其他分享
首页 > 其他分享> > 木马攻击实验

木马攻击实验

作者:互联网

1 冰河木马植入与控制

分别进入虚拟机中PC1与PC2系统。在PC1中安装服务器端,在PC2中安装客户端。

(1)服务器端

打开C:\tool\“木马攻击实验”文件夹,在“冰河”文件存储目录下,双击G_SERVER。G_Server是木马的服务器端,即用来植入目标主机的程序。此时,会弹出“Windows安全警报”,此时点击“解除阻止”,木马的服务器端便开始启动。(如果防火墙已关闭会直接运行不会弹窗),我的就不会弹出。

(2)客户端

打开C:\tool\“木马攻击实验”文件夹,在“冰河”文件存储目录下,双击G_CLIENT。G_Client是木马的客户端,即木马的控制端。此时,会弹出“Windows安全警报窗口”,此时点击“解除阻止”,则可打开控制端。

打开控制端G_CLIENT后,弹出“冰河”的主界面.如图3

(3)添加主机

在PC1(服务器端),查询ip地址

回到PC2(客户端),在冰河中单击添加的主机(PC1),出现添加主机界面,按下面输入

 

 

 

如果连接成功,则会显示服务器端主机上的盘符,服务器端主机盘符。这时我们就可以像操作自己的电脑一样操作远程目标电脑.

 

 

 

2 命令控制台命令的使用方法

(1)口令类命令

点击“命令控制台”,然后点击“口令类命令”前面的“+”即可图界面出现如图口令类命令。

各分支含义如下:

 

(2)控制类命令

点击“命令控制台”,点击“控制类命令”前面的“+”即可显示图所示界面如图控制类命令。

各分支含义如下:

 

(3)网络类命令

点击“命令控制台”,点击“网络类命令”前面的“+”即可展开网络类命令如图

各分支的含义是:

 

(4)文件类命令

点击“命令控制台”,点击“文件类命令”前面的“+”即可展开“文件类命令”,如图

该类命令中,“文件浏览”、“文件查找”、“文件压缩”、“文件删除”、“文件打开”等菜单可以查看、查找、压缩、删除、打开远程主机上某个文件。“目录增删”、“目录复制”、可以增加、删除、复制远程主机上的某个目录。

(5)注册表读写

点击“命令控制台”,点击“注册表读写”前面的“+”即可展开“注册表读写”命令,如图

注册表读写提供了“键值读取”、“键值写入”、“键值重命名”、“主键浏览”、“主键增删”、“主键复制”的功能。

(6)设置类命令

点击“命令控制台”,点击“设置类命令”前面的“+”即可展开“设置类命令”

设置类命令提供了“更换墙纸”、“更改计算机名”、“服务器端配置”的功能,

3 删除冰河木马

删除冰河木马主要有以下几种方法:

(1)客户端的自动卸载功能

点击“控制类命令”前面的“+”,点击“系统控制”可看到“自动卸载冰河”按钮并点击,在弹出的窗口里面点击“是”,则可以卸载远程主机上的木马

(2)在服务端中手动卸载

在实际情况中木马客户端不可能为木马服务器端自动卸载木马,我们在发现计算机有异常情况时(如经常自动重启,密码信息泄露时),就应该怀疑是否已经中了木马,这时我们应该查看注册表,此处操作在PC1中进行,在“开始”→“运行”里面输入“regedit”,打开Windows注册表编辑器如图

找到路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 在目录中发现了一个默认的键值

C:\WINNT\System32\kernel32.exe,这就是“冰河”密码在注册表中加入的键值,选中它,右键,点击删除,即可把它删除如图16删除冰河木马的。

然后依次打开目录:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices, 在目录中也发现了一个默认的键值,C:\WINNT\System32\kernel32.exe,这也是“冰河”木马在注册表中加入的键值,将它删除

上面两个注册表的子键目录RunRunservices中存放的键值是系统启动时自动启动的程序,一般病毒程序木马程序后门程序等都放在这些子键目录下,所以要经常检查这些子键目录下的程序,如果有不明程序,要着重进行分析。

修改文件关联也是木马常用的手段,“冰河”木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序,除此之外,html、exe、zip、com等文件也都是木马的目标,所以,在最后需要回复注册表中的txt文件关联功能。方法是找到注册表的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的默认值,选中“(默认)”,单击鼠标右键,选择修改如图18编辑字符串。

然后即可出现如下窗口

将数值数据C:\Windows\System32\Sysexplr.exe%1改为正常情况下的C:\Windows\notepad.exe%1即可,修改编辑字符串,最后重新启动计算机,冰河木马就彻底删除了。

 

 

 

 

 

分析与思考

1、 如何发现木马威胁?

1)对HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run这两个目录进行检查,一般病毒程序木马程序后门程序等都放在这些子键目录下。

2)利用杀毒软件软件进行病毒查杀

2、 画出木马工作流程图,加深对木马原理理解。

 

标签:冰河,攻击,主机,点击,实验,木马,注册表,远程
来源: https://www.cnblogs.com/wzhtx/p/15440671.html