目錄

• • 0x01環(huán)境配置
  • • • 1. 關(guān)閉防火墻
      • 2. 冰河木馬下載解壓
      • 3. 攻擊者主機（Win7）打開g_client.exe
      • 4. 受害者主機（WinXP）打開g_server.exe
      • 5. 攻擊者進行連接受害者主機
  • 0x02 遠程控制
  • • • 1. 遠程桌面控制
      • 2. 冰河信使進行通信
      • 3. 攻擊者創(chuàng)建新建文件夾
  • 0x03 卸載冰河木馬
  • • • 1. 遠程自動卸載冰河木馬
      • 2. 手動卸載冰河木馬

0x01環(huán)境配置

攻擊者主機：Win7 （192.168.30.221）
受害者主機：winXP（192.168.30.134）

1. 關(guān)閉防火墻

兩臺主機均關(guān)閉防火墻

2. 冰河木馬下載解壓

冰河木馬下載鏈接

可以先下載到Win7主機，雙擊安裝

自定義安裝（要記住自定義安裝的文件夾）

選擇安裝路徑

一鍵安裝

2. 打開所選擇安裝的文件夾，進行解壓

雙擊提取出來（類似解壓）

提取密碼為：www.downcc.com

3. 攻擊者主機（Win7）打開g_client.exe

打開解壓后的文件夾

雙擊打開

打開后的應(yīng)用面板

4. 受害者主機（WinXP）打開g_server.exe

將g_server.exe放到受害者主機（可以先復(fù)制到物理機再從物理機復(fù)制到受害機），雙擊運行

查看進程

netstat -an

出現(xiàn)7626端口則表示木馬運行成功，此時也會出現(xiàn)Kernel32進程

查看受害者主機的ip為：192.168.30.134

5. 攻擊者進行連接受害者主機

掃描可連接主機

從結(jié)果可以看出掃描出一臺設(shè)備（WinXP主機）

拿下WinXP主機，可以進行查看文件信息

0x02 遠程控制

1. 遠程桌面控制

2. 冰河信使進行通信

3. 攻擊者創(chuàng)建新建文件夾

在受害者主機可以看到創(chuàng)建成功

0x03 卸載冰河木馬

1. 遠程自動卸載冰河木馬

再次查看端口與進程，發(fā)現(xiàn)7626端口關(guān)閉，進程Kernel32.exe已經(jīng)關(guān)閉

2. 手動卸載冰河木馬

四步驟：

還原自啟動注冊表
冰河會在注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run下扎根，鍵值為C:/windows/system/Kernel32.exe，用于設(shè)置開機自啟，找到并刪除。

1）受害者主機打開注冊表

2）進入HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run，找到鍵值為C:/windows/system/Kernel32.exe，找到并刪除。

還原txt文件的注冊表信息。冰河通過修改txt文件注冊表信息的鍵值對，使得sysexplr.exe和txt文件關(guān)聯(lián)，當編輯txt文件時，就會再次激活冰河，找到該鍵值對并還原為notepad。
在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默認這一項，右鍵修改！注意是修改不是刪除！！！將他的值改為：C:\WINDOWS\notepad.exe %1。

1）進入注冊表HKEY_CLASSES_ROOT/txtfile/shell/open/command

2）選中，將值修改為C:\WINDOWS\notepad.exe %1

結(jié)束冰河的核心進程Kernel32.exe

刪除系統(tǒng)目錄下的Kernel32.exe和sysexplr.exe文件。文件位置為：windows/system32。Kernel32.exe在系統(tǒng)啟動時自動加載運行，sysexplr.exe和TXT文件關(guān)聯(lián)。找到并刪除

1）刪除Kernel32.exe

2）刪除sysexplr.exe

查看端口發(fā)現(xiàn)7626端口已經(jīng)關(guān)閉，成功卸載冰河木馬

總結(jié)

以上是生活随笔為你收集整理的实验四 木马的远程控制和清除的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。