冰河木马实验报告

1、实验名称网络攻防综合实验指导教师李曙红实验类型设计实验学时2实验时间2016.06.29一、实验目的.本次实验为考核实验，需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容：(1)构建一个具有漏洞的服务器，利用漏洞对服务器进行入侵或攻击；(2)利用网络安全工具或设备对入侵与攻击进行检测；(3)能有效的对漏洞进行修补，提高系统的安全性，避免同种攻击的威胁。网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面，对学生的综合实验能力进行考核与评分，具体评分标准参考“评分标准”文档。二、实验要求.2人一组，要求每人分工不同，例如一人负责网络攻击，一个负责网络防范。

2、在实验过程和实验报告中要体现两人的不同分工。.每组独立设计完成实验，不能雷同。.实验过程中以下三个阶段需上机演示给指导老师察看：完成网络攻击、检测到攻击、完成网络防范。.完成实验报告，能解释在实验使用到的技术或工具的基本原理。三、实验环境可以自由使用信息安全实验室的PC机，局域网，Linux服务器，Windows服务器，防火墙，入侵检测系统等。四、实验设计方案、实验过程及实验结果作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。鉴于此，我们就选用冰河完成本次实验。若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首

3、先必须要做的。冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。冰河木马的使用：1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同

4、步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。3、获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。5、远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。6、注册表操作：包括对主键的浏览、

5、增删、复制、重命名和对键值的读写等所有注册表操作功能。7、发送信息：以四种常用图标向被控端发送简短信息。8、点对点通讯：以聊天室形式同被控端进行在线交谈等。实验过程：一、攻击1、入侵目标主机首先运行G_Client.exe，扫描主机。查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“10.1.13.1”至“10.1.13.255”网段的计算机，应将“起始域”设为“192.168.1”，将“起始地址”和“终止地址”分别设为“1”和“255”（由于我们是在宿舍做的，IP地址在100120之间），然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

6、从上图可以看出，搜索结果中，每个IP前都是ERR。地址前面的“ERR:”表示这台计算机无法控制。所以，为了能够控制该计算机，我们就必须要让其感染冰河木马。1、远程连接使用Dos命令：netuseipipc$如下图所示：2、磁盘映射。本实验：将目标主机的C:盘映射为本地主机上的X:盘如下图所示-Ini-IniX,101.13.Z1V上的口(I二文件端辑查看也J收藏工具小帮助僧雄后退”0。|A搜索|&文件夹|G，地址也）箴43Q转到文件和文件夹任务J）创建一个新文件夹唠将这个文件夹发和到*Web其它位置我的电脑我的夏档共享文档网上邻居详细信息DeCppthird新建交件夹DucunenteandS

7、ettangs曼件aaa.batMS-DOS批处理文件1KBServer.e=eMicrosoft(Fl)Win.文件和文件夹任务J）创建一个新文件夹唠将这个文件夹发和到*Web其它位置我的电脑我的夏档共享文档网上邻居详细信息DeCppthird新建交件夹DucunenteandSettangs曼件aaa.batMS-DOS批处理文件1KBServer.e=:grmDatatextHHDOWS3压缩文件SS）版批处理文件1KBJLink.lug文本文档1EEidiyitiHL-232-340mam.cCeoijtcefile1I-Zi28个对象由口1个隐藏对象）1.94ME,；Internet

8、-InixC：XDocLimentsandSettingsSfldministratoinetuseX1B.1.13.214ipc$命令成功完成。C：documentsandSettinHMtdministratoretuseK：.13命令成功完成。C：XDocumentsandSettingsSfldministratoinettimeXX10-1.13-214k10.l.13-214的当前时间是2016/6Z29上午04:56命令成功完成。C：DocumentsandSettingsMldiinitFatoFatX10.1.13.21404:56C：XG_Seruer新加了一项作业，其作业

9、I=1C：XDocumentsandSettingsSfidministvatoi首先，获取目标主机上的系统时间，然后根据该时间设置启动事件。此时，在目标主机的Dos界面下，使用at命令，可看到：次命令提示符书录失和未知的用户名或错误密取C=documentsandSettinsdministr-a.tornetuseS.0.1.13.214ipc$命令成功完成口G=SDocumentsandSettingsAdministra.tornEtuseK=W10.1.13.214C$命令成功完成口G:DocumentaandSettingsAdministratornettimeM0_1_13_2

10、14kxl0_l_13-214的当前时间是2016/6/29上午04:56命令成功完成口C：DocumentsandSettingsxdministpatopatX10_1_13_21404:56C：XG_Seruep新加了一项作业，其作业ID=1C：vDocumentsandettinsfAdministF-atoi*at料表是空的。C：5口cLimsn七sand七七zLng：sWdministya七o产.下图为设定时间到达之前（即G_Server.exe执行之前）的注册表信息，可以看到在注册表下的：ersoSotarerosotosrreterso/er2DO3Entenpns.eEdit

11、ion-VM-aireWofkstatiDnW5：via见mi箪m虐匚cwitrrtt：H)j：j.白贽：力启Sij门邕cS亡i回圆华事立件iEJ端强的收窟丑闻帮助电mui-ai立件iEJ端强的收窟丑闻帮助电mui-aiE-田IPCdtiEEPUS-K6iulklLntfltOpiLriAU-ASi-diltP4LlCL4EEkinstall_J|RunOnuEir二HuF)S3-Y3CB1国二S-ik-oj-SkK-dDll由,：-lk*llExIbmlwritt：jjjtLwllC4np.l.ibLLLty由:二JELillSu叩-_JELllS牡“iz口hjaeiD电IwL。由d0-2J

12、SididQ国二J5tdviEFS_J|Il?rhe.yM)m4hiQ.j50rfi*1M.圉FFliSWwEMS*勺搏刃|i=i!2|4R0IfiKlBvuu-hiudEaLLluth|:SW车2EII.L303DKWfrEsAibnli文仲不EUI.L-n-3n150*5”FnLbb.JtttA14fiRLjlCWM主仲急葡LLTEHIO15:fS支用国SBI.L-n-1!D14F向生，HET.金MSiU亩电程中KM-T-lJa：3:1!%F件!fwIMtlLEJ；F叁始.Jfflj坤润WiIkfiB*ti，lmu上图为查看到的远程屏幕，远程屏幕如下图所示2、弹窗、发送消息-VMwareW

13、orkstation理机M)分里COSOW翊助H)M扁Wh恻sServer2003Erito-pri.X口直口！曰F1WinJowsXPPixjfrs3Qw*l*冰河匚回XIQ幅V2.2EDARESIIHJS文件FE设置齿梢助皿地址113C：BDCijjnenJ加曲厦国，&鹭睛洋细后息重用圣遗今于蜂移劫建T文件品询瞳十克件端韬这?豆门生布:地址113C：BDCijjnenJ加曲厦国，&鹭睛洋细后息重用圣遗今于蜂移劫建T文件品询瞳十克件端韬这?豆门生布:j以口子郃件由贰文件X肝除窗子交群篁件和直伴来任落西口口iTI皆前雌：1192.166.1.11-比口：pE2e访问口令：尸藐K3文件管建器地命

14、守拴制白厘用S其它位皆臭面我的文趋共享文措雌的胞网和居Q口专类病F匚Q控制类麻号黄在屏幕发送宿忌进逞后坦考口自理东经控制鼠标在利,耳它近制豆嚼茶品管40文件类命令+Q性用去谀写中k1说置类命令端口标题：源茄嬴一信息正文出山World市图标类型：图1二三盘韶锂：丽真；发送信忘我功里写上要发送的信息，按“预“发送信息”主要是让操作者选择合适的“图标类型”和“按钮类型”，然后在“信息正文览”觉得满意后点“发送里写上要发送的信息，按“预3、进程控制irdowsXPProfionalWorlcstJtkin“进程管理”是“查看进程”，了解远程计算机正在使用的进程，便于控制。4、修改服务器配置5、冰河信使

15、端油河V2.2QARKSUN专版文件F强EE】殳置0玷划EH回片回：+:+哈哈.一害怕了吧！!丁发送国关闭ECica,捧制类第用-Q.网络类命WQ,文件类命9-Ci.注册表读写C1,设置类命名西岫.立1则刊表中脸拌怕六nne?以上是一些常用的控制命令，不过，冰河的强大功能当然远远不尽于此，在此就不一实现了。各类控制命令如下图所示：1文件哲理器命全控制吉-万口吟娄晶今葛映仁总展I号历史口,当击感启录,控制类命令-西的茶命令O即矮！00的I除在享,网略归后于:件条殖*文中闵1克文怦查找文件主缩文件复制一工:件1111即O工,:件打开目学tUBJ二、防范与清除冰河当冰河的G_SErver.exe这个

16、服务端程序在计算机上运行时，它不会有任何提示，而是在windows/system下建立应用程序“kernel32.eXe和“Sysexplr.eXe若试图手工删除，“Sysexplr.exe”可以删除，但是删除“kernel32.exe”时提示“无法删除kernel32.exe:指定文件正在被windows使用”，按下“Ctrl+Alt+Del”时也不可能找到“kernel32.exe”，先不管它，重新启动系统，一查找，“Sysexplr.exe”一定会又出来的。可以在纯DOS模式下手工删除掉这两个文件。再次重新启动，你猜发生了什么？再也进不去Windows系统了。重装系统后，再次运行G_Server.exe这个服务端程序，在“开始”一“运行”中输入“regedit”打开注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下面发现=C:WINDOWSSYSTEMKernel32.exe”的存在，说明它是每次启动自动执行的。下图为卸载冰河木马前的注册表信息：iSarvBr2003E曲甲由EditiDn-Workstation