沈 阳 工 程 学 院 学 生 实 验 报 告 实验室名称:信息学院网络安全实验室 实验课程名称:网络安全技术 实验项目名称:实验二 程序内存驻留与木马原型 班 级: 姓 名: 学 号: 实验日期: 2 0 1 4 年 3 月 2 1 日 实验台编号:3 4 指导教师: 批阅教师(签字): 成绩: 一. 实验目的 理解内存驻留程序,编写程序实现内存驻留; 理解“冰河” 原型木马,编写程序实现简单的木马。 二. 实验内容 编程实现:“冰河” 原型; 编程判断是否中了“冰河” 原型木马,并能查杀木马。 三. 实验原理 “冰河“木马开发于 1999 年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。 在 2006 年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。 1) 自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2) 记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息; 3) 获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据; 4) 限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制; 5) 远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式— — 正常方式、最大化、最小化和隐藏方式)等多项文件操作功能; 6) 注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能; 7) 发送信息:以四种常用图标向被控端发送简短信息; 8) 点对点通讯:以聊天室形式同被控端进行在线交谈。 从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹! 四. 实验软硬件环境 虚拟机中 w indow s2000 环境。 五. 实验步骤 第一步:“冰河”木马...
