标签：冰河 文件 攻击 命令 点击 木马 注册表 网安

分别进入虚拟机中PC1与PC2系统。在PC1中安装服务器端，在PC2中安装客户端。

      （1）服务器端。打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储目录下，双击G_SERVER。G_Server是木马的服务器端，即用来植入目标主机的程序。此时，会弹出“Windows安全警报”窗口如图1，点击“解除阻止”，木马的服务器端便开始启动。（如果防火墙已关闭会直接运行不会弹窗）

      

      （2）客户端。打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储目录下，双击G_CLIENT。G_Client是木马的客户端，即木马的控制端。此时，会弹出“Windows安全警报窗口”如图2，点击“解除阻止”，则可打开控制端。

      

 

 

 

      打开控制端G_CLIENT后，弹出“冰河”的主界面.如图3。

      

      （3）添加主机。

      在PC1（服务器端），查询ip地址：如图4“cmd”界面

      “开始”---“运行”---输入“cmd”

      在“cmd”模式下输入“ipconfig”，如图5查询ip界面

      

      单击添加的主机（PC1）出现如图6添加主机界面，如果连接成功，则会显示服务器端主机上的盘符如图7服务器端主机盘符。这时我们就可以像操作自己的电脑一样操作远程目标电脑.

      显示名称，填入显示在主界面的名称(PC1)，即PC1的ip地址

      主机地址：填入服务器端主机的IP地址(192.168.59.136)

      访问口令：填入每次访问主机的密码，“空”即可

      监听端口：冰河默认的监听端口是7626

      

      

命令控制台命令的使用方法

（1）口令类命令：

      点击“命令控制台”，然后点击“口令类命令”前面的“+”即可图界面出现。

      

（2）控制类命令

      点击“命令控制台”，点击“控制类命令”前面的“+”即可显示图所示界面

      

（3）网络类命令

      点击“命令控制台”，点击“网络类命令”前面的“+”即可展开网络类命令

      

（4）文件类命令

      点击“命令控制台”，点击“文件类命令”前面的“+”即可展开“文件类命令”

      

      该类命令中，“文件浏览”、“文件查找”、“文件压缩”、“文件删除”、“文件打开”等菜单可以查看、查找、压缩、删除、打开远程主机上某个文件。“目录增删”、“目录复制”、可以增加、删除、复制远程主机上的某个目录。

（5）注册表读写

      点击“命令控制台”，点击“注册表读写”前面的“+”即可展开“注册表读写”命令。

      

      注册表读写提供了“键值读取”、“键值写入”、“键值重命名”、“主键浏览”、“主键增删”、“主键复制”的功能。

（6）设置类命令

      点击“命令控制台”，点击“设置类命令”前面的“+”即可展开“设置类命令”

      

      设置类命令提供了“更换墙纸”、“更改计算机名”、“服务器端配置”的功能，

实验步骤三

删除冰河木马

      删除冰河木马主要有以下几种方法：

（1）客户端的自动卸载功能

      点击“控制类命令”前面的“+”，点击“系统控制”可看到“自动卸载冰河”按钮并点击，在弹出的窗口里面点击“是”，则可以卸载远程主机上的木马如图14自动卸载冰河木马。

      

（2）手动卸载 

      在实际情况中木马客户端不可能为木马服务器端自动卸载木马，我们在发现计算机有异常情况时（如经常自动重启，密码信息泄露时），就应该怀疑是否已经中了木马，这时我们应该查看注册表，此处操作在PC1中进行，在“开始”→“运行”里面输入“regedit”，打开Windows注册表编辑器如图15。

      

      依次打开一下目录

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      

      在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这就是“冰河”密码在注册表中加入的键值，选中它，右键，点击删除，即可把它删除如图16删除冰河木马的。

      

      然后依次打开目录

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

      在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这也是“冰河”木马在注册表中加入的键值，将它删除

      

      方法是找到注册表的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的默认值，选中“（默认）”，单击鼠标右键，选择修改如图18编辑字符串。

      

      然后即可出现如下窗口，将数值数据C:\Windows\System32\Sysexplr.exe%1改为正常情况下的C:\Windows\notepad.exe%1即可，如图19修改编辑字符串，最后重新启动计算机，冰河木马就彻底删除了。

  答题

 分析与思考

1、 如何发现木马威胁？

答：1、 检查注册表

在Windows系统命令行中，用regedit命令进入注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以"Run"开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

2、 检查启动组

木马经常隐藏在启动组而自动加载运行。启动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方。

3、隐蔽在Win.ini以及System.ini中

Win.ini的小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要认真检查，有可能是木马；在System.ini的小节的Shell=Explorer.exe后面也是加载木马的好场所。如果是：Shell=Explorer.exe wind0ws.exe，则wind0ws.exe很有可能就是木马服务端程序。

4、检查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat

当你下载一个文件或是打开某些网页链接时，间谍软件会未经你同意而偷偷安装。间谍软件可以设置您的自动签名，监控你的按键、扫描、读取和删除你的文件，访问您的应用程序甚至格式化你的硬盘。它会不断的将你的信息反馈给控制该间谍软件的人。这就要求我们在下载文件时要多加小心，不要去点击那些来路不明的连接。

5、 如果是EXE文件启动

那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下。

6、 木马启动都有一个方式

它只是在一个特定的情况下启动，所以，平时多注意一下端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

发现计算机中了木马后，要找到木马启动文件，一般在注册表及与系统启动有关的文件里能找到木马文件的位置， 删除木马文件，并且删除注册表或系统启动文件中相关木马信息。

但对于一些十分复制的木马，一般很难找到，这时需要借助木马查杀工具，如360等；或者请求信息网络中心技术支持。

2、 画出木马工作流程图，加深对木马原理理解。

答：

 

 

标签：冰河,文件,攻击,命令,点击,木马,注册表,网安
来源： https://www.cnblogs.com/amerfi1/p/15417121.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。