冰河木马详解

路由器命令

router> 用户模式

1：进入特权模式 enable

router > enable

router #

2：进入全局配置模式 configure terminal

router > enable

router #configure terminal

router (conf)#

3：交换机命名 hostname routera 以routerA为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routera (conf)#

4：配置使能口令 enable password cisco 以cisco为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA (conf)# enable password cisco

5：配置使能密码 enable secret ciscolab 以cicsolab为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA (conf)# enable secret ciscolab

6：进入路由器某一端口 interface fastehernet 0/17 以17端口为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA (conf)# interface fastehernet 0/17

routerA (conf-if)#

进入路由器的某一子端口 interface fastethernet 0/17.1 以17端口的1子端口为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA (conf)# interface fastehernet 0/17.1

7：设置端口ip地址信息

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA(conf)# interface fastehernet 0/17 以17端口为例

routerA (conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码

routerA (conf-if)#no shut 是配置处于运行中

routerA (conf-if)#exit

8：查看命令 show

router > enable

router # show version 察看系统中的所有版本信息

show interface vlan 1 查看交换机有关ip 协议的配置信息

show running-configure 查看交换机当前起作用的配置信息

show interface fastethernet 0/1 察看交换机1接口具体配置和统计信息

show mac-address-table 查看mac地址表

show mac-address-table aging-time 查看mac地址表自动老化时间

show controllers serial + 编号 查看串口类型

show ip router 查看路由器的路由表

9：cdp相关命令

router > enable

router # show cdp 查看设备的cdp全局配置信息

show cdp interface fastethernet 0/17 查看17端口的cdp配置信息

show cdp traffic 查看有关cdp包的统计信息

show cdp nerghbors 列出与设备相连的cisco设备

10：csico2600的密码恢复

重新启动路由器，在启动过程中按下win+break键，使路由器进入rom monitor

在提示符下输入命令修改配置寄存器的值，然后重新启动路由器

remmon1>confreg 0x2142

remmon2>reset

重新启动路由器后进入setup模式，选择“no”，退回到exec模式，此时路由器原有的配置仍然保存在startup-config中，为使路由器恢复密码后配置不变把startup-config中配置保存到running-config中，然后重新设置enable密码，并把配置寄存器改回0x2102：

router>enable

router#copy startup-config running-config

router#configure terminal

router(conf)#enable password cisco

router(conf)#config-register 0x2102

保存当前配置到startup-config , 重新启动路由器。

router #copy running-config startup-config

router #reload

11：路由器telnet远程登录设置：

router>en

router #configure terminal

router (conf)#hostname routerA

routerA (conf)#enable password cisco 以cisco为特权模式密码

routerA (conf)#interface fastethernet 0/1 以17端口为telnet远程登录端口

routerA (conf-if)#ip address 192.168.1.1 255.255.255.0

routerA (conf-if)#no shut

routerA (conf-if)#exit

routerA (conf)line vty 0 4 设置0-4 个用户可以telnet远程登陆

routerA (conf-line)#login

routerA (conf-line)#password edge 以edge为远程登录的用户密码

主机设置：

ip 192.168.1.2 主机的ip必须和交换机端口的地址在同一网络段

netmask 255.255.255.0

gate-way 192.168.1.1 网关地址是交换机端口地址

运行：

telnet 192.168.1.1

进入telnet远程登录界面

password : edge

routera>en

password: cisco

routera#

12：配置路由器的标识 banner $……………$

在全局配置的模式下利用“banner”命令可以配置路由器的提示信息，所有连接到路由器的终端都会收到。

router>en

router #configure terminal

router (conf)#hostname routerA

routerA(conf)#banner motd $This is aptech company’ router ! Please don’t change the configuration without permission!

$13：配置接口标识 description ………

接口标识用于区分路由器的各个接口。

router>en

router #configure terminal

router (conf)#hostname routerA

routerA(conf)#interface fastethernet 0/1 以0/1 接口为例

routerA(conf-if)# description this is a fast Ethernet port used to connecting the company’s intranet!

14：配置超时

超时适用于设置在多长时间没有对console进行配置，自动返回exec会话时间。默认为10分钟。

router>en

router #configure terminal

1170 = Psyber Stream Server 1214 = KAZAA下载 1234 = Ultors/恶鹰木马

1243 = Backdoor/SubSeven木马 1245 = VooDoo Doll木马 1349 = BO DLL木马 1352 = Lotus Notes 1433 = SQL SERVER 1492 = FTP99CMP木马 1494 = CITRIX 1503 = Netmeeting 1512 = WINS解析 1524 = IngresLock后门 1600 = Shivka-Burka木马 1630 = 网易泡泡 1701 = L2TP 1720 = H323

1723 = PPTP(虚拟专用网) 1731 = Netmeeting 1755 = 流媒体服务 1807 = SpySender木马 1812 = Radius认证 1813 = Radius评估 1863 = MSN聊天 1981 = ShockRave木马 1999 = Backdoor木马

2000 = TransScout-Remote-Explorer木马 2001 = TransScout木马 2002 = TransScout/恶鹰木马 2003 = TransScout木马 2004 = TransScout木马 2005 = TransScout木马 2023 = Ripper木马 2049 = NFS服务器 2053 = KNETD 2115 = Bugs木马 2140 = Deep Throat木马 2401 = CVS 2535 = 恶鹰 2565 = Striker木马 2583 = WinCrash木马

2773 = Backdoor/SubSeven木马 2774 = SubSeven木马 2801 = Phineas Phucker木马 2869 = UPNP(通用即插即用) 3024 = WinCrash木马

3050 = InterBase 3128 = squid代理

3129 = Masters Paradise木马 3150 = DeepThroat木马 3306 = MYSQL 3389 = 远程桌面 3544 = MSN语音 3545 = MSN语音 3546 = MSN语音 3547 = MSN语音 3548 = MSN语音 3549 = MSN语音 3550 = MSN语音 3551 = MSN语音 3552 = MSN语音 3553 = MSN语音 3554 = MSN语音 3555 = MSN语音 3556 = MSN语音 3557 = MSN语音 3558 = MSN语音 3559 = MSN语音 3560 = MSN语音 3561 = MSN语音 3562 = MSN语音 3563 = MSN语音 3564 = MSN语音 3565 = MSN语音 3566 = MSN语音 3567 = MSN语音 3568 = MSN语音 3569 = MSN语音 3570 = MSN语音 3571 = MSN语音 3572 = MSN语音 3573 = MSN语音 3574 = MSN语音 3575 = MSN语音 3576 = MSN语音 3577 = MSN语音 3578 = MSN语音 3579 = MSN语音

3700 = Portal of Doom木马 4080 = WebAdmin 4081 = WebAdmin+SSL 4092 = WinCrash木马

4267 = SubSeven木马 4443 = AOL MSN 4567 = File Nail木马 4590 = ICQ木马 4661 = 电驴下载 4662 = 电驴下载 4663 = 电驴下载 4664 = 电驴下载 4665 = 电驴下载 4666 = 电驴下载 4899 = Radmin木马 5000 = Sokets-de木马 5000 = UPnP(通用即插即用) 5001 = Back Door Setup木马 5060 = SIP 5168 = 高波蠕虫 5190 = AOL MSN 5321 = Firehotcker木马 5333 = NetMonitor木马 5400 = Blade Runner木马 5401 = Blade Runner木马 5402 = Blade Runner木马 5550 = JAPAN xtcp木马 5554 = 假警察蠕虫 5555 = ServeMe木马 5556 = BO Facil木马 5557 = BO Facil木马 5569 = Robo-Hack木马 5631 = pcAnywhere 5632 = pcAnywhere 5742 = WinCrash木马 5800 = VNC端口 5801 = VNC端口 5890 = VNC端口 5891 = VNC端口 5892 = VNC端口 6267 = 广外女生 6400 = The Thing木马 6665 = IRC

6666 = IRC SERVER PORT 6667 = 小邮差 6668 = IRC 6669 = IRC

6670 = DeepThroat木马 6711 = SubSeven木马 6771 = DeepThroat木马

6776 = BackDoor-G木马 6881 = BT下载 6882 = BT下载 6883 = BT下载 6884 = BT下载 6885 = BT下载 6886 = BT下载 6887 = BT下载 6888 = BT下载 6889 = BT下载 6890 = BT下载

6939 = Indoctrination木马 6969 = GateCrasher/Priority木马 6970 = GateCrasher木马 7000 = Remote Grab木马 7001 = Windows messager 7070 = RealAudio控制口

7215 = Backdoor/SubSeven木马 7300 = 网络精灵木马 7301 = 网络精灵木马 7306 = 网络精灵木马 7307 = 网络精灵木马 7308 = 网络精灵木马 7424 = Host Control Trojan 7467 = Padobot 7511 = 聪明基因 7597 = QaZ木马 7626 = 冰河木马

7789 = Back Door Setup/ICKiller木马 8011 = 无赖小子 8102 = 网络神偷 8181 = 灾飞 9408 = 山泉木马 9535 = 远程管理

9872 = Portal of Doom木马 9873 = Portal of Doom木马 9874 = Portal of Doom木马 9875 = Portal of Doom木马 9898 = 假警察蠕虫 9989 = iNi-Killer木马 10066 = Ambush Trojan 10067 = Portal of Doom木马 10167 = Portal of Doom木马 10168 = 恶邮差

10520 = Acid Shivers木马 10607 = COMA木马

11000 = Senna Spy木马 11223 = Progenic木马 11927 = Win32.Randin 12076 = GJammer木马 12223 = Keylogger木马 12345 = NetBus木马 12346 = GabanBus木马 12361 = Whack-a-mole木马 12362 = Whack-a-mole木马 12363 = Whack-a-Mole木马 12631 = WhackJob木马 13000 = Senna Spy木马 13223 = PowWow聊天 14500 = PC Invader木马 14501 = PC Invader木马 14502 = PC Invader木马 14503 = PC Invader木马 15000 = NetDemon木马 15382 = SubZero木马 16484 = Mosucker木马 16772 = ICQ Revenge木马 16969 = Priority木马 17072 = Conducent广告 17166 = Mosaic木马

17300 = Kuang2 the virus Trojan 17449 = Kid Terror Trojan 17499 = CrazzyNet Trojan 17500 = CrazzyNet Trojan 17569 = Infector Trojan 17593 = Audiodoor Trojan 17777 = Nephron Trojan 19191 = 蓝色火焰

19864 = ICQ Revenge木马 20001 = Millennium木马 20002 = Acidkor Trojan 20005 = Mosucker木马 20023 = VP Killer Trojan 20034 = NetBus 2 Pro木马 20808 = QQ女友 21544 = GirlFriend木马 22222 = Proziack木马 23005 = NetTrash木马 23006 = NetTrash木马 23023 = Logged木马 23032 = Amanda木马 23432 = Asylum木马

23444 = 网络公牛 23456 = Evil FTP木马

23456 = EvilFTP-UglyFTP木马 23476 = Donald-Dick木马 23477 = Donald-Dick木马 25685 = Moonpie木马 25686 = Moonpie木马 25836 = Trojan-Proxy 25982 = Moonpie木马 26274 = Delta Source木马 27184 = Alvgus 2000 Trojan 29104 = NetTrojan木马 29891 = The Unexplained木马 30001 = ErrOr32木马 30003 = Lamers Death木马 30029 = AOL木马 30100 = NetSphere木马 30101 = NetSphere木马 30102 = NetSphere木马 30103 = NetSphere 木马 30103 = NetSphere木马 30133 = NetSphere木马 30303 = Sockets de Troie 30947 = Intruse木马 31336 = Butt Funnel木马 31337 = Back-Orifice木马 31338 = NetSpy DK 木马 31339 = NetSpy DK 木马 31666 = BOWhack木马 31785 = Hack Attack木马 31787 = Hack Attack木马 31788 = Hack-A-Tack木马 31789 = Hack Attack木马 31791 = Hack Attack木马 31792 = Hack-A-Tack木马 32100 = Peanut Brittle木马 32418 = Acid Battery木马 33333 = Prosiak木马

33577 = Son of PsychWard木马 33777 = Son of PsychWard木马 33911 = Spirit 2000/2001木马 34324 = Big Gluck木马 34555 = Trinoo木马 35555 = Trinoo木马 36549 = Trojan-Proxy 37237 = Mantis Trojan

40412 = The Spy木马 40421 = Agent 40421木马 40422 = Master-Paradise木马 40423 = Master-Paradise木马 40425 = Master-Paradise木马 40426 = Master-Paradise木马 41337 = Storm木马

41666 = Remote Boot tool木马 46147 = Backdoor.sdBot 47262 = Delta Source木马 49301 = Online KeyLogger木马 50130 = Enterprise木马 50505 = Sockets de Troie木马 50766 = Fore木马 51996 = Cafeini木马

53001 = Remote Windows Shutdown木马 54283 = Backdoor/SubSeven木马 54320 = Back-Orifice木马 54321 = Back-Orifice木马 55165 = File Manager木马 57341 = NetRaider木马 58339 = Butt Funnel木马 60000 = DeepThroat木马 60411 = Connection木马 61348 = Bunker-hill木马 61466 = Telecommando木马 61603 = Bunker-hill木马 63485 = Bunker-hill木马 65000 = Devil木马 65390 = Eclypse木马 65432 = The Traitor木马 65535 = Rc1木马 UDP端口

31 = Masters Paradise木马 41 = DeepThroat木马 53 = 域名解析 67 = 动态IP服务 68 = 动态IP客户端 135 = 本地服务 137 = NETBIOS名称 138 = NETBIOS DGM服务 139 = 文件共享 146 = FC-Infector木马 161 = SNMP服务 162 = SNMP查询

445 = SMB(交换服务器消息块)

500 = VPN密钥协商 666 = Bla木马

999 = DeepThroat木马 1027 = 灰鸽子 1042 = Bla木马 1561 = MuSka52木马 1900 = UPNP(通用即插即用) 2140 = Deep Throat木马 2989 = Rat木马

3129 = Masters Paradise木马 3150 = DeepThroat木马 3700 = Portal of Doom木马 4000 = QQ聊天 4006 = 灰鸽子 5168 = 高波蠕虫

6670 = DeepThroat木马 6771 = DeepThroat木马 6970 = ReadAudio音频数据 8000 = QQ聊天 8099 = VC远程调试 8225 = 灰鸽子

9872 = Portal of Doom木马 9873 = Portal of Doom木马 9874 = Portal of Doom木马 9875 = Portal of Doom木马 10067 = Portal of Doom木马 10167 = Portal of Doom木马 22226 = 高波蠕虫

26274 = Delta Source木马 31337 = Back-Orifice木马 31785 = Hack Attack木马 31787 = Hack Attack木马 31788 = Hack-A-Tack木马 31789 = Hack Attack木马 31791 = Hack Attack木马 31792 = Hack-A-Tack木马 34555 = Trin00 DDoS木马 40422 = Master-Paradise木马 40423 = Master-Paradise木马 40425 = Master-Paradise木马 40426 = Master-Paradise木马 47262 = Delta Source木马 54320 = Back-Orifice木马 54321 = Back-Orifice木马 60000 = DeepThroat木马 冰河木马详解

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 7．发送信息：以四种常用图标向被控端发送简短信息； 8．点对点通讯：以聊天室形式同被控端进行在线交谈。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。 Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 清除方法：

1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根，键值为C:/windows/system/Kernel32.exe，删除它。

3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。

4、最后，改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。

如何识别木马

先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马 exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解， 简单防治的方法：

开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。还有，不

要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。 冰河木马原理

木马冰河是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。 一、基础篇（揭开木马的神秘面纱）

无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。那么，就让我们从网络客户/服务程序的编写开始。 1.基本概念:

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!） 2.程序实现:

在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件): 服务端:

G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值) G_Server.Listen(等待连接) 客户端:

G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)

G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)

(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配) G_Client.Connect (调用Winsock控件的连接方法)

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestID End Sub

客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

如果客户断开连接,则关闭连接并重新监听端口 Private Sub G_Server_Close() G_Server.Close (关闭连接) G_Server.Listen (再次监听) End Sub

其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令...... 二、控制篇（木马控制了这个世界！）

由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几乎可以控制一切，让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)

因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。 1.远程监控(控制对方鼠标、键盘，并监视对方屏幕)

keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。

HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion\\RunServer的键值,如也有CY.EXE,则基本上判断他就是冰河木马,最好还要再核对文件的字节数(2.0版本冰河木马字节熟为495,733字节),将以上的两个键值删除C:\\WINDOWS\\SYSTEM\\CY.EXE即可(在WIN98下是删不掉的).需要注意的是在修正注册表之前,要做好备份;要对与CY.EXE字节熟相同的文件引其高度注意,以防客户端在此前给你配置了几套冰河木马.

交换机的接口类型完全实物了解

引:作为局域网的主要连接设备，以太网交换机成为应用普及最快的网络设备之一，同时，也是随着这种快速的发展，交换机的功能不断增强，随之而来则是交换机端口的更新换代以及各种特殊设备连接端口不断的添加到交换机上， 作为局域网的主要连接设备，以太网交换机成为应用普及最快的网络设备之一，同时，也是随着这种快速的发展，交换机的功能不断增强，随之而来则是交换机端口的更新换代以及各种特殊设备连接端口不断的添加到交换机上，这也使得交换机的接口类型变得非常丰富，为了让大家对这些接口有一个比较清晰的认识，我们根据资料特地整理了一篇交换机接口的文章:

1、RJ-45接口

这种接口就是我们现在最常见的网络设备接口，俗称“水晶头”，专业术语为RJ-45连接器，属于双绞线以太网接口类型。RJ-45插头只能沿固定方向插入，设有一个塑料弹片与RJ-45插槽卡住以防止脱落。

这种接口在10Base-T以太网、100Base-TX以太网、1000Base-TX以太网中都可以使用，传输介质都是双绞线，不过根据带宽的不同对介质也有不同的要求，特别是1000Base-TX千兆以太网连接时，至少要使用超五类线，要保证稳定高速的话还要使用6类线。 2、SC光纤接口

SC光纤接口在100Base-TX以太网时代就已经得到了应用，因此当时称为100Base-FX(F是光纤单词fiber的缩写)，不过当时由于性能并不比双绞线突出但是成本却较高，因此没有得到普及，现在业界大力推广千兆网络，SC光纤接口则重新受到重视。

光纤接口类型很多，SC光纤接口主要用于局网交换环境，在一些高性能千兆交换机和路由器上提供了这种接口，它与RJ-45接口看上去很相似，不过SC接口显得更扁些，其明显区别还是里面的触片，如果是8条细的铜触片，则是RJ-45接口，如果是一根铜柱则是SC光纤接口。 3、FDDI接口

FDDI是目前成熟的LAN技术中传输速率最高的一种，具有定时令牌协议的特性，支持多种拓扑结构，传输媒体为光纤。光纤分布式数据接口(FDDI)是由美国国家标准化组织(ANSI)制定的在光缆上发送数字信号的一组协议。FDDI 使用双环令牌，传输速率可以达到 100Mbps。

CCDI 是 FDDI 的一种变型，它采用双绞铜缆为传输介质，数据传输速率通常为 100Mbps。FDDI-2 是 FDDI 的扩展协议，支持语音、视频及数据传输，是FDDI 的另一个变种，称为 FDDI 全双工技术(FFDT)，它采用与 FDDI 相同的网络结构，但传输速率可以达到 200Mbps 。

由于使用光纤作为传输媒体具有容量大、传输距离长、抗干扰能力强等多种优点，常用于城域网、校园环境的主干网、多建筑物网络分布的环境，于是FDDI接口在网络骨干交换机上比较常见，现在随着千兆的普及，一些高端的千兆交换机上也开始使用这种接口。 4、AUI接口

AUI接口专门用于连接粗同轴电缆，早期的网卡上有这样的接口与集线器、交换机相连组成网络，现在一般用不到了。 AUI接口是一种“D”型15针接口，之前在令牌环网或总线型网络中使用，可以借助外接的收发转发器(AUI-to-RJ-45)，实现与10Base-T以太网络的连接。

5、BNC接口

BNC是专门用于与细同轴电缆连接的接口，细同轴电缆也就是我们常说的“细缆”，它最常见的应用是分离式显示信号接口，即采用红、绿、蓝和水平、垂直扫描频率分开输入显示器的接口，信号相互之间的干扰更小。

现在BNC基本上已经不再使用于交换机，只有一些早期的RJ-45以太网交换机和集线器中还提供少数BNC接口。 6、Console接口

可进行网络管理的交换机上一般都有一个“Console”端口，它是专门用于对交换机进行配置和管理的。通过Console端口连接并配置交换机，是配置和管理交换机必须经过的步骤。因为其他方式的配置往往需要借助于IP地址、域名或设备名称才可以实现，而新购买的交换机显然不可能内置有这些参数，所以Console端口是最常用、最基本的交换机管理和配置端口。

不同类型的交换机Console端口所处的位置并不相同，有的位于前面板，而有的则位于后面板。通常是模块化交换机大多位于前面板，而固定配置交换机则大多位于后面板。在该端口的上方或侧方都会有类似“CONSOLE”字样的标识。 除位置不同之外，Console端口的类型也有所不同，绝大多数交换机都采用RJ-45端口，但也有少数采用DB-9串口端口或DB-25串口端口。

DB-9串口端口 DB-25串口端口

无论交换机采用DB-9或DB-25串行接口，还是采用RJ-45接口，都需要通过专门的Console线连接至配置方计算机的串行口。与交换机不同的Console端口相对应，Console线也分为两种:一种是串行线，即两端均为串行接口(两端均为母头)，两端可以分别插入至计算机的串口和交换机的Console端口;另一种是两端均为RJ-45接头(RJ-45 to RJ-45)的扁平线。由于扁平线两端均为RJ-45接口，无法直接与计算机串口进行连接。

因此，还必须同时使用一个RJ-45 to DB-9(或RJ-45 to DB-25)的适配器。通常情况下，在交换机的包装箱中都会随机赠送这么一条Console线和相应的DB-9或DB-25适配器。

mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo) dwFlags:

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。 MOUSEEVENTF_MOVE 移动鼠标

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下 MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起 MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下 MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下 MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下 MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下 dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标 2.记录各种口令信息

(作者注：出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问) 3.获取系统信息

a.取得计算机名 GetComputerName b.更改计算机名 SetComputerName c.当前用户 GetUserName函数 d.系统路径

Set FileSystem0bject = CreateObject(\Object\建立文件系统对象) Set SystemDir = FileSystem0bject.getspecialfolder(1) (取系统目录)

Set SystemDir = FileSystem0bject.getspecialfolder(0) (取Windows安装目录)

(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)

e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx f.当前显示分辨率

Width = screen.Width \\ screen.TwipsPerPixelX Height= screen.Height \\ screen.TwipsPerPixelY

其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的\垃圾站\注册表 比如计算机名和计算机标识

吧:HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VxD\\VNETSUP中的Comment,ComputerName和WorkGroup

注册公司和用户名:HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\MS Setup (ACME)\\UserInfo至于如何取得注册表键值请看第6部分。 4.限制系统功能

a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现: ExitWindowsEx(ByVal uFlags,0)

当uFlags=0 EWX_LOGOFF 中止进程，然后注销 当uFlags=1 EWX_SHUTDOWN 关掉系统电源 当uFlags=2 EWX_REBOOT 重新引导系统

当uFlags=4 EWX_FORCE 强迫中止没有响应的进程 b.锁定鼠标

ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以

注:RECT是一个矩形,定义如下: Type RECT Left As Long Top As Long Right As Long Bottom As Long End Type

c.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的...... d.让对方掉线 RasHangUp...... e.终止进程 ExitProcess......

f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口 5.远程文件操作

无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现 6.注册表操作

在VB中只要Set RegEdit=CreateObject（\ 就可以使用以下的注册表功能:

删除键值:RegEdit.RegDelete RegKey 增加键值:RegEdit.Write RegKey,RegValue 获取键值:RegEdit.RegRead (Value) 记住,注册表的键值要写全路径,否则会出错的。 7.发送信息

很简单,只是一个弹出式消息框而已,VB中用MsgBox(\就可以实现,其他程序也不太难的。 8.点对点通讯

呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东，困惑......) 9.换墙纸

CallSystemParametersInfo(20,0,\路径名称\

值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败，遇到这种问题，请不要找冰河和我，去找Bill吧。 三、潜行篇（Windows，一个捉迷藏的大森林）

木马并不是合法的网络服务程序，因此，它必须想尽一切办法隐藏自己，好在，Windows是一个捉迷藏的大森林! 1、在任务栏中隐藏自己：

这是最基本的了,如果连这个都做不到......（想象一下，如果Windows的任务栏里出现一个国际象棋中木马的图标...@#!#@...也太嚣张了吧!)

在VB中，只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。 2、在任务管理器中隐形：

在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程，这个有点难度，不过还是难不倒我们，将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。

在VB中如下的代码可以实现这一功能：

Public Declare Function RegisterServiceProcess Lib \ServiceFlags As Long) As Long

Public Declare Function GetCurrentProcessId Lib \ (以上为声明)

Private Sub Form_Load()

RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务) End Sub

Private Sub Form_Unload()

RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务) End Sub

3、如何悄没声息地启动：

你当然不会指望用户每次启动后点击木马图标来运行服务端，木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端（第一重要的是如何让对方中木马，嘿嘿，这部分的内容将在后面提到）

Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\\Software\\ Microsoft\\Windows\\CurrentVersion\\Run和RUNSERVICE键值中加上了\\kernl32.exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\\windows(这个会随你windows的安装目录变化而变化）下生成一个叫sysexplr.exe文件（太象超级解霸了，好毒呀，冰河！）,这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文

本?),sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。（冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的，555555） 4、端口

木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势 (netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现) 5.最新的隐身技术

目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现，那就是-驱动程序及动态链接库技术（冰河3.0会采用这种方法吗?）。

驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式-监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀）、不需要打开新的端口（所以不能用端口监视的方法查杀）、没有新的进程（所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行）。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......

事实上，我已经看到过几个这样类型的木马，其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)

四、破解篇（魔高一尺、道高一丈）

本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》（我都期待一年了，大家和我一起继续期待吧，嘿嘿），本文只是对通用的木马防御、卸载方法做一个小小的总结： 1.端口扫描

端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。（关于端口扫描，Oliver有一篇关于“半连接扫描”的文章，很精彩，那种扫描的原理不太一样，不过不在本文讨论的范围之中） 但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。 2.查看连接

查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat-a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。 3.检查注册表

上面在讨论木马的启动方式时已经提到，木马可以通过注册表启动（好像现在大部分的木马都是通过注册表启动的，至少也把注册表作为一个自我保护的方式），那么，我们同样可以通过检查注册表来发现\马蹄印\冰河在注册表里留下的痕迹请参照《潜行篇》。 4.查找文件

查找木马特定的文件也是一个常用的方法（这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......）冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽, 是sysexlpr.exe(什么什么,不是超级解霸吗?)对！冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样（废话，Server端程序都没了，还能干嘛？）

如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种: a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好) b.在<我的电脑>-查看-文件夹选项-文件类型中编辑

c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中<始终用该程序打开......>,然后找到notepad,点一下就OK了。（这个最简单，推荐使用）

提醒一下，对于木马这种狡猾的东西，一定要小心又小心，冰河是和txt文件关联的，txt打不开没什么大不了，如果木马是和exe文件关联而你贸然地删了它......你苦了！连regedit都不能运行了！ 5.杀病毒软件

之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序，并可以动态杀除进程，是一个个人防御的好工具（虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑，嘿嘿，两年后的事都说不清，谁知道十年后木马会“进化”到什么程度？甚至十年后的操作系统是什么样的我都想象不出来）

另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的\系统文件检查器\，通过\开始菜单\程序\附件\系统工具 \\系统信息\工具\可以运行\系统文件检查器\这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件（如驱动程序）。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复\损坏的\文件可能会导致系统崩溃或程序不可用！) 五、狡诈篇（只要你的一点点疏忽......)

只要你有一点点的疏忽，就有可能被人安装了木马，知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。 1. 木马种植伎俩

网上“帮”人种植木马的伎俩主要有以下的几条 a.软哄硬骗法

这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的......反正目的都一样,就是让你去运行一个木马的服务端。 b.组装合成法

就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。 c.改名换姓法

这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg *.exe, 由于Win98默认设置是\不显示已知的文件后缀名\文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了) d.愿者上钩法

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗;奉劝：不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意... 2． 几点注意（一些陈词滥调）

a．不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点，这些站点一般都有专人杀马杀毒； b．不要过于相信别人，不能随便运行别人给的软件；

（特别是认识的，不要以为认识了就安全了，就是认识的人才会给你装木马,哈哈,挑拨离间......） c．经常检查自己的系统文件、注册表、端口什么的，经常去安全站点查看最新的木马公告； d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的) e．如果上网时发现莫名其妙地硬盘乱响或猫上的数据灯乱闪，要小心； 参考资料：http://baike.http://m.wodefanwen.com//view/406182.htm 木马冰河的破解之法

不用我说了,大家都知道冰河2.2最新版吧!它的强大的功能大家也一定十分的了解吧!他的操作界面清晰简洁,控制类功能强大，一些功能如果应用与远程控制管理，那么它将是非常理想的软件,可要是被他人用语黑客木马，那么它的危害比起BO2000,NETSPY真是有过之而无不及.事实上，把它定位与黑客木马并不过分，因为它的服务器端程序具有隐藏,自我复制保护,盗取密码帐号等功能,这不是一个正常的软件所应具备的.他甚至还可以在客户端将木马设置成任意文件名,服务器端程序在上网后，还会自动将该机当前的IP通过E-MAIL方式发送到客户端.拷贝,删除文件,关闭进程,强制关机，跟踪键盘锁定鼠标等更不在话下，目前，还没有一个放病毒产品可对其防,杀.

所以我在此给大家介绍解除冰河服务端的方法,从此就不必再担心自己的机子会被人控制了！ 那么如何防范与消除冰河呢？

首先，不要执行来路不明的软件程序,这是千古不变的真理.任何黑客程序再高明，功能再强大,都需要利用系统漏洞才能达到入侵的目的.假如没有服务器端的木马程序运行，就可以使掌握着客户端程序的这类黑客不能得逞.其次，应养成良好的电脑使用习惯,如不把拨号上网的密码保存等等！

了解冰河黑客软件的攻击机制,就没有什么可惧怕的了。一旦感染了\冰河\可以使用以下的方法,将其歼灭在你的电脑里：

1.检查注册表启动组,具体为:开始-->运行-->regedit,

值:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run和

HKEY_LOCAL_MACHINE\\Sogtware\\Microsoft\\Windows\\CurrentVersion\\RunServer,查找KERNEL32.EXE的执行项目,如有则将两个键值删除.值得注意的是,因为\冰河\可以随意配置服务器程序的参数,如服务器文件名，断口号,密码等,因此服务器端的程序可以是随意名称，即不局限是KERNEL32.EXE,所以在这里需要具备一定的Windows知识,准确的找出可疑的启动文件,如哪不定主意的话可以与另一台电脑进行对照.

2.删除硬盘上与“冰河”有关的文件.可以按上述文件名将可疑文件找出后删除.KERNEL32.EXE(或更改为新名称)默认在\\Windows\\sytem目录下,但同样因配置的不同可以寄存与\\Windows或\\Temp目录下.

3.“冰河”的自我保护措施是很强的,它可以利用注册表的文件关联项目,在你毫不知觉的情况下复制自己重新安装.在做完上述工作后,虽然表面上“冰河”不复存在了，但当你点击打开有关文件时(如*.TXT,*EXE),“冰河”又复活了！因此为斩草除根,在上述1.2步的基础上,还应以可疑文件名为线索,全面扫描查找一遍注册表,可以发现可疑键值一一删除. 4.上述的操作因需要在系统的心脏--注册表上做手术，有一定的危险性.其实最简便有效的办法就是格式化你的硬盘,重装Windows系统，当然,你要为此付出一定的时间了！ 以下是补充上述方法的新文章:

一. 按照上述方法杀掉冰河后，还应该对注册表中HKEY_CLASS_ROOT\\txtfile\\shell\\poen\\command下的键值C:\\WINDOWS\\NOTEPAD.EXE%1 进行修正,改为:C:\\WINDOWS\\SYSTEM\\EXE%1,否则大家会发现打不开文本文件,当打开文本文件时,大家会看到'未找到程序'的提示.

二.是上述介绍杀掉木马的方法是,只是针对客户端配置的确省模式,当客户端在配置服务器程序是更换了文件名,广大网友可能就找不到了.具体的判断解决方法是\首先还是查看注册表中

HKEY_CLASS_TOOT\\txtfile\\shell\\poen\\command的键值是什么,如C:\\WINDOWS\\SYSTEM\\CY.EXE%1(这里也可能是其它文件名和路径),记下来CY.EXE;查注册表中

HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion\\Run和

本文来源：https://www.bwwdw.com/article/3cov.html