浅析冰河木马

论冰河木马的攻防目录1.内容摘要2.绪论3病毒与木马区别与联系4.木马的清除与防范5.冰河木马的实现原理6.冰河木马的远程控制7.冰河木马的攻击原理与过程8.冰河木马的防范9.总结1.摘要：病毒和木马是现代计算机网络的主要威胁，其中木马病毒是最主要的威胁，为了保障计算机网络安全，要对计算机病毒要有所了解。

黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。

在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。

在日本《新黑客词典》中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。

他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。

”由这些定义中，我们还看不出太贬义的意味。

他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。

“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。

计算机病毒是一个程序，一段可执行码。

就像生物病毒一样，计算机病毒有独特的复制能力。

计算机病毒可以很快地蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上。

当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。

当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。

若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能2.绪论随着计算机科学技术的迅速发展和广泛应用，计算机系统的安全问题已成为人们十分关注的重要课题。

对计算机系统的威胁和攻击主要有两类：一类是对计算机系统实体的威胁和攻击；一类是对信息的威胁和攻击。

计算机犯罪和计算机病毒则包含了对实体和信息两个方面的威胁和攻击。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

实验一冰河木马1．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

2．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

3．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

4．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1 —图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

冰河木马的入侵一、实验目的通过使用冰河木马软件在局域网中扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理冰河木马是用C++Builder写的，冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe 在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件a)工具：木马程序：冰河ROSE 版b)实验平台：WINDOWS XP，两台电脑在同一局域网中。

实验步骤1.双击冰河木马.rar文件，将其进行解压，冰河木马共有两个应用程序，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

2.打开冰河界面,2.点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，弹出所示的服务器配置对话框。

打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，搜索结果，在192.168.1.101和192.168.1.103前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

分析一个恶意代码样本：冰河木马分析该软件主要用于远程监控，具体功能包括:1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7．发送信息：以四种常用图标向被控端发送简短信息；8．点对点通讯：以聊天室形式同被控端进行在线交谈。

1.程序实现:在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):（1）服务端:G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)G_Server.Listen(等待连接)（2）客户端:G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)G_Client.RemotePort=7626(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)G_Client.Connect (调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)G_Server.Accept requestIDEnd Sub客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口Private Sub G_Server_Close()G_Server.Close (关闭连接)G_Server.Listen (再次监听)End Sub其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令...... （3）控制对冰河的主要功能进行简单的概述,主要是使用Windows API函数1.远程监控(控制对方鼠标、键盘，并监视对方屏幕)keybd_event 模拟一个键盘动作mouse_event 模拟一次鼠标事件mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

路由器命令router> 用户模式1：进入特权模式 enablerouter > enablerouter #2：进入全局配置模式 configure terminalrouter > enablerouter #configure terminalrouter (conf)#3：交换机命名 hostname routera 以routerA为例router > enablerouter #configure terminalrouter(conf)#hostname routerAroutera (conf)#4：配置使能口令 enable password cisco 以cisco为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# enable password cisco5：配置使能密码 enable secret ciscolab 以cicsolab为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# enable secret ciscolab6：进入路由器某一端口 interface fastehernet 0/17 以17端口为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# interface fastehernet 0/17routerA (conf-if)#进入路由器的某一子端口 interface fastethernet 0/17.1 以17端口的1子端口为例router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA (conf)# interface fastehernet 0/17.17：设置端口ip地址信息router > enablerouter #configure terminalrouter(conf)#hostname routerArouterA(conf)# interface fastehernet 0/17 以17端口为例routerA (conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码routerA (conf-if)#no shut 是配置处于运行中routerA (conf-if)#exit8：查看命令 showrouter > enablerouter # show version 察看系统中的所有版本信息show interface vlan 1 查看交换机有关ip 协议的配置信息show running-configure 查看交换机当前起作用的配置信息show interface fastethernet 0/1 察看交换机1接口具体配置和统计信息show mac-address-table 查看mac地址表show mac-address-table aging-time 查看mac地址表自动老化时间show controllers serial + 编号查看串口类型show ip router 查看路由器的路由表9：cdp相关命令router > enablerouter # show cdp 查看设备的cdp全局配置信息show cdp interface fastethernet 0/17 查看17端口的cdp配置信息show cdp traffic 查看有关cdp包的统计信息show cdp nerghbors 列出与设备相连的cisco设备10：csico2600的密码恢复重新启动路由器，在启动过程中按下win+break键，使路由器进入rom monitor在提示符下输入命令修改配置寄存器的值，然后重新启动路由器remmon1>confreg 0x2142remmon2>reset重新启动路由器后进入setup模式，选择“no”，退回到exec模式，此时路由器原有的配置仍然保存在startup-config 中，为使路由器恢复密码后配置不变把startup-config中配置保存到running-config中，然后重新设置enable密码，并把配置寄存器改回0x2102：router>enablerouter#copy startup-config running-configrouter#configure terminalrouter(conf)#enable password ciscorouter(conf)#config-register 0x2102保存当前配置到startup-config , 重新启动路由器。

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全防护能力，本实验旨在通过模拟冰河木马攻击，了解其攻击原理、传播途径以及防护措施。

实验过程中，我们将使用虚拟机环境，模拟真实网络环境下的木马攻击，并采取相应的防护措施。

二、实验目的1. 了解冰河木马的攻击原理和传播途径。

2. 掌握网络安全防护的基本方法，提高网络安全意识。

3. 熟悉网络安全工具的使用，为实际网络安全工作打下基础。

三、实验环境1. 操作系统：Windows 10、Linux Ubuntu2. 虚拟机软件：VMware Workstation3. 木马程序：冰河木马4. 网络安全工具：杀毒软件、防火墙四、实验步骤1. 搭建实验环境（1）在VMware Workstation中创建两个虚拟机，分别为攻击机和被攻击机。

（2）攻击机安装Windows 10操作系统，被攻击机安装Linux Ubuntu操作系统。

（3）在攻击机上下载冰河木马程序，包括GClient.exe和GServer.exe。

2. 模拟冰河木马攻击（1）在攻击机上运行GClient.exe，连接到被攻击机的GServer.exe。

（2）通过GClient.exe，获取被攻击机的远程桌面控制权，查看被攻击机的文件、运行进程等信息。

（3）尝试在被攻击机上执行恶意操作，如修改系统设置、删除文件等。

3. 检测与防护（1）在被攻击机上安装杀毒软件，对系统进行全盘扫描，查杀木马病毒。

（2）关闭被攻击机的远程桌面服务，防止木马再次连接。

（3）设置防火墙规则，阻止不明来源的连接请求。

4. 修复与恢复（1）对被攻击机进行系统备份，以防数据丢失。

（2）修复被木马破坏的系统设置和文件。

（3）重新安装必要的软件，确保系统正常运行。

五、实验结果与分析1. 攻击成功通过实验，我们成功模拟了冰河木马攻击过程，攻击机成功获取了被攻击机的远程桌面控制权，并尝试执行恶意操作。

2. 防护措施有效在采取防护措施后，成功阻止了木马再次连接，并修复了被破坏的系统设置和文件。

中国木马起源——冰河大家都知道微软网站被黑客入侵是因为木马软件的缘故。

这个以特洛伊战争中使用的木马正大摇大摆地杀入互联网的领地，而这个软件的编写者就是被我们称为木马教父的黄鑫。

99年，木马虽然已经在黑客中间遍布使用，但多数为国外的BO和BUS等木马，对于一些刚接触黑客的生手来说，理解这些软件的使用方法和熟练使用这些软件无疑成为了“通往黑客道路”上的最大的难题，此外这些木马多数能够被杀毒软件擒获，使得国内的黑客多数不愿意去用木马。

正当国内大多数黑客们苦苦寻觅新的国外木马时，一款中国人自己的编写的木马悄悄诞生了，它就是冰河。

冰河在诞生之初凭借着国产化和暂时无杀毒软件能防杀的特点迅速地成为了黑客们使用最广泛的木马。

冰河本不该归属于木马的行列的，按照冰河作者黄鑫的话说，他编写冰河完全是靠自己的兴趣和网友的鼓励，最初只是想编写一个方便自己的远程控制软件，不曾想竟然编成了一个中国流传使用最广泛的黑客软件。

在1.2版本冰河发布以后，国内的黑客们大多认同了冰河，把冰河作为了木马软件的首选。

经过多方的支持和鼓励，特别是来自中国国内的黑客们的支持使得黄鑫又努力开发出冰河2.0。

2.0新增加了许多以前没有的功能和特性，特别是它在使用的过程中比1.2的更加方便更加的隐蔽好，所以2.0的出现使得冰河立即成为了人尽皆知的木马类黑客软件。

冰河良好的隐蔽性和使用简单的特点让国内许多想成为黑客，但又不懂黑客技术的人深深地过了一把黑客瘾，利用冰河入侵个人系统计算机后，他们便能够利用冰河得到他们想得到的一切。

现今很多出名的黑客都是利用冰河迈向通往黑客道路的第一步的。

黄鑫的冰河让很多人体会了做黑客的快感，更让很多人了解了网络安全的重要性。

其实就黑客的定性而言，身为一个数据库开发程序员的黄鑫或许根本算不上一个黑客，他从来没有黑过任何一个网站，甚至在开发测试冰河的时候也是利用自己和朋友的计算机来检验。

然而我们不能否认冰河的强大功能，特别是22版的冰河开发出后，它可以让任何一个菜鸟顷刻之间变成一个极否有攻击力的黑客。

冰河木马攻击与防范分析摘要：黑客和病毒是计算机网络安全普遍的威胁，其中尤以木马病毒最为典型，且流传最广。

它的危害在于赤裸裸的偷偷监视别人和盗窃别人的密码、数据等，对于网络用户而言，这是一个巨大的安全威胁。

冰河木马是国人编写的木马经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，对木马隐藏和启动的实现原理进行分析，揭示木马的工作机制，并提出相关的解决办法，给出木马的防治策略。

提示人们要时刻注意网络安全，保证自身利益不要受到侵害，对广大的网络用户来说是具有非常重要的意义的。

关键词：冰河木马；隐藏；端口；加载；启动；服务端；客户端；远程控制1 绪论随着人类生活水平的逐渐提升，网络已成为人们生活中必不可少的一个部分，但是网络的安全问题让人们不得不担忧。

尤其是近几年，网络业务越来越多，许许多多的人采用了网络的方式来处理自己的日常生活事务，电子银行、网上购物已成为人们处理事务的常事了。

但是由于一些不法分子企图通过网络的方式来谋取非法的利益，尤其是一些敏感领域及一些数额较大的交易，更是成为了不法分子攻击的目标，给广大的网络用户带来了巨大的安全威胁，并造成了许多难以估计的损失。

黑客和计算机病毒是网络安全最为普遍的威胁。

特洛伊木马就是这样的一种病毒，它没有自我复制能力，但它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。

而完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。

“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑，为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

而冰河木马是国人编写的木马的经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，揭示木马普遍的工作原理，并提出相关的解决办法，提示人们要时刻注意网络的安全，保证自身利益不要受到侵害，对广大的网络用户而言是具有非常重要的意义的。

冰河⽊马实验冰河⽊马实验实验报告实验⽬的与要求:1.了解⽊马运⾏机理2.掌握查杀⽊马的基本⽅法。

实验重点与难点:重点：1.对⽬标机使⽤冰河软件进⾏感染后控制2.清除冰河⽊马病毒难点：3.清除冰河⽊马病毒仪器设备及⽤具:1.连⽹的个⼈计算机2.Windows 2000 系统平台实验内容：1.冰河⽊马的组成1)G_Server.exe：被监控端后台监控程序，在安装前可以先通过“G_Client.exe”进⾏⼀些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端⼝、设置访问⼝令等。

⿊客们想⽅设法对它进⾏伪装，⽤各种⽅法将服务器端程序安装在你的电脑上，程序运⾏的时候⼀点痕迹也没有，你是很难发现有⽊马冰河在你的电脑上运⾏的;2)G_Client.exe：监控端执⾏程序，⽤于监控远程计算机和配置服务器程序;3)Operate.ini：G_Server.exe的配置⽂件;2.冰河⽊马的使⽤1）将G_Server.exe植⼊到⽬标主机2 ）打开瑞⼠军⼑图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。

对服务器进⾏简单配置。

监听端⼝2001可更换（范围在1024~32768之间）；关联可更改为与EXE⽂件关联（就是⽆论运⾏什么exe⽂件，冰河就开始加载；还有关键的邮件通知设置：A.服务器的配置1)安装路径：即服务器程序安装的位置，有三个选项：分别为“Windows”、“System”、“Temp”，这些都是Windows⾥的⼀些⽬录;2)⽂件名称：是服务器程序安装到⽬标计算机之后的名称，默认是Winoldap.exe，对于不熟悉Windows系统的⽤户来说，这可像是⼀个系统程序啊。

当然，这个名称是可以改的;3)进程名称：服务器程序运⾏时，在进程栏中显⽰的名称。

默认的进程名是Windows，也可以更改;4)访问⼝令：客户机连接服务器程序时需要输⼊的⼝令。

如果⽤于远程控制的时候，可以在⼀定程度上限制客户端程序的使⽤;5)敏感字符：设置冰河程序对某些敏感字符的信息加以记录。

实验4冰河木马实验1.实验报告如有雷同，雷同各方当次实验成绩均以0分计。

2.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。

实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有二个文件：G_Client.exe ，以及G_Server.exe 。

G_Client.exe 是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe 是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe 后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe ）的计算机可以对感染机进行远程控制。

冰河木马的主要功能：（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

（3）获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

（4）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。

（6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息：以四种常用图标向被控端发送简短信息。

计算机病毒实验报告姓名：学号:老师：一、实验目的学会使用冰河软件控制远端服务器，执行后门攻击。

了解木马的危害和攻击手段，为将来的防御和系统评估带来更高的认知度。

二、实验内容在实验环境下，完成冰河病毒体验实验。

三、实验环境● 硬件设备1) 小组PC（WIN2003系统）一台，用于远程控制2) 防火墙一台3) 机架服务器（WIN2003系统）一台，用于使其受控● 软件工具1) 冰河软件（程序包，含客户端、服务端）用于实现控制2) WireShark我所使用的PC终端IP地址是：192.168._1__._ 2_被分配的Windows2003 服务器对象地址是： 192.168.1.251本实验可单人或两人合作完成，从PC终端发起控制指令，使埋在服务器上的木马程序运行并连接到PC终端控制台上，完成整个实验过程。

并通过该远程控制程序研究如果引诱放置并执行该受控程序，同时也须研究如何防御封堵此类危险的远程控制行为。

四、实验步骤本实验由我和同学利用两台主机合作完成。

Step1：获取被控制主机的IP。

将G_server.exe程序放置一台主机(被控制的主机，即IP为192.168.1.1的主机)上并运行之。

在C盘中建立222.txt文件。

Step2：在终端PC 上，打开控制端程序：G_CLIENT.EXE。

在冰河主窗口下，选择扫描图标。

Step3：在起始域中选择<192.168.1>，在起始地址为1，终止地址为50，单击开始。

Step4：扫描成功，单击关闭。

在G_CLIENT中打开一添加的计算机。

或在G_CLIENT中直接添加计算机。

添加成功，可以看到被控制主机中的所有文件。

可以看到被控制主机中在C盘建立的222.txt文件。

复制到桌面。

打开查看内容。

Step5:点击冰河主界面空白部分，选择上传文件自，将一恶意网页病毒文件上传至被控制主机的C盘。

被控制端可以看到C盘中多了1.html 文件。

在控制端选择1.html文件，远程打开。

一．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

二．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

三．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

四．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

图4在种木马之前，我们在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1，见图5。