冰河木馬開發於1999年,跟灰鴿子類似,在設計之初,開發者的本意是編寫一個功能強大的遠端控制軟體。但一經推出,就依靠其強大的功能成為了黑客們發動入侵的工具,並結束了國外木馬一統天下的局面,跟後來的灰鴿子等等成為國產木馬的標誌和代名詞。HK聯盟Mask曾利用它入侵過數千臺電腦,其中包括國外電腦。
方法/步驟
目的:遠端訪問、控制。
選擇:可人為製造受害者和尋找"養馬場",選擇前者的基本上可省略掃描的步驟。
1.自動跟蹤目標機螢幕變化,同時可以完全模擬鍵盤及滑鼠輸入,即在同步被控端螢幕變化的同時,監控端的一切鍵盤及滑鼠操作將反映在被控端螢幕(區域網適用);
2.記錄各種口令資訊:包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話方塊中出現過的口令資訊;
3.獲取系統資訊:包括計算機名、註冊公司、當前使用者、系統路徑、作業系統版本、當前顯示解析度、物理及邏輯磁碟資訊等多項系統資料;
4.限制系統功能:包括遠端關機、遠端重啟計算機、鎖定滑鼠、鎖定系統熱鍵及鎖定登錄檔等多項功能限制;
5.遠端檔案操作:包括建立、上傳、下載、複製、刪除檔案或目錄、檔案壓縮、快速瀏覽文字檔案、遠端開啟檔案(提供了四中不同的開啟方式——正常方式、最大化、最小化和隱藏方式)等多項檔案操作功能;
6.登錄檔操作:包括對主鍵的瀏覽、增刪、複製、重新命名和對鍵值的讀寫等所有登錄檔操作功能;
7.傳送資訊:以四種常用圖示向被控端傳送簡簡訊息;
8.點對點通訊:以聊天室形式同被控端進行線上交談。
安裝方法
1. 2.2版:Can you speak Chinese? (容笑試了沒用,可能是另外一個版本)
2. 2.2版:05181977
3. 3.0版:yzkzero!
4. 3.3版:******?*(*號代表空格)
5. 4.0版:05181977
6. 3.0版:yzkzero.51.net
7. 3.0版:yzkzero!
8. 3.1-netbug版密碼: [email protected]
9. 2.2殺手專版:05181977
10. 2.2殺手專版:dzq20000! 1. 這只是一小部分,實際上只要通過一個最常用的工具,就能使它們的萬能密碼顯出原形,而且操作非常方便,就算剛剛學會電腦的人也會操作,根本不用什麼跟蹤軟體等等。
方法如下:
1. 準備兩個版本冰河的服務端(就是木馬,你自己不能點選的那個,檔名一般為G_server.exe,微軟的圖示,就是平時檔案沒有指定程式打開出現的圖示,下載地址:http://www.heihoo.com/反正下載地址多的是,哪方便、哪速度快就下載去吧!)和UltraEdit(一個文字編輯器,有下載,而且有漢化包)。
2. 首先用ultraEdit開啟兩個服務端程式(注意:可不是雙擊它們的圖示,否則自己中木馬了,一定要用UltraEdit開啟,切記!切記!)然後“檔案→比較檔案”,再跳出的視窗中,在“不同之處不同顏色、忽略空行和空格、只顯示彼此不同的行”前面的對鉤打上。 3. 然後,按一下比較檔案按鈕。看到了沒有,萬能密碼出來了!
4. 阿酷注:此簡單方法對於改動大的冰河改本比較麻煩,可能一時找不出萬能密碼,這是因為不同處太多,一時無法找到,但容笑相信肯定會顯示出來的! 5. 冰河出現到現在,使用得如此之廣,影響如此之大。 卻萬萬沒有人想到冰河服務端竟然存在著如此嚴重的漏洞:“不需要任何密碼就可以將本地檔案在遠端機器上開啟!!!” 6. 漏洞一:不需要密碼遠端執行本地檔案漏洞。
7. 具體操作:工具用相應的冰河客戶端,2.2版以上服務端用2.2版客戶端,1.2版服務端需要使用1.2版客戶端控制。開啟客戶端程式G_Client,進入檔案管理器,展開“我的電腦”選中任一個本地檔案按右鍵彈出選擇選單,選擇“遠端開啟”這時會報告口令錯誤,但是檔案一樣能上傳並執行!!! 我們只要利用這個漏洞上傳一個冰河服務端就可以輕鬆獲得機器的生死許可權了。(當然也可以上傳任何一個木馬程式的服務端實現) 8. 漏洞二:不需要密碼就能用傳送資訊命令傳送資訊,(不是用冰河信使,而是用控制類命令的發發送資訊命令)。
9. 這些漏洞都是本人在實際使用冰河時發現的,在此之前也是萬萬沒想過冰河竟是 如此的不堪一擊! 10. 安全警告:大家不要用冰河作遠端傳送,管理程式用,就算是設密碼,改埠,只要埠一露,就完完了。 有不少人到現在還在用冰河作遠端管理程式用,千萬不要迷信設有密碼就能高枕無憂了,只要掃到了冰河開啟的埠,就連通用的密碼也省了,就能進入,進入後再把先前的那個服務端手工刪除掉,這臺機就是你一個人的了(當然是排除了中了幾個木馬的情況,就是中了幾個木馬你也可以手工刪除,得以實現的)。 後話:冰河自從黃鑫出了DARKSUN2.2專版後,陸續有人以此版為藍本修改冰河服務端,於是有了3.0,3.1,3.3,3.4,3.5,v9.9,4.0,4.1各種版本其中大部分都只是改了服務端的通用密碼,並且每個修改者都說自己改的是無通用密碼版,一當自己改版被破解又出個所謂的“無通用密碼版”,現在的冰河服務端都會有通用密碼,試問有那個修改者,在修改時不把通用密碼換成自己的。更讓人氣的是有不少冰河版本只將通用密碼改成自己的,然後在公佈時大聲宣稱此版為“無通用密碼版”,知道這些內幕後我們不必去追求這些自私自利人改的無密碼版。何況,冰河存在著現在這樣的一個嚴重漏洞! 附:冰河各版本的通用密碼 2.2版:Can you speak Chinese?
2.2版:05181977
3.0版:yzkzero!
4.0版:05181977
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密碼: [email protected]
2.2殺手專版:05181977
2.2殺手專版:dzq20000! 冰河有許多版本,導致解除安裝冰河無一“絕對”方法。 (1)清除冰河V1.1的方法 找開登錄檔Regedit;
1. 開啟HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,刪除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"兩項。
2. 如果有程序軟體,就用程序軟體把KERNEL32.EXE和SYSEXPLR.EXE終止;刪除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE(因為程式正在執行,無法刪除,所以先要終止)
如果沒有程序軟體,就重新啟動到DOS視窗,刪除(DEL)C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE。 (2)清除冰河V2.2[DARKSUN專版]方法
因為冰河2.2以上版本服務端程式名稱、檔案存放路徑、寫入登錄檔的鍵名等等都可以隨自己意願改變,所以查殺難度複雜,以預設的配置為例,檢視登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE兩項,把陌生的檔案路徑刪除(要有一定的WINDOWS的基礎才能刪除),然後根據路徑按照V1.1的方法刪除檔案。 (3)清除盜版冰河(就是改變萬能密碼的冰河版本)的方法 盜版冰河與冰河[DARKSUN專版]僅是多了一個檔案,原來冰河V2.2[DARKSUN專版]在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE只啟動一個程式,現在啟動兩個程式,另外多出的一個程式的功能就是恢復第一個程式(即服務端),所以清除的時候把另外多出的程式也刪除。 上次介紹的方法只能在預設的方法下使用,所以很難奏效!下面介紹幾種方法可以徹底查殺! 一、自殺行動! 就是下載相應的版本的冰河,利用控制端來解除安裝服務端。方法如下:啟動控制端,在新增主機裡新增127.0.0.1(就是離線狀態下的預設IP地址),按應用,如果連結成功,在命令控制檯→控制類命令→系統控制→自動解除安裝冰河,把冰河成功解除安裝,如果狀態列顯示口令錯誤,無法連結(這是因為在你電腦植入冰河木馬的人加了密碼,有密碼才能連結),試試下面的萬能密碼:
2.2版:Can you speak Chinese?
2.2版:05181977
4.0版:05181977
3.0版:yzkzero.51.net
3.3版:******?*(*號代表空格)
3.1-netbug版密碼: [email protected]
2.2殺手專版:05181977
2.2殺手專版:dzq20000! 如果成功了按上面的方法,解除安裝冰河! 二、防毒軟體 用防毒軟體把冰河服務端解除安裝掉,容笑推薦大家用金山毒霸把服務端解除安裝掉(因為據容笑測試,金山毒霸對各種版本的冰河查殺率最高),
防毒以後,可能檔案檔案或EXE(可執行檔案)不能開啟,所以防毒前最好先檢查一下冰河有沒有把文字檔案關聯,如果關聯了,先恢復,
檢視方法是在我的電腦的選單欄“
檢視”→“資料夾選項”→“檔案型別”,找到文字檔案圖示檢視是否用C:\WINDOWS\Notepad.exe程式開啟,如果不是,大概是冰河木馬關聯了文字檔案!恢復方法是在開啟方式中選擇C:\WINDOWS\Notepad.exe程式開啟即可或直接按住SHIFT,用滑鼠右鍵單擊文字檔案,在右鍵上選擇開啟方式,選擇C:\WINDOWS\Notepad.exe,而且在“始終使用該程式開啟這種型別的檔案”前面的鉤開啟,確定即可。如果感染了EXE檔案,恢復的辦法,最最簡單的方法就是恢復登錄檔,如果感染冰河在5天以內,可在DOS狀態下用scanreg/restore命令恢復,時間長一點,匯入以前備份的登錄檔(備份登錄檔很重要,容笑建議經常備份登錄檔)。此方法對於屢屢升級的冰河,可能作用不大! 三、我想關鍵問題還是在於預防,備份重要資料和系統檔案;不要隨意開啟郵件的附件(最好不要用OE5.0或5.5),因為它們有一個漏洞,就是可以自動執行附件;下載軟體一定要到大的網站去下載,它們有專門人員負責防毒,減低風險!筆者建議大家裝三個軟體,一、天網防火牆(即使您中了冰河木馬,有天網保護,誰有進不了您的電腦)、Regrun II(一個實時監控制軟體,只要木馬在電腦的各項啟動程式中新增,它就會報警,還有終止程序的功能)、Relive(一個比較前後文件的數量,它讓你知道,您的電腦中多了什麼不明程式[如木馬程式]),有此三法寶在,您就很輕鬆地解除安裝冰河木馬了,也可以是大部分木馬! 上次本人和大家講了用UltraEdit-32比較兩個服務端程式而得到冰河的萬能密碼,其實冰河的各個版本都是原作者黃鑫冰河的“盜版”,而且製作方法很簡單,不用幾分鐘,一個屬於自己的“盜版冰河”就產生了! 方法如下:
本次實驗準備兩個程式:UltraEdit、冰河遠端控制軟體(最好用正版[即黃鑫的冰河])! 首先我們先改變冰河服務端的萬能密碼:用UltraEdit開啟冰河的服務端,然後查詢萬能密碼“05181977”(如果您用的冰河是其它版本,請先按上次的方法,得出萬能密碼,然後查詢這個萬能密碼),然後替換成自己的萬能密碼,隨便自己填! 服務端已經基本修改好了,接下來就是對控制端進行個性修改了,用UltraEdit開啟冰河的控制端程式,然後根據上面的方法。 第一步,修改標題就是那個“冰河V2.2 [DARKSUN專版]”和啟動畫面文字,查詢“v2.2”,看到了嗎!把“V2.2”這幾個字改成您的版本號就可以了,如“V9.9”,儲存,然後在查詢DARKSUN,其實就是V2.2旁邊,把它改成自己的專版就可以了,如“WWWRONG”最好英文字母個數和原版一樣,以免發生錯誤,然後儲存,先看看自己的傑作,標題上顯示就是冰河 V9.9 [WWWRONG專版],啟動畫面的文字也變成[WWWRONG 專版]。 第二步,修改幫助選單欄中“關於‘冰河’”畫面的修改,主要是修改“作者:黃鑫、網址、軟體完成日期”,作者僅以修改作者姓名為例:按照上面的方法查詢“黃”,找到“黃”,一定要看到旁邊有一個鑫字才可修改,否則改了其它程式碼,程式就不能運行了,好了替換成自己的大名就可以了。 第三步,如果您想要改其它的專案,按照上面簡單的方面可以實現您的目的,但是要記住,一定要先備份一份,以免出現錯誤還可重新來過.
使用冰河木馬
1.冰河木馬開發於1999年,在設計之初,開發者的本意是編寫一個功能強大的遠端控制軟體。但一經推出,就依靠其強大的功能成為了黑客們發動入侵的工具,並結束了國外木馬一統天下的局面,跟後來的灰鴿子等等成為國產木馬的標誌和代名詞。HK聯盟Mask曾利用它入侵過數千臺電腦,其中包括國外電腦。
程式實現
2.在VB中,可以使用Winsock控制元件來編寫網路客戶/服務程式,實現方法如下(其中,G_Server和G_Client均為Winsock控制元件):
服務端:
3.G_Server.LocalPort=7626(冰河的預設埠,可以改為別的值)4.G_Server.Listen(等待連線)
客戶端:
1.G_Client.RemoteHost=ServerIP(設遠端地址為伺服器地址)
2.G_Client.RemotePort=7626 (設遠端埠為冰河的預設埠,呵呵,知道嗎?這是冰河的生日哦)
3.(在這裡可以分配一個本地埠給G_Client, 如果不分配, 計算機將會自動分配一個, 建議讓計算機自動分配)
4.G_Client.Connect (呼叫Winsock控制元件的連線方法)
5.一旦服務端接到客戶端的連線請求ConnectionRequest,就接受連線Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)G_Server.Accept requestIDEnd Sub
6.客戶機端用G_Client.SendData傳送命令,而伺服器在G_Server_DateArrive事件中接受並執行命令(幾乎所有的木馬功能都在這個事件處理程式中實現)如果客戶斷開連線,則關閉連線並重新監聽埠
7.Private Sub G_Server_Close()8.G_Server.Close (關閉連線)9.G_Server.Listen (再次監聽)End Sub其他的部分可以用命令傳遞來進行,客戶端上傳一個命令,服務端解釋並執行命令。
注意事項
玩不轉 就別下 有可能害自己