冰河木馬實(shí)驗(yàn)報(bào)告

1、實(shí) 驗(yàn) 報(bào) 告實(shí)驗(yàn)名稱(chēng)網(wǎng)絡(luò)攻防綜合實(shí)驗(yàn)指導(dǎo)教師李曙紅實(shí)驗(yàn)類(lèi)型設(shè)計(jì)實(shí)驗(yàn)學(xué)時(shí)2實(shí)驗(yàn)時(shí)間2016.06.29一、 實(shí)驗(yàn)?zāi)康?.本次實(shí)驗(yàn)為考核實(shí)驗(yàn)，需要獨(dú)立設(shè)計(jì)完成一次網(wǎng)絡(luò)攻防的綜合實(shí)驗(yàn)。設(shè)計(jì)的實(shí)驗(yàn)中要包括以下幾個(gè)方面內(nèi)容：(1)構(gòu)建一個(gè)具有漏洞的服務(wù)器，利用漏洞對(duì)服務(wù)器進(jìn)行入侵或攻擊；(2)利用網(wǎng)絡(luò)安全工具或設(shè)備對(duì)入侵與攻擊進(jìn)行檢測(cè)；(3)能有效的對(duì)漏洞進(jìn)行修補(bǔ)，提高系統(tǒng)的安全性，避免同種攻擊的威脅。2 網(wǎng)絡(luò)攻防綜合實(shí)驗(yàn)將從實(shí)驗(yàn)設(shè)計(jì)、實(shí)驗(yàn)過(guò)程、實(shí)驗(yàn)結(jié)果、實(shí)驗(yàn)報(bào)告幾個(gè)方面，對(duì)學(xué)生的綜合實(shí)驗(yàn)?zāi)芰M(jìn)行考核與評(píng)分，具體評(píng)分標(biāo)準(zhǔn)參考“評(píng)分標(biāo)準(zhǔn)”文檔。二、實(shí)驗(yàn)要求1. 2人一組，要求每人分工不同，例如一人負(fù)責(zé)網(wǎng)

2、絡(luò)攻擊，一個(gè)負(fù)責(zé)網(wǎng)絡(luò)防范。在實(shí)驗(yàn)過(guò)程和實(shí)驗(yàn)報(bào)告中要體現(xiàn)兩人的不同分工。2. 每組獨(dú)立設(shè)計(jì)完成實(shí)驗(yàn)，不能雷同。3. 實(shí)驗(yàn)過(guò)程中以下三個(gè)階段需上機(jī)演示給指導(dǎo)老師察看：完成網(wǎng)絡(luò)攻擊、檢測(cè)到攻擊、完成網(wǎng)絡(luò)防范。4. 完成實(shí)驗(yàn)報(bào)告，能解釋在實(shí)驗(yàn)使用到的技術(shù)或工具的基本原理。三、實(shí)驗(yàn)環(huán)境可以自由使用信息安全實(shí)驗(yàn)室的PC機(jī)，局域網(wǎng)，Linux服務(wù)器，Windows 服務(wù)器，防火墻，入侵檢測(cè)系統(tǒng)等。四、實(shí)驗(yàn)設(shè)計(jì)方案、實(shí)驗(yàn)過(guò)程及實(shí)驗(yàn)結(jié)果作為一款流行的遠(yuǎn)程控制工具，在面世的初期，冰河就曾經(jīng)以其簡(jiǎn)單的操作方法和強(qiáng)大的控制力令人膽寒，可以說(shuō)達(dá)到了談冰色變的地步。鑒于此，我們就選用冰河完成本次實(shí)驗(yàn)。若要使用冰河進(jìn)行攻擊

3、，則冰河的安裝（是目標(biāo)主機(jī)感染冰河）是首先必須要做的。冰河控制工具中有三個(gè)文件：Readme.txt，G_Client.exe，以及G_Server.exe。Readme.txt簡(jiǎn)單介紹冰河的使用。G_Client.exe是監(jiān)控端執(zhí)行程序，可以用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器。G_Server.exe是被監(jiān)控端后臺(tái)監(jiān)控程序（運(yùn)行一次即自動(dòng)安裝，開(kāi)機(jī)自啟動(dòng)，可任意改名，運(yùn)行時(shí)無(wú)任何提示）。運(yùn)行G_Server.exe后，該服務(wù)端程序直接進(jìn)入內(nèi)存，并把感染機(jī)的7626端口開(kāi)放。而使用冰河客戶(hù)端軟件（G_Client.exe）的計(jì)算機(jī)可以對(duì)感染機(jī)進(jìn)行遠(yuǎn)程控制。冰河木馬的使用：1、 自動(dòng)跟蹤目標(biāo)機(jī)屏幕變

4、化，同時(shí)可以完全模擬鍵盤(pán)及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤(pán)及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）。2、 記錄各種口令信息：包括開(kāi)機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對(duì)話(huà)框中出現(xiàn)的口令信息。3、 獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶(hù)、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤(pán)信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。4、 限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。5、 遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、傷處文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開(kāi)文件（正常方式、最小化、最大化、隱藏方式）等多

5、項(xiàng)文件操作功能。6、 注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫(xiě)等所有注冊(cè)表操作功能。7、 發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息。8、 點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談等。實(shí)驗(yàn)過(guò)程：一、攻擊1、 入侵目標(biāo)主機(jī)首先運(yùn)行G_Client.exe，掃描主機(jī)。查找IP地址：在“起始域”編輯框中輸入要查找的IP地址，例如欲搜索IP地址“10.1.13.1”至“10.1.13.255”網(wǎng)段的計(jì)算機(jī)，應(yīng)將“起始域”設(shè)為“192.168.1”，將“起始地址”和“終止地址”分別設(shè)為“1”和“255”（由于我們是在宿舍做的，IP地址在100120之間），然后點(diǎn)“開(kāi)始搜索”按

6、鈕，在右邊列表框中顯示檢測(cè)到已經(jīng)在網(wǎng)上的計(jì)算機(jī)的IP地址。從上圖可以看出，搜索結(jié)果中，每個(gè)IP前都是ERR。地址前面的“ERR:”表示這臺(tái)計(jì)算機(jī)無(wú)法控制。所以，為了能夠控制該計(jì)算機(jī)，我們就必須要讓其感染冰河木馬。1、 遠(yuǎn)程連接使用Dos命令： net use ipipc$如下圖所示：2、 磁盤(pán)映射。本實(shí)驗(yàn)：將目標(biāo)主機(jī)的C：盤(pán)映射為本地主機(jī)上的X：盤(pán)如下圖所示3、 將本地主機(jī)上的G_Server.exe拷貝到目標(biāo)主機(jī)的磁盤(pán)中，并使其自動(dòng)運(yùn)行。如下圖所示：上圖中，目標(biāo)主機(jī)的C盤(pán)中沒(méi)有G_Server.exe程序存在。此時(shí)，目標(biāo)主機(jī)的C盤(pán)中已存在冰河的G_Server.exe程序，使用Dos命令添加

7、啟動(dòng)事件，如下圖所示： 首先，獲取目標(biāo)主機(jī)上的系統(tǒng)時(shí)間，然后根據(jù)該時(shí)間設(shè)置啟動(dòng)事件。此時(shí)，在目標(biāo)主機(jī)的Dos界面下，使用at命令，可看到：下圖為設(shè)定時(shí)間到達(dá)之前（即G_Server.exe執(zhí)行之前）的注冊(cè)表信息，可以看到在注冊(cè)表下的：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun，其默認(rèn)值并無(wú)任何值。當(dāng)目標(biāo)主機(jī)的系統(tǒng)時(shí)間到達(dá)設(shè)定時(shí)間之后，G_Server.exe程序自動(dòng)啟動(dòng)，且無(wú)任何提示。從上圖可以看到，HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRu

8、n的默認(rèn)值發(fā)生了改變。變成了：C:WINDOWSSYSTEMKernel32.exe這就說(shuō)明冰河木馬安裝成功，擁有G_Client.exe的計(jì)算機(jī)都可以對(duì)此計(jì)算機(jī)進(jìn)行控制了。此時(shí)，再次使用G_Client.exe搜索計(jì)算機(jī)，可得結(jié)果如下圖所示：從搜索結(jié)果可以看到，我們剛安裝了冰河木馬的計(jì)算機(jī)（其IP：10.1.13.214）的IP地址前變成了“OK:”，而不是之前的“ERR:”。下面對(duì)該計(jì)算機(jī)進(jìn)行連接控制：上圖顯示，連接失敗了，為什么呢？其實(shí)原因很簡(jiǎn)單，冰河木馬是訪問(wèn)口令的，且不同版本的訪問(wèn)口令不盡相同，本實(shí)驗(yàn)中，我們使用的是冰河V2.2版，其訪問(wèn)口令是05181977，當(dāng)我們?cè)谠L問(wèn)口令一欄輸

9、入該口令（或者右擊“文件管理器”中的該IP，“修改口令”），并點(diǎn)擊應(yīng)用，即可連接成功。連接成功了，我們就可以在“命令控制臺(tái)”下對(duì)該計(jì)算機(jī)進(jìn)行相關(guān)的控制操作了。比如說(shuō)：1、屏幕控制。圖像格式有BMP和JEPG兩個(gè)選項(xiàng)，建議你選JEPG格式，因?yàn)樗容^小，便于網(wǎng)絡(luò)傳輸?！皥D像色深”第一格為單色，第二格為16色，第三格為256色，依此類(lèi)推。“圖像品質(zhì)”主要反應(yīng)的是圖像的清晰度。按“確定”按鈕后便出現(xiàn)遠(yuǎn)程計(jì)算機(jī)的當(dāng)前屏幕內(nèi)容。設(shè)置相關(guān)屬性上圖為查看到的遠(yuǎn)程屏幕，遠(yuǎn)程屏幕如下圖所示2、彈窗、發(fā)送消息“發(fā)送信息”主要是讓操作者選擇合適的“圖標(biāo)類(lèi)型”和“按鈕類(lèi)型”，然后在“信息正文”里寫(xiě)上要發(fā)送的信息，按“

10、預(yù)覽”覺(jué)得滿(mǎn)意后點(diǎn)“發(fā)送”即可。3、進(jìn)程控制“進(jìn)程管理”是“查看進(jìn)程”，了解遠(yuǎn)程計(jì)算機(jī)正在使用的進(jìn)程，便于控制。4、修改服務(wù)器配置5、 冰河信使以上是一些常用的控制命令，不過(guò)，冰河的強(qiáng)大功能當(dāng)然遠(yuǎn)遠(yuǎn)不盡于此，在此就不一一實(shí)現(xiàn)了。各類(lèi)控制命令如下圖所示：二、防范與清除冰河當(dāng)冰河的G_SErver.exe這個(gè)服務(wù)端程序在計(jì)算機(jī)上運(yùn)行時(shí)，它不會(huì)有任何提示，而是在windows/system下建立應(yīng)用程序“kernel32.exe”和“Sysexplr.exe”。若試圖手工刪除，“Sysexplr.exe”可以刪除，但是刪除“kernel32.exe”時(shí)提示“無(wú)法刪除kernel32.exe:指定文件

11、正在被windows使用”，按下“Ctrl+Alt+Del”時(shí)也不可能找到“kernel32.exe”，先不管它，重新啟動(dòng)系統(tǒng)，一查找，“Sysexplr.exe”一定會(huì)又出來(lái)的?？梢栽诩僁OS模式下手工刪除掉這兩個(gè)文件。再次重新啟動(dòng)，你猜發(fā)生了什么？再也進(jìn)不去Windows系統(tǒng)了。重裝系統(tǒng)后，再次運(yùn)行G_Server.exe這個(gè)服務(wù)端程序，在“開(kāi)始”“運(yùn)行”中輸入“regedit”打開(kāi)注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下面發(fā)現(xiàn)="C:WINDOWSSYSTEMKernel32.exe"的存在，說(shuō)明它是每次啟動(dòng)自動(dòng)執(zhí)行的。下圖為卸載冰河木馬前的注冊(cè)表信息：卸載清除：1、攻擊你的主機(jī)良心發(fā)現(xiàn)，遠(yuǎn)程把你機(jī)器上的冰河木馬卸載掉。步驟如下圖：2、自己動(dòng)手，豐衣足食。步驟如下：下圖為清除冰河木馬之后的注冊(cè)表信息：五、實(shí)驗(yàn)小結(jié)（包括問(wèn)題和解決方法、心得體會(huì)、應(yīng)用網(wǎng)絡(luò)安全原理對(duì)實(shí)驗(yàn)中的現(xiàn)象與問(wèn)題進(jìn)行解釋等） 本節(jié)實(shí)驗(yàn)熟悉了ipc$空連接命令，熟悉了冰河控制其他計(jì)算機(jī)的過(guò)程，對(duì)網(wǎng)絡(luò)入侵有了一定認(rèn)識(shí)。通過(guò)本次實(shí)驗(yàn)體驗(yàn)了簡(jiǎn)單的網(wǎng)絡(luò)攻防操作，對(duì)網(wǎng)絡(luò)攻防有了更深的了解，在網(wǎng)絡(luò)攻擊和防護(hù)上有許許多多的方法和技術(shù)，但每一種方法和技術(shù)都有各自的限制和特定使用條件，我