2024年4月1日发(作者:)
任务十 木马演示
一、实验目的:
通过模拟演示木马程序,加深对恶意代码工作过程的理解,掌握恶意代码防范方法及清
除方法。
二、实验环境:
两台预装WindowsXP的主机,通过网络互连
软件工具:冰河木马或灰鸽子木马
三、实验要求:
1. 实训要求:使用冰河对远程计算机进行控制
2. 实训步骤:
(1) 配置服务器程序:冰河的客户端程序为,在冰河的控制端可以对服务器端
进行配置,如图1所示:
图1
冰河的安装路径、文件名、监听端口为:
冰河在注册表设置的自我保护的内容,就是我们查杀时所要寻找的内容,配置完后生成服务
器端程序为。服务器端一旦运行,该程序就会按照前面的设置在
C:WINNTsystem32下生成和,并删除自身。在系统
启动时自动加载运行,在注册表中和TXT文件关联,如图2所示:
图2
(2) 传播木马:通过邮件、QQ等方式传播该木马服务器程序,并诱惑被攻击者运行改
程序。
(3) 客户端(控制端)操作:冰河的客户端界面如图3所示,冰河的功能是:自动跟踪
目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操
作、注册表操作、发送信息等
图3
(4) 冰河木马的防御:中了该木马后,该计算机会主动打开端口等待控制端来连接。这
样很容易被人发现,而安装了防火墙的计算机会阻止该计算机主动对外的连接。所
以安装防火墙是对传统木马的有效防御。
(5) 冰河木马的手工清除方法:
A、 删除C:WINNTsystem下的和文件
B、 删除注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrent versionRun
下键值为C:
C、 删除注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrent versionRun
下键值为C:
D、 修改注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值,将中木马
后的C:%1改为正常的C:%1即可恢复
TXT文件关联功能。
3.编写总结报告
发布评论