实验目的与要求:
1. 了解木马运行机理
2. 掌握查杀木马的基本方法。 实验重点与难点: 重点:
1. 对目标机使用冰河软件进行感染后控制 2. 清除冰河木马病毒 难点:
3. 清除冰河木马病毒 仪器设备及用具:
1. 连网的个人计算机 2. Windows 2000 系统平台 实验内容:
1.冰河木马的组成
1)G_Server.exe:被监控端后台监控程序,在安装前可以先通过
“G_Client.exe”进行一些特殊配置,例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等。黑客们想方设法对它进行伪装,用各种方法将服务器端程序安装在你的电脑上,程序运行的时候一点痕迹也没有,你是很难发现有木马冰河在你的电脑上运行的;
2)G_Client.exe: 监控端执行程序,用于监控远程计算机和配置服务器程序; 3)Operate.ini:G_Server.exe的配置文件;
2.冰河木马的使用
1)将G_Server.exe植入到目标主机
2 )打开瑞士军刀图标的客户端G_Client,选择添加主机,填上我们搜索到的IP地址。
对服务器进行简单配置。监听端口2001可更换(范围在1024~32768之间);关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;还有关键的邮件通知设置:
A.服务器的配置
1)安装路径:即服务器程序安装的位置,有三个选项:分别为“Windows”、“System”、“Temp”,这些都是Windows里的一些目录;
2)文件名称:是服务器程序安装到目标计算机之后的名称,默认是Winoldap.exe,对于不熟悉Windows系统的用户来说,这可像是一个系统程序啊。当然,这个名称是可以改的;
3)进程名称:服务器程序运行时,在进程栏中显示的名称。默认的进程名是Windows,也可以更改;
4)访问口令:客户机连接服务器程序时需要输入的口令。如果用于远程控制的时候,可以在一定程度上限制客户端程序的使用;
5)敏感字符:设置冰河程序对某些敏感字符的信息加以记录。冰河把这些包含文字的信息保存下来,然后通过各种途径发给黑客;
6)提示信息:被控制计算机运行时,弹出的对话框信息。如果为空的话,程序运行时就没有任何提示;
7)监听端口:设置服务器程序在哪个端口等待客户程序的连接,以前的默认设置是 7626,在冰河 8.0版本中,端口号已经改为了2001;
8)自动删除安装程序:如果选中此项的话,会自动删除安装程序; 9)禁止自动拨号:如果不选中此项的话,每次开机时,冰河就会自动拨号上网,然后把系统信息发送到指定的邮箱。通常,黑客们都不会轻易暴露自己,所以他们会选中该项;
10)待配置文件:服务器程序的名称,原始的文件名是G_Server.exe。 B.【自动保护】的配置:
如图所示,它可以设置服务器程序在目标计算机上的一些配置。
具体包括:
1)写入注册表启动项:选中此项的话,每次系统启动时都会自动运行冰河。它在注册表中的位置是:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\runservice;
2)键名:在注册表中的名称;
3)关联:这是一个令冰河死灰复燃的功能。如果选中的话,当关联文件是文本文件的时候,用户执行文本文件之后,就会自动装载冰河;同样的道理,选择可执行程序关联后,可执行程序也会自动装载冰河。
C.邮件通知的配置
1)SMTP服务器:冰河用来发送邮件的服务器,例如smtp.263.net等; 2)接收信箱:这就是黑客用来接受目标计算机信息的信箱;
3)邮件内容:包括系统信息、开机口令、缓存口令、共享资源信息等,也可以只选择其中一项或几项。
3)搜索计算机
找到开启2001端口的计算机尝试连接控制。 3.冰河木马的清除
来检测自己的计算机是否中了冰河, 那就是在本机上执行冰河客户端程序,进行自动搜索,搜索的网段设置要短,并且要包含本机的固定IP,如果发现本机IP的前面出现OK的话,那就意味着的存在。要消除冰河的话,在客户端执行系统控制里的“自动卸载冰河”即可。此方法简单易用,并且卸载地比较彻底。
因篇幅问题不能全部显示,请点此查看更多更全内容