簡述：

• 百科詞條

冰河木馬開發于1999年，跟灰鴿子類似，在設計之初，開發者的本意是編寫一個功能強大的遠程控制軟件。但一經推出，就依靠其強大的功能成為了黑客們發動入侵的工具，并結束了國外木馬一統天下的局面，跟后來的灰鴿子等等成為國產木馬的標志和代名詞。

冰河的服務器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。其中攻擊者使用G-client.exe對執行了G-server.exe的主機進行控制。

• 功能

1．自動跟蹤目標機屏幕變化，同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時，監控端的一切鍵盤及鼠標操作將反映在被控端屏幕（局域網適用）；

2．記錄各種口令信息：包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息；

3．獲取系統信息：包括計算機名、注冊公司、當前用戶、系統路徑、操作系統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統數據；

4．限制系統功能：包括遠程關機、遠程重啟計算機、鎖定鼠標、鎖定系統熱鍵及鎖定注冊表等多項功能限制；

5．遠程文件操作：包括創建、上傳、下載、復制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項文件操作功能；

6．注冊表操作：包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作功能；

7．發送信息：以四種常用圖標向被控端發送簡短信息；

8．點對點通訊：以聊天室形式同被控端進行在線交談。

實驗環境：

冰河木馬：V8.4

攻擊主機：win7，ip：……132（以A代替）

受控靶機：win7，ip：……134（以B代替）

兩臺主機能互相ping通

攻擊步驟：

本次試驗采用共享文件的方式將木馬種植在目標主機

打開實驗的兩臺虛擬機，使用net use命令進行連接

net use \\192.168.88.134\ipc$

將主機B的C盤映射在主機A上，名為X

net use x: \\192.168.88.134\c$

把g_server.exe文件拷貝進主機B的C盤，并設置自啟動時間

at \\192.168.88.134 h:m:s C:\\g_server

當到達設定時間后，主機B上就會自動運行g_server.exe

（運行g_server.exe前）

（運行g_server.exe后）

此時主機B的7626端口已經打開，可以對其進行控制。

在主機A上打開g_client.exe，并掃描主機

掃描成功后對其進行控制

（查看、編輯、創建、刪除主機文件）

（在主機A上給主機B創建文件）


（記錄鍵盤）



（查看注冊表鍵值）

等……

防御步驟：

冰河木馬隱蔽性高，且極為頑固，一旦運行G-server，那么該程序就會C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。

Kernel32.exe在系統啟動時自動加載運行，sysexplr.exe和TXT文件關聯。

即使你刪除了Kernel32.exe，只要打開 TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢刪不止的原因。

因此防御分以下四個步驟：

還原自啟動注冊表

冰河會在注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根，鍵值為C:/windows/system/Kernel32.exe，用于設置開機自啟，找到并刪除。

還原txt文件的注冊表信息

冰河通過修改txt文件之策表信息的鍵值對，使得sysexplr.exe和txt文件關聯，當編輯txt文件時，就會再次激活冰河，找到該鍵值對并還原為notepad

（正常的txt文件打開路徑）

（感染冰河）

修改為正常數據

結束冰河的核心進程Kernel32.exe

刪除系統目錄下的Kernel32.exe和sysexplr.exe文件

文件位置為：windows/system32。
Kernel32.exe在系統啟動時自動加載運行，sysexplr.exe和TXT文件關聯。找到并刪除


自此，冰河已經被完全清除，以上幾個步驟缺一不可。

學習整理，若有問題請指出。

總結

以上是生活随笔為你收集整理的冰河木马实验（V8.4）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。