冰河木马的攻击与防范实验报告_网络安全实训

网络安全基础

一、木马

1. 概述

木马通常成为黑客程序，恶意代码，也称特洛伊木马，是一个基于远程控制的黑客工具，木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力，它们经常隐藏在游戏或图形软件中，但它们却隐藏着恶意。

2. 特性

1. 隐蔽性
   将自己伪装成合法应用程序，使得用户难以识别，这是木马病毒的首要也是重要的特征。
2. 潜伏性
   木马病毒隐蔽的主要手段是欺骗，经常使用伪装的手段将自己合法化。例如，使用合法的文件类型后缀名“dll、sys，ini’’等；使用已有的合法系统文件名，然后保存在其它文件目录中；使用容易混淆的字符进行命名，例如字母“o”与数字“0”，数字“1”与字母“i”。
3. 再生性
   木马病毒为了保障自己可以不断蔓延，往往像毒瘤一样驻留在被感染的计算机中，有多份备份文件存在，一旦主文件被删除，便可以马上恢复。尤其是采用文件的关联技术，只要被关联的程序被执行，木马病毒便被执行，并生产新的木马程序，甚至变种。顽固的木马病毒给木马清除带来巨大的困难。

3. 组成

完整的木马程序一般由两部分组成：一个是服务器端，一个是控制器端。
控制端：安装在攻击者的控制台，负责远程遥控指挥；
服务器端：即木马程序，隐蔽的安装在被攻击者的主机上，目标主机也称为肉鸡。

4. 危害

1. 盗取用户信息
2. 传播病毒：利用你去攻击别人
3. 占用系统资源，降低电脑性能等

5. 传播途径

1. 利用浏览器漏洞或浏览器插件漏洞；
2. 通过QQ、MSN等通讯软件，发送恶意网址链接或木马病毒文件；
3. 使用U盘等移动存储介质；
4. 陌生的邮件；
5. 伪装成多媒体影音文件；
6. 操作系统漏洞或弱口令远程植入；
7. 下载来源不明的程序

6. 模拟实验

1. 使用两台虚拟机，一台模拟攻击者，一台模拟被种植木马的受害者，然后使用木马程序（冰河木马、灰鸽子等）控制受害者主机。

2. 冰河木马：G_Client.exe、G_Server.exe。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器；
G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）；
运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放，使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

3. 使用Dos命令远程连接目标主机。

它会让你输入用户名和密码：

net use \\目标主机IP地址\ipc$
密码或用户在 \\目标主机IP地址\ipc$ 无效
为 '目标主机IP地址' 输入用户名:
输入 目标主机IP地址 的密码:

只能使用密码字典生成工具和暴力激活成功教程软件进行暴力激活成功教程：

成功激活成功教程后，再使用dos命令远程连接目标主机：

net use \\目标主机IP地址\ipc$ 密码 /user:用户名

4. 成功连接后，将冰河木马文件拷贝至目标主机，并使用dos命令根据时间设置启动事件：

# 查看目标主机时间
net time \\目标主机IP地址
# 添加执行程序
at \\目标主机IP地址 设定时间 目标主机木马程序的路径
如：at \\10.1.1.2 09:00 c:\binghe.exe，上午9点执行c盘下的木马病毒程序 

5. 再次使用G_Client.exe搜索主机
   安装了冰河木马的计算机的IP地址前就会变成了OK：

6. 使用冰河木马对目标主机进行控制
   可以对目标主机进行各种控制和监控，甚至还可以和目标主机进行交互！

今天的文章冰河木马的攻击与防范实验报告_网络安全实训分享到此就结束了，感谢您的阅读。