目录

  • 0x01环境配置
    • 1. 关闭防火墙
    • 2. 冰河木马下载解压
    • 3. 攻击者主机(Win7)打开g_client.exe
    • 4. 受害者主机(WinXP)打开g_server.exe
    • 5. 攻击者进行连接受害者主机
  • 0x02 远程控制
    • 1. 远程桌面控制
    • 2. 冰河信使进行通信
    • 3. 攻击者创建新建文件夹
  • 0x03 卸载冰河木马
    • 1. 远程自动卸载冰河木马
    • 2. 手动卸载冰河木马

0x01环境配置

攻击者主机:Win7 (192.168.30.221)
受害者主机:winXP(192.168.30.134)

1. 关闭防火墙

两台主机均关闭防火墙


2. 冰河木马下载解压

冰河木马下载链接

  1. 可以先下载到Win7主机,双击安装

自定义安装(要记住自定义安装的文件夹)

选择安装路径

一键安装

2. 打开所选择安装的文件夹,进行解压

双击提取出来(类似解压)

提取密码为:www.downcc.com

3. 攻击者主机(Win7)打开g_client.exe

  1. 打开解压后的文件夹

  2. 双击打开

  3. 打开后的应用面板

4. 受害者主机(WinXP)打开g_server.exe

  1. 将g_server.exe放到受害者主机(可以先复制到物理机再从物理机复制到受害机),双击运行
  2. 查看进程
netstat -an


出现7626端口则表示木马运行成功,此时也会出现Kernel32进程

  1. 查看受害者主机的ip为:192.168.30.134

5. 攻击者进行连接受害者主机

  1. 扫描可连接主机

  2. 从结果可以看出扫描出一台设备(WinXP主机)

  3. 拿下WinXP主机,可以进行查看文件信息

0x02 远程控制

1. 远程桌面控制



2. 冰河信使进行通信


3. 攻击者创建新建文件夹



在受害者主机可以看到创建成功

0x03 卸载冰河木马

1. 远程自动卸载冰河木马

再次查看端口与进程,发现7626端口关闭,进程Kernel32.exe已经关闭

2. 手动卸载冰河木马

四步骤:

  1. 还原自启动注册表
    冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run下扎根,键值为C:/windows/system/Kernel32.exe,用于设置开机自启,找到并删除。

1)受害者主机打开注册表

2)进入HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run,找到键值为C:/windows/system/Kernel32.exe,找到并删除。

  1. 还原txt文件的注册表信息。冰河通过修改txt文件注册表信息的键值对,使得sysexplr.exe和txt文件关联,当编辑txt文件时,就会再次激活冰河,找到该键值对并还原为notepad。
    在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认这一项,右键修改!注意是修改不是删除!!!将他的值改为:C:\WINDOWS\notepad.exe %1。

1)进入注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command


2)选中,将值修改为C:\WINDOWS\notepad.exe %1

  1. 结束冰河的核心进程Kernel32.exe

  1. 删除系统目录下的Kernel32.exe和sysexplr.exe文件。文件位置为:windows/system32。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。找到并删除

1)删除Kernel32.exe

2)删除sysexplr.exe

查看端口发现7626端口已经关闭,成功卸载冰河木马

实验四 木马的远程控制和清除相关推荐

  1. 20155231 20155234 信息安全技术 实验四 木马及远程控制技术 实验报告

    20155231 20155234 信息安全技术 实验四 木马及远程控制技术 实验报告 姓名: 邵煜楠 学号: 20155231 日期: 2017.11.21 姓名: 昝昕明 学号: 20155234 ...

  2. 20155209 20155230 《信息安全技术》实验四 木马及远程控制技术

    索引: 实验目的 实验内容 实验步骤 思考题 实验体会 一. 实验目的 1. 剖析网页木马的工作原理 2. 理解木马的植入过程 3. 学会编写简单的网页木马脚本 4. 通过分析监控信息实现手动删除木马 ...

  3. 2017-2018-2 20155228 《网络对抗技术》 实验四:恶意代码分析

    2017-2018-2 20155228 <网络对抗技术> 实验四:恶意代码分析 1. 实践内容 1.1 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部 ...

  4. 实验四 恶意代码技术

    学   号201421460014 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告   实验四 恶意代码技术     学 ...

  5. 实验四 恶意代码技术

    实验报告 四 学   号   中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告   实验四 恶意代码技术     学生姓名 ...

  6. 实验四 恶意代码

    中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告   实验四 恶意代码技术     学生姓名 冷其航 年级 14级 区队 ...

  7. 网络对抗技术—-网络对抗实验四

    学   号:201421430008   中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告   实验四 恶意代码技术   ...

  8. 20145231熊梓宏 《网络对抗》 实验四 恶意代码分析

    20145231熊梓宏 <网络对抗> 实验四 恶意代码分析 基础问题回答 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操 ...

  9. 实验四恶意代码分析技术 201421430029

    学   号:201421430029   中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告   实验四 恶意代码技术   ...

  10. 网络对抗技术 实验四

    学号:201521430027 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告   实验四 恶意代码技术     学生姓 ...

最新文章

  1. 在新建好的ROS空间里面添加功能包
  2. 如何让VsCode自动格式化代码?
  3. web前端前景近几年怎么样,是否饱和?
  4. 计算机视觉(三)——人脸识别
  5. 基于多搜索引擎和深度学习技术的自动问答
  6. 禁止ViewPager滑动
  7. 几步看懂晶闸管的结构和工作原理
  8. 使用NVivo完善定性编码的艺术
  9. typora快捷键使用
  10. 雨听 | 英语学习笔记(三)~作文范文:90后的网络生活
  11. Pytorch 模型 查看网络参数的梯度以及参数更新是否正确,优化器学习率设置固定的学习率,分层设置学习率
  12. 前端RSA加密,加密字符串过长,提示“Message too long for RSA”问题
  13. ssm实战(1)------数据库表结构
  14. ChinaGrid要建8朵“云”
  15. IT从业者的学习规划——学习者系列文章开篇
  16. 【数据库系统工程师】6.4数据仓库和数据挖掘基础知识
  17. 2023.4.14.吉林长春.晴朗
  18. linux终端同步文件目录,文件和目录比较工具?
  19. thegraph subgraph 踩坑之入门青铜
  20. 知识蒸馏相关技术【模型蒸馏、数据蒸馏】以ERNIE-Tiny为例

热门文章

  1. win7便签损坏怎么彻底修复好
  2. 阻抗计算公式、polar si9000(教程)
  3. Polar Si9000如何选择模型计算射频线宽?
  4. PuttyPsftp命令行实现自动登录
  5. 2016年移动广告聚合平台浅析
  6. 基于ObjectArx进行cad二次开发总结
  7. Linux系统面试常问问题,Linux面试常见问题集锦
  8. 软件工程 -- 开发模型
  9. Java飞机大战项目实战
  10. java过滤器Filter实现敏感词汇过滤