任务十木马演示
一、实验目的：
通过模拟演示木马程序，加深对恶意代码工作过程的理解，掌握恶意代码防范方法及清除方法。

二、实验环境：
两台预装WindowsXP的主机，通过网络互连
软件工具：冰河木马或灰鸽子木马
三、实验要求：
1.实训要求：使用冰河对远程计算机进行控制
2.实训步骤：
（1）配置服务器程序：冰河的客户端程序为G-client.exe,在冰河的控制端可以对服务器端进行配置，如图1所示：
图1
冰河的安装路径、文件名、监听端口为：<system> ；kernel32.exe ；7626。

冰河在注册表设置的自我保护的内容，就是我们查杀时所要寻找的内容，配置完后生成服务器端程序为G-server.exe。

服务器端一旦运行，该程序就会按照前面的设置在C:\WINNT\system32下生成kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，在注册表中sysexplr.exe和TXT文件关联，如图2所示：
图2
（2）传播木马：通过邮件、QQ等方式传播该木马服务器程序，并诱惑被攻击者运行改程序。

（3）客户端（控制端）操作：冰河的客户端界面如图3所示，冰河的功能是：自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息等
图3
（4）冰河木马的防御：中了该木马后，该计算机会主动打开端口等待控制端来连接。

这样很容易被人发现，而安装了防火墙的计算机会阻止该计算机主动对外的连接。

所以安装防火墙是对传统木马的有效防御。

（5）冰河木马的手工清除方法：
A、删除C:\WINNT\system下的kernel32.exe和sysexplr.exe文件
B、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run
下键值为C:\WINNT\system\kernel32.exe
C、删除注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\Run
下键值为C:\WINNT\system\sysexplr.exe
D、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，将中木马
后的C:\WINNT\system32\sysexplr.exe%1改为正常的C:\WINNT\notepad.exe%1即可恢复TXT文件关联功能。

3.编写总结报告。