冰河木马的使用

甘肃政法学院本科学生实验报告实验课程：安全扫描技术实验名称：冰河木马的入侵和防御计算机科学学院计算机科学与技术专业09 级计算科学与技术本科班学号：_姓名：_____ __指导教师：____李启南_成绩：_____________完成时间：2011年9月21日一、实验名称冰河木马的入侵和防御二、实验目的通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机，植入木马程序，控制远程主机。

通过入侵实验理解和账务木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

三、实验内容安装、卸载、使用冰河木马。

四、实验原理冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，它可以自动启动并在某一端口监听来自控制端的控制信息。

一般木马都采用C/S运行模式，即分为两部分：客户端和服务端木马程序。

当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端秘密提出连接请求，获取服务器端的相关信息。

五、实验平台冰河ROSE 版。

两台装有Windows 2000/XP/7系统的计算机，机房局域网。

六、实验步骤1、在服务器端计算机上运行冰河服务器程序G_Server.exe。

2. 连接登陆远程主机。

在另一台计算机上打开冰河木马程序客户端，如图1所示。

图1 冰河木马程序客户端选择“文件—>搜索计算机”，如图2所示设置起始域，起始地址和终止地址，监听端口、延迟选择默认值。

图2搜索计算机搜索结果如图2所示，在219.246.153.30和219.246.153.5前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

特别提示1．实验报告首页是封面，在实验报告封面上要正确写上课程名称“计算机信息安全”、班级、学号、姓名等。

2．实验报告内容包括：（1）实验目的与要求；（2）实验环境；（3）实验内容与实验步骤；（4）实验心得（可以是心得体会、难点讨论、意见建议等）。

3．实验内容提前预习，充分准备，注意实验说明。

4．实验时要及时记录实验过程中所碰到问题和解决方法，并写到实验报告上。

5．写实验报告时，除“实验目的与要求”外，“实验环境”要和当前实验室的实验环境相同，实验内容应该是在实验室所做实验的具体内容，做什么就写什么，请不要照抄实验指导中的“实验内容与步骤”，实验指导中的“实验内容与步骤”只是一个形式化的范例。

6.实验报告可纸质提交，也可在网络课堂上提交电子版。

实验二冰河远程控制软件使用一、实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法，加深对木马的安全防范意识。

二、实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）三、实验说明学生可以相互组合，将对方的计算机作为被监控端，自己的计算机作为监控端，将“冰河”的所有功能都试做一下。

学生做实验的同时将实验过程及时记录到实验报告上或记录到一个Word文档中，课后再完善实验报告。

实验过程用文字和屏幕截图描述。

开设该实验是为了了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法，不能用来故意实施网络攻击。

四、实验内容与步骤注意：实验时先关闭防火墙和杀毒软件的自动防护功能。

双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1-图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

“冰河”木马的攻击与防范林楚金班级(YL03) 0930103238前言随着网络的日益发展，通过网络攻击的手段也变得复杂多样，有组织，有预谋，有目的的攻击，破坏活动也频繁的发生，攻击点也越来越精确集中，攻击破坏的影响面不断扩大，甚至产生连锁反应，所以，我们必须要构筑一种主动的安全防御，才有可能最大限度地有效应对各种不同的攻击方式。

接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。

在此之前，先简单的介绍一下什么是特洛伊木马……目录一、什么是木马 (3)二、“冰河”木马的简介 (6)三、“冰河”木马工作原理 (7)四、“冰河”木马工作过程或步骤流程 (8)五、“冰河”木马功能或后果 (17)六、“冰河”木马防范手段与措施 (18)什么是木马1、木马的基础特洛伊木马(TrojanHorse)简称“木马”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。

在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

在计算机领域中，木马其实就是类恶意程序。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，病毒是一自我复制为明确目的的编写代码，它附着宿主程序，然后试图在计算机之间传播，会对硬件、软件和信息造成破坏。

而“木马”不会自我繁殖，也不会刻意的去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被施种者电脑的门户，使施种者可以任意损坏、窃取被施种者的文件，甚至远程控制被施种者的电脑。

“木马”与常用的远程控制软件不同，远程控制软件是善意的控制，不具有隐蔽性；“木马”正好相反，它是以“偷窃”为目的的远程控制，具有很强的隐蔽性。

一个完整的“木马”程序包括“服务器”和“控制器”两部分。

被施种者的电脑是“服务器”部分，而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。

实验八木马攻击实验一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、手动删除冰河木马，修改注册表和文件关联。

三、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

四、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有两个文件：G_Client.exe，以及G_Server.exe。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe 后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

1、入侵目标主机：首先运行G_Client.exe，扫描主机。

查找IP地址：在“起始域”编辑框中输入要查找的IP地址，本实验搜索IP地址“219.219.68.***”网段的计算机，点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

搜索框内有显示状态为ERR的主机，是因为这些主机上没有种马，即没有安装服务器。

2、在命令控制台中操作：口令类命令：系统命令及口令历史口令击键记录控制类命令：抓捕屏幕发送信息进程管理窗口管理系统控制鼠标控制其他控制网络类命令：网络信息---查看共享文件类命令：文件复制注册表读写：键值读取设置类命令：服务器端配置读取服务器配置修改服务器配置删除“冰河”木马的方法：A．客户端的自动卸载功能，在“控制命令类”中的“系统控制”里面就有自动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。

冰河木马的使用LT
（一）、解压冰河木马，得到两个文件，其中G_Server.exe为服务器端程序，放在被攻击的主机上，g_client.exe为客户端软件，用于操作目标主机：
（二）、在目标主机放置G_Server.exe后，打开g_client.exe程序，主界面如下图：
（三）、查看本机所在网段：
（四）、在冰河主程序中点击“文件-自动搜索”，打开如下界面：
（五）、在“起始域”中输入本机所在网段，点击“开始搜索”：
(六)、搜索完毕，结果如下：
（七）、选择一台目标主机，向其D盘放置一个文件名为“冰河实验用”的txt文件：
（八）、在目标主机打开D盘，查看是否拷贝成功：
（九）、选择一个目标主机，点击“文件-屏幕控制”，成功控制：。

实验报告从上图可以瞧出,搜索结果中,每个IP前都就是ERR。

地址前面的“ERR:”表示这台计算机无法控制。

所以,为了能够控制该计算机,我们就必须要让其感染冰河木马。

1、远程连接使用Dos命令: net use \\ip\ipc$如下图所示:2、磁盘映射。

本实验:将目标主机的C:盘映射为本地主机上的X:盘如下图所示首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。

此时,在目标主机的Dos界面下,使用at命令,可瞧到:下图为设定时间到达之前(即G_Server、exe执行之前)的注册表信息,可以瞧到在注册表下的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run,其默认值并无任何值。

当目标主机的系统时间到达设定时间之后,G_Server、exe程序自动启动,且无任何提示。

从上图可以瞧到,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默认值发生了改变。

变成了:C:\\WINDOWS\\SYSTEM\\Kernel32、exe这就说明冰河木马安装成功,拥有G_Client、exe的计算机都可以对此计算机进行控制了。

此时,再次使用G_Client、exe搜索计算机,可得结果如下图所示:从搜索结果可以瞧到,我们刚安装了冰河木马的计算机(其IP:10、1、13、214)的IP地址前变成了“OK:”,而不就是之前的“ERR:”。

下面对该计算机进行连接控制:上图显示,连接失败了,为什么呢？其实原因很简单,冰河木马就是访问口令的,且不同版本的访问口令不尽相同,本实验中,我们使用的就是冰河V2、2版,其访问口令就是05181977,当我们在访问口令一栏输入该口令(或者右击“文件管理器”中的该IP,“修改口令”),并点击应用,即可连接成功。

连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

冰河木马的入侵一、实验目的通过使用冰河木马软件在局域网中扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理冰河木马是用C++Builder写的，冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe 在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件a)工具：木马程序：冰河ROSE 版b)实验平台：WINDOWS XP，两台电脑在同一局域网中。

实验步骤1.双击冰河木马.rar文件，将其进行解压，冰河木马共有两个应用程序，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

2.打开冰河界面,2.点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，弹出所示的服务器配置对话框。

打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，搜索结果，在192.168.1.101和192.168.1.103前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

冰河木马的使用实验目的：1.掌握冰河木马的具体功能2.熟悉冰河木马的使用操作3.懂得冰河木马的清除方法实验原理：1.基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。

对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe 是守护进程, G_client是客户端应用程序。

2.程序实现:在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):服务端:G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)G_Server.Listen(等待连接)客户端:G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)G_Client.Connect (调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestIDEnd Sub客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口Private Sub G_Server_Close()G_Server.Close (关闭连接)G_Server.Listen (再次监听)End Sub其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令......实验步骤：1.连接：打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。

1. 实验报告如有雷同，雷同各方当次实验成绩均以0分计。

在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。

实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有二个文件：G_Client.exe ，以及G_Server.exe 。

G_Client.exe 是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe 是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe 后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe ）的计算机可以对感染机进行远程控制。

冰河木马的主要功能：（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

（3）获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

（4）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。

（6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息：以四种常用图标向被控端发送简短信息。

（8）点对点通讯：以聊天室形式同被控端进行在线交谈等。

⽹络安全实验六：1.⽊马攻击实验步骤⼀：冰河⽊马植⼊与控制分别进⼊虚拟机中PC1与PC2系统。

在PC1中安装服务器端（被攻击者），在PC2中安装客户端（发起攻击者）。

（1）服务器端：打开C:\tool\“⽊马攻击实验“⽂件夹，双击G_SERVER。

因为虚拟机防⽕墙已关闭故不会弹窗，双击即为运⾏成功，⾄此，⽊马的服务器端开始启动（2）客户端：切换到PC2，打开C:\tool\“⽊马攻击实验”⽂件夹，在“冰河”⽂件存储⽬录下，双击G_CLIENT。

双击后未弹窗原因同上，出现如下图所⽰（3）添加主机①查询PC1的ip地址，打开cmd，输⼊ipconfig，如下图，得知IP地址为10.1.1.92②添加PC1主机：切换回PC2，点击如下图所⽰输⼊PC1的ip地址10.1.1.92，端⼝默认7626，点击确定若连接成功，则会显⽰服务器端主机上的盘符，如下图⾄此，我们就可以像操作⾃⼰的电脑⼀样操作远程⽬标电脑.步骤⼆：命令控制台命令的使⽤⽅法（1）⼝令类命令：点击“命令控制台”，然后点击“⼝令类命令”前⾯的“+”即可图界⾯出现如下图所⽰⼝令类命令。

各分⽀含义如下：“系统信息及⼝令”：可以查看远程主机的系统信息，开机⼝令，缓存⼝令等。

可看到⾮常详细的远程主机信息，这就⽆异于远程主机彻底暴露在攻击者⾯前“历史⼝令”：可以查看远程主机以往使⽤的⼝令“击键记录”：启动键盘记录后，可以记录远程主机⽤户击键记录，⼀次可以分析出远程主机的各种账号和⼝令或各种秘密信息（2）控制类命令点击“命令控制台”，点击“控制类命令”前⾯的“+”即可显⽰图所⽰界⾯如下图所⽰控制类命令。

（以”发送信息“为例，发送”nihaoya“）此时切换回PC1查看是否收到信息，如下图⾄此，发送信息功能得到验证各分⽀含义如下：“捕获屏幕”：这个功能可以使控制端使⽤者查看远程主机的屏幕，好像远程主机就在⾃⼰⾯前⼀样，这样更有利于窃取各种信息，单击“查看屏幕”按钮，然后就染成了远程主机的屏幕。

怎么用冰河木马（冰河木马教程）点这里下载==》冰河木马从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为）虽然过时了但6.0的到现在也有人用的不少现在为大家送上教程新手们看好了不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河v6.0GLUOSHI专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么？因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

冰河木马的主要功能介绍：1.远程监控(控制对方鼠标、键盘，并监视对方屏幕)keybd_event 模拟一个键盘动作(这个函数支持屏幕截图)mouse_event 模拟一次鼠标事件mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标2.记录各种口令信息(作者注：出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)3.获取系统信息a.取得计算机名GetComputerNameb.更改计算机名SetComputerNamec.当前用户GetUserName函数d.系统路径Set FileSystem0bject=CreateObject("Scripting.FileSystemObject") (建立文件系统对象)Set SystemDir=FileSystem0bject.getspecialfolder(1) (取系统目录)Set SystemDir = FileSystem0bject.getspecialfolder(0) (取Windows安装目录) (友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)e.取得系统版本GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx)f.当前显示分辨率Width=screen.Width \ screen.TwipsPerPixelXHeight=screen.Height \ screen.TwipsPerPixelY其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Wi ndows的"垃圾站"-注册表比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentContr olSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。

冰河木马详解路由器命令router>用户模式1：进入特权模式enablerouter>enablerouter#2：进入全局配置模式configureterminal router>enablerouter#configureterminalrouter(conf)#3：交换机命名hotnameroutera以routerA为例router>enablerouter#configureterminalrouter(conf)#hotnamerouterAroutera(conf)#4：配置使能口令enablepawordcico以cico为例router>enablerouter#configureterminalrouter(conf)#hotnamerouterArouterA(conf)#enablepawordcico5：配置使能密码enableecretcicolab以cicolab为例router>enablerouter#configureterminalrouter(conf)#hotnamerouterArouterA(conf)#enableecretcicolab6：进入路由器某一端口interfacefatehernet0/17以17端口为例router>enablerouter#configureterminalrouter(conf)#hotnamerouterArouterA(conf)#interfacefatehernet0/17routerA(conf-if)#进入路由器的某一子端口interfacefatethernet0/17.1以17端口的1子端口为例router>enablerouter#configureterminalrouter(conf)#hotnamerouterArouterA(conf)#interfacefatehernet0/17.17：设置端口ip地址信息router>enablerouter#configureterminalrouter(conf)#hotnamerouterArouterA(conf)#interfacefatehernet0/17以17端口为例routerA(conf-if)#ipaddre192.168.1.1255.255.255.0配置交换机端口ip和子网掩码routerA(conf-if)#nohut是配置处于运行中routerA(conf-if)#e某it8：查看命令howrouter>enablerouter#howverion察看系统中的所有版本信息howinterfacevlan1查看交换机有关ip协议的配置信息howrunning-configure查看交换机当前起作用的配置信息howinterfacefatethernet0/1察看交换机1接口具体配置和统计信息howmac-addre-table查看mac地址表howiprouter查看路由器的路由表9：cdp相关命令router>enablerouter#howcdp查看设备的cdp全局配置信息howcdpinterfacefatethernet0/17查看17端口的cdp配置信息howcdptraffic查看有关cdp包的统计信息howcdpnerghbor列出与设备相连的cico设备10：cico2600的密码恢复重新启动路由器，在启动过程中按下win+break键，使路由器进入rommonitor在提示符下输入命令修改配置寄存器的值，然后重新启动路由器remmon1>confreg0某2142remmon2>reet重新启动路由器后进入etup模式，选择“no”，退回到e某ec模式，此时路由器原有的配置仍然保存在tartup-config中，为使路由器恢复密码后配置不变把tartup-config中配置保存到running-config中，然后重新设置enable密码，并把配置寄存器改回0某2102：router>enablerouter#copytartup-configrunning-configrouter#configureterminalrouter(conf)#enablepawordcicorouter(conf)#config-regiter0某2102保存当前配置到tartup-config,重新启动路由器。

一．实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

二．实验原理木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。

运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

三．实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

四．实验步骤双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

图4在种木马之前，我们在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1，见图5。