实验4 冰河木马实验

2.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。

【实验原理】

作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有二个文件：G_Client.exe，以及G_Server.exe。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的主要功能：

   （1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

   （2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

   （3）获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

   （4）系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能。

   （5）远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。

   （6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

   （7）发送信息：以四种常用图标向被控端发送简短信息。

   （8）点对点通讯：以聊天室形式同被控端进行在线交谈等。

【实验步骤】

一、攻击

1、入侵目标主机

首先运行G_Client.exe，扫描主机。

查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“192.168.1.1”至“192.168.1.255”网段的计算机，应将“起始域”设为“192.168.1”，将“起始地址”和“终止地址”分别设为“1”和“255”，然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

从上图可以看出，搜索结果中，每个IP前都是ERR。地址前面的“ERR:”表示这台计算机无法控制。

所以，为了能够控制该计算机，必须要让其感染冰河木马。

1、远程连接

使用Dos命令： net use \\\ip\\ipc$

如下图所示：

2、磁盘映射。

本实验：将目标主机的C：盘映射为本地主机上的X：盘

如下图所示

3、将本地主机上的G_Server.exe拷贝到目标主机的磁盘中，并使其自动运行。

如下图所示：

上图中，目标主机的C盘中没有G_Server.exe程序存在。

此时，目标主机的C盘中已存在冰河的G_Server.exe程序，使用Dos命令添加启动事件，如下图所示：

首先，获取目标主机上的系统时间，然后根据该时间设置启动事件。

此时，在目标主机的Dos界面下，使用at命令，可看到：

下图为设定时间到达之前（即G_Server.exe执行之前）的注册表信息，可以看到在注册表下的：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run，其默认值并无任何值。

当目标主机的系统时间到达设定时间之后，G_Server.exe程序自动启动，且无任何提示。

从上图可以看到，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run的默认值发生了改变。

变成了：C:\\\\WINDOWS\\\\SYSTEM\\\\Kernel32.exe

这就说明冰河木马安装成功，拥有G_Client.exe的计算机都可以对此计算机进行控制了。

此时，再次使用G_Client.exe搜索计算机，可得结果如下图所示：

从搜索结果可以看到，我们刚安装了冰河木马的计算机（其IP：192.168.1.112）的IP地址前变成了“OK:”，而不是之前的“ERR:”。

下面对该计算机进行连接控制：

上图显示，连接失败了。其实原因很简单，冰河木马是访问口令的，且不同版本的访问口令不尽相同，本实验中，我们使用的是冰河V2.2版，其访问口令是05181977，当在访问口令一栏输入该口令（或者右击“文件管理器”中的该IP，“修改口令”），并点击应用，即可连接成功。

连接成功了，我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

比如说：

1、屏幕控制。

图像格式有BMP和JEPG两个选项，建议选JEPG格式，因为它比较小，便于网络传输。“图像色深”第一格为单色，第二格为16色，第三格为256色，依此类推。“图像品质”主要反应的是图像的清晰度。按“确定”按钮后便出现远程计算机的当前屏幕内容。

设置相关属性

上图为查看到的远程屏幕，远程屏幕如下图所示

2、弹窗、发送消息

“发送信息”主要是让操作者选择合适的“图标类型”和“按钮类型”，然后在“信息正文”里写上要发送的信息，按“预览”觉得满意后点“发送”即可。

3、进程控制

“进程管理”是“查看进程”，了解远程计算机正在使用的进程，便于控制。

4、修改服务器配置

5、冰河信使

以上是一些常用的控制命令，不过，冰河的强大功能当然远远不尽于此，在此就不一一实现了。

各类控制命令如下图所示：

二、防范与清除冰河

当冰河的G_SErver.exe这个服务端程序在计算机上运行时，它不会有任何提示，而是在windows/system下建立应用程序“kernel32.exe”和“Sysexplr.exe”。若试图手工删除，“Sysexplr.exe”可以删除，但是删除“kernel32.exe”时提示“无法删除kernel32.exe:指定文件正在被windows使用”，按下“Ctrl+Alt+Del”时也不可能找到“kernel32.exe”，先不管它，重新启动系统，一查找，“Sysexplr.exe”一定会又出来的。可以在纯DOS模式下手工删除掉这两个文件。再次重新启动，你猜发生了什么？再也进不去Windows系统了。

重装系统后，再次运行G_Server.exe这个服务端程序，在“开始”→“运行”中输入“regedit”打开注册表，在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run下面发现@="C:\\\\WINDOWS\\\\SYSTEM\\\\Kernel32.exe"的存在，说明它是每次启动自动执行的。

下图为卸载冰河木马前的注册表信息：

卸载清除：

1、攻击你的主机良心发现，远程把你机器上的冰河木马卸载掉。步骤如下图：

2、自己动手，丰衣足食。步骤如下：

下图为清除冰河木马之后的注册表信息：

【实验体会】

（包括问题和解决方法、心得体会、应用网络安全原理对实验中的现象与问题进行解释等）

冰河木马功能强大，操作方便，的确是XP时代的经典之一；

但是，由于系统的更新换代，没有持续更新的冰河木马在新系统中的使用也碰到了种种问题：

1.对用户权限的严格管理：

到了win7时代，windows系统对权限的管理变得十分严格，XP时代的很多操作都会因为权限不足而被拒绝：像第一步的$IPC共享入侵，若没有正确密码是无法进行操作的；而且，新加入的用户账户控制（UAC）也使得冰河在安装注册时无法做到静默安装，过早暴露自身；更改注册表等修改系统关键部位的操作更是会被报告；

2.许多设置的改变：

Win7时代中$IPC共享大部分已被取消（系统优化软件），通过IPC入侵系统变得困难；注册表的键位与功能发生变化等

3.现代安全软件的防御：

由于未持续更新，特征码被录入，冰河很容易被安全软件发现并清除；其常用的动作也容易被监控，如使用的7626端口易被监控；修改系统关键部位的操作也会被拦截；试图登录入侵的连接会被防火墙拦截等；

基于以上几点，旧版的冰河在新系统中的生存能力较弱，用户可以通过了解冰河的具体行为来进行针对性的检测与清除：如检测注册表键值等系统关键部位；监听特定端口；加强用户口令的强度；打开UAC等操作。

但与此同时，冰河木马也在由许多爱好者改进更新中，许多的特性会发生改变，新系统中的不足与缺陷也会被填补；甚至会因新系统的新漏洞而发展出更强大的功能和特性；

     ftp://222.200.180.109 （用户名：seclab  口令：）

文件名命名规则：序号_姓名_实验名.doc

如序号为1的同学蔡华，本次的文件名为：1_蔡华_FTP实验.doc

最后上传时间：2015-12-20日24：00。