冰河木马分析

分析一个恶意代码样本：冰河木马分析

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

1.程序实现:

在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其

中,G_Server和G_Client均为Winsock控件):

（1）服务端:

G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)

G_Server.Listen(等待连接)

（2）客户端:

G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)

G_Client.RemotePort=7626

(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)

G_Client.Connect (调用Winsock控件的连接方法)

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

如果客户断开连接,则关闭连接并重新监听端口

Private Sub G_Server_Close()

G_Server.Close (关闭连接)

G_Server.Listen (再次监听)

End Sub

其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令...... （3）控制

对冰河的主要功能进行简单的概述,主要是使用Windows API函数

1.远程监控(控制对方鼠标、键盘，并监视对方屏幕)

keybd_event 模拟一个键盘动作

mouse_event 模拟一次鼠标事件

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下

MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下

dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标

2.记录各种口令

3.获取系统信息

a.取得计算机名GetComputerName

b.更改计算机名SetComputerName

c.当前用户GetUserName函数

d.系统路径

Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象)

Set SystemDir = FileSystem0bject.getspecialfolder(1)

(取系统目录)

Set SystemDir = FileSystem0bject.getspecialfolder(0)

(取Windows安装目录)

e.取得系统版本GetVersionEx

f.当前显示分辨率

Width = screen.Width \ screen.TwipsPerPixelX

Height= screen.Height \ screen.TwipsPerPixelY

4.限制系统功能

a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:

ExitWindowsEx(ByVal uFlags,0)

当uFlags=0 EWX_LOGOFF 中止进程，然后注销

当uFlags=1 EWX_SHUTDOWN 关掉系统电源

当uFlags=2 EWX_REBOOT 重新引导系统

当uFlags=4 EWX_FORCE 强迫中止没有响应的进程

b.锁定鼠标

ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以

注:RECT是一个矩形,定义如下:

Type RECT

Left As Long

Top As Long

Right As Long

Bottom As Long

End Type

c.锁定系统,搞个死循环吧,比如设备漏洞或者耗尽资源

d.让对方掉线RasHangUp......

e.终止进程ExitProcess......

f.关闭窗口利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口

5.远程文件操作

FileSystemObject对象来实现

6.注册表操作

在VB中只要Set RegEdit=CreateObject（"WScript.Shell")

就可以使用以下的注册表功能:

删除键值:RegEdit.RegDelete RegKey

增加键值:RegEdit.Write RegKey,RegValue

获取键值:RegEdit.RegRead (Value)

记住,注册表的键值要写全路径,否则会出错的。

7.发送信息

只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现

（四）潜行

木马并不是合法的网络服务程序，因此，它必须想尽一切办法隐藏自己，好在，Windows 是一个捉迷藏的大森林!

1、在任务栏中隐藏自己：

在VB中，只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。

2、在任务管理器中隐形：

在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程在VB中如下的代码可以实现这一功能：

Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long

Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long

(以上为声明)

Private Sub Form_Load()

RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)

End Sub

Private Sub Form_Unload()

RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)

End Sub

3、如何悄没声息地启动：

Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\

Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了

\kernl32.exe(是系统目录),

2.冰河木马的总体分析：

注册表特征：

进程特征：

开启端口：

3.程序实现及其分析

冰河木马共有两个应用程序，服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。

（1）配置客户机端程序：

在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序

（2）在服务器配置对话框中对待配置文件进行设置

（3）主控端计算机程序中添加受控端计算机

（4）在虚拟机上运行“冰河”的服务器端，双击server.exe。现在木马就已经驻留在我们的系统中了。这时在屏幕的左上角有一个窗口，该窗口中的图像即受控端计算机的屏幕

（5）然后在虚拟机上运行“冰河”的服务器端，双击server.exe。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。

1进程检测：

从Procexp软件可以明显的看到，有一个KERNEL32.EXE进程

2.文件检测

用Filemon监测到，样本先在c:\Windows\system32 目录创建了一个KERNEL32.EXE文件，并往其中写入了大量与自身运行有关的数据。

可见木马在system32下生成了两个新文件.生成的文件信息如下,

New files

kernel32.exe 、sysexplr.exe、

生成的文件分别为kernel32.exe，sysexplr.exe，同时修改了文件的日期，从而达到隐藏的目的。

3.注册表检测

把KERNEL32.EXE注册成了服务。并把KERNEL32.EXE注册为开机启动。HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(DefaultSUCCESS "C:\WINDOWS\system32\KERNEL32.EXE"修改了28项，新增了42项。

另外，木马还修改了.TXT文件的关联，sysexplr.exe和TXT文件关联。即使删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\@

Value: String: "C:\WINDOWS\system32\Kernel32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\@ Value: String: "C:\WINDOWS\system32\Kernel32.exe"

在以上键值里加入木马的生成文件，从而达到开机自动运行的效果。

4系统通信端口监控

7626 0.0.0.0:0 LISTENING 1792 C:\WINDOWS\system32\Kernel32.exe可见其监听端口为7626。

6.行为分析

木马服务端server.exe。引入的函数.里面引用了大量的注册表操作函数同时引用了winsock32.dll用来建立网络连接。

首先判断被感染对像机器的系统版本，用GetVersionEx得到系统版本，然后根据各个版本得到系统目录，计算机名，桌面宽度，当前用户之类的信息。释放病毒文件，并修改文件的属性和时间。属性被设为只读和存档。接着修改注册表，用RegOpenKeyEx打开注册表的键，然后用RegSetValue设置相关信息，如启动项之类，最后RegCloseKey关闭句柄.下面建立网络连接,用WSAAsyncSelect创建一个异步事件，然后创建socket连接，用bind绑定，端口7626就是在这里设置的。

网络安全实验报告-冰河木马实验

网络安全实验报告 冰河木马实验 网络10-2班 XXX 08103635 一、实验目的 通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。 二、实验内容 1、在计算机A上运行冰河木马客户端，学习其常用功能； 2、在局域网内另一台计算机B上种入冰河木马（服务器），用 计算机A控制计算机B； 3、打开杀毒软件查杀冰河木马； 4、再次在B上种入冰河木马，并手动删除冰河木马，修改注 册表和文件关联。 三、实验准备 1、在两台计算机上关闭杀毒软件； 2、下载冰河木马软件； 3、阅读冰河木马的关联文件。 四、实验要求 1、合理使用冰河木马，禁止恶意入侵他人电脑和网络； 2、了解冰河木马的主要功能； 3、记录实验步骤、实验现象、实验过程中出现的意外情况及

解决方法； 4、总结手动删除冰河木马的过程。 五、实验过程 作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。鉴于此，我们就选用冰河完成本次实验。 若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。 冰河控制工具中有三个文件：，，以及。 简单介绍冰河的使用。是监控端执行程序，可以用于监控远程计算机和配置服务器。是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。运行后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件（）的计算机可以对感染机进行远程控制。 冰河木马的使用： 1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。 2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。 6、注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

灰鸽子实验报告

实 验 报 告 实验名称灰鸽子木马实验报告 课程名称网络安全 院系部:信息技术系专业班级：网络101 学生姓名：学号:20100901099

一、实验目的及要求： [目的] 1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。 [内容及要求] 1、练习软件的哪些功能，自己总结 2、通过实验了解灰鸽子是一款的远程控制软件。 3、熟悉使用木马进行网络攻击的原理和方法。 [试验环境] 虚拟机下安装组建一个局域网，2台安装了win2000/win2003/XP系统的电脑，灰鸽子木马软件。 二、实验方法与步骤: （1）打开虚拟机，开启windows server 2003 A 与 windows server 2003 B ，将其网络设备器设置在同一局域网内（例vmnet2）

（2）打开灰鸽子，并查看本机IP地址： （3）点击配置服务程序，新建一个木马病毒：

密码可设置也可不设置 （3）将生产的木马病毒设法放入目标主机，并使其运行： （原始木马样子） （4）目标主机运行后，本机灰鸽子显示其登录： 我们可对目标及进行，下载上传等基本运行 （5）还可以进行更深层次的控制，例如屏幕捕捉与控制，广播，关机开机，注册表的编辑等（看红框标识处）：

(6)灰鸽子木马的伪装，木马捆绑器： 现今社会杀毒软件的辨识度已然很高，而人们的警惕度也越来越 高，木马若想成功的被目标主机运行，必然要做一定的伪装

生成一个可执行文件，虽然风险乜很高，但不失为一种方法！ （6）木马分离器： 三、使用心得 （1）熟悉灰鸽子之后，我们了解了木马的强大以及危害之处，如何防范木马，是当今信息社会的一种不可不重视的问题。 计算机病毒泛滥尤以木马病毒为甚。木马病毒是一种远程控制程 序，“黑客”利用计算机系统和软件的漏洞将一段程序植入远端电脑后，可以借助其配套的控制程序来远程控制中毒

冰河木马的入侵

甘肃政法学院 本科学生实验报告 实验课程：安全扫描技术 实验名称：冰河木马的入侵和防御 计算机科学学院计算机科学与技术专业 09 级计算科学与技术本科班 学号：_ 姓名：_____ __ 指导教师：____李启南_ 成绩：_____________ 完成时间：2011年9月21日

一、实验名称 冰河木马的入侵和防御 二、实验目的 通过使用并和木马软件在局域网中扫描发现网络中有安全漏洞的主机，植入木马程序，控制远程主机。 通过入侵实验理解和账务木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 三、实验内容 安装、卸载、使用冰河木马。 四、实验原理 冰河木马使用c++builder 写的冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。 木马是隐藏在正常程序中的具有特殊功能的恶意代码，它可以自动启动并在某一端口监听来自控制端的控制信息。 一般木马都采用C/S运行模式，即分为两部分：客户端和服务端木马程序。当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端秘密提出连接请求，获取服务器端的相关信息。 五、实验平台 冰河ROSE 版。 两台装有Windows 2000/XP/7系统的计算机，机房局域网。 六、实验步骤 1、在服务器端计算机上运行冰河服务器程序G_Server.exe。 2. 连接登陆远程主机。 在另一台计算机上打开冰河木马程序客户端，如图1所示。 图1 冰河木马程序客户端 选择“文件—>搜索计算机”，如图2所示设置起始域，起始地址和终止地址，

“冰 河” [NEWFUN 专版] 使 用 说 明

版本：GLACIERXP-VER08-40-0628-BETA1 ICETEAM 倾情制作，请合法使用，谢谢！ “冰河”[NEWFUN 专版] 使用说明 软件功能概述: 该软件主要用于远程监控，具体功能包括: 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同 步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)； 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝 大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自 行扩充，2.0以上版本还同时提供了击键记录功能； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作 系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统 热键及锁定注册表等多项功能限制； 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件 压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正 常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写 等所有注册表操作功能； 7．发送信息：以四种常用图标向被控端发送简短信息； 8．点对点通讯：以聊天室形式同被控端进行在线交谈。 本次改版主要是修正了以往各版中的已知问题(如'屏幕控制'和'邮件通知' 中的一些BUG)，并增加了一些小功能，该版本在Windows 9X/NT下测试正常，且与2.0以后版本完全兼容。 一.文件列表: 1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装，可任意改 名)，在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特 殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)；

冰河木马 病毒 入侵与防范 详细实验报告 图文教程

目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)

简介 冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。 在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。目的：远程访问、控制。选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT 文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。 一、基础篇（揭开木马的神秘面纱） 无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。那么，就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机， G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!）

木马攻防感想

木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一，它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类，针对常见的木马攻击方式提出了一些防范措施。 木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友，木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。 【关键词】：木马程序、攻击手段、防范技术、木马的危害

一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中，古罗马人利用一只巨大的木马，麻痹敌人，赢得了战役的胜利，成为一段历史佳话。而在当今的网络世界里，也有这样一种被称做木马的程序，它为自己带上伪装的面具，悄悄地潜入用户的系统，进行着不可告人的行动。 有关木马的定义有很多种，作者认为，木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。 木马程序一般由两部分组成的，分别是Server（服务）端程序和Client（客户）端程序。其中Server 端程序安装在被控制计算机上，Client端程序安装在控制计算机上，Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先，服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序，服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计，目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制，在不同的环境下运行，发挥着不同的作用，但是它们有着许多共同的特征。 （1）隐蔽性

网络攻防原理与技术实验第6章

第6章特洛伊木马 6.7 实验 6.7.1 远程控制型木马的使用 1. 实验目的 熟悉利用远程控制型木马进行网络入侵的基本步骤，分析冰河木马的工作原理，掌握常见木马的清除方法，学会使用冰河陷阱。 2. 实验内容与要求 (1) 实验按2人一组方式组织，各自实验主机作为对方的控制目标。 (1) 使用冰河客户端G_Client.exe对冰河服务器程序G_Server.exe进行配置，然后感染局域网中的某台主机。 (3) 在感染冰河木马的主机上进行检查，判断对木马的配置是否生效；主要检查项包括：木马的监听端口是否为所设置的端口；木马的安装路径是否为所设置的路径；木马进程在进程列表中所显示的名称是否与设置相符；如果为木马设置了访问口令，是否必须通过设定的口令才能够对木马实施远程控制。 (4) 在感染主机上验证冰河的文件关联功能，将木马主程序删除，打开关联的文件类型，查看木马主程序是否会被恢复。 (5) 使用冰河客户端对感染冰河的主机实施远程控制，在感染主机上执行限制系统功能（如远程关机、远程重启计算机、锁定鼠标、锁定系统热键、锁定注册表等）、远程文件操作（创建、上传、下载、复制、删除文件或目录）以及注册表操作（对主键的浏览、增删、复制、重命名和对键值的读写操作等）。 (6)采用手工方法删除冰河木马，主要步骤包括：①检查系统文件，删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。②如果冰河木马启用开机自启动，那么会在注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Run中扎根。检查该注册表项，如果服务器程序的名称为KERNEL32.EXE，则存在键值C:/windows/system/Kernel32.exe，删除该键值。③检查注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices，如果存在键值C:/windows/system/Kernel32.exe的，也要删除。④如果木马设置了与文件相关联，例如与文本文件相关联，需要修改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command 下的默认值，由感染木马后的值：C: /windows/system/Sysexplr.exe %1改为正常情况下的值：C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。完成以上步骤后，依据端口和进程判断木马是否清除。 (7) 使用冰河陷阱清除冰河木马，在此基础上，利用冰河陷阱的伪装功能来诱捕入侵者。运行冰河陷阱后，使主机系统完全模拟真正的冰河服务器程序对攻击者的控制命令进行响应，使攻击者认为感染机器仍处于他的控制之下，进而观察攻击者在主机上所进行的攻击操作。 3. 实验环境 (1) 实验室环境，所有主机需禁用杀毒软件。 (2) 冰河木马客户端程序G_Client.exe，冰河木马服务器程序G_Server.exe，冰河陷阱。 6.7.2 编程实现键盘记录功能 1. 实验目的 掌握木马的键盘记录功能的编程实现技术。 2. 实验内容与要求 (1) 调试6.2.6节给出的keylogger.py程序。

网络安全实验报告

本科实验课程报告 （2016至2017学年第1学期） 课程名称：网络信息安全 专业名称： 行政班级： 学号： 姓名： 指导教师：赵学民 报告时间：年月日

实验一：分组密码-DES实验 实验地点：实验日期：成绩： 1、实验目的 通过用DES算法对实际的数据进行加密和解密来深刻了解DES的运行原理2、实验要求 编程实现DES密码。 3、实验原理 DES对64(bit)位的明文分组M进行操作，M经过一个初始置换IP置换成m0，将m0明文分成左半部分和右半部分m0=(L0，R0)，各32位长。然后进行16 轮完全相同的运算，这些运算被称为函数f，在运算过程中数据与密匙结合。经过16轮后，左，右半部分合在一起经过一个末置换 DES算法框图 4、实验步骤 1、打开控制台，进入L001001013xp01_1虚拟环境。

2、使用默认用户名administrator，密码：123456登录到windows xp系统。 3.桌面找到Visual C++ 6.0双击打开 4.点击“文件”——“新建” 5.创建一个win32控制台工程，工程名称和位置自定。 6.左侧工作区，选择“FileView”选项卡。

7.右键工程文件名称，选择“添加文件到工程”。可到d:\tools\51elab1007B\des 中找到相关代码（G_des.c，test.cpp，des.h）。 8.根据原理编写程序，并编译运行（依次点击下图左起三个显性按钮进行编译、建立、运行）。 7、依次按要求输入qwqw、wq、回车、qw，对实验进行验证。 5、实验结果及总结

实验二：文件加解密实验 实验地点：实验日期：成绩： 1、实验目的 熟悉用对称加密的方法加密和解密，学会使用工具OpenSSL，熟悉利用RSA非对称密钥对文件进行加密与解密。 2、实验要求 使用工具OpenSSL，熟悉利用RSA非对称密钥对文件进行加密与解密。 3、实验原理 对称加密原理 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。 RSA非对称加解密算法原理。 RSA密码体制描述： （1）.密钥的生成 选择p,q，p,q为两个大的互异素数，计算n=p*q, j(n)=(p-1)(q-1), 选择整数e使gcd(j(n),e)=1,（1

实验1-木马病毒攻防

南昌航空大学实验报告 二〇一三年十一月八日 课程名称：信息安全实验名称：实验1木马攻击与防范 班级：xxx 姓名：xxx 同组人： 指导教师评定：签名： 一、实验目的 通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马，源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1．木马的特性 木马程序为了实现其特殊功能，一般应该具有以下性质： (1)伪装性(2)隐藏性(3)破坏性(4)窃密性 2．木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，攻击者可以利用浏览器的漏洞诱导上网者单击网页，这样浏览器就会自动执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵，获得控制权限，然后在被攻击的服务器上安装并运行木马。3．木马的种类 (1)按照木马的发展历程，可以分为4个阶段：第1代木马是伪装型病毒；第2代木马是网络传播型木马；第3代木马在连接方式上有了改进，利用了端口反弹技术，例如灰鸽子木马；第4代木马在进程隐藏方面做了较大改动，让木马服务器端运行时没有进程，网络操作插入到系统进程或者应用进程中完成，例如广外男生木马。 (2)按照功能分类，木马又可以分为：破坏型木马；密码发送型木马；服务型木马；DOS 攻击型木马；代理型木马；远程控制型木马。 4．木马的工作原理 下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。 (1)木马的传统连接技术；C/S木马原理如图1-1所示。第1代和第2代木马都采用的是C/S连接方式，这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接，当入侵者需要与远程主机连接时，便主动发出连接请求，从而建立连接。 (2)木马的反弹端口技术；随着防火墙技术的发展，它可以有效拦截采用传统连接方式。但防火墙对内部发起的连接请求则认为是正常连接，第3代和第4代“反弹式”木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，如图1-2和图1-3所示。

浅析冰河木马

“冰河”木马的攻击与防范 林楚金班级(YL03) 0930103238 前言 随着网络的日益发展，通过网络攻击的手段也变得复杂多样，有组织，有预谋，有目的的攻击，破坏活动也频繁的发生，攻击点也越来越精确集中，攻击破坏的影响面不断扩大，甚至产生连锁反应，所以，我们必须要构筑一种主动的安全防御，才有可能最大限度地有效应对各种不同的攻击方式。接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。在此之前，先简单的介绍一下什么是特洛伊木马……

目录 一、什么是木马 (3) 二、“冰河”木马的简介 (6) 三、“冰河”木马工作原理 (7) 四、“冰河”木马工作过程或步骤流程 (8) 五、“冰河”木马功能或后果 (17) 六、“冰河”木马防范手段与措施 (18)

什么是木马 1、木马的基础 特洛伊木马(TrojanHorse)简称“木马”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。 在计算机领域中，木马其实就是类恶意程序。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，病毒是一自我复制为明确目的的编写代码，它附着宿主程序，然后试图在计算机之间传播，会对硬件、软件和信息造成破坏。而“木马”不会自我繁殖，也不会刻意的去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被施种者电脑的门户，使施种者可以任意损坏、窃取被施种者的文件，甚至远程控制被施种者的电脑。“木马”与常用的远程控制软件不同，远程控制软件是善意的控制，不具有隐蔽性；“木马”正好相反，它是以“偷窃”为目的的远程控制，具有很强的隐蔽性。 一个完整的“木马”程序包括“服务器”和“控制器”两部分。被施种者的电脑是“服务器”部分，而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使施种者可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 2、木马的特性和功能 木马一般具有以下几个特性： ●伪装性(木马程序善于改头换面) ●潜伏性(等控制端的信号) ●隐蔽性(一般人不易发觉) ●不易删除(深藏于各个系统文件中)

冰河木马实验报告13002724

网络安全课程设计报告 题目：冰河木马 专业物联网工程 学号 13002724 姓名赵鹏 指导教师孟超 日期 2015-10-22

评 分分 细 评分项优秀良好中等差遵守机房规章制度 实验原理分析与设计 课题功能实现情况 设计验收与答辩 课程设计报告书 写 简 短 评 语 教师签名： 年月日评 分 等 级 备 注

一、实验目的 （1）构建一个安装冰河木马服务器端程序的环境，利用客服端对服务器进行入侵或攻击； (2)利用网络安全工具或设备对入侵与攻击进行检测 二、实验要求 键盘记录， 定时把邮件内容成功发送到某邮箱中， 关闭某些防火墙和杀毒软件，开机自动隐藏运行， 开启2233端口取得CMD权限,实现对目标机器的文件操作， 开启3389端口，并替换系统目录下的sethc.exe为cmd.exe， 实现登录不要密码， 添加管理员等功能 三、实验过程 （1）攻击，入侵目标主机首先运行G_Client.exe，扫描主机。查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“10.100.122.1”至“10.100.122.255”网段的计算机，应将“起始域”设为“10.100.122.1”，将“起始地址”和“终止地址”分别设为“1”和“255”然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。选择可以入侵的主机。

（2）击键记录 选择目标主机后，点击命令控制台下击键记录，可以对目标主的键盘使用记录实现监控 （3）并定时把邮件内容成功发送到某邮箱中

（4）关闭防火墙和杀毒软件， （5）开机自动隐藏运行，

冰河木马的使用

入 侵 检 测 试 验 实验名称:_ 冰河木马的使用

1．实验目的 本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法。 2．实验原理 木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是善意的控制，因此通常不具有隐蔽性；木马则完全相反，木马要达到的是偷窃性的远程控制。 它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是服务器部分，而黑客正是利用控制器进入运行了服务器的电脑。运行了木马程序的服务器以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。 3．实验环境 装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端）。 4. 实验步骤 （一）、解压冰河木马，得到两个文件，其中G_Server.exe为服务器端程序，放在被攻击的主机上，g_client.exe为客户端软件，用于操作目标主机：

信息安全实验报告

兰州商学院陇桥学院信息工程系 课程实验报告 课程名称：信息安全技术 班级：2011级信息管理与信息系统班 学号：20110651123 姓名：潘存利 指导教师：于泳海 2014年12 月20日

《信息安全》实验报告（一） 实验名称：______________指导教师：_______完成日期：__________ 专业：_______________班级：_________姓 名： _________ 二、实验内容： 1、编程实现凯撒密码的加密和解密。 要求：既可以进行加密转换，也可以进行 解密转换。程序参考界面如右所示。可以使用任 何编程工具，能处理英文即可。 2、（选做）编程实现维吉尼亚密码的加密 和解密。 要求：既可以进行加密转换，也可以进行 解密转换。程序参考界面如右所示。可以使用任 何编程工具，能处理英文即可。 三、程序设计说明：(实现步骤、算法设计思路、 流程 图等) 1.实现步骤 （1）首先建立相应的界面做好准备工作，如下图所示 （2）首先在加密按钮下添加相应的代码 private void button1_Click(object sender, EventArgs e) { string 明文字母表="abcdefghijklmnopqrstuvwxyz"; string 密文字母表 = "defghijklmnopqrstuvwxyzabc"; string 明文 = textBox1.Text; for (int i = 0; i <明文.Length; i++) { string 要加密字母 = 明文.Substring(i, 1); int 位置 = 明文字母表.IndexOf(要加密字母); string 加密后字母 = 密文字母表.Substring(位置, 1); 凯撒密码的实现 于泳海 2014-09-12 11信本 潘存利 信息管理与信息系统

网络安全 实验报告

首都经济贸易大学信息学院实验报告 实验课程名称网络安全技术 首都经济贸易大学信息学院计算机系制

实验报告 学号：实验地点：3机房 姓名：实验时间： 一、实验室名称：网络安全实验 二、实验项目名称：冰河木马攻击 三、实验原理： 原理：特洛伊木马（简称木马），是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能相似。但木马有一些明显的特点，例如，它的安装和操作都是在隐蔽之中完成。攻击者经常将木马隐蔽在一些游戏或小软件中，诱使粗心的用户在自己的机器上运行。最常见的情况是，用户从不正规的网站下载和运行了带恶意代码的软件，或者不小心点击了带恶意代码的邮件附件。 大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，木马的服务器部分是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号，程序启动时机、如何发出调用、如何隐身、是否加密。另外，攻击者还可以设置登录服务器的密码，确定通信方式。木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。 木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很验证找到并清除它。木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。常见的木马，例如冰河、Netbus、网络神偷等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置木马监听的端口、运行方式，以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其他攻击者开发附加的功能。冰河在国内一直是不可动摇的领军木马，有人说在国内没有用过冰河的人等于没用过木马。冰河木马的目的是远程访问、控制。该软件主要用于远程监牢，具体功能包括： （1）自动跟踪目标机屏幕变化，同时完全模拟键盘及鼠标输入，即在同步变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。 （2）记录各种口令信息。包括开机口令、屏保口令、各种虚伪补齐诼绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上的版本还同时提供了击键记录功能。 （3）获取系统信息。包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当

电子商务安全与管理实验报告

实验一系统安全设置 ［实验目的和要求］ 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 ［实验容］ 1、本地安全策略 2、资源共享 3、管理安全设置 ［实验步骤］ 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”，如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看：哪些用户不可以在本地登录？哪些用户可以从网络访问计算机？哪些用户可以关闭计算机？ 答：分别见图1-2,1-3和1-4。

图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看：如何使计算机在登录前必须按“CTRL+ALT+DEL”？未签名驱动程序的安装是如何设置的？如何禁止网络用户访问CD-ROM？ 答：找到“交互式登录：不需要按CTRL+ALT+DEL”，双击打开，选择“已禁用(S)”后单击“确定”按钮。 找到“设备：未签名驱动程序的安装操作”，在下拉菜单中选择“允许安装但发出警告”，单击“确定”按钮即可。 找到“设备：只有本地登录的用户才能访问CD-ROM”，打开选择“已启用(E)”，点击“确定”按钮即可。 二、文件共享 如何设置共享文件，并通过网上邻居访问共享文件？ 设置共享文件: 方法一：“工具－－文件夹选项－－查看－－使用简单文件夹共享”。这样设置后，其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二：“控制面板－－管理工具－－计算机管理”，在“计算机管理”这个对话框中，依次点击“文件夹共享－－共享”，然后在右键中选择“新建共享”即可。 选择你要共享的文件，右击选择“属性”，打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便，你认为哪些设置必需放开？而哪些设置又可能引起安全问题？ 我认为对于网络的大部分设置应设为启用可方便浏览网页；对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思？如何让某个应用程序不受防火墙限制？

冰河木马实验报告详解

实验报告 实验名称网络攻防综合实验指导教师李曙红 实验类型设计实验学时 2 实验时间2016.06.29 一、实验目的 1. 本次实验为考核实验，需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容： (1) 构建一个具有漏洞的服务器，利用漏洞对服务器进行入侵或攻击； (2) 利用网络安全工具或设备对入侵与攻击进行检测； (3) 能有效的对漏洞进行修补，提高系统的安全性，避免同种攻击的威胁。 2 网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面，对学生的综合实验能力进行考核与评分，具体评分标准参考“评分标准”文档。 二、实验要求 1.2人一组，要求每人分工不同，例如一人负责网络攻击，一个负责网络防范。在实验过程和实验报告中要 体现两人的不同分工。 2.每组独立设计完成实验，不能雷同。 3.实验过程中以下三个阶段需上机演示给指导老师察看：完成网络攻击、检测到攻击、完成网络防范。 4.完成实验报告，能解释在实验使用到的技术或工具的基本原理。 三、实验环境 可以自由使用信息安全实验室的PC机，局域网，Linux服务器，Windows 服务器，防火墙，入侵检测系统等。

四、实验设计方案、实验过程及实验结果 作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。鉴于此，我们就选用冰河完成本次实验。 若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。 冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。 Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。 冰河木马的使用： 1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。 2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。 6、注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。 7、发送信息：以四种常用图标向被控端发送简短信息。 8、点对点通讯：以聊天室形式同被控端进行在线交谈等。 实验过程： 一、攻击 1、入侵目标主机 首先运行G_Client.exe，扫描主机。 查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“10.1.13.1”至“10.1.13..255”网段的计算机，应将“起始域”设为“192.168.1”，将“起始地址”和“终止地址”分别设为“1”和“255”（由于我们是在宿舍做的，IP地址在100~120之间），然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

网络安全与管理教师实验报告

实验一常用网络安全小工具的使用 实验目的: 掌握一种硬盘数据恢复工具的使用方法。 掌握一种文档密码破解工具的使用方法。 实验设备: 连入Internet的计算机一台 所用软件：FinalData、EasyRecovery 、advanced office password remover 实验步骤: 一、硬盘恢复工具的使用 1.新建任意一个文档,然后按shift+delete永久删除. 2.到网上搜索一款硬盘数据恢复软件，看其说明学会使用。 3.利用你所搜索的软件对你删除的文件进行恢复。 二文档密码破解 1.新建一个WORD文档并对其加密。 工具----选项----安全性 2.从网上下载任一款WORD文档密码破解软件，查看其使用方法。(注明所用软件名称) 3.利用你所搜索的软件对你的WORD文档进行解密。（解密过程请详细记录） 4.顺利打开你所破解后的WORD文档，实验成功。

实验二sniffer的安装及基本应用 实验目的: 1、掌握sniffer的安装。 2、掌握sniffer的基本应用。 实验设备: 连入Internet的计算机一台（或连入局域网计算机一台）实验步骤: 1.sniffer的安装。 2、启动、设置sniffer。参照教科书2.2节。 3、熟悉sniffer工作环境，掌握常用工具按钮及命令。 4、使用sniffer进行数据抓包。 5、对所抓取数据包进行分析。

实验三windows 2000的安全配置 实验目的: 掌握windows 2000/XP等操作系统的基本安全配置方法。 实验设备: 安装windows 2000/XP操作系统的计算机一台 所用软件： windows 2000/XP 实验步骤: 1.“开始---程序---管理工具----本地安全策略----本地安全设置”窗口，对账户策略、本地策略和IP安全策略进行相应设置。 2.“运行---gpedit.msc”，打开组策略窗口进行windows文件保护设置。 3.对文件夹及文件进行用户添加，及用户权限的设置。 4.关闭不必要的端口和服务，利用TCP/IP的高级设置配置一个简单的防火墙。 5.添加、修改账户，并进行账户权限设置，同时设计一个保护管理员账户的安全方法。 6.修改TTL返回值。 7.禁止默认共享文件。

冰河木马的使用

冰河木马的使用 实验目的： 1.掌握冰河木马的具体功能 2.熟悉冰河木马的使用操作 3.懂得冰河木马的清除方法 实验原理： 1.基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe 是守护进程, G_client是客户端应用程序。 2.程序实现: 在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件): 服务端: G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值) G_Server.Listen(等待连接) 客户端: G_Client.RemoteHost=ServerIP(设远端地址为服务器地址) G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦) (在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配) G_Client.Connect (调用Winsock控件的连接方法) 一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接 Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestID End Sub 客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现) 如果客户断开连接,则关闭连接并重新监听端口 Private Sub G_Server_Close() G_Server.Close (关闭连接) G_Server.Listen (再次监听) End Sub 其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令......实验步骤： 1.连接：打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。