實驗名稱

冰河木馬攻擊與清除

實驗目的

1.了解冰河木馬的架構、各項功能
2.學會利用冰河木馬控制遠程計算機
3.查看冰河木馬源代碼
4.了解注冊表的結構，能夠使用注冊表編輯器，備份注冊表，修改注冊表。

實驗內容
0.觀察 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservice 記錄當前鍵值。

觀察 HKEY_CLASSES_ROOT\txtfile\shell\open\command 記錄當前鍵值。

在完成第三題之后，對比前后鍵值的差別。

0.1 備份當前注冊表

1.運行G_Server.exe 觀察是否有安裝過程？ 使用命令netstat -na 觀察7626默認端口是否已經打開？
無安裝過程

7626端口打開。
2.打開G_client.exe, 添加主機 并使用文件管理器控制對方主機。

3.搜索局域網內感染冰河木馬的主機，有幾臺主機感染了木馬程序，選取某一臺感染主機進行控制。
3.1抓取對方屏幕

3.2重啟對方主機

3.3 使用冰河信使，發送消息

3.4 查找資料，修改對方主機注冊表，完成一個有趣的設置
修改了時間界面顯示的內容

4.在服務器配置頁面下，查看安裝目錄即kernel32.exe 所在目錄。 kernel32.dll原本是windows中的一個dll 文件它控制著系統的內存管理、數據的輸入輸出操作和中斷處理，當Windows啟動時，kernel32.dll就駐留在內存中特定的寫保護區域，使別的程序無法占用這個內存區域。 冰河木馬將主程序名設置為kernel32.exe 很有迷惑性。

Sysexplr.exe 是當年超級解霸中的一個文件名，很有迷惑性。
嘗試刪除kernel32.exe，sysexplr.exe 是否能清除該木馬？ 修改注冊表鍵值 是否能清除？

無法清除。

5.修改注冊表，并修改文本文件的關聯程序，手動卸載冰河木馬服務端程序。刪除冰河木馬之后，使用netstat 查看7626端口是否還開啟。

總結

以上是生活随笔為你收集整理的冰河木马的清除的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。