冰河木马简易使用 ——病毒木马 003
前言:
冰河木马是一种远程控制木马,这次主要想认识一下利用冰河来控制目标主机的整个流程,其实冰河是巨老版本的木马,在很多版本较新的WIN系统即使不开杀毒软件,运行冰河服务端也不能开启7626端口。因此这里用的是win2003当靶机,win7当攻击机器。
步骤一:
准备好冰河木马,第一个是客户端,放在攻击机上进行控制,第二个是服务端,放到靶机上的
对冰河服务器程序G_ Server.exe进行配置,配置好了放到靶机上
步骤2:在靶机上运行g_server.exe,然后查看自己的端口开放情况,是否打开了7626端口,下图已开放。
查看木马的安装路径是否为所设置的路径,如下图所示
检查木马进程在进程列表中所显示的名称与我们设置的是符合的,和我之前设置的进程jammny一致
如果为木马设置了访问口令,是必须通过设定的口令才能够对木马实施远程控制,不然会出现下图的情况
在感染主机上验证冰河的文件关联功能,将木马主程序删除,打开关联的文件类型,查看木马主程序是会恢复的。
步骤3:在攻击端对已经植入木马的主机进行范围扫描
然后再文件管理器列表就能访问目标主机的文件了。
不仅如此,客户端对连接上的主机可以通过冰河信使来发送信息
下图是服务端靶机接收的信息
远程控制木马自然是要对靶机进行远程控制的了
步骤4:采用手工方法删除冰河木马,主要步骤包括:
①检查系统文件,删除C:\Window\system32下的 Kernel32.exe和 Sysexplr. exe文件。
②如果冰河木马启用开机自启动,那么会在注册表项 HKEY LOCAL_ MACHINE\software\microsoft\windows\Currentversion\Run中扎根。检查该注册表项,如果服务器程序的名称为KERNEI32,EXE,则存在键值C:\windows\system\ Kemel32.exe,删除该键值。
③检查注册表项HKEY_ LOCAL_ MACHINE \software \microsoft\windows\Current Version\Runservices,如果存在键值C:\windows\svstem\ Kerel32.exe的,也要删除。
④如果木马设置了与文件相关联,例如与文本文件相关联、需要修改注册表HKEY_ CLASSES_ ROOT\textfile l shell \open command下的默认值,由感染木马后的值:C\windows\system \Sysexplr.exe%1改为正常情况下的值:C: \windows\notepad.exe%1,即可恢复TXT文件关联功能。完成以上步骤后,依据端口和进程判断木马是否已被清除。
下图已经删除木马,重新查看端口并未发现开放7626端口:
查看进程也未发现相关程序:
步骤5:使用冰河陷阱清除冰河木马,
步骤7:在此基础上,利用冰河陷阱的伪装功能来诱捕入侵者。运行冰河陷阱后,使主机系统完全模拟真正的冰河服务器程序对攻击者的控制命令进行响应,使攻击者认为感染计算机仍处于他的控制之下,进而观察攻击者在主机上所进行的攻击操作
开启陷阱,通过下图能观察到攻击者的攻击操作:
然后我们可以用信鸽对入侵者发起问候:
下图是攻击者收到的信息:
END
每天积累一点点,终究有一天爆发出来强大的力量。我是jammny,喜欢的点个赞!加个关注吧!持续更新病毒木马系列。
冰河木马简易使用 ——病毒木马 003相关推荐
- 木马工作原理——病毒木马 002
一般的木马程序都包括客户端和服务端两个程序,其申客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序.攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植人到你的电脑里 ...
- Atitit.病毒木马程序的感染 传播扩散 原理
Atitit.病毒木马程序的感染 传播扩散 原理 1. 从木马的发展史考虑,木马可以分为四代 1 2. 木马有两大类,远程控制 vs 自我复制传播1 3. 自我复制2 3.1. 需要知道当前cpu ...
- 病毒木马入侵招数专题
病毒木马入侵招数专题 作者:admin 日期:2005-05-10 11:21:21 字体大小: 小 中 大 网络时代可不太平,谁没有遭遇过病毒或木马?从CIH.I Love You到红色代码.Nim ...
- 病毒木马入侵招数大曝光
网络时代可不太平,谁没有遭遇过病毒或木马?从CIH.I Love You到红色代码.Nimda,从BO到冰河,无一不是网友经常懈逅的对象.怎么避免这些"艳遇"是广大用户孜孜以求的目 ...
- 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...
- 电脑病毒木马的清除和防范方法
特洛伊木马(简称为"木马",英文为trojan)由于不感染其他的文件,也不破坏计算机系统,同时也不进行自我的复制,所以木马不具有传统计算机病毒的特征.由于目前市面上的杀病毒软件一般 ...
- 常见病毒 木马进程速查表
常见病毒 木马进程速查表 .exe → BF Evolution Mbbmanager.exe → 聪明基因 _.exe → Tryit Mdm.exe → Doly 1.6-1.7 Aboutagi ...
- 病毒木马查杀实战第001篇:基本查杀理论与实验环境配置
前言 <病毒木马查杀>系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀.当然,本 ...
- linux病毒木马分析,Linux平台“盖茨木马”分析
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马.这篇文章主要介绍了Linux ...
- 病毒木马防御与分析实战
<病毒木马防御与分析>系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀.当然,因为我个人水平的有限,查杀 ...
最新文章
- 多看系统下载_漫画迷手机必备,「漫画之家」全网漫画随意看
- 系统架构设计师考试大纲
- MvcPager帮助文档 - MvcAjaxOptions 类
- SpringBoot之MongoTemplate的查询可以怎么耍
- mysql 修复表 阿里云_MySql数据表修复方法-阿里云开发者社区
- 前端/JS笔记-利用JS/正则判断input是否存数字以及字母加数字
- 详解Python中genfromtxt的用法(numpy)
- 设计模式(一)----简单工厂、工厂方法和抽象工厂区别
- switch语句训练
- 嵌入式ctags跳转和全局打印日志
- Sams_Teach yourself XXX in XXX days
- 中标麒麟高级服务器操作系统V7.6升级安装GCC-8.5.0编译工具
- 计算机系统重装微pe步骤
- 『深度应用』首届中国心电智能大赛复赛开源(第三十一名,得分0.841484)
- 老虎并不吃老虎,只有人用人来养肥自己
- 苹果计算机开机进入安全模式,苹果电脑开机步骤
- 宝塔 域名指向ip 反向代理
- JS获取Json值以及通过值获取索引
- GPU Counter功能更新|支持Adreno、PowerVR芯片
- MATLAB——IIR数字滤波器的设计