冰河木马的入侵

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

网络安全实验报告冰河木马实验网络10-2班 XXX 08103635一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、打开杀毒软件查杀冰河木马；4、再次在B上种入冰河木马，并手动删除冰河木马，修改注册表和文件关联。

三、实验准备1、在两台计算机上关闭杀毒软件；2、下载冰河木马软件；3、阅读冰河木马的关联文件。

四、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

五、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全防护能力，本实验旨在通过模拟冰河木马攻击，了解其攻击原理、传播途径以及防护措施。

实验过程中，我们将使用虚拟机环境，模拟真实网络环境下的木马攻击，并采取相应的防护措施。

二、实验目的1. 了解冰河木马的攻击原理和传播途径。

2. 掌握网络安全防护的基本方法，提高网络安全意识。

3. 熟悉网络安全工具的使用，为实际网络安全工作打下基础。

三、实验环境1. 操作系统：Windows 10、Linux Ubuntu2. 虚拟机软件：VMware Workstation3. 木马程序：冰河木马4. 网络安全工具：杀毒软件、防火墙四、实验步骤1. 搭建实验环境（1）在VMware Workstation中创建两个虚拟机，分别为攻击机和被攻击机。

（2）攻击机安装Windows 10操作系统，被攻击机安装Linux Ubuntu操作系统。

（3）在攻击机上下载冰河木马程序，包括GClient.exe和GServer.exe。

2. 模拟冰河木马攻击（1）在攻击机上运行GClient.exe，连接到被攻击机的GServer.exe。

（2）通过GClient.exe，获取被攻击机的远程桌面控制权，查看被攻击机的文件、运行进程等信息。

（3）尝试在被攻击机上执行恶意操作，如修改系统设置、删除文件等。

3. 检测与防护（1）在被攻击机上安装杀毒软件，对系统进行全盘扫描，查杀木马病毒。

（2）关闭被攻击机的远程桌面服务，防止木马再次连接。

（3）设置防火墙规则，阻止不明来源的连接请求。

4. 修复与恢复（1）对被攻击机进行系统备份，以防数据丢失。

（2）修复被木马破坏的系统设置和文件。

（3）重新安装必要的软件，确保系统正常运行。

五、实验结果与分析1. 攻击成功通过实验，我们成功模拟了冰河木马攻击过程，攻击机成功获取了被攻击机的远程桌面控制权，并尝试执行恶意操作。

2. 防护措施有效在采取防护措施后，成功阻止了木马再次连接，并修复了被破坏的系统设置和文件。

木马和冰河的使用！【教程】木马大家对他的名字很熟悉吧？？是啊木马作为一个远程控制的软件已经深入人心，木马是什么那？如何使用木马程序控制他人那？？先不要着急，我们来看看木马的发展，对这个工具作一个简单的介绍：黑客程序里的特洛伊木马有以下的特点：（1）主程序有两个，一个是服务端，另一个是控制端。

（如果你下载了，请千万不要用鼠标双击服务器端）（2）服务端需要在主机（被你控制的电脑）执行。

（3）一般特洛伊木马程序都是隐蔽的进程。

（需要专业的软件来查杀，也有不用软件查杀的办法，我会介绍）（4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。

而服务端主机在接受命令后，会执行相应的任务。

（5）每个系统都存在特洛伊木马。

（包括Windows，Unix，liunx等）眼中，特洛伊木马是一种病毒。

其实特洛伊木马并不是一种病毒，它没有完全具备病毒的性质。

（包括：转播，感染文件等，但是很多的杀毒软件还是可以查杀，毕竟这是一种使用简单但是危害比较大的软件）木马的发展：第一代木马：控制端-- 连接-- 服务端特点：属于被动型木马。

能上传，下载，修改注册表，得到内存密码等。

典型木马：冰河，NetSpy，back orifice（简称：BO）等。

第二代木马：服务端-- 连接-- 控制端特点：属于主动型木马。

隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态连接库）隐藏进程的，甚至出现能传播的木马。

典型木马：网络神偷，广外女生等。

（反弹端口型木马）第二代木马象广外女生可以使用WINDOWS的漏洞，越过许多防火墙从而进行对系统的监控（像金山，天网等）随着木马的发展，并且作为很多人使用的软件，杀毒软件也越来越对这个传播很广的半病毒不病毒的软件越来越关注（因为作为服务器端可以夹带在任何文件中传播，只要你打开这个文件，你就肯定会被中上木马，甚至可以在网络上通过下载来传播）所以查杀木马的工具很多，但是道高一尺，魔高一丈，木马又不断演化出新的品种来对抗杀毒软件，毕竟中国的广大网民的安全意识不高，加上盗版猖狂，可以正式在网络上进行升级的并不多，所以木马还是很有使用空间的。

怎么用冰河木马（冰河木马教程）点这里下载==》冰河木马从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为） 虽然过时了 但6.0的到现在也有人用的不少 现在为大家送上教程 新手们看好了 不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河v6.0GLUOSHI 专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way ，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么？ 因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K ，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

网络安全实验报告冰河木马实验实验目的：1.了解冰河木马的原理和特点；2.掌握冰河木马部署的方法以及检测与防御手段。

实验器材：1. 安装有Windows操作系统的虚拟机；2.冰河木马部署工具。

实验步骤：1.安装虚拟机：根据实验需要，选择合适的虚拟机软件，并安装Windows操作系统。

2.配置网络环境：将虚拟机的网络模式设置为桥接模式，使其可以直接连入局域网。

4.部署冰河木马：a)打开解压后的冰河木马部署工具；b)输入冰河木马的监听端口号；c)选择合适的木马文件类型并输入要部署的木马文件名；d)点击部署按钮，等待部署完成。

5.运行冰河木马：a)在虚拟机上运行冰河木马；b)冰河木马将开始监听指定的端口。

6.外部操作：a)在外部主机上打开浏览器，输入虚拟机IP地址和冰河木马监听端口号；实验原理：冰河木马是一种隐蔽性极高的网络攻击工具，其中”冰河”是指冰山一角，表示用户常用的木马查杀工具只能发现一小部分木马样本，而多数都无法查杀。

它通过监听指定端口，接收外部指令，并将得到的内容通过HTTP协议加密封装成HTTP请求发送给指定服务器。

可以通过浏览器的方式来控制远程主机。

实验总结：本次实验中，我通过部署和运行冰河木马对实验环境进行了攻击模拟。

冰河木马以其良好的隐蔽性和强大的功能，使得安全防护变得更加困难。

冰河木马能够对目标计算机进行文件传输、进程控制等操作，使得攻击者可以远程控制受害机器，对其进行攻击、窃取敏感信息等。

为了提高网络安全，我们需要采取以下防御措施：1.及时更新系统和应用程序的补丁，修复可能存在的安全漏洞；2.安装并定期更新杀毒软件和防火墙，提高恶意程序的检测和防范能力；3.加强网络安全意识教育，防止员工被钓鱼、诈骗等方式获取重要信息；4.强化网络审计和监控，及时发现并处置网络攻击行为；5.配置安全策略，限制外部访问和流量。

通过本次实验，我对冰河木马的工作原理有了一定的认识，并学会了一些基本的防御手段，这对我今后从事网络安全工作有着重要的意义。

冰河木马防范措施引言随着网络环境的不断进步和发展，网络安全威胁也日益增多。

其中之一的木马病毒被认为是网络安全中最严重的一种威胁之一。

而冰河木马作为木马病毒的一种，其具有隐蔽性强、入侵难以被检测以及攻击后门等特点，给互联网用户的安全带来了巨大的威胁。

在本文中，我们将探讨冰河木马的防范措施以及如何保护自己免受其攻击。

什么是冰河木马？冰河木马是一种高度隐蔽的远程控制木马，其名字来源于其对抗能力强大，可以有效躲避常规的安全防护措施，如防火墙和杀毒软件。

冰河木马可以通过对网络流量进行重定向和篡改，将受感染主机与控制服务器建立起联系，从而实现对主机的远程控制和操控。

冰河木马的攻击方式通常包括以下几种:1.欺骗性的电子邮件附件或链接：攻击者通过电子邮件发送伪装成常见文件的恶意程序，一旦用户点击或下载该附件或链接，冰河木马将被激活并感染主机。

2.恶意网站下载：用户在浏览互联网时访问了一个被感染的恶意网站，下载了一个包含冰河木马的程序文件，从而导致主机被感染。

3.受感染的外部设备：攻击者将冰河木马植入可移动存储媒介（如USB闪存驱动器），然后将其插入目标主机，从而感染该主机。

冰河木马的防范措施为了保护自己不被冰河木马攻击，在以下几个方面采取相应的防范措施是至关重要的。

1. 安装可靠的安全软件安装可靠的防火墙和杀毒软件是有效防范冰河木马的第一步。

这些软件可以帮助用户检测和删除潜在的冰河木马，同时也能够阻止未经授权的远程访问和网络连接。

确保你的防火墙和杀毒软件是最新版本，并及时更新其病毒数据库。

定期进行全盘扫描以确保系统安全。

2. 注意电子邮件和链接的可信度冰河木马经常通过电子邮件附件或链接进行传播。

因此，要注意来自不可信来源的电子邮件和链接。

不要打开未知或可疑的邮件附件，也不要点击未知来源的链接。

此外，要注意不要向任何可疑的邮件或网站提供个人信息。

3. 更新操作系统和软件定期更新操作系统和软件是防范冰河木马的重要步骤。

冰河⽊马病毒⼊侵与防范详细实验报告图⽂教程⽬录简介 (1)⼯作原理 (1)步骤流程 (5)功能 (18)清除⽅法 (19)结论 (20)简介冰河⽊马开发于1999年，在设计之初，开发者的本意是编写⼀个功能强⼤的远程控制软件。

但⼀经推出，就依靠其强⼤的功能成为了⿊客们发动⼊侵的⼯具，并结束了国外⽊马⼀统天下的局⾯，成为国产⽊马的标志和代名词。

在2006年之前，冰河在国内⼀直是不可动摇的领军⽊马，在国内没⽤过冰河的⼈等于没⽤过⽊马，由此可见冰河⽊马在国内的影响⼒之巨⼤。

⽬的：远程访问、控制。

选择：可⼈为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

从⼀定程度上可以说冰河是最有名的⽊马了，就连刚接触电脑的⽤户也听说过它。

虽然许多杀毒软件可以查杀它，但国内仍有⼏⼗万中冰河的电脑存在！作为⽊马，冰河创造了最多⼈使⽤、最多⼈中弹的奇迹！现在⽹上⼜出现了许多的冰河变种程序，我们这⾥介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端⼝为7626。

⼀旦运⾏G-server，那么该程序就会在C:/Windows/system⽬录下⽣成Kernel32.exe和sysexplr.exe，并删除⾃⾝。

Kernel32.exe在系统启动时⾃动加载运⾏，sysexplr.exe和TXT⽂件关联。

即使你删除了Kernel32.exe，但只要你打开TXT ⽂件，sysexplr.exe就会被激活，它将再次⽣成Kernel32.exe，于是冰河⼜回来了！这就是冰河屡删不⽌的原因。

⼯作原理冰河⽊马是⽤C++Builder写的，为了便于⼤家理解，我将⽤相对⽐较简单的VB来说明它，其中涉及到⼀些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。

⼀、基础篇（揭开⽊马的神秘⾯纱）⽆论⼤家把⽊马看得多神秘，也⽆论⽊马能实现多么强⼤的功能，⽊马，其实质只是⼀个⽹络客户/服务程序。

怎么用冰河木马（冰河木马教程）点这里下载==》冰河木马从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为）虽然过时了但6.0的到现在也有人用的不少现在为大家送上教程新手们看好了不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河v6.0GLUOSHI专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么？因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

路由器命令router> 用户模式1：进入特权模式 enablerouter > enablerouter #2：进入全局配置模式 configure terminalrouter > enablerouter #configure terminalrouter (conf)#3：交换机命名 hostname routera 以routerA为例router > enablerouter #configure terminalrouter(conf)#hostname routerAroutera (conf)#4：配置使能口令 enable password cisco 以cisco为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# enable password cisco5：配置使能密码 enable secret ciscolab 以cicsolab为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# enable secret ciscolab6：进入路由器某一端口 interface fastehernet 0/17 以17端口为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# interface fastehernet 0/17routerA (conf-if)#进入路由器的某一子端口 interface fastethernet 0/17.1 以17端口的1子端口为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# interface fastehernet 0/17.17：设置端口ip地址信息router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA(conf)# interface fastehernet 0/17 以17端口为例routerA (conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码routerA (conf-if)#no shut 是配置处于运行中routerA (conf-if)#exit8：查看命令 showrouter > enablerouter # show version 察看系统中的所有版本信息show interface vlan 1 查看交换机有关ip 协议的配置信息show running-configure 查看交换机当前起作用的配置信息show interface fastethernet 0/1 察看交换机1接口具体配置和统计信息show mac-address-table 查看mac地址表show mac-address-table aging-time 查看mac地址表自动老化时间show controllers serial + 编号查看串口类型show ip router 查看路由器的路由表9：cdp相关命令router > enablerouter # show cdp 查看设备的cdp全局配置信息show cdp interface fastethernet 0/17 查看17端口的cdp配置信息show cdp traffic 查看有关cdp包的统计信息show cdp nerghbors 列出与设备相连的cisco设备10：csico2600的密码恢复重新启动路由器，在启动过程中按下win+break键，使路由器进入rom monitor在提示符下输入命令修改配置寄存器的值，然后重新启动路由器remmon1>confreg 0x2142remmon2>reset重新启动路由器后进入setup模式，选择“no”，退回到exec模式，此时路由器原有的配置仍然保存在startup-config中，为使路由器恢复密码后配置不变把startup-config中配置保存到running-config中，然后重新设置enable密码，并把配置寄存器改回0x2102：router>enablerouter#copy startup-config running-configrouter#configure terminalrouter(conf)#enable password ciscorouter(conf)#config-register 0x2102保存当前配置到startup-config , 重新启动路由器。

计算机病毒实验报告姓名：学号:老师：一、实验目的学会使用冰河软件控制远端服务器，执行后门攻击。

了解木马的危害和攻击手段，为将来的防御和系统评估带来更高的认知度。

二、实验内容在实验环境下，完成冰河病毒体验实验。

三、实验环境● 硬件设备1) 小组PC（WIN2003系统）一台，用于远程控制2) 防火墙一台3) 机架服务器（WIN2003系统）一台，用于使其受控● 软件工具1) 冰河软件（程序包，含客户端、服务端）用于实现控制2) WireShark我所使用的PC终端IP地址是：192.168._1__._ 2_被分配的Windows2003 服务器对象地址是： 192.168.1.251本实验可单人或两人合作完成，从PC终端发起控制指令，使埋在服务器上的木马程序运行并连接到PC终端控制台上，完成整个实验过程。

并通过该远程控制程序研究如果引诱放置并执行该受控程序，同时也须研究如何防御封堵此类危险的远程控制行为。

四、实验步骤本实验由我和同学利用两台主机合作完成。

Step1：获取被控制主机的IP。

将G_server.exe程序放置一台主机(被控制的主机，即IP为192.168.1.1的主机)上并运行之。

在C盘中建立222.txt文件。

Step2：在终端PC 上，打开控制端程序：G_CLIENT.EXE。

在冰河主窗口下，选择扫描图标。

Step3：在起始域中选择<192.168.1>，在起始地址为1，终止地址为50，单击开始。

Step4：扫描成功，单击关闭。

在G_CLIENT中打开一添加的计算机。

或在G_CLIENT中直接添加计算机。

添加成功，可以看到被控制主机中的所有文件。

可以看到被控制主机中在C盘建立的222.txt文件。

复制到桌面。

打开查看内容。

Step5:点击冰河主界面空白部分，选择上传文件自，将一恶意网页病毒文件上传至被控制主机的C盘。

被控制端可以看到C盘中多了1.html 文件。

在控制端选择1.html文件，远程打开。

网络安全试验汇报冰河木马试验网络10-2班 XXX 08103635一、试验目经过学习冰河木马远程控制软件使用, 熟悉使用木马进行网络攻击原理和方法。

二、试验内容1、在计算机A上运行冰河木马用户端, 学习其常见功效;2、在局域网内另一台计算机B上种入冰河木马（服务器）, 用计算机A控制计算机B;3、打开杀毒软件查杀冰河木马;4、再次在B上种入冰河木马, 并手动删除冰河木马, 修改注册表和文件关联。

三、试验准备1、在两台计算机上关闭杀毒软件;2、下载冰河木马软件;3、阅读冰河木马关联文件。

四、试验要求1、合理使用冰河木马, 严禁恶意入侵她人电脑和网络;2、了解冰河木马关键功效;3、统计试验步骤、试验现象、试验过程中出现意外情况及处理方法;4、总结手动删除冰河木马过程。

五、试验过程作为一款流行远程控制工具, 在面世早期, 冰河就曾经以其简单操作方法和强大控制力令人胆寒, 能够说达成了谈冰色变地步。

鉴于此, 我们就选择冰河完成此次试验。

若要使用冰河进行攻击, 则冰河安装（是目标主机感染冰河）是首先必需要做。

冰河控制工具中有三个文件: Readme.txt, G_Client.exe, 以及G_Server.exe。

Readme.txt简单介绍冰河使用。

G_Client.exe是监控端实施程序, 能够用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装, 开机自开启, 可任意更名, 运行时无任何提醒）。

运行G_Server.exe后, 该服务端程序直接进入内存, 并把感染机7626端口开放。

而使用冰河用户端软件（G_Client.exe）计算机能够对感染机进行远程控制。

冰河木马使用:1、自动跟踪目标机屏幕改变, 同时能够完全模拟键盘及鼠标输入, 即在同时被控端屏幕改变同时, 监控端一切键盘及鼠标操作将反应在被控端屏幕（局域网适用）。

2、统计多种口令信息: 包含开机口令、屏保口令、多种共享资源口令及绝大多数在对话框中出现口令信息。

这道快餐是专门为从来没有通过网络进入过对方计算机的网络新手们准备的，主要使用的软件就是著名的国产木马冰河2.2，所以，如果你已经使用过冰河2.2，就不必跟着我们往下走了。

其他有兴趣的网络新手们，Let's go！第一步下载必备的工具软件。

1号软件就是端口扫描工具“网络刺客II”，2号软件就是著名的国产木马冰河2.2的控制端。

下载完毕并解压缩之后跟我进行第二步！第二步运行1号软件，首先出现的是“网络刺客II注册向导”，别理它，点击“稍后(Q)”就进入了网络刺客II的主界面。

第三步在网络刺客II的主界面里选“工具箱（U）”-》“主机查找器（H）”，就进入了“搜索因特网主机”界面。

第四步进入“搜索因特网主机”界面后，“起始地址”栏填XXX.XXX.0.0其中XXX.XXX 自己去选择了，比如你可以选61.128或选61.200等等，“结束地址”栏填XXX.XXX.255.255其中XXX.XXX的选择要和前面一样。

“端口”栏填7626，其他栏保持默认不动。

好了，以上设置就是要搜索从XXX.XXX.0.0到XXX.XXX.255.255这一段IP地址中有冰河木马的计算机了，再检查一下填对没有？如果一切OK，请点击“开始搜索”。

第五步观察“总进度”和“段进度”是否在走动。

如果没有走动，那一定是IP地址设置不对，请认真检查。

如果两个进度都在走动，呵呵，你就成功一半了，至少你会使用网络刺客II扫描网上开放某一端口的计算机了。

下面你要作的就是静静的等待，学用黑客软件是需要耐心的。

大约20-30分钟后，最下面的记录栏里就应该出现记录了（一般情况下，应该有5、6条记录）。

每一条记录代表找到的中了冰河木马的一台计算机，前面是该计算机的IP地址，后面是7626（冰河木马端口）。

第六步点击“停止搜索”，但不要退出程序，到第十二步时还要用。

运行2号软件冰河，进入冰河主界面。

选“文件[F]”-》“添加主机[A]”进入添加主机窗口。

冰河木马攻击与防范分析摘要：黑客和病毒是计算机网络安全普遍的威胁，其中尤以木马病毒最为典型，且流传最广。

它的危害在于赤裸裸的偷偷监视别人和盗窃别人的密码、数据等，对于网络用户而言，这是一个巨大的安全威胁。

冰河木马是国人编写的木马经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，对木马隐藏和启动的实现原理进行分析，揭示木马的工作机制，并提出相关的解决办法，给出木马的防治策略。

提示人们要时刻注意网络安全，保证自身利益不要受到侵害，对广大的网络用户来说是具有非常重要的意义的。

关键词：冰河木马；隐藏；端口；加载；启动；服务端；客户端；远程控制1 绪论随着人类生活水平的逐渐提升，网络已成为人们生活中必不可少的一个部分，但是网络的安全问题让人们不得不担忧。

尤其是近几年，网络业务越来越多，许许多多的人采用了网络的方式来处理自己的日常生活事务，电子银行、网上购物已成为人们处理事务的常事了。

但是由于一些不法分子企图通过网络的方式来谋取非法的利益，尤其是一些敏感领域及一些数额较大的交易，更是成为了不法分子攻击的目标，给广大的网络用户带来了巨大的安全威胁，并造成了许多难以估计的损失。

黑客和计算机病毒是网络安全最为普遍的威胁。

特洛伊木马就是这样的一种病毒，它没有自我复制能力，但它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。

而完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。

“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑，为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

而冰河木马是国人编写的木马的经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，揭示木马普遍的工作原理，并提出相关的解决办法，提示人们要时刻注意网络的安全，保证自身利益不要受到侵害，对广大的网络用户而言是具有非常重要的意义的。

怎么用冰河木马（冰河木马教程）点这里下载==》冰河木马从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为）虽然过时了但的到现在也有人用的不少现在为大家送上教程新手们看好了不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

实验2 冰河远程控制软件使用（2学时）实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法。

实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）实验内容与步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1-图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

图4在种木马之前，在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1。

在受控端计算机中双击Win32.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生。

我们再打开受控端计算机的注册表，查看打开txt 文件的应用注册项。

HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以发现，这时它的值为C:\winnt\system32\sysexplr.exe%1，见图7。

图5打开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到sysexplr.exe文件，如图8所示。

图6在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主控程序）。

可以看到如图9所示界面。

图7在该界面的【访问口令】编辑框中输入访问密码：12211987，设置访问密码，然后点击【应用】，见图10。

图8点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，见图11，弹出图12所示的服务器配置对话框。