哈药集团要黄了:在那里能下载木马软件且不被杀毒软件查到

远程监控类工具俗称木马软件（Trojan Horse，英文则简称为Trojan），叫这个名称是因为它的原理和那个古希腊的神话故事"特洛伊木马"很神似（别说你没看过，自己找找，故事情节是英雄救美女的那种），引申为计算机的后门程序。

先要介绍的是木马"冰河"。不全是因为它良好的隐蔽性和简单易用，而在于它流传的广泛性。（注：最新6.0版服务端现在尚不能为杀毒软件识别，客户端会有病毒误报，使用无碍。）

"冰河"的作者黄鑫，一个厉害人物。冰河的开放端口7626据传为其生日号。

1.冰河的图标：（ttian提供的冰河2.2DARKSUN 专版、冰河5.0改进版[非黄鑫制作]、及最新的冰河v6.0GLUOSHI专版）

从上图可以看出冰河服务端（G_Server，使用前可改名）越来越注重隐藏自己，5.0版的空白、6.0版的写字板图标更轻松让人中招。说明一下：我们自己控制时使用的是客户端（G _Client），不要误运行了服务端，如果运行了并且你什么都不懂，哪一天遇到一个心存不轨的人，你会很惨。

2.各版本服务端、客户端的大小：2.2版服务端260K，客户端454K；5.0版服务端260K，客户端451K；6.0版服务端259K，客户端451K。（注意它的大小是为了防止被人恶意捆绑了木马程序）

3.冰河所开放的端口：2.2版和6.0版（可修改）用的是7626。那个5.0版用的是2001。（从一个端口可以看出这个IP地址所提供的服务。这是我们可以去利用的。）

4.冰河的界面：几个版本的界面基本一致，只有些细节不同。这里以最新6.0版为例。

冰河的界面很简洁，一个高级木马该有的功能都有，除了图上注明的功能外，主要功能还有口令记录（这个最实用）、注册表操作、动态I P邮件通知、远程关机及最关键的远程卸载！

5.冰河的操作：先把下载自带的README.txt文件仔细看一遍。（不爱看说明书是聪明人的一个通病）不会用冰河的人很少，网上有详细介绍的很多，我只扼要的说一下注意点。

⑴：不要使用冰河自带的搜索功能，太弱。（有足够的耐性你可以尝试），可选择的专用工具太多，在ttian下载的"扫描工具"里，super scan3.0、X-way（NT用）都相当不错。

X-way速度还算很快。

晕倒，我以前下载的那个SuperScan203汉化版哪去了？体谅一下国人嘛。

⑵：冰河的万能密码设置：在提示访问口令不对的情况下，试下面的几个数字。（万能口令对6.0版无效，以下的几个我只成功过"051819 77"和"Can you speak chinese? "）

2.2版：Can you speak chinese?
2.2版：05181977
3.0版：yzkzero
3.0版：yzkzero.51.net
3.0版：yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版：dzq2000!

⑶：命令控制台的作用：

⑷：扫描到7626端口的计算机却连接不上，除了IP地址错误、网络迟疑、版本不对等原因外，真正的原由不明。以前我有两台计算机，一台能连接上，一台不可以，（不行的那台重装后就可以正常操作冰河。）

5.抗杀毒能力：2.2版冰河普通杀毒软件都能查杀，5.0版要稍好一点，6.0版现在基本没有能查杀，可放心大胆使用。（指9月底的病毒库）

6.冰河的几种清除方法：
①：上图介绍的自卸载功能。
②：部分杀毒软件，（推荐：金山毒霸还不错，能查杀2.2和5.0冰河）
③：修改注册表。运行regedit，查找下面的键值。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice

第一步：删除相对的可疑键值。（不熟悉的朋友不要乱动）
第二步：重新启动时转到DOS下，删除冰河服务端（一般默认为"c:\windows\c_server.exe"，会变更）这一步很重要。下面再重启计算机即可。

冰河作为远程监控类软件的楚翘，无疑非常优秀，它的缺点不是"占用CPU系统资源过高"，而是 过滥。

前些时候"广外女生"，比较流行，它是广东外语外贸大学"广外女生"网络小组的作品，可以运行于所有WINxx系统上，作者男女未知，最新版本1 .51Alpha版于(9月1日)发布。
广外的流行在于在于它的优点：体积够小，隐藏够巧，还有就是它的抗"杀毒"能力，天网2.44以下版本遇之必死。真够强悍的！

我们先来看看广外的图标及大小：客户端为282K、服务端为111K（相对小巧，作用是你上传及捆绑方便）。你知道广外开放的端口吗？广外默认使用的端口在一般说明中没有介绍，且许多的网站也没有提及，不过我知道，是6 267。：）（这个是关键）

好了，来看看广外的界面：非常干净，冰河所有的功能它基本都有。

试试操作：
⑴：扫描主机。自带的扫描速度相当快，快到....让人无话可说的地步。快是快，不过鬼才知道它在扫描什么东西！（这个扫描有点莫名其妙），转回头还得用上篇介绍的专用扫描工具（我用X -way）。
⑵：如图填上扫描来的IP地址，在"直接添加"上打勾后"开始搜索。"完成了远程主机连通。

⑶：终于可以在"文件共享"下进行远程操作了，大家都会的。：）我就不多说了。

经过亲身体验说明一下：广外的操作对远程的计算机要求稍微高了些。如果对方不是宽带你无论是打开文件、抓取画面都会很慢，容易出现" 操作延时、无响应状况。"这是广外的缺点，还有操作细节上不如冰河成熟、浏览方式有些别扭且速度较慢（见过蜗牛没有？），功能也不如冰河。但是广外有广外的优点，光它的优点就可以使它前途不可限量，领导时尚，呵呵。

中招广外后的明显特征：天网突然不能运行，每次都死掉。杀毒无效。

广外的清除方法：
①：杀毒软件（这个不好说，较真起来还真不清楚谁能杀掉谁）
②：广外自带的卸载功能。（这个最方便。自机试过，没有后遗症。：）

③：修改注册表。运行regedit，查找下面的键值。

1.先查看HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是先不要修改，因为如果这时就修改注册表的话，D IAGCFG.EXE进程仍然会立刻把它改回来的。

2.打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行r egedit.exe时就又会启动DIAGCFG.EXE。

3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。

4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE

好了，又干掉一个。

way2.5作者一辉（或阿凤？），生日11月14日天蝎座。（有点毒。。。）way的前身是火凤凰和那个无赖小子，现在的作品终于比较成熟。最新版于8 月23日出品。
抗毒能力：目前的杀毒软件如金山毒霸、安全之星、瑞星、KV3000、VRV2000和PC-Cillin2001等都查不到它，暂时唯一的天敌：木马克星。

老规矩：还是图标、界面：客户端大小为374K，服务端为254K（稍大，不过图标够狡猾）

界面还可以，初次使用时没看见下方的“命令控制台”，我心说这个东西怎么控制能力这么弱。呵呵。

重复我们的步骤：搜索主机（端口：8011）、添加主机（筛选合适远程计算机）、进行文件浏览与命令控制。

经自机测试，这个无赖小子是我见过的木马中，控制能力最强的一个！我用主机控制分机的时候，简直是在屠宰羔羊。幸好自己能控制，不然就无法收场。你可以试着先来个鼠标左右互换，后来个改变刷新率，再来 个......就会听到有人骂娘了。

下面是我用抓图软件综合了一下它的几大类操作指令。（不包括分指令）

优点：界面很好，操作方便，容易上手，流传也不错。（随便扫一段IP，结果也是一大堆）而且那些耍人的功能很厉害。缺点：使用时会出现不稳定状况，I P经常出现连接不通。作者的主页上说以后不会有新的改进版本了。：（（

无赖小子2.5版清除方法：
①：自带的卸载功能。

②：木马克星。
③：修改注册表：打开regedit，查看

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，

删除它在注册表中的键值，再重启转如DOS下删除C：\windows\system下的msgsvc.exe这个文件。（如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！在删除前请做好备份。）

越介绍讲的亦越简单，其实木马的使用都是大同小异。熟悉了一种，其他的也就算会了。这是学习过程中举一反三的应用。

要说我最喜欢，爱用的木马，并不是冰河，广外和无赖。而是南京人Tiger Liu在4月份推出的网络精灵3.0。屏幕监控使用非常方便，简直到了极点。我很少使用它的客户端进行控制（设置密码除外），只要一个扫描工具、一个T E浏览器（或IE），一切都可搞定。
记得几个月前有一次，我的一位关系很好的朋友问我要个木马（他的水平是菜菜鸟傻瓜型）。正好手里有网络精灵，就和他开了个玩笑。

告诉他："我用QQ发个网络精灵的“使用文件”给你（"使用说明"是服务端，已被改名）
......（在他接收后等待N秒）
"呀，我点打开后文件怎么不见了，再重新发一个过来？？"（服务端运行后会自动消失）
"哦，我发错了文件。再发一个？：）"（已经上钩了，我这边已经忍不住笑了出来）
....

通过浏览器（我用猫上网，屏幕是自动刷新且迟疑只有2、3秒）我看见了朋友QQ上的好友名单（屏幕为16色画面，除颜色外，其他都很清晰），收藏的网友照片、他的宝贝聊天记录，还有他泡妞的全过程，当他在联众打牌的时候我还抢鼠标替他乱出几次牌（气的他大喊" 我被黑客控制了！！！"，结果满桌的没有一个当真，不是认为他在为自己找理由就是认为他太幽默。）

看着他手忙脚乱的反复解释、找原因、重起计算机，我在这边发笑。直到他神经兮兮的捉到我，说我这一天搞的他没有一点隐私权，再也不想活了！这时我才帮他结束了这段刻骨铭心的噩梦。（因为是很好朋友，才可以开玩笑，后来我解释了，不过他没敢接受我的道歉。：）

网络精灵的最大优点：监控是用眼睛看的。控制手段除了客户端还可以使用浏览器进行监控（这是它的特色，与大部分木马不同），用鼠标可以做到你指哪他打哪，对新手也可以方便进行实时、亲切指导。（呵呵，而且不管他愿不愿意：）

网络精灵1.0版、2.0版、3.0版图标、大小：1.0版的客户端为201K、服务端为138K；2.0版客户端为344k、服务端为132k；3.0版客户端为4 32K，服务端为372K（没有错，就是这么大，我在作者主页下的也是372K）

作者对服务端改进不大，2.0和3.0的图标根本没有变化。不过没关系我们可以自己加工，找个能换图标的捆绑工具就够了。

只要中了网络精灵就会自动开放7306、7307、7308这3个端口。下面说明一下用浏览器监控的方法：键入网址http://ip:7306 比如：http：\\192.168.0.1：7306 （局域网速度快、屏幕控制速度无迟疑）1.0版用http://ip:7308查看。

以最新3.0版为例，正确窗口如下：（需要密码就放弃，除非你有相当耐心和很好的运气）

点击“远程终端”，进入后确定，少等几秒就会有个桌面在你眼前出现。别把你的鼠标放在他的桌面上，别人会大叫鼠标失灵哦，搞不好他会重启，够你费事的。

网络精灵的缺点：怎么还没4.0版出品？作者太懒了吧。呵呵

网络精灵的清除方法：
①：用客户端设置个长点的口令，除了自己谁也进不去。
②：使用金山毒霸、木马克星。
③：修改注册表：使用同上类似操作。（今天累了，一口气写了4篇，困的要睡了，其他的木马介绍如果还有人看，可能要歇上几天再写。：）

用过就不会忘记，这绝对是一款别俱特色的优秀远程监控工具。

netspy 这是8月3日发布的一个木马，名称和网络精灵的英文名相同，却是两个完全不同的软件。
优点：不能被一般杀毒软件查杀。（网络上流传面太小）

作者说它是一个丝毫不逊色于流行的冰河软件，经我试用，结果只能说：绝对令人失望！——控制、操作功能很少，且无服务端卸载功能。只能算一个极其普通的木马。

netspy图标和大小：客户端为293K、服务端为234K。

开放端口为：1111

界面如下：高级木马应有的基本操作功能还不全。

清除方法：因为不自带卸载，且不为大部分杀毒软件（金山毒霸不能识别）识别，所以只好采用以上修改注册表的方法。查找HKEY_LOCAL _MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下可疑键值，清除后转MSDOS下完全删除即可。

不建议使用，一个没有任何新意的木马。

聪明基因：比较喜欢这个名字，也对这个木马做了应有的测试。结论是：一款很好的木马，附带一份“全球IP地址分配对应表”，在国内远程控制类工具里也算中上之姿，却没有得到相应的对待。
先扫描网络上7511端口开放的计算机，十分钟后收获为零。不用痛下决心，按规矩还是在自机上使用服务端做实验，谁想它不给我这个脸。服务端在N T系统下缺少dll文件，不能运行于WIN2000，：） 系统无形中多了一层免疫能力。

图标、大小如下：控制端380K，服务端为251K。

服务端是标准的html页面，尝试打开也会按正常规则出现：“该页无法浏览”，很是迷惑人。

界面如图：

聪明基因开放的是7511端口，界面小巧、很养眼，对鼠标、键盘、显示器的控制功能也非常齐全，远程控制速度可以接受，象冰河一样比较均衡、全面。

不太实用的功能是屏幕“缩小监视”，界面本来就小，再缩小一点，根本就不能看清屏幕，何来监视之说？

聪明基因的清除方法：
①：自带的卸载功能。（这应是高级木马必备的！）

②：杀毒软件。（因为出品早了些，且一直未升级，所以能被绝大部分的杀毒软件识别查杀。）
③：修改注册表。运行regedit，查找
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
清除可疑键值，转MSDOS状态下删除C：\windows\MBBManager.exe 后重新启动计算机。

这是一个未及奔跑就被遗忘的木马，非常遗憾。作者的主页已关闭，想必以后不会再见到新的升级版本。

黑洞
最早接触黑洞是在网络休闲居，那时的版本还不是很稳定，每次关掉黑洞我的屏幕就会蓝屏一次，是名副其实的黑洞，因为这个原因我是不太愿意用它。现在我们提供的这两个版本都不错，没有这些影响使用的小BUG。

黑洞作者陈经韬，下文介绍的是[黑洞2000]OMEGATEST版和改进后的2黑洞2001正式版本，2001版虽然是在2001年01月2 7日发布，至今的许多杀毒软件仍然不能查杀！（包括最新的金山毒霸）

黑洞的优点是：操作相对简单，容易上手。在上述远几种程控制类的文件夹管理功能中，黑洞的速度上是最快的，几乎与打开本地的文件夹无异！！远程的文件上传、下载很方便！最值得一提的黑洞2 001的多线程监控，非常实用。黑洞2001中还增加了网上影院、语音支持等几个比较适合局域网使用的功能。

黑洞的缺点是：版本的界面、操作太像冰河，有些时候有端口开放却连接不上。（适合新手、或局域网内使用）黑洞2001也有冰河那样的万能密码——b abycjtiloveyou！

看看图标：

服务端图标是个文件夹，可任意改名，不要误运行了。

黑洞两个版本的端口分别和版本对应，为2000、2001。

界面如图：

至于控制方面，会冰河的，不要学习就可以使用，这点对新手有利。黑洞在控制方面限制了不少功能，连我最喜欢探索的口令缓存也给封掉了。黑洞2 000版预设了IP地址的手机通知、Call机通知、OICQ通知等方法，可惜都没有启用！很可惜。如果能用上面的IP通知方法，再改进一下操作功能，黑洞绝对是一个超级利器！

黑洞2001“智能监控”的用途：杀掉实时天网等防火墙的进程。服务端设置后每隔一段时间就刷新进程，发现有与定义的进程字符相符合的，就将这个进程关闭。这个针对防火墙的设置，为你更为所欲为的控制这个养马场提供绝佳的作案场所。（“毒”针对大部分的杀毒软件；“墙”针对防火墙、天网）

黑洞的清除
1，利用本身自带的卸载，（优秀的木马都有这个功能）有一次一位朋友问我，他机子黑洞的密码被人改了，无法控制自己的机器进行卸载怎么办？ 呵呵。其实很简单，你再运行一次服务端，将别人的密码冲掉，重新控制就可以了。

除非你安装的是垃圾杀毒软件

泛是已知的木马，病毒一般都会被杀毒软件查到，楼上介绍的更是废物一个，如果想能完全自己控制，又查不到，除非是自己制作。