實(shí)驗(yàn)4 冰河木馬實(shí)驗(yàn)

1、 網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)報(bào)告警示1. 實(shí)驗(yàn)報(bào)告如有雷同，雷同各方當(dāng)次實(shí)驗(yàn)成績均以0分計(jì)。2. 在規(guī)定時(shí)間內(nèi)未上交實(shí)驗(yàn)報(bào)告的，不得以其他方式補(bǔ)交，當(dāng)次成績按0分計(jì)。本班序號(hào)姓名實(shí)驗(yàn)4 冰河木馬實(shí)驗(yàn)【實(shí)驗(yàn)原理】作為一款流行的遠(yuǎn)程控制工具，在面世的初期，冰河就曾經(jīng)以其簡單的操作方法和強(qiáng)大的控制力令人膽寒，可以說達(dá)到了談冰色變的地步。若要使用冰河進(jìn)行攻擊，則冰河的安裝（是目標(biāo)主機(jī)感染冰河）是首先必須要做的。冰河控制工具中有二個(gè)文件：G_Client.exe，以及G_Server.exe。G_Client.exe是監(jiān)控端執(zhí)行程序，可以用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器。G_Server.exe是被監(jiān)控端后臺(tái)監(jiān)控

2、程序（運(yùn)行一次即自動(dòng)安裝，開機(jī)自啟動(dòng)，可任意改名，運(yùn)行時(shí)無任何提示）。運(yùn)行G_Server.exe后，該服務(wù)端程序直接進(jìn)入內(nèi)存，并把感染機(jī)的7626端口開放。而使用冰河客戶端軟件（G_Client.exe）的計(jì)算機(jī)可以對(duì)感染機(jī)進(jìn)行遠(yuǎn)程控制。冰河木馬的主要功能： （1）自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）。 （2）記錄各種口令信息：包括開機(jī)口令、屏?？诹睢⒏鞣N共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)的口令信息。 （3）獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前

3、顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。 （4）限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。 （5）遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、傷處文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（正常方式、最小化、最大化、隱藏方式）等多項(xiàng)文件操作功能。 （6）注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能。 （7）發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡短信息。 （8）點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談等?！緦?shí)驗(yàn)步驟】一、攻擊1、 入侵目標(biāo)主機(jī)首先運(yùn)行G_Client.exe，掃描主機(jī)。查找

4、IP地址：在“起始域”編輯框中輸入要查找的IP地址，例如欲搜索IP地址“192.168.1.1”至“192.168.1.255”網(wǎng)段的計(jì)算機(jī)，應(yīng)將“起始域”設(shè)為“192.168.1”，將“起始地址”和“終止地址”分別設(shè)為“1”和“255”，然后點(diǎn)“開始搜索”按鈕，在右邊列表框中顯示檢測到已經(jīng)在網(wǎng)上的計(jì)算機(jī)的IP地址。從上圖可以看出，搜索結(jié)果中，每個(gè)IP前都是ERR。地址前面的“ERR:”表示這臺(tái)計(jì)算機(jī)無法控制。所以，為了能夠控制該計(jì)算機(jī)，必須要讓其感染冰河木馬。1、 遠(yuǎn)程連接使用Dos命令： net use ipipc$如下圖所示：2、 磁盤映射。本實(shí)驗(yàn)：將目標(biāo)主機(jī)的C：盤映射為本地主機(jī)上的X

5、：盤如下圖所示3、 將本地主機(jī)上的G_Server.exe拷貝到目標(biāo)主機(jī)的磁盤中，并使其自動(dòng)運(yùn)行。如下圖所示：上圖中，目標(biāo)主機(jī)的C盤中沒有G_Server.exe程序存在。此時(shí)，目標(biāo)主機(jī)的C盤中已存在冰河的G_Server.exe程序，使用Dos命令添加啟動(dòng)事件，如下圖所示：首先，獲取目標(biāo)主機(jī)上的系統(tǒng)時(shí)間，然后根據(jù)該時(shí)間設(shè)置啟動(dòng)事件。此時(shí)，在目標(biāo)主機(jī)的Dos界面下，使用at命令，可看到：下圖為設(shè)定時(shí)間到達(dá)之前（即G_Server.exe執(zhí)行之前）的注冊(cè)表信息，可以看到在注冊(cè)表下的：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersion

6、Run，其默認(rèn)值并無任何值。當(dāng)目標(biāo)主機(jī)的系統(tǒng)時(shí)間到達(dá)設(shè)定時(shí)間之后，G_Server.exe程序自動(dòng)啟動(dòng)，且無任何提示。從上圖可以看到，HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun的默認(rèn)值發(fā)生了改變。變成了：C:WINDOWSSYSTEMKernel32.exe這就說明冰河木馬安裝成功，擁有G_Client.exe的計(jì)算機(jī)都可以對(duì)此計(jì)算機(jī)進(jìn)行控制了。此時(shí)，再次使用G_Client.exe搜索計(jì)算機(jī)，可得結(jié)果如下圖所示：從搜索結(jié)果可以看到，我們剛安裝了冰河木馬的計(jì)算機(jī)（其IP：192.168.1.112）的IP地址前變成了

7、“OK:”，而不是之前的“ERR:”。下面對(duì)該計(jì)算機(jī)進(jìn)行連接控制：上圖顯示，連接失敗了。其實(shí)原因很簡單，冰河木馬是訪問口令的，且不同版本的訪問口令不盡相同，本實(shí)驗(yàn)中，我們使用的是冰河V2.2版，其訪問口令是05181977，當(dāng)在訪問口令一欄輸入該口令（或者右擊“文件管理器”中的該IP，“修改口令”），并點(diǎn)擊應(yīng)用，即可連接成功。連接成功了，我們就可以在“命令控制臺(tái)”下對(duì)該計(jì)算機(jī)進(jìn)行相關(guān)的控制操作了。比如說：1、屏幕控制。圖像格式有BMP和JEPG兩個(gè)選項(xiàng)，建議選JEPG格式，因?yàn)樗容^小，便于網(wǎng)絡(luò)傳輸?！皥D像色深”第一格為單色，第二格為16色，第三格為256色，依此類推?！皥D像品質(zhì)”主要反應(yīng)的是

8、圖像的清晰度。按“確定”按鈕后便出現(xiàn)遠(yuǎn)程計(jì)算機(jī)的當(dāng)前屏幕內(nèi)容。設(shè)置相關(guān)屬性上圖為查看到的遠(yuǎn)程屏幕，遠(yuǎn)程屏幕如下圖所示2、彈窗、發(fā)送消息“發(fā)送信息”主要是讓操作者選擇合適的“圖標(biāo)類型”和“按鈕類型”，然后在“信息正文”里寫上要發(fā)送的信息，按“預(yù)覽”覺得滿意后點(diǎn)“發(fā)送”即可。3、進(jìn)程控制“進(jìn)程管理”是“查看進(jìn)程”，了解遠(yuǎn)程計(jì)算機(jī)正在使用的進(jìn)程，便于控制。4、修改服務(wù)器配置5、 冰河信使以上是一些常用的控制命令，不過，冰河的強(qiáng)大功能當(dāng)然遠(yuǎn)遠(yuǎn)不盡于此，在此就不一一實(shí)現(xiàn)了。各類控制命令如下圖所示：二、防范與清除冰河當(dāng)冰河的G_SErver.exe這個(gè)服務(wù)端程序在計(jì)算機(jī)上運(yùn)行時(shí)，它不會(huì)有任何提示，而是在w

9、indows/system下建立應(yīng)用程序“kernel32.exe”和“Sysexplr.exe”。若試圖手工刪除，“Sysexplr.exe”可以刪除，但是刪除“kernel32.exe”時(shí)提示“無法刪除kernel32.exe:指定文件正在被windows使用”，按下“Ctrl+Alt+Del”時(shí)也不可能找到“kernel32.exe”，先不管它，重新啟動(dòng)系統(tǒng)，一查找，“Sysexplr.exe”一定會(huì)又出來的?？梢栽诩僁OS模式下手工刪除掉這兩個(gè)文件。再次重新啟動(dòng)，你猜發(fā)生了什么？再也進(jìn)不去Windows系統(tǒng)了。重裝系統(tǒng)后，再次運(yùn)行G_Server.exe這個(gè)服務(wù)端程序，在“開始”“運(yùn)行

10、”中輸入“regedit”打開注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下面發(fā)現(xiàn)="C:WINDOWSSYSTEMKernel32.exe"的存在，說明它是每次啟動(dòng)自動(dòng)執(zhí)行的。下圖為卸載冰河木馬前的注冊(cè)表信息：卸載清除：1、攻擊你的主機(jī)良心發(fā)現(xiàn)，遠(yuǎn)程把你機(jī)器上的冰河木馬卸載掉。步驟如下圖：2、自己動(dòng)手，豐衣足食。步驟如下：下圖為清除冰河木馬之后的注冊(cè)表信息：【實(shí)驗(yàn)體會(huì)】（包括問題和解決方法、心得體會(huì)、應(yīng)用網(wǎng)絡(luò)安全原理對(duì)實(shí)驗(yàn)中的現(xiàn)象與問題進(jìn)行解釋等）冰河木馬功能強(qiáng)大，操作方便，的確是XP時(shí)

11、代的經(jīng)典之一；但是，由于系統(tǒng)的更新?lián)Q代，沒有持續(xù)更新的冰河木馬在新系統(tǒng)中的使用也碰到了種種問題：1.對(duì)用戶權(quán)限的嚴(yán)格管理：到了win7時(shí)代，windows系統(tǒng)對(duì)權(quán)限的管理變得十分嚴(yán)格，XP時(shí)代的很多操作都會(huì)因?yàn)闄?quán)限不足而被拒絕：像第一步的$IPC共享入侵，若沒有正確密碼是無法進(jìn)行操作的；而且，新加入的用戶賬戶控制（UAC）也使得冰河在安裝注冊(cè)時(shí)無法做到靜默安裝，過早暴露自身；更改注冊(cè)表等修改系統(tǒng)關(guān)鍵部位的操作更是會(huì)被報(bào)告；2.許多設(shè)置的改變：Win7時(shí)代中$IPC共享大部分已被取消（系統(tǒng)優(yōu)化軟件），通過IPC入侵系統(tǒng)變得困難；注冊(cè)表的鍵位與功能發(fā)生變化等3.現(xiàn)代安全軟件的防御：由于未持續(xù)更新，特征碼被錄入，冰河很容易被安全軟件發(fā)現(xiàn)并清除；其常用的動(dòng)作也容易被監(jiān)控，如使用的7626端口易被監(jiān)控；修改系統(tǒng)關(guān)鍵部位的操作也會(huì)被攔截；試圖登錄入侵的連接會(huì)被防火墻攔截等；基于以上幾點(diǎn)，舊版的冰河在新系統(tǒng)中的生存能力較弱，用戶可以通過了解冰河的具體行為來進(jìn)行針對(duì)性的檢測與清除：如檢測注冊(cè)表鍵值等系統(tǒng)關(guān)鍵部位；監(jiān)聽特定端口；加強(qiáng)用戶口令的強(qiáng)度；打開UAC等操作。但與此同時(shí)，冰河木馬也在由許多愛好者改進(jìn)更新中，許多的特性會(huì)發(fā)生改變，新系統(tǒng)中的不足與缺陷也會(huì)被填補(bǔ)；甚至?xí)蛐孪到y(tǒng)的新漏洞而發(fā)展出更強(qiáng)大的功能和特性；