木马攻击实验

实验步骤一：冰河木马植入与控制

 

      分别进入虚拟机中PC1与PC2系统。在PC1中安装服务器端，在PC2中安装客户端。

 

      （1）服务器端。打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储目录下，双击G_SERVER。G_Server是木马的服务器端，即用来植入目标主机的程序。

 2）客户端。打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储目录下，双击G_CLIENT。G_Client是木马的客户端，即木马的控制端。打开控制端G_CLIENT后，弹出“冰河”的主界面.

 

    （3）添加主机。

在命令行下打ipconfig

 

 单击添加的主机（PC1）出现添加主机界面，如果连接成功，则会显示服务器端主机上的盘符服务器端主机盘符。这时我们就可以像操作自己的电脑一样操作远程目标电脑

 

 

实验步骤二命令控制台命令的使用方法

（1）口令类命令：

      点击“命令控制台”，然后点击“口令类命令”前面的“+”即可图界面出现口令类命令

 

 

 

控制类命令

      点击“命令控制台”，点击“控制类命令”前面的“+”即可显示图所示界面

 

 

网络类命令

      点击“命令控制台”，点击“网络类命令”前面的“+”即可展开网络类命令

 

 

 

文件类命令

      点击“命令控制台”，点击“文件类命令”前面的“+”即可展开“文件类命令

 

 

 

注册表读写

      点击“命令控制台”，点击“注册表读写”前面的“+”即可展开“注册表读写”命令

 

 

 

设置类命令

      点击“命令控制台”，点击“设置类命令”前面的“+”即可展开“设置类命令

 

 

 

 

实验步骤三删除冰河木马

（1）客户端的自动卸载功能

      点击“控制类命令”前面的“+”，点击“系统控制”可看到“自动卸载冰河”按钮并点击，在弹出的窗口里面点击“是”，则可以卸载远程主机上的木马如图14自动卸载冰河木马。

 

 

 

（2）手动卸载 

      在实际情况中木马客户端不可能为木马服务器端自动卸载木马，我们在发现计算机有异常情况时（如经常自动重启，密码信息泄露时），就应该怀疑是否已经中了木马，这时我们应该查看注册表，此处操作在PC1中进行，在“开始”→“运行”里面输入“regedit”，打开Windows注册表编辑器

依次打开一下目录

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

 

 在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这就是“冰河”密码在注册表中加入的键值，选中它，右键，点击删除

 

 

 然后依次打开目录

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

      在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这也是“冰河”木马在注册表中加入的键值，

 

 

 

 分析与思考

1.如何发现木马威胁

1）检查网络连接情况

2）查看目前运行的服务

3）检查系统启动项

4）检查系统账户

2.画出木马流程图