目录0x01环境配置1 .关闭防火墙2 .冰川木马下载解压缩3 .打开攻击者主机(Win7) g_client.exe4.受害者主机(WinXP ) g_server.exe5.打开
0x01环境配置
攻击者主机: win7(192.168.30.221 )。
受害者主机: winxp(192.168.30.134 )。
1 .关闭防火墙两个主机都关闭防火墙
2 .冰川木马下载解冻冰川木马下载链接
首先下载到windows7主机,然后双击自定义安装进行安装。 请记住自定义安装的文件夹
选择安装路径
一键安装
2 .打开选定安装的文件夹并解压缩
双击以提取(如解压缩) ) ) ) )。
提取密码为www.downcc.com
3 .打开攻击者主机(Win7) g_client.exe打开解压缩后的文件夹
双击以打开
打开后的APP应用程序面板
4 .受害者主机(WinXP )通过双击打开g_server.exe并将g_server.exe置于受害者主机上(可以复制到物理机,然后复制到受害者主机)来运行
进程netstat -an的显示
如果显示7626端口,木马将正常运行,并显示Kernel32进程
从受害者主机的ip来看,为192.168.30.134
5 .攻击者对连接受害者进行主机扫描后可以连接的主机
结果显示扫描了设备(WinXP主机)
取WinXP主机后,可以显示文件信息
0x02远程控制1 .远程桌面控制
2 .冰川信使通信
3 .攻击者创建新文件夹
在受害者主机上可以看到制作成功了
0x03拆除冰川木马1 .远程自动拆除冰川木马
再次查看端口和进程时,发现7626端口已关闭,进程Kernel32.exe已关闭
2 .手动卸载冰川木马的四个步骤:
恢复自启动注册表
冰川扎根于注册表HKEY _ local _ machine/software/Microsoft/windows/current version\run下,键值为c :/windows/sysysion
2 ) HKEY _ local _ machine/software/Microsoft/windows/current version (进入run,键值为c :/windows/system/kernt
恢复txt文件的注册表信息。 冰川可以修改txt文件中的注册表信息键值对,并将sysexplr.exe与txt文件相关联,从而在编辑txt文件时再次激活冰川,找到该键值对并将其返回notepad。
在HKEY _ classes _ root/txtfile/shell/open/command中找到默认项目,然后右键单击进行修复! 请注意,修改不是删除! 将他的值更改为C:\WINDOWS\notepad.exe %1。 1 )访问注册表HKEY _ classes _ root/txtfile/shell/open/command
2 )选中以将值更改为C:\WINDOWS\notepad.exe %1
结束冰川中心进程Kernel32.exe
删除系统目录中的Kernel32.exe和sysexplr.exe文件。 文件位置为windows/system32。 Kernel32.exe在系统启动时自动加载并运行,sysexplr.exe与TXT文件相关联。 找到并删除1 )删除Kernel32.exe
2 )删除sysexplr.exe
查看端口,7626端口已关闭,冰川木马已成功卸载