冰河木马实验(V8.4)
简述:
- 百科词条
冰河木马开发于1999年,跟灰鸽子类似,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。其中攻击者使用G-client.exe
对执行了G-server.exe
的主机进行控制。
- 功能
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
实验环境:
- 冰河木马:V8.4
- 攻击主机:win7,ip:……132(以A代替)
- 受控靶机:win7,ip:……134(以B代替)
- 两台主机能互相ping通
攻击步骤:
本次试验采用共享文件的方式将木马种植在目标主机
- 打开实验的两台虚拟机,使用
net use
命令进行连接
net use \\192.168.88.134\ipc$
- 将主机B的C盘映射在主机A上,名为X
net use x: \\192.168.88.134\c$
- 把g_server.exe文件拷贝进主机B的C盘,并设置自启动时间
at \\192.168.88.134 h:m:s C:\\g_server
当到达设定时间后,主机B上就会自动运行g_server.exe
(运行g_server.exe前)
(运行g_server.exe后)
此时主机B的7626端口已经打开,可以对其进行控制。
- 在主机A上打开g_client.exe,并扫描主机
- 扫描成功后对其进行控制
(查看、编辑、创建、删除主机文件)
(在主机A上给主机B创建文件)
(记录键盘)
(查看注册表键值)
等……
防御步骤:
冰河木马隐蔽性高,且极为顽固,一旦运行G-server,那么该程序就会C:/Windows/system
目录下生成Kernel32.exe和sysexplr.exe,并删除自身。
Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。
即使你删除了Kernel32.exe,只要打开 TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
因此防御分以下四个步骤:
- 还原自启动注册表
冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run
下扎根,键值为C:/windows/system/Kernel32.exe
,用于设置开机自启,找到并删除。
- 还原txt文件的注册表信息
冰河通过修改txt文件之策表信息的键值对,使得sysexplr.exe和txt文件关联,当编辑txt文件时,就会再次激活冰河,找到该键值对并还原为notepad
(正常的txt文件打开路径)
(感染冰河)
修改为正常数据
- 结束冰河的核心进程
Kernel32.exe
- 删除系统目录下的
Kernel32.exe
和sysexplr.exe
文件
文件位置为:windows/system32。
Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。找到并删除
自此,冰河已经被完全清除,以上几个步骤缺一不可。
学习整理,若有问题请指出。
冰河木马实验(V8.4)相关推荐
- 批处理检查电脑是否中了冰河木马
批处理如下: @echo off netstat -a -n > a.txt type a.txt | find "7626" && echo "C ...
- ASP木马实验(I春秋)
ASP木马实验(i 春秋) 传送门 https://www.ichunqiu.com/vm/483/1?source=1 首先进入分配好的实验环境 打开Chrome 在我的电脑中使用FTP链接服务器 ...
- 后台登录密码绕过+sql注入+一句话木马 实验演示(盾灵)
环境 Windows Server 2008(虚拟机) 安装phpStudy,安装dunling 盾灵投稿系统 dunling是一个CMS在线内容管理器 dirb是Kali内置的一个基于字典的We ...
- PHP一句话木马实验
准备软件下载:phpstudy,蚁剑 1.打开phpstudy 启动Apache 打开网站根目录 新建shell.php文本文件 编辑内容为(可使用notepad++编辑) 2.进入靶机 找到上传文件 ...
- 图解一次手动杀马过程
杀!!! 杀的对象:冰河木马残余 杀的工具:powertool, 命令行 自从上次在本机做了一次冰河木马实验之后,本机就存在一点问题: 一个是,双击.txt,不能用记事本打开:一个是上网有点问题,有时 ...
- 网络攻防实验之木马攻击实验
这个实验是网络攻防课程实验中的一个,以冰河木马为例,操作系统是XP,对于现在的安全意义不大了,但是可以看一下多年前流行的冰河木马的功能和操作. 一.实验目的和要求 (1)通过对木马的练习,使读者理解和 ...
- 冰河浅析 - 揭开木马的神秘面纱(下)
冰河浅析 - 揭开木马的神秘面纱(下) 作者:· shotgun·yesky 四.破解篇(魔高一尺.道高一丈) 本文主要是探讨木马的基本原理, 木马的破解并非是 ...
- 【信息安全技术】实验报告:木马及远程控制技术
实验目的 剖析网页木马的工作原理 理解木马的植入过程 学会编写简单的网页木马脚本 通过分析监控信息实现手动删除木马 实验内容 木马生成与植入 利用木马实现远程控制 木马的删除 实验过程 主机A 通过I ...
- 如何通过 Web 实现防御木马、病毒...... | 原力计划
作者 | Eastmount 责编 | Elle 出品 | CSDN 博客 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分 ...
- 计算机网络信息安全的实验报告,网络安全实验报告.doc
网络安全实验报告 本科实验课程报告 (2016至2017学年第1学期) 课程名称: 网络信息安全 专业名称: 行政班级: 学 号: 姓 名: 指导教师: 赵学民 报告时间: 年 月 日 实验大纲 一. ...
最新文章
- Redis 之布隆过滤器与布谷鸟过滤器
- JavaScript——创建对象
- SAP Fiori Elements - fragment load roundtrip
- php数据处理工具,数据处理的PHP类
- 哈工大C语言公开课练兵编程(二)
- C++ win32控制台显示月历
- 从零开始学前端:标签渐变和媒体查询 --- 今天你学习了吗?(CSS:Day25)
- 一文详解高精地图构建与SLAM感知优化建图策略
- AutoCAD2016-2020设置经典模式界面
- 《数字电路与逻辑设计》笔记及经典问答题
- 微信小程序轮播图滚动带动背景图变换及滚动对应图片下标
- 洛谷 P1069 细胞分裂 质因数分解
- 【JAVA程序设计】(C00047)基于springboot+vue的宠物服务管理系统
- zabbix 监控过程详解
- 基于PyQt的网站后台工具
- p 值的意义是什么?终于有人讲明白了
- 解决Vs2015+Qt+obs studio配置软件环境问题汇总
- php打开excel文件,PHP读取Excel文件的简单示例
- SQL 链接 (代码)
- 【Virtual Box】使用增强功能在Ubuntu系统实现共享文件夹、共享复制粘贴、主机间拖放文件
热门文章
- 正点原子STM32F103 DMA代码例程魔改
- 【Navicat】Navicat:Navicat 导出数据库表为 EXCEL 格式、设计优化数据字典 EXCEL 模板
- 软件观念革命:交互设计精髓_2021年中国传媒大学设计学考研招生分析、参考书目、复试线、真题回忆、考研经验指南篇...
- 教你如何用vbs实现微信自动发送消息功能
- 信捷PLC Modbus通讯 (Modbus_TCP与Modbus_RTU)
- 译文(Artistic Style Transfer with Internal-external Learning and Contrastive Learning)
- 金蝶KIS商贸版开发销售出库单、销售订单带商品图片打印单据
- IAR软件的使用讲解
- 酒店预订微信小程序怎么开发?
- 【全栈计划 —— 单片机】——Part_01 单片机数字电路基础+C51基础概念