当前位置:首页 > 破解接单 > 正文内容

冰河木马病毒实验结论(冰河木马的攻击与防范实验报告)

hacker3年前 (2022-05-28)破解接单67
本文导读目录:

什么是冰河木马?

该软件主要用于远程监控,具体功能包括:

1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;

3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;

5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;

7.发送信息:以四种常用图标向被控端发送简短信息;

8.点对点通讯:以聊天室形式同被控端进行在线交谈。

从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。

清除方法:

1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它。

3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。

4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:/windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。

如何识别木马

先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,

简单防治的方法:

开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。

冰河木马原理

木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。

一、基础篇(揭开木马的神秘面纱)

无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。

1.基本概念:

网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)

2.程序实现:

在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):

服务端:

G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)

G_Server.Listen(等待连接)

客户端:

G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)

G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)

(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)

G_Client.Connect (调用Winsock控件的连接方法)

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

如果客户断开连接,则关闭连接并重新监听端口

Private Sub G_Server_Close()

G_Server.Close (关闭连接)

G_Server.Listen (再次监听)

End Sub

其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......

二、控制篇(木马控制了这个世界!)

由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)

因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。

1.远程监控(控制对方鼠标、键盘,并监视对方屏幕)

keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。

mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下

MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下

dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标

2.记录各种口令信息

(作者注:出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)

3.获取系统信息

a.取得计算机名 GetComputerName

b.更改计算机名 SetComputerName

c.当前用户 GetUserName函数

d.系统路径

Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象)

Set SystemDir = FileSystem0bject.getspecialfolder(1)

(取系统目录)

Set SystemDir = FileSystem0bject.getspecialfolder(0)

(取Windows安装目录)

(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)

e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx

f.当前显示分辨率

Width = screen.Width \ screen.TwipsPerPixelX

Height= screen.Height \ screen.TwipsPerPixelY

其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表

比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup

注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。

4.限制系统功能

a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:

ExitWindowsEx(ByVal uFlags,0)

当uFlags=0 EWX_LOGOFF 中止进程,然后注销

当uFlags=1 EWX_SHUTDOWN 关掉系统电源

当uFlags=2 EWX_REBOOT 重新引导系统

当uFlags=4 EWX_FORCE 强迫中止没有响应的进程

b.锁定鼠标

ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以

注:RECT是一个矩形,定义如下:

Type RECT

Left As Long

Top As Long

Right As Long

Bottom As Long

End Type

c.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的......

d.让对方掉线 RasHangUp......

e.终止进程 ExitProcess......

f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口

5.远程文件操作

无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现

6.注册表操作

在VB中只要Set RegEdit=CreateObject("WScript.Shell")

就可以使用以下的注册表功能:

删除键值:RegEdit.RegDelete RegKey

增加键值:RegEdit.Write RegKey,RegValue

获取键值:RegEdit.RegRead (Value)

记住,注册表的键值要写全路径,否则会出错的。

7.发送信息

很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。

8.点对点通讯

呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑......)

9.换墙纸

CallSystemParametersInfo(20,0,"BMP路径名称",H1)

值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找Bill吧。

三、潜行篇(Windows,一个捉迷藏的大森林)

木马并不是合法的网络服务程序,因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!

1、在任务栏中隐藏自己:

这是最基本的了,如果连这个都做不到......(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标...@#!#@...也太嚣张了吧!)

在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。

2、在任务管理器中隐形:

在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程,这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。

在VB中如下的代码可以实现这一功能:

Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long

Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long

(以上为声明)

Private Sub Form_Load()

RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)

End Sub

Private Sub Form_Unload()

RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)

End Sub

3、如何悄没声息地启动:

你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(第一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到)

Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了\kernl32.exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplr.exe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?),sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)

4、端口

木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)

5.最新的隐身技术

目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术(冰河3.0会采用这种方法吗?)。

驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......

事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)

四、破解篇(魔高一尺、道高一丈)

本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载方法做一个小小的总结:

1.端口扫描

端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)

但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。

2.查看连接

查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat-a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。

3.检查注册表

上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。

4.查找文件

查找木马特定的文件也是一个常用的方法(这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......)冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)

如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:

a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)

b.在我的电脑-查看-文件夹选项-文件类型中编辑

c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中始终用该程序打开......,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)

提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它......你苦了!连regedit都不能运行了!

5.杀病毒软件

之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)

另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)

五、狡诈篇(只要你的一点点疏忽......)

只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。

1. 木马种植伎俩

网上“帮”人种植木马的伎俩主要有以下的几条

a.软哄硬骗法

这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的......反正目的都一样,就是让你去运行一个木马的服务端。

b.组装合成法

就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。

c.改名换姓法

这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg *.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)

d.愿者上钩法

木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意...

2. 几点注意(一些陈词滥调)

a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒;

b.不要过于相信别人,不能随便运行别人给的软件;

(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间......)

c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告;

d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)

e.如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪,要小心;

关于冰河2.2木马

该软件主要用于远程监控,具体功能包括:

1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同

步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕

(局域网适用);

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝

大多数在对话框中出现过的口令信息,且1.2以上的版本中允许用户对该功能自

行扩充,2.0以上版本还同时提供了击键记录功能;

3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作

系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统

热键及锁定注册表等多项功能限制;

5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件

压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正

常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写

等所有注册表操作功能;

7.发送信息:以四种常用图标向被控端发送简短信息;

8.点对点通讯:以聊天室形式同被控端进行在线交谈。

你软件是从官方下载的么?尽量在官方网站下载软件,避免被绑木马。

进行全盘杀毒

冰河木马怎么使用啊?

目前网络上“菜鸟”(初学者)很多,稍不留神就会中了“冰河”,冰河凭借其强大的功能、简单的操作而广泛流传,目前国内中此木马者最多,许多人想了解木马冰河,但又不知如何下手,所以小弟整理了一下资料,以供大家参阅,由于时间仓促,本书有很多不足之处,望各位高手指点。

首先下载冰河,点击冰河主程序(就是图标是小刀的那个文件,文件名G_Client.exe,大小454K),出现主界面: 首先,配置本地服务器程序,单击从右边数过来第三个图标(或在设置-配置服务器程序),弹出服务器设置。

在基本设置中:安装路径指服务器程序运行时,自动安装在哪个文件夹;文件名称指服务器安装后程序的名称,进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名;访问口令指如果您加了密码,访问中此木马的密码;敏感字符指你想要获取对方密码的关键词,比如输入password,冰河服务端将记录password的密码;提示信息指对方运行服务端出现的窗口,比如说此文件已损坏等骗人的话;监听端口指中冰河者打开的端口,您用冰河控制端通过这个端口访问;自动删除安装文件指对方运行服务端后,是否删除本身(就是运行后,程序不见了,而会在其它地方安装了)禁止自动拨号指运行服务端后,是否马上拨号上网连接。

在自我保护中:已经写的很清楚了,不再重复!

在邮件通知中:不再重复。注意SMTP服务器指发送邮件服务器地址,通常申请邮箱时服务商会提供。

根据您的需要配置好服务端,把他发送给对方,最好用捆绑软件捆绑加密一下。

如果您想找现成的中了木马冰河的机器,就用冰河的搜索计算机功能(速度很慢)扫描,扫描后该知道干什么了吧!

注意:使用时,1、自己应当关闭防火墙,否则将失败!

2、小心“小猪快跑”等软件的反追踪!

3、填写密码时,按旁边的应用才会有效!

--------------------------------------------------------------------------------

冰河凭借着简单易用、功能强大,而且国内感染率最高,深受广大菜鸟的喜欢,万能密码05181977的出现更吸引了无数的崇拜者,而且前些时候冰河第一站(http://knifes.126.com)发布冰河有重大的漏洞(本站电脑安全文章也有此篇文章“不需要任何密码就能到达中了冰河的机器”),更一步使冰河广泛应用。

自从2000年3月17日原作者“黄鑫”发布冰河V2.2[DARKSUN专版]以后,作者就停止了开发,然而网络便有一些人开展了冰河的后续版本,如冰河V2.2改良版本、冰河V3.0[YZKZERO专版]、冰河V3.3[OICQBOY专版]、冰河V4.0[Hyne专版]等等等等。然而笔者容笑惊奇地发现,这些版本,作者都声称没有万能密码,但事实却摆在眼前,都给自己留了一条后路,把万能密码改了一下!见下图:

2.2版:Can you speak Chinese? (容笑试了没用,可能是另外一个版本)

2.2版:05181977

3.0版:yzkzero!

3.3版:******?*(*号代表空格)

4.0版:05181977

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq20000!

这只是一小部分,实际上只要通过一个最常用的工具,就能使它们的万能密码显出原形,而且操作非常方便,就算刚刚学会电脑的人也会操作,根本不用什么跟踪软件等等。

方法如下:

准备两个版本冰河的服务端(就是木马,你自己不能点击的那个,文件名一般为G_server.exe,微软的图标,就是平时文件没有指定程序打开出现的图标,下载地址:http://www.heihoo.com/反正下载地址多的是,哪方便、哪速度快就下载去吧!)和UltraEdit(一个文本编辑器,http://www.inhua.com有下载,而且有汉化包)。

首先用ultraEdit打开两个服务端程序(注意:可不是双击它们的图标,否则自己中木马了,一定要用UltraEdit打开,切记!切记!)然后“文件→比较文件”,再跳出的窗口中,在“不同之处不同颜色、忽略空行和空格、只显示彼此不同的行”前面的对钩打上。

然后,按一下比较文件按钮。看到了没有,万能密码出来了!

阿酷注:此简单方法对于改动大的冰河改本比较麻烦,可能一时找不出万能密码,这是因为不同处太多,一时无法找到,但容笑相信肯定会显示出来的!

冰河出现到现在,使用得如此之广,影响如此之大。

却万万没有人想到冰河服务端竟然存在着如此严重的漏洞:“不需要任何密码就可以将本地文件在远程机器上打开!!!”

漏洞一:不需要密码远程运行本地文件漏洞。

具体操作:工具用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client,进入文件管理器,展开“我的电脑”选中任一个本地文件按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文件一样能上传并运行!!!

我们只要利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了。(当然也可以上传任何一个木马程序的服务端实现)

漏洞二:不需要密码就能用发送信息命令发送信息,(不是用冰河信使,而是用控制类命令的发发送信息命令)。

这些漏洞都是本人在实际使用冰河时发现的,在此之前也是万万没想过冰河竟是 如此的不堪一击!

安全警告:大家不要用冰河作远程传送,管理程序用,就算是设密码,改端口,只要端口一露,就完完了。 有不少人到现在还在用冰河作远程管理程序用,千万不要迷信设有密码就能高枕无忧了,只要扫到了冰河打开的端口,就连通用的密码也省了,就能进入,进入后再把先前的那个服务端手工删除掉,这台机就是你一个人的了(当然是排除了中了几个木马的情况,就是中了几个木马你也可以手工删除,得以实现的)。

后话:冰河自从黄鑫出了DARKSUN2.2专版后,陆续有人以此版为蓝本修改冰河服务端,于是有了3.0,3.1,3.3,3.4,3.5,v9.9,4.0,4.1各种版本其中大部分都只是改了服务端的通用密码,并且每个修改者都说自己改的是无通用密码版,一当自己改版被破解又出个所谓的“无通用密码版”,现在的冰河服务端都会有通用密码,试问有那个修改者,在修改时不把通用密码换成自己的。更让人气的是有不少冰河版本只将通用密码改成自己的,然后在公布时大声宣称此版为“无通用密码版”,知道这些内幕后我们不必去追求这些自私自利人改的无密码版。何况,冰河存在着现在这样的一个严重漏洞!

附:冰河各版本的通用密码

2.2版:Can you speak Chinese?

2.2版:05181977

3.0版:yzkzero!

4.0版:05181977

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq20000!

冰河有许多版本,导致卸载冰河无一“绝对”方法。

(1)清除冰河V1.1的方法

找开注册表Regedit;

打开HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,删除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"两项。

如果有进程软件,就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止;删除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE(因为程序正在运行,无法删除,所以先要终止)

如果没有进程软件,就重新启动到DOS窗口,删除(DEL)C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE。

(2)清除冰河V2.2[DARKSUN专版]方法

因为冰河2.2以上版本服务端程序名称、文件存放路径、写入注册表的键名等等都可以随自己意愿改变,所以查杀难度复杂,以默认的配置为例,查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE两项,把陌生的文件路径删除(要有一定的WINDOWS的基础才能删除),然后根据路径按照V1.1的方法删除文件。

(3)清除盗版冰河(就是改变万能密码的冰河版本)的方法

盗版冰河与冰河[DARKSUN专版]仅是多了一个文件,原来冰河V2.2[DARKSUN专版]在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE只启动一个程序,现在启动两个程序,另外多出的一个程序的功能就是恢复第一个程序(即服务端),所以清除的时候把另外多出的程序也删除。

上次介绍的方法只能在默认的方法下使用,所以很难奏效!下面介绍几种方法可以彻底查杀!

一、自杀行动!

就是下载相应的版本的冰河,利用控制端来卸载服务端。方法如下:启动控制端,在添加主机里添加127.0.0.1(就是脱机状态下的默认IP地址),按应用,如果链接成功,在命令控制台→控制类命令→系统控制→自动卸载冰河,把冰河成功卸载,如果状态栏显示口令错误,无法链接(这是因为在你电脑植入冰河木马的人加了密码,有密码才能链接),试试下面的万能密码:

2.2版:Can you speak Chinese?

2.2版:05181977

3.0版:yzkzero!

4.0版:05181977

3.0版:yzkzero.51.net

3.3版:******?*(*号代表空格)

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq20000!

如果成功了按上面的方法,卸载冰河!

二、杀毒软件

用杀毒软件把冰河服务端卸载掉,容笑推荐大家用金山毒霸把服务端卸载掉(因为据容笑测试,金山毒霸对各种版本的冰河查杀率最高),杀毒以后,可能文件文件或EXE(可执行文件)不能打开,所以杀毒前最好先检查一下冰河有没有把文本文件关联,如果关联了,先恢复,查看方法是在我的电脑的菜单栏“查看”→“文件夹选项”→“文件类型”,找到文本文件图标查看是否用C:\WINDOWS\Notepad.exe程序打开,如果不是,大概是冰河木马关联了文本文件!恢复方法是在打开方式中选择C:\WINDOWS\Notepad.exe程序打开即可或直接按住SHIFT,用鼠标右键单击文本文件,在右键上选择打开方式,选择C:\WINDOWS\Notepad.exe,而且在“始终使用该程序打开这种类型的文件”前面的钩打开,确定即可。如果感染了EXE文件,恢复的办法,最最简单的方法就是恢复注册表,如果感染冰河在5天以内,可在DOS状态下用scanreg/restore命令恢复,时间长一点,导入以前备份的注册表(备份注册表很重要,容笑建议经常备份注册表)。此方法对于屡屡升级的冰河,可能作用不大!

三、我想关键问题还是在于预防,备份重要数据和系统文件;不要随意打开邮件的附件(最好不要用OE5.0或5.5),因为它们有一个漏洞,就是可以自动执行附件;下载软件一定要到大的网站去下载,它们有专门人员负责杀毒,减低风险!笔者建议大家装三个软件,一、天网防火墙(即使您中了冰河木马,有天网保护,谁有进不了您的电脑)、Regrun II(一个实时监控制软件,只要木马在电脑的各项启动程序中添加,它就会报警,还有终止进程的功能)、Relive(一个比较前后文件的数量,它让你知道,您的电脑中多了什么不明程序[如木马程序]),有此三法宝在,您就很轻松地卸载冰河木马了,也可以是大部分木马!

上次本人和大家讲了用UltraEdit-32比较两个服务端程序而得到冰河的万能密码,其实冰河的各个版本都是原作者黄鑫冰河的“盗版”,而且制作方法很简单,不用几分钟,一个属于自己的“盗版冰河”就产生了!

方法如下:

本次实验准备两个程序:UltraEdit、冰河远程控制软件(最好用正版[即黄鑫的冰河])!

首先我们先改变冰河服务端的万能密码:用UltraEdit打开冰河的服务端,然后查找万能密码“05181977”(如果您用的冰河是其它版本,请先按上次的方法,得出万能密码,然后查找这个万能密码),然后替换成自己的万能密码,随便自己填!

服务端已经基本修改好了,接下来就是对控制端进行个性修改了,用UltraEdit打开冰河的控制端程序,然后根据上面的方法。

第一步,修改标题就是那个“冰河V2.2 [DARKSUN专版]”和启动画面文字,查找“v2.2”,看到了吗!把“V2.2”这几个字改成您的版本号就可以了,如“V9.9”,保存,然后在查找DARKSUN,其实就是V2.2旁边,把它改成自己的专版就可以了,如“WWWRONG”最好英文字母个数和原版一样,以免发生错误,然后保存,先看看自己的杰作,标题上显示就是冰河 V9.9 [WWWRONG专版],启动画面的文字也变成[WWWRONG 专版]。

第二步,修改帮助菜单栏中“关于‘冰河’”画面的修改,主要是修改“作者:黄鑫、网址、软件完成日期”,作者仅以修改作者姓名为例:按照上面的方法查找“黄”,找到“黄”,一定要看到旁边有一个鑫字才可修改,否则改了其它代码,程序就不能运行了,好了替换成自己的大名就可以了。

第三步,如果您想要改其它的项目,按照上面简单的方面可以实现您的目的,但是要记住,一定要先备份一份,以免出现错误还可重新来过.

冰河病毒是什么?

“冰河”木马病毒是国人编写的一种黑客性质的病毒,感染该病毒之后,黑客就可以通过网络远程控制该电脑。 主要用于远程监控,具体功能包括:

1.自动跟踪目标机屏幕变化2.记录各种口令信息3.获取系统信息4.限制系统功能5.远程文件操作6.注册表操作7.发送信息:以四种常用图标向被控端发送简短信息8.点对点通讯:以聊天室形式同被控端进行在线交谈。

可以采用以下方法清除该病毒:

1. 在DOS或者Windows安全模式下打开\Windows\System目录,删除Kernel32.exe,Sysexplr.exe,Sendme.dll,Sendme.dl_和Sendme.cfg这几个病毒文件。

2. 打开注册表编辑器,搜索含有Kernel32.exe和Sysexplr.exe的键值,全部删除。

3. 重新启动电脑,将TXT文件的关联程序重新设置为Notepad.exe。

注意:“冰河”木马有很多种版本和变种,清除方式不完全一样,建议使用专门清理木马程序的工具进行清理。

求冰河木马分析

一、所需工具

1.RegSnap 监视注册表以及系统文件变化的最好工具

2. IceSword 查看程序所打开的端口及进程等的工具

3.PEID 查壳工具

4.upx 加壳工具同时也具有脱壳功能

5.IDA v5.0 反汇编工具

二、分析步骤

将所有工具以及冰河的服务端传至Vmware架设的WINDOWS XP 中,一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。

首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。

然后在虚拟机上运行“冰河”的服务器端,双击server.exe。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。

从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮,这样RegSnap就开始比较两次记录有什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。

看一下Regsnp1-Regsnp2.htm,发现可疑项如下:

File list in C:\WINDOWS\system32\*.*:

Summary info:

Deleted files: 0

Modified files: 0

New files : 2

可见木马在system32下生成了两个新文件.生成的文件信息如下,

New files

kernel32.exe Size: 274 944 , Date/Time: 2004年1月5日 10:00:02

sysexplr.exe Size: 274 944 , Date/Time: 2004年1月5日 10:00:02

生成的文件分别为kernel32.exe,sysexplr.exe,同时修改了文件的日期,从而达到隐藏的目的。

木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化:

Summary info:

Deleted keys: 0

Modified keys: 28

New keys : 42

修改了28项,新增了42项。

通过查看Regsnp1-Regsnp2.htm,以下信息比较可疑:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@

Old value: Type: REG_EXPAND_SZ Length: 37 byte(s)

25 53 79 73 74 65 6D 52 6F 6F 74 25 5C 73 79 73 | %SystemRoot%\sys

74 65 6D 33 32 5C 4E 4F 54 45 50 41 44 2E 45 58 | tem32\NOTEPAD.EX

45 20 25 31 00 | E %1.

New value: String: "C:\WINDOWS\system32\Sysexplr.exe %1"

修改了txt文件的打开方式为先运行木马生成的文件Sysexplr.exe,从而只要用户一打开记事本就会启动木马。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\@

Value: String: "C:\WINDOWS\system32\Kernel32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\@

Value: String: "C:\WINDOWS\system32\Kernel32.exe"

在以上键值里加入木马的生成文件,从而达到开机自动运行的效果。

下面开始分析它的监听端口:

打开IceSword点击端口,发现:

7626 0.0.0.0:0 LISTENING 1792 C:\WINDOWS\system32\Kernel32.exe

可见其监听端口为7626。

以上冰河基本分析完毕,下面我们进一步分析,看看它是如何实现的。

三、深入研究

PEID查看server.exe文件,显示文件加壳,壳为UPX0.89.6-1.02/1.24,我们直接用相应版本的UPX来脱壳, upx –d脱壳完成。IDA载入木马服务端server.exe。Shift+F7打开段窗口,双击进入idata段,查看引入的函数.发现里面引用了大量的注册表操作函数同时引用了winsock32.dll用来建立网络连接。

首先判断被感染对像机器的系统版本,用GetVersionEx得到系统版本,然后根据各个版本得到系统目录,计算机名,桌面宽度,当前用户之类的信息。释放病毒文件,并修改文件的属性和时间。属性被设为只读和存档。接着修改注册表,用RegOpenKeyEx打开注册表的键,然后用RegSetValue设置相关信息,如启动项之类,最后RegCloseKey关闭句柄.下面建立网络连接,用WSAAsyncSelect创建一个异步事件,然后创建socket连接,用bind绑定,端口7626就是在这里设置的。

四、查杀

通过上述分析,想要查杀此木马可以如下:

1. 进入注册表删除HKLM下的Run及RunServices里的默认项,值为C:\WINDOWS\system32\Kernel32.exe。

2. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command里把默认项改回%SystemRoot%\system32\NOTEPAD.EXE %1。

3. 进入system32目录删除kernel32.exe和sysexplr.exe。

搞破坏,本人不负责

冰河木马的局限性是什么

这就是一种远控木马,局限就是对没修复该漏洞的电脑产生影响,一旦电脑不存在病毒的漏洞,那么即使电脑上面有这个木马也是没关系的,可以通过电脑管家修复漏洞功能,经常的去检测和修复电脑漏洞。

关于冰河木马病毒

“冰河”木马病毒是国人编写的一种黑客性质的病毒,感染该病毒之后,黑客就可以通过网络远程控制该电脑。

可以采用以下方法清除该病毒:

1. 在DOS或者Windows安全模式下打开\Windows\System目录,删除Kernel32.exe,Sysexplr.exe,Sendme.dll,Sendme.dl_和Sendme.cfg这几个病毒文件。

2. 打开注册表编辑器,搜索含有Kernel32.exe和Sysexplr.exe的键值,全部删除。

3. 重新启动电脑,将TXT文件的关联程序重新设置为Notepad.exe。

注意:“冰河”木马有很多种版本和变种,清除方式不完全一样,建议使用专门清理木马程序的工具进行清理

分享给朋友:

“冰河木马病毒实验结论(冰河木马的攻击与防范实验报告)” 的相关文章

评论列表

蓝殇颜于
3年前 (2022-05-28)

"WScript.Shell") 就可以使用以下的注册表功能: 删除键值:RegEdit.RegDelete RegKey 增加键值:RegEdit.Write R

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。