木马攻击实验
作者:互联网
实验目的:
1、 理解掌握木马运行以及传播的原理。
2、 通过手动删除木马,掌握检查木马和删除木马的技巧。
3、 增强对木马的安全防范意识。
实验步骤一:
1)PC1端。打开C:\tool\“木马攻击实验”文件夹,在“冰河”文件存储目录下,双击G_SERVER。G_Server是木马的服务器端,即用来植入目标主机的程序。此时,会弹出“Windows安全警报”窗口如图1,点击“解除阻止”,木马的服务器端便开始启动。
2)PC2端 打开C:\tool\“木马攻击实验”文件夹,在“冰河”文件存储目录下,双击G_CLIENT。G_Client是木马的客户端,即木马的控制端。此时,会弹出“Windows安全警报窗口”如图2,点击“解除阻止”,则可打开控制端。
3)添加主机。在PC1(服务器端),查询ip地址
4)显示名称,填入显示在主界面的名称(PC1),即PC1的ip地址
主机地址:填入服务器端主机的IP地址(10.1.1.91)
访问口令:填入每次访问主机的密码,“空”即可
监听端口:冰河默认的监听端口是7626
实验步骤二:
1)点击“命令控制台”,然后点击“口令类命令”前面的“+”即可图界面出现
2)控制类命令
点击“命令控制台”,点击“控制类命令”前面的“+”即可显示图所示界面
3)网络类命令
点击“命令控制台”,点击“网络类命令”前面的“+”即可展开网络类命令
4)文件类命令
点击“命令控制台”,点击“文件类命令”前面的“+”即可展开“文件类命令”
5)注册表读写
点击“命令控制台”,点击“注册表读写”前面的“+”即可展开“注册表读写”命令
6)设置类命令
点击“命令控制台”,点击“设置类命令”前面的“+”即可展开“设置类命令”
实验步骤三:
1)客户端的自动卸载功能
点击“控制类命令”前面的“+”,点击“系统控制”可看到“自动卸载冰河”按钮并点击,在弹出的窗口里面点击
2)手动卸载
在实际情况中木马客户端不可能为木马服务器端自动卸载木马,我们在发现计算机有异常情况时(如经常自动重启,密码信息泄露时),就应该怀疑是否已经中了木马,这时我们应该查看注册表,此处操作在PC1中进行,在“开始”→“运行”里面输入“regedit”,打开Windows注册表编辑器
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\WINNT\System32\kernel32.exe,这就是“冰河”密码在注册表中加入的键值,选中它,右键,点击删除,即可把它删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这也是“冰河”木马在注册表中加入的键值,将它删除
分析与思考
1、 如何发现木马威胁?
2、 画出木马工作流程图,加深对木马原理理解。
1)打开C:WINDOWSsystem32文件夹,查看详细信息,排列图标按创建日期排列。
2)
标签:冰河,攻击,命令,点击,实验,木马,注册表,控制台 来源: https://www.cnblogs.com/commonpeople/p/15433413.html