.16.8.62的计算机已经中了冰河木马,且系统自动将该计算机添加到主控程序中。
18、将受控端计算机添加后,我们可以浏览受控端计算机中的文件系统
19、我们还可以对受控端计算机中的文件进行复制与粘贴操作,把C盘中的boot.ini文件拷贝到D盘中,见图。
20、在受控端计算机中进行查看,可以发现在相应的文件夹中确实多了一个刚复制的文件,该图为受控端计算机中文件夹。
21、我们可以在主控端计算机上观看受控端计算机的屏幕,方法见图
22、这时在屏幕的左上角有一个窗口,该窗口中的图像即受控端计算机的屏幕见图。
23、我们将左上角的窗口全屏显示,可得如图所示(屏幕的具体状态应视具体实验而不同)。
24、我们在受控端计算机上进行验证发现:
主控端捕获的屏幕和受控端上的屏幕非常吻合。
见图
25、我们可以通过屏幕来对受控端计算机进行控制,方法见图,进行控制时,我们会发现操作远程主机,就好像在本地机进行操作一样。
26、我们还可以通过冰河信使功能和服务器方进行聊天,具体见图,当主控端发起信使通信之后,受控端也可以向主控端发送消息了。
27、实验小结
通过本次实验,我们可以学会冰河木马的使用,从而理解木马的工作原理及木马的本来面目。