网安——木马攻击实验
作者:互联网
分别进入虚拟机中PC1与PC2系统。在PC1中安装服务器端,在PC2中安装客户端。
(1)服务器端。打开C:\tool\“木马攻击实验”文件夹,在“冰河”文件存储目录下,双击G_SERVER。G_Server是木马的服务器端,即用来植入目标主机的程序。此时,会弹出“Windows安全警报”窗口如图1,点击“解除阻止”,木马的服务器端便开始启动。(如果防火墙已关闭会直接运行不会弹窗)
(2)客户端。打开C:\tool\“木马攻击实验”文件夹,在“冰河”文件存储目录下,双击G_CLIENT。G_Client是木马的客户端,即木马的控制端。此时,会弹出“Windows安全警报窗口”如图2,点击“解除阻止”,则可打开控制端。
打开控制端G_CLIENT后,弹出“冰河”的主界面.如图3。
(3)添加主机。
在PC1(服务器端),查询ip地址:如图4“cmd”界面
“开始”---“运行”---输入“cmd”
在“cmd”模式下输入“ipconfig”,如图5查询ip界面
单击添加的主机(PC1)出现如图6添加主机界面,如果连接成功,则会显示服务器端主机上的盘符如图7服务器端主机盘符。这时我们就可以像操作自己的电脑一样操作远程目标电脑.
显示名称,填入显示在主界面的名称(PC1),即PC1的ip地址
主机地址:填入服务器端主机的IP地址(192.168.59.136)
访问口令:填入每次访问主机的密码,“空”即可
监听端口:冰河默认的监听端口是7626
命令控制台命令的使用方法
(1)口令类命令:
点击“命令控制台”,然后点击“口令类命令”前面的“+”即可图界面出现。
(2)控制类命令
点击“命令控制台”,点击“控制类命令”前面的“+”即可显示图所示界面
(3)网络类命令
点击“命令控制台”,点击“网络类命令”前面的“+”即可展开网络类命令
(4)文件类命令
点击“命令控制台”,点击“文件类命令”前面的“+”即可展开“文件类命令”
该类命令中,“文件浏览”、“文件查找”、“文件压缩”、“文件删除”、“文件打开”等菜单可以查看、查找、压缩、删除、打开远程主机上某个文件。“目录增删”、“目录复制”、可以增加、删除、复制远程主机上的某个目录。
(5)注册表读写
点击“命令控制台”,点击“注册表读写”前面的“+”即可展开“注册表读写”命令。
注册表读写提供了“键值读取”、“键值写入”、“键值重命名”、“主键浏览”、“主键增删”、“主键复制”的功能。
(6)设置类命令
点击“命令控制台”,点击“设置类命令”前面的“+”即可展开“设置类命令”
设置类命令提供了“更换墙纸”、“更改计算机名”、“服务器端配置”的功能,
实验步骤三删除冰河木马
删除冰河木马主要有以下几种方法:
(1)客户端的自动卸载功能
点击“控制类命令”前面的“+”,点击“系统控制”可看到“自动卸载冰河”按钮并点击,在弹出的窗口里面点击“是”,则可以卸载远程主机上的木马如图14自动卸载冰河木马。
(2)手动卸载
在实际情况中木马客户端不可能为木马服务器端自动卸载木马,我们在发现计算机有异常情况时(如经常自动重启,密码信息泄露时),就应该怀疑是否已经中了木马,这时我们应该查看注册表,此处操作在PC1中进行,在“开始”→“运行”里面输入“regedit”,打开Windows注册表编辑器如图15。
依次打开一下目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这就是“冰河”密码在注册表中加入的键值,选中它,右键,点击删除,即可把它删除如图16删除冰河木马的。
然后依次打开目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这也是“冰河”木马在注册表中加入的键值,将它删除
方法是找到注册表的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的默认值,选中“(默认)”,单击鼠标右键,选择修改如图18编辑字符串。
然后即可出现如下窗口,将数值数据C:\Windows\System32\Sysexplr.exe%1改为正常情况下的C:\Windows\notepad.exe%1即可,如图19修改编辑字符串,最后重新启动计算机,冰河木马就彻底删除了。
答题
分析与思考
1、 如何发现木马威胁?
答:1、 检查注册表
在Windows系统命令行中,用regedit命令进入注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以"Run"开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2、 检查启动组
木马经常隐藏在启动组而自动加载运行。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方。
3、隐蔽在Win.ini以及System.ini中
Win.ini的小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要认真检查,有可能是木马;在System.ini的小节的Shell=Explorer.exe后面也是加载木马的好场所。如果是:Shell=Explorer.exe wind0ws.exe,则wind0ws.exe很有可能就是木马服务端程序。
4、检查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat
当你下载一个文件或是打开某些网页链接时,间谍软件会未经你同意而偷偷安装。间谍软件可以设置您的自动签名,监控你的按键、扫描、读取和删除你的文件,访问您的应用程序甚至格式化你的硬盘。它会不断的将你的信息反馈给控制该间谍软件的人。这就要求我们在下载文件时要多加小心,不要去点击那些来路不明的连接。
5、 如果是EXE文件启动
那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下。
6、 木马启动都有一个方式
它只是在一个特定的情况下启动,所以,平时多注意一下端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
发现计算机中了木马后,要找到木马启动文件,一般在注册表及与系统启动有关的文件里能找到木马文件的位置, 删除木马文件,并且删除注册表或系统启动文件中相关木马信息。
但对于一些十分复制的木马,一般很难找到,这时需要借助木马查杀工具,如360等;或者请求信息网络中心技术支持。
2、 画出木马工作流程图,加深对木马原理理解。
答:
标签:冰河,文件,攻击,命令,点击,木马,注册表,网安 来源: https://www.cnblogs.com/amerfi1/p/15417121.html