关于冰河木马详解介绍
更新时间:2023-05-12 03:42:01 阅读量: 实用文档 文档下载
- 冰河木马使用教程推荐度:
- 相关推荐
关于冰河木马详解介绍
路由器命令
router> 用户模式
1:进入特权模式 enable
router > enable
router #
2:进入全局配置模式 configure terminal
router > enable
router #configure terminal
router (conf)#
3:交换机命名 hostname routera 以routerA为例
router > enable
router #configure terminal
router(conf)#hostname routerA
routera (conf)#
4:配置使能口令 enable password cisco 以cisco为例
router > enable
router #configure terminal
router(conf)#hostname routerA
routerA (conf)# enable password cisco
5:配置使能密码 enable secret ciscolab 以cicsolab为例
router > enable
router #configure terminal
router(conf)#hostname routerA
关于冰河木马详解介绍
routerA (conf)# enable secret ciscolab
6:进入路由器某一端口 interface fastehernet 0/17 以17端口为例
router > enable
router #configure terminal
router(conf)#hostname routerA
routerA (conf)# interface fastehernet 0/17
routerA (conf-if)#
进入路由器的某一子端口 interface fastethernet 0/17.1 以17端口的1子端口为例
router > enable
router #configure terminal
router(conf)#hostname routerA
routerA (conf)# interface fastehernet 0/17.1
7:设置端口ip地址信息
router > enable
router #configure terminal
router(conf)#hostname routerA
routerA(conf)# interface fastehernet 0/17 以17端口为例
routerA (conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码
routerA (conf-if)#no shut 是配置处于运行中
routerA (conf-if)#exit
8:查看命令 show
router > enable
router # show version 察看系统中的所有版本信息
关于冰河木马详解介绍
show interface vlan 1 查看交换机有关ip 协议的配置信息
show running-configure 查看交换机当前起作用的配置信息
show interface fastethernet 0/1 察看交换机1接口具体配置和统计信息
show mac-address-table 查看mac地址表
show mac-address-table aging-time 查看mac地址表自动老化时间
show controllers serial + 编号 查看串口类型
show ip router 查看路由器的路由表
9:cdp相关命令
router > enable
router # show cdp 查看设备的cdp全局配置信息
show cdp interface fastethernet 0/17 查看17端口的cdp配置信息
show cdp traffic 查看有关cdp包的统计信息
show cdp nerghbors 列出与设备相连的cisco设备
10:csico2600的密码恢复
重新启动路由器,在启动过程中按下win+break键,使路由器进入rom monitor
在提示符下输入命令修改配置寄存器的值,然后重新启动路由器
remmon1>confreg 0x2142
remmon2>reset
重新启动路由器后进入setup模式,选择“no”,退回到exec模式,此时路由器原有的配置仍然保存在startup-config中,为使路由器恢复密码后配置不变把startup-config中配置保存到running-config中,然后重新设置enable密码,并把配置寄存器改回0x2102:
router>enable
router#copy startup-config running-config
router#configure terminal
关于冰河木马详解介绍
router(conf)#enable password cisco
router(conf)#config-register 0x2102
保存当前配置到startup-config , 重新启动路由器。
router #copy running-config startup-config
router #reload
11:路由器telnet远程登录设置:
router>en
router #configure terminal
router (conf)#hostname routerA
routerA (conf)#enable password cisco 以cisco为特权模式密码
routerA (conf)#interface fastethernet 0/1 以17端口为telnet远程登录端口
routerA (conf-if)#ip address 192.168.1.1 255.255.255.0
routerA (conf-if)#no shut
routerA (conf-if)#exit
routerA (conf)line vty 0 4 设置0-4 个用户可以telnet远程登陆
routerA (conf-line)#login
routerA (conf-line)#password edge 以edge为远程登录的用户密码
主机设置:
ip 192.168.1.2 主机的ip必须和交换机端口的地址在同一网络段
netmask 255.255.255.0
gate-way 192.168.1.1 网关地址是交换机端口地址
运行:
telnet 192.168.1.1
关于冰河木马详解介绍
进入telnet远程登录界面
password : edge
routera>en
password: cisco
routera#
12:配置路由器的标识 banner $……………$
在全局配置的模式下利用“banner”命令可以配置路由器的提示信息,所有连接到路由器的终端都会收到。
router>en
router #configure terminal
router (conf)#hostname routerA
routerA(conf)#banner motd $This is aptech company’ router ! Please don’t change the configuration without permission!
$13:配置接口标识 description ………
接口标识用于区分路由器的各个接口。
router>en
router #configure terminal
router (conf)#hostname routerA
routerA(conf)#interface fastethernet 0/1 以0/1 接口为例
routerA(conf-if)# description this is a fast Ethernet port used to connecting the company’s intranet!
14:配置超时
超时适用于设置在多长时间没有对console进行配置,自动返回exec会话时间。默认为10分钟。
router>en
router #configure terminal
关于冰河木马详解介绍
router (conf)#hostname routerA
routerA(conf)#line console 0
routerA(conf-if)#exec-timeout 0 0 第一个“0”代表分钟,第二个“0”代表秒
15:配置串口参数
两台路由器通过串口连接需要一个做为DTE,一个做为DCE。DCE设备要向DTE设备提供时钟频率和带宽。
DCE配置:
router>en
router #configure terminal
router (conf)#hostname routerA
routerA(conf)#interface serial 0/0
routerA(conf_if)#clock rate 64000 提供时钟频率为64000
routerA(conf_if)#bandwidth 64 提供带宽为64
DTE配置:路由器串口配置ip地址
router>en
router #configure terminal
router (conf)#hostname routerB
routerB(conf)#interface serial 0/0
routerB(conf_if)#ip address 192.168.1.1 255.255.255.0
16:静态路由的配置
配置路由器A的主机名和接口参数
router>enable
router#configure terminal
router(conf)#hostname routerA
关于冰河木马详解介绍
routerA(conf)#interface fastethernet 0/1 路由器A的1端口为两路由器的连接端口
routerA(conf-if)#ip address 192.168.2.1 255.255.255.0
routerA(conf-if)#no shutdown
routerA(conf-if)#exit
routerA(conf)# interface fastethernet 0/0 路由器A的0端口为与主机的连接端口
routerA(conf-if)#ip address 192.168.1.2 255.255.255.0
routerA(conf-if)#no shutdown
主机A的ip地址为 192.168.1.1
255.255.255.0
192.168.1.2
配置路由器B的主机名和接口参数
router>enable
router#configure terminal
router(conf)#hostname routerB
routerB(conf)#interface fastethernet 0/0 路由器B的0端口为两路由器的连接端口
routerB(conf-if)#ip address 192.168.2.2 255.255.255.0
routerB(conf-if)#no shutdown
routerB (conf-if)#exit
routerB(conf)# interface fastethernet 0/1 路由器B的1端口为与主机的连接端口
routerB(conf-if)#ip address 192.168.3.1 255.255.255.0
主机B的ip地址为 192.168.3.2
255.255.255.0
192.168.3.1
关于冰河木马详解介绍
配置路由器A的静态路由表
routerA(conf)#ip router 192.168.3.0 255.255.255.0 192.168.2.2
配置路由器B的静态路由表
routerA(conf)#ip router 192.168.1.0 255.255.255.0 192.168.2.1
在routerA和routerB上配置默认路由
routerA(conf)#ip route 0.0.0.0 0.0.0.0 192.168.2.2
routerA(conf)#ip classless
routerB(conf)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
routerB(conf)#ip classless
在routerA和routerB上配置动态路由(RIP)
routerA(conf)#router rip
routerA(conf)#network 192.168.1.0
routerA(conf)#network 192.168.2.0
routerB(conf)# router rip
routerB(conf)#network 192.168.2.0
routerB(conf)#network 192.168.3.0
常见端口列表
TCP端口
7 = 回显
9 = 丢弃
11 = 在线用户
13 = 时间服务
15 = 网络状态
17 = 每日引用
18 = 消息发送
19 = 字符发生器
20 = ftp数据
21 = 文件传输
22 = SSH端口
关于冰河木马详解介绍
23 = 远程终端
25 = 发送邮件
31 = Masters Paradise木马
37 = 时间
39 = 资源定位协议
41 = DeepThroat木马
42 = WINS 主机名服务
43 = WhoIs服务
58 = DMSetup木马
59 = 个人文件服务
63 = WHOIS端口
69 = TFTP服务
70 = 信息检索
79 = 查询在线用户
80 = WEB网页
88 = Kerberros5认证
101 = 主机名
102 = ISO
107 = 远程登录终端
109 = pop2邮件
110 = pop3邮件
111 = SUN远程控制
113 = 身份验证
117 = UUPC
119 = nntp新闻组
121 = JammerKillah木马
135 = 本地服务
138 = 隐形大盗
139 = 文件共享
143 = IMAP4邮件
146 = FC-Infector木马
158 = 邮件服务
170 = 打印服务
179 = BGP
194 = IRC PORT
213 = TCP OVER IPX
220 = IMAP3邮件
389 = 目录服务
406 = IMSP PORT
411 = DC++
421 = TCP Wrappers
443 = 安全WEB访问
445 = SMB(交换服务器消息块)
456 = Hackers Paradise木马
464 = Kerberros认证
512 = 远程执行或卫星通讯
关于冰河木马详解介绍
513 = 远程登录与查询
514 = SHELL/系统日志
515 = 打印服务
517 = Talk
518 = 网络聊天
520 = EFS
525 = 时间服务
526 = 日期更新
530 = RPC
531 = RASmin木马
532 = 新闻阅读
533 = 紧急广播
540 = UUCP
543 = Kerberos登录
544 = 远程shell
550 = who
554 = RTSP
555 = Ini-Killer木马
556 = 远程文件系统
560 = 远程监控
561 = 监控
636 = 安全目录服务
666 = Attack FTP木马
749 = Kerberos管理
750 = Kerberos V4
911 = Dark Shadow木马
989 = FTPS
990 = FTPS
992 = TelnetS
993 = IMAPS
999 = DeepThroat木马
1001 = Silencer木马
1010 = Doly木马
1011 = Doly木马
1012 = Doly木马
1015 = Doly木马
1024 = NetSpy木马
1042 = Bla木马
1045 = RASmin木马
1080 = SOCKS代理
1090 = Extreme木马
1095 = Rat木马
1097 = Rat木马
1098 = Rat木马
1099 = Rat木马
1109 = Kerberos POP
关于冰河木马详解介绍
1167 = 私用电话
1170 = Psyber Stream Server
1214 = KAZAA下载
1234 = Ultors/恶鹰木马
1243 = Backdoor/SubSeven木马
1245 = VooDoo Doll木马
1349 = BO DLL木马
1352 = Lotus Notes
1433 = SQL SERVER
1492 = FTP99CMP木马
1494 = CITRIX
1503 = Netmeeting
1512 = WINS解析
1524 = IngresLock后门
1600 = Shivka-Burka木马
1630 = 网易泡泡
1701 = L2TP
1720 = H323
1723 = PPTP(虚拟专用网)
1731 = Netmeeting
1755 = 流媒体服务
1807 = SpySender木马
1812 = Radius认证
1813 = Radius评估
1863 = MSN聊天
1981 = ShockRave木马
1999 = Backdoor木马
2000 = TransScout-Remote-Explorer木马
2001 = TransScout木马
2002 = TransScout/恶鹰木马
2003 = TransScout木马
2004 = TransScout木马
2005 = TransScout木马
2023 = Ripper木马
2049 = NFS服务器
2053 = KNETD
2115 = Bugs木马
2140 = Deep Throat木马
2401 = CVS
2535 = 恶鹰
2565 = Striker木马
2583 = WinCrash木马
2773 = Backdoor/SubSeven木马
2774 = SubSeven木马
2801 = Phineas Phucker木马
2869 = UPNP(通用即插即用)
关于冰河木马详解介绍
3050 = InterBase
3128 = squid代理
3129 = Masters Paradise木马
3150 = DeepThroat木马
3306 = MYSQL
3389 = 远程桌面
3544 = MSN语音
3545 = MSN语音
3546 = MSN语音
3547 = MSN语音
3548 = MSN语音
3549 = MSN语音
3550 = MSN语音
3551 = MSN语音
3552 = MSN语音
3553 = MSN语音
3554 = MSN语音
3555 = MSN语音
3556 = MSN语音
3557 = MSN语音
3558 = MSN语音
3559 = MSN语音
3560 = MSN语音
3561 = MSN语音
3562 = MSN语音
3563 = MSN语音
3564 = MSN语音
3565 = MSN语音
3566 = MSN语音
3567 = MSN语音
3568 = MSN语音
3569 = MSN语音
3570 = MSN语音
3571 = MSN语音
3572 = MSN语音
3573 = MSN语音
3574 = MSN语音
3575 = MSN语音
3576 = MSN语音
3577 = MSN语音
3578 = MSN语音
3579 = MSN语音
3700 = Portal of Doom木马
4080 = WebAdmin
4081 = WebAdmin+SSL
关于冰河木马详解介绍
4443 = AOL MSN
4567 = File Nail木马
4590 = ICQ木马
4661 = 电驴下载
4662 = 电驴下载
4663 = 电驴下载
4664 = 电驴下载
4665 = 电驴下载
4666 = 电驴下载
4899 = Radmin木马
5000 = Sokets-de木马
5000 = UPnP(通用即插即用)
5001 = Back Door Setup木马
5060 = SIP
5168 = 高波蠕虫
5190 = AOL MSN
5321 = Firehotcker木马
5333 = NetMonitor木马
5400 = Blade Runner木马
5401 = Blade Runner木马
5402 = Blade Runner木马
5550 = JAPAN xtcp木马
5554 = 假警察蠕虫
5555 = ServeMe木马
5556 = BO Facil木马
5557 = BO Facil木马
5569 = Robo-Hack木马
5631 = pcAnywhere
5632 = pcAnywhere
5742 = WinCrash木马
5800 = VNC端口
5801 = VNC端口
5890 = VNC端口
5891 = VNC端口
5892 = VNC端口
6267 = 广外女生
6400 = The Thing木马
6665 = IRC
6666 = IRC SERVER PORT
6667 = 小邮差
6668 = IRC
6669 = IRC
6670 = DeepThroat木马
6711 = SubSeven木马
关于冰河木马详解介绍
6881 = BT下载
6882 = BT下载
6883 = BT下载
6884 = BT下载
6885 = BT下载
6886 = BT下载
6887 = BT下载
6888 = BT下载
6889 = BT下载
6890 = BT下载
6939 = Indoctrination木马
6969 = GateCrasher/Priority木马
6970 = GateCrasher木马
7000 = Remote Grab木马
7001 = Windows messager
7070 = RealAudio控制口
7215 = Backdoor/SubSeven木马
7300 = 网络精灵木马
7301 = 网络精灵木马
7306 = 网络精灵木马
7307 = 网络精灵木马
7308 = 网络精灵木马
7424 = Host Control Trojan
7467 = Padobot
7511 = 聪明基因
7597 = QaZ木马
7626 = 冰河木马
7789 = Back Door Setup/ICKiller木马
8011 = 无赖小子
8102 = 网络神偷
8181 = 灾飞
9408 = 山泉木马
9535 = 远程管理
9872 = Portal of Doom木马
9873 = Portal of Doom木马
9874 = Portal of Doom木马
9875 = Portal of Doom木马
9898 = 假警察蠕虫
9989 = iNi-Killer木马
10066 = Ambush Trojan
10067 = Portal of Doom木马
10167 = Portal of Doom木马
10168 = 恶邮差
10520 = Acid Shivers木马
关于冰河木马详解介绍
11000 = Senna Spy木马
11223 = Progenic木马
11927 = Win32.Randin
12076 = GJammer木马
12223 = Keylogger木马
12345 = NetBus木马
12346 = GabanBus木马
12361 = Whack-a-mole木马
12362 = Whack-a-mole木马
12363 = Whack-a-Mole木马
12631 = WhackJob木马
13000 = Senna Spy木马
13223 = PowWow聊天
14500 = PC Invader木马
14501 = PC Invader木马
14502 = PC Invader木马
14503 = PC Invader木马
15000 = NetDemon木马
15382 = SubZero木马
16484 = Mosucker木马
16772 = ICQ Revenge木马
16969 = Priority木马
17072 = Conducent广告
17166 = Mosaic木马
17300 = Kuang2 the virus Trojan
17449 = Kid Terror Trojan
17499 = CrazzyNet Trojan
17500 = CrazzyNet Trojan
17569 = Infector Trojan
17593 = Audiodoor Trojan
17777 = Nephron Trojan
19191 = 蓝色火焰
19864 = ICQ Revenge木马
20001 = Millennium木马
20002 = Acidkor Trojan
20005 = Mosucker木马
20023 = VP Killer Trojan
20034 = NetBus 2 Pro木马
20808 = QQ女友
21544 = GirlFriend木马
22222 = Proziack木马
23005 = NetTrash木马
23006 = NetTrash木马
23023 = Logged木马
23032 = Amanda木马
关于冰河木马详解介绍
23444 = 网络公牛
23456 = Evil FTP木马
23456 = EvilFTP-UglyFTP木马
23476 = Donald-Dick木马
23477 = Donald-Dick木马
25685 = Moonpie木马
25686 = Moonpie木马
25836 = Trojan-Proxy
25982 = Moonpie木马
26274 = Delta Source木马
27184 = Alvgus 2000 Trojan
29104 = NetTrojan木马
29891 = The Unexplained木马
30001 = ErrOr32木马
30003 = Lamers Death木马
30029 = AOL木马
30100 = NetSphere木马
30101 = NetSphere木马
30102 = NetSphere木马
30103 = NetSphere 木马
30103 = NetSphere木马
30133 = NetSphere木马
30303 = Sockets de Troie
30947 = Intruse木马
31336 = Butt Funnel木马
31337 = Back-Orifice木马
31338 = NetSpy DK 木马
31339 = NetSpy DK 木马
31666 = BOWhack木马
31785 = Hack Attack木马
31787 = Hack Attack木马
31788 = Hack-A-Tack木马
31789 = Hack Attack木马
31791 = Hack Attack木马
31792 = Hack-A-Tack木马
32100 = Peanut Brittle木马
32418 = Acid Battery木马
33333 = Prosiak木马
33577 = Son of PsychWard木马
33777 = Son of PsychWard木马
33911 = Spirit 2000/2001木马
34324 = Big Gluck木马
34555 = Trinoo木马
35555 = Trinoo木马
36549 = Trojan-Proxy
关于冰河木马详解介绍
37237 = Mantis Trojan
40412 = The Spy木马
40421 = Agent 40421木马
40422 = Master-Paradise木马
40423 = Master-Paradise木马
40425 = Master-Paradise木马
40426 = Master-Paradise木马
41337 = Storm木马
41666 = Remote Boot tool木马
46147 = Backdoor.sdBot
47262 = Delta Source木马
49301 = Online KeyLogger木马
50130 = Enterprise木马
50505 = Sockets de Troie木马
50766 = Fore木马
51996 = Cafeini木马
53001 = Remote Windows Shutdown木马
54283 = Backdoor/SubSeven木马
54320 = Back-Orifice木马
54321 = Back-Orifice木马
55165 = File Manager木马
57341 = NetRaider木马
58339 = Butt Funnel木马
60000 = DeepThroat木马
60411 = Connection木马
61348 = Bunker-hill木马
61466 = Telecommando木马
61603 = Bunker-hill木马
63485 = Bunker-hill木马
65000 = Devil木马
65390 = Eclypse木马
65432 = The Traitor木马
65535 = Rc1木马
UDP端口
31 = Masters Paradise木马
41 = DeepThroat木马
53 = 域名解析
67 = 动态IP服务
68 = 动态IP客户端
135 = 本地服务
137 = NETBIOS名称
138 = NETBIOS DGM服务
139 = 文件共享
146 = FC-Infector木马
161 = SNMP服务
162 = SNMP查询
关于冰河木马详解介绍
445 = SMB(交换服务器消息块)
500 = VPN密钥协商
666 = Bla木马
999 = DeepThroat木马
1027 = 灰鸽子
1042 = Bla木马
1561 = MuSka52木马
1900 = UPNP(通用即插即用)
2140 = Deep Throat木马
2989 = Rat木马
3129 = Masters Paradise木马
3150 = DeepThroat木马
3700 = Portal of Doom木马
4000 = QQ聊天
4006 = 灰鸽子
5168 = 高波蠕虫
6670 = DeepThroat木马
6771 = DeepThroat木马
6970 = ReadAudio音频数据
8000 = QQ聊天
8099 = VC远程调试
8225 = 灰鸽子
9872 = Portal of Doom木马
9873 = Portal of Doom木马
9874 = Portal of Doom木马
9875 = Portal of Doom木马
10067 = Portal of Doom木马
10167 = Portal of Doom木马
22226 = 高波蠕虫
26274 = Delta Source木马
31337 = Back-Orifice木马
31785 = Hack Attack木马
31787 = Hack Attack木马
31788 = Hack-A-Tack木马
31789 = Hack Attack木马
31791 = Hack Attack木马
31792 = Hack-A-Tack木马
34555 = Trin00 DDoS木马
40422 = Master-Paradise木马
40423 = Master-Paradise木马
40425 = Master-Paradise木马
40426 = Master-Paradise木马
47262 = Delta Source木马
54320 = Back-Orifice木马
54321 = Back-Orifice木马
60000 = DeepThroat木马
关于冰河木马详解介绍
冰河木马详解
该软件主要用于远程监控,具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。 Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了
Kernel32.exe,但只要你打开 TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
清除方法:
1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/
CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。
如何识别木马
先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马 exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的方法:
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,
关于冰河木马详解介绍
然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。 冰河木马原理
木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。
一、基础篇(揭开木马的神秘面纱)
无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。
1.基本概念:
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求
(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
2.程序实现:
在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):
服务端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)
G_Client.Connect (调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close (关闭连接)
G_Server.Listen (再次监听)
End Sub
其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......
二、控制篇(木马控制了这个世界!)
关于冰河木马详解介绍
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)
因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。
1.远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。
mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)
dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下
MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下
dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标
2.记录各种口令信息
(作者注:出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)
3.获取系统信息
a.取得计算机名 GetComputerName
b.更改计算机名 SetComputerName
c.当前用户 GetUserName函数
d.系统路径
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象) Set SystemDir = FileSystem0bject.getspecialfolder(1)
(取系统目录)
Set SystemDir = FileSystem0bject.getspecialfolder(0)
(取Windows安装目录)
(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)
e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx
f.当前显示分辨率
Width = screen.Width \ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表 比如计算机名和计算机标识
吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的
Comment,ComputerName和WorkGroup
注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。
4.限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
正在阅读:
关于冰河木马详解介绍05-12
2019-2020年高中语文选修1梦游天姥吟留别(II)(I)04-25
六年级美与丑的作文500字06-20
公司销售经理述职报告多篇精选08-01
2019国家公务员考试申论模拟题03-08
2016七年级历史下册第二单元复习提纲03-12
中国储备粮管理总公司科技项目管理办法08-15
我心中的龙作文500字07-05
城乡居民医保工作开展情况汇报材料08-02
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 冰河
- 详解
- 木马
- 介绍
- 关于
- O型圈密封结构设计
- 人教版小学二年级下册品德与生活期末测试题及答案
- 中国梦国防情贾卿
- 高考英语二轮复习之非谓语动词 教师版
- Rhetoric and Figures of Speech
- 高中历史研修总结
- 10kV架空线路巡视作业指导书
- 不严不实的表现及原因分析
- 市场营销案例分析(无答案)
- 高一数学必修3(B版)期末测试题试题一附答案
- 三年级《火鞋与风鞋》阅读课教案
- 2016年北大金融硕士考研:西方经济学宏观重点(五)
- 广西西江水陆甩挂运输体系建设存在的问题及对策分析
- 历史选修3-3.5二战的扩大
- 营养学专业实习报告通用范本
- 吉林一中2010---2011学年度下学期期末测试 高一生物试题
- 成本估算的几种方式
- 资本市场分析专员岗位说明书-范本
- 2014年《初中毕业升学复习指导》(化学)
- 人教版地理七年级下册复习提纲