实验目的
掌握“冰河”木马的工作原理、入侵过程及危害。
实验内容
参考内容在虚拟机上种植“冰河”程序,通过木马的服务器端获得对方的目录结构及控制对方屏幕,描述主要过程并给出图示。
实验环境描述
VPC1(虚拟PC) 操作系统类型:windows7,网络接口:eth0
VPC1连接要求 与实验网络直连
VPC2(虚拟PC) 操作系统类型:windows7,网络接口:eth0
VPC2连接要求 与实验网络直连
软件描述 冰河
实验步骤
1.学生单击“开始试验”进入试验场景。如图所示:
2.选择自己要登录的虚拟机 win7
3.“冰河”包含两个程序文件(在c:\tools\冰河),一是服务器端,另一个是客户端。“冰河8.2”的文件列表如教材图2所示。
图2
4.G_SERVER.exe文件是服务器端程序,G_CLIENT.exe文件为客户端程序。将G_SERVER.exe文件在远程得计算机上执行以后,通过G_CLIENT.exe文件来控制远程得服务器,客户端的主界面如教材图3所示。
图3
5.将服务器程序种到对方主机之前需要对服务器程序做一些设置,比如连接端口,连接密码等。选择菜单栏“设置”下的菜单项“配置服务器程序”,如教材图4所示。
图4
6.在出现的对话框中选择服务器端程序G_SERVER.exe进行配置,并填写访问服务器端程序的口令,这里设置为空,如教材图5所示。
图5
7.点击按钮“确定”以后,就将“冰河”的服务器种到某一台主机上了。执行完G_SERVER.exe文件以后,系统没有任何反应,其实已经更改了注册表,并将服务器端程序和文本文件进行了关联,当用户双击一个扩展名为txt的文件的时候,就会自动执行冰河服务器端程序。前面章节对此已经做了介绍,当计算机感染了“冰河”以后,查看被修改后的注册表,如教材图6所示。
图6
8.没有中冰河的情况下,该注册表项应该是使用notepad.exe文件来打开txt文件,而图中的“SYSEXPLR.EXE”其实就是“冰河”的服务器端程序。目标主机中了冰河了,可以利用客户端程序来连接服务器端程序。在客户端添加主机的地址信息,这里的密码为空,如教材图7所示。
图7
9.点击按钮“确定”以后,查看对方计算机的基本信息了,对方计算机的目录列表如教材图8所示。
图8
10.至此实验结束,关闭实验环境。