標籤:遠程訪問

冰河木馬開發於1999年,在設計之初,開發者的本意是編寫一個功能強大的遠程控制軟體。但一經推出,就依靠其強大的功能成為了黑客們發動入侵的工具,並結束了國外木馬一統天下的局面,成為國產木馬的標誌和代名詞。

1簡介

在2006年之前,冰河在國內一直是不可動搖的領軍木馬,在國內沒用過冰河的人等於沒用過木馬,由此可見冰河木馬在國內的影響力之巨大。
目的:遠程訪問、控制。
選擇:可人為製造受害者和尋找"養馬場",選擇前者的基本上可省略掃描的步驟。

2具體功能

1.自動跟蹤目標機屏幕變化,同時可以完全模擬鍵盤及滑鼠輸入,即在同步被控端屏幕變化的同時,監控端的一切鍵盤及滑鼠操作將反映在被控端屏幕(區域網適用);
2.記錄各種口令信息:包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息;
3.獲取系統信息:包括計算機名、註冊公司、當前用戶、系統路徑、操作系統版本、當前顯示解析度、物理及邏輯磁碟信息等多項系統數據;
4.限制系統功能:包括遠程關機、遠程重啟計算機、鎖定滑鼠、鎖定系統熱鍵及鎖定註冊表等多項功能限制;
5.遠程文件操作:包括創建、上傳、下載、複製、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項文件操作功能;
6.註冊表操作:包括對主鍵的瀏覽、增刪、複製、重命名和對鍵值的讀寫等所有註冊表操作功能;
7.發送信息:以四種常用圖標向被控端發送簡簡訊息;
8.點對點通訊:以聊天室形式同被控端進行在線交談。
從一定程度上可以說冰河是最有名的木馬了,就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟體可以查殺它,但國內仍有幾十萬中冰河的電腦存在!作為木馬,冰河創造了最多人使用、最多人中彈的奇迹!現在網上又出現了許多的冰河變種程序,我們這裡介紹的是其標準版,掌握了如何清除標準版,再來對付變種冰河就很容易了。
冰河的伺服器端程序為G-server.exe,客戶端程序為G-client.exe,默認連接埠為7626。一旦運行G-server,那麼該程序就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe,並刪除自身。 Kernel32.exe在系統啟動時自動載入運行,sysexplr.exe和TXT文件關聯。即使你刪除了Kernel32.exe,但只要你打開 TXT文件,sysexplr.exe就會被激活,它將再次生成Kernel32.exe,於是冰河又回來了!這就是冰河屢刪不止的原因。

3清除方法

1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。
2、冰河會在註冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下紮根,鍵值為C:/windows/system/Kernel32.exe,刪除它。
3、在註冊表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,還有鍵值為C:/windows/system/Kernel32.exe的,也要刪除。
4、最後,改註冊表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默認值,由中木馬後的C: /windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe %1,即可恢復TXT文件關聯功能。

4冰河木馬原理

木馬冰河是用C++Builder寫的,為了便於大家理解,我將用相對比較簡單的VB來說明它,其中涉及到一些WinSock編程和Windows API的知識,如果你不是很了解的話,請去查閱相關的資料。
基本概念:
網路客戶/服務模式的原理是一台主機提供服務(伺服器),另一台主機接受服務(客戶機)。作為伺服器的主機一般會打開一個默認的埠並進行監聽 (Listen), 如果有客戶機向伺服器的這一埠提出連接請求(Connect Request), 伺服器上的相應程序就會自動運行,來應答客戶機的請求,這個程序我們稱為守護進程(UNIX的術語,不過已經被移植到了MS系統上)。對於冰河,被控制端就成為一台伺服器,控制端則是一台客戶機,G_server.exe是守護進程, G_client是客戶端應用程序。(這一點經常有人混淆,而且往往會給自己種了木馬!)
控制篇(木馬控制了這個世界!)
由於Win98開放了所有的許可權給用戶,因此,以用戶許可權運行的木馬程序幾乎可以控制一切,讓我們來看看冰河究竟能做些什麼(看了后,你會認同我的觀點:稱冰河為木馬是不恰當的,冰河實現的功能之多,足以成為一個成功的遠程控制軟體)
因為冰河實現的功能實在太多,我不可能在這裡一一詳細地說明,所以下面僅對冰河的主要功能進行簡單的概述,主要是使用Windows API函數, 如果你想知道這些函數的具體定義和參數,請查詢WinAPI手冊。
記錄各種口令信息
(作者註:出於安全形度考慮,本文不探討這方面的問題,也請不要給我來信詢問)
限制系統功能
a.遠程關機或重啟計算機,使用WinAPI中的如下函數可以實現:
ExitWindowsEx(ByVal uFlags,0)
當uFlags=0 EWX_LOGOFF 中止進程,然後註銷
當uFlags=1 EWX_SHUTDOWN 關掉系統電源
當uFlags=2 EWX_REBOOT 重新引導系統
當uFlags=4 EWX_FORCE 強迫中止沒有響應的進程
b.鎖定滑鼠
ClipCursor(lpRect As RECT)可以將指針限制到指定區域,或者用ShowCursor(FALSE)把滑鼠隱藏起來也可以
注:RECT是一個矩形,定義如下:
Type RECT
Left As Long
Top As Long
Right As Long
Bottom As Long
End Type
c.鎖定系統 這個有太多的辦法了,嘿嘿,想Windows不死機都困難呀,比如,搞個死循環吧,當然,要想系統徹底崩潰還需要一點技巧,比如設備漏洞或者耗盡資源什麼的......
d.讓對方掉線 RasHangUp......
e.終止進程 ExitProcess......
f.關閉窗口 利用FindWindow函數找到窗口並利用SendMessage函數關閉窗口
註冊表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")
就可以使用以下的註冊表功能:
刪除鍵值:RegEdit.RegDelete RegKey
增加鍵值:RegEdit.Write RegKey,RegValue
獲取鍵值:RegEdit.RegRead (Value)
記住,註冊表的鍵值要寫全路徑,否則會出錯的。
7.發送信息
很簡單,只是一個彈出式消息框而已,VB中用MsgBox("")就可以實現,其他程序也不太難的。
8.點對點通訊
呵呵,這個嘛隨便去看看什麼聊天軟體就行了(因為比較簡單但是比較煩,所以我就不寫了,呵呵。又:我始終沒有搞懂冰河為什麼要在木馬里搞這個東東,困惑......)
9.換牆紙
CallSystemParametersInfo(20,0,"BMP路徑名稱",&H1)
值得注意的是,如果使用了ActiveDesktop,換牆紙有可能會失敗,遇到這種問題,請不要找冰河和我,去找Bill吧。
在任務欄中隱藏自己:
這是最基本的了,如果連這個都做不到......(想象一下,如果Windows的任務欄里出現一個國際象棋中木馬的圖標...@#!#@...也太囂張了吧!)
在VB中,只要把form的Visible屬性設為False, ShowInTaskBar設為False, 程序就不會出現在任務欄中了。
如何悄沒聲息地啟動:
你當然不會指望用戶每次啟動後點擊木馬圖標來運行服務端,木馬要做到的第二重要的事就是如何在每次用戶啟動時自動裝載服務端(第一重要的是如何讓對方中木馬,嘿嘿,這部分的內容將在後面提到)
Windows支持多種在系統啟動時自動載入應用程序的方法(簡直就像是為木馬特別定做的)啟動組、win.ini、system.ini、註冊表等等都是木馬藏身的好地方。冰河採用了多種方法確保你不能擺脫它。首先,冰河會在註冊表的HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run和RUNSERVICE鍵值中加上了\kernl32.exe(是系統目錄),其次如果你刪除了這個鍵值,自以為得意地喝著茶的時候,冰河又陰魂不散地出現了...怎麼回事?原來冰河的服務端會在c:\windows(這個會隨你windows的安裝目錄變化而變化)下生成一個叫sysexplr.exe文件(太象超級解霸了,好毒呀,冰河!),這個文件是與文本文件相關聯的,只要你打開文本(哪天不打開幾次文本?),sysexplr.exe文件就會重新生成krnel32.exe, 然後你還是被冰河控制著。(冰河就是這樣長期霸佔著窮苦勞動人民寶貴的系統資源的,555555)
最新的隱身技術
目前,除了冰河使用的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程序及動態鏈接庫技術(冰河3.0會採用這種方法嗎?)。
驅動程序及動態鏈接庫技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽埠,而採用替代系統功能的方法(改寫驅動程序或動態鏈接庫)。這樣做的結果是:系統中沒有增加新的文件(所以不能用掃描的方法查殺)、不需要打開新的埠(所以不能用埠監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的癥狀,而一旦木馬的控制端向被控端發出特定的信息后,隱藏的程序就立即開始運作......
事實上,我已經看到過幾個這樣類型的木馬,其中就有通過改寫vxd文件建立隱藏共享的木馬...(江湖上又將掀起新的波浪)
埠掃描
埠掃描是檢查遠程機器有無木馬的最好辦法, 埠掃描的原理非常簡單, 掃描程序嘗試連接某個埠, 如果成功, 則說明埠開放, 如果失敗或超過某個特定的時間(超時), 則說明埠關閉。(關於埠掃描,Oliver有一篇關於「半連接掃描」的文章,很精彩,那種掃描的原理不太一樣,不過不在本文討論的範圍之中)
但是值得說明的是, 對於驅動程序/動態鏈接木馬, 掃描埠是不起作用的。
檢查註冊表
上面在討論木馬的啟動方式時已經提到,木馬可以通過註冊表啟動(好像現在大部分的木馬都是通過註冊表啟動的,至少也把註冊表作為一個自我保護的方式),那麼,我們同樣可以通過檢查註冊表來發現"馬蹄印",冰河在註冊表裡留下的痕迹請參照《潛行篇》。
殺病毒軟體
之所以把殺病毒軟體放在最後是因為它實在沒有太大的用,包括一些號稱專殺木馬的軟體也同樣是如此,不過對於過時的木馬以及菜鳥安裝的木馬(沒有配置服務端)還是有點用處的, 值得一提的是最近新出來的ip armor在這一方面可以稱得上是比較領先的,它採用了監視動態鏈接庫的技術,可以監視所有調用Winsock的程序,並可以動態殺除進程,是一個個人防禦的好工具(雖然我對傳說中「該軟體可以查殺未來十年木馬」的說法表示懷疑,嘿嘿,兩年後的事都說不清,誰知道十年後木馬會「進化」到什麼程度?甚至十年後的操作系統是什麼樣的我都想象不出來)
另外,對於驅動程序/動態鏈接庫木馬,有一種方法可以試試,使用Windows的"系統文件檢查器",通過"開始菜單"-"程序"-"附件"-"系統工具 "-"系統信息"-"工具"可以運行"系統文件檢查器"(這麼詳細,不會找不到吧? 什麼,你找不到! 吐血! 找一張98安裝盤補裝一下吧), 用「系統文件檢查器」可檢測操作系統文件的完整性,如果這些文件損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的文件(如驅動程序)。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的文件可以保證你的系統安全和穩定。(注意,這個操作需要熟悉系統的操作者完成,由於安裝某些程序可能會自動升級驅動程序或動態鏈接庫,在這種情況下恢復"損壞的"文件可能會導致系統崩潰或程序不可用!)
木馬種植伎倆
網上「幫」人種植木馬的伎倆主要有以下的幾條
a.軟哄硬騙法
這個方法很多啦, 而且跟技術無關的, 有的是裝成大蝦, 有的是裝成PLMM, 有的態度謙恭,有的......反正目的都一樣,就是讓你去運行一個木馬的服務端。
b.組裝合成法
就是所謂的221(Two To One二合一)把一個合法的程序和一個木馬綁定,合法程序的功能不受影響,但當你運行合法程序時,木馬就自動載入了,同時,由於綁定后程序的代碼發生了變化,根據特徵碼掃描的殺毒軟體很難查找出來。
c.改名換姓法
這個方法出現的比較晚,不過現在很流行,對於不熟練的windows操作者,很容易上當。具體方法是把可執行文件偽裝成圖片或文本----在程序中把圖標改成Windows的默認圖片圖標, 再把文件名改為*.jpg *.exe, 由於Win98默認設置是"不顯示已知的文件後綴名",文件將會顯示為*.jpg, 不注意的人一點這個圖標就中木馬了(如果你在程序中嵌一張圖片就更完美了)
d.願者上鉤法
木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜;奉勸:不要隨便點擊網頁上的鏈接,除非你了解它,信任它,為它死了也願意...
木馬冰河的破解之法
不用我說了,大家都知道冰河2.2最新版吧!它的強大的功能大家也一定十分的了解吧!他的操作界面清晰簡潔,控制類功能強大,一些功能如果應用與遠程控制管理,那麼它將是非常理想的軟體,可要是被他人用語黑客木馬,那麼它的危害比起BO2000,NETSPY真是有過之而無不及.事實上,把它定位與黑客木馬並不過分,因為它的伺服器端程序具有隱藏,自我複製保護,盜取密碼帳號等功能,這不是一個正常的軟體所應具備的.他甚至還可以在客戶端將木馬設置成任意文件名,伺服器端程序在上網后,還會自動將該機當前的IP通過E-MAIL方式發送到客戶端.拷貝,刪除文件,關閉進程,強制關機,跟蹤鍵盤鎖定滑鼠等更不在話下,目前,還沒有一個防病毒產品可對其防,殺!
所以我在此給大家介紹解除冰河服務端的方法,從此就不必再擔心自己的機子會被人控制了!
那麼如何防範與消除冰河呢?
首先,不要執行來路不明的軟體程序,這是千古不變的真理.任何黑客程序再高明,功能再強大,都需要利用系統漏洞才能達到入侵的目的.假如沒有伺服器端的木馬程序運行,就可以使掌握著客戶端程序的這類黑客不能得逞.其次,應養成良好的電腦使用習慣,如不把撥號上網的密碼保存等等!
了解冰河黑客軟體的攻擊機制,就沒有什麼可懼怕的了。一旦感染了"冰河",可以使用以下的方法,將其殲滅在你的電腦里:
1.檢查註冊表啟動組,具體為:開始-->運行-->regedit,值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Sogtware\Microsoft\Windows\CurrentVersion\RunServer,查找KERNEL32.EXE的執行項目,如有則將兩個鍵值刪除.值得注意的是,因為"冰河"可以隨意配置伺服器程序的參數,如伺服器文件名,埠號,密碼等,因此伺服器端的程序可以是隨意名稱,即不局限是KERNEL32.EXE,所以在這裡需要具備一定的Windows知識,準確的找出可疑的啟動文件,如哪不定主意的話可以與另一台電腦進行對照.
2.刪除硬碟上與「冰河」有關的文件.可以按上述文件名將可疑文件找出后刪除.KERNEL32.EXE(或更改為新名稱)默認在\Windows\sytem目錄下,但同樣因配置的不同可以寄存與\Windows或\Temp目錄下.
3.「冰河」的自我保護措施是很強的,它可以利用註冊表的文件關聯項目,在你毫不知覺的情況下複製自己重新安裝.在做完上述工作后,雖然表面上「冰河」不復存在了,但當你點擊打開有關文件時(如*.TXT,*EXE),「冰河」又復活了!因此為斬草除根,在上述1.2步的基礎上,還應以可疑文件名為線索,全面掃描查找一遍註冊表,可以發現可疑鍵值一一刪除.
4.上述的操作因需要在系統的心臟--註冊表上做手術,有一定的危險性.其實最簡便有效的辦法就是格式化你的硬碟,重裝Windows系統,當然,你要為此付出一定的時間了!
如何識別木馬
先來說一下木馬是如何通過網頁進入你的電腦的,相信大家都知道,現在有很多圖片木馬,EML和EXE木馬,其中的圖片木馬其實很簡單,就是把木馬 exe文件的文件頭換成bmp文件的文件頭,然後欺騙IE瀏覽器自動打開該文件,然後利用網頁里的一段JAVASCRIPT小程序調用DEBUG把臨時文件里的bmp文件還原成木馬exe文件並拷貝到啟動項里,接下來的事情很簡單,你下次啟動電腦的時候就是你噩夢的開始了,EML木馬更是傳播方便,把木馬文件偽裝成audio/x-wav聲音文件,這樣你接收到這封郵件的時候只要瀏覽一下,不需要你點任何連接,windows就會為你代勞自動播放這個他認為是wav的音樂文件,木馬就這樣輕鬆的進入你的電腦,這種木馬還可以frame到網頁里,只要打開網頁,木馬就會自動運行,另外還有一種方法,就是把木馬exe編譯到.JS文件里,然後在網頁里調用,同樣也可以無聲無息的入侵你的電腦,這只是些簡單的辦法,還有遠程控制和共享等等漏洞可以鑽,知道這些,相信你已經對網頁木馬已經有了大概了解,
冰河陷阱
提起「冰河」木馬,相信沒有多少網民不知道。作為國內木馬程序的經典之作,它操作簡單,功能強大。雖然原作者黃鑫從2.2B版本已經徹底停止了開發,但許多「好事者」卻繼續在對「冰河」程序進行不斷的修改。於是網路上就出現了一些所謂的冰河3.0、5.0、V60、V70、V80、2000、XP以及各種「XX專版」,更有甚者已經開始對修改後的冰河程序進行收費,這引起了原作者黃鑫的注意。
為了防止這種不良影響,他向廣大網民免費奉獻了一款專門用來對付各類冰河木馬的「冰河陷阱」程序,主要有兩大功能:一是自動清除所有版本「冰河」被控端程序。二是把自己偽裝成「冰河」被控端,記錄入侵者的所有操作。
第二步:請君入甕
接下來利用「冰河陷阱」的偽裝功能來誘捕入侵者。運行冰河陷阱后,點擊「設置」菜單中的「設置監聽埠」,然後輸入前面記下的冰河木馬被控端監聽埠「7626」(一定要與上面顯示的數字一樣),然後單擊工具欄中的[打開陷阱]按鈕,再將冰河陷阱最小化到系統托盤。這時冰河陷阱會完全模擬真正的「冰河」被控端程序對入侵者的控制命令進行響應,使入侵者以為你的機器仍處於他的控制之下。
當有入侵者通過「冰河」客戶端連接到冰河陷阱所偽裝的被控端程序上時,可以在系統托盤中看到冰河陷阱圖標不斷閃爍報警,同時還有聲音報警。雙擊圖標打開「冰河陷阱」主界面,在列表中可以看到入侵者的IP地址、所在地以及登錄密碼和詳細的操作過程。點擊[保存記錄]按鈕可以將顯示的入侵記錄保存在磁碟上以供分析。
另外,冰河陷阱還有一項特別的功能——冰河信使。點擊工具欄中的[冰河信息]按鈕,可以直接給入侵者發送一個反擊消息,當然越恐怖效果越好,保證讓這個入侵者「丟盔棄甲」,落荒而逃,再也不敢冒犯你了。
立即下載:冰河陷阱
上一篇[機電嘉園]    下一篇 [冰川面積]

相關評論

同義詞:暫無同義詞