(2.1)【经典木马-冰河木马】详细介绍,原理、使用方法
目錄
一、簡介:
1.1、簡述:
1.2、歷史:
1.3、功能:
1.4、清除方法:
1.5、程序實現:
二、冰河木馬使用
2.1、第一步:準備好冰河木馬
2.2、第二步:配置好目標主機
2.3、第三步:配置好服務端
2.4、第四步:g_sever被運行
2.5、第五步:使用客戶端進行連接
一、簡介:
1.1、簡述:
木馬冰河是用C++Builder編寫
網絡客戶/服務模式的原理是一臺主機提供服務(服務器),另一臺主機接受服務(客戶機)。作為服務器的主機一般會打開一個默認的端口并進行監聽 (Listen), 如果有客戶機向服務器的這一端口提出連接請求(Connect Request), 服務器上的相應程序就會自動運行,來應答客戶機的請求,這個程序我們稱為守護進程(UNIX的術語,不過已經被移植到了MS系統上)。
對于冰河,被控制端就成為一臺服務器,控制端則是一臺客戶機,G_server.exe是守護進程, G_client是客戶端應用程序。(很容易理解,就是相當于你要請求別人電腦上信息,就是客戶機)
1.2、歷史:
冰河木馬開發于1999年,跟灰鴿子類似,在設計之初,開發者的本意是編寫一個功能強大的遠程控制軟件。但一經推出,就依靠其強大的功能成為了黑客們發動入侵的工具,并結束了國外木馬一統天下的局面,跟后來的灰鴿子等等成為國產木馬的標志和代名詞。HK聯盟Mask曾利用它入侵過數千臺電腦,其中包括國外電腦
1.3、功能:
1.自動跟蹤目標機屏幕變化,同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時,監控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網適用);
2.記錄各種口令信息:包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息;
3.獲取系統信息:包括計算機名、注冊公司、當前用戶、系統路徑、操作系統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統數據;
4.限制系統功能:包括遠程關機、遠程重啟計算機、鎖定鼠標、鎖定系統熱鍵及鎖定注冊表等多項功能限制;
5.遠程文件操作:包括創建、上傳、下載、復制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項文件操作功能;
6.注冊表操作:包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作能;
7.發送信息:以四種常用圖標向被控端發送簡短信息;
8.點對點通訊:以聊天室形式同被控端進行在線交談。
1.4、清除方法:
1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。
2、冰河會在注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根,鍵值為C:/windows/system/Kernel32.exe,刪除它。
3、在注冊表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,還有鍵值為C:/windows/system/Kernel32.exe的,也要刪除。
4、最后,改注冊表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默認值,由中木馬后的C: /windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe?%1,即可恢復TXT文件關聯功能。
1.5、程序實現:
在VB中,可以使用Winsock控件來編寫網絡客戶/服務程序,實現方法如下(其中,G_Server和G_Client均為Winsock控件):
服務端:
G_Server.LocalPort=7626(冰河的默認端口,可以改為別的值)
G_Server.Listen(等待連接)
客戶端:
G_Client.RemoteHost=ServerIP(設遠端地址為服務器地址)
G_Client.RemotePort=7626 (設遠程端口為冰河的默認端口,呵呵,知道嗎?這是冰河的生日哦)
(在這里可以分配一個本地端口給G_Client, 如果不分配, 計算機將會自動分配一個, 建議讓計算機自動分配)
G_Client.Connect (調用Winsock控件的連接方法)
一旦服務端接到客戶端的連接請求ConnectionRequest,就接受連接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客戶機端用G_Client.SendData發送命令,而服務器在G_Server_DateArrive事件中接受并執行命令(幾乎所有的木馬功能都在這個事件處理程序中實現)
如果客戶斷開連接,則關閉連接并重新監聽端口
Private Sub G_Server_Close()
G_Server.Close (關閉連接)
G_Server.Listen (再次監聽)
End Sub
其他的部分可以用命令傳遞來進行,客戶端上傳一個命令,服務端解釋并執行命令......
二、冰河木馬使用
2.1、第一步:準備好冰河木馬
第一個是客戶端,放在攻擊機上進行控制
第二個是服務端,放到靶機上的(先對冰河服務器程序G_ Server.exe進行配置)
如果是自己實驗的話:
冰河很老了(可以被識別),到虛擬機中里面下載(下載時候關閉防火墻,關閉360等安全衛士),外面系統估計會自動刪除
如下所示
?百度網盤
2.2、第二步:配置好目標主機
可以直接在控制面板搜索遠程
允許遠程連接
關閉殺毒軟件和防火墻
2.3、第三步:配置好服務端
打開客戶端,配置好服務端相關設置
2.4、第四步:g_sever被運行
在被攻擊電腦上運行g_sever后,靶機上會打開一個端口(不會有其他反應)
在cmd命令行輸入netstat -an查看端口,出現7626,證明端口已經打開
任務管理器中也會出行設置的進程名字
2.5、第五步:使用客戶端進行連接
先使用第一排第三個進行搜索
配置搜索的起始域
?搜索結果顯示會顯示OK或者ERR
顯示OK的會在左側出現
總結
以上是生活随笔為你收集整理的(2.1)【经典木马-冰河木马】详细介绍,原理、使用方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 准确性 敏感性 特异性_特异性图
- 下一篇: 常用运行命令大全