木马演示实验

任务十木马演示

一、实验目的：

通过模拟演示木马程序，加深对恶意代码工作过程的理解，掌握恶意代码防范方法及清除方法。

二、实验环境：

两台预装WindowsXP的主机，通过网络互连

软件工具：冰河木马或灰鸽子木马

三、实验要求：

1.实训要求：使用冰河对远程计算机进行控制

2.实训步骤：

（1）配置服务器程序：冰河的客户端程序为G-client.exe,在冰河的控制端可以对服务器端进行配置，如图1所示：

图1

冰河的安装路径、文件名、监听端口为： ；kernel32.exe ；7626。冰河在注册表设置的自我保护的内容，就是我们查杀时所要寻找的内容，配置完后生成服务器端程序为G-server.exe。服务器端一旦运行，该程序就会按照前面的设置在C:\WINNT\system32下生成kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，在注册表中sysexplr.exe和TXT文件关联，如图2所示：

图2

（2）传播木马：通过邮件、QQ等方式传播该木马服务器程序，并诱惑被攻击者运行改程序。

（3）客户端（控制端）操作：冰河的客户端界面如图3所示，冰河的功能是：自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息等

图3

（4）冰河木马的防御：中了该木马后，该计算机会主动打开端口等待控制端来连接。这样很容易被人发现，而安装了防火墙的计算机会阻止该计算机主动对外的连接。所以安装防火墙是对传统木马的有效防御。

（5）冰河木马的手工清除方法：

A、删除C:\WINNT\system下的kernel32.exe和sysexplr.exe文件

B、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run

下键值为C:\WINNT\system\kernel32.exe

C、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run

下键值为C:\WINNT\system\sysexplr.exe

D、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，将中木马

后的C:\WINNT\system32\sysexplr.exe%1改为正常的C:\WINNT\notepad.exe%1即可恢复TXT文件关联功能。

3.编写总结报告