冰河木马实验（V8.4）

简述：

百科词条

冰河木马开发于1999年，跟灰鸽子类似，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，跟后来的灰鸽子等等成为国产木马的标志和代名词。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。其中攻击者使用G-client.exe对执行了G-server.exe的主机进行控制。

功能

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

实验环境：

冰河木马：V8.4
攻击主机：win7，ip：……132（以A代替）
受控靶机：win7，ip：……134（以B代替）
两台主机能互相ping通

攻击步骤：

本次试验采用共享文件的方式将木马种植在目标主机

打开实验的两台虚拟机，使用net use命令进行连接

net use \\192.168.88.134\ipc$

将主机B的C盘映射在主机A上，名为X

net use x: \\192.168.88.134\c$

把g_server.exe文件拷贝进主机B的C盘，并设置自启动时间

at \\192.168.88.134 h:m:s C:\\g_server

当到达设定时间后，主机B上就会自动运行g_server.exe

（运行g_server.exe前）

（运行g_server.exe后）

此时主机B的7626端口已经打开，可以对其进行控制。

在主机A上打开g_client.exe，并扫描主机

扫描成功后对其进行控制

（查看、编辑、创建、删除主机文件）

（在主机A上给主机B创建文件）

（记录键盘）

（查看注册表键值）

等……

防御步骤：

冰河木马隐蔽性高，且极为顽固，一旦运行G-server，那么该程序就会C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，只要打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

因此防御分以下四个步骤：

还原自启动注册表

冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根，键值为C:/windows/system/Kernel32.exe，用于设置开机自启，找到并删除。

还原txt文件的注册表信息

冰河通过修改txt文件之策表信息的键值对，使得sysexplr.exe和txt文件关联，当编辑txt文件时，就会再次激活冰河，找到该键值对并还原为notepad

（正常的txt文件打开路径）

（感染冰河）

修改为正常数据

结束冰河的核心进程Kernel32.exe

删除系统目录下的Kernel32.exe和sysexplr.exe文件

文件位置为：windows/system32。
Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。找到并删除

自此，冰河已经被完全清除，以上几个步骤缺一不可。

学习整理，若有问题请指出。