网络软件 系统工具 应用软件 图形图像 多媒体类 免费游戏 安全相关 免费音乐 网页素材 电子书籍 考试考题 建站源码
教育教学 多媒体类 编程开发 操作系统 游戏天地 娱乐天地 简历求职 站长专区 网页设计 安全技术 图形图像 文学驿站
业界资讯 | 图形图像 | 操作系统 | 网络冲浪 | 工具软件 | 办公软件 | 媒体动画 | 精文荟萃 | 认证考试 | 网页设计 | 技术开发 | 专栏
当前位置:热点网络学院网络冲浪防范措施木马图文档案(冰河篇)
精品推荐
热点TOP10
·关于IPC$空连接和IPC$入侵
·简单的3389入侵过程
·信不信由你 防流氓的终极软件 入门篇
·手把手教你禁止端口
·避免网络IP地址被非法修改
·重装系统十大措施 帮你防止病毒侵扰
·DLL后门清除完全篇
·安装防火墙的十二个注意事项
·圣诞临近,谨防网络钓鱼
·从硬盘及内存检测病毒 四种查病毒的绝招
·木马特征、常见木马入侵手法、木马防范
·网管必读 快速掌握典型入侵日志分析
·看RMVB影片也中招 查杀媒体文件病毒
·电子邮件炸弹攻击原理及相关预防方法
·木马图文档案(冰河篇)
·一个黑客必备的基本技能
·危险!WinRAR自解压程序可能为所欲为
·菜鸟入门常用的八种安全工具使用及防御方法
·服务器反黑全集
·Windows 2000缓冲区溢出入门
木马图文档案(冰河篇)
日期:2005年3月16日 作者:热点网络学院 查看:[大字体 中字体 小字体]
跨越冰河(冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马。)

准备工作

工具下载: 远程木马——冰河v6.0GLUOSHI专版  扫描工具——X-way2.5 

软件发布:冰河v6.0GLUOSHI专版为2001年12月15日发布。


冰河原作者:黄鑫,冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。 

相关主页http://v60.6to23.com      

目的:远程访问、控制。       

选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。

注明:冰河有多个版本,现在流行冰河8.0等,操作与介绍相同。

冰河之旅

一.扫描端口:放弃冰河客户端自带的扫描功能,速度度慢,功能弱!建议使用专用扫描工具。

运行X-way,操作如下:

   


点击"主机扫描",分别填入"起始、结束地址"(为什么? 因为--做事要有始有终,呵呵。顺便提示一下菜菜鸟型的:结束地址应大于起始地址)。

在"端口方式"的模式下选择"线程数"。(一般值为100比较合适,网速快的可选150)。最后进入"高级设置"-"端口"选择"ONTHER",改变其值为"7626"后进行扫描。


结果如下:
      

说明:上图IP地址的数字为我剪切处理过,参考价值不大。:)


二.冰河的操作:连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使

主要几代作品服务端图标的变化:其中新版冰河服务端大小为182K,客户端大小为451K
       




先不要乱动!认清G_Server它就是令网人闻风色变的服务端了。(冰河6默认的写字板图标就很好,使用前改个好点的名称即可,不一定要捆绑)


1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。(初始密码应该为空,口令有误是已被别人完全控制)直到终于出现:

注:3.1以下版本的万能注册码:(使用其他版本冰河时,填在右上访问口令里,应用后,连接)

2.2版:Can you speak chinese?

2.2版:05181977

3.0版:yzkzero

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq2000! 仅供参考

 

2.控制文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,选择打开C:会看见许多的文件夹,这时我们就算已经踏入别人的领土,对于第一次入侵的朋友是不是有些感动?别急,我们对"养马场"的探索还未开始!

在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域,顺便了解一下他有什么不良爱好,呵呵。是不是有些收获,见到了你喜欢的游戏,下载?还是省省吧,远程的机器承受不了。

(如果在我的文档里看见JPG格式的文件,有兴趣的话你可以点右键下载下来看看是不是他MM的照片。:))

在文件管理区你可以对文件、程序进行以下主要几项操作:上传、下载、删除、远程打开。击鼠标右键看到
               

 

3.口令获取:口令类命令里可是有不少好东西的!如果你运气够好的话,你会找到很多的网站名、用户名和口令。有什么用?自己想去吧.......图中第一处抹黑的是上网帐号的密码,这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了,抹掉是因为我们现在只是做学习研究用,不是不法分子在搞破坏。:)

注:卸载冰河的方法,在命令控制台下的控制类命令-系统控制可以看到,点一下就可安全清除冰河。

 

4.屏幕抓取:照指示操作就行,我不喜欢用这个,抓图的速度慢质量也不好,那个控制屏幕也就顺便省了吧。

 

5.配置服务端:在使用木马前配置好,一般不改变,选择默认值。

细节注意如下:监听端口7626可更换(范围在1024~32768之间);关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;还有关键的邮件通知设置:

    


附:如在设置类命令服务端配置里选择读取服务端配置,可以看到是控制者设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子查出是谁在黑你。(小心点好,别中了别人的借刀杀人之计)如下:
     

       

 

6.冰河信使的使用:也许这时候你还有兴趣和机子的主人聊聊,就用自带的冰河信使,是不是吓了他一跳?(不敢回答或关机逃跑了?)遇个胆大的你们也许聊的很投机,你作为他眼里的大虾是不是要表现一下?

告诉他:"不要怕。我,远程(神气的很)帮你杀毒好了!"呵呵,只要照图轻轻点一下,陡受惊吓的人是不是还会对你感激涕零? 恩,兴奋的神经慢慢冷却,是结束我们的这次友好访问的时候了。

       

其实冰河的基本操作就是这么简单,请熟练掌握它,以后你要接触的木马有6成与它的基本操作类似。

夜阑卧听风吹雨,铁马冰河入梦来。夜了,休息一下,养足精神再来继续我们的木马旅程。

冰河的几种清除方法:


①:文中介绍的自卸载功能。



②:部分杀毒软件,(这个版本比较新,许多杀毒软件不能识别。推荐:升级过的KV3000等)


③:修改注册表。运行regedit,查找下面的键值。


第一步:删除相对的可疑键值。(不熟悉的朋友不要乱动)
第二步:重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\c_server.exe",会变更)这一步很重要。
最后: 重启计算机即可。

融化的冰河片刻消逝

 

(出处:http://www.vipcn.com
关于我们 | 帮助(?) | 版权声明 | 友情连接 
Copyright 2005-2005 viphot.com All Rights Reserved.
Powered by:mesky