实验四 木马的远程控制和清除
目录
- 0x01环境配置
- 1. 关闭防火墙
- 2. 冰河木马下载解压
- 3. 攻击者主机(Win7)打开g_client.exe
- 4. 受害者主机(WinXP)打开g_server.exe
- 5. 攻击者进行连接受害者主机
- 0x02 远程控制
- 1. 远程桌面控制
- 2. 冰河信使进行通信
- 3. 攻击者创建新建文件夹
- 0x03 卸载冰河木马
- 1. 远程自动卸载冰河木马
- 2. 手动卸载冰河木马
0x01环境配置
攻击者主机:Win7 (192.168.30.221)
受害者主机:winXP(192.168.30.134)
1. 关闭防火墙
两台主机均关闭防火墙
2. 冰河木马下载解压
冰河木马下载链接
- 可以先下载到Win7主机,双击安装
自定义安装(要记住自定义安装的文件夹)
选择安装路径
一键安装
2. 打开所选择安装的文件夹,进行解压
双击提取出来(类似解压)
提取密码为:www.downcc.com
3. 攻击者主机(Win7)打开g_client.exe
打开解压后的文件夹
双击打开
打开后的应用面板
4. 受害者主机(WinXP)打开g_server.exe
- 将g_server.exe放到受害者主机(可以先复制到物理机再从物理机复制到受害机),双击运行
- 查看进程
netstat -an
出现7626端口则表示木马运行成功,此时也会出现Kernel32进程
- 查看受害者主机的ip为:192.168.30.134
5. 攻击者进行连接受害者主机
扫描可连接主机
从结果可以看出扫描出一台设备(WinXP主机)
拿下WinXP主机,可以进行查看文件信息
0x02 远程控制
1. 远程桌面控制
2. 冰河信使进行通信
3. 攻击者创建新建文件夹
在受害者主机可以看到创建成功
0x03 卸载冰河木马
1. 远程自动卸载冰河木马
再次查看端口与进程,发现7626端口关闭,进程Kernel32.exe已经关闭
2. 手动卸载冰河木马
四步骤:
- 还原自启动注册表
冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run下扎根,键值为C:/windows/system/Kernel32.exe,用于设置开机自启,找到并删除。
1)受害者主机打开注册表
2)进入HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run,找到键值为C:/windows/system/Kernel32.exe,找到并删除。
- 还原txt文件的注册表信息。冰河通过修改txt文件注册表信息的键值对,使得sysexplr.exe和txt文件关联,当编辑txt文件时,就会再次激活冰河,找到该键值对并还原为notepad。
在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认这一项,右键修改!注意是修改不是删除!!!将他的值改为:C:\WINDOWS\notepad.exe %1。
1)进入注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command
2)选中,将值修改为C:\WINDOWS\notepad.exe %1
- 结束冰河的核心进程Kernel32.exe
- 删除系统目录下的Kernel32.exe和sysexplr.exe文件。文件位置为:windows/system32。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。找到并删除
1)删除Kernel32.exe
2)删除sysexplr.exe
查看端口发现7626端口已经关闭,成功卸载冰河木马
实验四 木马的远程控制和清除相关推荐
- 20155231 20155234 信息安全技术 实验四 木马及远程控制技术 实验报告
20155231 20155234 信息安全技术 实验四 木马及远程控制技术 实验报告 姓名: 邵煜楠 学号: 20155231 日期: 2017.11.21 姓名: 昝昕明 学号: 20155234 ...
- 20155209 20155230 《信息安全技术》实验四 木马及远程控制技术
索引: 实验目的 实验内容 实验步骤 思考题 实验体会 一. 实验目的 1. 剖析网页木马的工作原理 2. 理解木马的植入过程 3. 学会编写简单的网页木马脚本 4. 通过分析监控信息实现手动删除木马 ...
- 2017-2018-2 20155228 《网络对抗技术》 实验四:恶意代码分析
2017-2018-2 20155228 <网络对抗技术> 实验四:恶意代码分析 1. 实践内容 1.1 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部 ...
- 实验四 恶意代码技术
学 号201421460014 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学 ...
- 实验四 恶意代码技术
实验报告 四 学 号 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 ...
- 实验四 恶意代码
中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 冷其航 年级 14级 区队 ...
- 网络对抗技术—-网络对抗实验四
学 号:201421430008 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 ...
- 20145231熊梓宏 《网络对抗》 实验四 恶意代码分析
20145231熊梓宏 <网络对抗> 实验四 恶意代码分析 基础问题回答 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操 ...
- 实验四恶意代码分析技术 201421430029
学 号:201421430029 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 ...
- 网络对抗技术 实验四
学号:201521430027 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓 ...
最新文章
- cheatengine找不到数值_找商网:百度爱采购与其他B2B平台有何不同,为何能够后来居上?...
- HDU 2602 Bone Collector DP(01背包)
- Android与服务进程内通信
- 诺基亚计划推出高档触摸屏手机以对抗iPhone
- sqlserver查询语法
- nRF24L01模块——基于Arduino
- QQ2005BIII网吧版修改方法(转)
- 怎样使用BAT脚本实现自动按键盘的某个键
- Unity ToLua 使用教程
- Mysql第一天笔记02——安装Navicat
- 硬件和软件的32位与64位区别
- Fastlane(一):用法
- 易捷行云亮相北京卫视,战略性新兴产业引发持续关注
- 每天学习写论文——Day24 光说不练假把式,毕设就是第一步
- 结构体所占字节数的计算
- 进一步认识Deepchem的分子特征化: 将化学分子结构作为到随机森林\CNN\RNN\GNN等机器学习模型输入的三种方法
- 回答华为公司面试题一头牛重800公斤一座桥承重700公斤问牛怎么过桥?
- 医院计算机系统日常维护记录表,医院计算机信息管理系统维护措施
- Android源码编译流程及所需的编译环境
- AIPNet: Image-to-Image Single Image Dehazing with Atmospheric Illumination Prior
热门文章
- 计算机-计算机发展史
- java在线购物B2C商城源码 单用户商城源码(支持H5+APP+小程序)
- windows7/windows10 虚拟显示器部署(Virtual monitor)
- eclipse字体大小设置
- 西宁公交调度员招聘计算机题库,调度员考试题库.doc
- 蓝桥杯真题(python)+B组真题+解题链接
- WPF框架下,窗体的嵌套显示
- 李宏毅机器学习Homework1(代码简洁版)
- 三星g9500Android9.0,三星G9550/9500刷机包 V9.0 国行港行通刷 极光设置功能微调 完美ROOT权限 稳定流畅省电...
- 消息模板取数据的高阶使用说明