关于冰河木马详解介绍

关于冰河木马详解介绍

路由器命令

router> 用户模式

1：进入特权模式 enable

router > enable

router #

2：进入全局配置模式 configure terminal

router > enable

router #configure terminal

router (conf)#

3：交换机命名 hostname routera 以routerA为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routera (conf)#

4：配置使能口令 enable password cisco 以cisco为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA (conf)# enable password cisco

5：配置使能密码 enable secret ciscolab 以cicsolab为例

router > enable

router #configure terminal

router(conf)#hostname routerA

关于冰河木马详解介绍

routerA (conf)# enable secret ciscolab

6：进入路由器某一端口 interface fastehernet 0/17 以17端口为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA (conf)# interface fastehernet 0/17

routerA (conf-if)#

进入路由器的某一子端口 interface fastethernet 0/17.1 以17端口的1子端口为例

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA (conf)# interface fastehernet 0/17.1

7：设置端口ip地址信息

router > enable

router #configure terminal

router(conf)#hostname routerA

routerA(conf)# interface fastehernet 0/17 以17端口为例

routerA (conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码

routerA (conf-if)#no shut 是配置处于运行中

routerA (conf-if)#exit

8：查看命令 show

router > enable

router # show version 察看系统中的所有版本信息

关于冰河木马详解介绍

show interface vlan 1 查看交换机有关ip 协议的配置信息

show running-configure 查看交换机当前起作用的配置信息

show interface fastethernet 0/1 察看交换机1接口具体配置和统计信息

show mac-address-table 查看mac地址表

show mac-address-table aging-time 查看mac地址表自动老化时间

show controllers serial + 编号 查看串口类型

show ip router 查看路由器的路由表

9：cdp相关命令

router > enable

router # show cdp 查看设备的cdp全局配置信息

show cdp interface fastethernet 0/17 查看17端口的cdp配置信息

show cdp traffic 查看有关cdp包的统计信息

show cdp nerghbors 列出与设备相连的cisco设备

10：csico2600的密码恢复

重新启动路由器，在启动过程中按下win+break键，使路由器进入rom monitor

在提示符下输入命令修改配置寄存器的值，然后重新启动路由器

remmon1>confreg 0x2142

remmon2>reset

重新启动路由器后进入setup模式，选择“no”，退回到exec模式，此时路由器原有的配置仍然保存在startup-config中，为使路由器恢复密码后配置不变把startup-config中配置保存到running-config中，然后重新设置enable密码，并把配置寄存器改回0x2102：

router>enable

router#copy startup-config running-config

router#configure terminal

关于冰河木马详解介绍

router(conf)#enable password cisco

router(conf)#config-register 0x2102

保存当前配置到startup-config , 重新启动路由器。

router #copy running-config startup-config

router #reload

11：路由器telnet远程登录设置：

router>en

router #configure terminal

router (conf)#hostname routerA

routerA (conf)#enable password cisco 以cisco为特权模式密码

routerA (conf)#interface fastethernet 0/1 以17端口为telnet远程登录端口

routerA (conf-if)#ip address 192.168.1.1 255.255.255.0

routerA (conf-if)#no shut

routerA (conf-if)#exit

routerA (conf)line vty 0 4 设置0-4 个用户可以telnet远程登陆

routerA (conf-line)#login

routerA (conf-line)#password edge 以edge为远程登录的用户密码

主机设置：

ip 192.168.1.2 主机的ip必须和交换机端口的地址在同一网络段

netmask 255.255.255.0

gate-way 192.168.1.1 网关地址是交换机端口地址

运行：

telnet 192.168.1.1

关于冰河木马详解介绍

进入telnet远程登录界面

password : edge

routera>en

password: cisco

routera#

12：配置路由器的标识 banner $……………$

在全局配置的模式下利用“banner”命令可以配置路由器的提示信息，所有连接到路由器的终端都会收到。

router>en

router #configure terminal

router (conf)#hostname routerA

routerA(conf)#banner motd $This is aptech company’ router ! Please don’t change the configuration without permission!

$13：配置接口标识 description ………

接口标识用于区分路由器的各个接口。

router>en

router #configure terminal

router (conf)#hostname routerA

routerA(conf)#interface fastethernet 0/1 以0/1 接口为例

routerA(conf-if)# description this is a fast Ethernet port used to connecting the company’s intranet!

14：配置超时

超时适用于设置在多长时间没有对console进行配置，自动返回exec会话时间。默认为10分钟。

router>en

router #configure terminal

关于冰河木马详解介绍

router (conf)#hostname routerA

routerA(conf)#line console 0

routerA(conf-if)#exec-timeout 0 0 第一个“0”代表分钟，第二个“0”代表秒

15：配置串口参数

两台路由器通过串口连接需要一个做为DTE，一个做为DCE。DCE设备要向DTE设备提供时钟频率和带宽。

DCE配置：

router>en

router #configure terminal

router (conf)#hostname routerA

routerA(conf)#interface serial 0/0

routerA(conf_if)#clock rate 64000 提供时钟频率为64000

routerA(conf_if)#bandwidth 64 提供带宽为64

DTE配置：路由器串口配置ip地址

router>en

router #configure terminal

router (conf)#hostname routerB

routerB(conf)#interface serial 0/0

routerB(conf_if)#ip address 192.168.1.1 255.255.255.0

16：静态路由的配置

配置路由器A的主机名和接口参数

router>enable

router#configure terminal

router(conf)#hostname routerA

关于冰河木马详解介绍

routerA(conf)#interface fastethernet 0/1 路由器A的1端口为两路由器的连接端口

routerA(conf-if)#ip address 192.168.2.1 255.255.255.0

routerA(conf-if)#no shutdown

routerA(conf-if)#exit

routerA(conf)# interface fastethernet 0/0 路由器A的0端口为与主机的连接端口

routerA(conf-if)#ip address 192.168.1.2 255.255.255.0

routerA(conf-if)#no shutdown

主机A的ip地址为 192.168.1.1

255.255.255.0

192.168.1.2

配置路由器B的主机名和接口参数

router>enable

router#configure terminal

router(conf)#hostname routerB

routerB(conf)#interface fastethernet 0/0 路由器B的0端口为两路由器的连接端口

routerB(conf-if)#ip address 192.168.2.2 255.255.255.0

routerB(conf-if)#no shutdown

routerB (conf-if)#exit

routerB(conf)# interface fastethernet 0/1 路由器B的1端口为与主机的连接端口

routerB(conf-if)#ip address 192.168.3.1 255.255.255.0

主机B的ip地址为 192.168.3.2

255.255.255.0

192.168.3.1

关于冰河木马详解介绍

配置路由器A的静态路由表

routerA(conf)#ip router 192.168.3.0 255.255.255.0 192.168.2.2

配置路由器B的静态路由表

routerA(conf)#ip router 192.168.1.0 255.255.255.0 192.168.2.1

在routerA和routerB上配置默认路由

routerA(conf)#ip route 0.0.0.0 0.0.0.0 192.168.2.2

routerA(conf)#ip classless

routerB(conf)#ip route 0.0.0.0 0.0.0.0 192.168.2.1

routerB(conf)#ip classless

在routerA和routerB上配置动态路由(RIP)

routerA(conf)#router rip

routerA(conf)#network 192.168.1.0

routerA(conf)#network 192.168.2.0

routerB(conf)# router rip

routerB(conf)#network 192.168.2.0

routerB(conf)#network 192.168.3.0

常见端口列表

TCP端口

7 = 回显

9 = 丢弃

11 = 在线用户

13 = 时间服务

15 = 网络状态

17 = 每日引用

18 = 消息发送

19 = 字符发生器

20 = ftp数据

21 = 文件传输

22 = SSH端口

关于冰河木马详解介绍

23 = 远程终端

25 = 发送邮件

31 = Masters Paradise木马

37 = 时间

39 = 资源定位协议

41 = DeepThroat木马

42 = WINS 主机名服务

43 = WhoIs服务

58 = DMSetup木马

59 = 个人文件服务

63 = WHOIS端口

69 = TFTP服务

70 = 信息检索

79 = 查询在线用户

80 = WEB网页

88 = Kerberros5认证

101 = 主机名

102 = ISO

107 = 远程登录终端

109 = pop2邮件

110 = pop3邮件

111 = SUN远程控制

113 = 身份验证

117 = UUPC

119 = nntp新闻组

121 = JammerKillah木马

135 = 本地服务

138 = 隐形大盗

139 = 文件共享

143 = IMAP4邮件

146 = FC-Infector木马

158 = 邮件服务

170 = 打印服务

179 = BGP

194 = IRC PORT

213 = TCP OVER IPX

220 = IMAP3邮件

389 = 目录服务

406 = IMSP PORT

411 = DC++

421 = TCP Wrappers

443 = 安全WEB访问

445 = SMB(交换服务器消息块)

456 = Hackers Paradise木马

464 = Kerberros认证

512 = 远程执行或卫星通讯

关于冰河木马详解介绍

513 = 远程登录与查询

514 = SHELL/系统日志

515 = 打印服务

517 = Talk

518 = 网络聊天

520 = EFS

525 = 时间服务

526 = 日期更新

530 = RPC

531 = RASmin木马

532 = 新闻阅读

533 = 紧急广播

540 = UUCP

543 = Kerberos登录

544 = 远程shell

550 = who

554 = RTSP

555 = Ini-Killer木马

556 = 远程文件系统

560 = 远程监控

561 = 监控

636 = 安全目录服务

666 = Attack FTP木马

749 = Kerberos管理

750 = Kerberos V4

911 = Dark Shadow木马

989 = FTPS

990 = FTPS

992 = TelnetS

993 = IMAPS

999 = DeepThroat木马

1001 = Silencer木马

1010 = Doly木马

1011 = Doly木马

1012 = Doly木马

1015 = Doly木马

1024 = NetSpy木马

1042 = Bla木马

1045 = RASmin木马

1080 = SOCKS代理

1090 = Extreme木马

1095 = Rat木马

1097 = Rat木马

1098 = Rat木马

1099 = Rat木马

1109 = Kerberos POP

关于冰河木马详解介绍

1167 = 私用电话

1170 = Psyber Stream Server

1214 = KAZAA下载

1234 = Ultors/恶鹰木马

1243 = Backdoor/SubSeven木马

1245 = VooDoo Doll木马

1349 = BO DLL木马

1352 = Lotus Notes

1433 = SQL SERVER

1492 = FTP99CMP木马

1494 = CITRIX

1503 = Netmeeting

1512 = WINS解析

1524 = IngresLock后门

1600 = Shivka-Burka木马

1630 = 网易泡泡

1701 = L2TP

1720 = H323

1723 = PPTP(虚拟专用网)

1731 = Netmeeting

1755 = 流媒体服务

1807 = SpySender木马

1812 = Radius认证

1813 = Radius评估

1863 = MSN聊天

1981 = ShockRave木马

1999 = Backdoor木马

2000 = TransScout-Remote-Explorer木马

2001 = TransScout木马

2002 = TransScout/恶鹰木马

2003 = TransScout木马

2004 = TransScout木马

2005 = TransScout木马

2023 = Ripper木马

2049 = NFS服务器

2053 = KNETD

2115 = Bugs木马

2140 = Deep Throat木马

2401 = CVS

2535 = 恶鹰

2565 = Striker木马

2583 = WinCrash木马

2773 = Backdoor/SubSeven木马

2774 = SubSeven木马

2801 = Phineas Phucker木马

2869 = UPNP(通用即插即用)

关于冰河木马详解介绍

3050 = InterBase

3128 = squid代理

3129 = Masters Paradise木马

3150 = DeepThroat木马

3306 = MYSQL

3389 = 远程桌面

3544 = MSN语音

3545 = MSN语音

3546 = MSN语音

3547 = MSN语音

3548 = MSN语音

3549 = MSN语音

3550 = MSN语音

3551 = MSN语音

3552 = MSN语音

3553 = MSN语音

3554 = MSN语音

3555 = MSN语音

3556 = MSN语音

3557 = MSN语音

3558 = MSN语音

3559 = MSN语音

3560 = MSN语音

3561 = MSN语音

3562 = MSN语音

3563 = MSN语音

3564 = MSN语音

3565 = MSN语音

3566 = MSN语音

3567 = MSN语音

3568 = MSN语音

3569 = MSN语音

3570 = MSN语音

3571 = MSN语音

3572 = MSN语音

3573 = MSN语音

3574 = MSN语音

3575 = MSN语音

3576 = MSN语音

3577 = MSN语音

3578 = MSN语音

3579 = MSN语音

3700 = Portal of Doom木马

4080 = WebAdmin

4081 = WebAdmin+SSL

关于冰河木马详解介绍

4443 = AOL MSN

4567 = File Nail木马

4590 = ICQ木马

4661 = 电驴下载

4662 = 电驴下载

4663 = 电驴下载

4664 = 电驴下载

4665 = 电驴下载

4666 = 电驴下载

4899 = Radmin木马

5000 = Sokets-de木马

5000 = UPnP(通用即插即用)

5001 = Back Door Setup木马

5060 = SIP

5168 = 高波蠕虫

5190 = AOL MSN

5321 = Firehotcker木马

5333 = NetMonitor木马

5400 = Blade Runner木马

5401 = Blade Runner木马

5402 = Blade Runner木马

5550 = JAPAN xtcp木马

5554 = 假警察蠕虫

5555 = ServeMe木马

5556 = BO Facil木马

5557 = BO Facil木马

5569 = Robo-Hack木马

5631 = pcAnywhere

5632 = pcAnywhere

5742 = WinCrash木马

5800 = VNC端口

5801 = VNC端口

5890 = VNC端口

5891 = VNC端口

5892 = VNC端口

6267 = 广外女生

6400 = The Thing木马

6665 = IRC

6666 = IRC SERVER PORT

6667 = 小邮差

6668 = IRC

6669 = IRC

6670 = DeepThroat木马

6711 = SubSeven木马

关于冰河木马详解介绍

6881 = BT下载

6882 = BT下载

6883 = BT下载

6884 = BT下载

6885 = BT下载

6886 = BT下载

6887 = BT下载

6888 = BT下载

6889 = BT下载

6890 = BT下载

6939 = Indoctrination木马

6969 = GateCrasher/Priority木马

6970 = GateCrasher木马

7000 = Remote Grab木马

7001 = Windows messager

7070 = RealAudio控制口

7215 = Backdoor/SubSeven木马

7300 = 网络精灵木马

7301 = 网络精灵木马

7306 = 网络精灵木马

7307 = 网络精灵木马

7308 = 网络精灵木马

7424 = Host Control Trojan

7467 = Padobot

7511 = 聪明基因

7597 = QaZ木马

7626 = 冰河木马

7789 = Back Door Setup/ICKiller木马

8011 = 无赖小子

8102 = 网络神偷

8181 = 灾飞

9408 = 山泉木马

9535 = 远程管理

9872 = Portal of Doom木马

9873 = Portal of Doom木马

9874 = Portal of Doom木马

9875 = Portal of Doom木马

9898 = 假警察蠕虫

9989 = iNi-Killer木马

10066 = Ambush Trojan

10067 = Portal of Doom木马

10167 = Portal of Doom木马

10168 = 恶邮差

10520 = Acid Shivers木马

关于冰河木马详解介绍

11000 = Senna Spy木马

11223 = Progenic木马

11927 = Win32.Randin

12076 = GJammer木马

12223 = Keylogger木马

12345 = NetBus木马

12346 = GabanBus木马

12361 = Whack-a-mole木马

12362 = Whack-a-mole木马

12363 = Whack-a-Mole木马

12631 = WhackJob木马

13000 = Senna Spy木马

13223 = PowWow聊天

14500 = PC Invader木马

14501 = PC Invader木马

14502 = PC Invader木马

14503 = PC Invader木马

15000 = NetDemon木马

15382 = SubZero木马

16484 = Mosucker木马

16772 = ICQ Revenge木马

16969 = Priority木马

17072 = Conducent广告

17166 = Mosaic木马

17300 = Kuang2 the virus Trojan

17449 = Kid Terror Trojan

17499 = CrazzyNet Trojan

17500 = CrazzyNet Trojan

17569 = Infector Trojan

17593 = Audiodoor Trojan

17777 = Nephron Trojan

19191 = 蓝色火焰

19864 = ICQ Revenge木马

20001 = Millennium木马

20002 = Acidkor Trojan

20005 = Mosucker木马

20023 = VP Killer Trojan

20034 = NetBus 2 Pro木马

20808 = QQ女友

21544 = GirlFriend木马

22222 = Proziack木马

23005 = NetTrash木马

23006 = NetTrash木马

23023 = Logged木马

23032 = Amanda木马

关于冰河木马详解介绍

23444 = 网络公牛

23456 = Evil FTP木马

23456 = EvilFTP-UglyFTP木马

23476 = Donald-Dick木马

23477 = Donald-Dick木马

25685 = Moonpie木马

25686 = Moonpie木马

25836 = Trojan-Proxy

25982 = Moonpie木马

26274 = Delta Source木马

27184 = Alvgus 2000 Trojan

29104 = NetTrojan木马

29891 = The Unexplained木马

30001 = ErrOr32木马

30003 = Lamers Death木马

30029 = AOL木马

30100 = NetSphere木马

30101 = NetSphere木马

30102 = NetSphere木马

30103 = NetSphere 木马

30103 = NetSphere木马

30133 = NetSphere木马

30303 = Sockets de Troie

30947 = Intruse木马

31336 = Butt Funnel木马

31337 = Back-Orifice木马

31338 = NetSpy DK 木马

31339 = NetSpy DK 木马

31666 = BOWhack木马

31785 = Hack Attack木马

31787 = Hack Attack木马

31788 = Hack-A-Tack木马

31789 = Hack Attack木马

31791 = Hack Attack木马

31792 = Hack-A-Tack木马

32100 = Peanut Brittle木马

32418 = Acid Battery木马

33333 = Prosiak木马

33577 = Son of PsychWard木马

33777 = Son of PsychWard木马

33911 = Spirit 2000/2001木马

34324 = Big Gluck木马

34555 = Trinoo木马

35555 = Trinoo木马

36549 = Trojan-Proxy

关于冰河木马详解介绍

37237 = Mantis Trojan

40412 = The Spy木马

40421 = Agent 40421木马

40422 = Master-Paradise木马

40423 = Master-Paradise木马

40425 = Master-Paradise木马

40426 = Master-Paradise木马

41337 = Storm木马

41666 = Remote Boot tool木马

46147 = Backdoor.sdBot

47262 = Delta Source木马

49301 = Online KeyLogger木马

50130 = Enterprise木马

50505 = Sockets de Troie木马

50766 = Fore木马

51996 = Cafeini木马

53001 = Remote Windows Shutdown木马

54283 = Backdoor/SubSeven木马

54320 = Back-Orifice木马

54321 = Back-Orifice木马

55165 = File Manager木马

57341 = NetRaider木马

58339 = Butt Funnel木马

60000 = DeepThroat木马

60411 = Connection木马

61348 = Bunker-hill木马

61466 = Telecommando木马

61603 = Bunker-hill木马

63485 = Bunker-hill木马

65000 = Devil木马

65390 = Eclypse木马

65432 = The Traitor木马

65535 = Rc1木马

UDP端口

31 = Masters Paradise木马

41 = DeepThroat木马

53 = 域名解析

67 = 动态IP服务

68 = 动态IP客户端

135 = 本地服务

137 = NETBIOS名称

138 = NETBIOS DGM服务

139 = 文件共享

146 = FC-Infector木马

161 = SNMP服务

162 = SNMP查询

关于冰河木马详解介绍

445 = SMB(交换服务器消息块)

500 = VPN密钥协商

666 = Bla木马

999 = DeepThroat木马

1027 = 灰鸽子

1042 = Bla木马

1561 = MuSka52木马

1900 = UPNP(通用即插即用)

2140 = Deep Throat木马

2989 = Rat木马

3129 = Masters Paradise木马

3150 = DeepThroat木马

3700 = Portal of Doom木马

4000 = QQ聊天

4006 = 灰鸽子

5168 = 高波蠕虫

6670 = DeepThroat木马

6771 = DeepThroat木马

6970 = ReadAudio音频数据

8000 = QQ聊天

8099 = VC远程调试

8225 = 灰鸽子

9872 = Portal of Doom木马

9873 = Portal of Doom木马

9874 = Portal of Doom木马

9875 = Portal of Doom木马

10067 = Portal of Doom木马

10167 = Portal of Doom木马

22226 = 高波蠕虫

26274 = Delta Source木马

31337 = Back-Orifice木马

31785 = Hack Attack木马

31787 = Hack Attack木马

31788 = Hack-A-Tack木马

31789 = Hack Attack木马

31791 = Hack Attack木马

31792 = Hack-A-Tack木马

34555 = Trin00 DDoS木马

40422 = Master-Paradise木马

40423 = Master-Paradise木马

40425 = Master-Paradise木马

40426 = Master-Paradise木马

47262 = Delta Source木马

54320 = Back-Orifice木马

54321 = Back-Orifice木马

60000 = DeepThroat木马

关于冰河木马详解介绍

冰河木马详解

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。 Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了

Kernel32.exe，但只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

清除方法：

1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根，键值为C:/windows/system/Kernel32.exe，删除它。

3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/

CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。

4、最后，改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。

如何识别木马

先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马 exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解，

简单防治的方法：

开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，

关于冰河木马详解介绍

然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。还有，不要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。 冰河木马原理

木马冰河是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。

一、基础篇（揭开木马的神秘面纱）

无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。那么，就让我们从网络客户/服务程序的编写开始。

1.基本概念:

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求

(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!）

2.程序实现:

在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):

服务端:

G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)

G_Server.Listen(等待连接)

客户端:

G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)

G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)

(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)

G_Client.Connect (调用Winsock控件的连接方法)

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

如果客户断开连接,则关闭连接并重新监听端口

Private Sub G_Server_Close()

G_Server.Close (关闭连接)

G_Server.Listen (再次监听)

End Sub

其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令......

二、控制篇（木马控制了这个世界！）

关于冰河木马详解介绍

由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几乎可以控制一切，让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)

因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。

1.远程监控(控制对方鼠标、键盘，并监视对方屏幕)

keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。

mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下

MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下

dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标

2.记录各种口令信息

(作者注：出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)

3.获取系统信息

a.取得计算机名 GetComputerName

b.更改计算机名 SetComputerName

c.当前用户 GetUserName函数

d.系统路径

Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象) Set SystemDir = FileSystem0bject.getspecialfolder(1)

(取系统目录)

Set SystemDir = FileSystem0bject.getspecialfolder(0)

(取Windows安装目录)

(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)

e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx

f.当前显示分辨率

Width = screen.Width \ screen.TwipsPerPixelX

Height= screen.Height \ screen.TwipsPerPixelY

其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表 比如计算机名和计算机标识

吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的

Comment,ComputerName和WorkGroup

注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。

4.限制系统功能

a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:

本文来源：https://www.bwwdw.com/article/a08e.html