分別進入虛擬機器中PC1與PC2系統。在PC1中安裝伺服器端，在PC2中安裝客戶端。

（1）伺服器端。開啟C:\tool\“木馬攻擊實驗”資料夾，在“冰河”檔案儲存目錄下，雙擊G_SERVER。G_Server是木馬的伺服器端，即用來植入目標主機的程式。此時，會彈出“Windows安全警報”視窗如圖1，點選“解除阻止”，木馬的伺服器端便開始啟動。（如果防火牆已關閉會直接執行不會彈窗）

（2）客戶端。開啟C:\tool\“木馬攻擊實驗”資料夾，在“冰河”檔案儲存目錄下，雙擊G_CLIENT。G_Client是木馬的客戶端，即木馬的控制端。此時，會彈出“Windows安全警報視窗”如圖2，點選“解除阻止”，則可開啟控制端。

開啟控制端G_CLIENT後，彈出“冰河”的主介面.如圖3。

（3）新增主機。

在PC1（伺服器端），查詢ip地址：如圖4“cmd”介面

“開始”---“執行”---輸入“cmd”

在“cmd”模式下輸入“ipconfig”，如圖5查詢ip介面

單擊新增的主機（PC1）出現如圖6新增主機介面，如果連線成功，則會顯示伺服器端主機上的碟符如圖7伺服器端主機碟符。這時我們就可以像操作自己的電腦一樣操作遠端目標電腦.

顯示名稱，填入顯示在主介面的名稱(PC1)，即PC1的ip地址

主機地址：填入伺服器端主機的IP地址(192.168.59.136)

訪問口令：填入每次訪問主機的密碼，“空”即可

監聽埠：冰河預設的監聽埠是7626

命令控制檯命令的使用方法

（1）口令類命令：

點選“命令控制檯”，然後點選“口令類命令”前面的“+”即可圖介面出現。

（2）控制類命令

點選“命令控制檯”，點選“控制類命令”前面的“+”即可顯示圖所示介面

（3）網路類命令

點選“命令控制檯”，點選“網路類命令”前面的“+”即可展開網路類命令

（4）檔案類命令

點選“命令控制檯”，點選“檔案類命令”前面的“+”即可展開“檔案類命令”

該類命令中，“檔案瀏覽”、“檔案查詢”、“檔案壓縮”、“檔案刪除”、“檔案開啟”等選單可以檢視、查詢、壓縮、刪除、開啟遠端主機上某個檔案。“目錄增刪”、“目錄複製”、可以增加、刪除、複製遠端主機上的某個目錄。

（5）登錄檔讀寫

點選“命令控制檯”，點選“登錄檔讀寫”前面的“+”即可展開“登錄檔讀寫”命令。

登錄檔讀寫提供了“鍵值讀取”、“鍵值寫入”、“鍵值重新命名”、“主鍵瀏覽”、“主鍵增刪”、“主鍵複製”的功能。

（6）設定類命令

點選“命令控制檯”，點選“設定類命令”前面的“+”即可展開“設定類命令”

設定類命令提供了“更換牆紙”、“更改計算機名”、“伺服器端配置”的功能，

刪除冰河木馬

刪除冰河木馬主要有以下幾種方法：

（1）客戶端的自動解除安裝功能

點選“控制類命令”前面的“+”，點選“系統控制”可看到“自動解除安裝冰河”按鈕並點選，在彈出的窗口裡麵點擊“是”，則可以解除安裝遠端主機上的木馬如圖14自動解除安裝冰河木馬。

（2）手動解除安裝

在實際情況中木馬客戶端不可能為木馬伺服器端自動解除安裝木馬，我們在發現計算機有異常情況時（如經常自動重啟，密碼資訊洩露時），就應該懷疑是否已經中了木馬，這時我們應該檢視登錄檔，此處操作在PC1中進行，在“開始”→“執行”裡面輸入“regedit”，開啟Windows登錄檔編輯器如圖15。

依次開啟一下目錄

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在目錄中發現了一個預設的鍵值C:\WINNT\System32\kernel32.exe，這就是“冰河”密碼在登錄檔中加入的鍵值，選中它，右鍵，點選刪除，即可把它刪除如圖16刪除冰河木馬的。

然後依次開啟目錄

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

在目錄中也發現了一個預設的鍵值C:\WINNT\System32\kernel32.exe，這也是“冰河”木馬在登錄檔中加入的鍵值，將它刪除

方法是找到登錄檔的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的預設值，選中“（預設）”，單擊滑鼠右鍵，選擇修改如圖18編輯字串。

然後即可出現如下視窗，將數值資料C:\Windows\System32\Sysexplr.exe%1改為正常情況下的C:\Windows\notepad.exe%1即可，如圖19修改編輯字串，最後重新啟動計算機，冰河木馬就徹底刪除了。

答題

分析與思考

1、 如何發現木馬威脅？

答：1、 檢查登錄檔

在Windows系統命令列中，用regedit命令進入登錄檔，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以"Run"開頭的鍵值名，其下有沒有可疑的檔名。如果有，就需要刪除相應的鍵值，再刪除相應的應用程式。

2、 檢查啟動組

木馬經常隱藏在啟動組而自動載入執行。啟動組對應的資料夾為：C:\windows\start menu\programs\startup，在登錄檔中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。要注意經常檢查這兩個地方。

3、隱蔽在Win.ini以及System.ini中

Win.ini的小節下的load和run後面在正常情況下是沒有跟什麼程式的，如果有了那就要認真檢查，有可能是木馬；在System.ini的小節的Shell=Explorer.exe後面也是載入木馬的好場所。如果是：Shell=Explorer.exe wind0ws.exe，則wind0ws.exe很有可能就是木馬服務端程式。

4、檢查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat

當你下載一個檔案或是開啟某些網頁連結時，間諜軟體會未經你同意而偷偷安裝。間諜軟體可以設定您的自動簽名，監控你的按鍵、掃描、讀取和刪除你的檔案，訪問您的應用程式甚至格式化你的硬碟。它會不斷的將你的資訊反饋給控制該間諜軟體的人。這就要求我們在下載檔案時要多加小心，不要去點選那些來路不明的連線。

5、 如果是EXE檔案啟動

那麼執行這個程式，看木馬是否被裝入記憶體，埠是否開啟。如果是，則說明要麼是該檔案啟動木馬程式，要麼是該檔案捆綁了木馬程式，只好再找一個這樣的程式，重新安裝一下。

6、 木馬啟動都有一個方式

它只是在一個特定的情況下啟動，所以，平時多注意一下埠，檢視一下正在執行的程式，用此來監測大部分木馬應該沒問題的。

發現計算機中了木馬後，要找到木馬啟動檔案，一般在登錄檔及與系統啟動有關的檔案裡能找到木馬檔案的位置， 刪除木馬檔案，並且刪除登錄檔或系統啟動檔案中相關木馬資訊。

但對於一些十分複製的木馬，一般很難找到，這時需要藉助木馬查殺工具，如360等；或者請求資訊網路中心技術支援。

2、 畫出木馬工作流程圖，加深對木馬原理理解。

答：