冰河木马实验报告

实验报告

从上图可以看出，搜索结果中，每个IP前都是ERR。地址前面的“ERR:”表示这台计算机无法控制。

所以，为了能够控制该计算机，我们就必须要让其感染冰河木马。

1、远程连接

使用Dos命令： net use \\ip\ipc$

如下图所示：

2、磁盘映射。

本实验：将目标主机的C：盘映射为本地主机上的X：盘如下图所示

3、将本地主机上的G_Server.exe拷贝到目标主机的磁盘中，并使其自动运行。如下图所示：

上图中，目标主机的C盘中没有G_Server.exe程序存在。

此时，目标主机的C盘中已存在冰河的G_Server.exe程序，使用Dos命令添加启动事件，如下图所示：

首先，获取目标主机上的系统时间，然后根据该时间设置启动事件。

此时，在目标主机的Dos界面下，使用at命令，可看到：

下图为设定时间到达之前（即G_Server.exe执行之前）的注册表信息，可以看到在注册表下的：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run，其默认值并无任何值。

当目标主机的系统时间到达设定时间之后，G_Server.exe程序自动启动，且无任何提示。

从上图可以看到，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run 的默认值发生了改变。

变成了：C:\\WINDOWS\\SYSTEM\\Kernel32.exe

这就说明冰河木马安装成功，拥有G_Client.exe的计算机都可以对此计算机进行控制了。

此时，再次使用G_Client.exe搜索计算机，可得结果如下图所示：

从搜索结果可以看到，我们刚安装了冰河木马的计算机（其IP：10.1.13.214）的IP地址前变成了“OK:”，而不是之前的“ERR:”。

下面对该计算机进行连接控制：

上图显示，连接失败了，为什么呢？其实原因很简单，冰河木马是访问口令的，且不同版本的访问口令不尽相同，本实验中，我们使用的是冰河V2.2版，其访问口令是05181977，当我们在访问口令一栏输入该口令（或者右击“文件管理器”中的该IP，“修改口令”），并点击应用，即可连接成功。

连接成功了，我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

比如说：

1、屏幕控制。

图像格式有BMP和JEPG两个选项，建议你选JEPG格式，因为它比较小，便于网络传输。“图像色深”第一格为单色，第二格为16色，第三格为256色，依此类推。“图像品质”主要反应的是图像的清晰度。按“确定”按钮后便出现远程计算机的当前屏幕容。

设置相关属性

上图为查看到的远程屏幕，远程屏幕如下图所示

2、弹窗、发送消息

“发送信息”主要是让操作者选择合适的“图标类型”和“按钮类型”，然后在“信息正文”里写上要发送的信息，按“预览”觉得满意后点“发送”即可。

3、进程控制

“进程管理”是“查看进程”，了解远程计算机正在使用的进程，便于控制。

4、修改服务器配置

5、冰河信使

以上是一些常用的控制命令，不过，冰河的强大功能当然远远不尽于此，在此就不一一实现了。各类控制命令如下图所示：

二、防与清除冰河

当冰河的G_SErver.exe这个服务端程序在计算机上运行时，它不会有任何提示，而是在windows/system下建立应用程序“kernel32.exe”和“Sysexplr.exe”。若试图手工删除，“Sysexplr.exe”可以删除，但是删除“kernel32.exe”时提示“无法删除kernel32.exe:指定文件正在被windows使用”，按下“Ctrl+Alt+Del”时也不可能找到“kernel32.exe”，先不管它，重新启动系统，一查找，“Sysexplr.exe”一定会又出来的。可以在纯DOS模式下手工删除掉这两个文件。再次重新启动，你猜发生了什么？再也进不去Windows系统了。

重装系统后，再次运行G_Server.exe这个服务端程序，在“开始”→“运行”中输入“regedit”打开注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run下面发现="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"的存在，说明它是每次启动自动执行的。

下图为卸载冰河木马前的注册表信息：

卸载清除：

1、攻击你的主机良心发现，远程把你机器上的冰河木马卸载掉。步骤如下图：

2、自己动手，丰衣足食。步骤如下：

下图为清除冰河木马之后的注册表信息：