冰河实验

冰河病毒实验报告
一：实验目的
通过对本次冰河木马的实验，更进一步的认识木马的危害，以及增强自己对木马的查杀能力。

二：实验原理
其实质只是一个网络客户/服务程序，一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。

对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。

三：实验环境和实验前准备
1，装有操作系统的虚拟机；
2，2，G_server.exe守护进程, G_client 客户端应用程序；
3，关掉防火墙和所有防病毒软件。

四：实验步骤和过程
一：在一台机（客服端）打开G_client应用程序，在另一台机（服务端）打开G_server.exe 程序。

服务端情况：⑤
①：打开任务管理器可以看到多了一个名为Kernel32.exe的进程，并且CPU使用率100%
②：发现在C:\windows\system32 目录下，有Kernel32.exe 程序
③：在运行框输入msconfig 命令，可以在启动菜单下看到病毒程序修改了注册表中的自启动注册项。

去掉勾，禁用即可。

④：借用Registry Workshop 注册表管理工具来查看病毒修改的注册项。

在改工具的查找框中输入sysexplr.exe,可以看到下面的现象：
客户端情况：
如果没有关掉防病毒软件，则会出现下面情况：
所以要关掉防病毒软件，打开界面如下：
如果有服务端打开了G_server.exe程序，可用G_client应用程序扫描对方IP，界面如下：
扫描到两个IP地址，。