实验四木马的远程控制和清除

0x01环境配置
- 1. 关闭防火墙
- 2. 冰河木马下载解压
- 3. 攻击者主机（Win7）打开g_client.exe
- 4. 受害者主机（WinXP）打开g_server.exe
- 5. 攻击者进行连接受害者主机
0x02 远程控制
- 1. 远程桌面控制
- 2. 冰河信使进行通信
- 3. 攻击者创建新建文件夹
0x03 卸载冰河木马
- 1. 远程自动卸载冰河木马
- 2. 手动卸载冰河木马

0x01环境配置

攻击者主机：Win7 （192.168.30.221）
受害者主机：winXP（192.168.30.134）

1. 关闭防火墙

两台主机均关闭防火墙

2. 冰河木马下载解压

冰河木马下载链接

可以先下载到Win7主机，双击安装

自定义安装（要记住自定义安装的文件夹）

选择安装路径

一键安装

2. 打开所选择安装的文件夹，进行解压

双击提取出来（类似解压）

提取密码为：www.downcc.com

3. 攻击者主机（Win7）打开g_client.exe

打开解压后的文件夹
双击打开
打开后的应用面板

4. 受害者主机（WinXP）打开g_server.exe

将g_server.exe放到受害者主机（可以先复制到物理机再从物理机复制到受害机），双击运行
查看进程

netstat -an

出现7626端口则表示木马运行成功，此时也会出现Kernel32进程

查看受害者主机的ip为：192.168.30.134

5. 攻击者进行连接受害者主机

扫描可连接主机
从结果可以看出扫描出一台设备（WinXP主机）
拿下WinXP主机，可以进行查看文件信息

0x02 远程控制

1. 远程桌面控制

2. 冰河信使进行通信

3. 攻击者创建新建文件夹

在受害者主机可以看到创建成功

0x03 卸载冰河木马

1. 远程自动卸载冰河木马

再次查看端口与进程，发现7626端口关闭，进程Kernel32.exe已经关闭

2. 手动卸载冰河木马

四步骤：

还原自启动注册表
冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run下扎根，键值为C:/windows/system/Kernel32.exe，用于设置开机自启，找到并删除。

1）受害者主机打开注册表

2）进入HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run，找到键值为C:/windows/system/Kernel32.exe，找到并删除。

还原txt文件的注册表信息。冰河通过修改txt文件注册表信息的键值对，使得sysexplr.exe和txt文件关联，当编辑txt文件时，就会再次激活冰河，找到该键值对并还原为notepad。
在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认这一项，右键修改！注意是修改不是删除！！！将他的值改为：C:\WINDOWS\notepad.exe %1。

1）进入注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command

2）选中，将值修改为C:\WINDOWS\notepad.exe %1

结束冰河的核心进程Kernel32.exe

删除系统目录下的Kernel32.exe和sysexplr.exe文件。文件位置为：windows/system32。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。找到并删除

1）删除Kernel32.exe

2）删除sysexplr.exe

查看端口发现7626端口已经关闭，成功卸载冰河木马