安全攻防分析 2.木马 2.5 广外女生的使用与手工清除

#广外女生的使用与手工清除
##【实验目的】
1)了解广外女生的使用与清除
##【实验原理】
1)广外女生是广东外语外贸大学"广外女生"网络小组的处女作，也是一个远程控制软件，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。
其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有金山毒霸、天网等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用!
##【实验环境】
Windows7
Windows server 2003
广外女生
##【实验步骤】
###一、	广外女生的使用
1.1打开桌面tools\广外女生的使用与手工清除文件夹下的gwg.exe，单击服务端设置。如图1所示

1.2这里使用自定义，单击生成服务端，则会在当前目录下生成服务端木马程序GDUFS.exe。如图2所示

1.3双击桌面上的共享快捷方式，打开共享文件夹，将在gwgirl文件夹下生成的木马程序GDUFS.exe拷贝到共享文件夹下。如图3所示

1.4在Windows server 2003上双击桌面上的共享快捷方式，打开共享文件夹，将木马程序GDUFS.exe复制到此文件夹下。
切换到目标机，使用同样的方式打开操作机的共享文件夹，将GDUFS.exe复制到桌面上。如图4所示

1.5双击运行木马程序，弹出提示。如图5所示

1.6单击添加主机选项卡，设置起始和终止IP，验证密码为空，单击开始搜索，搜索到目标主机。如图6所示

1.7在文件共享选项卡下，可以对目标机上的目录和文件进行相关操作，如上传、下载文件，打开选定文件，新建、删除文件夹，设置文件或文件夹属性等等。如图7所示

1.8向目标主机发送一条信息，发送前可以进行预览。如图8、图9所示

 

 

1.9在远程注册表选项卡下，可以对目标机的注册表进行相关操作，如新建主键、删除主键、新建字符键值、新建DWORD键值、删除键值等等。如图10所示

1.10在进程管理（Win9x）选项卡下，可以查看和终止目标机的进程。如图11所示

1.11(由于平台环境因素，此步骤只做演示，不进行操作)在屏幕控制选项卡下，可以对目标机的屏幕选择画质的高低及进行预览，
预览的同时会在当前目录下截取对方的屏幕并保存为msconfig.jpg。单击开始控制可切换到目标机屏幕并进行控制，但是不是很灵敏且屏幕一直在闪烁，按Alt+F4即可退出。如图12所示

1.12在密码记录选项卡下可以对目标机进行密码记录，不过好像没用。如图13所示

###二、	广外女生的清除
2.1在运行中输入regedit打开注册表编辑器，找到如下注册项: HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\。
先不要修改，因为如果这时修改注册表的话，DIAGCFG.EXE进程仍然会立即把它改回来。如图14所示

2.2打开“任务管理器”，找到DIAGCFG.EXE进程，选中它按“结束进程”来关掉这个进程。注意：一定也不要先关进程再打开注册表，否则执行regedit.exe时又会启动DIAGCFG.EXE。前功尽弃！如图15所示

2.3把HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\的键值由原来的 C:\winnt\system32\DIAGCFG.EXE "%1" 改为"%1" %* 。如图16所示

2.4HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，删除其中名称为“Diagnostic Configuration”的键值。如图17所示

2.5这时就可以删除C:\Windows\System32文件夹下的木马程序DIAGCFG.EXE了，切记不可先删除这个文件，否则，就无法在系统中运行任何可执行文件了。如图18所示

##【实验思考】
1.在清除广外女生的过程中，需要注意什么？