灰鸽子使用什么语言编写的
灰鸽子使用什么语言编写的
09-02-03 &匿名提问
灰鸽子     一、灰鸽子病毒简介　　(1)灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具，。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。 　　灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。 　　服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。 (2)作者 葛军　　（1982- ）安徽潜山人，灰鸽子工作室管理员，精通Delphi、ASP、数据库编程
请登录后再发表评论!
(1)灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具，。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。　　灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。　　服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。　　因涉及互联网安全法律纠纷问题，自日起灰鸽子已全面停止开发和注册[1]。互联网上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。　　　(2)作者葛军（1982- ）安徽潜山人，灰鸽子工作室管理员，精通Delphi、ASP、数据库编程，2001年首次将反弹连接应用在远程控制软件上，随后掀起了国内远程控制软件使用反弹连接的热潮，2005年4月，将虚拟驱动技术应用到灰鸽子屏幕控制上，使灰鸽子的屏幕控制达到了国际先进水平。　　葛军，“灰鸽子工作室”的创办者，一个低调而又引人注目的程序员。　　　(3)服务端：　　配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。　　G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的 windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到 windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为 G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为 A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。　　Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。　　灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。　灰鸽子-变种来袭　　国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现了“灰鸽子”的新变种。专家指出，该变种在受感染计算机系统中运行后，会将病毒文件复制到系统的指定目录下，并将文件属性设置为只读、隐藏或存档，使得计算机用户无法发现并删除。该变种还会修改受感染系统注册表中的启动项，使得变种随计算机系统启动而自动运行。　　另外，该变种还会在受感染操作系统中创建新的IE进程，并设置其属性为隐藏，然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统，那么受感染的操作系统会主动连接互联网络中指定的服务器，下载其他病毒、木马等恶意程序，同时恶意攻击者还会窃取计算机用户的键盘操作信息（如：登录账户名和密码信息等），最终造成受感染的计算机系统被完全控制，严重威胁到计算机用户的系统和信息安全。二、灰鸽子的手工检测　　由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。　　但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择 “Safe Mode”或“安全模式”。　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。　　3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。　　4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。　　经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。三、灰鸽子的手工清除　　经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：　　1、清除灰鸽子的服务；　　2、删除灰鸽子程序文件。　　注意：为防止误操作，清除前一定要做好备份。　　（一）、清除灰鸽子的服务　　注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联　　2000／XP系统：　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。　　3、删除整个Game_Server项。　　98／me系统：　　在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。　　（二）、删除灰鸽子程序文件　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。　　以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。　　四、防止中灰鸽子病毒需要注意的事项　　1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序　　2. 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户　　3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护　　4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。　 四、灰鸽子的公告声明　　灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发，主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品，均为商业化的远程控制软件，主要提供给网吧、企业及个人用户进行电脑软件管理使用；灰鸽子软件已获得国家颁布的计算机软件著作权登记证书，受著作权法保护。　　然而，我们痛心的看到，目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为，这些行为严重影响了灰鸽子远程管理软件的声誉，同时也扰乱了网络秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。　　应该表明的是，灰鸽子工作室自成立以来恪守国家法律和有关网络管理的规定，具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动，在此，我们郑重声明，自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册，以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为，并诚恳接受广大网民的监督。　　灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为，对于此类行为，灰鸽子工作室发布了灰鸽子服务端卸载程序，以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。卸载程序下载页面。 五、灰鸽子工作室　　灰鸽子工作室于2003年初成立,定位于远程控制,远程管理,远程监控软件开发,主要产品为灰鸽子远程控制系列,2005年6月,正式推出使用驱动技术捕获屏幕的远程控制软件,捕获屏幕速度开始超越国外远程控制软件,灰鸽子开始被喻为远程控制的代名词。我们希望，用我们的技术和经验，打造出最好的远程控制软件，推动远程控制技术的发展！　　日　　八、 灰鸽子工作室成员介绍　　葛军:2003年初，与好友黄土平创建了灰鸽子工作室。2001年挺进版率先在远程控制软件上开发和使用了反弹连接技术。　　黄土平:2003年初，与好友葛军创建了灰鸽子工作室。　　灰鸽子是同类软件的祖先。
请登录后再发表评论!&&&&冰河DDOS压力测试[高级版]
冰河DDOS压力测试[高级版]
冰河系列DDOS压力测试软件主要分为:流量压力测试,网站压力测试,与防火墙压力测试三大类流量压力测试.
若举报审核通过，可奖励20下载分
被举报人：
wxf8965699
举报的资源分：
请选择类型
资源无法下载
资源无法使用
标题与实际内容不符
含有危害国家安全内容
含有反动色情等内容
含广告内容
版权问题，侵犯个人或公司的版权
*详细原因：
VIP下载&&免积分60元/年（1200次）
您可能还需要
安全技术下载排行具体功能/冰河木马
在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。目的：远程访问、控制。选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7．发送信息：以四种常用图标向被控端发送简短信息；8．点对点通讯：以聊天室形式同被控端进行在线交谈。从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万种冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹，掌握了如何清除标准版，再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。 Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。
清除方法/冰河木马
1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersionRun下扎根，键值为C:/windows/system/Kernel32.exe，删除它。3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。4、最后，改注册表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。
冰河木马原理/冰河木马
木马冰河是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。基础篇无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。那么，就让我们从网络客户/服务程序的编写开始。基本概念网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!）程序实现在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):服务端:G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)G_Server.Listen(等待连接)客户端:G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)G_Client.Connect (调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)G_Server.Accept requestIDEnd Sub客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口Private Sub G_Server_Close()G_Server.Close (关闭连接)G_Server.Listen (再次监听)End Sub其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令......控制篇由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几乎可以控制一切，让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。远程监控(控制对方鼠标、键盘，并监视对方屏幕)keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。MOUSEEVENTF_MOVE 移动鼠标MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标记录口令信息(作者注：出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)获取系统信息a.取得计算机名 GetComputerNameb.更改计算机名 SetComputerNamec.当前用户 GetUserName函数d.系统路径Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象)Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系统目录)Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安装目录)(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionExf.当前显示分辨率Width = screen.Width \ screen.TwipsPerPixelXHeight= screen.Height \ screen.TwipsPerPixelY其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Windows的"垃圾站"-注册表比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。限制系统功能a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:ExitWindowsEx(ByVal uFlags,0)当uFlags=0 EWX_LOGOFF 中止进程，然后注销当uFlags=1 EWX_SHUTDOWN 关掉系统电源当uFlags=2 EWX_REBOOT 重新引导系统当uFlags=4 EWX_FORCE 强迫中止没有响应的进程b.锁定鼠标ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以注:RECT是一个矩形,定义如下:Type RECTLeft As LongTop As LongRight As LongBottom As LongEnd Typec.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的......d.让对方掉线 RasHangUp......e.终止进程 ExitProcess......f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口远程文件操作无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现注册表操作在VB中只要Set RegEdit=CreateObject（"WScript.Shell")就可以使用以下的注册表功能:删除键值:RegEdit.RegDelete RegKey增加键值:RegEdit.Write RegKey,RegValue获取键值:RegEdit.RegRead (Value)记住,注册表的键值要写全路径,否则会出错的。7.发送信息很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。8.点对点通讯呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东，困惑......)9.换墙纸CallSystemParametersInfo(20,0,"BMP路径名称",&H1)值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败，遇到这种问题，请不要找冰河和我，去找Bill吧。潜行篇（Windows系统，一个捉迷藏的大森林）木马并不是合法的网络服务程序，因此，它必须想尽一切办法隐藏自己，好在Windows是一个捉迷藏的大森林!隐藏自己这是最基本的了,如果连这个都做不到......（想象一下，如果Windows的任务栏里出现一个国际象棋中木马的图标...这也太嚣张了吧……)在VB中，只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。在任务管理器中隐形：在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程，这个有点难度，不过还是难不倒我们，将程序设为“系统服务”可以很轻松的伪装成比尔盖茨的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。在VB中如下的代码可以实现这一功能：Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As LongPublic Declare Function GetCurrentProcessId Lib "kernel32" () As Long(以上为声明)Private Sub Form_Load()RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)End SubPrivate Sub Form_Unload()RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)End Sub
隐蔽启动/冰河木马
你当然不会指望用户每次启动后点击木马图标来运行服务端，木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端（第一重要的是如何让对方中木马，嘿嘿，这部分的内容将在后面提到）Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了\kernl32.exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝着茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化）下生成一个叫sysexplr.exe文件（太象超级解霸了，好毒呀，冰河！）,这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?),sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制着。（冰河就是这样长期霸占着穷苦劳动人民宝贵的系统资源的，555555）端口木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势 (netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对着这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)最新隐身技术更新、更隐蔽的方法已经出现，那就是-驱动程序及动态链接库技术（冰河3.0会采用这种方法吗?）。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式-监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀）、不需要打开新的端口（所以不能用端口监视的方法查杀）、没有新的进程（所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行）。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......事实上，我已经看到过几个这样类型的木马，其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)破解篇冰河陷阱。冰河陷阱有两种作用：1、自动清除所有版本“冰河”2、伪装成“冰河”被控端对入侵者进行欺骗，并记录入侵者的所有操作端口扫描端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。（关于端口扫描，Oliver有一篇关于“半连接扫描”的文章，很精彩，那种扫描的原理不太一样，不过不在本文讨论的范围之中）但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。查看连接查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat-a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。检查注册表上面在讨论木马的启动方式时已经提到，那么，我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。查找文件查找木马特定的文件也是一个常用的方法（这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......）冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽, 是sysexlpr.exe(什么什么,不是超级解霸吗?)对！冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样（废话，Server端程序都没了，还能干嘛？）如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)b.在-查看-文件夹选项-文件类型中编辑c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中,然后找到notepad,点一下就OK了。（这个最简单，推荐使用）提醒一下，对于木马这种狡猾的东西，一定要小心又小心，冰河是和txt文件关联的，txt打不开没什么大不了，如果木马是和exe文件关联而你贸然地删了它......你苦了！连regedit都不能运行了！杀病毒软件之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 可以监视所有调用Winsock的程序，并可以动态杀除进程，是一个个人防御的好工具（虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑，嘿嘿，两年后的事都说不清，谁知道十年后木马会“进化”到什么程度？甚至十年后的操作系统是什么样的我都想象不出来）另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的"系统文件检查器"，通过"开始菜单"-"程序"-"附件"-"系统工具 "-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件（如驱动程序）。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用！)狡诈篇（只要你的一点点疏忽......)只要你有一点点的疏忽，就有可能被人安装了木马，知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。木马种植伎俩网上“帮”人种植木马的伎俩主要有以下的几条a.软哄硬骗法这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的......反正目的都一样,就是让你去运行一个木马的服务端。b.组装合成法就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。c.改名换姓法这个方法出现的比较晚，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg *.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)d.愿者上钩法木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗;奉劝：不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意...几点注意（一些陈词滥调）a．不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点，这些站点一般都有专人杀马杀毒；b．不要过于相信别人，不能随便运行别人给的软件；（特别是认识的，不要以为认识了就安全了，就是认识的人才会给你装木马,哈哈,挑拨离间......）c．经常检查自己的系统文件、注册表、端口什么的，经常去安全站点查看最新的木马公告；d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)破解之法不用我说了,大家都知道冰河2.2最新版吧!它的强大的功能大家也一定十分的了解吧!他的操作界面清晰简洁,控制类功能强大，一些功能如果应用与远程控制管理，那么它将是非常理想的软件,可要是被他人用于黑客木马，那么它的危害比起BO2000,NETSPY真是有过之而无不及.事实上，把它定位于黑客木马并不过分，因为它的服务器端程序具有隐藏,自我复制保护,盗取密码帐号等功能,这不是一个正常的软件所应具备的.他甚至还可以在客户端将木马设置成任意文件名,服务器端程序在上网后，还会自动将该机当前的IP通过E-MAIL方式发送到客户端.拷贝,删除文件,关闭进程,强制关机，跟踪键盘锁定鼠标等更不在话。所以我在此给大家介绍解除冰河服务端的方法,从此就不必再担心自己的机子会被人控制了！那么如何防范与消除冰河呢？首先，不要执行来路不明的软件程序,这是千古不变的真理.任何黑客程序再高明，功能再强大,都需要利用系统漏洞才能达到入侵的目的.假如没有服务器端的木马程序运行，就可以使掌握着客户端程序的这类黑客不能得逞.其次，应养成良好的电脑使用习惯,如不把拨号上网的密码保存等等！了解冰河黑客软件的攻击机制,就没有什么可惧怕的了。一旦感染了"冰河",可以使用以下的方法,将其歼灭在你的电脑里：1.检查注册表启动组,具体为:开始-->运行-->regedit,值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Sogtware\Microsoft\Windows\CurrentVersion\RunServer,查找KERNEL32.EXE的执行项目,如有则将两个键值删除.值得注意的是,因为"冰河"可以随意配置服务器程序的参数,如服务器文件名，端口号,密码等,因此服务器端的程序可以是随意名称，即不局限是KERNEL32.EXE,所以在这里需要具备一定的Windows知识,准确的找出可疑的启动文件,如哪不定主意的话可以与另一台电脑进行对照.2.删除硬盘上与“冰河”有关的文件.可以按上述文件名将可疑文件找出后删除.KERNEL32.EXE和sysexplr.exe(或更改为新名称)默认在\Windows\sytem目录下,但同样因配置的不同可以寄存与\Windows或\Temp目录下.3.“冰河”的自我保护措施是很强的,它可以利用注册表的文件关联项目,在你毫不知觉的情况下复制自己重新安装.在做完上述工作后,虽然表面上“冰河”不复存在了，但当你点击打开有关文件时(如*.TXT,*EXE),“冰河”又复活了！因此为斩草除根,在上述1.2步的基础上,还应以可疑文件名为线索,全面扫描查找一遍注册表,可以发现可疑键值一一删除.4.上述的操作因需要在系统的心脏--注册表上做手术，有一定的危险性.其实最简便有效的办法就是格式化你的硬盘,重装Windows系统，当然,你要为此付出一定的时间了！以下是补充上述方法的新文章:一. 按照上述方法杀掉冰河后，还应该对注册表中HKEY_CLASS_ROOT\txtfile\shell\open\command下的键值C:\WINDOWS\NOTEPAD.EXE%1 进行修正,改为:C:\WINDOWS\SYSTEM\EXE%1,否则大家会发现打不开文本文件,当打开文本文件时,大家会看到'未找到程序'的提示.二.是上述介绍杀掉木马的方法是,只是针对客户端配置的确省模式,当客户端在配置服务器程序是更换了文件名,广大网友可能就找不到了.具体的判断解决方法是"首先还是查看注册表中HKEY_CLASS_TOOT\txtfile\shell\poen\command的键值是什么,如C:\WINDOWS\SYSTEM\CY.EXE%1(这里也可能是其它文件名和路径),记下来CY.EXE;查注册表中HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunServer的键值,如也有CY.EXE,则基本上判断他就是冰河木马,最好还要再核对文件的字节数(2.0版本冰河木马字节熟为495,733字节),将以上的两个键值删除C:\WINDOWS\SYSTEM\CY.EXE即可(在WIN98下是删不掉的).需要注意的是在修正注册表之前,要做好备份;要对与CY.EXE字节熟相同的文件引其高度注意,以防客户端在此前给你配置了几套冰河木马。
相关内容/冰河木马
如何识别木马先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，其中的图片木马其实很简单，就是把木马 exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解，简单防治方法开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。还有，不要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。冰河陷阱提起“冰河”木马，相信没有多少网民不知道。作为国内木马程序的经典之作，它操作简单，功能强大。虽然原作者黄鑫从2.2B版本已经彻底停止了开发，但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP以及各种“XX专版”，更有甚者已经开始对修改后的冰河程序进行收费，这引起了原作者黄鑫的注意。为了防止这种不良影响，他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序，主要有两大功能：一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端，记录入侵者的所有操作。第一步：清除冰河木马把压缩包内的文件解压到一个目录，运行“冰河陷阱.exe”，如果当前系统中已经被别人植入了冰河木马的话，这时它会提示你是否自动清除冰河木马被控端程序，当然要选择“是”了，接下来它会显示出这个安装的“冰河”木马的配置信息，点击[确定]按钮，冰河陷阱就会自动彻底地从系统中清除冰河木马，并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。另外还要记下“接收IP信箱”后面显示的邮箱，这就是入侵者接收你的IP地址以及密码等信息的信箱，以后你可以向该信箱发出警告信或者请求信箱服务商的管理员帮助。我在试用中发现如果“冰河陷阱.exe”处于运行状态，冰河木马被控端程序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无冰河被控端程序，并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项，让它开机自动运行。第二步：请君入瓮接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后，点击“设置”菜单中的“设置监听端口”，然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样)，然后单击工具栏中的[打开陷阱]按钮，再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应，使入侵者以为你的机器仍处于他的控制之下。当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时，可以在系统托盘中看到冰河陷阱图标不断闪烁报警，同时还有声音报警。双击图标打开“冰河陷阱”主界面，在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。另外，冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮，可以直接给入侵者发送一个反击消息，当然越恐怖效果越好，保证让这个入侵者“丢盔弃甲”，落荒而逃，再也不敢冒犯你了。立即下载：冰河陷阱
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：12次
参与编辑人数：8位
最近更新时间： 23:01:18
贡献光荣榜