冰河木马的使用

甘肃政法学院本科学生实验报告实验课程：安全扫描技术实验名称：冰河木马的入侵和防御计算机科学学院计算机科学与技术专业09 级计算科学与技术本科班学号：_姓名：_____ __指导教师：____李启南_成绩：_____________完成时间：2011年9月21日一、实验名称冰河木马的入侵和防御二、实验目的通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机，植入木马程序，控制远程主机。

通过入侵实验理解和账务木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

三、实验内容安装、卸载、使用冰河木马。

四、实验原理冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，它可以自动启动并在某一端口监听来自控制端的控制信息。

一般木马都采用C/S运行模式，即分为两部分：客户端和服务端木马程序。

当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端秘密提出连接请求，获取服务器端的相关信息。

五、实验平台冰河ROSE 版。

两台装有Windows 2000/XP/7系统的计算机，机房局域网。

六、实验步骤1、在服务器端计算机上运行冰河服务器程序G_Server.exe。

2. 连接登陆远程主机。

在另一台计算机上打开冰河木马程序客户端，如图1所示。

图1 冰河木马程序客户端选择“文件—>搜索计算机”，如图2所示设置起始域，起始地址和终止地址，监听端口、延迟选择默认值。

图2搜索计算机搜索结果如图2所示，在219.246.153.30和219.246.153.5前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

特别提示1．实验报告首页是封面，在实验报告封面上要正确写上课程名称“计算机信息安全”、班级、学号、姓名等。

2．实验报告内容包括：（1）实验目的与要求；（2）实验环境；（3）实验内容与实验步骤；（4）实验心得（可以是心得体会、难点讨论、意见建议等）。

3．实验内容提前预习，充分准备，注意实验说明。

4．实验时要及时记录实验过程中所碰到问题和解决方法，并写到实验报告上。

5．写实验报告时，除“实验目的与要求”外，“实验环境”要和当前实验室的实验环境相同，实验内容应该是在实验室所做实验的具体内容，做什么就写什么，请不要照抄实验指导中的“实验内容与步骤”，实验指导中的“实验内容与步骤”只是一个形式化的范例。

6.实验报告可纸质提交，也可在网络课堂上提交电子版。

实验二冰河远程控制软件使用一、实验目的本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法，加深对木马的安全防范意识。

二、实验环境装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）三、实验说明学生可以相互组合，将对方的计算机作为被监控端，自己的计算机作为监控端，将“冰河”的所有功能都试做一下。

学生做实验的同时将实验过程及时记录到实验报告上或记录到一个Word文档中，课后再完善实验报告。

实验过程用文字和屏幕截图描述。

开设该实验是为了了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法，不能用来故意实施网络攻击。

四、实验内容与步骤注意：实验时先关闭防火墙和杀毒软件的自动防护功能。

双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。

解压过程见图1-图4，解压结果如图4所示。

图1图2图3冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击 文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

“冰河”木马的攻击与防范林楚金班级(YL03) 0930103238前言随着网络的日益发展，通过网络攻击的手段也变得复杂多样，有组织，有预谋，有目的的攻击，破坏活动也频繁的发生，攻击点也越来越精确集中，攻击破坏的影响面不断扩大，甚至产生连锁反应，所以，我们必须要构筑一种主动的安全防御，才有可能最大限度地有效应对各种不同的攻击方式。

接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。

在此之前，先简单的介绍一下什么是特洛伊木马……目录一、什么是木马 (3)二、“冰河”木马的简介 (6)三、“冰河”木马工作原理 (7)四、“冰河”木马工作过程或步骤流程 (8)五、“冰河”木马功能或后果 (17)六、“冰河”木马防范手段与措施 (18)什么是木马1、木马的基础特洛伊木马(TrojanHorse)简称“木马”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。

在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

在计算机领域中，木马其实就是类恶意程序。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，病毒是一自我复制为明确目的的编写代码，它附着宿主程序，然后试图在计算机之间传播，会对硬件、软件和信息造成破坏。

而“木马”不会自我繁殖，也不会刻意的去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被施种者电脑的门户，使施种者可以任意损坏、窃取被施种者的文件，甚至远程控制被施种者的电脑。

“木马”与常用的远程控制软件不同，远程控制软件是善意的控制，不具有隐蔽性；“木马”正好相反，它是以“偷窃”为目的的远程控制，具有很强的隐蔽性。

一个完整的“木马”程序包括“服务器”和“控制器”两部分。

被施种者的电脑是“服务器”部分，而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。

实验八木马攻击实验一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。

二、实验内容1、在计算机A上运行冰河木马客户端，学习其常用功能；2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B；3、手动删除冰河木马，修改注册表和文件关联。

三、实验要求1、合理使用冰河木马，禁止恶意入侵他人电脑和网络；2、了解冰河木马的主要功能；3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法；4、总结手动删除冰河木马的过程。

四、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

鉴于此，我们就选用冰河完成本次实验。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有两个文件：G_Client.exe，以及G_Server.exe。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe 后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

1、入侵目标主机：首先运行G_Client.exe，扫描主机。

查找IP地址：在“起始域”编辑框中输入要查找的IP地址，本实验搜索IP地址“219.219.68.***”网段的计算机，点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

搜索框内有显示状态为ERR的主机，是因为这些主机上没有种马，即没有安装服务器。

2、在命令控制台中操作：口令类命令：系统命令及口令历史口令击键记录控制类命令：抓捕屏幕发送信息进程管理窗口管理系统控制鼠标控制其他控制网络类命令：网络信息---查看共享文件类命令：文件复制注册表读写：键值读取设置类命令：服务器端配置读取服务器配置修改服务器配置删除“冰河”木马的方法：A．客户端的自动卸载功能，在“控制命令类”中的“系统控制”里面就有自动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。

冰河木马的使用LT
（一）、解压冰河木马，得到两个文件，其中G_Server.exe为服务器端程序，放在被攻击的主机上，g_client.exe为客户端软件，用于操作目标主机：
（二）、在目标主机放置G_Server.exe后，打开g_client.exe程序，主界面如下图：
（三）、查看本机所在网段：
（四）、在冰河主程序中点击“文件-自动搜索”，打开如下界面：
（五）、在“起始域”中输入本机所在网段，点击“开始搜索”：
(六)、搜索完毕，结果如下：
（七）、选择一台目标主机，向其D盘放置一个文件名为“冰河实验用”的txt文件：
（八）、在目标主机打开D盘，查看是否拷贝成功：
（九）、选择一个目标主机，点击“文件-屏幕控制”，成功控制：。

实验报告从上图可以瞧出,搜索结果中,每个IP前都就是ERR。

地址前面的“ERR:”表示这台计算机无法控制。

所以,为了能够控制该计算机,我们就必须要让其感染冰河木马。

1、远程连接使用Dos命令: net use \\ip\ipc$如下图所示:2、磁盘映射。

本实验:将目标主机的C:盘映射为本地主机上的X:盘如下图所示首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。

此时,在目标主机的Dos界面下,使用at命令,可瞧到:下图为设定时间到达之前(即G_Server、exe执行之前)的注册表信息,可以瞧到在注册表下的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run,其默认值并无任何值。

当目标主机的系统时间到达设定时间之后,G_Server、exe程序自动启动,且无任何提示。

从上图可以瞧到,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run的默认值发生了改变。

变成了:C:\\WINDOWS\\SYSTEM\\Kernel32、exe这就说明冰河木马安装成功,拥有G_Client、exe的计算机都可以对此计算机进行控制了。

此时,再次使用G_Client、exe搜索计算机,可得结果如下图所示:从搜索结果可以瞧到,我们刚安装了冰河木马的计算机(其IP:10、1、13、214)的IP地址前变成了“OK:”,而不就是之前的“ERR:”。

下面对该计算机进行连接控制:上图显示,连接失败了,为什么呢？其实原因很简单,冰河木马就是访问口令的,且不同版本的访问口令不尽相同,本实验中,我们使用的就是冰河V2、2版,其访问口令就是05181977,当我们在访问口令一栏输入该口令(或者右击“文件管理器”中的该IP,“修改口令”),并点击应用,即可连接成功。

连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

冰河木马的入侵一、实验目的通过使用冰河木马软件在局域网中扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理冰河木马是用C++Builder写的，冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe 在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件a)工具：木马程序：冰河ROSE 版b)实验平台：WINDOWS XP，两台电脑在同一局域网中。

实验步骤1.双击冰河木马.rar文件，将其进行解压，冰河木马共有两个应用程序，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

2.打开冰河界面,2.点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，弹出所示的服务器配置对话框。

打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，搜索结果，在192.168.1.101和192.168.1.103前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

冰河木马的使用实验目的：1.掌握冰河木马的具体功能2.熟悉冰河木马的使用操作3.懂得冰河木马的清除方法实验原理：1.基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。

对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe 是守护进程, G_client是客户端应用程序。

2.程序实现:在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):服务端:G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)G_Server.Listen(等待连接)客户端:G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)G_Client.Connect (调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestIDEnd Sub客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口Private Sub G_Server_Close()G_Server.Close (关闭连接)G_Server.Listen (再次监听)End Sub其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令......实验步骤：1.连接：打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。