实验八报告(木马病毒2冰河木马)解析.pdfVIP

计算机病毒

实验报告

姓名：

学号:

老师：

一、实验目的

学会使用冰河软件控制远端服务器，执行后门攻击。了解木马的危害和攻击

手段，为将来的防御和系统评估带来更高的认知度。

二、实验内容

在实验环境下，完成冰河病毒体验实验。

三、实验环境

硬件设备

1)小组PC（WIN2003系统）一台，用于远程控制

2)防火墙一台

3)机架服务器（WIN2003系统）一台，用于使其受控

软件工具

1)冰河软件（程序包，含客户端、服务端）用于实现控制

2)WireShark

我所使用的PC终端IP地址是：192.168._1__._2_

被分配的Windows2003服务器对象地址是：192.168.1.251

本实验可单人或两人合作完成，从PC终端发起控制指令，使埋在服务器上

的木马程序运行并连接到PC终端控制台上，完成整个实验过程。并通过该远程

控制程序研究如果引诱放置并执行该受控程序，同时也须研究如何防御封堵此类

危险的远程控制行为。

四、实验步骤

本实验由我和同学利用两台主机合作完成。

Step1：获取被控制主机的IP。

将G_server.exe程序放置一台主机(被控制的主机，即IP为192.168.1.1

的主机)上并运行之。

在C盘中建立222.txt文件。

Step2：在终端PC上，打开控制端程序：G_CLIENT.EXE。在冰河主窗口下，

选择扫描图标。

Step3：在起始域中选择192.168.1，在起始地址为1，终止地址为50，单

击开始。

Step4：扫描成功，单击关闭。在G_CLIENT中打开一添加的计算机。

或在G_CLIENT中直接添加计算机。

添加成功，可以看到被控制主机中的所有文件。

可以看到被控制主机中在C盘建立的222.txt文件。复制到桌面。

打开查看内容。

Step5:点击冰河主界面空白部分，选择上传文件自，将一恶意网页病毒文件

上传至被控制主机的C盘。

被控制端可以看到C盘中多了1.html文件。

在控制端选择1.html文件，远程打开。方式选择正常打开方式即可。

文件打开成功，在被控制主机上可以看到恶意网页病毒运行现象。

多个360网页被打开。

在任务管理器关闭恶意打开的网页。

再在控制主机上传一恶意网页病毒(黑白变换)文件2.html至被控制主

机。

上传成功后，选择远程打开。

Step7：在桌面上新建文本文档text.txt。进入编辑。

：在文档的第一行输入netusersunshinesunshine/add新增用户

sunshine，密码

为sunshine。同时在第二行输入netlocalgroupadministrators，将账户

权限提升为管理员。

Step9：修改文本文档的扩展名为bat，便于远程执行。

Step10：在冰河主界面空白处，单击右键。出现菜单后选择文件上传自。选

择刚刚建立的BAT文件：test.bat。单击打开。

Step11：上传成功后，右击图标，选择远程打开。

Step12：验证：远程登录到受控服务器是否已经成功新建账户sunshine。

则在服务器上打开CMD命令行。继续回到控制端终端PC，让打开控制端对应的

DOS窗口。输入如下的命令：netuseusesunshine/user:sunshine。

打开被控制端的共享。