冰河木马的使用

一．实验目的

本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。

二．实验原理

木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

三．实验环境

装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。

四．实验步骤

双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属于木马的主控端程序。

图4

在种木马之前，我们在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是

c:\winnt\system32\notepad.exe%1，见图5。

图5

再打开受控端计算机的c:\winnt\system32文件夹（XP系统为C:\windows\system32），我

们不能找到sysexplr.exe文件，如图6所示。

图6

现在我们在受控端计算机中双击Win32.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生。我们再打开受控端计算机的注册表，查看打开.txt文件的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以发现，这时它的值为

C:\winnt\system32\sysexplr.exe%1，见图7。

图7

我们再打开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到

sysexplr.exe文件，如图8所示。

图8

我们在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主控程序）。

可以看到如图9所示界面。

图9

我们在该界面的【访问口令】编辑框中输入访问密码：12211987，设置访问密码，然后

点击【应用】，见图10。

图10

点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，见图11，弹出图12所示的服务器配置对话框。

图11

在服务器配置对话框中对待配置文件进行设置，如图12点击该按钮，找到服务器程序文件win32.exe，打开该文件（图13）；再在访问口令框中输入12211987，然后点击【确定】（见图14），就对服务器已经配置完毕，关闭对话框。

图12

图13

图14

现在在主控端程序中添加需要控制的受控端计算机，我们先在受控端计算机中查看其IP地址，如图15（本例中为172.16.8.62）。

图15

这时可以在我们的主控端计算机程序中添加受控端计算机了。

五．实验小结

通过本次实验，我们可以学会冰河木马的使用，从而理解木马的工作原理及木马的本来面目。