冰河木马的安装过程

目的：远程访问、控制。 选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）； 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 7．发送信息：以四种常用图标向被控端发送简短信息； 8．点对点通讯：以聊天室形式同被控端进行在线交谈。

安装方法 1.  2.2版：Can you speak Chinese? （容笑试了没用，可能是另外一个版本） 2.  2.2版：05181977 3. 3.0版：yzkzero! 4. 3.3版：******?*（*号代表空格） 5. 4.0版：05181977 6. 3.0版：yzkzero.51.net 7. 3.0版：yzkzero! 8. 3.1-netbug版密码: 123456!@ 9. 2.2杀手专版：05181977 10. 2.2杀手专版：dzq20000! 1. 这只是一小部分，实际上只要通过一个最常用的工具，就能使它们的万能密码显出原形，而且操作非常方便，就算刚刚学会电脑的人也会操作，根本不用什么跟踪软件等等。 方法如下： 1. 准备两个版本冰河的服务端（就是木马，你自己不能点击的那个，文件名一般为G_server.exe，微软的图标，就是平时文件没有指定程序打开出现的图标，下载地址：http://www.heihoo.com/反正下载地址多的是，哪方便、哪速度快就下载去吧！）和UltraEdit（一个文本编辑器，http://www.inhua.com有下载，而且有汉化包）。 2. 首先用ultraEdit打开两个服务端程序（注意：可不是双击它们的图标，否则自己中木马了，一定要用UltraEdit打开，切记！切记！）然后“文件→比较文件”，再跳出的窗口中，在“不同之处不同颜色、忽略空行和空格、只显示彼此不同的行”前面的对钩打上。   3. 然后，按一下比较文件按钮。看到了没有，万能密码出来了！ 4. 阿酷注：此简单方法对于改动大的冰河改本比较麻烦，可能一时找不出万能密码，这是因为不同处太多，一时无法找到，但容笑相信肯定会显示出来的！ 5. 冰河出现到现在，使用得如此之广，影响如此之大。 却万万没有人想到冰河服务端竟然存在着如此严重的漏洞：“不需要任何密码就可以将本地文件在远程机器上打开!!!” 6. 漏洞一：不需要密码远程运行本地文件漏洞。 7. 具体操作：工具用相应的冰河客户端，2.2版以上服务端用2.2版客户端，1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client，进入文件管理器，展开“我的电脑”选中任一个本地文件按右键弹出选择菜单，选择“远程打开”这时会报告口令错误，但是文件一样能上传并运行!!! 我们只要利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了。(当然也可以上传任何一个木马程序的服务端实现) 8. 漏洞二：不需要密码就能用发送信息命令发送信息，(不是用冰河信使，而是用控制类命令的发发送信息命令)。 9. 这些漏洞都是本人在实际使用冰河时发现的，在此之前也是万万没想过冰河竟是 如此的不堪一击! 10. 安全警告：大家不要用冰河作远程传送，管理程序用，就算是设密码，改端口，只要端口一露，就完完了。 有不少人到现在还在用冰河作远程管理程序用，千万不要迷信设有密码就能高枕无忧了，只要扫到了冰河打开的端口，就连通用的密码也省了，就能进入，进入后再把先前的那个服务端手工删除掉，这台机就是你一个人的了(当然是排除了中了几个木马的情况，就是中了几个木马你也可以手工删除，得以实现的)。 后话：冰河自从黄鑫出了DARKSUN2.2专版后，陆续有人以此版为蓝本修改冰河服务端，于是有了3.0，3.1，3.3，3.4，3.5，v9.9,4.0,4.1各种版本其中大部分都只是改了服务端的通用密码，并且每个修改者都说自己改的是无通用密码版，一当自己改版被破解又出个所谓的“无通用密码版”，现在的冰河服务端都会有通用密码，试问有那个修改者，在修改时不把通用密码换成自己的。更让人气的是有不少冰河版本只将通用密码改成自己的，然后在公布时大声宣称此版为“无通用密码版”，知道这些内幕后我们不必去追求这些自私自利人改的无密码版。何况，冰河存在着现在这样的一个严重漏洞! 附：冰河各版本的通用密码 2.2版：Can you speak Chinese? 2.2版：05181977 3.0版：yzkzero! 4.0版：05181977 3.0版：yzkzero.51.net 3.0版：yzkzero! 3.1-netbug版密码: 123456!@ 2.2杀手专版：05181977 2.2杀手专版：dzq20000! 冰河有许多版本，导致卸载冰河无一“绝对”方法。  （1）清除冰河V1.1的方法  找开注册表Regedit; 1. 打开HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,删除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"两项。 2. 如果有进程软件，就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止；删除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE（因为程序正在运行，无法删除，所以先要终止） 如果没有进程软件，就重新启动到DOS窗口，删除（DEL）C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE。  （2）清除冰河V2.2[DARKSUN专版]方法 因为冰河2.2以上版本服务端程序名称、文件存放路径、写入注册表的键名等等都可以随自己意愿改变，所以查杀难度复杂，以默认的配置为例，查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE两项，把陌生的文件路径删除（要有一定的WINDOWS的基础才能删除），然后根据路径按照V1.1的方法删除文件。  （3）清除盗版冰河（就是改变万能密码的冰河版本）的方法   盗版冰河与冰河[DARKSUN专版]仅是多了一个文件，原来冰河V2.2[DARKSUN专版]在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE只启动一个程序，现在启动两个程序，另外多出的一个程序的功能就是恢复第一个程序（即服务端），所以清除的时候把另外多出的程序也删除。  上次介绍的方法只能在默认的方法下使用，所以很难奏效！下面介绍几种方法可以彻底查杀！  一、自杀行动！  就是下载相应的版本的冰河，利用控制端来卸载服务端。方法如下：启动控制端，在添加主机里添加127.0.0.1（就是脱机状态下的默认IP地址），按应用，如果链接成功，在命令控制台→控制类命令→系统控制→自动卸载冰河，把冰河成功卸载，如果状态栏显示口令错误，无法链接（这是因为在你电脑植入冰河木马的人加了密码，有密码才能链接），试试下面的万能密码： 2.2版：Can you speak Chinese? 2.2版：05181977 4.0版：05181977 3.0版：yzkzero.51.net 3.3版：******?*（*号代表空格） 3.1-netbug版密码: 123456!@ 2.2杀手专版：05181977 2.2杀手专版：dzq20000!  如果成功了按上面的方法，卸载冰河！  二、杀毒软件  用杀毒软件把冰河服务端卸载掉，容笑推荐大家用金山毒霸把服务端卸载掉（因为据容笑测试，金山毒霸对各种版本的冰河查杀率最高）， 杀毒以后，可能文件文件或EXE（可执行文件）不能打开，所以杀毒前最好先检查一下冰河有没有把文本文件关联，如果关联了，先恢复， 查看方法是在我的电脑的菜单栏“ 查看”→“文件夹选项”→“文件类型”，找到文本文件图标查看是否用C:\WINDOWS\Notepad.exe程序打开，如果不是，大概是冰河木马关联了文本文件！恢复方法是在打开方式中选择C:\WINDOWS\Notepad.exe程序打开即可或直接按住SHIFT，用鼠标右键单击文本文件，在右键上选择打开方式，选择C:\WINDOWS\Notepad.exe，而且在“始终使用该程序打开这种类型的文件”前面的钩打开，确定即可。如果感染了EXE文件，恢复的办法，最最简单的方法就是恢复注册表，如果感染冰河在5天以内，可在DOS状态下用scanreg/restore命令恢复，时间长一点，导入以前备份的注册表（备份注册表很重要，容笑建议经常备份注册表）。此方法对于屡屡升级的冰河，可能作用不大！  三、我想关键问题还是在于预防，备份重要数据和系统文件；不要随意打开邮件的附件（最好不要用OE5.0或5.5），因为它们有一个漏洞，就是可以自动执行附件；下载软件一定要到大的网站去下载，它们有专门人员负责杀毒，减低风险！笔者建议大家装三个软件，一、天网防火墙（即使您中了冰河木马，有天网保护，谁有进不了您的电脑）、Regrun II（一个实时监控制软件，只要木马在电脑的各项启动程序中添加，它就会报警，还有终止进程的功能）、Relive（一个比较前后文件的数量，它让你知道，您的电脑中多了什么不明程序[如木马程序])，有此三法宝在，您就很轻松地卸载冰河木马了，也可以是大部分木马！ 上次本人和大家讲了用UltraEdit-32比较两个服务端程序而得到冰河的万能密码，其实冰河的各个版本都是原作者黄鑫冰河的“盗版”，而且制作方法很简单，不用几分钟，一个属于自己的“盗版冰河”就产生了！  方法如下： 本次实验准备两个程序：UltraEdit、冰河远程控制软件（最好用正版[即黄鑫的冰河]）！  首先我们先改变冰河服务端的万能密码：用UltraEdit打开冰河的服务端，然后查找万能密码“05181977”（如果您用的冰河是其它版本，请先按上次的方法，得出万能密码，然后查找这个万能密码），然后替换成自己的万能密码，随便自己填！  服务端已经基本修改好了，接下来就是对控制端进行个性修改了，用UltraEdit打开冰河的控制端程序，然后根据上面的方法。 第一步，修改标题就是那个“冰河V2.2 [DARKSUN专版]”和启动画面文字，查找“v2.2”，看到了吗！把“V2.2”这几个字改成您的版本号就可以了，如“V9.9”，保存，然后在查找DARKSUN，其实就是V2.2旁边，把它改成自己的专版就可以了，如“WWWRONG”最好英文字母个数和原版一样，以免发生错误，然后保存，先看看自己的杰作，标题上显示就是冰河 V9.9 [WWWRONG专版]，启动画面的文字也变成[WWWRONG 专版]。 第二步，修改帮助菜单栏中“关于‘冰河’”画面的修改，主要是修改“作者：黄鑫、网址、软件完成日期”，作者仅以修改作者姓名为例：按照上面的方法查找“黄”，找到“黄”，一定要看到旁边有一个鑫字才可修改，否则改了其它代码，程序就不能运行了，好了替换成自己的大名就可以了。 第三步，如果您想要改其它的项目，按照上面简单的方面可以实现您的目的，但是要记住，一定要先备份一份，以免出现错误还可重新来过.

使用冰河木马 1.冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑，其中包括国外电脑。 程序实现 2.在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件): 服务端: 3.G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)4.G_Server.Listen(等待连接) 客户端: 1.G_Client.RemoteHost=ServerIP(设远端地址为服务器地址) 2.G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦) 3.(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配) 4.G_Client.Connect (调用Winsock控件的连接方法) 5.一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)G_Server.Accept requestIDEnd Sub 6.客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口 7.Private Sub G_Server_Close()8.G_Server.Close (关闭连接)9.G_Server.Listen (再次监听)End Sub其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令。