实验四 木马的远程控制和清除
目錄
- 0x01環(huán)境配置
- 1. 關(guān)閉防火墻
- 2. 冰河木馬下載解壓
- 3. 攻擊者主機(jī)(Win7)打開g_client.exe
- 4. 受害者主機(jī)(WinXP)打開g_server.exe
- 5. 攻擊者進(jìn)行連接受害者主機(jī)
- 0x02 遠(yuǎn)程控制
- 1. 遠(yuǎn)程桌面控制
- 2. 冰河信使進(jìn)行通信
- 3. 攻擊者創(chuàng)建新建文件夾
- 0x03 卸載冰河木馬
- 1. 遠(yuǎn)程自動(dòng)卸載冰河木馬
- 2. 手動(dòng)卸載冰河木馬
0x01環(huán)境配置
攻擊者主機(jī):Win7 (192.168.30.221)
受害者主機(jī):winXP(192.168.30.134)
1. 關(guān)閉防火墻
兩臺(tái)主機(jī)均關(guān)閉防火墻
2. 冰河木馬下載解壓
冰河木馬下載鏈接
自定義安裝(要記住自定義安裝的文件夾)
選擇安裝路徑
一鍵安裝
2. 打開所選擇安裝的文件夾,進(jìn)行解壓
雙擊提取出來(lái)(類似解壓)
提取密碼為:www.downcc.com
3. 攻擊者主機(jī)(Win7)打開g_client.exe
打開解壓后的文件夾
雙擊打開
打開后的應(yīng)用面板
4. 受害者主機(jī)(WinXP)打開g_server.exe
出現(xiàn)7626端口則表示木馬運(yùn)行成功,此時(shí)也會(huì)出現(xiàn)Kernel32進(jìn)程
5. 攻擊者進(jìn)行連接受害者主機(jī)
掃描可連接主機(jī)
從結(jié)果可以看出掃描出一臺(tái)設(shè)備(WinXP主機(jī))
拿下WinXP主機(jī),可以進(jìn)行查看文件信息
0x02 遠(yuǎn)程控制
1. 遠(yuǎn)程桌面控制
2. 冰河信使進(jìn)行通信
3. 攻擊者創(chuàng)建新建文件夾
在受害者主機(jī)可以看到創(chuàng)建成功
0x03 卸載冰河木馬
1. 遠(yuǎn)程自動(dòng)卸載冰河木馬
再次查看端口與進(jìn)程,發(fā)現(xiàn)7626端口關(guān)閉,進(jìn)程Kernel32.exe已經(jīng)關(guān)閉
2. 手動(dòng)卸載冰河木馬
四步驟:
冰河會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run下扎根,鍵值為C:/windows/system/Kernel32.exe,用于設(shè)置開機(jī)自啟,找到并刪除。
1)受害者主機(jī)打開注冊(cè)表
2)進(jìn)入HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion\Run,找到鍵值為C:/windows/system/Kernel32.exe,找到并刪除。
在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默認(rèn)這一項(xiàng),右鍵修改!注意是修改不是刪除!!!將他的值改為:C:\WINDOWS\notepad.exe %1。
1)進(jìn)入注冊(cè)表HKEY_CLASSES_ROOT/txtfile/shell/open/command
2)選中,將值修改為C:\WINDOWS\notepad.exe %1
1)刪除Kernel32.exe
2)刪除sysexplr.exe
查看端口發(fā)現(xiàn)7626端口已經(jīng)關(guān)閉,成功卸載冰河木馬
總結(jié)
以上是生活随笔為你收集整理的实验四 木马的远程控制和清除的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: vue中递归组件实现多级列表
- 下一篇: 虚拟机桥接模式怎么都连不上网(桥接模式下