实验四木马的攻击与防范
1.实验目的
通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

2.实验原理
“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

1>.入侵原理
一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）
和客户端（控制器部分）。

植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。

运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

特洛伊木马程序不能自动操作，一个特洛伊木马程序是包含或者安装一个存心不良的程序的，它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。

特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。

当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和遗失。

特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

3.实验环境
两台运行windows2000/XP的计算机，通过网络连接，使用“冰河”木马作为练习工具。

4.实验内容和任务
任务一“冰河”木马的使用
展开口令类命令
控制类命令
网络类命令
删除冰河木马
5.实验小结
本次实验比较复杂，且任务比较繁重，所以在做的过程中，相对来说有点困难，因此这个实验是和一些人的协助下完成的。

但是，这次实验的主题却很有意思，通过使用冰河木马来控制别人的主机，这对我来说是一次新的尝试，也让我对于网络侦查犯罪这堂课有了更深入的认识。