范文一：怎么用冰河木马(冰河木马教程)

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。该软件主要用于远程监控，自动跟踪目标机屏幕变化等。 冰河木马算是木马的领军人物了（我自己认为） 虽然过时了 但6.0的到现在也有人用的不少 现在为大家送上教程 新手们看好了 不要在问冰河怎么用的菜问题了

跨越冰河

（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。）

准备工作

软件发布：

冰河v6.0GLUOSHI专版为2001年

12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。 注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅

一.扫描端口：

放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。运行X-way，操作如下

点击"主机扫描"，分别填入"起始、结束地址"（为什么？ 因为--做事要有始有终，呵呵。顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。（一般值为100比较合适，网速快的可选150）。最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：

说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。：）

二.冰河的操作：

连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使

主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K

先不要乱动！认清G_Server

它就是令网人闻风色变的服务端了。

（冰河６默认的写字板图标就很好，使用前改个好点的名称即可，不一定要捆绑）

1.连接：

打开瑞士军刀图标的客户端

G_Client

，选择

添加主机，填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有

误”就放弃。

（初始密码应该为空，

口令有误是已被别人完全控制

）直到终于出现：

注：3.1以下版本的万能注册码：（使用其他版本冰河时，填在右上访问口令里， 应用后，连接）

2.2版：Can you speak chinese?

2.2版：05181977

3.0版：yzkzero

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000! 仅供参考

2.控制：

在文件管理器区的远程主机上双击+号，有C：D：E：等盘符出现，

选择打开C：会看见许多的文件夹，这时我们就算已经踏入别人的领土，对于 第一次入侵的朋友是不是有些感动？别急，我们对"养马场"的探索还未开始！ 在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域， 顺便了解一下他有什么不良爱好，呵呵。是不是有些收获，见到了你喜欢的游戏， 下载？还是省省吧，远程的机器承受不了。

（如果在我的文档里看见JPG格式的文件，有兴趣的话你可以点右键下载下来看看

是不是他MM的照片。：））

在文件管理区你可以对文件、程序进行以下主要几项操作：

上传、下载、删除、

远程打开

。击鼠标右键看到

3.口令获取：

口令类命令里可是有不少好东西的！如果你运气够好的话，你会找到很多的网站名、用户名和口令。有什么用？自己想去吧.......图中第一处抹黑的是上网帐号的密码，这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了，抹掉是因为我们现在只是做学习研究用，不是不法分子在搞破坏。：）

注：卸载冰河的方法，在命令控制台下的控制类命令－系统控制可以看到， 点一下就可安全清除冰河。

4.屏幕抓取：

照指示操作就行，我不喜欢用这个，抓图的速度慢质量也不好，

那个控制屏幕也就顺便省了吧。

5.配置服务端：

在使用木马前配置好，一般不改变，选择默认值。

细节注意如下：监听端口7626可更换（范围在1024~32768之间）；

关联可更改为与EXE文件关联（就是无论运行什么exe文件，冰河就开始加载

范文二：冰河木马教程

怎么用冰河木马（冰河木马教程）

点这里下载==》冰河木马

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。该软件主要用于远程监控，自动跟踪目标机屏幕变化等。 冰河木马算是木马的领军人物了（我自己认为） 虽然过时了 但6.0的到现在也有人用的不少 现在为大家送上教程 新手们看好了 不要在问冰河怎么用的菜问题了

跨越冰河

（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。）

准备工作

软件发布：

冰河v6.0GLUOSHI专版为2001年

12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。 注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。 冰河之旅

一.扫描端口：

放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。运行X-way，操作如下

点击"主机扫描"，分别填入"起始、结束地址"（为什么？ 因为--做事要有始有终，呵呵。顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。（一般值为100比较合适，网速快的可选150）。最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：

说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。：）

二.冰河的操作：

连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使

主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为

451K

先不要乱动！认清G_Server

它就是令网人闻风色变的服务端了。

（冰河６默认的写字板图标就很好，使用前改个好点的名称即可，不一定要捆绑）

1.连接：

打开瑞士军刀图标的客户端

G_Client

，选择

添加主机，填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。

（初始密码应该为空，

口令有误是已被别人完全控制

）直到终于出现：

注：3.1以下版本的万能注册码：（使用其他版本冰河时，填在右上访问口令里， 应用后，连接）

2.2版：Can you speak chinese?

2.2版：05181977

3.0版：yzkzero

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000! 仅供参考

2.控制：

在文件管理器区的远程主机上双击+号，有C：D：E：等盘符出现，

选择打开C：会看见许多的文件夹，这时我们就算已经踏入别人的领土，对于 第一次入侵的朋友是不是有些感动？别急，我们对"养马场"的探索还未开始！ 在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域， 顺便了解一下他有什么不良爱好，呵呵。是不是有些收获，见到了你喜欢的游戏， 下载？还是省省吧，远程的机器承受不了。

（如果在我的文档里看见JPG格式的文件，有兴趣的话你可以点右键下载下来看看

是不是他MM的照片。：））

在文件管理区你可以对文件、程序进行以下主要几项操作：

上传、下载、删除、

远程打开

。击鼠标右键看到

3.口令获取：

口令类命令里可是有不少好东西的！如果你运气够好的话，你会找到很多的网站名、用户名和口令。有什么用？自己想去吧.......图中第一处抹黑的是上网帐号的密码，这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了，抹掉是因为我们现在只是做学习研究用，不是不法分子在搞破坏。：）

注：卸载冰河的方法，在命令控制台下的控制类命令－系统控制可以看到，

点一下就可安全清除冰河。

4.屏幕抓取：

照指示操作就行，我不喜欢用这个，抓图的速度慢质量也不好，

那个控制屏幕也就顺便省了吧。

5.配置服务端：

在使用木马前配置好，一般不改变，选择默认值。

细节注意如下：监听端口7626可更换（范围在1024~32768之间）；

关联可更改为与EXE文件关联（就是无论运行什么exe文件，冰河就开始加载； 怎么用冰河木马（冰河木马教程）(2)

还有关键的邮件通知设置： 附：如在设置类命令 － 服务端配置 里选择 读取服务端配置，可以看到是控制者 设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子 查出是谁在黑你。（小心点好，别

还有关键的邮件通知设置：

附：如在设置类命令

－

服务端配置

里选择

读取服务端配置，可以看到是控制者

设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子

查出是谁在黑你。（小心点好，别中了别人的借刀杀人之计）如下：

6.冰河信使的使用：

也许这时候你还有兴趣和机子的主人聊聊，就用自带的

冰河信使

，是不是吓了他一跳？（不敢回答或关机逃跑了？）遇个胆大的你

们也许聊的很投机，你作为他眼里的大虾是不是要表现一下？

告诉他："不要怕。我，远程（神气的很）帮你杀毒好了！"呵呵，只要照图 轻轻点一下，陡受惊吓的人是不是还会对你感激涕零？ 恩，兴奋的神经慢慢 冷却，是结束我们的这次友好访问的时候了。

其实冰河的基本操作就是这么简单，请熟练掌握它，以后你要接触的木马有6 成与它的基本操作类似。

夜阑卧听风吹雨，铁马冰河入梦来

。夜了，休息一下，养足精神再来继续我们

的木马旅程。

冰河的几种清除方法：

①：文中介绍的自卸载功能。

②：部分杀毒软件

，（这个版本比较新，许多杀毒软件不能识别。推荐：

升级过的KV3000等）

③：修改注册表

。运行regedit，查找下面的键值。

第一步

：删除相对的可疑键值。（不熟悉的朋友不要乱动）

第二步

：重新启动时转到DOS下，删除冰河服务端（一般默认为

"c:\windows\G_server.exe"，会变更）这一步很重要。

最后

： 重启计算机即可

冰河木马下载地址：http://www.heibai.net/download/Soft/Soft_23826.htm

范文三：木马和冰河的使用!【教程】

木马和冰河的使用！【教程】

木马

大家对他的名字很熟悉吧？？是啊木马作为一个远程控制的软件已经深入人心，木马是 什么那？如何使用木马程序控制他人那？？先不要着急，我们来看看木马的发展，对这 个工具作一个简单的介绍：

黑客程序里的特洛伊木马有以下的特点：

（1）主程序有两个，一个是服务端，另一个是控制端。（如果你下载了，请千万不要 用鼠标双击服务器端）

（2）服务端需要在主机（被你控制的电脑）执行。

（3）一般特洛伊木马程序都是隐蔽的进程。（需要专业的软件来查杀，也有不用软件 查杀的办法，我会介绍）

（4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在 接受命令后，会执行相应的任务。

（5）每个系统都存在特洛伊木马。（包括Windows，Unix，liunx等）

眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病 毒的性质。（包括：转播，感染文件等，但是很多的杀毒软件还是可以查杀，毕竟这是 一种使用简单但是危害比较大的软件）

木马的发展：

第一代木马：控制端 -- 连接 -- 服务端

特点：属于被动型木马。能上传，下载，修改注册表，得到内存密码等。

典型木马：冰河，NetSpy，back orifice（简称：BO）等。

第二代木马：服务端 -- 连接 -- 控制端

特点：属于主动型木马。隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态 连接库）隐藏进程的，甚至出现能传播的木马。

典型木马：网络神偷，广外女生等。（反弹端口型木马）

第二代木马象广外女生可以使用WINDOWS的漏洞，越过许多防火墙从而进行对系统的监 控（像金山，天网等）

随着木马的发展，并且作为很多人使用的软件，杀毒软件也越来越对这个传播很广的半 病毒不病毒的软件越来越关注（因为作为服务器端可以夹带在任何文件中传播，只要你 打开这个文件，你就肯定会被中上木马，甚至可以在网络上通过下载来传播）所以查杀 木马的工具很多，但是道高一尺，魔高一丈，木马又不断演化出新的品种来对抗杀毒软 件，毕竟中国的广大网民的安全意识不高，加上盗版猖狂，可以正式在网络上进行升级 的并不多，所以木马还是很有使用空间的。下面，我们将介绍一款国产的木马------- 冰河。

需要工具：冰河（随便你找什么版本，因为界面根本就差不多）

Superscan3.0 中文汉化版（上黑白搜索一下可以找到）

首先最重要的一步-------工具接压缩（啊~~我知道是废话。。大家多多包涵嘛。。不 要打拉）

然后运行Superscan3.0（就是那连着的两个电脑图标）

出现界面在IP表里面有两个选项

起始IP：

终止IP：

随便填上两个IP地址（最好是C类IP范围从192.0.0.0--223.255.255.255）

顺便讲一下IP的类型：

A类范围：0.0.0.0---127.255.255.255

B类范围：128.0.0.0---191.255.255.255

C类范围：192.0.0.0---223.255.255.255

D类范围：224.0.0.0---239.255.255.255

E类范围：240.0.0.0---247.255.255.255

一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚，有兴趣的朋 友可以看看相关的资料。。。。。

闲话说到这里我们继续看起始IP和终止IP

我给大家一个参考

起始IP：202.103.139.1

终止IP：2020103.139.255

填好这个在扫描类型里看列表中定义：

你可以扫描很多的端口，但那对我们的木马攻击没有实际意义

所以我们把两个窗口填上7626（冰河服务端开的端口）。

好了，点开始。

扫描结果会出现在底下兰色的列表中

当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河 的主机。（假如没有找到，请不要灰心，继续扫描。一个成功的黑客最重要是有耐心 ！）

好了打开我们的冰河的客户端（再次提醒！！千万不要点服务器端！！！否则你等于种 木马给自己！！什么？？你已经点了？？你不会那么傻吧。。。。）

具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕 变化的同时，监控端的一切键盘及鼠标*作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对 话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当 前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定 注册表等多项功能限制；

5．远程文件*作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏 览文本文件、远程打开文件（提供了四中不同的打开方式--正常方式、最大化、最小化 和隐藏方式）等多项文件*作功能；

6．注册表*作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表 *作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

呵呵，是不是很拽？？哼哼~~我叫你不服！！！我要删掉你C盘文件！！！修改你注册 表！！盗你QQ号码！！上网帐号！！

！………………………………………………………………

罗嗦一下！！你们千万不要搞破坏哦，学会了使用就好。。。

接着，我会介绍特洛伊木马“冰河”的使用：

首先打开客户端

出现*作界面

文件 编辑 设置 帮助

点文件出现下拉菜单

点自动搜索

出现提示框

里面只有起始域 起使地址 终止地址

这三个比较有用

比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25

那么我们就在起始域里输入：202.103.139

起始地址：25

终止地址：25

表示搜索这一个主机

如果扫描结果里显示ERR表示该计算机没有种木马，如果是OK你就爽拉~~

（你也可以在起始域里输入：202.103.139起始里面：1终止里面255，这样是搜索 202.103.139子网里所有的计算机）

看到这里有的朋友会问拉，既然木马可以自己扫描为什么还要上面哪个工具？？嘿嘿~~ 哪个比较快嘛，多学一点没有坏处的~~（啊~~我错了还不行？？大家息怒）

只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个 小加号，点开他你可以随便对对方的文件进行修改删除了，你甚至可以上传一个病毒到 他的文件夹中（不推荐，你们没那么大仇吧？？）

好了我们再来看看文件管理右面的命令控制台，这里有你感兴趣的东西哦~~命令很简单 都是一看就会的，你们只要每个都实验一下就知道作什么用的拉

由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”

简单的就象小孩子的游戏~~~

看看下面有什么？？

远程关闭计算机

远程从新启动计算机

后面两个没什么用不理他也罢

你只要点一下远程“关闭计算机”

OK拉，他的电脑自己关机拉，不相信？？好，QQ上和他说话，他能回答你才怪：） 好了，关于*作的方法我已经向大家介绍了，这是一个傻瓜式的软件，*作命令全中文， 作用一看就知道，很容易上手，用他来盗QQ也不错哦~~~~（在口令类命令的系统信息及 口令里，要先做键盘记录哦）具体方法请自己研究，我可不想犯罪。。

关于使用方法就介绍到这里，到这里以上为止都是对不特定人物的入侵，那么要怎么对 特定的人物进行入侵那？？记得我不叫你们点的服务器端吗？呵呵，就是他，他是没有 图标的一个运行文件，可以夹带在几乎任何文件里运送，比如照片，FLASH等……（有 相关的合成软件，我不知道具体那里有下载，不过我有的，你们需要可以找我，不过不 要拿来作坏事）你只需要给你的网友用QQ传送个照片呀，一篇文章呀就可以顺利种上木 马，然后你要取得他（她）的IP地址就可以对他进行控制拉，这方法不是我教你们的啊 ！！以后不要出卖我，还有电子邮件也可以传播。。。。。。。木马病毒。。

方法有很多大家可以自己研究。。。。。。

下面有几点提示：

1：为什么我解压缩的时候杀毒软件老是报有病毒呀？？

木马本身就是一个病毒，只要你不点服务器端，对你不会造成任何影响

运行的时候也要关掉防火墙，否则系统无法运行。

2：为什么我种上木马以后连接不到计算机？？

很简单，你的版本过旧拉，去下载新的版本吧，再者对方在网吧，由于

设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。

什么？？你不知道他是不是在家？？看QQ的IP地址

比如对方IP是202.103.139.22：4000表示在家

202.103.139.22：1030网吧

只有后面是4000、7000的用户是在家

有的时候是4001、4002表示对方现在运行的QQ数目，不用管他

3：关于冰河的万能密码：

2.2版：Can you speak chinese?

2.2版：05181977

3.0版：yzkzero

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000!

有的是要密码口令登陆的，不过一般不要，也不用刻意注意

4：我也种上服务器端了，对方也在家，他也并没发觉我给他种了，但就是连接不正常 呵呵，对方懂得使用代理服务器那你看到的IP地址不是真实的IP地址。这种情况，你还 是放弃吧。

5：冰河是一个很麻烦的家伙，卸载很麻烦就是你安装以后卸载和其他的程序不一样 网上相关文章很多，我由于最近考试关系就不一一介绍了，你可以去黑白网络看看：） 6：如果清除冰河服务端：

方法一： 俗话说，解铃还需系铃人。中了冰河，就用它的控制端来卸载服务端。具体 方法：

1、启动“冰河”的控制端程序。

2、选择“文件”--“添加主机”，或者直接点击快接按钮栏的第一个图标 。

3、弹出的对话框中，“远程主机”一项，填写自己的IP。

4、连接服务端，然后，点击“命令控制台”标签。

5、选择“控制类命令”--“系统控制”，在右面的窗口下方，你会发现四个按钮。点 击“自动卸载”，就将冰河的服务器端清除了。

方法二：

冰河 v1.1

1、打开注册表“Regedit.exe”。（可以在“开始”--“运行”里输入

“regedit”。）

2、点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3、查找以下的两个路径，并删除

“C:\windows\system\kernel32.exe”

"“C:\windows\system\sysexplr.exe”

4、关闭“Regedit.exe”，重新启动Windows。

5、删除“C:\windows\system\kernel32.exe”和

“C:\windows\system\sysexplr.exe”木马程序。

6：重新启动。完成。

方法一是对于你给别人种的服务器端的，记得玩完以后给人家清除掉，作事情不要那么 决情！！

方法二是对于清除自己计算机里的服务器端的，现在就好好看看是不是由于自己的疏忽 被人家种下冰河。。。。。。。。。

小结：对于木马的大家庭来说冰河只是一个小弟弟，但是大家也看到了他的危害性，所 以本人只建议大家学习这个软件，并不是用他去干什么，恶意破坏是低级黑客（根本可 以说是菜鸟）的做法，建议大家不要搞破坏，学习就好。。。。。。。。。。

范文四：冰河木马

冰河木马简介

冰河木马开发于 1999年,在设计之初,开发者的本意是编写一个功能强大的远 程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并 结束了国外木马一统天下的局面,成为国产木马的标志和代名词。

在 2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰 河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。

目的:远程访问、控制。

选择:可人为制造受害者和寻找

具体功能

1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入 , 即在同 步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕 (局域网适用);

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝 大多数在对话框中出现过的口令信息;

3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作 系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统 热键及锁定注册表等多项功能限制;

5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件 压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正 常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写 等所有注册表操作功能;

7.发送信息:以四种常用图标向被控端发送简短信息;

8.点对点通讯:以聊天室形式同被控端进行在线交谈。

从一定程度上可以说 冰河 是最有名的木马了,就连刚接触电脑的用户也听 说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在! 作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许 多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再 来对付变种冰河就很容易了。

冰河的服务器端程序为 G-server.exe ,客户端程序为 G-client.exe ,默认 连接端口为 7626。一旦运行 G-server ,那么该程序就会在 C:/Windows/system目录下生成 Kernel32.exe 和 sysexplr.exe ,并删除自身。 Kernel32.exe在系 统启动时自动加载运行, sysexplr.exe 和 TXT 文件关联。即使你删除了 Kernel32.exe ,但只要你打开 TXT文件, sysexplr.exe 就会被激活,它将再次 生成 Kernel32.exe ,于是冰河又回来了!这就是冰河屡删不止的原因。

清除方法

1、删除 C:Windowssystem下的 Kernel32.exe 和 Sysexplr.exe 文件。

2、冰河会在注册表 HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

Run 下扎根,键值为 C:/windows/system/Kernel32.exe,删除它。

3、在注册表的 HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为

C:/windows/system/Kernel32.exe的,也要删除。

4、最后,改注册表 HKEY_CLASSES_ROOT/txtfile/shell/open/command下 的默认值,由中木马后的 C: /windows/system/Sysexplr.exe %1改为正常情况 下的 C:/windows/notepad.exe %1,即可恢复 TXT 文件关联功能。

冰河木马原理

木马冰河是用 C++Builder写的,为了便于大家理解,我将用相对比较简单 的 VB 来说明它,其中涉及到一些 WinSock 编程和 Windows API的知识,如果你 不是很了解的话,请去查阅相关的资料。

一、基础篇(揭开木马的神秘面纱)

无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马, 其实质只是一个网络客户 /服务程序。那么,就让我们从网络客户 /服务程序的 编写开始。

1. 基本概念 :

网络客户 /服务模式的原理是一台主机提供服务 (服务器 ) ,另一台主机接受 服务 (客户机 ) 。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求 (Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为 守护进程 (UNIX的术语 , 不过已经被移植到了 MS 系统上 ) 。对于冰河,被控制端 就成为一台服务器,控制端则是一台客户机, G_server.exe是守护进程 ,

G_client是客户端应用程序。 (这一点经常有人混淆,而且往往会给自己种了木 马 ! )

2. 程序实现 :

在 VB 中 , 可以使用 Winsock 控件来编写网络客户 /服务程序 , 实现方法如下 (其中 ,G_Server和 G_Client均为 Winsock 控件 ):

服务端 :

G_Server.LocalPort=7626(冰河的默认端口 , 可以改为别的值 )

G_Server.Listen(等待连接 )

客户端 :

G_Client.RemoteHost=ServerIP(设远端地址为服务器地址 )

G_Client.RemotePort=7626 (设远程端口为冰河的默认端口 , 呵呵 , 知道吗 ? 这是冰河的生日哦 )

(在这里可以分配一个本地端口给 G_Client, 如果不分配 , 计算机将会自 动分配一个 , 建议让计算机自动分配 )

G_Client.Connect (调用 Winsock 控件的连接方法 )

一旦服务端接到客户端的连接请求 ConnectionRequest, 就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestID

End Sub

客户机端用 G_Client.SendData发送命令 , 而服务器在

G_Server_DateArrive事件中接受并执行命令 (几乎所有的木马功能都在这个事 件处理程序中实现 )

如果客户断开连接 , 则关闭连接并重新监听端口

Private Sub G_Server_Close()

G_Server.Close (关闭连接 )

G_Server.Listen (再次监听 )

End Sub

其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并 执行命令 ......

二、控制篇(木马控制了这个世界!)

由于 Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序 几乎可以控制一切,让我们来看看冰河究竟能做些什么 (看了后 , 你会认同我的

观点 :称冰河为木马是不恰当的 , 冰河实现的功能之多 , 足以成为一个成功的远 程控制软件 )

因为冰河实现的功能实在太多 , 我不可能在这里一一详细地说明 , 所以下面 仅对冰河的主要功能进行简单的概述 , 主要是使用 Windows API函数 , 如果你想 知道这些函数的具体定义和参数 , 请查询 WinAPI 手册。

1. 远程监控

(控制对方鼠标、键盘,并监视对方屏幕 )

keybd_event 模拟一个键盘动作 (这个函数支持屏幕截图哦 ) 。

mouse_event 模拟一次鼠标事件 (这个函数的参数太复杂 , 我要全写在这里 会被编辑骂死的 , 只能写一点主要的 , 其他的自己查 WinAPI 吧 )

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下

MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下

dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标

2. 记录各种口令信息

(作者注:出于安全角度考虑 , 本文不探讨这方面的问题 , 也请不要给我来信 询问 )

3. 获取系统信息

a. 取得计算机名 GetComputerName

b. 更改计算机名 SetComputerName

c. 当前用户 GetUserName函数

d. 系统路径

Set FileSystem0bject = CreateObject(

Set SystemDir = FileSystem0bject.getspecialfolder(1)

(取系统目录 )

Set SystemDir = FileSystem0bject.getspecialfolder(0)

(取 Windows 安装目录 )

(友情提醒 : FileSystemObject是一个很有用的对象 , 你可以用它来完成很 多有用的文件操作 )

e. 取得系统版本 GetVersionEx(还有一个 GetVersion, 不过在 32位 windows 下可能会有问题 , 所以建议用 GetVersionEx

f. 当前显示分辨率

Width = screen.Width \ screen.TwipsPerPixelX

Height= screen.Height \ screen.TwipsPerPixelY

其实如果不用 Windows API我们也能很容易的取到系统的各类信息 , 那就是 Windows 的

比如计算机名和计算机标识

吧 :HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的 Comment,ComputerName 和 WorkGroup

注册公司和用户名 :HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第 6部分。

4. 限制系统功能

a. 远程关机或重启计算机 , 使用 WinAPI 中的如下函数可以实现 :

ExitWindowsEx(ByVal uFlags,0)

当 uFlags=0 EWX_LOGOFF 中止进程,然后注销

当 uFlags=1 EWX_SHUTDOWN 关掉系统电源

当 uFlags=2 EWX_REBOOT 重新引导系统

当 uFlags=4 EWX_FORCE 强迫中止没有响应的进程

b. 锁定鼠标

ClipCursor(lpRect As RECT)可以将指针限制到指定区域 , 或者用 ShowCursor(FALSE)把鼠标隐藏起来也可以

注 :RECT是一个矩形 , 定义如下 :

Type RECT

Left As Long

Top As Long

Right As Long

Bottom As Long

End Type

c. 锁定系统 这个有太多的办法了 , 嘿嘿 , 想 Windows 不死机都困难呀 , 比如 , 搞个死循环吧 , 当然 , 要想系统彻底崩溃还需要一点技巧 , 比如设备漏洞或者耗 尽资源什么的 ......

d. 让对方掉线 RasHangUp......

e. 终止进程 ExitProcess......

f. 关闭窗口 利用 FindWindow 函数找到窗口并利用 SendMessage 函数关闭 窗口

5. 远程文件操作

无论在哪种编程语言里 , 文件操作功能都是比较简单的 , 在此就不赘述了 , 你也可以用上面提到的 FileSystemObject 对象来实现

6. 注册表操作

在 VB 中只要 Set RegEdit=CreateObject(

就可以使用以下的注册表功能 :

删除键值 :RegEdit.RegDelete RegKey

增加键值 :RegEdit.Write RegKey,RegValue

获取键值 :RegEdit.RegRead (Value)

记住 , 注册表的键值要写全路径 , 否则会出错的。

7. 发送信息

很简单 , 只是一个弹出式消息框而已 ,VB 中用 MsgBox(

8. 点对点通讯

呵呵 , 这个嘛随便去看看什么聊天软件就行了 (因为比较简单但是比较烦 , 所以我就不写了 , 呵呵。又 :我始终没有搞懂冰河为什么要在木马里搞这个东东, 困惑 ......)

9. 换墙纸

CallSystemParametersInfo(20,0,

值得注意的是 , 如果使用了 ActiveDesktop, 换墙纸有可能会失败, 遇到这种 问题,请不要找冰河和我,去找 Bill 吧。

三、潜行篇

(Windows ,一个捉迷藏的大森林)

木马并不是合法的网络服务程序,因此,它必须想尽一切办法隐藏自己, 好在, Windows 是一个捉迷藏的大森林 !

1、在任务栏中隐藏自己:

这是最基本的了 , 如果连这个都做不到 ...... (想象一下,如果 Windows 的 任务栏里出现一个国际象棋中木马的图标 ...@#!#@...也太嚣张了吧 !)

在 VB 中, 只要把 form 的 Visible 属性设为 False, ShowInTaskBar 设为 False, 程序就不会出现在任务栏中了。

2、在任务管理器中隐形:

在任务管理器中隐形 , 就是按下 Ctrl+Alt+Del时看不见那个名字叫做“木 马”的进程,这个有点难度,不过还是难不倒我们,将程序设为“系统服务” 可以很轻松的伪装成比尔盖子的嫡系部队 (Windows,我们和你是一家的 , 不要告 诉别人我藏在哪儿 ...) 。

在 VB 中如下的代码可以实现这一功能:

Public Declare Function RegisterServiceProcess Lib

Public Declare Function GetCurrentProcessId Lib

(以上为声明 )

Private Sub Form_Load()

RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务 ) End Sub

Private Sub Form_Unload()

RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务 ) End Sub

3、如何悄没声息地启动:

你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到 的第二重要的事就是如何在每次用户启动时自动装载服务端(第一重要的是如 何让对方中木马,嘿嘿,这部分的内容将在后面提到)

Windows 支持多种在系统启动时自动加载应用程序的方法 (简直就像是为木 马特别定做的 ) 启动组、 win.ini 、 system.ini 、注册表等等都是木马藏身的好 地方。冰河采用了多种方法确保你不能摆脱它。首先 , 冰河会在注册表的

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run和 RUNSERVICE 键值中加上了 \kernl32.exe(是系统目录 ), 其次如果你删除了这个 键值 , 自以为得意地喝著茶的时候 , 冰河又阴魂不散地出现了 ... 怎么回事 ? 原来 冰河的服务端会在 c:\windows(这个会随你 windows 的安装目录变化而变化) 下 生成一个叫 sysexplr.exe 文件(太象超级解霸了,好毒呀,冰河!) , 这个文 件是与文本文件相关联的 , 只要你打开文本 (哪天不打开几次文

本 ?),sysexplr.exe 文件就会重新生成 krnel32.exe, 然后你还是被冰河控制 著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的, 555555) 4、端口

木马都会很注意自己的端口 (你呢 ? 你关心你的 6万多个端口吗 ?), 如果你留 意的话 , 你就会发现 , 木马端口一般都在 1000以上 , 而且呈越来越大的趋势

(netspy是 1243....) 这是因为 ,1000以下的端口是常用端口 , 占用这些端口可能 会造成系统不正常 , 这样木马就会很容易暴露 ; 而由于端口扫描是需要时间的 (一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口 ), 故

而使用诸如 54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一 个常见木马的端口表 , 你就对著这个表去查吧 (不过 , 值得提醒的是 , 冰河及很多 比较新的木马都提供端口修改功能 , 所以 , 实际上木马能以任意端口出现 )

5. 最新的隐身技术

目前 , 除了冰河使用的隐身技术外 , 更新、更隐蔽的方法已经出现,那就是 -驱动程序及动态链接库技术(冰河 3.0会采用这种方法吗 ? )。

驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木 马模式 -监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。 这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、 不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所 以使用进程查看的方法发现不了它, 也不能用 kill 进程的方法终止它的运行) 。 在正常运行时木马几乎没有任何的症状 , 而一旦木马的控制端向被控端发出特 定的信息后 , 隐藏的程序就立即开始运作 ......

事实上,我已经看到过几个这样类型的木马,其中就有通过改写 vxd 文件 建立隐藏共享的木马 ...(江湖上又将掀起新的波浪 )

四、破解篇(魔高一尺、道高一丈)

本文主要是探讨木马的基本原理 , 木马的破解并非是本文的重点 (也不是我 的长处 ), 具体的破解请大家期待 yagami 的《特洛伊木马看过来》(我都期待一 年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载 方法做一个小小的总结:

1. 端口扫描

端口扫描是检查远程机器有无木马的最好办法 , 端口扫描的原理非常简单 , 扫描程序尝试连接某个端口 , 如果成功 , 则说明端口开放 , 如果失败或超过某 个特定的时间 (超时 ), 则说明端口关闭。(关于端口扫描, Oliver 有一篇关于 “半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨 论的范围之中)

但是值得说明的是 , 对于驱动程序 /动态链接木马 , 扫描端口是不起作用 的。

2. 查看连接

查看连接和端口扫描的原理基本相同,不过是在本地机上通过 netstat-a (或某个第三方的程序)查看所有的 TCP/UDP连接,查看连接要比端口扫描快, 缺点同样是无法查出驱动程序 /动态链接木马 , 而且仅仅能在本地使用。

3. 检查注册表

上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像 现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护 的方式),那么,我们同样可以通过检查注册表来发现

4. 查找文件

查找木马特定的文件也是一个常用的方法(这个我知道 , 冰河的特征文件是 G_Server.exe吧 ? 笨蛋 ! 哪会这么简单 , 冰河是狡猾狡猾的 ...... )冰河的一个 特征文件是 kernl32.exe(靠 , 伪装成 Windows 的内核呀 ), 另一个更隐蔽 , 是 sysexlpr.exe(什么什么 , 不是超级解霸吗 ?) 对!冰河之所以给这两个文件取这 样的名字就是为了更好的伪装自己 , 只要删除了这两个文件 , 冰河就已经不起 作用了。其他的木马也是一样(废话, Server 端程序都没了,还能干嘛?)

如果你只是删除了 sysexlpr.exe 而没有做扫尾工作的话 , 可能会遇到一些 麻烦 -就是你的文本文件打不开了 , 因为前面说了 ,sysexplr.exe 是和文本文件 关联的 , 你还必须把文本文件跟 notepad 关联上 , 方法有三种 :

a. 更改注册表 (我就不说了 , 有能力自己改的想来也不要我说 , 否则还是不 要乱动的好 )

b. 在 <我的电脑>-查看 -文件夹选项 -文件类型中编辑

c. 按住 SHIFT 键的同时鼠标右击任何一个 TXT 文件 , 选择打开方式 , 选中 <始 终用该程序打开="" ......="">,然后找到 notepad, 点一下就 OK 了。 (这个最简单,推 荐使用)

提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和 txt 文件关联的, txt 打不开没什么大不了,如果木马是和 exe 文件关联而你贸然地 删了它 ...... 你苦了!连 regedit 都不能运行了!

5. 杀病毒软件

之所以把杀病毒软件放在最后是因为它实在没有太大的用 , 包括一些号称 专杀木马的软件也同样是如此 , 不过对于过时的木马以及菜鸟安装的木马 (没有 配置服务端 ) 还是有点用处的 , 值得一提的是最近新出来的 ip armor在这一方 面可以称得上是比较领先的 , 它采用了监视动态链接库的技术 , 可以监视所有调 用 Winsock 的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我 对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的 事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系 统是什么样的我都想象不出来)

另外, 对于驱动程序 /动态链接库木马, 有一种方法可以试试, 使用 Windows 的

五、狡诈篇(只要你的一点点疏忽 ......)

只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木 马的常见伎俩对于保证自己的安全不无裨益。

1. 木马种植伎俩

网上“帮”人种植木马的伎俩主要有以下的几条

a. 软哄硬骗法

这个方法很多啦 , 而且跟技术无关的 , 有的是装成大虾 , 有的是装成 PLMM, 有的态度谦恭 , 有的 ...... 反正目的都一样 , 就是让你去运行一个木马的服务 端。

b. 组装合成法

就是所谓的 221(Two To One二合一 ) 把一个合法的程序和一个木马绑定 , 合 法程序的功能不受影响 , 但当你运行合法程序时 , 木马就自动加载了 , 同时 , 由于 绑定后程序的代码发生了变化 , 根据特征码扫描的杀毒软件很难查找出来。

c. 改名换姓法

这个方法出现的比较晚 , 不过现在很流行 , 对于不熟练的 windows 操作者, 很容易上当。具体方法是把可执行文件伪装成图片或文本 ----在程序中把图标 改成 Windows 的默认图片图标 , 再把文件名改为 *.jpg *.exe, 由于 Win98默认

设置是

d. 愿者上钩法

木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言 而喻:开门揖盗 ; 奉劝:不要随便点击网页上的链接,除非你了解它,信任它, 为它死了也愿意 ...

2. 几点注意(一些陈词滥调)

a .不要随便从网站上下载软件 , 要下也要到比较有名、比较有信誉的站点, 这些站点一般都有专人杀马杀毒;

b .不要过于相信别人,不能随便运行别人给的软件;

(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木 马 , 哈哈 , 挑拨离间 ...... )

c .经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看 最新的木马公告;

d. 改掉 windows 关于隐藏文件后缀名的默认设置 (我是只有看见文件的后缀 名才会放心地点它的 )

木马冰河的破解之法

不用我说了 , 大家都知道冰河 2.2最新版吧 ! 它的强大的功能大家也一定十 分的了解吧 ! 他的操作界面清晰简洁 , 控制类功能强大,一些功能如果应用与远 程控制管理,那么它将是非常理想的软件 , 可要是被他人用语黑客木马,那么它 的危害比起 BO2000,NETSPY 真是有过之而无不及 . 事实上,把它定位与黑客木马 并不过分,因为它的服务器端程序具有隐藏 , 自我复制保护 , 盗取密码帐号等功 能 , 这不是一个正常的软件所应具备的 . 他甚至还可以在客户端将木马设置成任 意文件名 , 服务器端程序在上网后,还会自动将该机当前的 IP 通过 E-MAIL 方式 发送到客户端 . 拷贝 , 删除文件 , 关闭进程 , 强制关机,跟踪键盘锁定鼠标等更不 在话下,目前,还没有一个放病毒产品可对其防 , 杀 .

所以我在此给大家介绍解除冰河服务端的方法 , 从此就不必再担心自己的 机子会被人控制了!

那么如何防范与消除冰河呢?

首先,不要执行来路不明的软件程序 , 这是千古不变的真理 . 任何黑客程序 再高明,功能再强大 , 都需要利用系统漏洞才能达到入侵的目的 . 假如没有服务 器端的木马程序运行,就可以使掌握着客户端程序的这类黑客不能得逞 . 其次, 应养成良好的电脑使用习惯 , 如不把拨号上网的密码保存等等!

了解冰河黑客软件的攻击机制 , 就没有什么可惧怕的了。一旦感染了

1. 检查注册表启动组 , 具体为 :开始 -->运行 -->regedit,

值 :HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和

HKEY_LOCAL_MACHINE\Sogtware\Microsoft\Windows\CurrentVersion\RunServ er, 查找 KERNEL32.EXE 的执行项目 , 如有则将两个键值删除 . 值得注意的是 , 因为

2. 删除硬盘上与“冰河”有关的文件 . 可以按上述文件名将可疑文件找出 后删除 .KERNEL32.EXE(或更改为新名称 ) 默认在 \Windows\sytem目录下 , 但同样 因配置的不同可以寄存与 \Windows或 \Temp目录下 .

3.“冰河”的自我保护措施是很强的 , 它可以利用注册表的文件关联项目 , 在你毫不知觉的情况下复制自己重新安装 . 在做完上述工作后 , 虽然表面上“冰

河”不复存在了,但当你点击打开有关文件时 (如*.TXT,*EXE),“冰河”又复活 了!因此为斩草除根 , 在上述 1.2步的基础上 , 还应以可疑文件名为线索 , 全面扫 描查找一遍注册表 , 可以发现可疑键值一一删除 .

4. 上述的操作因需要在系统的心脏 --注册表上做手术,有一定的危险性 . 其 实最简便有效的办法就是格式化你的硬盘 , 重装 Windows 系统,当然 , 你要为此 付出一定的时间了!

以下是补充上述方法的新文章 :

一 . 按照上述方法杀掉冰河后,还应该对注册表中

HKEY_CLASS_ROOT\txtfile\shell\poen\command下的键值

C:\WINDOWS\NOTEPAD.EXE%1 进行修正 , 改为 :C:\WINDOWS\SYSTEM\EXE%1,否则 大家会发现打不开文本文件 , 当打开文本文件时 , 大家会看到 ' 未找到程序 ' 的提 示 .

二 . 是上述介绍杀掉木马的方法是 , 只是针对客户端配置的确省模式 , 当客 户端在配置服务器程序是更换了文件名 , 广大网友可能就找不到了 . 具体的判断 解决方法是

HKEY_CLASS_TOOT\txtfile\shell\poen\command的键值是什么 , 如

C:\WINDOWS\SYSTEM\CY.EXE%1(这里也可能是其它文件名和路径 ), 记下来 CY.EXE; 查注册表中

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunServ er 的键值 , 如也有 CY.EXE, 则基本上判断他就是冰河木马 , 最好还要再核对文件 的字节数 (2.0版本冰河木马字节熟为 495,733字节 ), 将以上的两个键值删除 C:\WINDOWS\SYSTEM\CY.EXE即可 (在 WIN98下是删不掉的 ). 需要注意的是在修正 注册表之前 , 要做好备份 ; 要对与 CY.EXE 字节熟相同的文件引其高度注意 , 以防 客户端在此前给你配置了几套冰河木马。

如何识别木马

先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在 有很多图片木马, EML 和 EXE 木马, 其中的图片木马其实很简单, 就是把木马 exe文件的文件头换成 bmp 文件的文件头,然后欺骗 IE 浏览器自动打开该文件,然 后利用网页里的一段 JAVASCRIPT 小程序调用 DEBUG 把临时文件里的 bmp 文件还 原成木马 exe 文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑 的时候就是你噩梦的开始了, EML 木马更是传播方便,把木马文件伪装成

audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下, 不需要你 点任何连接, windows 就会为你代劳自动播放这个他认为是 wav 的音乐文件,木 马就这样轻松的进入你的电脑,这种木马还可以 frame 到网页里,只要打开网 页, 木马就会自动运行, 另外还有一种方法, 就是把木马 exe 编译到 .JS 文件里, 然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办 法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马 已经有了大概了解,

简单防治的方法:

开始 -设置 -控制面版 -添加删除程序 -windows 安装程序 -把附件里的

windows scripting host去掉,然后打开 Internet Explorer浏览器,点工具 -Internet 选项 -安全 -自定义级别,把里面的脚本的 3个选项全部禁用,然后把 “在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一 些网页的动态 java 效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶 意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打 些补丁,反正我所知道的网吧用的都是原始安装的 windows ,很不安全哦,还有 尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗

不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这 个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还 原精灵都只还原 c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游 戏执行文件,你照样逃不掉的。

冰河陷阱

提起“冰河”木马,相信没有多少网民不知道。作为国内木马程序的经典 之作,它操作简单,功能强大。虽然原作者黄鑫从 2.2B 版本已经彻底停止了开 发,但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上 就出现了一些所谓的冰河 3.0、 5.0、 V60、 V70、 V80、 2000、 XP 以及各种“XX 专版”,更有甚者已经开始对修改后的冰河程序进行收费,这引起了原作者黄 鑫的注意。

为了防止这种不良影响,他向广大网民免费奉献了一款专门用来对付各类 冰河木马的“冰河陷阱”程序,主要有两大功能:一是自动清除所有版本“冰 河”被控端程序。二是把自己伪装成“冰河”被控端,记录入侵者的所有操作。 第一步:清除冰河木马

把压缩包内的文件解压到一个目录,运行“冰河陷阱.exe”,如果当前系 统中已经被别人植入了冰河木马的话,这时它会提示你是否自动清除冰河木马 被控端程序,当然要选择“是”了,接下来它会显示出这个安装的“冰河”木 马的配置信息,点击 [确定 ]按钮,冰河陷阱就会自动彻底地从系统中清除冰河 木马,并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件 中。现在我们要打开该文件查看,注意记下“监听端口”中的数字“7626”(也 可能会是其他数字 ) ,后面要用到。

另外还要记下“接收 IP 信箱”后面显示的邮箱, 这就是入侵者接收你的 IP 地址以及密码等信息的信箱,以后你可以向该信箱发出警告信或者请求信箱服 务商的管理员帮助。

我在试用中发现如果“冰河陷阱.exe”处于运行状态,冰河木马被控端程 序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无 冰河被控端程序,并提示清除。因此建议大家选中“设置”菜单中的“随系统 自动启动”选项,让它开机自动运行。

第二步:请君入瓮

接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后,点 击“设置”菜单中的“设置监听端口”,然后输入前面记下的冰河木马被控端 监听端口“7626”(一定要与上面显示的数字一样 ) ,然后单击工具栏中的 [打开 陷阱 ]按钮,再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的 “冰河”被控端程序对入侵者的控制命令进行响应,使入侵者以为你的机器仍 处于他的控制之下。

当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上 时,可以在系统托盘中看到冰河陷阱图标不断闪烁报警,同时还有声音报警。 双击图标打开“冰河陷阱”主界面,在列表中可以看到入侵者的 IP 地址、所在 地以及登录密码和详细的操作过程。点击 [保存记录 ]按钮可以将显示的入侵记 录保存在磁盘上以供分析。

另外,冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的 [冰河 信息 ]按钮,可以直接给入侵者发送一个反击消息,当然越恐怖效果越好,保证 让这个入侵者“丢盔弃甲”,落荒而逃,再也不敢冒犯你了。

范文五：浅析冰河木马

“冰河”木马的攻击与防范

林楚金 班级(YL03) 0930103238

前言

随着网络的日益发展，通过网络攻击的手段也变得复杂多样，有组织，有预谋，有目的的攻击，破坏活动也频繁的发生，攻击点也越来越精确集中，攻击破坏的影响面不断扩大，甚至产生连锁反应，所以，我们必须要构筑一种主动的安全防御，才有可能最大限度地有效应对各种不同的攻击方式。接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。在此之前，先简单的介绍一下什么是特洛伊木马??

目录

一、 什么是木马 .................................................................... 3 二、 “冰河”木马的简介 ....................................................... 6 三、 “冰河”木马工作原理 ................................................... 7 四、 “冰河”木马工作过程或步骤流程 ............................... 8 五、 “冰河”木马功能或后果 ............................................. 17 六、 “冰河”木马防范手段与措施 ..................................... 18

什么是木马

1、木马的基础

特洛伊木马(TrojanHorse)简称“木马”，原指古希腊士兵藏在木马内进入敌方城

市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

在计算机领域中，木马其实就是类恶意程序。“木马”程序是目前比较流行

的病毒文件，与一般的病毒不同，病毒是一自我复制为明确目的的编写代码，它附着宿主程序，然后试图在计算机之间传播，会对硬件、软件和信息造成破坏。而“木马”不会自我繁殖，也不会刻意的去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被施种者电脑的门户，使施种者可以任意损坏、窃取被施种者的文件，甚至远程控制被施种者的电脑。“木马”与常用的远程控制软件不同，远程控制软件是善意的控制，不具有隐蔽性；“木马”正好相反，它是以“偷窃”为目的的远程控制，具有很强的隐蔽性。

一个完整的“木马”程序包括“服务器”和“控制器”两部分。被施种者的电脑是“服务器”部分，而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使施种者可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

2、木马的特性和功能

木马一般具有以下几个特性： ? ? ? ?

伪装性(木马程序善于改头换面) 潜伏性(等控制端的信号) 隐蔽性(一般人不易发觉)

不易删除(深藏于各个系统文件中)

?

通用性(能适应多种操作系统)

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了施种者，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

3、木马的攻击原理

木马的攻击过程大致上可以分为6步进行：

1) 配置木马。木马的配置主要是实现木马的伪装和信息反馈方式配置。

木马的伪装一般会采用修改图标、绑定文件、定制端口、自我销毁的手段。

2) 木马的传播。木马的传播方式主要有两种，一种是通过E-mail附件的

形式传播，另一种是通过在网上提供下载的名义，将木马捆绑在软件上（如右图所示）。

运行木马。服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了。

4) 信息泄露。木马安装成功后会将服务端电脑上的相关信息通过E-mail、

IRC、ICQ等方式告知控制端。

5) 建立连接。连接必须服务端已安装木马程序或控制端和服务端都在线

的条件下才能成功连接。连接有正向连接和方向连接（反弹式连接）两种，前者是控制端向被控制端发送信号，后者是被控制端主动向控制端发信号。

6) 远程控制。木马连接建立后，控制端端口和木马端口之间将会出现一

条通道。

“冰河”木马的简介

木马的发展可以分为四代，最早的是以对付UNIX为主，针对WINDOS的只有BO和Netspy；第二代则是BO2000、Sub7、冰河（国产最早）、广外女生等；到了第三代比较有名的就是灰鸽子；第四代则是广外幽灵和广外男生。

冰河是最优秀的国产木马程序之一，开发于1999年，同时也是被使用最多的一种木马，我个人认为，如果“冰河”木马这个软件做成规规矩矩的商业用远程控制软件，绝对不会比那个体积庞大、操作复杂的远程控制软件差，但可惜的是，它最终变成了黑客常用的工具。冰河是由黄鑫开发的免费软件，目前的最高版本是 8.4，由于它是国产软件，所以大多数网络黑客在初期都以它用来作为入门程序。冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

目前，冰河还在不断更新，进行版本升级，对其默认配置进行修改，来躲避杀毒软件的查杀。新出的冰河8.4的程序界面如下图所示：那些对你的电脑不怀好意的人，就是用这个控制软件在网络的另一头，在你没有查觉的情况下，严重危害你的电脑，可以完全控制你的电脑，偷到你的电脑上的一切文件，破坏你的电脑，而这一切，你很难发现，

这是很可怕的。

三、 “冰河”木马工作原理

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。 Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

对于冰河，被控制端相当于一台服务器，控制端则是一台客户机，G_server.exe是守护进程，G_client是客户端的应用程序，这一点很容易让人混淆。我们可以把冰河比作网络客户/服务器模式的原理，服务器提供服务（被控制端），客户机接受服务（客户端）。作为服务器的主机一般会打开一个默认的端口并进行监听, 如果有客户机向服务器的这一端口提出连接请求,

服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。

四、 “冰河”木马工作过程或步骤流程

下面我们以冰河V8.4为例，演示冰河木马的攻击过程。

A机开启一个随机端口(如2001)与B

机的7626端口建立连接

1、 在下载解压的目录下我们可以看到以下几个文件：

1）G_Server.exe：被监控端后台监控程序，在安装前可以先通过“G_Client.exe”进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等。黑客们想方设法对它进行伪装，用各种方法将服务器端程序安装在你的电脑上，程序运行的时候一点痕迹也没有，你是很难发现有木马冰河在你的电脑上运行的；

2）G_Client.exe：监控端执行程序，用于监控远程计算机和配置服务器程序；

3）Operate.ini：G_Server.exe的配置文件；

4）Readme.txt：帮助文件。

2、为了更好地隐蔽，我们一般先对服务端软件进行配置。打开 g_client.exe，可以

看到如下界面：

3、在使用服务器程序之前，要对它进行配置。运行

G_Client.exe，选择【文件】

→【配置服务器端程序】，在弹出的对话框中进行配置即可，对话框如图所示：

【邮件通知】。下面依次介绍。

? 【基本配置】

a) 安装路径：即服务器程序安装的位置，有三个选项：分别为

“Windows”、“System”、“Temp”，这些都是Windows里的一

些目录；

b) 文件名称：是服务器程序安装到目标计算机之后的名称，默认是

Winoldap.exe，对于不熟悉Windows系统的用户来说，这可像是一

个系统程序啊。当然，这个名称是可以改的；

c) 进程名称：服务器程序运行时，在进程栏中显示的名称。默认的进

程名是Windows，也可以更改；

d) 访问口令：客户机连接服务器程序时需要输入的口令。如果用于远

程控制的时候，可以在一定程度上限制客户端程序的使用；

e) 敏感字符：设置冰河程序对某些敏感字符的信息加以记录。冰河把

这些包含文字的信息保存下来，然后通过各种途径发给黑客；

f) 提示信息：被控制计算机运行时，弹出的对话框信息。如果为空的

话，程序运行时就没有任何提示；

g) 监听端口：设置服务器程序在哪个端口等待客户程序的连接，以前

的默认设置是 7626，在冰河 8.0版本中，端口号已经改为了2001；

h) 自动删除安装程序：如果选中此项的话，会自动删除安装程序；

i) 禁止自动拨号：如果不选中此项的话，每次开机时，冰河就会自

动拨号上网，然后把系统信息发送到指定的邮箱。通常，黑客们都

不会轻易暴露自己，所以他们会选中该项；

j) 待配置文件：服务器程序的名称，原始的文件名是G_Server.exe。

? 【自我保护】

? 【邮件通知】

这是程序与黑客进行通信的一个渠道，当中木马的计算机连到

互联网之后，冰河就会寻找设置的邮件服务器，把目标计算机的敏感

信息，如系统信息、开机口令等发到设置的邮件地址。

a) SMTP服务器：冰河用来发送邮件的服务器，例如smtp.263.net等；

b) 接收信箱：这就是黑客用来接受目标计算机信息的信箱；

c) 邮件内容：包括系统信息、开机口令、缓存口令、共享资源信息等，也可

以只选择其中一项或几项。

4、客户端的实战操作方法

将服务端程序发送到目标计算机上（可以采取任何方法），并运行该程序。

【添加主机】

想要对某台已经种植冰河的目标计算机进行监控，首先就要把目标计算机添加进来。 选择“文件”->“添加计算计”，填入主机的名称，这就是目标计算机显示

在控制端的名称，接下来要填入目标计算机的IP地址，同时设置访问口令监听端口，如果参数设置正确的话，就可以成功地连到目标计算机上。如图：

5、当连接成功以后就可以通过“文件管理器”察看目标计算机上的文件。选择“命

令控制台”，分别试验以下功能：捕获屏幕、击键纪录、进程管理、创建共享等功能。

? 【删除主机】

将被监控端IP地址从主机列表中删除（相关设置也将同时被清除）。

? 【自动搜索】

搜索指定子网内安装有“冰河”的计算机，在进行搜索的时候，

除了指定子网之

外，还可以根据监听端口、延时时间来进行设置。

? 【查看屏幕】

查看被监控端的屏幕。

? 【控制屏幕】

控制被监控端的屏幕。

【冰河信使】 相信大家一定在网上聊过天，那么肯定也少不了私聊了。冰河提供了一个点对

点聊天室，也就是传说中的“二人世界”，客户端和被监控端可以通过信使进行对话

“冰河”木马功能或后果

1) 自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控制

端的屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控制端的屏幕

（局域网适用）；

2) 记录各种口令信息：包括开机口令、屏幕保护口令、各种共享资源口令及绝大对

话框中出现过的口令信息；

3) 获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、

当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4) 限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁

定注册表等多项限制；

5) 远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快

速浏览文本文件、远程打开文件（提供了四种不同的打开方式——正常方式、最

大化、最小化和隐藏方式）等多项文件操作功能；

6) 注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注

册表操作功能；

7) 发送信息：以四种常用图标向被控端发送简短信息；

8) 点对点通讯：以聊天室形式同被控端进行在线交谈。

“冰河”木马防范手段与措施

多留意一下自己电脑的一些状况，看是否符合以下木马运行的征兆：

? 电脑莫名其妙地死机或重启；

? 硬盘在无操作的情况下频繁被访问；

? 系统无端搜索软驱、光驱；

? 系统速度异常缓慢，系统资源占用率过高…… 如果发现自己的计算机中了冰河木马，那么，也不用着急，一般来说，木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件（自动），现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星 XP，它们在查杀木马方面有自己独特的一套。或者是使用专门的木马清除工具，如The Cleaner。

由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀也是非常必要的。 一般来说，“冰河”客户端程序的自我保护的设定是与 TXT 文件或 EXE 文件关联的，关联的文件是sysexplr.exe，所以还要把关联更改。

如果是和文本文件关联的，你还必须把文本文件跟notepad关联上，方法如下：按住 Shift 键的同时鼠标右击任何一个 TXT 文件，选择打开方式，选中“始终用该程序打开......”然后在程序选择列表中选择notepad就可以了。

如果是与 EXE 文件关联的，那么应该用注册表编辑器在

HKEY_CLASSES_ROOT\.EXE中把“默认”的键值进行修改（注意要看清楚，下面还要改回来的），完成后退出Windows，然后在DOS状态下删除该“冰河”用户端程序，重新启动，并把EXE文件的注册表改回来才算是大功告成。

防范冰河木马的攻击，可以使用以下几点措施：

(一) 端口扫描

无木马的最好办法， 端口扫描的原理非常简单， 扫描程序尝试连接某个端口， 如果成功， 则说明端口开放，如果失败或超过某个特定的时间（超时）， 则说明端

(二) 查看连接

查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat -a（或某个第三方的程序）查看所有的/动态链接木马，而且仅仅能

在本地使用。

(三) 观察目录

普通用户应当经常观察位于“双c:\、c：\windows\c:\windows\system”这三个目录下的文件。用“记事本”逐一打开“c：\”下的非执行类文件“（除exe、bat、com以外的文件），查看是否发现特洛伊木马、击键程序的记录文件，在在“c：\Windows”或“ ：\Windows\system”下如果存在只有文件名没有图标的可执行程序，你应该把它们删除，然后再用杀毒软件进行认真的清理。

(四) 检查注册表

察看注册表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version下所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

(五) 检查启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C：\windows\startmenu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup=“C：

\windows\startmenu\programs\startup”。要注意经常检查这两个地方哦！

(六) 使用杀毒软件

现在国内的杀毒软件都推出了清除某些特洛伊木马的功能，如 KV3000、瑞星、

供网络实时监控功能，这一功能可以在黑客从远端执行用户计算机上的文件时，提供报警或让执行失败，使黑客向用户计算机上载可执行文件后无法执行，从而避免了进一步的损失，但是要记住，杀毒软件不是万能的。

(七) 使用防火墙软件

可以使用防火墙软件和各种反黑软件，用它们筑起网上的马其诺防线，这样在上网时，会安全许多。网上防火墙软件很多，如“天网防火墙个人版”、“zonearlarm”等等。

(八) 提高防范意识

不要打开陌生人信中的附件，哪怕他说的天花乱坠，熟人的也要确认一下来信的原地址是否合法。

转载请注明出处范文大全网 » 怎么用冰河木马(冰河木马教程