好好学习,天天向上,一流范文网欢迎您!
当前位置:首页 >> 最新范文 内容页

第3章实验报告之识别与清除计算机木马

第3章实验报告之识别与清除计算机木马 本文关键词:告之,木马,识别,清除,实验

第3章实验报告之识别与清除计算机木马 本文简介:BENET2.0网络实战–第3章实验时间2010年xx月xx日xx时~xx时实验人xxx实验名称实验之2:识别与清除计算机木马所属模块及课程网络实战第3章实验目的通过本实验,熟悉识别与清除计算机木马的方法与步骤实验拓扑实验环境与思路1、实验环境:需要二台虚拟机,1)Win2003-1操作系统为win

第3章实验报告之识别与清除计算机木马 本文内容:

BENET2.0

网络实战

–第3章

实验时间

2010年

xx

xx

xx

时~

xx

实验人

xxx

实验名称

实验之2

:识别与清除计算机木马

所属模块及课程

网络实战

第3章

实验目的

通过本实验,熟悉识别与清除计算机木马的方法与步骤

实验

拓扑

实验

环境

思路

1、

实验环境:

需要二台虚拟机,

1)

Win2003-1

操作系统为win2003,网卡设在VMNet2,IP:192.168.0.10,工作组模式,

充当目标主机

2)

Winxp-1

操作系统为winxp,网卡设在VMNet2,IP:192.168.0.14,工作组模式,

充当黑客机

2、

完成时间

35分钟

3、

完成标准

1)

通过远程将冰河木马送到其它电脑上,并实现远程控制目标主机

2)

能够手工或通过软件清除冰河木马

4、

实验思路

1)

在win2003-1上运行冰河服务器端程序,即执行木马病毒

2)

在winxp-1上通过冰河客户端程序连接到win2003-1,进行远程控制

3)

在win2003-1上清除冰河

4)

在win2003-1打补丁,亡羊补牢

实验步骤

1.运行冰河服务器端g_server.exe

执行

g_server.exe

2.在winxp-1上运行客户端g_client.exe。双击g_client.exe

在左侧空白处点右键,选择添加,主机名任取,如win03,主机地址输入目的地址192.168.0.10。也可“文件”-“自动搜索”,输入网段地址和起止地址搜索目的主机。

3.

上传文件到目的主机和复制目的主机的文件到本地

右键单击目的主机win03的C盘盘符,在弹出的菜单中选择“文件上传自”,选择本地的一个文本文件上传。在目的主机的C盘选择一个文本文件单击右键,选择“文件下载至”到本地主机

4.通过查看屏幕远程监控目标主机

点击“查看屏幕”,设置图像格式为JPEG,图像品质中等,点确定。此时可以通过屏幕远程监控到目标主机正在进行什么操作

5.玩玩对方。点击“命令控制台”-“控制类命令”-“鼠标控制”-“鼠标锁定”,锁定目标主机的鼠标。去目标主机检查鼠标状况。

6.点击“命令控制台”-“控制类命令”-“发送信息”给目标主机发送消息

7.点击“网络类命令”-“创建共享”,在路径中输入“c:/”,共享名为“share”,点击“创建共享”。去目标主机检查C盘共享状况。

8.点击“设置类命令”-“服务器端配置”-“修改服务器设置”-“基本设置“中修改监听端口号为8000,到目标主机上运行netstat

–an检查监听的端口是否由7626改为8000。在“自我保护”中将“关联类型”设为TXTFILE,即打开文本文件即触发冰河。

9.在win2003-1上清除冰河

先在任务管理器中停止进程kernel32

10.在注册表中搜索关于kernel32的项目,删除对应目录下的病毒文件

11.删除启动项中的有关kernel32的项目。

12.此时看起来冰河像是被清除了,但如果双击任一.txt文件,因为冰河与文本文件相关联了,所以又激活另一进程sysexplr.exe。冰河服务器端又会运行。同上方法清除主机关于sysexplr.exe的文件。

13.在运行中输入“regedit”进入注册表,按ctrl+F搜索“kernel32.exe”,发现病毒的位置在c:/windows/system32。删除注册表中这条记录,再打开winrar压缩软件,在地址栏中输入c:/windows/system32,找到“kernel32.exe”,按住shift键,单击右键删除该病毒文件。同理找到sysexplr.exe.exe在c:/windows/system32/下,删除注册表记录和该病毒文件。

14.打补丁,亡羊补牢

清除kernel32和sysexplr.exe后,注意我们上传的服务端g_server.exe被没有被找到(而且此程序可以改名改图标来增加隐蔽性),也就是说木马的根源没有被清除,黑客可以在合适的时间再次运行它。所以打上系统补丁,开启防火墙,防止黑客的再次入侵是我们要做的事情。

介绍一种方法(选做):

下载超级巡警V4.0打开该软件后,

点击“工具”-“补丁检查”。超级巡警将自动检查当前操作系统和应用软件,发现系统和应用软件的漏洞会提示下载补丁。选择要下载的补丁后,点击“下载安装补丁”,超级巡警将自动上网下载补丁并安装。

点击“工具”-“系统修复”点“全选”再点“修复”,修复被冰河修改的注册表及文件的关联关系。

当然也可以选择使用360安全卫士来进行漏洞修复

实验结果分析

实验中遇到的问题及解决方法

组长签字:

14

TAG标签: