下载后可任意编辑沈 阳 工 程 学 院学 生 实 验 报 告实验室名称: 信息学院网络安全实验室实验课程名称: 网络安全技术实验项目名称: 实验二 程序内存驻留与木马原型班 级: 姓 名: 学 号: 实验日期: 年 3 月 21 日 实验台编号: 34指导老师: 下载后可任意编辑批阅老师( 签字) : 成绩: 下载后可任意编辑一. 实验目的理解内存驻留程序, 编写程序实现内存驻留; 理解”冰河”原型木马, 编写程序实现简单的木马。二. 实验内容编程实现: ”冰河”原型; 编程推断是否中了”冰河”原型木马, 并能查杀木马。三. 实验原理”冰河”木马开发于 1999 年, 在设计之初, 开发者的本意是编写一个功能强大的远程控制软件。但一经推出, 就依靠其强大的功能成为了黑客们发动入侵的工具, 并结束了国外木马一统天下的局面, 成为国产木马的标志和代名词。在 之前, 冰河在国内一直是不可动摇的领军木马, 在国内没用过冰河的人等于没用过木马, 由此可见冰河木马在国内的影响力之巨大。1) 自动跟踪目标机屏幕变化, 同时能够完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时, 监控端的一切键盘及鼠标操作将反映在被控端屏幕( 局域网适用) ; 2) 记录各种口令信息: 包括开机口令、 屏保口令、 各种共享资源口令及绝大多数在对话框中出现过的口令信息; 3) 猎取系统信息: 包括计算机名、 注册公司、 当前用户、 系统路径、 操作系统版本、 当前显示分辨率、 物理及逻辑磁盘信息等多项系统数据; 4) 限制系统功能: 包括远程关机、 远程重启计算机、 锁定鼠标、 锁定系统热键及锁定注册表等多项功能限制; 5) 远程文件操作: 包括创立、 上传、 下载、 复制、 删除文件或目录、 文件压缩、 快速浏览文本文件、 远程打开文件( 提供了四中不同的打开方式——正常方式、 最大化、 最小化和隐藏方式) 等多项文件操作功能; 6) 注册表操作: 包括对主键的浏览、 增删、 复制、 重命名和对键值的读写等所有注册表操作功能; 7) 发送信息: 以四种常见图标向被控端发送简短信息; 8) 点对点通讯: 以聊天室形式同被控端进行在线交谈。从一定程度上能够说冰河是最有名的木马了, 就连刚接触电脑的用户也听说过它。虽然许多杀毒软件能够查杀它, 但国内仍有几十万中冰河的电脑存在! 作为木马, 冰河制造了最多人使用、 最多人中弹的奇迹! 四. 实验软硬件环境虚拟机中 windows 环...
