网络安全实验报告-冰河木马实验

甘肃政法学院本科学生实验报告实验课程：安全扫描技术实验名称：冰河木马的入侵和防御计算机科学学院计算机科学与技术专业09 级计算科学与技术本科班学号：_姓名：_____ __指导教师：____李启南_成绩：_____________完成时间：2011年9月21日一、实验名称冰河木马的入侵和防御二、实验目的通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机，植入木马程序，控制远程主机。

通过入侵实验理解和账务木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

三、实验内容安装、卸载、使用冰河木马。

四、实验原理冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，它可以自动启动并在某一端口监听来自控制端的控制信息。

一般木马都采用C/S运行模式，即分为两部分：客户端和服务端木马程序。

当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端秘密提出连接请求，获取服务器端的相关信息。

五、实验平台冰河ROSE 版。

两台装有Windows 2000/XP/7系统的计算机，机房局域网。

六、实验步骤1、在服务器端计算机上运行冰河服务器程序G_Server.exe。

2. 连接登陆远程主机。

在另一台计算机上打开冰河木马程序客户端，如图1所示。

图1 冰河木马程序客户端选择“文件—>搜索计算机”，如图2所示设置起始域，起始地址和终止地址，监听端口、延迟选择默认值。

图2搜索计算机搜索结果如图2所示，在219.246.153.30和219.246.153.5前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

冰河病毒实验报告一：实验目的通过对本次冰河木马的实验，更进一步的认识木马的危害，以及增强自己对木马的查杀能力。

二：实验原理其实质只是一个网络客户/服务程序，一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。

对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。

三：实验环境和实验前准备1，装有操作系统的虚拟机；2，2，G_server.exe守护进程, G_client 客户端应用程序；3，关掉防火墙和所有防病毒软件。

四：实验步骤和过程一：在一台机（客服端）打开G_client应用程序，在另一台机（服务端）打开G_server.exe 程序。

服务端情况：⑤①：打开任务管理器可以看到多了一个名为Kernel32.exe的进程，并且CPU使用率100%②：发现在C:\windows\system32 目录下，有Kernel32.exe 程序③：在运行框输入msconfig 命令，可以在启动菜单下看到病毒程序修改了注册表中的自启动注册项。

去掉勾，禁用即可。

④：借用Registry Workshop 注册表管理工具来查看病毒修改的注册项。

在改工具的查找框中输入sysexplr.exe,可以看到下面的现象：客户端情况：如果没有关掉防病毒软件，则会出现下面情况：所以要关掉防病毒软件，打开界面如下：如果有服务端打开了G_server.exe程序，可用G_client应用程序扫描对方IP，界面如下：扫描到两个IP地址，。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

实验一冰河木马1．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

2．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

3．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

4．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1 —图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

实验4-冰河木马实验实验报告如有雷同，雷同各方当次实验成绩均以0分计。

2. 在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。

实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有二个文件：G_Client.exe ，以及G_Server.exe 。

G_Client.exe 是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe 是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何本班序号 姓名警示提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的主要功能：（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

（3）获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

（4）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。

（6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息：以四种常用图标向被控端发送简短信息。

实验报告从上图可以瞧出,搜索结果中,每个IP前都就是ERR。

地址前面的“ERR:”表示这台计算机无法控制。

所以,为了能够控制该计算机,我们就必须要让其感染冰河木马。

1、远程连接使用Dos命令: net use \\ip\ipc$如下图所示:2、磁盘映射。

本实验:将目标主机的C:盘映射为本地主机上的X:盘如下图所示首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。

此时,在目标主机的Dos界面下,使用at命令,可瞧到:下图为设定时间到达之前(即G_Server、exe执行之前)的注册表信息,可以瞧到在注册表下的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run,其默认值并无任何值。

当目标主机的系统时间到达设定时间之后,G_Server、exe程序自动启动,且无任何提示。

从上图可以瞧到,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默认值发生了改变。

变成了:C:\\WINDOWS\\SYSTEM\\Kernel32、exe这就说明冰河木马安装成功,拥有G_Client、exe的计算机都可以对此计算机进行控制了。

此时,再次使用G_Client、exe搜索计算机,可得结果如下图所示:从搜索结果可以瞧到,我们刚安装了冰河木马的计算机(其IP:10、1、13、214)的IP地址前变成了“OK:”,而不就是之前的“ERR:”。

下面对该计算机进行连接控制:上图显示,连接失败了,为什么呢？其实原因很简单,冰河木马就是访问口令的,且不同版本的访问口令不尽相同,本实验中,我们使用的就是冰河V2、2版,其访问口令就是05181977,当我们在访问口令一栏输入该口令(或者右击“文件管理器”中的该IP,“修改口令”),并点击应用,即可连接成功。

连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

木马攻击实训报告
班级：___10网络（1）____ 姓名：_许曾丽娜_______ 一、冰河木马工作原理
二、冰河木马工作过程
1、配置木马：
（1）木马伪装：冰河木马如何进行自我伪装？
（2）信息反馈：你配置冰河木马通过哪个端口进行连接？
2、传播木马：木马主要的传播方式？
3、启动木马：冰河木马可以通过哪几种方式实现启动？
4、建立连接：冰河木马建立连接的两个条件？
5、___远程控制______？：在此阶段你可以获取哪些信息？[附上截图]
三、冰河木马的检测与清除
1、查看任务管理器，发现冰河木马有什么明显的表现形式？[附上截图]
2、在任务管理器中关掉冰河木马进程，然后打开任何一个记事本文件，出现何种结果？为
什么会这样？
3、查看端口信息，发现有何异常？[附上截图]
4、查看系统启动选项，及注册表启动选项，发现有何异常？[附上截图]
四、冰河木马与灰鸽子木马的区别。

一、实验目的1. 了解冰河木马的基本原理和功能。

2. 学习使用冰河木马进行远程控制。

3. 提高网络安全意识，掌握网络安全防护方法。

二、实验环境1. 操作系统：Windows 102. 网络环境：局域网3. 实验工具：冰河木马客户端、冰河木马服务器三、实验步骤1. 准备实验环境（1）在局域网内，分别搭建两台计算机A和B，A作为客户端，B作为服务器。

（2）在计算机A上安装冰河木马客户端，在计算机B上安装冰河木马服务器。

2. 配置冰河木马服务器（1）打开计算机B上的冰河木马服务器，设置服务器端口号（如：8899）。

（2）在服务器端，设置冰河木马密码，用于客户端连接服务器。

3. 连接冰河木马客户端（1）在计算机A上打开冰河木马客户端。

（2）输入冰河木马服务器的IP地址和端口号，以及密码。

（3）点击“连接”按钮，成功连接服务器。

4. 控制计算机B（1）在客户端界面，可以看到计算机B的基本信息，如IP地址、系统信息等。

（2）点击“控制端”按钮，进入远程控制界面。

（3）在远程控制界面，可以查看计算机B的屏幕、键盘、鼠标等。

（4）通过客户端操作，控制计算机B的运行、文件传输等功能。

5. 安全防护（1）在实验过程中，注意保护计算机B的安全，避免被恶意操作。

（2）关闭冰河木马客户端和服务器后，及时删除安装的木马程序。

四、实验结果与分析1. 实验成功连接冰河木马服务器，并成功控制计算机B。

2. 通过实验，了解到冰河木马的基本原理和功能，以及远程控制的方法。

3. 提高网络安全意识，认识到网络安全的重要性。

五、实验总结1. 本次实验成功实现了冰河木马的安装、配置、连接和控制，达到了实验目的。

2. 通过实验，掌握了冰河木马的基本原理和功能，以及网络安全防护方法。

3. 在实验过程中，注意到了网络安全的重要性，提高了自己的网络安全意识。

4. 在以后的学习和工作中，将继续关注网络安全问题，提高自己的网络安全防护能力。

六、实验建议1. 在进行类似实验时，应选择安全、合法的实验环境，确保实验过程中不会对他人造成损失。

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全防护能力，本实验旨在通过模拟冰河木马攻击，了解其攻击原理、传播途径以及防护措施。

实验过程中，我们将使用虚拟机环境，模拟真实网络环境下的木马攻击，并采取相应的防护措施。

二、实验目的1. 了解冰河木马的攻击原理和传播途径。

2. 掌握网络安全防护的基本方法，提高网络安全意识。

3. 熟悉网络安全工具的使用，为实际网络安全工作打下基础。

三、实验环境1. 操作系统：Windows 10、Linux Ubuntu2. 虚拟机软件：VMware Workstation3. 木马程序：冰河木马4. 网络安全工具：杀毒软件、防火墙四、实验步骤1. 搭建实验环境（1）在VMware Workstation中创建两个虚拟机，分别为攻击机和被攻击机。

（2）攻击机安装Windows 10操作系统，被攻击机安装Linux Ubuntu操作系统。

（3）在攻击机上下载冰河木马程序，包括GClient.exe和GServer.exe。

2. 模拟冰河木马攻击（1）在攻击机上运行GClient.exe，连接到被攻击机的GServer.exe。

（2）通过GClient.exe，获取被攻击机的远程桌面控制权，查看被攻击机的文件、运行进程等信息。

（3）尝试在被攻击机上执行恶意操作，如修改系统设置、删除文件等。

3. 检测与防护（1）在被攻击机上安装杀毒软件，对系统进行全盘扫描，查杀木马病毒。

（2）关闭被攻击机的远程桌面服务，防止木马再次连接。

（3）设置防火墙规则，阻止不明来源的连接请求。

4. 修复与恢复（1）对被攻击机进行系统备份，以防数据丢失。

（2）修复被木马破坏的系统设置和文件。

（3）重新安装必要的软件，确保系统正常运行。

五、实验结果与分析1. 攻击成功通过实验，我们成功模拟了冰河木马攻击过程，攻击机成功获取了被攻击机的远程桌面控制权，并尝试执行恶意操作。

2. 防护措施有效在采取防护措施后，成功阻止了木马再次连接，并修复了被破坏的系统设置和文件。

网络安全实验报告冰河木马实验实验目的：1.了解冰河木马的原理和特点；2.掌握冰河木马部署的方法以及检测与防御手段。

实验器材：1. 安装有Windows操作系统的虚拟机；2.冰河木马部署工具。

实验步骤：1.安装虚拟机：根据实验需要，选择合适的虚拟机软件，并安装Windows操作系统。

2.配置网络环境：将虚拟机的网络模式设置为桥接模式，使其可以直接连入局域网。

4.部署冰河木马：a)打开解压后的冰河木马部署工具；b)输入冰河木马的监听端口号；c)选择合适的木马文件类型并输入要部署的木马文件名；d)点击部署按钮，等待部署完成。

5.运行冰河木马：a)在虚拟机上运行冰河木马；b)冰河木马将开始监听指定的端口。

6.外部操作：a)在外部主机上打开浏览器，输入虚拟机IP地址和冰河木马监听端口号；实验原理：冰河木马是一种隐蔽性极高的网络攻击工具，其中”冰河”是指冰山一角，表示用户常用的木马查杀工具只能发现一小部分木马样本，而多数都无法查杀。

它通过监听指定端口，接收外部指令，并将得到的内容通过HTTP协议加密封装成HTTP请求发送给指定服务器。

可以通过浏览器的方式来控制远程主机。

实验总结：本次实验中，我通过部署和运行冰河木马对实验环境进行了攻击模拟。

冰河木马以其良好的隐蔽性和强大的功能，使得安全防护变得更加困难。

冰河木马能够对目标计算机进行文件传输、进程控制等操作，使得攻击者可以远程控制受害机器，对其进行攻击、窃取敏感信息等。

为了提高网络安全，我们需要采取以下防御措施：1.及时更新系统和应用程序的补丁，修复可能存在的安全漏洞；2.安装并定期更新杀毒软件和防火墙，提高恶意程序的检测和防范能力；3.加强网络安全意识教育，防止员工被钓鱼、诈骗等方式获取重要信息；4.强化网络审计和监控，及时发现并处置网络攻击行为；5.配置安全策略，限制外部访问和流量。

通过本次实验，我对冰河木马的工作原理有了一定的认识，并学会了一些基本的防御手段，这对我今后从事网络安全工作有着重要的意义。

⽹络安全实验六：1.⽊马攻击实验步骤⼀：冰河⽊马植⼊与控制分别进⼊虚拟机中PC1与PC2系统。

在PC1中安装服务器端（被攻击者），在PC2中安装客户端（发起攻击者）。

（1）服务器端：打开C:\tool\“⽊马攻击实验“⽂件夹，双击G_SERVER。

因为虚拟机防⽕墙已关闭故不会弹窗，双击即为运⾏成功，⾄此，⽊马的服务器端开始启动（2）客户端：切换到PC2，打开C:\tool\“⽊马攻击实验”⽂件夹，在“冰河”⽂件存储⽬录下，双击G_CLIENT。

双击后未弹窗原因同上，出现如下图所⽰（3）添加主机①查询PC1的ip地址，打开cmd，输⼊ipconfig，如下图，得知IP地址为10.1.1.92②添加PC1主机：切换回PC2，点击如下图所⽰输⼊PC1的ip地址10.1.1.92，端⼝默认7626，点击确定若连接成功，则会显⽰服务器端主机上的盘符，如下图⾄此，我们就可以像操作⾃⼰的电脑⼀样操作远程⽬标电脑.步骤⼆：命令控制台命令的使⽤⽅法（1）⼝令类命令：点击“命令控制台”，然后点击“⼝令类命令”前⾯的“+”即可图界⾯出现如下图所⽰⼝令类命令。

各分⽀含义如下：“系统信息及⼝令”：可以查看远程主机的系统信息，开机⼝令，缓存⼝令等。

可看到⾮常详细的远程主机信息，这就⽆异于远程主机彻底暴露在攻击者⾯前“历史⼝令”：可以查看远程主机以往使⽤的⼝令“击键记录”：启动键盘记录后，可以记录远程主机⽤户击键记录，⼀次可以分析出远程主机的各种账号和⼝令或各种秘密信息（2）控制类命令点击“命令控制台”，点击“控制类命令”前⾯的“+”即可显⽰图所⽰界⾯如下图所⽰控制类命令。

（以”发送信息“为例，发送”nihaoya“）此时切换回PC1查看是否收到信息，如下图⾄此，发送信息功能得到验证各分⽀含义如下：“捕获屏幕”：这个功能可以使控制端使⽤者查看远程主机的屏幕，好像远程主机就在⾃⼰⾯前⼀样，这样更有利于窃取各种信息，单击“查看屏幕”按钮，然后就染成了远程主机的屏幕。

《网络安全技术》实验报告姓名系别实验地点A406学号年级班实验时间2012-5-10 成绩评定教师签字实验项目实验六冰河木马软件使用实验一、实验目的⏹掌握冰河木马的使用方法；⏹掌握木马的传播和运行机制，通过相关技巧学会防御木马的相关知识。

二、实验环境⏹两台安装Windows 2000/2003/XP或更高级别的Windows操作系统的主机；⏹冰河木马软件：G_Server.exe（服务器端指被控制端）和G_Client.exe（客户端指控制端）。

三、实验要求⏹掌握木马的基本工作原理；⏹熟悉冰河木马软件的具体使用方法；四、实验步骤：1)在DOS状态下采用netstat -an观察木马服务器运行前服务器端计算机上网络连接情况。

可以看到7626端口没有开放；2)关闭两台计算机上的防火墙和杀毒软件；（冰河木马是比较早出现的木马软件，一般的杀毒软件都可以清除它）3)在服务器计算机上运行服务器程序G_Server.exe；4)观察木马服务器端的网络连接情况，可以看到7626端口已经开放，说明已经成功在服务器端安装了木马；5)在客户端打开G_Client.exe；6)单击控制端工具栏中的“添加主机”，填写显示名称和服务器端IP地址；7)单击控制端工具栏中的“冰河信使”，向服务器端发送消息；8)单击“命令控制台”标签，对服务器端进行控制；9)卸载冰河木马：✓方法一：通过杀毒软件进行卸载；✓方法二：采用冰河的客户端进行卸载：控制类命令—系统控制—自动卸载冰河；方法三：手动卸载。

（1）对系统注册表进行操作，删除开机要运行的木马项“kernel.exe”。

开始—运行—regedit: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"两项。

冰河⽊马病毒⼊侵与防范详细实验报告图⽂教程⽬录简介 (1)⼯作原理 (1)步骤流程 (5)功能 (18)清除⽅法 (19)结论 (20)简介冰河⽊马开发于1999年，在设计之初，开发者的本意是编写⼀个功能强⼤的远程控制软件。

但⼀经推出，就依靠其强⼤的功能成为了⿊客们发动⼊侵的⼯具，并结束了国外⽊马⼀统天下的局⾯，成为国产⽊马的标志和代名词。

在2006年之前，冰河在国内⼀直是不可动摇的领军⽊马，在国内没⽤过冰河的⼈等于没⽤过⽊马，由此可见冰河⽊马在国内的影响⼒之巨⼤。

⽬的：远程访问、控制。

选择：可⼈为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

从⼀定程度上可以说冰河是最有名的⽊马了，就连刚接触电脑的⽤户也听说过它。

虽然许多杀毒软件可以查杀它，但国内仍有⼏⼗万中冰河的电脑存在！作为⽊马，冰河创造了最多⼈使⽤、最多⼈中弹的奇迹！现在⽹上⼜出现了许多的冰河变种程序，我们这⾥介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端⼝为7626。

⼀旦运⾏G-server，那么该程序就会在C:/Windows/system⽬录下⽣成Kernel32.exe和sysexplr.exe，并删除⾃⾝。

Kernel32.exe在系统启动时⾃动加载运⾏，sysexplr.exe和TXT⽂件关联。

即使你删除了Kernel32.exe，但只要你打开TXT ⽂件，sysexplr.exe就会被激活，它将再次⽣成Kernel32.exe，于是冰河⼜回来了！这就是冰河屡删不⽌的原因。

⼯作原理冰河⽊马是⽤C++Builder写的，为了便于⼤家理解，我将⽤相对⽐较简单的VB来说明它，其中涉及到⼀些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。

⼀、基础篇（揭开⽊马的神秘⾯纱）⽆论⼤家把⽊马看得多神秘，也⽆论⽊马能实现多么强⼤的功能，⽊马，其实质只是⼀个⽹络客户/服务程序。

冰河⽊马实验冰河⽊马实验实验报告实验⽬的与要求:1.了解⽊马运⾏机理2.掌握查杀⽊马的基本⽅法。

实验重点与难点:重点：1.对⽬标机使⽤冰河软件进⾏感染后控制2.清除冰河⽊马病毒难点：3.清除冰河⽊马病毒仪器设备及⽤具:1.连⽹的个⼈计算机2.Windows 2000 系统平台实验内容：1.冰河⽊马的组成1)G_Server.exe：被监控端后台监控程序，在安装前可以先通过“G_Client.exe”进⾏⼀些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端⼝、设置访问⼝令等。

⿊客们想⽅设法对它进⾏伪装，⽤各种⽅法将服务器端程序安装在你的电脑上，程序运⾏的时候⼀点痕迹也没有，你是很难发现有⽊马冰河在你的电脑上运⾏的;2)G_Client.exe：监控端执⾏程序，⽤于监控远程计算机和配置服务器程序;3)Operate.ini：G_Server.exe的配置⽂件;2.冰河⽊马的使⽤1）将G_Server.exe植⼊到⽬标主机2 ）打开瑞⼠军⼑图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。

对服务器进⾏简单配置。

监听端⼝2001可更换（范围在1024~32768之间）；关联可更改为与EXE⽂件关联（就是⽆论运⾏什么exe⽂件，冰河就开始加载；还有关键的邮件通知设置：A.服务器的配置1)安装路径：即服务器程序安装的位置，有三个选项：分别为“Windows”、“System”、“Temp”，这些都是Windows⾥的⼀些⽬录;2)⽂件名称：是服务器程序安装到⽬标计算机之后的名称，默认是Winoldap.exe，对于不熟悉Windows系统的⽤户来说，这可像是⼀个系统程序啊。

当然，这个名称是可以改的;3)进程名称：服务器程序运⾏时，在进程栏中显⽰的名称。

默认的进程名是Windows，也可以更改;4)访问⼝令：客户机连接服务器程序时需要输⼊的⼝令。

如果⽤于远程控制的时候，可以在⼀定程度上限制客户端程序的使⽤;5)敏感字符：设置冰河程序对某些敏感字符的信息加以记录。

实验4冰河木马实验1.实验报告如有雷同，雷同各方当次实验成绩均以0分计。

2.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。

实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有二个文件：G_Client.exe ，以及G_Server.exe 。

G_Client.exe 是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe 是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe 后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe ）的计算机可以对感染机进行远程控制。

冰河木马的主要功能：（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

（3）获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

（4）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。

（6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息：以四种常用图标向被控端发送简短信息。

计算机病毒实验报告姓名：学号:老师：一、实验目的学会使用冰河软件控制远端服务器，执行后门攻击。

了解木马的危害和攻击手段，为将来的防御和系统评估带来更高的认知度。

二、实验内容在实验环境下，完成冰河病毒体验实验。

三、实验环境● 硬件设备1) 小组PC（WIN2003系统）一台，用于远程控制2) 防火墙一台3) 机架服务器（WIN2003系统）一台，用于使其受控● 软件工具1) 冰河软件（程序包，含客户端、服务端）用于实现控制2) WireShark我所使用的PC终端IP地址是：192.168._1__._ 2_被分配的Windows2003 服务器对象地址是： 192.168.1.251本实验可单人或两人合作完成，从PC终端发起控制指令，使埋在服务器上的木马程序运行并连接到PC终端控制台上，完成整个实验过程。

并通过该远程控制程序研究如果引诱放置并执行该受控程序，同时也须研究如何防御封堵此类危险的远程控制行为。

四、实验步骤本实验由我和同学利用两台主机合作完成。

Step1：获取被控制主机的IP。

将G_server.exe程序放置一台主机(被控制的主机，即IP为192.168.1.1的主机)上并运行之。

在C盘中建立222.txt文件。

Step2：在终端PC 上，打开控制端程序：G_CLIENT.EXE。

在冰河主窗口下，选择扫描图标。

Step3：在起始域中选择<192.168.1>，在起始地址为1，终止地址为50，单击开始。

Step4：扫描成功，单击关闭。

在G_CLIENT中打开一添加的计算机。

或在G_CLIENT中直接添加计算机。

添加成功，可以看到被控制主机中的所有文件。

可以看到被控制主机中在C盘建立的222.txt文件。

复制到桌面。

打开查看内容。

Step5:点击冰河主界面空白部分，选择上传文件自，将一恶意网页病毒文件上传至被控制主机的C盘。

被控制端可以看到C盘中多了1.html 文件。

在控制端选择1.html文件，远程打开。

一．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

二．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

三．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

四．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

图4在种木马之前，我们在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1，见图5。