目錄

一、簡(jiǎn)介：

1.1、簡(jiǎn)述：

1.2、歷史：

1.3、功能：

1.4、清除方法：

1.5、程序?qū)崿F(xiàn)：

二、冰河木馬使用

2.1、第一步：準(zhǔn)備好冰河木馬

2.2、第二步：配置好目標(biāo)主機(jī)

2.3、第三步：配置好服務(wù)端

2.4、第四步：g_sever被運(yùn)行

2.5、第五步：使用客戶端進(jìn)行連接

---

一、簡(jiǎn)介：

1.1、簡(jiǎn)述：

木馬冰河是用C++Builder編寫

---

網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺(tái)主機(jī)提供服務(wù)(服務(wù)器)，另一臺(tái)主機(jī)接受服務(wù)(客戶機(jī))。作為服務(wù)器的主機(jī)一般會(huì)打開一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽 (Listen), 如果有客戶機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求(Connect Request), 服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來應(yīng)答客戶機(jī)的請(qǐng)求，這個(gè)程序我們稱為守護(hù)進(jìn)程(UNIX的術(shù)語,不過已經(jīng)被移植到了MS系統(tǒng)上)。

---

對(duì)于冰河，被控制端就成為一臺(tái)服務(wù)器，控制端則是一臺(tái)客戶機(jī)，G_server.exe是守護(hù)進(jìn)程, G_client是客戶端應(yīng)用程序。（很容易理解，就是相當(dāng)于你要請(qǐng)求別人電腦上信息，就是客戶機(jī)）

1.2、歷史：

冰河木馬開發(fā)于1999年，跟灰鴿子類似，在設(shè)計(jì)之初，開發(fā)者的本意是編寫一個(gè)功能強(qiáng)大的遠(yuǎn)程控制軟件。但一經(jīng)推出，就依靠其強(qiáng)大的功能成為了黑客們發(fā)動(dòng)入侵的工具，并結(jié)束了國(guó)外木馬一統(tǒng)天下的局面，跟后來的灰鴿子等等成為國(guó)產(chǎn)木馬的標(biāo)志和代名詞。HK聯(lián)盟Mask曾利用它入侵過數(shù)千臺(tái)電腦，其中包括國(guó)外電腦

1.3、功能：

1．自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）；

2．記錄各種口令信息：包括開機(jī)口令、屏?？诹睢⒏鞣N共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過的口令信息；

3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；

4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制；

5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能；

6．注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作能；

7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息；

8．點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。

1.4、清除方法：

1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

2、冰河會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

Run下扎根，鍵值為C:/windows/system/Kernel32.exe，刪除它。

3、在注冊(cè)表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，還有鍵值為C:/windows/system/Kernel32.exe的，也要?jiǎng)h除。

4、最后，改注冊(cè)表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默認(rèn)值，由中木馬后的C: /windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe?%1，即可恢復(fù)TXT文件關(guān)聯(lián)功能。

1.5、程序?qū)崿F(xiàn)：

在VB中,可以使用Winsock控件來編寫網(wǎng)絡(luò)客戶/服務(wù)程序,實(shí)現(xiàn)方法如下(其中,G_Server和G_Client均為Winsock控件):

---

服務(wù)端：

G_Server.LocalPort=7626(冰河的默認(rèn)端口,可以改為別的值)

G_Server.Listen(等待連接)

---

客戶端:

G_Client.RemoteHost=ServerIP(設(shè)遠(yuǎn)端地址為服務(wù)器地址)

G_Client.RemotePort=7626 (設(shè)遠(yuǎn)程端口為冰河的默認(rèn)端口,呵呵,知道嗎?這是冰河的生日哦)

(在這里可以分配一個(gè)本地端口給G_Client, 如果不分配, 計(jì)算機(jī)將會(huì)自動(dòng)分配一個(gè), 建議讓計(jì)算機(jī)自動(dòng)分配)

G_Client.Connect (調(diào)用Winsock控件的連接方法)

一旦服務(wù)端接到客戶端的連接請(qǐng)求ConnectionRequest,就接受連接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客戶機(jī)端用G_Client.SendData發(fā)送命令,而服務(wù)器在G_Server_DateArrive事件中接受并執(zhí)行命令(幾乎所有的木馬功能都在這個(gè)事件處理程序中實(shí)現(xiàn))

如果客戶斷開連接,則關(guān)閉連接并重新監(jiān)聽端口

Private Sub G_Server_Close()

G_Server.Close (關(guān)閉連接)

G_Server.Listen (再次監(jiān)聽)

End Sub

其他的部分可以用命令傳遞來進(jìn)行，客戶端上傳一個(gè)命令，服務(wù)端解釋并執(zhí)行命令......

---

---

二、冰河木馬使用

2.1、第一步：準(zhǔn)備好冰河木馬

第一個(gè)是客戶端，放在攻擊機(jī)上進(jìn)行控制

第二個(gè)是服務(wù)端，放到靶機(jī)上的（先對(duì)冰河服務(wù)器程序G_ Server.exe進(jìn)行配置）

---

如果是自己實(shí)驗(yàn)的話：

冰河很老了（可以被識(shí)別），到虛擬機(jī)中里面下載（下載時(shí)候關(guān)閉防火墻，關(guān)閉360等安全衛(wèi)士），外面系統(tǒng)估計(jì)會(huì)自動(dòng)刪除

如下所示

?百度網(wǎng)盤

2.2、第二步：配置好目標(biāo)主機(jī)

可以直接在控制面板搜索遠(yuǎn)程

允許遠(yuǎn)程連接

關(guān)閉殺毒軟件和防火墻

2.3、第三步：配置好服務(wù)端

打開客戶端，配置好服務(wù)端相關(guān)設(shè)置

2.4、第四步：g_sever被運(yùn)行

在被攻擊電腦上運(yùn)行g(shù)_sever后，靶機(jī)上會(huì)打開一個(gè)端口（不會(huì)有其他反應(yīng)）

在cmd命令行輸入netstat -an查看端口，出現(xiàn)7626，證明端口已經(jīng)打開

任務(wù)管理器中也會(huì)出行設(shè)置的進(jìn)程名字

2.5、第五步：使用客戶端進(jìn)行連接

先使用第一排第三個(gè)進(jìn)行搜索

配置搜索的起始域

?搜索結(jié)果顯示會(huì)顯示OK或者ERR

顯示OK的會(huì)在左側(cè)出現(xiàn)

總結(jié)

以上是生活随笔為你收集整理的（2.1）【经典木马-冰河木马】详细介绍，原理、使用方法的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。