频道栏目
读书频道 > 安全 > 新手易学系列:黑客攻防入门
3.4 了解冰河木马的工作原理
2012-12-17 10:58:22     我来说两句
收藏   我要投稿
本书是指导初学者学习黑客攻防的入门书籍,书中详细地介绍了黑客经常使用的入侵手段和工具,把黑客入侵的整个过程展现在读者面前。同时讲解防御这些攻击时读者必须掌握的基础知识、使用方法和操作步骤,帮助读者...  立即去当当网订购

3.4 了解冰河木马的工作原理

前面介绍了木马的基本知识以及利用EXE捆绑器捆绑木马操作方法,但这些都是黑客在使用木马前需要掌握的知识和技能。在本小节中笔者将为大家详细讲解一下冰河木马的工作原理。

关键词  冰河木马、控制计算机、清除木马

难 度 ★★★★★

01 认识冰河木马

冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但是软件一经推出,就由于其强大的功能成为了黑客们发动攻击的首选工具。它结束了国外木马一统天下的局面,成为了国产木马的标志和代名词。

冰河木马是一个BackDoor类的黑客软件。实际上它是一个小小的服务器程序,但是这个小小的服务器程序功能十分强大,它可以通过控制端的各种命令来控制目标主机的机器,并轻松地获取服务端及其各种系统信息。


 

冰河木马与所有的木马程序一样,包括控制端程序G_CLIENT.EXE和客户端程序G_SERVER.EXE,其中G_CLIENT.EXE用于监控目标计算机和配置服务器程序;而G_SERVER.EXE就是所谓的木马程序。一旦该程序在目标计算机上运行,虽然在表面上看不出任何反应,但实际上该程序已经悄悄进驻了目标主机的注册表。此后只要目标主机一启动上网,则该程序会自动开启7626号端口,此时就会被攻击者使用控制端程序G_CLIENT.EXE扫描到,并获取目标主机的账户及密码等重要信息。

02 配置服务端程序

在向目标主机植入冰河木马程序之前,需要使用控制端程序对木马程序进行一些配置,例如设置访问口令、邮件通知等信息,操作方法如下。

01配置服务器程序

启动冰河木马控制端程序G_CLIENT.EXE,在菜单栏中依次单击“设置”>“配置服务器程序”命令。

02基本设置

弹出“服务器配置”对话框,在“访问口令”文本框中输入设置的访问口令。勾选“自动删除安装文件”复选框。


 

03设置自我保护

切换至“自我保护”选项卡。在“键名”文本框中输入设置的注册表键名, 例如输入KERNEL32.EXE。

04设置邮件

切换至“邮件通知”选项卡。分别在“SMTP服务器”和“接收信箱文本框”中输入邮箱服务器名和自己的电子邮箱,完毕后单击“确定”按钮。


 

05确定所有的配置正确无误

弹出“冰河”对话框,询问用户是否确定所有的配置均正确无误,单击“是”按钮。

06配置完毕

切换至新的界面,此时显示“服务器程序配置完毕”的信息,单击“确定”按钮。


 

03 控制目标计算机

配置好服务端程序之后,接着黑客就要采用各种手段将服务端程序G_SERVER.EXE植入目标主机,并让其运行。一旦木马程序运行之后黑客便可对该目标主机进行监控了。

01单击“自动搜索”按钮

打开冰河控制端程序主界面,在工具栏中单击“自动搜索”按钮。


 

温馨提示

搜索到这些IP地址后,就需要使用扫描软件来扫描这些计算机是否已经被植入了冰河木马程序,即扫描是否开放了7626号端口。常用的扫描软件有X-WAY、IPSCAN等。

02搜索计算机

弹出“搜索计算机”对话框,输入起始域、起始地址和终止地址。然后单击“开始搜索”按钮。


 

03选择被植入木马的计算机

当进度条达到100%后,可在右侧的“搜索结果”窗口中看见被搜索到的计算机所对应的IP地址。


 

04单击“添加主机”按钮

记录搜索的IP地址后单击“关闭”按钮返回主界面中,在工具栏中单击“添加主机”按钮。


 

05输入主机地址和访问口令

弹出“添加计算机”对话框,输入主机地址和配置服务器程序时设置的访问口令。输入完成后单击“确定”按钮。


 

06查看目标主机

返回主界面,在左侧单击目标主机192.168.248.128选项,此时可在下方看见该主机的磁盘资源信息。

07对目标计算机实现远程操作

打开任一磁盘中的文件,右击该文件,此时可在控制端执行各种文件操作,如单击“复制”命令。


 

08查看系统信息

在“命令控制台”选项卡下依次单击“口令类命令”>“系统信息及口令”选项。单击“系统信息”按钮即可查看系统信息。

09发送警告信息

在主界面左侧依次单击“控制类命令”>“发送信息”选项。接着输入窗口标题、信息正文等选项。


 

10预览警告信息

单击“预览”按钮可预览自己设置的警告对话框。单击“确定”按钮返回主界面。

11创建共享

依次单击“ 网络类命令”>“创建共享”选项。然后在右侧设置路径和共享名。输入完毕后单击“创建共享”按钮。


 

12远程查看设置共享的结果

创建成功后,使用控制类命令下的捕获屏幕命令就可查看到目标主机上被设置为共享的文件夹。

13删除共享

依次单击“ 网络类命令”>“删除共享”选项,输入需要删除的共享名。输入完毕后单击“删除共享”按钮。


 

14成功取消共享

再次查看目标主机上设置为共享的文件夹,此时可看见该文件夹的共享状态已经被删除了。


 

04 清除冰河木马

清除冰河木马的方式主要有三种,第一种是使用控制端程序清除冰河木马程序,第二种是使用“冰河陷阱”清除冰河木马程序,第三种就是通过清理注册表来清理冰河木马程序。这里主要介绍通过注册表来清理冰河木马程序。

01输入regedit命令

按【WIN+R】组合键,弹出“运行”对话框,在“打开”文本框中输入regedit命令。输入完毕后单击“确定”按钮。

02单击Run分支

打开“注册表编辑器”窗口,依次单击HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支。


 

03双击“默认”字符串

接着在右侧的窗格中双击“默认”主键,弹出“编辑字符串”对话框。

04删除数值数据

在“编辑字符串”对话框中,删除“数值数据”文本框中的字符串。然后单击“确定”按钮。


 

05查看设置后的效果

返回“注册表编辑器”窗口中,此时可看见设置后的效果。

06单击RunService分支

在左侧的Run分支下方单击RunService分支。


 

07修改默认主键的数值数据

使用与步骤04相同的方法将默认主键中的数值数据删除。

08打开默认程序设置

打开“控制面板”窗口,然后依次单击“默认程序”>“将文件类型或协议与程序关联”选项。


 

09选中文本文档类型

打开“将文件类型或协议与特定程序关联”窗口,在列表框中单击选中.txt选项,单击“更改程序”按钮。


 

10选择打开方式

弹出“打开方式”对话框,在“推荐的程序”列表中单击“记事本”按钮,单击“确定”按钮。

11彻底删除冰河木马文件

按照C:\Windows\system32目录打开对应的窗口,找到并选中KERNEL32.EXE和SYSEXPLR.EXE两个文件,按【Shift+Delete】组合键将它们彻底删除。


 

温馨提示

目标主机一旦运行了冰河木马程序, 那么该木马程序就会在C :\WINDOWS\system32目录下生成Kernal32.exe和sysexplr.exe文件,并删除自身。Kernal32.exe文件在系统启动时自动加载运行,而sysexplr.exe则是和TXT文件关联,即使删除了Kernal32.exe,再次打开TXT文件时,sysexplr.exe还会被激活再次生成Kernal32.exe文件,这也是冰河木马屡删不尽的原因。所以除了要清理注册表之外,还需要更改TXT文件的默认打开方式。

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:3.3 捆绑木马的制作方法
下一篇:3.5.1 防范木马入侵的常见措施
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站