冰河木馬試驗(yàn)

本文格式為Word版，下載可任意編輯——冰河木馬試驗(yàn)冰河木馬試驗(yàn)試驗(yàn)報(bào)告

試驗(yàn)?zāi)康呐c要求:

1.了解木馬運(yùn)行機(jī)理

2.把握查殺木馬的基本方法。試驗(yàn)重點(diǎn)與難點(diǎn):重點(diǎn)：

1.對(duì)目標(biāo)機(jī)使用冰河軟件進(jìn)行感染后控制2.清除冰河木馬病毒難點(diǎn)：

3.清除冰河木馬病毒儀器設(shè)備及用具:

1.連網(wǎng)的個(gè)人計(jì)算機(jī)2.Windows2000系統(tǒng)平臺(tái)試驗(yàn)內(nèi)容：

1.冰河木馬的組成

1)G_Server.exe：被監(jiān)控端后臺(tái)監(jiān)控程序，在安裝前可以先通過(guò)

“G_Client.exe〞進(jìn)行一些特別配置，例如是否將動(dòng)態(tài)IP發(fā)送到指定信箱、改變監(jiān)聽端口、設(shè)置訪問(wèn)口令等。黑客們想方設(shè)法對(duì)它進(jìn)行偽裝，用各種方法將服務(wù)器端程序安裝在你的電腦上，程序運(yùn)行的時(shí)候一點(diǎn)痕跡也沒(méi)有，你是很難發(fā)現(xiàn)有木馬冰河在你的電腦上運(yùn)行的;

2)G_Client.exe：監(jiān)控端執(zhí)行程序，用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器程序;3)Operate.ini：G_Server.exe的配置文件;

2.冰河木馬的使用

1）將G_Server.exe植入到目標(biāo)主機(jī)

2）開啟瑞士軍刀圖標(biāo)的客戶端G_Client，選擇添加主機(jī)，填上我們探尋到的IP地址。

對(duì)服務(wù)器進(jìn)行簡(jiǎn)單配置。監(jiān)聽端口2023可更換（范圍在1024~32768之間）；關(guān)聯(lián)可更改為與EXE文件關(guān)聯(lián)（就是無(wú)論運(yùn)行什么exe文件，冰河就開始加載；還有關(guān)鍵的郵件通知設(shè)置：

A.服務(wù)器的配置

1)安裝路徑：即服務(wù)器程序安裝的位置，有三個(gè)選項(xiàng)：分別為“Windows〞、“System〞、“Temp〞，這些都是Windows里的一些目錄;

2)文件名稱：是服務(wù)器程序安裝到目標(biāo)計(jì)算機(jī)之后的名稱，默認(rèn)是Winoldap.exe，對(duì)于不熟悉Windows系統(tǒng)的用戶來(lái)說(shuō)，這可像是一個(gè)系統(tǒng)程序啊。當(dāng)然，這個(gè)名稱是可以改的;

3)進(jìn)程名稱：服務(wù)器程序運(yùn)行時(shí)，在進(jìn)程欄中顯示的名稱。默認(rèn)的進(jìn)程名是Windows，也可以更改;

4)訪問(wèn)口令：客戶機(jī)連接服務(wù)器程序時(shí)需要輸入的口令。假使用于遠(yuǎn)程控制的時(shí)候，可以在一定程度上限制客戶端程序的使用;

5)敏感字符：設(shè)置冰河程序?qū)δ承┟舾凶址男畔⒓右杂涗洝１影堰@些包含文字的信息保存下來(lái)，然后通過(guò)各種途徑發(fā)給黑客;

6)提醒信息：被控制計(jì)算機(jī)運(yùn)行時(shí)，彈出的對(duì)話框信息。假使為空的話，程序運(yùn)行時(shí)就沒(méi)有任何提醒;

7)監(jiān)聽端口：設(shè)置服務(wù)器程序在哪個(gè)端口等待客戶程序的連接，以前的默認(rèn)設(shè)置是7626，在冰河8.0版本中，端口號(hào)已經(jīng)改為了2023;

8)自動(dòng)刪除安裝程序：假使選中此項(xiàng)的話，會(huì)自動(dòng)刪除安裝程序;9)阻止自動(dòng)撥號(hào)：假使不選中此項(xiàng)的話，每次開機(jī)時(shí)，冰河就會(huì)自動(dòng)撥號(hào)上網(wǎng)，然后把系統(tǒng)信息發(fā)送到指定的郵箱。尋常，黑客們都不會(huì)輕易暴露自己，所以他們會(huì)選中該項(xiàng);

10)待配置文件：服務(wù)器程序的名稱，原始的文件名是G_Server.exe。B.的配置：

如下圖，它可以設(shè)置服務(wù)器程序在目標(biāo)計(jì)算機(jī)上的一些配置。

具體包括：

1)寫入注冊(cè)表啟動(dòng)項(xiàng)：選中此項(xiàng)的話，每次系統(tǒng)啟動(dòng)時(shí)都會(huì)自動(dòng)運(yùn)行冰河。它在注冊(cè)表中的位置是：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\runservice;

2)鍵名：在注冊(cè)表中的名稱;

3)關(guān)聯(lián)：這是一個(gè)令冰河死灰復(fù)燃的功能。假使選中的話，當(dāng)關(guān)聯(lián)文件是文本文件的時(shí)候，用戶執(zhí)行文本文件之后，就會(huì)自動(dòng)裝載冰河;同樣的道理，選擇可執(zhí)行程序關(guān)聯(lián)后，可執(zhí)行程序也會(huì)自動(dòng)裝載冰河。

C.郵件通知的配置

1)SMTP服務(wù)器：冰河用來(lái)發(fā)送郵件的服務(wù)器，例如等;2)接收信箱：這就是黑客用來(lái)接受目標(biāo)計(jì)算機(jī)信息的信箱;

3)郵件內(nèi)容：包括系統(tǒng)信息、開機(jī)口令、緩存口令、共享資源信息等，也可以只選擇其中一項(xiàng)或幾項(xiàng)。

3）探尋計(jì)算機(jī)

找到開啟2023端口的計(jì)算機(jī)嘗試連接控制。3.冰河木馬的清除

來(lái)檢測(cè)自己的計(jì)算機(jī)是否中了冰河，那就是在本機(jī)上執(zhí)行冰河客戶端程序，進(jìn)行自動(dòng)探尋，探尋的網(wǎng)段設(shè)置要短，并且要包含本