冰河木马简易使用 ——病毒木马 003
前言:
冰河木馬是一種遠程控制木馬,這次主要想認識一下利用冰河來控制目標主機的整個流程,其實冰河是巨老版本的木馬,在很多版本較新的WIN系統即使不開殺毒軟件,運行冰河服務端也不能開啟7626端口。因此這里用的是win2003當靶機,win7當攻擊機器。
?
步驟一:
準備好冰河木馬,第一個是客戶端,放在攻擊機上進行控制,第二個是服務端,放到靶機上的
對冰河服務器程序G_ Server.exe進行配置,配置好了放到靶機上
?
步驟2:在靶機上運行g_server.exe,然后查看自己的端口開放情況,是否打開了7626端口,下圖已開放。
查看木馬的安裝路徑是否為所設置的路徑,如下圖所示
檢查木馬進程在進程列表中所顯示的名稱與我們設置的是符合的,和我之前設置的進程jammny一致
如果為木馬設置了訪問口令,是必須通過設定的口令才能夠對木馬實施遠程控制,不然會出現下圖的情況
在感染主機上驗證冰河的文件關聯功能,將木馬主程序刪除,打開關聯的文件類型,查看木馬主程序是會恢復的。
?
步驟3:在攻擊端對已經植入木馬的主機進行范圍掃描
然后再文件管理器列表就能訪問目標主機的文件了。
不僅如此,客戶端對連接上的主機可以通過冰河信使來發送信息
下圖是服務端靶機接收的信息
遠程控制木馬自然是要對靶機進行遠程控制的了
?
步驟4:采用手工方法刪除冰河木馬,主要步驟包括:
①檢查系統文件,刪除C:\Window\system32下的 Kernel32.exe和 Sysexplr. exe文件。
②如果冰河木馬啟用開機自啟動,那么會在注冊表項 HKEY LOCAL_ MACHINE\software\microsoft\windows\Currentversion\Run中扎根。檢查該注冊表項,如果服務器程序的名稱為KERNEI32,EXE,則存在鍵值C:\windows\system\ Kemel32.exe,刪除該鍵值。
③檢查注冊表項HKEY_ LOCAL_ MACHINE \software \microsoft\windows\Current Version\Runservices,如果存在鍵值C:\windows\svstem\ Kerel32.exe的,也要刪除。
④如果木馬設置了與文件相關聯,例如與文本文件相關聯、需要修改注冊表HKEY_ CLASSES_ ROOT\textfile l shell \open command下的默認值,由感染木馬后的值:C\windows\system \Sysexplr.exe%1改為正常情況下的值:C: \windows\notepad.exe%1,即可恢復TXT文件關聯功能。完成以上步驟后,依據端口和進程判斷木馬是否已被清除。
?
下圖已經刪除木馬,重新查看端口并未發現開放7626端口:
查看進程也未發現相關程序:
?
步驟5:使用冰河陷阱清除冰河木馬,
?
步驟7:在此基礎上,利用冰河陷阱的偽裝功能來誘捕入侵者。運行冰河陷阱后,使主機系統完全模擬真正的冰河服務器程序對攻擊者的控制命令進行響應,使攻擊者認為感染計算機仍處于他的控制之下,進而觀察攻擊者在主機上所進行的攻擊操作
開啟陷阱,通過下圖能觀察到攻擊者的攻擊操作:
?
然后我們可以用信鴿對入侵者發起問候:
下圖是攻擊者收到的信息:
?
END
每天積累一點點,終究有一天爆發出來強大的力量。我是jammny,喜歡的點個贊!加個關注吧!持續更新病毒木馬系列。
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
總結
以上是生活随笔為你收集整理的冰河木马简易使用 ——病毒木马 003的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 做个课程表吧(三)
- 下一篇: 编写一个c语言源程序输出以下信息,C语言