分类
国产黑客程序——“ 冰河”探秘‖
| 冰河由两个程序组成: (监控端执行程序),特性 | G_server.exe(被监控端后台监 有: | 控程序,即木马)和G_client.exe |
| 1.自动跟踪目标机屏 变化的同时,监控端的一切 | 幕变化,同时可以完全模拟键盘 键盘及鼠标操作将反映在被控端 | 及鼠标输入,即在同步被控端屏幕 屏幕(局域网适用); |
| 2.记录各种口令信息 框中出现过的口令信息,记 | ,包括开机口令、屏保口令、各 录击键输入; | 种共享资源口令及绝大多数在对话 |
| 3.获取系统信息,包括计算机名、 前显示分辨率、物理及逻辑磁盘信息等多 | 注册公司、当前用户、系统路径、操作系统版本、当 项系统数据; |
| 4.限制系统功能,包括远程关机、 册表等多项功能限制 | 远程重启计算机、锁定鼠标、锁定系统热键及锁定注 |
| 5.远程文件操作,包 览文本文件、远程打开文件 | 括创建、上传、下载、复制、删 等多项文件操作功能; | 除文件或目录、文件压缩、快速浏 |
| 6.注册表操作,包括对主键的浏览 操作功能; | 、增删、复制、重命名和对键值的读写等所有注册表 |
| 7.发送信息,以四种常用图标向被控端发送简短信息; |
| 8.点对点通讯,以聊天室形式同被控端进行在线交谈; |
| 9.邮件功能,自动往设定的电子邮箱发送系统信息。 |
| 冰河的破解 |
| 1. 冰河在注册表启动 本,随Windows启动。所以 windowssystem目录,查找 性的文件,将其删除; | 组里登记了启动项,通常在Wind 要删除木马,必须在纯DOS下执 kernel32.exe和sysexplore.exe | owssystem目录下复制木马及其副 行。将系统退到DOS7.0下,进入 这两个具有“系统”、“只读”属 |
| 2.回到Windows下,运 SoftwareMicrosoftWind kernel32.exe的主键删除; | 行regedit注册表编辑器,找到H ows CurrentVersion ,将run | KEY_LOCAL _MACHINE , runservices等项下有 |
| 3.将HKEY_CLASSES_RO notepad.exe %1",或打开 档,编辑“open",将其执 | OTtxtfile shellopencomma 资源浏览器,单击“查看/文件 行文件改回“C:WINDOWSnotep | nd下缺省键值改为“C:WINDOWS 夹选项/文件类型”,找到文本文 ad.exe %1"。 |
| 注意:如果对注册表不熟悉,有必要 注,对不熟悉的项目要进一步探究。 | 先备份,再修改。平时,对注册表启动项必须经常关 |
| 还有一种破解方法是利用冰河的客户 ”。 | 端程序G_client卸载。先选中连接,再按“删除主机 |
| 大家熟悉的著名黑客程 识别冰河,效果不好,且冰 个客户机/服务器管理程序 料和攻击、控制别人计算机 | 序BO早已上了各种查杀毒软件的 河的功能不亚于BO。它是一把双 来管理、监视和使用网络中的资 的工具。 | “黑名单”,但笔者用了一些软件 刃剑,人们可以方便地用它作为一 源,也可被用作探视别人口令、资 |