冰河木马远程控制

实验5：网络攻击与防范实验一、实验目的1、了解常见的木马程序进行远程控制的使用方法，掌握木马传播和运行的机制；2、掌握防范木马、检测木马以及手动删除木马的方法；二、实验环境..Windows操作系统，局域网环境，“冰河”、“灰鸽子”木马实验软件。

...实验每两个学生为一组：互相进行攻击或防范。

三、实验原理.木马是隐藏在正常程序中的具有特殊功能的恶意代码。

它可以随着计算机自动启动并在某一端口监听来自控制端的控制信息。

.. 木马的传统连接技术：一般木马都采用C/S运行模式，即分为两部分：客户端和服务器端木马程序。

当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端主动提出连接请求。

木马的反弹端口技术：它的特点是使服务器端程序主动发起对外连接请求，再通过一定方式连接至木马的客户端，客户端是被动的连接。

四、实验内容和步骤任务一：练习“冰河”木马的攻击与防范..“冰河”木马采用木马的传统连接技术，包含两个文件：G_Client.exe和win32。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，win32是被监控端后台监控程序。

打开控制端，弹出“冰河”主界面。

分组角色：学生A运行冰河木马程序的客户端，学生B运行服务器端。

步骤一，攻击方法：（1）采用IPC$漏洞入侵的方法，将冰河木马服务器端运行程序植入学生B的主机上，并使用计划任务命令使目标主机运行木马服务器端程序G_Server.exe。

（2）学生A启动G_Client.exe,利用快捷栏的添加主机按钮，将学生B主机的IP地址添加至主机列表。

（3）“确定”后，可以看到主机面上添加了学生B的主机。

单击主机名，如连接成功，则会显示服务器端主机上的盘符。

（4）尝试使用冰河客户端的控制功能对目标主机进行控制，使用口令类命令查看系统信息及口令；使用控制类命令进行捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制操作；使用文件类命令进行添加目录，复制目录等操作。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

网络安全实验报告冰河木马实验网络10-2班 XXX 08103635一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、打开杀毒软件查杀冰河木马；4、再次在B上种入冰河木马，并手动删除冰河木马，修改注册表和文件关联。

三、实验准备1、在两台计算机上关闭杀毒软件；2、下载冰河木马软件；3、阅读冰河木马的关联文件。

四、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

五、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

实验2 冰河远程控制软件使用（2学时）实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法。

实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）实验内容与步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1-图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

图4在种木马之前，在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1。

在受控端计算机中双击Win32.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生。

我们再打开受控端计算机的注册表，查看打开txt 文件的应用注册项。

HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以发现，这时它的值为C:\winnt\system32\sysexplr.exe%1，见图7。

图5打开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到sysexplr.exe文件，如图8所示。

图6在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主控程序）。

可以看到如图9所示界面。

图7在该界面的【访问口令】编辑框中输入访问密码：12211987，设置访问密码，然后点击【应用】，见图10。

图8点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，见图11，弹出图12所示的服务器配置对话框。

冰河远程控制软件解决方法冰河远程控制软件是我国冰河在国内一直是不可动摇的领军远程监控软件，它主要适用于远程监控，在国内没用过冰河的人等于没用过远程监控软件，由此可见冰河远程控制软件在国内的影响力之巨大，它不同于我国内网穿透技术如网络人等远程监控软件。

具体功能包括:1．冰河远程控制软件自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．冰河远程控制软件记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．冰河远程控制软件获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．冰河远程控制软件限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．冰河远程控制软件远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．冰河远程控制软件注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7. 冰河远程控制软件发送信息：以四种常用图标向被控端发送简短信息；8. 冰河远程控制软件点对点通讯：以聊天室形式同被控端进行在线交谈。

解决方法：中了冰河远程控制软件病毒如何清除冰河服务端，主要有以下方法：方法一：中了冰河，就用它的控制端来卸载服务端。

具体做法：1、启动“冰河”的控制端程序。

冰河远程控制软件选择“文件”——“添加主机”，或者直接点击快接按钮栏的第一个图标。

3、冰河远程控制软件弹出的对话框中，“远程主机”一项，填写自己的IP。

4、冰河远程控制软件连接服务端，然后，点击“命令控制台”标签。

5、冰河远程控制软件选择“控制类命令”——“系统控制”，在右面的窗口下方，你会发现四个按钮。

一、实验目的1. 了解冰河木马的基本原理和功能。

2. 学习使用冰河木马进行远程控制。

3. 提高网络安全意识，掌握网络安全防护方法。

二、实验环境1. 操作系统：Windows 102. 网络环境：局域网3. 实验工具：冰河木马客户端、冰河木马服务器三、实验步骤1. 准备实验环境（1）在局域网内，分别搭建两台计算机A和B，A作为客户端，B作为服务器。

（2）在计算机A上安装冰河木马客户端，在计算机B上安装冰河木马服务器。

2. 配置冰河木马服务器（1）打开计算机B上的冰河木马服务器，设置服务器端口号（如：8899）。

（2）在服务器端，设置冰河木马密码，用于客户端连接服务器。

3. 连接冰河木马客户端（1）在计算机A上打开冰河木马客户端。

（2）输入冰河木马服务器的IP地址和端口号，以及密码。

（3）点击“连接”按钮，成功连接服务器。

4. 控制计算机B（1）在客户端界面，可以看到计算机B的基本信息，如IP地址、系统信息等。

（2）点击“控制端”按钮，进入远程控制界面。

（3）在远程控制界面，可以查看计算机B的屏幕、键盘、鼠标等。

（4）通过客户端操作，控制计算机B的运行、文件传输等功能。

5. 安全防护（1）在实验过程中，注意保护计算机B的安全，避免被恶意操作。

（2）关闭冰河木马客户端和服务器后，及时删除安装的木马程序。

四、实验结果与分析1. 实验成功连接冰河木马服务器，并成功控制计算机B。

2. 通过实验，了解到冰河木马的基本原理和功能，以及远程控制的方法。

3. 提高网络安全意识，认识到网络安全的重要性。

五、实验总结1. 本次实验成功实现了冰河木马的安装、配置、连接和控制，达到了实验目的。

2. 通过实验，掌握了冰河木马的基本原理和功能，以及网络安全防护方法。

3. 在实验过程中，注意到了网络安全的重要性，提高了自己的网络安全意识。

4. 在以后的学习和工作中，将继续关注网络安全问题，提高自己的网络安全防护能力。

六、实验建议1. 在进行类似实验时，应选择安全、合法的实验环境，确保实验过程中不会对他人造成损失。

Copyright By「黑白网络工作室」2002 All Rights Reserve※黑客攻防指南※===>工具介绍==>国产远程控制软件——冰河国产远程控制软件——冰河作为一款流行的远程控制工具，在面世的初期，冰河就曾经以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

鉴于此，这里进行简要介绍。

1、冰河的安装该控制工具中有三个文件：Readme.txt，G_Client.exe和G_Server.exe。

Readme.txt简单介绍自己的使用，冰河当然也不例外了。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，G_Server.exe是被监控端后台监控程序（运行一次即自动安装，可任意改名）。

最好不要在自己本机运行G_Server.exe，否则可能处于别人的控制之中了。

也就是说，你要控制的远程计算机必须是要运行过G_Server.exe这个程序的。

该服务端程序直接进入内存，并把感染机的7626端口开放。

而使得拥有冰河客户端软件（G_Cl ient.exe)的计算机可以对感染机进行远程控制。

G_server.exe可以任意改名，运行时无任何提示。

2、冰河的基本使用运行客户端控制程序G_Client.exe，界面如下图所示。

点击菜单“文件”下的“自动收索”，弹出如下图的窗口。

查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“192.168. 1.1”至“192.168.1.255”网段的计算机，应将“起始域”设为“192.168.1”，将“起始地址”和“终止地址”分别设为“1”和“255”，然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址，地址前面的“ERR:”表示这台计算机无法控制；显示“OK:”的表示它曾经运行过G_Server.exe，也就是你可以控制了，同时它的IP地址将“文件管理器”里显示出来。

远程控制的原理与使用--以冰河远程控制为例【摘要】当今社会，信息化时代下，电脑的运用已经越来越普及。

各种繁杂的计算机病毒也冒了出来，首当其冲便是远程控制。

冰河远控是一款国内开发的运用较为普及的一种远程控制。

因其卓越的功能而被人们广泛使用。

本文主要简单介绍冰河远控的原理与应用，并对其做出展示。

【关键字】冰河远控；远程控制原理、远程控制应用1.远程控制简介所谓远程控制，是指控制端pc对被控制端pc进行的一种远程操作的一种控制。

控制端pc能够对被控制端pc进行桌面监控、文档编辑、自动重启、关机等一切被控制端pc能够进行的操作。

简单来说，一旦被控制方pc被控制，那么，控制端可以对其pc进行任何其可以进行的操作。

当然，这一切都基于两方pc都已接入Internet。

1.1 远程控制的原理。

远程控制软件一般都分为客户端程序与服务端程序两部分，将客户端程序安装到控制端的pc上，再将服务端程序安装到被控制端的pc上。

服务端程序一旦运行，客户端所在pc变能收到被控端的信号，诸如上线啊，是否可控啊之类。

然后就可以建立一个远程连接，在神不知鬼不觉的情况下，就能做到控制被空方pc，控制被空方pc进行各种操作。

1.2远程控制的应用远程控制的应用主要包括远程办公，远程技术支持，远程交流与远程维护管理。

这种远程的办公方式不仅大大缓解了城市交通状况，减少了环境污染，还免去了人们上下班路上奔波的辛劳，更可以提高企业员工的工作效率和工作兴趣。

有了远程控制技术，技术人员就可以远程控制用户的电脑，就像直接操作本地电脑一样，只需要用户的简单帮助就可以得到该机器存在的问题的第一手材料，很快就可以找到问题的所在，并加以解决。

利用远程技术，商业公司可以实现和用户的远程交流，采用交互式的教学模式，通过实际操作来培训用户，使用户从技术支持专业人员那里学习示例知识变得十分容易。

网络管理员或者普通用户可以通过远程控制技术为远端的电脑安装和配置软件、下载并安装软件修补程序、配置应用程序和进行系统软件设置。

冰河木马攻击与防范分析摘要：黑客和病毒是计算机网络安全普遍的威胁，其中尤以木马病毒最为典型，且流传最广。

它的危害在于赤裸裸的偷偷监视别人和盗窃别人的密码、数据等，对于网络用户而言，这是一个巨大的安全威胁。

冰河木马是国人编写的木马经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，对木马隐藏和启动的实现原理进行分析，揭示木马的工作机制，并提出相关的解决办法，给出木马的防治策略。

提示人们要时刻注意网络安全，保证自身利益不要受到侵害，对广大的网络用户来说是具有非常重要的意义的。

关键词：冰河木马；隐藏；端口；加载；启动；服务端；客户端；远程控制1 绪论随着人类生活水平的逐渐提升，网络已成为人们生活中必不可少的一个部分，但是网络的安全问题让人们不得不担忧。

尤其是近几年，网络业务越来越多，许许多多的人采用了网络的方式来处理自己的日常生活事务，电子银行、网上购物已成为人们处理事务的常事了。

但是由于一些不法分子企图通过网络的方式来谋取非法的利益，尤其是一些敏感领域及一些数额较大的交易，更是成为了不法分子攻击的目标，给广大的网络用户带来了巨大的安全威胁，并造成了许多难以估计的损失。

黑客和计算机病毒是网络安全最为普遍的威胁。

特洛伊木马就是这样的一种病毒，它没有自我复制能力，但它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。

而完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。

“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑，为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

而冰河木马是国人编写的木马的经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，揭示木马普遍的工作原理，并提出相关的解决办法，提示人们要时刻注意网络的安全，保证自身利益不要受到侵害，对广大的网络用户而言是具有非常重要的意义的。

冰河木马防范措施引言随着网络环境的不断进步和发展，网络安全威胁也日益增多。

其中之一的木马病毒被认为是网络安全中最严重的一种威胁之一。

而冰河木马作为木马病毒的一种，其具有隐蔽性强、入侵难以被检测以及攻击后门等特点，给互联网用户的安全带来了巨大的威胁。

在本文中，我们将探讨冰河木马的防范措施以及如何保护自己免受其攻击。

什么是冰河木马？冰河木马是一种高度隐蔽的远程控制木马，其名字来源于其对抗能力强大，可以有效躲避常规的安全防护措施，如防火墙和杀毒软件。

冰河木马可以通过对网络流量进行重定向和篡改，将受感染主机与控制服务器建立起联系，从而实现对主机的远程控制和操控。

冰河木马的攻击方式通常包括以下几种:1.欺骗性的电子邮件附件或链接：攻击者通过电子邮件发送伪装成常见文件的恶意程序，一旦用户点击或下载该附件或链接，冰河木马将被激活并感染主机。

2.恶意网站下载：用户在浏览互联网时访问了一个被感染的恶意网站，下载了一个包含冰河木马的程序文件，从而导致主机被感染。

3.受感染的外部设备：攻击者将冰河木马植入可移动存储媒介（如USB闪存驱动器），然后将其插入目标主机，从而感染该主机。

冰河木马的防范措施为了保护自己不被冰河木马攻击，在以下几个方面采取相应的防范措施是至关重要的。

1. 安装可靠的安全软件安装可靠的防火墙和杀毒软件是有效防范冰河木马的第一步。

这些软件可以帮助用户检测和删除潜在的冰河木马，同时也能够阻止未经授权的远程访问和网络连接。

确保你的防火墙和杀毒软件是最新版本，并及时更新其病毒数据库。

定期进行全盘扫描以确保系统安全。

2. 注意电子邮件和链接的可信度冰河木马经常通过电子邮件附件或链接进行传播。

因此，要注意来自不可信来源的电子邮件和链接。

不要打开未知或可疑的邮件附件，也不要点击未知来源的链接。

此外，要注意不要向任何可疑的邮件或网站提供个人信息。

3. 更新操作系统和软件定期更新操作系统和软件是防范冰河木马的重要步骤。

实验4冰河木马实验1.实验报告如有雷同，雷同各方当次实验成绩均以0分计。

2.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。

实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有二个文件：G_Client.exe ，以及G_Server.exe 。

G_Client.exe 是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe 是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe 后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe ）的计算机可以对感染机进行远程控制。

冰河木马的主要功能：（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

（3）获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

（4）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。

（6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息：以四种常用图标向被控端发送简短信息。

冰河木马的主要功能介绍：1.远程监控(控制对方鼠标、键盘，并监视对方屏幕)keybd_event 模拟一个键盘动作(这个函数支持屏幕截图)mouse_event 模拟一次鼠标事件mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标2.记录各种口令信息(作者注：出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)3.获取系统信息a.取得计算机名GetComputerNameb.更改计算机名SetComputerNamec.当前用户GetUserName函数d.系统路径Set FileSystem0bject=CreateObject("Scripting.FileSystemObject") (建立文件系统对象)Set SystemDir=FileSystem0bject.getspecialfolder(1) (取系统目录)Set SystemDir = FileSystem0bject.getspecialfolder(0) (取Windows安装目录) (友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)e.取得系统版本GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx)f.当前显示分辨率Width=screen.Width \ screen.TwipsPerPixelXHeight=screen.Height \ screen.TwipsPerPixelY其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Wi ndows的"垃圾站"-注册表比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentContr olSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。

计算机病毒实验报告姓名：学号:老师：一、实验目的学会使用冰河软件控制远端服务器，执行后门攻击。

了解木马的危害和攻击手段，为将来的防御和系统评估带来更高的认知度。

二、实验内容在实验环境下，完成冰河病毒体验实验。

三、实验环境● 硬件设备1) 小组PC（WIN2003系统）一台，用于远程控制2) 防火墙一台3) 机架服务器（WIN2003系统）一台，用于使其受控● 软件工具1) 冰河软件（程序包，含客户端、服务端）用于实现控制2) WireShark我所使用的PC终端IP地址是：192.168._1__._ 2_被分配的Windows2003 服务器对象地址是： 192.168.1.251本实验可单人或两人合作完成，从PC终端发起控制指令，使埋在服务器上的木马程序运行并连接到PC终端控制台上，完成整个实验过程。

并通过该远程控制程序研究如果引诱放置并执行该受控程序，同时也须研究如何防御封堵此类危险的远程控制行为。

四、实验步骤本实验由我和同学利用两台主机合作完成。

Step1：获取被控制主机的IP。

将G_server.exe程序放置一台主机(被控制的主机，即IP为192.168.1.1的主机)上并运行之。

在C盘中建立222.txt文件。

Step2：在终端PC 上，打开控制端程序：G_CLIENT.EXE。

在冰河主窗口下，选择扫描图标。

Step3：在起始域中选择<192.168.1>，在起始地址为1，终止地址为50，单击开始。

Step4：扫描成功，单击关闭。

在G_CLIENT中打开一添加的计算机。

或在G_CLIENT中直接添加计算机。

添加成功，可以看到被控制主机中的所有文件。

可以看到被控制主机中在C盘建立的222.txt文件。

复制到桌面。

打开查看内容。

Step5:点击冰河主界面空白部分，选择上传文件自，将一恶意网页病毒文件上传至被控制主机的C盘。

被控制端可以看到C盘中多了1.html 文件。

在控制端选择1.html文件，远程打开。

一．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

二．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

三．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

四．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

图4在种木马之前，我们在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1，见图5。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为）虽然过时了但6.0的到现在也有人用的不少现在为大家送上教程新手们看好了不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河v6.0GLUOSHI专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么？因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

（冰河６默认的写字板图标就很好，使用前改个好点的名称即可，不一定要捆绑）1.连接：打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。

如何远程入侵他人电脑本文主要讲述用木马攻击别人电脑，国产木马冰河2.2很不错的软件，看完本文后你可以准备一下软件，来试试。

呵呵别做违法的事情哦。

本文的主要目的是让大家了解木马的攻击过程，熟悉了，就好防范了。

开始了。

步骤如下：首先的第一步是：所谓磨刀不误砍柴工嘛。

下载必备的工具软件。

1号软件就是端口扫描工具“网络刺客II”，2号软件就是着名的国产木马冰河2.2的控制端。

下载完毕并解压缩之后跟我进行第二步!第二步运行1号软件，首先出现的是“网络刺客II注册向导”，别理它，点击“稍后(Q)”就进入了网络刺客II的主界面。

第三步在网络刺客II的主界面里选“工具箱(U)”-》“主机查找器(H)”，就进入了“搜索因特网主机”界面。

第四步第五步观察“总进度”和“段进度”是否在走动。

如果没有走动，那一定是IP地址设置不对，请认真检查。

如果两个进度都在走动，呵呵，你就成功一半了，至少你会使用网络刺客II扫描网上开放某一端口的计算机了。

下面你要作的就是静静的等待，学用黑客软件是需要耐心的。

大约20-30分钟后，最下面的记录栏里就应该出现记录了(一般情况下，应该有5、6条记录)。

每一条记录代表找到的中了冰河木马的一台计算机，前面是该计算机的IP地址，后面是7626(冰河木马端口)。

第六步点击“停止搜索”，但不要退出程序，到第十二步时还要用。

运行2号软件冰河，进入冰河主界面。

选“文件[F]”-》“添加主机[A]”进入添加主机窗口。

第七步在“添加主机”窗口，“显示名称”里填入第五步里搜索到的第一条IP地址，当IP地址填入“显示名称”里后，“主机地址”里就自动填入相同的IP了。

“访问口令”不填，“监听端口”保持默认的7626。

好了，检查一下IP有没有填错，如果OK，点击“确定”，在冰河主界面的“文件管理器”里就出现了刚才填入的IP地址了。

第八步这一步和下一步最重要，请认真看清楚!在冰河的主界面里，点击“文件管理器”里的“我的电脑”，这时“文件管理器”右边的框里就会出现你自己的硬盘分区。