本實驗通過對木馬的練習與實踐。使學習者理解和掌握木馬的執行與傳播的機制，共分為三個實驗任務，詳情如下：

冰河木馬植入與控制

分別進入虛擬機器中PC1與PC2系統。在PC1中安裝伺服器端，在PC2中安裝客戶端。

（1）伺服器端。開啟C:\tool\“木馬攻擊實驗”資料夾，在“冰河”檔案儲存目錄下，雙擊G_SERVER。G_Server是木馬的伺服器端，即用來植入目標主機的程式。此時，會彈出“Windows安全警報”視窗如圖1，點選“解除阻止”，木馬的伺服器端便開始啟動。（2）客戶端。開啟C:\tool\“木馬攻擊實驗”資料夾，在“冰河”檔案儲存目錄下，雙擊G_CLIENT。G_Client是木馬的客戶端，即木馬的控制端。此時，會彈出“Windows安全警報視窗”如圖2，點選“解除阻止”，則可開啟控制端。

開啟控制端G_CLIENT後，彈出“冰河”的主介面

在“cmd”模式下輸入“ipconfig”，如圖5查詢ip介面

查詢ip介面

單擊新增的主機（PC1）出現如圖6新增主機介面，如果連線成功，則會顯示伺服器端主機上的碟符如圖7伺服器端主機碟符。這時我們就可以像操作自己的電腦一樣操作遠端目標電腦.

顯示名稱，填入顯示在主介面的名稱(PC1)，即PC1的ip地址

主機地址：填入伺服器端主機的IP地址(192.168.59.136)

訪問口令：填入每次訪問主機的密碼，“空”即可

監聽埠：冰河預設的監聽埠是7626

命令控制檯命令的使用方法

（1）口令類命令：

點選“命令控制檯”，然後點選“口令類命令”前面的“+”即可圖介面出現如圖8口令類命令。

各分支含義如下：

“系統資訊及口令”：可以檢視遠端主機的系統資訊，開機口令，快取口令等。可看到非常詳細的遠端主機資訊，這就無異於遠端主機徹底暴露在攻擊者面前

“歷史口令”：可以檢視遠端主機以往使用的口令

“擊鍵記錄”：啟動鍵盤記錄後，可以記錄遠端主機使用者擊鍵記錄，一次可以分析出遠端主機的各種賬號和口令或各種祕密資訊

（2）控制類命令

點選“命令控制檯”，點選“控制類命令”前面的“+”即可顯示圖所示介面如圖9控制類命令。

各分支含義如下：

“捕獲螢幕”：這個功能可以使控制端使用者檢視遠端主機的螢幕，好像遠端主機就在自己面前一樣，這樣更有利於竊取各種資訊，單擊“檢視螢幕”按鈕，然後就染成了遠端主機的螢幕。可以看到，遠端主機螢幕上的內容就顯示在本機上了，顯示內容不是動態的，而是每隔一段時間傳來一幅。

“傳送資訊”：這個功能可以使你向遠端計算機發生Windows標準的各種資訊，在“資訊正文”中可以填入要發給對方的資訊，在圖表型別中，可以選擇“普通”，“警告”，“詢問”，“錯誤”等型別。按鈕型別可以選擇“確定”“是”“否”等型別。

“程序管理”：這個功能可以使控制著檢視遠端主機上所有的程序

“視窗管理”：這個功能可以使遠端主機上的視窗進行重新整理，最大化，最小化，啟用，隱藏等操作。

“系統管理”：這個功能可以使遠端主機進行關機，重啟，重新載入“冰河”自動解除安裝”冰河”的操作

“滑鼠控制”：這個功能可以使遠端主機上的滑鼠鎖定在某個範圍內

“其他控制”：這個功能可以使遠端主機進行自動撥號禁止，桌面隱藏，登錄檔鎖定等操作

（3）網路類命令

點選“命令控制檯”，點選“網路類命令”前面的“+”即可展開網路類命令如圖10。

各分支的含義是：

“建立共享”：在遠端主機上建立自己的共享

“刪除共享”：在遠端主機上刪除某個特定的共享

“網路資訊”：檢視遠端主機上的共享資訊

設定類命令

點選“命令控制檯”，點選“設定類命令”前面的“+”即可展開“設定類命令”，如圖13設定類命令。

刪除冰河木馬

刪除冰河木馬主要有以下幾種方法：

（1）客戶端的自動解除安裝功能

點選“控制類命令”前面的“+”，點選“系統控制”可看到“自動解除安裝冰河”按鈕並點選，在彈出的窗口裡麵點擊“是”，則可以解除安裝遠端主機上的木馬如圖14自動解除安裝冰河木馬。

（2）手動解除安裝

在實際情況中木馬客戶端不可能為木馬伺服器端自動解除安裝木馬，我們在發現計算機有異常情況時（如經常自動重啟，密碼資訊洩露時），就應該懷疑是否已經中了木馬，這時我們應該檢視登錄檔，此處操作在PC1中進行，在“開始”→“執行”裡面輸入“regedit”，開啟Windows登錄檔編輯器

依次開啟一下目錄

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在目錄中發現了一個預設的鍵值C:\WINNT\System32\kernel32.exe，這就是“冰河”密碼在登錄檔中加入的鍵值，選中它，右鍵，點選刪除，即可把它刪除如圖16刪除冰河木馬的。

然後依次開啟目錄

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

在目錄中也發現了一個預設的鍵值C:\WINNT\System32\kernel32.exe，這也是“冰河”木馬在登錄檔中加入的鍵值，將它刪除

上面兩個登錄檔的子鍵目錄Run和Runservices中存放的鍵值是系統啟動時自動啟動的程式，一般病毒程式，木馬程式，後門程式等都放在這些子鍵目錄下，所以要經常檢查這些子鍵目錄下的程式，如果有不明程式，要著重進行分析。

修改檔案關聯也是木馬常用的手段，“冰河”木馬將txt檔案的預設開啟方式由notepad.exe改為木馬的啟動程式，除此之外，html、exe、zip、com等檔案也都是木馬的目標，所以，在最後需要回復登錄檔中的txt檔案關聯功能。

方法是找到登錄檔的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的預設值，選中“（預設）”，單擊滑鼠右鍵，選擇修改如圖18編輯字串。

然後即可出現如下視窗，將數值資料C:\Windows\System32\Sysexplr.exe%1改為正常情況下的C:\Windows\notepad.exe%1即可，如圖19修改編輯字串，最後重新啟動計算機，冰河木馬就徹底刪除了。