木马攻击实验

一.分别进入虚拟机中PC1与PC2系统。在PC1中安装服务器端，在PC2中安装客户端。

（1）服务器端。打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储目录下，双击G_SERVER。G_Server是木马的服务器端，即用来植入目标主机的程序。

 （2）客户端。打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储目录下，双击G_CLIENT。G_Client是木马的客户端，即木马的控制端。

 

 

 

 

 

 

 

 

 二.控制台命令

 

 三.删除冰河木马

点击“控制类命令”前面的“+”，点击“系统控制”可看到“自动卸载冰河”按钮并点击，在弹出的窗口里面点击“是”，则可以卸载远程主机上的木马如图14自动卸载冰河木马。

 

手动删除：在PC1中进行，在“开始”→“运行”里面输入“regedit”，依次打开目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices 在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这也是“冰河”木马在注册表中加入的键值，点击右键进行删除

 

 

修改文件关联也是木马常用的手段， 方法是找到注册表的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的默认值，选中“（默认）”，单击鼠标右键，选择修改字符串

 

 

 

分析与思考

1、 如何发现木马威胁？

打开C:\WINDOWS\system32文件夹，查看详细信息，排列图标按创建日期排列。（定期检查）如发现最新日期的文件名可疑，按这个最新日期搜索文件，在搜到的文件中（如果没有C:\Program Files中的文件，即说明不是你安装的程序）。删除这个文件，如果提示无法删除，说明文件正在调用。拨掉网线，看是否能删除。如仍无法删除。重新启动电脑，进入安全模式，删除此文件。

2、 画出木马工作流程图，加深对木马原理理解。

 

 

 ##课后习题