2023年冰河木马实验报告

实验报告

实验名称网络攻防综合实验指导教师李曙红

实验类型设计实验学时2实验时间2023.06.29

一、实验目的

1.。本次实验为考核算验，需要独立设计完毕一次网络攻防的综合实验•设计的实验中要涉及以下几个方面

内容：

(1)构建一个具有漏洞的服务器,运用漏洞对服务器进行入侵或袭击；

(2)。运用网络安全工具或设备对入侵与袭击进行检测；

(3)能有效的对漏洞进行修补，提高系统的安全性,避免同种袭击的威胁。

2网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面，对学生的综合实验能力进

行考核与评分，具体评分标准参考“评分标准”文档。

二、实验规定

1.2人一组，规定每人分工不同，例如一人负责网络袭击,一个负责网络防范。在实验过程和实验报告中要体

现两人的不同分工。

2.每组独立设计完毕实验，不能雷同。

3.实验过程中以下三个阶段需上机演示给指导老师察看：完毕网络袭击、检测到袭击、完毕网络防范。

4.完毕实验报告，能解释在实验使用到的技术或工具的基本原理。

三、实验环境

可以自由使用信息安全实验室的PC机，局域网,Linux服务器,Windows服务器，防火墙，入侵检测系统

等。

四、实验设计方案、实验过程及实验结果

作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简朴的操作方法和强大的控制

力令人胆寒，可以说达成了谈冰色变的地步。鉴于此，我们就选用冰河完毕本次实验。

若要使用冰河进行袭击，则冰河的安装（是目的主机感染冰河）是一方面必须要做的。

冰河控制工具中有三个文献：Readme,txt,G—Client.exe,以及G_Server.exeo

Readme.txt简朴介绍冰河的使用。G_ClienTexe是监控端执行程序,可以用于监控远程计

算机和配置服务器。G_Server.exe是被监控端后台监控程序（运营一次即自动安装,开机自启动,

可任意改名，运营时无彳壬何提醒）。运营G_Server.exe后，该服务端程序直接进入内存,并把感染机

的7626端口开放。而使用冰河客户端软件（G_C1lent.exe）的计算机可以对感染机进行远程

控制。

冰河木马的使用：

1、自动跟踪目的机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的

同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网合用）。

2、记录各种口令信息：涉及开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出

现的口令信息。

3、获取系统信息:涉及计算机名、注册公司、当前用户、系统途径、操作系统版本、当前显示

分辨率、物理及逻辑磁盘信息等多项系统数据。

4、限制系统功能:涉及远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等

多项功能限制。

5、远程文献操作:涉及创建、上传、下载、复制、伤处文献或目录、文献压缩、快速浏览文本

文献、远程打开文献（正常方式、最小化、最大化、隐藏方式）等多项文献操作功能。

6、注册表操作:涉及对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功

能。

7、发送信息：以四种常用图标向被控端发送简短信息。

8、点对点通讯：以聊天室形式同被控端进行在线交谈等。

实验过程：

一、袭击

1、入侵目的主机

一方面运营G_C1ient.exe,扫描主机。

查找IP地址:在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“10.1.1

3.1”至“10.1.13..255”网段的计算机，应将“起始域”设为“192.168.1”，将“起始地

址”和“终止地址”分别设为“1”和“255”（由于我们是在宿舍做的，IP地址在100〜120之间），

然后点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。

从上图可以看此搜索结果中，每个IP前都是ERR。地址前面的“ERR:”表达这台计算机无法

控制。

所以，为了可以控制该计算机，我们就必须要让其感染冰河木马。

1、远程连接

使用Dos命令：netuse\\ip\ipc$

如下图所示：

a命令提示符-1□1x|

S

!C：XDocunentsandSettingsXAdninistrator>netuseW10.1.13.214\ipc$

命令成功完成。

C:\DocumentsandSettingsX^dninistrator>netuseX：\\10.1.13.214\C$

命令成功完成。

XDocunentsandSettingsXAdninistratoi*>)

bd

2、磁盘映射。

本实验:将目的主机的C:盘映射为本地主机上的X:盘

如下图所示

机命令提示符-Inlx

C：\DocunentsandSettingsXHdninistratoi*>netuse\\10.1.13.214\ipc$

I命令成功完成。

C：XDocunentsandSettings\Adninistrator>netuseX：W10.1.13.214\C$

命令成功完成。

C：\DocumentsandSettings\Adninistrator^

bd

X,to.1.13.214,上的C$a：）

文件更）编辑量）查看9收藏®工具（X）帮助国）

Q后退,1•十|/搜索文件夹I因^

地址@）|^gXA30^

文件和文件夹任务会§122口123

J创建一个新文件夹

通将这个文件夹发布到

Webab□caonima

其它位置*

Dev-Cppdiyitidiyiti1

我的电脑J

我的文档

Documentsand

共享文档HL-232-340Intel

Settings

网上邻居口

KeilProgramFilesProgramData

详细信息V口

tctestJtext

thirdwWINDOWS

新建文件夹HinRAR压缩文件g^client.ex

1,721KB

JLink.logmain,c

寸木寸挡r*rcmiyroF；1a

26个对象OJD1个隐藏对象）怙.12MB-[QIntern

3、将本地主机上的G_Server.exe拷贝到目的主机的磁盘中，并使其自动运营。

如下图所示：

X,to.1.13.214,上的C$a：)-1□!

文件更）编辑⑥查看9收藏®工具豆）帮助国）________________________________________________

Q后退,|/搜索文件夹|因,

地址@)|*x：\30^

文件和文件夹任务会

123

J创建一个新文件夹

通将这个文件夹发布到

〜Webcaomma

其它位置*

diyiti1

我的电脑

我的文档

IDocumentsand

共享文档一JHL-232-340Intel

Settings

网上邻居

ProgramFilesProgramData

详细信息

text

26个对象OJOI个隐藏对象）

上图中，目的主机的C盘中没有G_Server.exe程序存在。

此时，目的主机的C盘中已存在冰河的G_Server.exe程序，使用D。s命令添加启动事件，如下图

所示：

上TO.1.13.214'上的C$CX：)/0I.

文件①)编辑量)查看(V)收藏&)工具(T)帮助出)|,中

。局8▼。▼优|户搜索文豚|国：_________

地址@)fex\3H转到

1U

文件和文件夹任务会n

0创建一个新文件夹

/Dev-Cppdiyiti1

d将这个文件夹发布到

〜Web

IDocumentsand

Intel

\Settings

其它位置会

4我的电脑

/KeilProgramData

Q我的文档

o共享文裆

T网上邻居

1tctext

详细信息㈡P

thirdwiinjows

㈡国

靛:6姬批处理文件

新建文件夹

1KB

画

G_Server.exeJLink.logmain,c

MicrosoftGi)Win.文本文档Csourcefile

HMicrosoft公司01KBc1KB

复件aaa.bat

MS-DOS批处理文件

1KB

zs个对象Sui个隐藏对象)1.94MB@Internet

一方面，获取目的主机上的系统时间，然后根据该时间设立启动事件。

此时，在目的主机的Dos界面下，使用at命令，可看到:

菽命令提示符

登录失败：未知的用户名或错误密科。

C:\DocumentsandSettingsX^dninistrator>netuseW10.1.13.214\ipc§

命令成功完成。

C：\DocunentsandSettingsXfidninistrator>netuseX:W10.1.13.214\C§

命令成功完成。

C：\DocunentsandSettingsXAdninistrator>nettine\\10.1.13.214

\\10.1.13.214的当前时间是2016/6/29上午04：56

命令成功完成。

C：\DocumentsandSettingsXAdninistratoi*>atW10.1.13.21404：56C：\\G_Seruer

新加了一项作业，其作业ID=1

C：\DocunentsandSettings\Adninistratoi*>at

列表是空的。

C："ocumentsandSettings3dm:Lnistrator).

下图为设定期间到达之前(即G_Server.exe执行之前)的注册表信息，可以看到在注册

表下的：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,其默

认值并无任何值。

/er2003EnterpriseEdition•VMwareWorkstation

查看(V)虑拟机(M)分组(T)©n(W)帮助(H)Bones©aa©Ha®igiSBH

^J^^Wjndow^e^e^OoTEntT™1

品WindowsXPProfessionalX

当目的主机的系统时间到达设定期间之后，G_Server.exe程序自动启动，且无任何提醒。

;Server2003EnterpriseEdition-VMwareWorkstation

■M（v）SXIVUM）剑BCD皿帅g■叩Oe二回直圆口SBH如③

fiUbuntuWindowsServer2003Ent-’、；与WindowsXPProfessionalX

；注册表编辑器三回凶

文件9磐汽藏夹®帮助QI）

__IKununcoT唠默认）C:\VINDOTS\xyst.EXE

IRunOnceEx.J-

__JRunServices回PMIME2002AREG.SZC:\WIND0tS\syster*32\IME\TINTLGNT\nHrSETP.E.

S-_JSetup

ME2002ASyncREG_SZC:\WINDOTS\Syst«r»32\UIE\TINTU；NT\TINrSETP,E.

二|Sh«r«dDllsareToolsREG_SZ"C:\Progra»Files\VMwar«\VMitareToolsWMwar.

SI1ShellExtensions回VWwareUserProcessREG_SZ“C:\FrogranFiles\VMware\VM»areTool姑恤ar.

ShellConpatibility

ShellScrap

_3Sh«llS«rvic«ObjactD«l«yLoad

从上图可以看到，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre

ntVersion\Run的默认值发生了改变。

变成了：C:\\WINDOWSWSYSTEM\\Kernel32.exe

这就说明冰河木马安装成功，拥有G_Client.exe的计算机都可以对此计算机进行控制了。

此时，再次使用G_C1ient.exe搜索计算机，可得结果如下图所示:

从搜索结果可以看到，我们刚安装了冰河木马的计算机（其IP：10.1.13,214）的IP地址前

变成了“OK：”，而不是之前的“ERR:"。

下面对该计算机进行连接控制:

VMwareWorkstation

【机(M)分组(T)除口(W)部助(H)B30QJ吟2?1弹EJEDH弹③

文件电)编辑电)

沱冰河V2.2[DARKSUN专版]

。后退◎

文件［R］编辑［的设置&J帮助⑻

地址9)回

C:\Documont居里嗡CKe

文件和文件夹任务题题国安

应用6】［

一当前连接：|192168.1112端口：［7628—也问口令：f

里命名这个文件_rJ

分

0移动这个文件口文件营理器I电命令控制台I

复需怩个文件

我的电脑一文件名称F件大小(字节)最后更新时间

9将这个文件发布至LocalHost

以电子邮件形式学+(192.168.1.112

X文件

删除这个文件

其它位置

我的文档

共享文档

我的电脑

网上邻居

详细信息

口令有误，拒绝执行命令

上图显示，连接失败了，为什么呢？其实因素很简朴，冰河木马是访问口令的，且不同版本的访

问口令不尽相同，本实验中，我们使用的是冰河V2.2版,其访问口令是05181977,当我们在访

问口令一栏输入该口令(或者右击“文献管理器”中的该IP,“修改口令”)，并点击应用，即可连接

成功。

al-VMwareWorkstation

鸵机(M)分组(T)SD(W)帮助(H):■叩叵I与；目强於：旺亘回口「百面画"色驾

XWindowsServer2003Enterpri,..X臣WindowsXPProfessional

冰河

文件隹〕编辑(£)

冰河V2.2[DARKSUH专版]

。后退•0

文件［已编辑国］设置修］帮助3

地址①)3c：

文件和文件夹任务*

当前连接：|192168.11123端口：商访问口令：,*******应用⑸|

重命名这个文件r［

移动这个文件口文件管理器|电命令控制台|

复制这个文件

缪我的电脑文件名称I文件大小序节)最后更新时间

将这个文件发布至LocalMost

叁

以电子邮件花式3192.168.1.112Documentsand

文件日困

IInetpub

删除这个文件+CjDocTimentsand

ProgramFiles

[+：口Inetpub

_JSystemVolume

+|__JProgramFiles

2JWINBOWS

其它位置+口SystemVolume

~1wmpub

+QWINDOWS

桌面回AUTOEXEC.BAT02011-10-3014:56:00

>Cjwmpub

我的文档回bootini1922011-10-3014:45:42

旬bootfont,bin3227302003-3-2720:00:00

共享文档

回CONFIG.SYS02011-10-3014:56:00

我的电脑

同G_Server.exe2663832000-7-1023:15:56

网上邻居词10.SYS02011-10-3014:56:00

同MSDOS.SYS02011-10-3014:56:00

MlNTDETECT.COM475482003-3-2720:00:00▼

详细信息

共有16个对象

连接成功了，我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。

比如说：

1、屏幕控制。

图像格式有BMP和JEPG两个选项，建议你选JEPG格式，由于它比较小,便于网络传输。“图像

色深”第一格为单色，第二格为16色，第三格为256色，依此类推。“图像品质”重要反映的是图像

的清楚度。按“拟定”按钮后便出现远程计算机的当前屏幕内容。

%冰河V2.2[DARKSUN专版]Io回I表.1

文件的编辑［E］设置［G］帮助［H］

&国0

当前连接：iLocalHost三］端口：1^626访问口令：I应用［S］

-J文件管理器与命令控制台

令

类命令

&口

制

类命令

@s控

络

类命令

网

S--

件

类命令

E--s文

S--

S-由-

册

表读写

注

置

类命令

a设

清从左侧列表中选择相关命令

设立相关属性

■WindowsXPProfessional-VMwareWorkstation

文件都查号(V)虚拟机(M)分组(T)窗口(W)帮助(H)■la1330©IE）回直）（3阴

WindowsXPProfessional-VMwereWorkstation

文件侏a«s（v）4m（M）ja（T）ea（w）分期旧）B加⑦⑥：3"心药门而©I回回值

■.蜜怙用X虚ubuifjX届\Yn3vs5er，”.”0：B-tCT，;…X[时

r用像R示即回立

立伴修«ia<E）连专但）他）[R（I）*6bQfiI萨

。后遢•.t

文件再土小I盘故I修改RWII■性I

---------------------------------文

3臬面FrD"3s、<、willS«iGik«>>:20111030匕00

文

口in“氤2011-10-301530

m文

口Prob**FI1«B2011-10-311415R

5丫班9名够文

国235次叁（*：）Onjroo/s文2011-10-301532

BJ3本地电史（C.）C）s22011-10-301458

回

图3DVD而动IS（D:）G_Serv«r.«x«