目录0x01环境配置1 .关闭防火墙2 .冰川木马下载解压缩3 .打开攻击者主机(Win7) g_client.exe4.受害者主机(WinXP ) g_server.exe5.打开

0x01环境配置

攻击者主机： win7(192.168.30.221 )。

受害者主机： winxp(192.168.30.134 )。

1 .关闭防火墙两个主机都关闭防火墙

2 .冰川木马下载解冻冰川木马下载链接

首先下载到windows7主机，然后双击自定义安装进行安装。 请记住自定义安装的文件夹

选择安装路径

一键安装

2 .打开选定安装的文件夹并解压缩

双击以提取(如解压缩) ) ) ) )。

提取密码为www.downcc.com

3 .打开攻击者主机(Win7) g_client.exe打开解压缩后的文件夹

双击以打开

打开后的APP应用程序面板

4 .受害者主机(WinXP )通过双击打开g_server.exe并将g_server.exe置于受害者主机上(可以复制到物理机，然后复制到受害者主机)来运行

进程netstat -an的显示

如果显示7626端口，木马将正常运行，并显示Kernel32进程

从受害者主机的ip来看，为192.168.30.134

5 .攻击者对连接受害者进行主机扫描后可以连接的主机

结果显示扫描了设备(WinXP主机)

取WinXP主机后，可以显示文件信息

0x02远程控制1 .远程桌面控制

2 .冰川信使通信

3 .攻击者创建新文件夹

在受害者主机上可以看到制作成功了

0x03拆除冰川木马1 .远程自动拆除冰川木马

再次查看端口和进程时，发现7626端口已关闭，进程Kernel32.exe已关闭

2 .手动卸载冰川木马的四个步骤：

恢复自启动注册表

冰川扎根于注册表HKEY _ local _ machine/software/Microsoft/windows/current version\run下，键值为c :/windows/sysysion

2 ) HKEY _ local _ machine/software/Microsoft/windows/current version (进入run，键值为c :/windows/system/kernt

恢复txt文件的注册表信息。 冰川可以修改txt文件中的注册表信息键值对，并将sysexplr.exe与txt文件相关联，从而在编辑txt文件时再次激活冰川，找到该键值对并将其返回notepad。

在HKEY _ classes _ root/txtfile/shell/open/command中找到默认项目，然后右键单击进行修复！ 请注意，修改不是删除！ 将他的值更改为C:\WINDOWS\notepad.exe %1。 1 )访问注册表HKEY _ classes _ root/txtfile/shell/open/command

2 )选中以将值更改为C:\WINDOWS\notepad.exe %1

结束冰川中心进程Kernel32.exe

删除系统目录中的Kernel32.exe和sysexplr.exe文件。 文件位置为windows/system32。 Kernel32.exe在系统启动时自动加载并运行，sysexplr.exe与TXT文件相关联。 找到并删除1 )删除Kernel32.exe

2 )删除sysexplr.exe

查看端口，7626端口已关闭，冰川木马已成功卸载