冰河木马使用教程入侵是可以被检测到吗

来源:蜘蛛抓取(WebSpider) 时间:2016-08-15 18:25 标签: 冰河木马qq盗号器下载
冰河木马入侵者诱捕实例
冰河木马入侵者诱捕实例
提起“冰河”木马,相信没有多少网民不知道。作为国内木马程序的经典之作,它操作简单,功能强大。虽然原作者黄鑫从2.2B版本已经彻底停止了开发,但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP以及各种“XX专版”,更有甚者已经开始对修改后的冰河程序进行收费,这引起了原作者黄鑫的注意。 &&&&为了防止这种不良影响,他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序,主要有两大功能:一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端,记录入侵者的所有操作。 &&&&下面我们就来通过一个“冰河”木马入侵者的诱捕实例来看看如何操作。 &&&&第一步:清除冰河木马 &&&&把压缩包内的文件解压到一个目录,运行“冰河陷阱.exe”,如果当前系统中已经被别人植入了冰河木马的话,这时它会提示你是否自动清除冰河木马被控端程序,当然要选择“是”了,接下来它会显示出这个安装的“冰河”木马的配置信息,点击[确定]按钮,冰河陷阱就会自动彻底地从系统中清除冰河木马,并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。现在我们要打开该文件查看,注意记下“监听端口”中的数字“7626”(也可能会是其他数字),后面要用到。 &&&&另外还要记下“接收IP信箱”后面显示的邮箱,这就是入侵者接收你的IP地址以及密码等信息的信箱,以后你可以向该信箱发出警告信或者请求信箱服务商的管理员帮助。 &&&&我在试用中发现如果“冰河陷阱.exe”处于运行状态,冰河木马被控端程序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无冰河被控端程序,并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项,让它开机自动运行。 &&&&第二步:请君入瓮 &&&&接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后,点击“设置”菜单中的“设置监听端口”,然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样),然后单击工具栏中的[打开陷阱]按钮,再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应,使入侵者以为你的机器仍处于他的控制之下。 &&&&当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时,可以在系统托盘中看到冰河陷阱图标不断闪烁报警,同时还有声音报警。双击图标打开“冰河陷阱”主界面,在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。 &&&&另外,冰河陷阱还有一项特别的功能――冰河信使。点击工具栏中的[冰河信息]按钮,可以直接给入侵者发送一个反击消息,当然越恐怖效果越好,保证让这个入侵者“丢盔弃甲”,落荒而逃,再也不敢冒犯你了。 &&&&立即下载:冰河陷阱
&&&主编推荐
H3C认证Java认证Oracle认证
基础英语软考英语项目管理英语职场英语
.NETPowerBuilderWeb开发游戏开发Perl
二级模拟试题一级模拟试题一级考试经验四级考试资料
软件测试软件外包系统分析与建模敏捷开发
法律法规历年试题软考英语网络管理员系统架构设计师信息系统监理师
高级通信工程师考试大纲设备环境综合能力
路由技术网络存储无线网络网络设备
CPMP考试prince2认证项目范围管理项目配置管理项目管理案例项目经理项目干系人管理
职称考试题目
招生信息考研政治
网络安全安全设置工具使用手机安全
生物识别传感器物联网传输层物联网前沿技术物联网案例分析
Java核心技术J2ME教程
Linux系统管理Linux编程Linux安全AIX教程
Windows系统管理Windows教程Windows网络管理Windows故障
数据库开发Sybase数据库Informix数据库
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&以上由提供
您的位置:
> 中了冰河木马病毒怎么办?怎么清除冰河木马?
中了冰河木马病毒怎么办?怎么清除冰河木马?
  冰河木马,类似于灰鸽子,其开发初衷虽然只是一个远程控制软件,后成为一款知名的黑客入侵工具,TA不仅可以随时跟踪用户屏幕的变化,还能远程进行文件操作,还能盗取用户所有的保存过的口令密码。阅读下文了解冰河木马的功能和清理方法。
  冰河木马,跟灰鸽子类似,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑,其中包括国外电脑。
  冰河木马功能:
  在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。
  目的:远程访问、控制。
  选择:可人为制造受害者和寻找&养马场&,选择前者的基本上可省略扫描的步骤。
  1、自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
  2、记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
  3、获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
  4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
  5、远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式&&正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
  6、注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
  7、发送信息:以四种常用图标向被控端发送简短信息;
  8、点对点通讯:以聊天室形式同被控端进行在线交谈。
  从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万种冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹,掌握了如何清除标准版,再来对付变种冰河就很容易了。
  冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。 Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,只要你打开 TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
  清除冰河木马的方法:
  方法一:安装了冰河服务端的用户:
  如果安装了&冰河&服务端的朋友就很简单了。首先在自动扫描中输入自己的IP,看一下扫描结果是否为&OK&,并且左边的&文件管理器&中会出现自己的IP吗?如果有,在&命令控制台&中的&控制类命令&中的&系统控制&中点击&自动卸载冰河&就可以了。
  方法二:未安装冰河的用户:
  如果没有&冰河&这个软件朋友也不用着急,请用下面的方法查找并解除木马。
  运行REGEDIT命令打开注册表编辑器,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 查看键值中没有自己不熟悉的自动启动文件,扩展名为EXE。(一般&冰河&的默认文件名为KERNEL32.EXE,注意此文件的名字可能会被种马的人改变)。
  如果有,那我们现在开始进行修改,先删除该键值中这一项,再删除RUNDRIVES这个键值。 一般&冰河&用户端程序的自我保护设为:关联TXT文件或EXE文件,关联的文件为:SYSEXPLR.EXE。
  1、在&查看&菜单中选择&文件夹选项&弹出文件夹选项对话框,选择&文件类型& 在&已注册文件类型&框中找到&TXT FILE&这一项,看一下&打开方式&有无变化(一般为:NOTEPAD),如果关联对象不是NOTEPAD,选择&编辑&按钮,在&操作&框中删除&OPEN&这一项,那关联 TXT文件的用户程序就失效了。
  2、如果是关联的EXE文件,那打开注册表编辑器,在HKEY_CLASSES_ROOT\.exe中把 &默认&的键值随便改成什么(注意看清楚,等会儿要改回来)。
  以上这两步做完后,退出WINDOWS,在DOS状态下删除该&冰河&用户端程序,重新启动即可。
  注意:要把EXE文件的注册表改回来。 好了,再搜索用木马程序看有没有(没有了吧,偷着笑吧^_^,不用格式化硬盘了)
  附:如果关联的是其它类型的文件,修改同上。
  以上便是关于冰河木马的功能和清理方法,冰河木马相对年代比较久了,一般很多杀毒软件都可以查杀,但变种的木马就不一定了。
评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
Copyright (C)2014 www.xitongcheng.cc All rights reserved
本站发布的系统与软件仅为个人学习测试使用,请在下载后24小时内删除,不得用于任何商业用途,否则后果自负,请支持购买微软正版软件!
黔ICP备号-1

我要回帖

更多关于 冰河木马qq盗号器下载 的文章

 

随机推荐