首都经济贸易大学信息学院实验报告
实验课程名称网络安全技术
首都经济贸易大学信息学院计算机系制
实验报告
学号：实验地点：3机房
姓名：实验时间：
一、实验室名称：网络安全实验
二、实验项目名称：冰河木马攻击
三、实验原理：
原理：特洛伊木马（简称木马），是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。

大多数木马与正规的远程控制软件功能相似。

但木马有一些明显的特点，例如，它的安装和操作都是在隐蔽之中完成。

攻击者经常将木马隐蔽在一些游戏或小软件中，诱使粗心的用户在自己的机器上运行。

最常见的情况是，用户从不正规的网站下载和运行了带恶意代码的软件，或者不小心点击了带恶意代码的邮件附件。

大多数木马包括客户端和服务器端两个部分。

攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。

通常，木马的服务器部分是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号，程序启动时机、如何发出调用、如何隐身、是否加密。

另外，攻击者还可以设置登录服务器的密码，确定通信方式。

木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。

木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很验证找到并清除它。

木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。

常见的木马，例如冰河、Netbus、网络神偷等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。

这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。

攻击者可以配置木马监听的端口、运行方式，以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。

一些危害大的木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其他攻击者开发附加的功能。

冰河在国内一直是不可动摇的领军木马，有人说在国内没有用过冰河的人等于没用过木马。

冰河木马的目的是远程访问、控制。

该软件主要用于远程监牢，具体功能包括：
（1）自动跟踪目标机屏幕变化，同时完全模拟键盘及鼠标输入，即在同步变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息。

包括开机口令、屏保口令、各种虚伪补齐诼绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上的版本还同时提供了击键记录功能。

（3）获取系统信息。

包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当
前显示分辨率、物理及软件磁盘信息等多项系统数据。

（4）限制系统功能。

包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作。

包括创建、上传、下载工、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件等多种操作功能。

（6）注册表操作。

包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息。

以4种常用图标向被控端发送简短信息。

（8）点对点通信。

以聊天室形式同被控端进行在线交谈。

四、实验目的：
目的：通过使用冰河木马，理解并掌握木马的传播原理和运行机制，学会配置服务器端和客户端程序，掌握防范木马的相关知识，提高对木马的防范意识。

五、实验内容：
使用冰河木马进行远程控制
六、实验环境（硬件设备、软件）：
硬件：计算机
软件：windows xp，冰河木马软件
七、实验步骤：
在本实验说明中，服务器端指的是被控制端，客户端指的是控制端。

注意在做这个实验时，最好将两台实验计算机上的防火墙和病毒程序全部关闭。

（1）查看计算机的网络连接状态。

单击【开始】|【运行】，打开【运行】对话框，输入“cmd”，打开DOS窗口，在命令中输入“netstat -an”，结果如图3-10所示。

可以看到服务器端计算机上网络连接情况，很显然7626端口没有开放。

（2）运行服务器端程序。

在服务器计算机上运行冰河服务器程序G_Server.exe（这时服务器计算机表面看起来没有任何反应，但实际上已经中了冰河木马）。

在DOS命令行上输入“netstat -an”，结果如图3-11所示。

可以看出运行服务器端程序后，7626端口已经开放了。

说明已经成功在服务器商朝安装上了冰河木马。

（3）打开客户端程序并连接服务器端计算机。

在客户端打开G_Clinet.exe文件，出现如图3-12所示的冰河客户端界面。

客户端执行程序的工具栏中各模块功能如下表所示：
功能名功能
令及端口并保存设置
删除主机将被监控端IP地址从主机列表中删除
自动搜索搜索指定子网内安装有冰河的计算机
查看屏幕查看被监控端屏幕
屏幕控制远程模拟鼠标及键盘输入，其余功能同“查看屏幕”
冰河信使点对点聊天室内，也就是传说中的“二人世界”
升级1.2版本通过“GLUOSHI专版”的冰河来升级远程1.2版本的服务器程序修改远程配置在线修改访问口令、监听端口等服务器程序设置，不需要重新上
传整个文件，修改后立即生效
配置本地服务器程序在安装前对“G_Server.exe”进行配置
图3-12
单击控制端工具栏中的【添加主机】，在弹出的添加计算机对话框的【显示名称】栏中输入显示在主界面的计算机名称，在【主机地址】栏中
填入服务器端主机的IP地址，在【访问口令】栏中填
入每次访问主机的密码，在【监听端口】栏中填入冰河
默认的监听端口7626，如图3-13所示。

单击【确定】，即可以看到冰河控制端上添加了名为的
主机，如图3-14所示。

单击主机名，右边出现盘符，表明控制端已经成功与被
控制端连接，可以进行控制了。

展开盘符，可以看到被
控主机的所有资料，如图3-15所示。

图3-13
（4）控制服务器端计算机。

此时可以对工具栏的各项功能进行操作，如在工具栏里单击【冰河信使】，在弹出的对话框中输入一些文字“hello!”，单击【发送】，这时服务器端被控
制方计算机上也会出现同样的界面，并显示“hello!”。

如图3-16所示。

在控制端主界面，单击【命令控制台】选项卡，在弹出的窗口上，打开口令类命令，可以看到其中包括3个子类，系统信息及口令、历史口令、击键记录。

当单击【系统信息及口令】，还可以看到系统信息、开机口令、缓存口令和其他口令等。

如图3-17所示。

打开【控制类命令】，包括捕获屏幕、发送信息、进程管理、窗口管理、系统控制、鼠标控制、其他控制等。

选择【进程管理】，再单击【查看进程】按钮可以看到目标主机的进程，如图3-18所示。

单击【捕获屏幕】，再单击【查看屏幕】按钮，可以看到被控制方计算机的主界面屏幕。

如图3-19所示。

单击【网络类命令】，进行进行网络控制，包括创建共享、删除共享、网络信息。

单击【查看共享】按钮，可以看到被控制方计算机里的共享信息。

如图3-20所示。

其他功能还包括如下内容：
文件类命令：目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开等。

注册表读写：注册表键值读写、重命名、主键浏览、读写、重命名。

设置类命令：更换墙纸、更改计算机名、读取器端配置、在线修改服务配置。

八、实验数据及结果分析：
冰河软件只要对方没有防火墙，就可以对对方进行控制，访问，删除文件等基本操作，还可以远程关机。

卸载对方冰河。

九、实验结论：
冰河软件只要对方没有防火墙，就可以对对方进行控制，访问，删除文件等基本操作，还可以远程关机。

卸载对方冰河。

十、实验总结及心得体会：
一定要在连接网络时候，启动防火墙
十一、对本实验过程及方法、手段的改进建议：
改进建议：
报告评分：
指导教师签字：。