网络安全项目实战报告2012年5月9日目录目录论文摘要 (2)一、网络现状分析 ............................................................ 错误！未定义书签。

二、木马病毒的危害........................................................... 错误！未定义书签。

三、冰河木马的具体功能…………………………………………………………………………四、模拟实验过程 .............................................................. 错误！未定义书签。

4.1环境配置 (4)4.2实验过程 (5)4.3删除冰河木马程序文件.......................................... 错误！未定义书签。

五、冰河木马的防御 (17)六、结论 (20)论文摘要“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。

“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。

在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

随着当今社会的发展和科技的日益进步，网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出.具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁.因此，黑客软件显得更是火热。

在众多黑客软件中“灰鸽子”无疑是其中的佼佼者.冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。

但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词，在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。

一、网络现状分析近年来随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。

据美国FBI统计，美国每年网络安全问题所造成的经济损失高达75亿美元。

而全球平均每20秒钟就发生一起Internet计算机侵入事件。

在Internet/Intranet的大量应用中，Internet/Intranet安全面临着重大的挑战，事实上，资源共享和安全历来是一对矛盾。

在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标。

而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。

他们利用不同的攻击手段，获得访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统，进行窥视、窃取、篡改数据。

不受时间、地点、条件限制的网络诈骗，其“低成本和高收益”又在一定程度上刺激了犯罪的增长。

使得针对计算机信息系统的犯罪活动日益增多。

从人为（黑客）角度来看，常见的计算机网络安全威胁主要有：信息泄露、完整性破坏、拒绝服务、网络滥用。

信息泄露：信息泄露破坏了系统的保密性，他是指信息被透漏给非授权的实体。

常见的，能够导致信息泄露的威胁有：网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。

完整性破坏：可以通过漏洞利用、物理侵犯、授权侵犯、病毒，木马，漏洞来等方式实现。

网络滥用：合法的用户滥用网络，引入不必要的安全威胁，包括非法外联、非法内联、移动风险、设备滥用、业务滥用。

常见的计算机网络络安全威胁的表现形式主要有：窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。

窃听：攻击者通过监视网络数据的手段获得重要的信息，从而导致网络信息的泄密。

重传：攻击者事先获得部分或全部信息，以后将此信息发送给接收者。

篡改：攻击者对合法用户之间的通讯信息进行修改、删除、插入，再将伪造的信息发送给接收者，这就是纯粹的信息破坏，这样的网络侵犯者被称为积极侵犯者。

积极侵犯者的破坏作用最大。

拒绝服务攻击：攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止合法用户获得服务。

行为否认：通讯实体否认已经发生的行为。

电子欺骗：通过假冒合法用户的身份来进行网络攻击，从而达到掩盖攻击者真实身份，嫁祸他人的目的.非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问。

传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。

当然，除了人为因素，网络安全还在很大部分上由网络内部的原因或者安全机制或者安全工具本身的局限性所决定，他们主要表现在：每一种安全机制都有一定的应用范围和应用环境、安全工具的使用受到人为因素的影响、系统的后门是传统安全工具难于考虑到的地方、只要是程序，就可能存在BUG。

而这一系列的缺陷，更加给想要进行攻击的人以方便。

因此，网络安全问题可以说是由人所引起的。

三、木马带来的危害1、盗取我们的网游账号，威胁我们的虚拟财产的安全。

木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。

2、盗取我们的网银信息，威胁我们的真实财产的安全。

木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给黑客，直接导致我们的经济损失。

3、利用即时通讯软件盗取我们的身份，传播木马病毒。

中了此类木马病毒后，可能导致我们的经济损失。

在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性。

如恶作剧等。

4、给我们的电脑打开后门，使我们的电脑可能被黑客控制。

5获得访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统，进行窥视、窃取、篡改数据。

不受时间、地点、条件限制的网络诈骗，其“低成本和高收益”又在一定程度上刺激了犯罪的增长。

使得针对计算机信息系统的犯罪活动日益增多。

6黑客和反黑客、破坏和反破坏的斗争愈演愈烈，不仅仅影响了网络的稳定运行和用户的正常使用，造成了重大经济损失，而且还可能威胁到国家安全.四、冰河木马的具体功能1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．记录各种口令信息：包括开机口令，屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7．发送信息：以四种常用图标向被控端发送简短信息；8．点对点通讯：以聊天室形式同被控端进行在线交谈。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次产生Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因四、实验模拟过程（一）环境配置冰河木马是远程控制管理软件，为了达到实验目的，我们小组建立四台虚拟机作为实验机器，具体情况如下表所示：我们首先分别把四台虚拟机的IP 设置为192.168.1.4、192.168.1.3、192.168.1.5、192.168。

1.6其中用IP为192.168.1.4电脑作为控制端来配置服务端，其他三台虚拟机分别作为被控制电脑；在控制端电脑192.168.1.4上通过冰河木马软件对其他虚拟机进行远程控制和管理（包括文件上传、下载、屏幕捕捉、远程命令等操作）。

（二）实验过程我们把实验过程规划为*步骤，分别是：下面我们对实验步骤进行简要描述1冰河木马共有两个应用程序，，其中G-Server.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；Y-Clint是木马的客户端程序，属木马的主控端程序2 现在我们在受控端计算机中双击G-Server.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生我们再打开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到sysexplr.exe文件。

3 我们在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主控程序）。

击【应用】5 点击【设置】->【配置服务器程序】菜单选项对服务器进行配置，弹出服务器配置对话框。

6在服务器配置对话框中对待配置文件进行设置，点击待配置文件该按钮，找到服务器程序文件G-Server.exe；再在访问口令框中输入05181977，然后点击【确定】，就对服务器已经配置完毕，关闭对话框。

7再采用自动搜索的方式添加受控端计算机，方法是点击【文件】->【自动搜索】，打开自动搜索对话框。

8搜索结束时，我们发现在搜索结果栏中IP地址旁状态为OK，表示搜索到IP地址的计算机已经中了冰河木马，且系统自动将该计算机添加到主控程序中。

9将受控端计算机添加后，我们可以浏览受控端计算机中的文件系统10我们还可以对受控端计算机中的文件进行复制与粘贴操作11我们可以在主控端计算机上观看受控端计算机的屏幕,这时在屏幕的左上角有一个窗口，该窗口中的图像即受控端计算机的屏幕我们将左上角的窗口全屏显示12我们可以通过屏幕来对受控端计算机进行控制.执行删除操作创建目录操作执行创建一个文本文档操作发起信使通信之后，受控端也可以向主控端发送消息了4.3删除冰河木马程序文件1、删除C:Windowssystem 下的Kernel32.exe 和Sysexplr.exe 文件。