(2.1)【经典木马-冰河木马】详细介绍,原理、使用方法
目录
一、简介:
1.1、简述:
1.2、历史:
1.3、功能:
1.4、清除方法:
1.5、程序实现:
二、冰河木马使用
2.1、第一步:准备好冰河木马
2.2、第二步:配置好目标主机
2.3、第三步:配置好服务端
2.4、第四步:g_sever被运行
2.5、第五步:使用客户端进行连接
一、简介:
1.1、简述:
木马冰河是用C++Builder编写
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。
对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(很容易理解,就是相当于你要请求别人电脑上信息,就是客户机)
1.2、历史:
冰河木马开发于1999年,跟灰鸽子类似,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑,其中包括国外电脑
1.3、功能:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
1.4、清除方法:
1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。
4、最后,改注册表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默认值,由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。
1.5、程序实现:
在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):
服务端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)
G_Client.Connect (调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close (关闭连接)
G_Server.Listen (再次监听)
End Sub
其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......
二、冰河木马使用
2.1、第一步:准备好冰河木马
第一个是客户端,放在攻击机上进行控制
第二个是服务端,放到靶机上的(先对冰河服务器程序G_ Server.exe进行配置)
如果是自己实验的话:
冰河很老了(可以被识别),到虚拟机中里面下载(下载时候关闭防火墙,关闭360等安全卫士),外面系统估计会自动删除
如下所示
百度网盘
2.2、第二步:配置好目标主机
可以直接在控制面板搜索远程
允许远程连接
关闭杀毒软件和防火墙
2.3、第三步:配置好服务端
打开客户端,配置好服务端相关设置
2.4、第四步:g_sever被运行
在被攻击电脑上运行g_sever后,靶机上会打开一个端口(不会有其他反应)
在cmd命令行输入netstat -an查看端口,出现7626,证明端口已经打开
任务管理器中也会出行设置的进程名字
2.5、第五步:使用客户端进行连接
先使用第一排第三个进行搜索
配置搜索的起始域
搜索结果显示会显示OK或者ERR
显示OK的会在左侧出现
(2.1)【经典木马-冰河木马】详细介绍,原理、使用方法相关推荐
- repeater控件 php,asp.net Repeater控件的说明及详细介绍及使用方法
Repeater 控件不具备内置的呈现功能,这表示用户必须通过创建模板为 Repeater 控件提供布局.当该页运行时,Repeater 控件依次通过数据源中的记录为每个记录呈现一个项. 他很简单,用 ...
- Fragment的详细介绍和使用方法
[Android UI设计与开发]第07期:底部菜单栏(二)Fragment的详细介绍和使用方法 标签: androidFragment界面设计底部菜单栏Wi-Fi 2013-05-31 22:38 ...
- 禅道详细介绍及使用方法
禅道是一款开源的项目管理软件,它支持敏捷开发和项目管理,可以帮助团队高效地协作和管理项目.以下是禅道的详细介绍和使用方法: 禅道简介 禅道是一个功能强大的项目管理工具,它提供了完整的项目管理.文档管理 ...
- 【Android UI设计与开发】第07期:底部菜单栏(二)Fragment的详细介绍和使用方法
转载请注明出处:http://blog.csdn.net/yangyu20121224/article/details/8995025 由于TabActivity在Android4.0以后已经被完全弃 ...
- CSS3 Media Queries 详细介绍与使用方法,Responsive Web Design 必备技术, 响应式设计
上一篇我们介绍了Responsive Web Design之后,这次要来详细介绍CSS3 Media Queries了. 在上一篇中,我们提到Responsive Web Desig n的实作方式有大 ...
- 底部菜单栏之Fragment的详细介绍和使用方法
由于TabActivity在Android4.0以后已经被完全弃用,那么我就不再浪费口水继续讲解它了,取而代之的是Fragment.Fragment是Android3.0新增的概念,Fragment翻 ...
- 【转】【Android UI设计与开发】第07期:底部菜单栏(二)Fragment的详细介绍和使用方法...
原始地址:http://blog.csdn.net/yangyu20121224/article/category/1431917/1 由于TabActivity在Android4.0以后已经被完全弃 ...
- 计算机木马的作用,详细介绍计算机木马下篇-1
接中篇-- 木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造 ...
- iptables的详细介绍及配置方法
Firewall(防火墙):组件,工作在网络边缘(主机边缘),对进出网络数据包基于一定的规则检查,并在匹配某规则时由规则定义的处理进行处理的一组功能的组件. 防火墙类型:根据工作的层次的不同来划分,常 ...
- 邮箱通知php,PHPMailer 发送邮件(含详细介绍及使用方法说明)
上篇文章PHP mail()方法发送邮件部分邮箱无法收到邮件问题提到要介绍一下phpmailer这款免费开源的php 邮件程序,下面我们来看看吧,以下资料全部来自phpmailer官方网站: PHPM ...
最新文章
- 用 Java 爬小姐姐图片,这个厉害了。。。
- 在ASP.NET 3.5中使用新的ListView控件(2)
- 实现一个Ajax模式的文件上传功能有多难?
- JavaScript是如何工作的:引擎,运行时和调用堆栈的概述!
- python中stripped string_【Python爬虫学习笔记(3)】Beautiful Soup库相关知识点总结
- Q115:Linux系统下CodeBlocks对PBRT-V3进行编译和调试
- 【转】switch中case与default的情况
- java.util.ArrayList#add探索
- HTML5标准学习 – 简介
- sensor接口之DVP
- 适用于Android的最佳本地音乐播放器
- 燃气行业引入电子签章推动燃气销售合同线上签署
- 美通企业日报 | 沃尔玛8.8购物节销售规模猛增;中通快递市场份额持续扩大
- 路由器工作原理与配置
- 【已解决】el-form required 提示英文改中文
- 输入年份月份实现日历打印,C到C++过渡。
- 【院士等重磅嘉宾齐聚珠海】第二届人工智能与工业设计国际会议 (AIID 2022)
- 带你了解软件测试是做什么的
- 用keil写程序时出现“C(162): error C249: 'DATA': SEGMENT TOO LARGE“的错误
- Effie: 一款属于程序工作者的写作软件
热门文章
- 软件项目开发过程中应编写的十三类文档
- 第三方支付-手续费系统设计与实现
- 在MATLAB中绘制水平线和垂直线的一些方法
- Matlab画直线、圆、球
- 通过网络启动计算机,实现通过局域网唤醒计算机的两种方法
- mysql如何导入mdl文件_将sql文件导入PowerDesigner中的方法(将oracle sql文件转换成mysql)...
- python读取、保存npy文件
- 虚幻引擎5 C++游戏开发教程
- 高中计算机学科教学计划,高一信息技术教学计划及进度表.doc
- ECO生态币官网blog.sina.com.cn/ecocoin