冰河木马实训步骤

特别提示1．实验报告首页是封面，在实验报告封面上要正确写上课程名称“计算机信息安全”、班级、学号、姓名等。

2．实验报告内容包括：（1）实验目的与要求；（2）实验环境；（3）实验内容与实验步骤；（4）实验心得（可以是心得体会、难点讨论、意见建议等）。

3．实验内容提前预习，充分准备，注意实验说明。

4．实验时要及时记录实验过程中所碰到问题和解决方法，并写到实验报告上。

5．写实验报告时，除“实验目的与要求”外，“实验环境”要和当前实验室的实验环境相同，实验内容应该是在实验室所做实验的具体内容，做什么就写什么，请不要照抄实验指导中的“实验内容与步骤”，实验指导中的“实验内容与步骤”只是一个形式化的范例。

6.实验报告可纸质提交，也可在网络课堂上提交电子版。

实验二冰河远程控制软件使用一、实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法，加深对木马的安全防范意识。

二、实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）三、实验说明学生可以相互组合，将对方的计算机作为被监控端，自己的计算机作为监控端，将“冰河”的所有功能都试做一下。

学生做实验的同时将实验过程及时记录到实验报告上或记录到一个Word文档中，课后再完善实验报告。

实验过程用文字和屏幕截图描述。

开设该实验是为了了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法，不能用来故意实施网络攻击。

四、实验内容与步骤注意：实验时先关闭防火墙和杀毒软件的自动防护功能。

双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1-图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

冰河病毒实验报告一：实验目的通过对本次冰河木马的实验，更进一步的认识木马的危害，以及增强自己对木马的查杀能力。

二：实验原理其实质只是一个网络客户/服务程序，一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。

对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。

三：实验环境和实验前准备1，装有操作系统的虚拟机；2，2，G_server.exe守护进程, G_client 客户端应用程序；3，关掉防火墙和所有防病毒软件。

四：实验步骤和过程一：在一台机（客服端）打开G_client应用程序，在另一台机（服务端）打开G_server.exe 程序。

服务端情况：⑤①：打开任务管理器可以看到多了一个名为Kernel32.exe的进程，并且CPU使用率100%②：发现在C:\windows\system32 目录下，有Kernel32.exe 程序③：在运行框输入msconfig 命令，可以在启动菜单下看到病毒程序修改了注册表中的自启动注册项。

去掉勾，禁用即可。

④：借用Registry Workshop 注册表管理工具来查看病毒修改的注册项。

在改工具的查找框中输入sysexplr.exe,可以看到下面的现象：客户端情况：如果没有关掉防病毒软件，则会出现下面情况：所以要关掉防病毒软件，打开界面如下：如果有服务端打开了G_server.exe程序，可用G_client应用程序扫描对方IP，界面如下：扫描到两个IP地址，。

网络安全实验报告冰河木马实验网络10-2班 XXX 08103635一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、打开杀毒软件查杀冰河木马；4、再次在B上种入冰河木马，并手动删除冰河木马，修改注册表和文件关联。

三、实验准备1、在两台计算机上关闭杀毒软件；2、下载冰河木马软件；3、阅读冰河木马的关联文件。

四、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

五、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

实验报告从上图可以瞧出,搜索结果中,每个IP前都就是ERR。

地址前面的“ERR:”表示这台计算机无法控制。

所以,为了能够控制该计算机,我们就必须要让其感染冰河木马。

1、远程连接使用Dos命令: net use \\ip\ipc$如下图所示:2、磁盘映射。

本实验:将目标主机的C:盘映射为本地主机上的X:盘如下图所示首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。

此时,在目标主机的Dos界面下,使用at命令,可瞧到:下图为设定时间到达之前(即G_Server、exe执行之前)的注册表信息,可以瞧到在注册表下的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run,其默认值并无任何值。

当目标主机的系统时间到达设定时间之后,G_Server、exe程序自动启动,且无任何提示。

从上图可以瞧到,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默认值发生了改变。

变成了:C:\\WINDOWS\\SYSTEM\\Kernel32、exe这就说明冰河木马安装成功,拥有G_Client、exe的计算机都可以对此计算机进行控制了。

此时,再次使用G_Client、exe搜索计算机,可得结果如下图所示:从搜索结果可以瞧到,我们刚安装了冰河木马的计算机(其IP:10、1、13、214)的IP地址前变成了“OK:”,而不就是之前的“ERR:”。

下面对该计算机进行连接控制:上图显示,连接失败了,为什么呢？其实原因很简单,冰河木马就是访问口令的,且不同版本的访问口令不尽相同,本实验中,我们使用的就是冰河V2、2版,其访问口令就是05181977,当我们在访问口令一栏输入该口令(或者右击“文件管理器”中的该IP,“修改口令”),并点击应用,即可连接成功。

连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

一、实验目的1. 了解冰河木马的基本原理和功能。

2. 学习使用冰河木马进行远程控制。

3. 提高网络安全意识，掌握网络安全防护方法。

二、实验环境1. 操作系统：Windows 102. 网络环境：局域网3. 实验工具：冰河木马客户端、冰河木马服务器三、实验步骤1. 准备实验环境（1）在局域网内，分别搭建两台计算机A和B，A作为客户端，B作为服务器。

（2）在计算机A上安装冰河木马客户端，在计算机B上安装冰河木马服务器。

2. 配置冰河木马服务器（1）打开计算机B上的冰河木马服务器，设置服务器端口号（如：8899）。

（2）在服务器端，设置冰河木马密码，用于客户端连接服务器。

3. 连接冰河木马客户端（1）在计算机A上打开冰河木马客户端。

（2）输入冰河木马服务器的IP地址和端口号，以及密码。

（3）点击“连接”按钮，成功连接服务器。

4. 控制计算机B（1）在客户端界面，可以看到计算机B的基本信息，如IP地址、系统信息等。

（2）点击“控制端”按钮，进入远程控制界面。

（3）在远程控制界面，可以查看计算机B的屏幕、键盘、鼠标等。

（4）通过客户端操作，控制计算机B的运行、文件传输等功能。

5. 安全防护（1）在实验过程中，注意保护计算机B的安全，避免被恶意操作。

（2）关闭冰河木马客户端和服务器后，及时删除安装的木马程序。

四、实验结果与分析1. 实验成功连接冰河木马服务器，并成功控制计算机B。

2. 通过实验，了解到冰河木马的基本原理和功能，以及远程控制的方法。

3. 提高网络安全意识，认识到网络安全的重要性。

五、实验总结1. 本次实验成功实现了冰河木马的安装、配置、连接和控制，达到了实验目的。

2. 通过实验，掌握了冰河木马的基本原理和功能，以及网络安全防护方法。

3. 在实验过程中，注意到了网络安全的重要性，提高了自己的网络安全意识。

4. 在以后的学习和工作中，将继续关注网络安全问题，提高自己的网络安全防护能力。

六、实验建议1. 在进行类似实验时，应选择安全、合法的实验环境，确保实验过程中不会对他人造成损失。

《信息安全》实验报告（5）实验名称：________________ 指导教师：___________ 完成日期：________________专 业：________________ 班 级：___________ 姓 名：________________ 一、实验目的：了解常见的网络攻击的概念和类型；了解木马攻击的原理，了解常见的木马类型，掌握防范木马攻击的方法；了解利用木马实施攻击的方法。

二、实验内容：1、利用“冰河”或其他类型的木马实施攻击。

（该实验需要2名同学合作完成）。

2、验证电脑安全防护软件在防范木马攻击中的作用。

三、实验过程：(实现步骤等)1. 首先在要被攻击电脑上运行G_SERVER.EXE 冰河木马服务端（前提是360安全杀毒软件暂未运行）；2. 然后再攻击端运行G_CLIENT.EXE 冰河木马客户端，运行如下图：木马攻击 于泳海 2014-12-3 信息管理与信息系统11级信本班 贾文丽3.添加被攻击端的IP地址，进行攻击，可对被攻击端进行，数据操作拷贝、删除，以及对屏幕进行操作等；1)添加被攻击者IP：2)查看、拷贝和删除被攻击者数据：3)对屏幕控制，可控制输入等操作：4.当被攻击者开启杀毒软件后，无法进行控制，木马将会被查杀。

四、实验结果与结论：在做木马攻击与被攻击实验，可以看出，在没有安装或运行杀毒软件时，攻击是轻而易举的，且对被攻击者电脑操作有很多，被攻击者电脑使用有时还会出现无法使用或不正常状态，例如输入文字时可能出现未按大写键，却出现输入大写字母而不是文字的情况。

从上述实验中可以了解到木马的作用在于以潜伏隐藏的手段，接收到发起攻击的客户端，服务端（被攻击端）就会相应操作，达到数据获取，破坏用户的正常使用等。

五、实验总结：（实验中遇到的问题及解决方法，心得体会等）通过对本节课程的学习，使我们了解了常见的网络攻击的概念和类型，知道了木马攻击的原理和常见的木马类型，掌握了防范木马攻击的方法并学会了利用木马实施攻击的方法。

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全防护能力，本实验旨在通过模拟冰河木马攻击，了解其攻击原理、传播途径以及防护措施。

实验过程中，我们将使用虚拟机环境，模拟真实网络环境下的木马攻击，并采取相应的防护措施。

二、实验目的1. 了解冰河木马的攻击原理和传播途径。

2. 掌握网络安全防护的基本方法，提高网络安全意识。

3. 熟悉网络安全工具的使用，为实际网络安全工作打下基础。

三、实验环境1. 操作系统：Windows 10、Linux Ubuntu2. 虚拟机软件：VMware Workstation3. 木马程序：冰河木马4. 网络安全工具：杀毒软件、防火墙四、实验步骤1. 搭建实验环境（1）在VMware Workstation中创建两个虚拟机，分别为攻击机和被攻击机。

（2）攻击机安装Windows 10操作系统，被攻击机安装Linux Ubuntu操作系统。

（3）在攻击机上下载冰河木马程序，包括GClient.exe和GServer.exe。

2. 模拟冰河木马攻击（1）在攻击机上运行GClient.exe，连接到被攻击机的GServer.exe。

（2）通过GClient.exe，获取被攻击机的远程桌面控制权，查看被攻击机的文件、运行进程等信息。

（3）尝试在被攻击机上执行恶意操作，如修改系统设置、删除文件等。

3. 检测与防护（1）在被攻击机上安装杀毒软件，对系统进行全盘扫描，查杀木马病毒。

（2）关闭被攻击机的远程桌面服务，防止木马再次连接。

（3）设置防火墙规则，阻止不明来源的连接请求。

4. 修复与恢复（1）对被攻击机进行系统备份，以防数据丢失。

（2）修复被木马破坏的系统设置和文件。

（3）重新安装必要的软件，确保系统正常运行。

五、实验结果与分析1. 攻击成功通过实验，我们成功模拟了冰河木马攻击过程，攻击机成功获取了被攻击机的远程桌面控制权，并尝试执行恶意操作。

2. 防护措施有效在采取防护措施后，成功阻止了木马再次连接，并修复了被破坏的系统设置和文件。

网络安全实验报告冰河木马实验实验目的：1.了解冰河木马的原理和特点；2.掌握冰河木马部署的方法以及检测与防御手段。

实验器材：1. 安装有Windows操作系统的虚拟机；2.冰河木马部署工具。

实验步骤：1.安装虚拟机：根据实验需要，选择合适的虚拟机软件，并安装Windows操作系统。

2.配置网络环境：将虚拟机的网络模式设置为桥接模式，使其可以直接连入局域网。

4.部署冰河木马：a)打开解压后的冰河木马部署工具；b)输入冰河木马的监听端口号；c)选择合适的木马文件类型并输入要部署的木马文件名；d)点击部署按钮，等待部署完成。

5.运行冰河木马：a)在虚拟机上运行冰河木马；b)冰河木马将开始监听指定的端口。

6.外部操作：a)在外部主机上打开浏览器，输入虚拟机IP地址和冰河木马监听端口号；实验原理：冰河木马是一种隐蔽性极高的网络攻击工具，其中”冰河”是指冰山一角，表示用户常用的木马查杀工具只能发现一小部分木马样本，而多数都无法查杀。

它通过监听指定端口，接收外部指令，并将得到的内容通过HTTP协议加密封装成HTTP请求发送给指定服务器。

可以通过浏览器的方式来控制远程主机。

实验总结：本次实验中，我通过部署和运行冰河木马对实验环境进行了攻击模拟。

冰河木马以其良好的隐蔽性和强大的功能，使得安全防护变得更加困难。

冰河木马能够对目标计算机进行文件传输、进程控制等操作，使得攻击者可以远程控制受害机器，对其进行攻击、窃取敏感信息等。

为了提高网络安全，我们需要采取以下防御措施：1.及时更新系统和应用程序的补丁，修复可能存在的安全漏洞；2.安装并定期更新杀毒软件和防火墙，提高恶意程序的检测和防范能力；3.加强网络安全意识教育，防止员工被钓鱼、诈骗等方式获取重要信息；4.强化网络审计和监控，及时发现并处置网络攻击行为；5.配置安全策略，限制外部访问和流量。

通过本次实验，我对冰河木马的工作原理有了一定的认识，并学会了一些基本的防御手段，这对我今后从事网络安全工作有着重要的意义。

1. 实验报告如有雷同，雷同各方当次实验成绩均以0分计。

在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。

实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有二个文件：G_Client.exe ，以及G_Server.exe 。

G_Client.exe 是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe 是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe 后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe ）的计算机可以对感染机进行远程控制。

冰河木马的主要功能：（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

（3）获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

（4）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。

（6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息：以四种常用图标向被控端发送简短信息。

（8）点对点通讯：以聊天室形式同被控端进行在线交谈等。

⽹络安全实验六：1.⽊马攻击实验步骤⼀：冰河⽊马植⼊与控制分别进⼊虚拟机中PC1与PC2系统。

在PC1中安装服务器端（被攻击者），在PC2中安装客户端（发起攻击者）。

（1）服务器端：打开C:\tool\“⽊马攻击实验“⽂件夹，双击G_SERVER。

因为虚拟机防⽕墙已关闭故不会弹窗，双击即为运⾏成功，⾄此，⽊马的服务器端开始启动（2）客户端：切换到PC2，打开C:\tool\“⽊马攻击实验”⽂件夹，在“冰河”⽂件存储⽬录下，双击G_CLIENT。

双击后未弹窗原因同上，出现如下图所⽰（3）添加主机①查询PC1的ip地址，打开cmd，输⼊ipconfig，如下图，得知IP地址为10.1.1.92②添加PC1主机：切换回PC2，点击如下图所⽰输⼊PC1的ip地址10.1.1.92，端⼝默认7626，点击确定若连接成功，则会显⽰服务器端主机上的盘符，如下图⾄此，我们就可以像操作⾃⼰的电脑⼀样操作远程⽬标电脑.步骤⼆：命令控制台命令的使⽤⽅法（1）⼝令类命令：点击“命令控制台”，然后点击“⼝令类命令”前⾯的“+”即可图界⾯出现如下图所⽰⼝令类命令。

各分⽀含义如下：“系统信息及⼝令”：可以查看远程主机的系统信息，开机⼝令，缓存⼝令等。

可看到⾮常详细的远程主机信息，这就⽆异于远程主机彻底暴露在攻击者⾯前“历史⼝令”：可以查看远程主机以往使⽤的⼝令“击键记录”：启动键盘记录后，可以记录远程主机⽤户击键记录，⼀次可以分析出远程主机的各种账号和⼝令或各种秘密信息（2）控制类命令点击“命令控制台”，点击“控制类命令”前⾯的“+”即可显⽰图所⽰界⾯如下图所⽰控制类命令。

（以”发送信息“为例，发送”nihaoya“）此时切换回PC1查看是否收到信息，如下图⾄此，发送信息功能得到验证各分⽀含义如下：“捕获屏幕”：这个功能可以使控制端使⽤者查看远程主机的屏幕，好像远程主机就在⾃⼰⾯前⼀样，这样更有利于窃取各种信息，单击“查看屏幕”按钮，然后就染成了远程主机的屏幕。

冰河⽊马实验冰河⽊马实验实验报告实验⽬的与要求:1.了解⽊马运⾏机理2.掌握查杀⽊马的基本⽅法。

实验重点与难点:重点：1.对⽬标机使⽤冰河软件进⾏感染后控制2.清除冰河⽊马病毒难点：3.清除冰河⽊马病毒仪器设备及⽤具:1.连⽹的个⼈计算机2.Windows 2000 系统平台实验内容：1.冰河⽊马的组成1)G_Server.exe：被监控端后台监控程序，在安装前可以先通过“G_Client.exe”进⾏⼀些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端⼝、设置访问⼝令等。

⿊客们想⽅设法对它进⾏伪装，⽤各种⽅法将服务器端程序安装在你的电脑上，程序运⾏的时候⼀点痕迹也没有，你是很难发现有⽊马冰河在你的电脑上运⾏的;2)G_Client.exe：监控端执⾏程序，⽤于监控远程计算机和配置服务器程序;3)Operate.ini：G_Server.exe的配置⽂件;2.冰河⽊马的使⽤1）将G_Server.exe植⼊到⽬标主机2 ）打开瑞⼠军⼑图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。

对服务器进⾏简单配置。

监听端⼝2001可更换（范围在1024~32768之间）；关联可更改为与EXE⽂件关联（就是⽆论运⾏什么exe⽂件，冰河就开始加载；还有关键的邮件通知设置：A.服务器的配置1)安装路径：即服务器程序安装的位置，有三个选项：分别为“Windows”、“System”、“Temp”，这些都是Windows⾥的⼀些⽬录;2)⽂件名称：是服务器程序安装到⽬标计算机之后的名称，默认是Winoldap.exe，对于不熟悉Windows系统的⽤户来说，这可像是⼀个系统程序啊。

当然，这个名称是可以改的;3)进程名称：服务器程序运⾏时，在进程栏中显⽰的名称。

默认的进程名是Windows，也可以更改;4)访问⼝令：客户机连接服务器程序时需要输⼊的⼝令。

如果⽤于远程控制的时候，可以在⼀定程度上限制客户端程序的使⽤;5)敏感字符：设置冰河程序对某些敏感字符的信息加以记录。

目录简介 (1)工作原理 (1)步骤流程 (5)功能 (18)清除方法 (19)结论 (20)简介冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。

但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。

在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开TXT 文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

工作原理冰河木马是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。

一、基础篇（揭开木马的神秘面纱）无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。

一．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

二．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

三．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

四．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

图4在种木马之前，我们在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1，见图5。