第3章实验报告之识别与清除计算机木马 本文关键词:告之,木马,识别,清除,实验
第3章实验报告之识别与清除计算机木马 本文简介:BENET2.0网络实战–第3章实验时间2010年xx月xx日xx时~xx时实验人xxx实验名称实验之2:识别与清除计算机木马所属模块及课程网络实战第3章实验目的通过本实验,熟悉识别与清除计算机木马的方法与步骤实验拓扑实验环境与思路1、实验环境:需要二台虚拟机,1)Win2003-1操作系统为win
第3章实验报告之识别与清除计算机木马 本文内容:
BENET2.0
网络实战
–第3章
实验时间
2010年
xx
月
xx
日
xx
时~
xx
时
实验人
xxx
实验名称
实验之2
:识别与清除计算机木马
所属模块及课程
网络实战
第3章
实验目的
通过本实验,熟悉识别与清除计算机木马的方法与步骤
实验
拓扑
实验
环境
与
思路
1、
实验环境:
需要二台虚拟机,
1)
Win2003-1
操作系统为win2003,网卡设在VMNet2,IP:192.168.0.10,工作组模式,
充当目标主机
2)
Winxp-1
操作系统为winxp,网卡设在VMNet2,IP:192.168.0.14,工作组模式,
充当黑客机
2、
完成时间
35分钟
3、
完成标准
1)
通过远程将冰河木马送到其它电脑上,并实现远程控制目标主机
2)
能够手工或通过软件清除冰河木马
4、
实验思路
1)
在win2003-1上运行冰河服务器端程序,即执行木马病毒
2)
在winxp-1上通过冰河客户端程序连接到win2003-1,进行远程控制
3)
在win2003-1上清除冰河
4)
在win2003-1打补丁,亡羊补牢
实验步骤
1.运行冰河服务器端g_server.exe
执行
g_server.exe
2.在winxp-1上运行客户端g_client.exe。双击g_client.exe
在左侧空白处点右键,选择添加,主机名任取,如win03,主机地址输入目的地址192.168.0.10。也可“文件”-“自动搜索”,输入网段地址和起止地址搜索目的主机。
3.
上传文件到目的主机和复制目的主机的文件到本地
右键单击目的主机win03的C盘盘符,在弹出的菜单中选择“文件上传自”,选择本地的一个文本文件上传。在目的主机的C盘选择一个文本文件单击右键,选择“文件下载至”到本地主机
4.通过查看屏幕远程监控目标主机
点击“查看屏幕”,设置图像格式为JPEG,图像品质中等,点确定。此时可以通过屏幕远程监控到目标主机正在进行什么操作
5.玩玩对方。点击“命令控制台”-“控制类命令”-“鼠标控制”-“鼠标锁定”,锁定目标主机的鼠标。去目标主机检查鼠标状况。
6.点击“命令控制台”-“控制类命令”-“发送信息”给目标主机发送消息
7.点击“网络类命令”-“创建共享”,在路径中输入“c:/”,共享名为“share”,点击“创建共享”。去目标主机检查C盘共享状况。
8.点击“设置类命令”-“服务器端配置”-“修改服务器设置”-“基本设置“中修改监听端口号为8000,到目标主机上运行netstat
–an检查监听的端口是否由7626改为8000。在“自我保护”中将“关联类型”设为TXTFILE,即打开文本文件即触发冰河。
9.在win2003-1上清除冰河
先在任务管理器中停止进程kernel32
10.在注册表中搜索关于kernel32的项目,删除对应目录下的病毒文件
11.删除启动项中的有关kernel32的项目。
12.此时看起来冰河像是被清除了,但如果双击任一.txt文件,因为冰河与文本文件相关联了,所以又激活另一进程sysexplr.exe。冰河服务器端又会运行。同上方法清除主机关于sysexplr.exe的文件。
13.在运行中输入“regedit”进入注册表,按ctrl+F搜索“kernel32.exe”,发现病毒的位置在c:/windows/system32。删除注册表中这条记录,再打开winrar压缩软件,在地址栏中输入c:/windows/system32,找到“kernel32.exe”,按住shift键,单击右键删除该病毒文件。同理找到sysexplr.exe.exe在c:/windows/system32/下,删除注册表记录和该病毒文件。
14.打补丁,亡羊补牢
清除kernel32和sysexplr.exe后,注意我们上传的服务端g_server.exe被没有被找到(而且此程序可以改名改图标来增加隐蔽性),也就是说木马的根源没有被清除,黑客可以在合适的时间再次运行它。所以打上系统补丁,开启防火墙,防止黑客的再次入侵是我们要做的事情。
介绍一种方法(选做):
下载超级巡警V4.0打开该软件后,
点击“工具”-“补丁检查”。超级巡警将自动检查当前操作系统和应用软件,发现系统和应用软件的漏洞会提示下载补丁。选择要下载的补丁后,点击“下载安装补丁”,超级巡警将自动上网下载补丁并安装。
点击“工具”-“系统修复”点“全选”再点“修复”,修复被冰河修改的注册表及文件的关联关系。
当然也可以选择使用360安全卫士来进行漏洞修复
实验结果分析
实验中遇到的问题及解决方法
组长签字:
14