冰河木马软件使用实验

⏹掌握冰河木马的使用方法；

⏹掌握木马的传播和运行机制，通过相关技巧学会防御木马的相关知识。

二、实验环境

⏹两台安装Windows 2000/2003/XP或更高级别的Windows操作系统的主机；

⏹冰河木马软件：G_Server.exe（服务器端指被控制端）和G_Client.exe（客户端指控制端）。

三、实验要求

⏹掌握木马的基本工作原理；

⏹熟悉冰河木马软件的具体使用方法；

四、实验步骤：

1)在DOS状态下采用netstat -an观察木马服务器运行前服务器端计算机上网络连接情况。可以看到7626端口没有开放；

2)关闭两台计算机上的防火墙和杀毒软件；（冰河木马是比较早出现的木马软件，一般的杀毒软件都可以清除它）

3)在服务器计算机上运行服务器程序G_Server.exe；

4)观察木马服务器端的网络连接情况，可以看到7626端口已经开放，说明已经成功在服务器端安装了木马；

5)在客户端打开G_Client.exe；

6)单击控制端工具栏中的“添加主机”，填写显示名称和服务器端IP地址；

7)单击控制端工具栏中的“冰河信使”，向服务器端发送消息；

8)单击“命令控制台”标签，对服务器端进行控制；

9)卸载冰河木马：

✓方法一：通过杀毒软件进行卸载；

✓方法二：采用冰河的客户端进行卸载：控制类命令—系统控制—自动卸载冰河；

✓方法三：手动卸载。

（1）对系统注册表进行操作，删除开机要运行的木马项“kernel.exe”。

开始—运行—regedit: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\CurrentVersion\\Run，删除“C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE”和"C:\\WINDOWS\\SYSTEM\\SYSEXPLR.EXE"两项。

（2）如果有进程软件，就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止；删除C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE和C:\\WINDOWS\\SYSTEM\\SYSTEM\\SYSEXPLR.EXE（因为程序正在运行，无法删除，所以先要终止） 。如果没有进程软件，就重新启动到DOS窗口，删除（DEL）C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE和C:\\WINDOWS\\SYSTEM\\SYSTEM\\SYSEXPLR.EXE。

（3）修改冰河文件关联。在“我的电脑”的菜单栏“工具”→“文件夹选项”→“文件类型”，找到文本文件图标查看是否用C:\\WINDOWS\\Notepad.exe程序打开，如果不是，大概是冰河木马关联了文本文件！

五、实验总结：

    本次实验开始的时候很纠结，无法将镜像文件放到虚拟机中，最后直接用两台主机做实验，感觉不是很难。通过本次实验，我学会了冰河木马软件一些最简单的使用，相信以后碰到冰河木马程序的时候不会手足无措。