防木马程序的入侵

本文主要介绍关于p2p,服务器,网络协议的知识点，对【木马的远程控制和清除 实验】和【防木马程序的入侵】有兴趣的朋友可以看下由【Hanaya sou】投稿的技术文章，希望该技术和经验能帮到你解决你所遇的【】相关技术问题。

防木马程序的入侵

本次记录曾做过的网络安全实验：phase 4

一、实验目的

????1. 理解木马的关键技术：包括木马的启动、隐藏和远程控制。

2. 使用一种木马实施远程控制，并进行清除。

二、实验环境

??????Windows7 x64系统虚拟机；Window XP 系统虚拟机；冰河 V8.4

三、实验原理

? ? ? ? ? ? ? ? ，

????使用两台虚拟机，一台充当操作机，一台充当被种植木马的目标机，然后使用冰河木马对目标机实行远程控制。

四、实验内容

1.?使用一种木马实施远程控制，具体而言，在被攻击者计算机B上种入木马（服务器端木马），用攻击者计算机A（客户端木马）对计算机B实施如下远程控制：

（1）查看屏幕

（2）控制屏幕

（3）冰河信使

2.?两种方法清除木马：反卸载和手动删除。

五、实验步骤

准备好两个虚拟机

操作机?Windows 7 系统：

?目标机?Windows XP 系统：

? ? ?2.在操作机上准备好冰河软件

? ? ? 3.配置服务端

（1）点击g_client?打开软件

（2）点击“设置”中的“配置服务器程序”打开“服务器配置”，从中设置访问口令，进程名称等

? ? ? 4.运行目标主机

（1）将g_server发送到目标主机上

（2）运行g_server后，观察端口

查看端口，出现7626，证明端口已打开

（3）确定目标机的ip地址

（4）打开操作机的g_cilent，开始搜索目标机

搜索成功

点击文件就可以看到目标机里的文件

? ? ? ?5.远程控制：

（1）查看屏幕???

（2）控制屏幕

通过控制屏幕打开目标机的回收站

（3）冰河信使

通过信使可以实现操作机和目标机的交互

?????操作机端：

?????目标机端：

? ? ? ?6.两种方法清除木马

（1）反卸载

在g_client中选中目标机点击命令控制台

选择控制类命令中的系统控制，点击右下角自动卸载冰河

点击“是”系统提示“服务器端监控程序自动卸载完毕”

（2）手动卸载

在任务管理器中找到进程“KERNEL32.EXE”并结束该进程

删除保存在目标机里的g_server程序

打开注册表，在目录HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run里删除binghe

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunService”里删除binghe

在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认，将值改为：C:\WINDOWS\notepad.exe?%1

?

六、实验结果分析及心得体会

实验结果分析：本次实验旨在理解木马的关键技术：包括木马的启动、隐藏和远程控制。使用一种木马实施远程控制，并进行清除。木马使用冰河木马，实验环境是在两台虚拟机上进行，一台为操作机Win 7 X64,一台为目标机Win XP 在操作机上配置好服务端，然后将木马种在目标机上，木马运行并打开7626端口，操作机便可通过木马对目标机进行远程操控。

心得体会：通过本次实验我了解到本次实验成功有好几个注意事项：冰河木马是一种很老的病毒，目前的系统已经可以自动对其作出识别并处理，所以运行只能在虚拟机上进行；值得注意的一点是冰河木马只能在32位的操作系统上运行，如果在64位操作系统运行则无法打开7626端口；操作机扫描目标机的过程中也需注意关掉目标机自带的Windows防火墙，否则无法成功建立连接。通过好几次的失败终于成功做成这次实验，大大加深了我对冰河木马的认知。

本文《木马的远程控制和清除 实验》版权归Hanaya sou所有，引用木马的远程控制和清除 实验需遵循CC 4.0 BY-SA版权协议。