实验八报告(木马病毒2冰河木马)

计算机病毒实验报告

姓名：

学号:

老师：

一、实验目的

学会使用冰河软件控制远端服务器，执行后门攻击。了解木马的危害和攻击手段，为将来的防御和系统评估带来更高的认知度。

二、实验内容

在实验环境下，完成冰河病毒体验实验。

三、实验环境

● 硬件设备

1) 小组PC（WIN2003系统）一台，用于远程控制

2) 防火墙一台

3) 机架服务器（WIN2003系统）一台，用于使其受控

● 软件工具

1) 冰河软件（程序包，含客户端、服务端）用于实现控制

2) WireShark

我所使用的PC终端IP地址是：192.168._1__._ 2_

被分配的Windows2003 服务器对象地址是： 192.168.1.251

本实验可单人或两人合作完成，从PC终端发起控制指令，使埋在服务器上的木马程序运行并连接到PC终端控制台上，完成整个实验过程。并通过该远程控制程序研究如果引诱放置并执行该受控程序，同时也须研究如何防御封堵此类危险的远程控制行为。

四、实验步骤

本实验由我和同学利用两台主机合作完成。

Step1：获取被控制主机的IP。

的主机)上并运行之。

在C盘中建立222.txt文件。

Step2：在终端PC 上，打开控制端程序：G_CLIENT.EXE 。在冰河主窗口下，选择扫描图标。

Step3：在起始域中选择<192.168.1>，在起始地址为1，终止地址为50，单击开始。

Step4：扫描成功，单击关闭。在G_CLIENT中打开一添加的计算机。或在G_CLIENT中直接添加计算机。

添加成功，可以看到被控制主机中的所有文件。

可以看到被控制主机中在C盘建立的222.txt文件。复制到桌面。

打开查看内容。

Step5:点击冰河主界面空白部分，选择上传文件自，将一恶意网页病毒文件上传至被控制主机的C盘。

被控制端可以看到C盘中多了1.html 文件。

在控制端选择1.html文件，远程打开。方式选择正常打开方式即可。

文件打开成功，在被控制主机上可以看到恶意网页病毒运行现象。

多个360网页被打开。

在任务管理器关闭恶意打开的网页。

Step6:再在控制主机上传一恶意网页病毒(黑白变换)文件2.html至被控制主机。

上传成功后，选择远程打开。

被控制主机中现象如下：

单击鼠标，屏幕颜色停留为白色。

Step7：在桌面上新建文本文档text.txt 。进入编辑。

Step8：在文档的第一行输入net user sunshine sunshine /add 新增用户sunshine，密码

为sunshine。同时在第二行输入net localgroup administrators，将账户权限提升为管理员。

Step9：修改文本文档的扩展名为bat，便于远程执行。

Step10：在冰河主界面空白处，单击右键。出现菜单后选择文件上传自。选择刚刚建立的BAT文件：。单击打开。

Step11：上传成功后，右击图标，选择远程打开。

Step12：验证：远程登录到受控服务器是否已经成功新建账户sunshine。则在服务器上打开CMD 命令行。继续回到控制端终端PC，让打开控制端对应的DOS窗口。输入如下的命令：net use \\10.1.1.2\ipc$ sunshine/user:sunshine。打开被控制端的共享。

五、心得体会