木马攻击实验

实验目的：

1、 理解掌握木马运行以及传播的原理。

2、 通过手动删除木马，掌握检查木马和删除木马的技巧。

3、 增强对木马的安全防范意识。

 

实验步骤一：

1）PC1端。打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储目录下，双击G_SERVER。G_Server是木马的服务器端，即用来植入目标主机的程序。此时，会弹出“Windows安全警报”窗口如图1，点击“解除阻止”，木马的服务器端便开始启动。

 

2）PC2端 打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储目录下，双击G_CLIENT。G_Client是木马的客户端，即木马的控制端。此时，会弹出“Windows安全警报窗口”如图2，点击“解除阻止”，则可打开控制端。

 

3）添加主机。在PC1（服务器端），查询ip地址

 

 

4）显示名称，填入显示在主界面的名称(PC1)，即PC1的ip地址

 

      主机地址：填入服务器端主机的IP地址(10.1.1.91)

 

      访问口令：填入每次访问主机的密码，“空”即可

 

      监听端口：冰河默认的监听端口是7626

 

 

 

实验步骤二：

 

1）点击“命令控制台”，然后点击“口令类命令”前面的“+”即可图界面出现

 

 

 

2）控制类命令

 

      点击“命令控制台”，点击“控制类命令”前面的“+”即可显示图所示界面

 

 

 

3）网络类命令

 

      点击“命令控制台”，点击“网络类命令”前面的“+”即可展开网络类命令

 

 

 4）文件类命令

      点击“命令控制台”，点击“文件类命令”前面的“+”即可展开“文件类命令”

 

 

 5）注册表读写

      点击“命令控制台”，点击“注册表读写”前面的“+”即可展开“注册表读写”命令

 

 

 6）设置类命令

      点击“命令控制台”，点击“设置类命令”前面的“+”即可展开“设置类命令”

 

 

 

 

实验步骤三：

1）客户端的自动卸载功能

 

      点击“控制类命令”前面的“+”，点击“系统控制”可看到“自动卸载冰河”按钮并点击，在弹出的窗口里面点击

 

 

 

 

2）手动卸载 

 

      在实际情况中木马客户端不可能为木马服务器端自动卸载木马，我们在发现计算机有异常情况时（如经常自动重启，密码信息泄露时），就应该怀疑是否已经中了木马，这时我们应该查看注册表，此处操作在PC1中进行，在“开始”→“运行”里面输入“regedit”，打开Windows注册表编辑器

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

C:\WINNT\System32\kernel32.exe，这就是“冰河”密码在注册表中加入的键值，选中它，右键，点击删除，即可把它删除

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

 

      在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这也是“冰河”木马在注册表中加入的键值，将它删除

 

 

 

 

分析与思考

1、 如何发现木马威胁？

2、 画出木马工作流程图，加深对木马原理理解。

 

1）打开C:WINDOWSsystem32文件夹，查看详细信息，排列图标按创建日期排列。

 2)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

标签：冰河,攻击,命令,点击,实验,木马,注册表,控制台
来源： https://www.cnblogs.com/commonpeople/p/15433413.html