返回
【精品】冰河木马病毒入侵与防范详细实验报告图文教程

【精品】冰河木马病毒入侵与防范详细实验报告图文教程

ID:43721922

大小:935.42 KB

页数:25页

时间:2019-10-13

【精品】冰河木马病毒入侵与防范详细实验报告图文教程_第1页
【精品】冰河木马病毒入侵与防范详细实验报告图文教程_第2页
【精品】冰河木马病毒入侵与防范详细实验报告图文教程_第3页
【精品】冰河木马病毒入侵与防范详细实验报告图文教程_第4页
【精品】冰河木马病毒入侵与防范详细实验报告图文教程_第5页
资源描述:

《【精品】冰河木马病毒入侵与防范详细实验报告图文教程》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、目录简介1工作原理1步骤流程6功能18清除方法19结论20简介冰河木马开发于1999年,在设计Z初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名I可。在2006年Z前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨人。目的:远程访问、控制。选择:可人为制造受害者和寻找〃养马场〃,选择前者的基本上可省略扫描的步骤。从一定程度

2、上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以査杀它,但国内仍有儿十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再來对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system口录卜-生成Kernel32.

3、exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河乂冋来了!这就是冰河搂删不止的原因。工作原理冰河木马是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和WindowsAPI的知识,如果你不是很了解的话,

4、请去査阅相关的资料。一、基础篇(揭开木马的神秘面纱)无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。1•基本概念:网络客八/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行临听(Listen),如果有客八机向服务器的这一端口提出连接请求(ConnectRequest),服务器上的相应程序就会口动运行,来应答客户机的请求,这个程序我

5、们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程,G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)2.程序实现:在VB中,可以使用Winsock控件來编写网络客八/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):服务端:G_Server丄ocalPort=7626(冰河的默认端口,可以改为别的值)G_Server

6、.Listen(等待连接)客户端:G_Client.RemoteHost=ServerlP(设远端地址为服务器地址)G_Client.RemotePort=7626(设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)(在这•里可以分配一个本地端口给G_Client,如果不分配,计算机将会自动分配一个,建议让计算机自动分配)G_Client.Connect(调用Winsock控件的连接方法)一日-服务端接到客八端的连接请求ConnectionRequest,就接受连接PrivateSub

7、G_Server_ConnectionRequest(ByValrequestlDAsLong)G_Server.AcceptrequestlDEndSub客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(儿乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口PrivateSubG_Server_Close()G_Server.Close(关闭连接)G_Server.Listen(再次监听

8、)EndSub英他的部分町以用命令传递來进行,客户端上传一个命令,服务端解释并执行命令……二、控制篇(木马控制了这个世界!)由于Win98开放了所令的权限给川户,因此,以川户权限运行的木马程序儿乎可以控制一切,让我们來看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能述行简单的概述,主要是使川WindowsAPI函数,如果你想知道这些函数

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。