木马演示实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
任务十木马演示
一、实验目的:
通过模拟演示木马程序,加深对恶意代码工作过程的理解,掌握恶意代码防范方法及清除方法。
二、实验环境:
两台预装WindowsXP的主机,通过网络互连
软件工具:冰河木马或灰鸽子木马
三、实验要求:
1.实训要求:使用冰河对远程计算机进行控制
2.实训步骤:
(1)配置服务器程序:冰河的客户端程序为G-client.exe,在冰河的控制端可以对服务器端进行配置,如图1所示:
图1
冰河的安装路径、文件名、监听端口为:
图2
(2)传播木马:通过邮件、QQ等方式传播该木马服务器程序,并诱惑被攻击者运行改程序。
(3)客户端(控制端)操作:冰河的客户端界面如图3所示,冰河的功能是:自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息等
图3
(4)冰河木马的防御:中了该木马后,该计算机会主动打开端口等待控制端来连接。这样很容易被人发现,而安装了防火墙的计算机会阻止该计算机主动对外的连接。所以安装防火墙是对传统木马的有效防御。
(5)冰河木马的手工清除方法:
A、删除C:\WINNT\system下的kernel32.exe和sysexplr.exe文件
B、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run
下键值为C:\WINNT\system\kernel32.exe
C、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run
下键值为C:\WINNT\system\sysexplr.exe
D、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,将中木马
后的C:\WINNT\system32\sysexplr.exe%1改为正常的C:\WINNT\notepad.exe%1即可恢复TXT文件关联功能。
3.编写总结报告