实验四 木马的远程控制和清除
目录
- 0x01环境配置
- 1. 关闭防火墙
- 2. 冰河木马下载解压
- 3. 攻击者主机(Win7)打开g_client.exe
- 4. 受害者主机(WinXP)打开g_server.exe
- 5. 攻击者进行连接受害者主机
- 0x02 远程控制
- 1. 远程桌面控制
- 2. 冰河信使进行通信
- 3. 攻击者创建新建文件夹
- 0x03 卸载冰河木马
- 1. 远程自动卸载冰河木马
- 2. 手动卸载冰河木马
0x01环境配置
攻击者主机:Win7 (192.168.30.221)
受害者主机:winXP(192.168.30.134)
1. 关闭防火墙
两台主机均关闭防火墙
2. 冰河木马下载解压
冰河木马下载链接
- 可以先下载到Win7主机,双击安装
自定义安装(要记住自定义安装的文件夹)
选择安装路径
一键安装
2. 打开所选择安装的文件夹,进行解压
双击提取出来(类似解压)
提取密码为:www.downcc.com
3. 攻击者主机(Win7)打开g_client.exe
打开解压后的文件夹
双击打开
打开后的应用面板
4. 受害者主机(WinXP)打开g_server.exe
- 将g_server.exe放到受害者主机(可以先复制到物理机再从物理机复制到受害机),双击运行
- 查看进程
netstat -an
出现7626端口则表示木马运行成功,此时也会出现Kernel32进程
- 查看受害者主机的ip为:192.168.30.134
5. 攻击者进行连接受害者主机
扫描可连接主机
从结果可以看出扫描出一台设备(WinXP主机)
拿下WinXP主机,可以进行查看文件信息
0x02 远程控制
1. 远程桌面控制
2. 冰河信使进行通信
3. 攻击者创建新建文件夹
在受害者主机可以看到创建成功
0x03 卸载冰河木马
1. 远程自动卸载冰河木马
再次查看端口与进程,发现7626端口关闭,进程Kernel32.exe已经关闭
2. 手动卸载冰河木马
四步骤:
- 还原自启动注册表
冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run下扎根,键值为C:/windows/system/Kernel32.exe,用于设置开机自启,找到并删除。
1)受害者主机打开注册表
2)进入HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run,找到键值为C:/windows/system/Kernel32.exe,找到并删除。
- 还原txt文件的注册表信息。冰河通过修改txt文件注册表信息的键值对,使得sysexplr.exe和txt文件关联,当编辑txt文件时,就会再次激活冰河,找到该键值对并还原为notepad。
在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认这一项,右键修改!注意是修改不是删除!!!将他的值改为:C:\WINDOWS\notepad.exe %1。
1)进入注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command
2)选中,将值修改为C:\WINDOWS\notepad.exe %1
- 结束冰河的核心进程Kernel32.exe
- 删除系统目录下的Kernel32.exe和sysexplr.exe文件。文件位置为:windows/system32。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。找到并删除
1)删除Kernel32.exe
2)删除sysexplr.exe
查看端口发现7626端口已经关闭,成功卸载冰河木马
实验四 木马的远程控制和清除相关推荐
- 20155231 20155234 信息安全技术 实验四 木马及远程控制技术 实验报告
20155231 20155234 信息安全技术 实验四 木马及远程控制技术 实验报告 姓名: 邵煜楠 学号: 20155231 日期: 2017.11.21 姓名: 昝昕明 学号: 20155234 ...
- 20155209 20155230 《信息安全技术》实验四 木马及远程控制技术
索引: 实验目的 实验内容 实验步骤 思考题 实验体会 一. 实验目的 1. 剖析网页木马的工作原理 2. 理解木马的植入过程 3. 学会编写简单的网页木马脚本 4. 通过分析监控信息实现手动删除木马 ...
- 2017-2018-2 20155228 《网络对抗技术》 实验四:恶意代码分析
2017-2018-2 20155228 <网络对抗技术> 实验四:恶意代码分析 1. 实践内容 1.1 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部 ...
- 实验四 恶意代码技术
学 号201421460014 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学 ...
- 实验四 恶意代码技术
实验报告 四 学 号 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 ...
- 实验四 恶意代码
中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 冷其航 年级 14级 区队 ...
- 网络对抗技术—-网络对抗实验四
学 号:201421430008 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 ...
- 20145231熊梓宏 《网络对抗》 实验四 恶意代码分析
20145231熊梓宏 <网络对抗> 实验四 恶意代码分析 基础问题回答 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操 ...
- 实验四恶意代码分析技术 201421430029
学 号:201421430029 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 ...
- 网络对抗技术 实验四
学号:201521430027 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓 ...
最新文章
- Java 2程序设计,Java2程序设计
- 二十五、求单点的最短路径
- Redis缓存穿透、缓存击穿和缓存雪崩
- Hibernate 二级缓存
- sql 2005分区表
- 其他一些单元测试技巧
- Linux 两台服务器之间传输文件和文件夹
- 硕、博、 博后招生 | 加拿大卡尔加里大学智能空间信息实验室
- ArrayList源码阅读
- python中函数包括标准库函数吗_Python标准库:内置函数divmod(a, b)
- 杨强教授领衔力作,《迁移学习》最新出炉,解决AI“最后一公里”问题 | 赠书...
- 浏览器同源策略及跨域的解决方法
- 安全专家:70GB财务数据被僵尸网络盗窃
- 用C语言编写贪吃蛇小游戏
- 尚硅谷李玉婷老师mysql课程--数据库和SQL概述
- smtp邮件服务器的作用,smtp服务器是什么意思(smtp服务器作用及使用指南)
- java list转map_List转Map的三种方法
- 塑料管检测内容有那些
- 注册微信公众号需要哪些材料?
- dp专题 神奇的口袋