网络安全 实验报告

首都经济贸易大学信息学院实验报告

实验课程名称网络安全技术

首都经济贸易大学信息学院计算机系制

实验报告

学号：实验地点：3机房

姓名：实验时间：

一、实验室名称：网络安全实验

二、实验项目名称：冰河木马攻击

三、实验原理：

原理：特洛伊木马（简称木马），是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能相似。但木马有一些明显的特点，例如，它的安装和操作都是在隐蔽之中完成。攻击者经常将木马隐蔽在一些游戏或小软件中，诱使粗心的用户在自己的机器上运行。最常见的情况是，用户从不正规的网站下载和运行了带恶意代码的软件，或者不小心点击了带恶意代码的邮件附件。

大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，木马的服务器部分是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号，程序启动时机、如何发出调用、如何隐身、是否加密。另外，攻击者还可以设置登录服务器的密码，确定通信方式。木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。

木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很验证找到并清除它。木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。常见的木马，例如冰河、Netbus、网络神偷等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置木马监听的端口、运行方式，以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其他攻击者开发附加的功能。冰河在国内一直是不可动摇的领军木马，有人说在国内没有用过冰河的人等于没用过木马。冰河木马的目的是远程访问、控制。该软件主要用于远程监牢，具体功能包括：

（1）自动跟踪目标机屏幕变化，同时完全模拟键盘及鼠标输入，即在同步变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息。包括开机口令、屏保口令、各种虚伪补齐诼绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上的版本还同时提供了击键记录功能。

（3）获取系统信息。包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当

前显示分辨率、物理及软件磁盘信息等多项系统数据。

（4）限制系统功能。包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作。包括创建、上传、下载工、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件等多种操作功能。

（6）注册表操作。包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息。以4种常用图标向被控端发送简短信息。

（8）点对点通信。以聊天室形式同被控端进行在线交谈。

四、实验目的：

目的：通过使用冰河木马，理解并掌握木马的传播原理和运行机制，学会配置服务器端和客户端程序，掌握防范木马的相关知识，提高对木马的防范意识。

五、实验内容：

使用冰河木马进行远程控制

六、实验环境（硬件设备、软件）：

硬件：计算机

软件：windows xp，冰河木马软件

七、实验步骤：

在本实验说明中，服务器端指的是被控制端，客户端指的是控制端。注意在做这个实验时，最好将两台实验计算机上的防火墙和病毒程序全部关闭。

（1）查看计算机的网络连接状态。单击【开始】|【运行】，打开【运行】对话框，输入“cmd”，打开DOS窗口，在命令中输入“netstat -an”，结果如图3-10所示。可以看到服务器端计算机上网络连接情况，很显然7626端口没有开放。

（2）运行服务器端程序。在服务器计算机上运行冰河服务器程序G_Server.exe（这时服务器计算机表面看起来没有任何反应，但实际上已经中了冰河木马）。在DOS命令行上输入“netstat -an”，结果如图3-11所示。可以看出运行服务器端程序后，7626端口已经开放了。说明已经成功在服务器商朝安装上了冰河木马。

（3）打开客户端程序并连接服务器端计算机。在客户端打开G_Clinet.exe文件，出现如图3-12所示的冰河客户端界面。客户端执行程序的工具栏中各模块功能如下表所示：

功能名功能

令及端口并保存设置

删除主机将被监控端IP地址从主机列表中删除

自动搜索搜索指定子网内安装有冰河的计算机

查看屏幕查看被监控端屏幕

屏幕控制远程模拟鼠标及键盘输入，其余功能同“查看屏幕”

冰河信使点对点聊天室内，也就是传说中的“二人世界”

升级1.2版本通过“GLUOSHI专版”的冰河来升级远程1.2版本的服务器程序修改远程配置在线修改访问口令、监听端口等服务器程序设置，不需要重新上

传整个文件，修改后立即生效

配置本地服务器程序在安装前对“G_Server.exe”进行配置

图3-12

单击控制端工具栏中的【添加主机】，在弹出的添加计算机对话框的【显示名称】栏中输入显示在主界面的计算机名称，在【主机地址】栏中

填入服务器端主机的IP地址，在【访问口令】栏中填

入每次访问主机的密码，在【监听端口】栏中填入冰河

默认的监听端口7626，如图3-13所示。

单击【确定】，即可以看到冰河控制端上添加了名为的

主机，如图3-14所示。

单击主机名，右边出现盘符，表明控制端已经成功与被

控制端连接，可以进行控制了。展开盘符，可以看到被

控主机的所有资料，如图3-15所示。

图3-13