步驟一:冰河木馬植入與控制
分別進入虛擬機中PC1與PC2系統。在PC1中安裝服務器端(被攻擊者),在PC2中安裝客戶端(發起攻擊者)。
(1)服務器端:打開C:\tool\“木馬攻擊實驗“文件夾,雙擊G_SERVER。
因為虛擬機防火牆已關閉故不會彈窗,雙擊即為運行成功,至此,木馬的服務器端開始啟動
(2)客戶端:切換到PC2,打開C:\tool\“木馬攻擊實驗”文件夾,在“冰河”文件存儲目錄下,雙擊G_CLIENT。
雙擊后未彈窗原因同上,出現如下圖所示
(3)添加主機
①查詢PC1的ip地址,打開cmd,輸入ipconfig,如下圖,得知IP地址為10.1.1.92
②添加PC1主機:切換回PC2,點擊如下圖所示
輸入PC1的ip地址10.1.1.92,端口默認7626,點擊確定
若連接成功,則會顯示服務器端主機上的盤符,如下圖
至此,我們就可以像操作自己的電腦一樣操作遠程目標電腦.
步驟二:命令控制台命令的使用方法
(1)口令類命令:
點擊“命令控制台”,然后點擊“口令類命令”前面的“+”即可圖界面出現如下圖所示口令類命令。
各分支含義如下:
“系統信息及口令”:可以查看遠程主機的系統信息,開機口令,緩存口令等。可看到非常詳細的遠程主機信息,這就無異於遠程主機徹底暴露在攻擊者面前
“歷史口令”:可以查看遠程主機以往使用的口令
“擊鍵記錄”:啟動鍵盤記錄后,可以記錄遠程主機用戶擊鍵記錄,一次可以分析出遠程主機的各種賬號和口令或各種秘密信息
(2)控制類命令
點擊“命令控制台”,點擊“控制類命令”前面的“+”即可顯示圖所示界面如下圖所示控制類命令。
(以”發送信息“為例,發送”nihaoya“)
此時切換回PC1查看是否收到信息,如下圖
至此,發送信息功能得到驗證
各分支含義如下:
“捕獲屏幕”:這個功能可以使控制端使用者查看遠程主機的屏幕,好像遠程主機就在自己面前一樣,這樣更有利於竊取各種信息,單擊“查看屏幕”按鈕,然后就染成了遠程主機的屏幕。可以看到,遠程主機屏幕上的內容就顯示在本機上了,顯示內容不是動態的,而是每隔一段時間傳來一幅。
“發送信息”:這個功能可以使你向遠程計算機發生Windows標准的各種信息,在“信息正文”中可以填入要發給對方的信息,在圖表類型中,可以選擇“普通”,“警告”,“詢問”,“錯誤”等類型。按鈕類型可以選擇“確定”“是”“否”等類型。
“進程管理”:這個功能可以使控制着查看遠程主機上所有的進程
“窗口管理”:這個功能可以使遠程主機上的窗口進行刷新,最大化,最小化,激活,隱藏等操作。
“系統管理”:這個功能可以使遠程主機進行關機,重啟,重新加載“冰河”自動卸載”冰河”的操作
“鼠標控制”:這個功能可以使遠程主機上的鼠標鎖定在某個范圍內
“其他控制”:這個功能可以使遠程主機進行自動撥號禁止,桌面隱藏,注冊表鎖定等操作
(3)網絡類命令
點擊“命令控制台”,點擊“網絡類命令”前面的“+”即可展開網絡類命令如下圖所示。
各分支的含義是:
“創建共享”:在遠程主機上創建自己的共享
“刪除共享”:在遠程主機上刪除某個特定的共享
“網絡信息”:查看遠程主機上的共享信息
(4)文件類命令
點擊“命令控制台”,點擊“文件類命令”前面的“+”即可展開“文件類命令”,如下圖所示
該類命令中,“文件瀏覽”、“文件查找”、“文件壓縮”、“文件刪除”、“文件打開”等菜單可以查看、查找、壓縮、刪除、打開遠程主機上某個文件。
“目錄增刪”、“目錄復制”、可以增加、刪除、復制遠程主機上的某個目錄。
(5)注冊表讀寫
點擊“命令控制台”,點擊“注冊表讀寫”前面的“+”即可展開“注冊表讀寫”命令,如下圖所示注冊表讀寫。
注冊表讀寫提供了“鍵值讀取”、“鍵值寫入”、“鍵值重命名”、“主鍵瀏覽”、“主鍵增刪”、“主鍵復制”的功能。
(6)設置類命令
點擊“命令控制台”,點擊“設置類命令”前面的“+”即可展開“設置類命令”,如下圖所示設置類命令。
設置類命令提供了“更換牆紙”、“更改計算機名”、“服務器端配置”的功能,
步驟三:刪除冰河木馬
刪除冰河木馬主要有以下幾種方法:
(1)客戶端的自動卸載功能
點擊“控制類命令”前面的“+”,點擊“系統控制”可看到“自動卸載冰河”按鈕並點擊,在彈出的窗口里面點擊“是”,則可以卸載遠程主機上的木馬如圖14自動卸載冰河木馬。如下圖所示
點擊”是“即可刪除
(2)手動卸載
在實際情況中木馬客戶端不可能為木馬服務器端自動卸載木馬,我們在發現計算機有異常情況時(如經常自動重啟,密碼信息泄露時),就應該懷疑是否已經中了木馬,
這時我們應該查看注冊表,此處操作在PC1中進行,在“開始”→“運行”里面輸入“regedit”,打開Windows注冊表編輯器如下圖。
依次打開以下目錄
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在目錄中發現了一個默認的鍵值C:\WINNT\System32\kernel32.exe,這就是“冰河”密碼在注冊表中加入的鍵值,選中它,右鍵,點擊刪除,即可把它刪除,如下圖
然后依次打開目錄
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
在目錄中也發現了一個默認的鍵值C:\WINNT\System32\kernel32.exe,這也是“冰河”木馬在注冊表中加入的鍵值,將它刪除,如下圖。
上面兩個注冊表的子鍵目錄Run和Runservices中存放的鍵值是系統啟動時自動啟動的程序,一般病毒程序,木馬程序,后門程序等都放在這些子鍵目錄下,所以要經常檢查這些子鍵目錄下的程序,如果有不明程序,要着重進行分析。
修改文件關聯也是木馬常用的手段,“冰河”木馬將txt文件的缺省打開方式由notepad.exe改為木馬的啟動程序,除此之外,html、exe、zip、com等文件也都是木馬的目標,所以,在最后需要回復注冊表中的txt文件關聯功能。
方法是找到注冊表的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的默認值,選中“(默認)”,單擊鼠標右鍵,選擇修改如下圖
將數值數據C:\Windows\System32\Sysexplr.exe%1改為正常情況下的C:\Windows\notepad.exe%1即可,如圖19修改編輯字符串,最后重新啟動計算機,冰河木馬就徹底刪除了。
至此,冰河木馬被徹底刪除了。
分析與思考:
1、 如何發現木馬威脅?
我們在發現計算機有異常情況時(如經常自動重啟,密碼信息泄露時),就應該懷疑是否已經中了木馬
2、 畫出木馬工作流程圖,加深對木馬原理理解。
答題:
