實驗4 冰河木馬實驗

1、 網(wǎng)絡(luò)與信息安全實驗報告警示1. 實驗報告如有雷同，雷同各方當次實驗成績均以0分計。2. 在規(guī)定時間內(nèi)未上交實驗報告的，不得以其他方式補交，當次成績按0分計。本班序號姓名實驗4 冰河木馬實驗【實驗原理】作為一款流行的遠程控制工具，在面世的初期，冰河就曾經(jīng)以其簡單的操作方法和強大的控制力令人膽寒，可以說達到了談冰色變的地步。若要使用冰河進行攻擊，則冰河的安裝（是目標主機感染冰河）是首先必須要做的。冰河控制工具中有二個文件：G_Client.exe，以及G_Server.exe。G_Client.exe是監(jiān)控端執(zhí)行程序，可以用于監(jiān)控遠程計算機和配置服務(wù)器。G_Server.exe是被監(jiān)控端后臺監(jiān)控

2、程序（運行一次即自動安裝，開機自啟動，可任意改名，運行時無任何提示）。運行G_Server.exe后，該服務(wù)端程序直接進入內(nèi)存，并把感染機的7626端口開放。而使用冰河客戶端軟件（G_Client.exe）的計算機可以對感染機進行遠程控制。冰河木馬的主要功能： （1）自動跟蹤目標機屏幕變化，同時可以完全模擬鍵盤及鼠標輸入，即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標操作將反映在被控端屏幕（局域網(wǎng)適用）。 （2）記錄各種口令信息：包括開機口令、屏?？诹睢⒏鞣N共享資源口令及絕大多數(shù)在對話框中出現(xiàn)的口令信息。 （3）獲取系統(tǒng)信息：包括計算機名、注冊公司、當前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當前

3、顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)。 （4）限制系統(tǒng)功能：包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制。 （5）遠程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、傷處文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（正常方式、最小化、最大化、隱藏方式）等多項文件操作功能。 （6）注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能。 （7）發(fā)送信息：以四種常用圖標向被控端發(fā)送簡短信息。 （8）點對點通訊：以聊天室形式同被控端進行在線交談等。【實驗步驟】一、攻擊1、 入侵目標主機首先運行G_Client.exe，掃描主機。查找

4、IP地址：在“起始域”編輯框中輸入要查找的IP地址，例如欲搜索IP地址“192.168.1.1”至“192.168.1.255”網(wǎng)段的計算機，應(yīng)將“起始域”設(shè)為“192.168.1”，將“起始地址”和“終止地址”分別設(shè)為“1”和“255”，然后點“開始搜索”按鈕，在右邊列表框中顯示檢測到已經(jīng)在網(wǎng)上的計算機的IP地址。從上圖可以看出，搜索結(jié)果中，每個IP前都是ERR。地址前面的“ERR:”表示這臺計算機無法控制。所以，為了能夠控制該計算機，必須要讓其感染冰河木馬。1、 遠程連接使用Dos命令： net use ipipc$如下圖所示：2、 磁盤映射。本實驗：將目標主機的C：盤映射為本地主機上的X

5、：盤如下圖所示3、 將本地主機上的G_Server.exe拷貝到目標主機的磁盤中，并使其自動運行。如下圖所示：上圖中，目標主機的C盤中沒有G_Server.exe程序存在。此時，目標主機的C盤中已存在冰河的G_Server.exe程序，使用Dos命令添加啟動事件，如下圖所示：首先，獲取目標主機上的系統(tǒng)時間，然后根據(jù)該時間設(shè)置啟動事件。此時，在目標主機的Dos界面下，使用at命令，可看到：下圖為設(shè)定時間到達之前（即G_Server.exe執(zhí)行之前）的注冊表信息，可以看到在注冊表下的：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersion

6、Run，其默認值并無任何值。當目標主機的系統(tǒng)時間到達設(shè)定時間之后，G_Server.exe程序自動啟動，且無任何提示。從上圖可以看到，HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun的默認值發(fā)生了改變。變成了：C:WINDOWSSYSTEMKernel32.exe這就說明冰河木馬安裝成功，擁有G_Client.exe的計算機都可以對此計算機進行控制了。此時，再次使用G_Client.exe搜索計算機，可得結(jié)果如下圖所示：從搜索結(jié)果可以看到，我們剛安裝了冰河木馬的計算機（其IP：192.168.1.112）的IP地址前變成了

7、“OK:”，而不是之前的“ERR:”。下面對該計算機進行連接控制：上圖顯示，連接失敗了。其實原因很簡單，冰河木馬是訪問口令的，且不同版本的訪問口令不盡相同，本實驗中，我們使用的是冰河V2.2版，其訪問口令是05181977，當在訪問口令一欄輸入該口令（或者右擊“文件管理器”中的該IP，“修改口令”），并點擊應(yīng)用，即可連接成功。連接成功了，我們就可以在“命令控制臺”下對該計算機進行相關(guān)的控制操作了。比如說：1、屏幕控制。圖像格式有BMP和JEPG兩個選項，建議選JEPG格式，因為它比較小，便于網(wǎng)絡(luò)傳輸。“圖像色深”第一格為單色，第二格為16色，第三格為256色，依此類推。“圖像品質(zhì)”主要反應(yīng)的是

8、圖像的清晰度。按“確定”按鈕后便出現(xiàn)遠程計算機的當前屏幕內(nèi)容。設(shè)置相關(guān)屬性上圖為查看到的遠程屏幕，遠程屏幕如下圖所示2、彈窗、發(fā)送消息“發(fā)送信息”主要是讓操作者選擇合適的“圖標類型”和“按鈕類型”，然后在“信息正文”里寫上要發(fā)送的信息，按“預(yù)覽”覺得滿意后點“發(fā)送”即可。3、進程控制“進程管理”是“查看進程”，了解遠程計算機正在使用的進程，便于控制。4、修改服務(wù)器配置5、 冰河信使以上是一些常用的控制命令，不過，冰河的強大功能當然遠遠不盡于此，在此就不一一實現(xiàn)了。各類控制命令如下圖所示：二、防范與清除冰河當冰河的G_SErver.exe這個服務(wù)端程序在計算機上運行時，它不會有任何提示，而是在w

9、indows/system下建立應(yīng)用程序“kernel32.exe”和“Sysexplr.exe”。若試圖手工刪除，“Sysexplr.exe”可以刪除，但是刪除“kernel32.exe”時提示“無法刪除kernel32.exe:指定文件正在被windows使用”，按下“Ctrl+Alt+Del”時也不可能找到“kernel32.exe”，先不管它，重新啟動系統(tǒng)，一查找，“Sysexplr.exe”一定會又出來的?？梢栽诩僁OS模式下手工刪除掉這兩個文件。再次重新啟動，你猜發(fā)生了什么？再也進不去Windows系統(tǒng)了。重裝系統(tǒng)后，再次運行G_Server.exe這個服務(wù)端程序，在“開始”“運行

10、”中輸入“regedit”打開注冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下面發(fā)現(xiàn)="C:WINDOWSSYSTEMKernel32.exe"的存在，說明它是每次啟動自動執(zhí)行的。下圖為卸載冰河木馬前的注冊表信息：卸載清除：1、攻擊你的主機良心發(fā)現(xiàn)，遠程把你機器上的冰河木馬卸載掉。步驟如下圖：2、自己動手，豐衣足食。步驟如下：下圖為清除冰河木馬之后的注冊表信息：【實驗體會】（包括問題和解決方法、心得體會、應(yīng)用網(wǎng)絡(luò)安全原理對實驗中的現(xiàn)象與問題進行解釋等）冰河木馬功能強大，操作方便，的確是XP時

11、代的經(jīng)典之一；但是，由于系統(tǒng)的更新?lián)Q代，沒有持續(xù)更新的冰河木馬在新系統(tǒng)中的使用也碰到了種種問題：1.對用戶權(quán)限的嚴格管理：到了win7時代，windows系統(tǒng)對權(quán)限的管理變得十分嚴格，XP時代的很多操作都會因為權(quán)限不足而被拒絕：像第一步的$IPC共享入侵，若沒有正確密碼是無法進行操作的；而且，新加入的用戶賬戶控制（UAC）也使得冰河在安裝注冊時無法做到靜默安裝，過早暴露自身；更改注冊表等修改系統(tǒng)關(guān)鍵部位的操作更是會被報告；2.許多設(shè)置的改變：Win7時代中$IPC共享大部分已被取消（系統(tǒng)優(yōu)化軟件），通過IPC入侵系統(tǒng)變得困難；注冊表的鍵位與功能發(fā)生變化等3.現(xiàn)代安全軟件的防御：由于未持續(xù)更新，特征碼被錄入，冰河很容易被安全軟件發(fā)現(xiàn)并清除；其常用的動作也容易被監(jiān)控，如使用的7626端口易被監(jiān)控；修改系統(tǒng)關(guān)鍵部位的操作也會被攔截；試圖登錄入侵的連接會被防火墻攔截等；基于以上幾點，舊版的冰河在新系統(tǒng)中的生存能力較弱，用戶可以通過了解冰河的具體行為來進行針對性的檢測與清除：如檢測注冊表鍵值等系統(tǒng)關(guān)鍵部位；監(jiān)聽特定端口；加強用戶口令的強度；打開UAC等操作。但與此同時，冰河木馬也在由許多愛好者改進更新中，許多的特性會發(fā)生改變，新系統(tǒng)中的不足與缺陷也會被填補；甚至?xí)蛐孪到y(tǒng)的新漏洞而發(fā)展出更強大的功能和特性；