冰河木马的攻击和防御

网络安全

项目实战报告

2012年5月9日

目录

目录

论文摘要 (2)

一、网络现状分析 ............................................................ 错误！未定义书签。

二、木马病毒的危害........................................................... 错误！未定义书签。

三、冰河木马的具体功能…………………………………………………………………………

四、模拟实验过程 .............................................................. 错误！未定义书签。

4.1环境配置 (4)

4.2实验过程 (5)

4.3删除冰河木马程序文件.......................................... 错误！未定义书签。

五、冰河木马的防御 (17)

六、结论 (20)

论文摘要

“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

随着当今社会的发展和科技的日益进步，网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出.具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁.因此，黑客软件显得更是火热。在众多黑客软件中“灰鸽子”无疑是其中的佼佼者.

冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词，在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。

一、网络现状分析

近年来随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。据美国FBI统计，美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中，Internet/Intranet安全面临着重大的挑战，事实上，资源共享和安全历来是一对矛盾。在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标。而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。他们利用不同的攻击手段，获得访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统，进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗，其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。

从人为（黑客）角度来看，常见的计算机网络安全威胁主要有：信息泄露、完整性破坏、拒绝服务、网络滥用。

信息泄露：信息泄露破坏了系统的保密性，他是指信息被透漏给非授权的实体。常见的，能够导致信息泄露的威胁有：网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。

完整性破坏：可以通过漏洞利用、物理侵犯、授权侵犯、病毒，木马，漏洞来等方式实现。

网络滥用：合法的用户滥用网络，引入不必要的安全威胁，包括非法外联、非法内联、移动风险、设备滥用、业务滥用。

常见的计算机网络络安全威胁的表现形式主要有：窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。

窃听：攻击者通过监视网络数据的手段获得重要的信息，从而导致网络信息的泄密。

重传：攻击者事先获得部分或全部信息，以后将此信息发送给接收者。

篡改：攻击者对合法用户之间的通讯信息进行修改、删除、插入，再将伪造的信息发送给接收者，这就是纯粹的信息破坏，这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。

拒绝服务攻击：攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止合法用户获得服务。

行为否认：通讯实体否认已经发生的行为。

电子欺骗：通过假冒合法用户的身份来进行网络攻击，从而达到掩盖攻击者真实身份，嫁祸他人的目的.

非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问。

传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。

当然，除了人为因素，网络安全还在很大部分上由网络内部的原因或者安全机制或者安全工具本身的局限性所决定，他们主要表现在：每一种安全机制都有一定的应用范围和应用环境、安全工具的使用受到人为因素的影响、系统的后门是传统安全工具难于考虑到的地方、只要是程序，就可能存在BUG。而这一系列的缺陷，更加给想要进行攻击的人以方便。因此，网络安全问题可以说是由人所引起的。

三、木马带来的危害

1、盗取我们的网游账号，威胁我们的虚拟财产的安全。木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。

2、盗取我们的网银信息，威胁我们的真实财产的安全。木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给黑客，直接导致我们的经济损失。

3、利用即时通讯软件盗取我们的身份，传播木马病毒。中了此类木马病毒后，可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性。如恶作剧等。

4、给我们的电脑打开后门，使我们的电脑可能被黑客控制。5获得访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统，进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗，其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。

6黑客和反黑客、破坏和反破坏的斗争愈演愈烈，不仅仅影响了网络的稳定运行和用户的正常使用，造成了重大经济损失，而且还可能威胁到国家安全.

四、冰河木马的具体功能

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令，屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。 Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次产生Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因

四、实验模拟过程

（一）环境配置

冰河木马是远程控制管理软件，为了达到实验目的，我们小组建立四台虚拟机作为实验机器，具体情况如下表所示：

我们首先分别把四台虚拟机的IP 设置为192.168.1.4、192.168.1.3、192.168.1.5、192.168。

1.6其中用IP为19

2.168.1.4电脑作为控制端来配置服务端，其他三台虚拟机分别作为被控制电脑；在控制端电脑192.168.1.4上通过冰河木马软件对其他虚拟机进行远程控制和管理（包括文件上传、下载、屏幕捕捉、远程命令等操作）。

（二）实验过程

我们把实验过程规划为*步骤，分别是：下面我们对实验步骤进行简要描述

1冰河木马共有两个应用程序，，其中G-Server.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；Y-Clint是木马的客户端程序，属木马的主控端程序

2 现在我们在受控端计算机中双击G-Server.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生我们再打开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到sysexplr.exe文件。

3 我们在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主控程序）。

击【应用】

5 点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，弹出服务器配置对话框。

6在服务器配置对话框中对待配置文件进行设置，点击待配置文件该按钮，找到服务器程序文件G-Server.exe；再在访问口令框中输入05181977，然后点击【确定】，就对服务器已经配置完毕，关闭对话框。

7再采用自动搜索的方式添加受控端计算机，方法是点击【文件】->【自动搜索】，打开自动搜索对话框。

8搜索结束时，我们发现在搜索结果栏中IP地址旁状态为OK，表示搜索到IP地址的计算机已经中了冰河木马，且系统自动将该计算机添加到主控程序中。

9将受控端计算机添加后，我们可以浏览受控端计算机中的文件系统

10我们还可以对受控端计算机中的文件进行复制与粘贴操作

11我们可以在主控端计算机上观看受控端计算机的屏幕,这时在屏幕的左上角有一个窗口，该窗口中的图像即受控端计算机的屏幕

我们将左上角的窗口全屏显示

12我们可以通过屏幕来对受控端计算机进行控制.

执行删除操作

创建目录操作

执行创建一个文本文档操作

发起信使通信之后，受控端也可以向主控端发送消息了

4.3删除冰河木马程序文件

1、删除C:Windowssystem 下的Kernel32.exe 和Sysexplr.exe 文件。

2、冰河会在注册表

HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根，键值为C:/windows/system/Kernel32.exe，删除它。

3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为

C:/windows/system/Kernel32.exe的，也要删除。

4、最后，改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command 下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。

改正后

五、木马的防御

1 安装正版杀毒软件、个人防火墙和瑞星安全助手,并及时升级，360杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“360帐号保险柜”中，可以有效保护密码安全。

六、结论

目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现，那就是-驱动程序及动态链接库技术。

网络安全实验报告-冰河木马实验

网络安全实验报告 冰河木马实验 网络10-2班 XXX 08103635 一、实验目的 通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。 二、实验内容 1、在计算机A上运行冰河木马客户端，学习其常用功能； 2、在局域网内另一台计算机B上种入冰河木马（服务器），用 计算机A控制计算机B； 3、打开杀毒软件查杀冰河木马； 4、再次在B上种入冰河木马，并手动删除冰河木马，修改注 册表和文件关联。 三、实验准备 1、在两台计算机上关闭杀毒软件； 2、下载冰河木马软件； 3、阅读冰河木马的关联文件。 四、实验要求 1、合理使用冰河木马，禁止恶意入侵他人电脑和网络； 2、了解冰河木马的主要功能； 3、记录实验步骤、实验现象、实验过程中出现的意外情况及

解决方法； 4、总结手动删除冰河木马的过程。 五、实验过程 作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。鉴于此，我们就选用冰河完成本次实验。 若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。 冰河控制工具中有三个文件：，，以及。 简单介绍冰河的使用。是监控端执行程序，可以用于监控远程计算机和配置服务器。是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。运行后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件（）的计算机可以对感染机进行远程控制。 冰河木马的使用： 1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。 2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。 6、注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

冰河木马 病毒 入侵与防范 详细实验报告 图文教程

目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)

简介 冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。 在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。目的：远程访问、控制。选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT 文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。 一、基础篇（揭开木马的神秘面纱） 无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。那么，就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机， G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!）

网络安全实训一

《网络安全与管理》 实训报告 指导老师： 班级： 学号： 姓名： 实训一、Windows口令安全与破译 Pwdump导出本地sam散列 实验目的 1.理解saminside破解本地sam散列的原理。 2.学习psaminside破解本地sam散列的过程。 实验原理 1.Windows hash由LM HASH&NT HASH组成。 2.LM HASH生成规则 系统中用户密码编码使用了OEM内码页，用户密码被限制为最多14个字符，不足14字节用0补全，并转换为大写。固定长度的密码分成两个7 byte部分，每部分在末尾加0，组成新的编码。以上步骤得到的两部分8byte组，分别作为DES key 进行加密。将加密后的两组进行拼接，就成了LM HASH值。 3.NT HASH生成规则

把明文口令从ASCII使用little-endian序转换成Unicode字符，对所获取的Unicode串进行标准MD4单向哈希，无论数据源长度多少字节，MD4固定产生128-bit的哈希值，就得到了NT HASH值。 实验步骤 1.打开开始菜单，找到运行输入“cmd”，找到pwdump工具，在cmd中输入pwddump 工具路径。如下图 2.继续在cmd中输入pwdump.exe ，如图进入pwdump界面。

3.然后再输入pwdump.exe --dump-hash-local，获得当前用户的SAM值。 4.右键标记，复制到文本中，保存到桌面上。 5.打开文件夹C：\实验工具集\02主机安全\02_windows口令安全与破解\第三节 saminside破解本地sam散列，打开SAMinside.exe

冰河木马的入侵

甘肃政法学院 本科学生实验报告 实验课程：安全扫描技术 实验名称：冰河木马的入侵和防御 计算机科学学院计算机科学与技术专业 09 级计算科学与技术本科班 学号：_ 姓名：_____ __ 指导教师：____李启南_ 成绩：_____________ 完成时间：2011年9月21日

一、实验名称 冰河木马的入侵和防御 二、实验目的 通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机，植入木马程序，控制远程主机。 通过入侵实验理解和账务木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 三、实验内容 安装、卸载、使用冰河木马。 四、实验原理 冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。 木马是隐藏在正常程序中的具有特殊功能的恶意代码，它可以自动启动并在某一端口监听来自控制端的控制信息。 一般木马都采用C/S运行模式，即分为两部分：客户端和服务端木马程序。当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端秘密提出连接请求，获取服务器端的相关信息。 五、实验平台 冰河ROSE 版。 两台装有Windows 2000/XP/7系统的计算机，机房局域网。 六、实验步骤 1、在服务器端计算机上运行冰河服务器程序G_Server.exe。 2. 连接登陆远程主机。 在另一台计算机上打开冰河木马程序客户端，如图1所示。 图1 冰河木马程序客户端 选择“文件—>搜索计算机”，如图2所示设置起始域，起始地址和终止地址，

《网络安全与防范》课程标准

《网安全与防范》程准 络课标 （一）课程性质与任务 本课程是高职学段计算机网络技术专业的一门专业必修课程。其任务是培养学生能利用相应软件对网络进行安全性分析、测试、评价的能力，通过网络安全管理典型工作任务的分析，培养学生网络安全需求分析与规划设计、网络安全漏洞分析与处理、网络攻击、网络安全产品的使用与部署、根据网络安全相关法规应急处理基本的信息安全事件等专业能力，并逐步具备针对企业新的网络安全需求对企业网络安全策略进行改进、改造或重新设计的能力，以及资料收集整理、制定实施工作计划、分析检查判断、沟通协调、安全与自我保护等综合素质和能力，并树立良好的法律意识、职业道德与责任心。 （二）课程教学目标 1．知识目标 (1)能够掌握漏洞扫描、防御缓冲区溢出、恶意代码的攻击、密码破解等工作原理 及工具软件的使用，并通过相应工具软件发现主机系统安全漏洞，客观评价网络 风险等级，更正主机系统安全漏洞与错误配置，防范黑客对主机系统的攻击； (2)能够熟练Windows操作系统，配置用户访问权限与磁盘访问权限、注册表安全、 账户安全策略及审核策略等；具有破解Windows系统账号密码及防范密码本地、 远程破解的能力； (3)理解各种加密算法的加密与解密过程，掌握通过加密/解密软件完成文件的加密 与解密；能够对保护的数据文件在网络传输过程中，保证其机密性（不被其他人 看到）、完整性（不被修改或破坏）、不可抵赖性（认证发送此文件的人）； (4)了解网络监听的工作原理，掌握使用网络监听工具来监控网络流量、捕获数据、 监视网络运行状况等的方法； (5)理解局域网中MAC地址攻击、ARP欺骗、DHCP监听的工作原理及带来的网 络危害，并掌握相应的防范措施及故障处理方法；掌握通过AAA认证、802.1x认 证等技术加强局域网接入安全。 (6)掌握防火墙的工作原理、防火墙的部署方式、防火墙的配置；掌握使用VPN 技术解决远程接入安全的访问控制，并具备VPN的安装与部署能力； 2．能力目标 (1)具备网络安全需求分析、网络安全管理的能力； (2)具备网络安全规划设计能力，包括分析项目总体方案、网络安全规划、网络安 全解决方案设计等；

“冰 河” [NEWFUN 专版] 使 用 说 明

版本：GLACIERXP-VER08-40-0628-BETA1 ICETEAM 倾情制作，请合法使用，谢谢！ “冰河”[NEWFUN 专版] 使用说明 软件功能概述: 该软件主要用于远程监控，具体功能包括: 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同 步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)； 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝 大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自 行扩充，2.0以上版本还同时提供了击键记录功能； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作 系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统 热键及锁定注册表等多项功能限制； 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件 压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正 常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写 等所有注册表操作功能； 7．发送信息：以四种常用图标向被控端发送简短信息； 8．点对点通讯：以聊天室形式同被控端进行在线交谈。 本次改版主要是修正了以往各版中的已知问题(如'屏幕控制'和'邮件通知' 中的一些BUG)，并增加了一些小功能，该版本在Windows 9X/NT下测试正常，且与2.0以后版本完全兼容。 一.文件列表: 1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装，可任意改 名)，在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特 殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)；

网络攻防原理与技术实验第6章

第6章特洛伊木马 6.7 实验 6.7.1 远程控制型木马的使用 1. 实验目的 熟悉利用远程控制型木马进行网络入侵的基本步骤，分析冰河木马的工作原理，掌握常见木马的清除方法，学会使用冰河陷阱。 2. 实验内容与要求 (1) 实验按2人一组方式组织，各自实验主机作为对方的控制目标。 (1) 使用冰河客户端G_Client.exe对冰河服务器程序G_Server.exe进行配置，然后感染局域网中的某台主机。 (3) 在感染冰河木马的主机上进行检查，判断对木马的配置是否生效；主要检查项包括：木马的监听端口是否为所设置的端口；木马的安装路径是否为所设置的路径；木马进程在进程列表中所显示的名称是否与设置相符；如果为木马设置了访问口令，是否必须通过设定的口令才能够对木马实施远程控制。 (4) 在感染主机上验证冰河的文件关联功能，将木马主程序删除，打开关联的文件类型，查看木马主程序是否会被恢复。 (5) 使用冰河客户端对感染冰河的主机实施远程控制，在感染主机上执行限制系统功能（如远程关机、远程重启计算机、锁定鼠标、锁定系统热键、锁定注册表等）、远程文件操作（创建、上传、下载、复制、删除文件或目录）以及注册表操作（对主键的浏览、增删、复制、重命名和对键值的读写操作等）。 (6)采用手工方法删除冰河木马，主要步骤包括：①检查系统文件，删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。②如果冰河木马启用开机自启动，那么会在注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Run中扎根。检查该注册表项，如果服务器程序的名称为KERNEL32.EXE，则存在键值C:/windows/system/Kernel32.exe，删除该键值。③检查注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices，如果存在键值C:/windows/system/Kernel32.exe的，也要删除。④如果木马设置了与文件相关联，例如与文本文件相关联，需要修改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command 下的默认值，由感染木马后的值：C: /windows/system/Sysexplr.exe %1改为正常情况下的值：C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。完成以上步骤后，依据端口和进程判断木马是否清除。 (7) 使用冰河陷阱清除冰河木马，在此基础上，利用冰河陷阱的伪装功能来诱捕入侵者。运行冰河陷阱后，使主机系统完全模拟真正的冰河服务器程序对攻击者的控制命令进行响应，使攻击者认为感染机器仍处于他的控制之下，进而观察攻击者在主机上所进行的攻击操作。 3. 实验环境 (1) 实验室环境，所有主机需禁用杀毒软件。 (2) 冰河木马客户端程序G_Client.exe，冰河木马服务器程序G_Server.exe，冰河陷阱。 6.7.2 编程实现键盘记录功能 1. 实验目的 掌握木马的键盘记录功能的编程实现技术。 2. 实验内容与要求 (1) 调试6.2.6节给出的keylogger.py程序。

关于网络攻击与防御技术实验教程

关于网络攻击与防御技术实验教程 最近有网友想了解下《网络攻击与防御技术实验教程》张玉清写的这本书,所以小编就整理了相关资料分享给大家,具体内容如下.希望大家参考参考!!! 《网络攻击与防御技术实验教程》 《网络攻击与防御技术实验教程》内容简介 网络攻击与防御技术是网络安全的核心和焦点，也是确保网络安全实际动手能力的综合体现。全书共分11章，第1章介绍如何进行系统安全配置并搭建一个用于网络攻防实验的虚拟机，在接下来的各章中，在回顾理论知识的同时，结合动手实验介绍网络典型攻防技术，这些网络典型攻防技术包括扫描技术、网络监听及防御技术、口令攻击、欺骗攻击及防御、拒绝服务攻击与防范、缓冲区溢出攻击及防御、Web攻击及防范、木马攻击及防御、病毒与蠕虫攻击及防御和典型网络攻击防御技术。通过这种理论与实践相结合的网络攻防技术的学习，读者会对网络攻击与防御技术有更直观和深刻的理解。 书中各章内容安排方式为：理论知识回顾、基本实验指导

和巩固提高型实验。 本书可以作为信息安全、计算机、通信等相关专业研究生、本科生的教材，也可供从事网络安全研发的工程技术人员和热衷网络攻防技术的读者参考。 《网络攻击与防御技术实验教程》前言/序言 “知彼知己，百战不殆。" --孙子兵法网络安全已成为人们在信息空间中生存与发展的重要保证条件，与国家的政治安全、经济安全、军事安全、社会稳定以及人们的日常生活密切相关。由于兴趣爱好和经济利益的驱使，黑客攻击事件层出不穷。公司和国家只有积极防御，才能在攻击环境下生存。 攻击与防御是一对相互制约和相互发展的网络安全技术。 本实验教程的目标是帮助安全人员理解黑客的攻击方法和步骤，事实一次又一次地证明，理解敌人的策略、技巧和工具对保护自己是多么的重要。同时，本教程还让安全人员了解能采取哪些策略来防范各类攻击。

网络安全实验报告

本科实验课程报告 （2016至2017学年第1学期） 课程名称：网络信息安全 专业名称： 行政班级： 学号： 姓名： 指导教师：赵学民 报告时间：年月日

实验一：分组密码-DES实验 实验地点：实验日期：成绩： 1、实验目的 通过用DES算法对实际的数据进行加密和解密来深刻了解DES的运行原理2、实验要求 编程实现DES密码。 3、实验原理 DES对64(bit)位的明文分组M进行操作，M经过一个初始置换IP置换成m0，将m0明文分成左半部分和右半部分m0=(L0，R0)，各32位长。然后进行16 轮完全相同的运算，这些运算被称为函数f，在运算过程中数据与密匙结合。经过16轮后，左，右半部分合在一起经过一个末置换 DES算法框图 4、实验步骤 1、打开控制台，进入L001001013xp01_1虚拟环境。

2、使用默认用户名administrator，密码：123456登录到windows xp系统。 3.桌面找到Visual C++ 6.0双击打开 4.点击“文件”——“新建” 5.创建一个win32控制台工程，工程名称和位置自定。 6.左侧工作区，选择“FileView”选项卡。

7.右键工程文件名称，选择“添加文件到工程”。可到d:\tools\51elab1007B\des 中找到相关代码（G_des.c，test.cpp，des.h）。 8.根据原理编写程序，并编译运行（依次点击下图左起三个显性按钮进行编译、建立、运行）。 7、依次按要求输入qwqw、wq、回车、qw，对实验进行验证。 5、实验结果及总结

实验二：文件加解密实验 实验地点：实验日期：成绩： 1、实验目的 熟悉用对称加密的方法加密和解密，学会使用工具OpenSSL，熟悉利用RSA非对称密钥对文件进行加密与解密。 2、实验要求 使用工具OpenSSL，熟悉利用RSA非对称密钥对文件进行加密与解密。 3、实验原理 对称加密原理 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。 RSA非对称加解密算法原理。 RSA密码体制描述： （1）.密钥的生成 选择p,q，p,q为两个大的互异素数，计算n=p*q, j(n)=(p-1)(q-1), 选择整数e使gcd(j(n),e)=1,（1

浅析冰河木马

“冰河”木马的攻击与防范 林楚金班级(YL03) 0930103238 前言 随着网络的日益发展，通过网络攻击的手段也变得复杂多样，有组织，有预谋，有目的的攻击，破坏活动也频繁的发生，攻击点也越来越精确集中，攻击破坏的影响面不断扩大，甚至产生连锁反应，所以，我们必须要构筑一种主动的安全防御，才有可能最大限度地有效应对各种不同的攻击方式。接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。在此之前，先简单的介绍一下什么是特洛伊木马……

目录 一、什么是木马 (3) 二、“冰河”木马的简介 (6) 三、“冰河”木马工作原理 (7) 四、“冰河”木马工作过程或步骤流程 (8) 五、“冰河”木马功能或后果 (17) 六、“冰河”木马防范手段与措施 (18)

什么是木马 1、木马的基础 特洛伊木马(TrojanHorse)简称“木马”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。 在计算机领域中，木马其实就是类恶意程序。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，病毒是一自我复制为明确目的的编写代码，它附着宿主程序，然后试图在计算机之间传播，会对硬件、软件和信息造成破坏。而“木马”不会自我繁殖，也不会刻意的去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被施种者电脑的门户，使施种者可以任意损坏、窃取被施种者的文件，甚至远程控制被施种者的电脑。“木马”与常用的远程控制软件不同，远程控制软件是善意的控制，不具有隐蔽性；“木马”正好相反，它是以“偷窃”为目的的远程控制，具有很强的隐蔽性。 一个完整的“木马”程序包括“服务器”和“控制器”两部分。被施种者的电脑是“服务器”部分，而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使施种者可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 2、木马的特性和功能 木马一般具有以下几个特性： ●伪装性(木马程序善于改头换面) ●潜伏性(等控制端的信号) ●隐蔽性(一般人不易发觉) ●不易删除(深藏于各个系统文件中)

冰河木马实验报告13002724

网络安全课程设计报告 题目：冰河木马 专业物联网工程 学号 13002724 姓名赵鹏 指导教师孟超 日期 2015-10-22

评 分分 细 评分项优秀良好中等差遵守机房规章制度 实验原理分析与设计 课题功能实现情况 设计验收与答辩 课程设计报告书 写 简 短 评 语 教师签名： 年月日评 分 等 级 备 注

一、实验目的 （1）构建一个安装冰河木马服务器端程序的环境，利用客服端对服务器进行入侵或攻击； (2)利用网络安全工具或设备对入侵与攻击进行检测 二、实验要求 键盘记录， 定时把邮件内容成功发送到某邮箱中， 关闭某些防火墙和杀毒软件，开机自动隐藏运行， 开启2233端口取得CMD权限,实现对目标机器的文件操作， 开启3389端口，并替换系统目录下的sethc.exe为cmd.exe， 实现登录不要密码， 添加管理员等功能 三、实验过程 （1）攻击，入侵目标主机首先运行G_Client.exe，扫描主机。查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“10.100.122.1”至“10.100.122.255”网段的计算机，应将“起始域”设为“10.100.122.1”，将“起始地址”和“终止地址”分别设为“1”和“255”然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。选择可以入侵的主机。

（2）击键记录 选择目标主机后，点击命令控制台下击键记录，可以对目标主的键盘使用记录实现监控 （3）并定时把邮件内容成功发送到某邮箱中

（4）关闭防火墙和杀毒软件， （5）开机自动隐藏运行，

冰河木马的使用

入 侵 检 测 试 验 实验名称:_ 冰河木马的使用

1．实验目的 本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。 2．实验原理 木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。 它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。 3．实验环境 装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。 4. 实验步骤 （一）、解压冰河木马，得到两个文件，其中G_Server.exe为服务器端程序，放在被攻击的主机上，g_client.exe为客户端软件，用于操作目标主机：

实验6 网络攻击实验

新疆师范大学 计算机网络安全（本科） 实验报告 实验名称：实验6 网络攻击实验 院系：计算机科学技术学院 班级： 2011-01班 学生姓名：木拉提·巴力 学号： 20111601141025 合作者姓名：米热古丽·塔力浦 指导教师：赵新元老师 教师评阅结果： 教师评语： 实验日期年月日

一、实验目的 1、了解Unicode漏洞及相应的攻击原理。 2、掌握利用Unicode漏洞进行攻击； 3、掌握基本的网络后门与网络隐身的基本方法 4、了解冰河木马 二、实验内容 1、使用各类工具软件来入侵目标主机。 2、利用各种方法来实现网络后门与网络隐身。 3、使用冰河木马控制目标机 三、实验原理 1. 请简要介绍冰河木马的工作原理。 网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client 是客户端应用程序。 四、实验步骤 用ipconfig命令显示真实主机的IP地址信息，截图。

2、配置Windows2000虚拟机，选择网络模式为“HOST-ONLY”方式。设置虚拟机的IP地址信息如下 请在这里截图显示你的虚拟机网络配置界面。 用ipconfig命令显示虚拟机的IP地址信息，截图。

设置结果。 4、请以真实机Windows 2003为攻击者机器，并利用第五章及第六章相关工具来按以下要求攻击Windows 2000虚拟机，要求如下： （1）开启被攻击者Windows 2000系统的WEB服务和Telnet服务，要求该服务能够自启动（2）开启被攻击者的远程桌面服务 （3）获取被攻击者Windows 2000系统的管理员帐号及密码 （4）记录被攻击者修改管理员密码的动作 （5）在目标主机上将Guest设置为具有管理员权限，但保持禁用 （6）清除目标主机IIS日志及主机日志 请根据第五章及第六章的相关内容写出你实施攻击的方法及步骤。 （1）开启被攻击者Windows 2000系统的WEB服务和Telnet服务，要求该服务能够自启动1．远程启动Telnet服务。 2．在运行窗口中输入tlntadmn.exe命令启动本地Telnet服务。

电子商务安全与管理实验报告

实验一系统安全设置 ［实验目的和要求］ 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 ［实验容］ 1、本地安全策略 2、资源共享 3、管理安全设置 ［实验步骤］ 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”，如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看：哪些用户不可以在本地登录？哪些用户可以从网络访问计算机？哪些用户可以关闭计算机？ 答：分别见图1-2,1-3和1-4。

图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看：如何使计算机在登录前必须按“CTRL+ALT+DEL”？未签名驱动程序的安装是如何设置的？如何禁止网络用户访问CD-ROM？ 答：找到“交互式登录：不需要按CTRL+ALT+DEL”，双击打开，选择“已禁用(S)”后单击“确定”按钮。 找到“设备：未签名驱动程序的安装操作”，在下拉菜单中选择“允许安装但发出警告”，单击“确定”按钮即可。 找到“设备：只有本地登录的用户才能访问CD-ROM”，打开选择“已启用(E)”，点击“确定”按钮即可。 二、文件共享 如何设置共享文件，并通过网上邻居访问共享文件？ 设置共享文件: 方法一：“工具－－文件夹选项－－查看－－使用简单文件夹共享”。这样设置后，其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二：“控制面板－－管理工具－－计算机管理”，在“计算机管理”这个对话框中，依次点击“文件夹共享－－共享”，然后在右键中选择“新建共享”即可。 选择你要共享的文件，右击选择“属性”，打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便，你认为哪些设置必需放开？而哪些设置又可能引起安全问题？ 我认为对于网络的大部分设置应设为启用可方便浏览网页；对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思？如何让某个应用程序不受防火墙限制？

木马和冰河的使用!【教程】

木马和冰河的使用！【教程】 木马 大家对他的名字很熟悉吧？？是啊木马作为一个远程控制的软件已经深入人心，木马是 什么那？如何使用木马程序控制他人那？？先不要着急，我们来看看木马的发展，对这 个工具作一个简单的介绍： 黑客程序里的特洛伊木马有以下的特点： （1）主程序有两个，一个是服务端，另一个是控制端。（如果你下载了，请千万不要 用鼠标双击服务器端） （2）服务端需要在主机（被你控制的电脑）执行。 （3）一般特洛伊木马程序都是隐蔽的进程。（需要专业的软件来查杀，也有不用软件 查杀的办法，我会介绍） （4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在 接受命令后，会执行相应的任务。 （5）每个系统都存在特洛伊木马。（包括Windows，Unix，liunx等） 眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病 毒的性质。（包括：转播，感染文件等，但是很多的杀毒软件还是可以查杀，毕竟这是 一种使用简单但是危害比较大的软件） 木马的发展： 第一代木马：控制端-- 连接-- 服务端 特点：属于被动型木马。能上传，下载，修改注册表，得到内存密码等。 典型木马：冰河，NetSpy，back orifice（简称：BO）等。 第二代木马：服务端-- 连接-- 控制端 特点：属于主动型木马。隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态连接库）隐藏进程的，甚至出现能传播的木马。 典型木马：网络神偷，广外女生等。（反弹端口型木马） 第二代木马象广外女生可以使用WINDOWS的漏洞，越过许多防火墙从而进行对系统的监控（像金山，天网等） 随着木马的发展，并且作为很多人使用的软件，杀毒软件也越来越对这个传播很广的半 病毒不病毒的软件越来越关注（因为作为服务器端可以夹带在任何文件中传播，只要你 打开这个文件，你就肯定会被中上木马，甚至可以在网络上通过下载来传播）所以查杀 木马的工具很多，但是道高一尺，魔高一丈，木马又不断演化出新的品种来对抗杀毒软件，毕竟中国的广大网民的安全意识不高，加上盗版猖狂，可以正式在网络上进行升级 的并不多，所以木马还是很有使用空间的。下面，我们将介绍一款国产的木马------- 冰河。 需要工具：冰河（随便你找什么版本，因为界面根本就差不多） Superscan3.0 中文汉化版（上黑白搜索一下可以找到） 首先最重要的一步-------工具接压缩（啊~~我知道是废话。。大家多多包涵嘛。。不 要打拉） 然后运行Superscan3.0（就是那连着的两个电脑图标） 出现界面在IP表里面有两个选项 起始IP： 终止IP： 随便填上两个IP地址（最好是C类IP范围从192.0.0.0--223.255.255.255）

网络安全 实验报告

首都经济贸易大学信息学院实验报告 实验课程名称网络安全技术 首都经济贸易大学信息学院计算机系制

实验报告 学号：实验地点：3机房 姓名：实验时间： 一、实验室名称：网络安全实验 二、实验项目名称：冰河木马攻击 三、实验原理： 原理：特洛伊木马（简称木马），是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能相似。但木马有一些明显的特点，例如，它的安装和操作都是在隐蔽之中完成。攻击者经常将木马隐蔽在一些游戏或小软件中，诱使粗心的用户在自己的机器上运行。最常见的情况是，用户从不正规的网站下载和运行了带恶意代码的软件，或者不小心点击了带恶意代码的邮件附件。 大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，木马的服务器部分是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号，程序启动时机、如何发出调用、如何隐身、是否加密。另外，攻击者还可以设置登录服务器的密码，确定通信方式。木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。 木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很验证找到并清除它。木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。常见的木马，例如冰河、Netbus、网络神偷等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置木马监听的端口、运行方式，以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其他攻击者开发附加的功能。冰河在国内一直是不可动摇的领军木马，有人说在国内没有用过冰河的人等于没用过木马。冰河木马的目的是远程访问、控制。该软件主要用于远程监牢，具体功能包括： （1）自动跟踪目标机屏幕变化，同时完全模拟键盘及鼠标输入，即在同步变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。 （2）记录各种口令信息。包括开机口令、屏保口令、各种虚伪补齐诼绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上的版本还同时提供了击键记录功能。 （3）获取系统信息。包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当

冰河木马实验报告详解

实验报告 实验名称网络攻防综合实验指导教师李曙红 实验类型设计实验学时 2 实验时间2016.06.29 一、实验目的 1. 本次实验为考核实验，需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容： (1) 构建一个具有漏洞的服务器，利用漏洞对服务器进行入侵或攻击； (2) 利用网络安全工具或设备对入侵与攻击进行检测； (3) 能有效的对漏洞进行修补，提高系统的安全性，避免同种攻击的威胁。 2 网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面，对学生的综合实验能力进行考核与评分，具体评分标准参考“评分标准”文档。 二、实验要求 1.2人一组，要求每人分工不同，例如一人负责网络攻击，一个负责网络防范。在实验过程和实验报告中要 体现两人的不同分工。 2.每组独立设计完成实验，不能雷同。 3.实验过程中以下三个阶段需上机演示给指导老师察看：完成网络攻击、检测到攻击、完成网络防范。 4.完成实验报告，能解释在实验使用到的技术或工具的基本原理。 三、实验环境 可以自由使用信息安全实验室的PC机，局域网，Linux服务器，Windows 服务器，防火墙，入侵检测系统等。

四、实验设计方案、实验过程及实验结果 作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。鉴于此，我们就选用冰河完成本次实验。 若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。 冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。 Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。 冰河木马的使用： 1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。 2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。 6、注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。 7、发送信息：以四种常用图标向被控端发送简短信息。 8、点对点通讯：以聊天室形式同被控端进行在线交谈等。 实验过程： 一、攻击 1、入侵目标主机 首先运行G_Client.exe，扫描主机。 查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“10.1.13.1”至“10.1.13..255”网段的计算机，应将“起始域”设为“192.168.1”，将“起始地址”和“终止地址”分别设为“1”和“255”（由于我们是在宿舍做的，IP地址在100~120之间），然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

superscan使用教程

一、SuperScan功能介绍 SuperScan具有以下功能： 1）通过Ping来检验IP是否在线； 2） IP和域名相互转换； 3）检验目标计算机提供的服务类别； 4）检验一定范围目标计算机的是否在线和端口情况； 5）工具自定义列表检验目标计算机是否在线和端口情况； 6）自定义要检验的端口，并可以保存为端口列表文件； 7）软件自带一个木马端口列表trojans.lst，通过这个列表我们可以检测目标计算机是否有木马；同时，我们也可以自己定义修改这个木马端口列表，更多的木马列表可以参考以下网址： https://www.wendangku.net/doc/5112262452.html,/20011017/201151.shtml 我们可以看出，这款软件几乎将与IP扫描有关的所有功能全部做到了，而且，每一个功能都很专业。 二、下载安装 SuperScan的最新版本可以在以下网址下载： https://www.wendangku.net/doc/5112262452.html,/home2/efocus/aqgj-index.htm 直接解压就可以使用，没有安装程序，是一款绿色软件。 三、软件具体使用 在使用软件之前，我们先来看看软件的全貌（图一）

图一 界面比较复杂，我们根据共享功能来介绍使用。 一）域名（主机名）和IP相互转换 这个功能的作用就是取得域名比如：https://www.wendangku.net/doc/5112262452.html,的IP；或者根据IP： 202.106.185.77取得域名。 在SuperScan里面，有两种方法来实现此功能： （1）通过Hostname Lookup来实现（如图二） 图二 在Hostname Lookup的输入框输入需要转换的域名或者IP，按【LookUp】就可以取得结果。如果需要取得自己计算机的IP，可以点击【Me】按钮来取得；同时，也可以取得自己计算机的IP设置情况，点击【InterFaces】取得本地IP 设置情况（图三）。