目錄

一、簡介：

1.1、簡述：

1.2、歷史：

1.3、功能：

1.4、清除方法：

1.5、程序?qū)崿F(xiàn)：

二、冰河木馬使用

2.1、第一步：準備好冰河木馬

2.2、第二步：配置好目標主機

2.3、第三步：配置好服務(wù)端

2.4、第四步：g_sever被運行

2.5、第五步：使用客戶端進行連接

一、簡介：

1.1、簡述：

木馬冰河是用C++Builder編寫

---

網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺主機提供服務(wù)(服務(wù)器)，另一臺主機接受服務(wù)(客戶機)。作為服務(wù)器的主機一般會打開一個默認的端口并進行監(jiān)聽 (Listen), 如果有客戶機向服務(wù)器的這一端口提出連接請求(Connect Request), 服務(wù)器上的相應(yīng)程序就會自動運行，來應(yīng)答客戶機的請求，這個程序我們稱為守護進程(UNIX的術(shù)語,不過已經(jīng)被移植到了MS系統(tǒng)上)。

---

對于冰河，被控制端就成為一臺服務(wù)器，控制端則是一臺客戶機，G_server.exe是守護進程, G_client是客戶端應(yīng)用程序。（很容易理解，就是相當(dāng)于你要請求別人電腦上信息，就是客戶機）

1.2、歷史：

冰河木馬開發(fā)于1999年，跟灰鴿子類似，在設(shè)計之初，開發(fā)者的本意是編寫一個功能強大的遠程控制軟件。但一經(jīng)推出，就依靠其強大的功能成為了黑客們發(fā)動入侵的工具，并結(jié)束了國外木馬一統(tǒng)天下的局面，跟后來的灰鴿子等等成為國產(chǎn)木馬的標志和代名詞。HK聯(lián)盟Mask曾利用它入侵過數(shù)千臺電腦，其中包括國外電腦

1.3、功能：

1．自動跟蹤目標機屏幕變化，同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標操作將反映在被控端屏幕（局域網(wǎng)適用）；

2．記錄各種口令信息：包括開機口令、屏保口令、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息；

3．獲取系統(tǒng)信息：包括計算機名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)；

4．限制系統(tǒng)功能：包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制；

5．遠程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項文件操作功能；

6．注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作能；

7．發(fā)送信息：以四種常用圖標向被控端發(fā)送簡短信息；

8．點對點通訊：以聊天室形式同被控端進行在線交談。

1.4、清除方法：

1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

2、冰河會在注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

Run下扎根，鍵值為C:/windows/system/Kernel32.exe，刪除它。

3、在注冊表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，還有鍵值為C:/windows/system/Kernel32.exe的，也要刪除。

4、最后，改注冊表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默認值，由中木馬后的C: /windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe?%1，即可恢復(fù)TXT文件關(guān)聯(lián)功能。

1.5、程序?qū)崿F(xiàn)：

在VB中,可以使用Winsock控件來編寫網(wǎng)絡(luò)客戶/服務(wù)程序,實現(xiàn)方法如下(其中,G_Server和G_Client均為Winsock控件):

---

服務(wù)端：

G_Server.LocalPort=7626(冰河的默認端口,可以改為別的值)

G_Server.Listen(等待連接)

---

客戶端:

G_Client.RemoteHost=ServerIP(設(shè)遠端地址為服務(wù)器地址)

G_Client.RemotePort=7626 (設(shè)遠程端口為冰河的默認端口,呵呵,知道嗎?這是冰河的生日哦)

(在這里可以分配一個本地端口給G_Client, 如果不分配, 計算機將會自動分配一個, 建議讓計算機自動分配)

G_Client.Connect (調(diào)用Winsock控件的連接方法)

一旦服務(wù)端接到客戶端的連接請求ConnectionRequest,就接受連接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客戶機端用G_Client.SendData發(fā)送命令,而服務(wù)器在G_Server_DateArrive事件中接受并執(zhí)行命令(幾乎所有的木馬功能都在這個事件處理程序中實現(xiàn))

如果客戶斷開連接,則關(guān)閉連接并重新監(jiān)聽端口

Private Sub G_Server_Close()

G_Server.Close (關(guān)閉連接)

G_Server.Listen (再次監(jiān)聽)

End Sub

其他的部分可以用命令傳遞來進行，客戶端上傳一個命令，服務(wù)端解釋并執(zhí)行命令......

二、冰河木馬使用

2.1、第一步：準備好冰河木馬

第一個是客戶端，放在攻擊機上進行控制

第二個是服務(wù)端，放到靶機上的（先對冰河服務(wù)器程序G_ Server.exe進行配置）

---

如果是自己實驗的話：

冰河很老了（可以被識別），到虛擬機中里面下載（下載時候關(guān)閉防火墻，關(guān)閉360等安全衛(wèi)士），外面系統(tǒng)估計會自動刪除

如下所示

?百度網(wǎng)盤

2.2、第二步：配置好目標主機

可以直接在控制面板搜索遠程

允許遠程連接

關(guān)閉殺毒軟件和防火墻

2.3、第三步：配置好服務(wù)端

打開客戶端，配置好服務(wù)端相關(guān)設(shè)置

2.4、第四步：g_sever被運行

在被攻擊電腦上運行g(shù)_sever后，靶機上會打開一個端口（不會有其他反應(yīng)）

在cmd命令行輸入netstat -an查看端口，出現(xiàn)7626，證明端口已經(jīng)打開

任務(wù)管理器中也會出行設(shè)置的進程名字

2.5、第五步：使用客戶端進行連接

先使用第一排第三個進行搜索

配置搜索的起始域

?搜索結(jié)果顯示會顯示OK或者ERR

顯示OK的會在左側(cè)出現(xiàn)文章來源地址http://www.zghlxwxcb.cn/news/detail-712893.html

到了這里，關(guān)于（2.1）【經(jīng)典木馬-冰河木馬】詳細介紹，原理、使用方法的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！