ted talk youtube:听说过吗？“冰河”是什么东西啊？有什么用啊 ？

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

看过冰河的功能概述后，是不是被它的功能所着迷呢？

接着，我会介绍特洛伊木马“冰河”的使用。

本次范例需要的系统及程序情况如下：

操作系统：Windows98

程序（一）：特洛伊木马“冰河”V2.2 DARKSUN 专版

程序（二）：Superscan3.0 英文版

本机IP：127.0.0.1

测试IP：127.0.0.3

新程序说明：

Superscan3.0是foundstone实验室出品的端口扫描器。特点：速度快，资源占用少。

Superscan：“scanner.exe”为主程序；“scanner.lst”、“hensss.lst”、“trojans.lst”为端口列表。

冰河：“G_Client.exe”为控制端；“G_Server.exe”为服务端。

本文运用端口扫描程序，在网络上寻找木马冰河的服务器端，从而达到对该用户实施入欺电脑的目的。

首先，把一些常见的木马端口和大家说说：[木马冰河：7626]；[netspy(网络精灵)：7306]；[back orifice （bo）：31337]；[back orifice2000 （bo2000）：54320]；[netbus：12345]；[subseven：27374或1243] 。

这是一个非常简单的入侵，但你别看小你这次的入侵哦！因为你可能在这次入侵里，获得上网密码、OICQ密码、E-MAIL密码、个人主页密码等等！

1、首先，我们打开Superscan3.0，在“IP”的“start”和“stop”里填上搜索范围。例如：202.103.139.1 —— 202.103.139.255。接着在“scan type”的“All ports from”里填上：7626（冰河服务端开的端口）。按“Start”开始扫描。过一会，下面就会出现很多IP，但并不是每一个都是。我们需要按 “Prune”把多余的IP删除掉。剩下IP就是中了冰河的主机。（假如没有找到，请不要灰心，继续扫描。一个成功的黑客最重要是有耐心！）

1、打开“冰河”的G_Client.exe控制端（不是G_Server.exe！），把你上面找到的主机IP添加上去，访问口令嘛，不用填。（听说现在有万能密码的！）然后单击该IP前面的小电脑图标，如果凑巧别人没有给该主机设置口令，那么它的C盘，D盘等，就会出现了，你可以象打开自己本地硬盘那样，浏览里边的文件夹了。

“冰河”上面有个“帮助”，里边有个“操作指南”。具体的使用，大家就看它吧。全中文介绍，也不用我多说了。

其实，“冰河”本身里边有个“自动搜索”，用它来找一段区域内的IP，速度和效果，是很不错的。

使用方法：按第三个图标“自动搜索”，首先要设置：

“起始域”（例如：127.0.0）

“延迟时间”：用默认的就可以

“监听端口”：7626

“起始地址”：1

“终止地址”：255

接着点击“开始搜索”。搜索完毕后，下面会有提示：对子网'127.0.0'搜索完毕，共找到N台计算机，其中N台可以用。接着，在右边框里边上方会显示搜索成功和失败的主机的。然后和前面一样，双击前面的电脑图标就可以了。

3、每次攻击，都会留下线索，所以请大家不要有恶意。你进入别人的电脑后，所得到的帐号，密码等，千万不要公开出来，也不要修改对方电脑里边的东西。然后，给别人善意的提醒对方，教他把木马清除掉！ —— 这才是真正黑客：）

关于冰河的万能密码：

2.2版：Can you speak chinese?

2.2版：05181977

3.0版：yzkzero

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000!

许多人会问：天下间哪里会有这么多中了冰河的主机啊？

当然，任何一个人都不会令自己中上这么可怕的木马程序。

那么，我们怎样让别人的运行木马的服务端呢？

这个不是我们要探讨的问题。因为我们是要了解整个入侵过程，而不是要令别人受害！

最后，我希望大家记着：任何时候，攻击、破坏个人电脑都不是一个黑客的所为！

如果清除冰河服务端：

方法一：俗话说，解铃还需系铃人。中了冰河，就用它的控制端来卸载服务端。具体方法：

1、启动“冰河”的控制端程序。

2、选择“文件”——“添加主机”，或者直接点击快接按钮栏的第一个图标。

3、弹出的对话框中，“远程主机”一项，填写自己的IP。

4、连接服务端，然后，点击“命令控制台”标签。

5、选择“控制类命令”——“系统控制”，在右面的窗口下方，你会发现四个按钮。点击“自动卸载”，就将冰河的服务器端清除了。

方法二：

冰河 v1.1

1、打开注册表“Regedit.exe”。（可以在“开始”——“运行”里输入“regedit”。）

2、点击目录至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3、查找以下的两个路径，并删除

“C:\windows\system\kernel32.exe”

"“C:\windows\system\sysexplr.exe”

4、关闭“Regedit.exe”，重新启动Windows。

5、删除“C:\windows\system\kernel32.exe”和“C:\windows\system\sysexplr.exe”木马程序。

6：重新启动。完成。

冰河 v2.2

因为服务端程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。所以，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。然后重新启动Windows，删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。

是一种中国人自己的编写的木马病毒。

用法：冰河木马教程 http://ciw.chinaitlab.com/tech/6861.html

跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。）

准备工作

工具下载： 远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5

软件发布：冰河v6.0GLUOSHI专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。

相关主页：http://v60.6to23.com

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅

一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way，操作如下：

点击"主机扫描"，分别填入"起始、结束地址"（为什么？ 因为--做事要有始有终，呵呵。顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。（一般值为100比较合适，网速快的可选150）。最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。
结果如下：

说明：上图IP地址的数字为我剪切处理过，参考价值不大。：）

二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使

主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K

先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。（冰河6默认的写字板图标就很好，使用前改个好点的名称即可，不一定要捆绑）

1.连接：打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。（初始密码应该为空，口令有误是已被别人完全控制）直到终于出现：

注：3.1以下版本的万能注册码：（使用其他版本冰河时，填在右上访问口令里，应用后，连接）

2.2版：Can you speak chinese?

2.2版：05181977

3.0版：yzkzero

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000! 仅供参考

2.控制：在文件管理器区的远程主机上双击+号，有C：D：E：等盘符出现，选择打开C：会看见许多的文件夹，这时我们就算已经踏入别人的领土，对于第一次入侵的朋友是不是有些感动？别急，我们对"养马场"的探索还未开始！

在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域，顺便了解一下他有什么不良爱好，呵呵。是不是有些收获，见到了你喜欢的游戏，下载？还是省省吧，远程的机器承受不了。

（如果在我的文档里看见JPG格式的文件，有兴趣的话你可以点右键下载下来看看是不是他MM的照片。：））

在文件管理区你可以对文件、程序进行以下主要几项操作：上传、下载、删除、远程打开。击鼠标右键看到

3.口令获取：口令类命令里可是有不少好东西的！如果你运气够好的话，你会找到很多的网站名、用户名和口令。有什么用？自己想去吧.......图中第一处抹黑的是上网帐号的密码，这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了，抹掉是因为我们现在只是做学习研究用，不是不法分子在搞破坏。：）

注：卸载冰河的方法，在命令控制台下的控制类命令－系统控制可以看到，点一下就可安全清除冰河。

4.屏幕抓取：照指示操作就行，我不喜欢用这个，抓图的速度慢质量也不好，那个控制屏幕也就顺便省了吧。

5.配置服务端：在使用木马前配置好，一般不改变，选择默认值。

细节注意如下：监听端口7626可更换（范围在1024~32768之间）；关联可更改为与EXE文件关联（就是无论运行什么exe文件，冰河就开始加载；还有关键的邮件通知设置：

附：如在设置类命令－服务端配置里选择读取服务端配置，可以看到是控制者设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子查出是谁在黑你。（小心点好，别中了别人的借刀杀人之计）如下：

6.冰河信使的使用：也许这时候你还有兴趣和机子的主人聊聊，就用自带的冰河信使，是不是吓了他一跳？（不敢回答或关机逃跑了？）遇个胆大的你们也许聊的很投机，你作为他眼里的大虾是不是要表现一下？

告诉他："不要怕。我，远程（神气的很）帮你杀毒好了！"呵呵，只要照图轻轻点一下，陡受惊吓的人是不是还会对你感激涕零？ 恩，兴奋的神经慢慢冷却，是结束我们的这次友好访问的时候了。

其实冰河的基本操作就是这么简单，请熟练掌握它，以后你要接触的木马有6成与它的基本操作类似。

夜阑卧听风吹雨，铁马冰河入梦来。夜了，休息一下，养足精神再来继续我们的木马旅程。

冰河的几种清除方法：

①：文中介绍的自卸载功能。

②：部分杀毒软件，（这个版本比较新，许多杀毒软件不能识别。推荐：升级过的KV3000等）

③：修改注册表。运行regedit，查找下面的键值。

第一步：删除相对的可疑键值。（不熟悉的朋友不要乱动）
第二步：重新启动时转到DOS下，删除冰河服务端（一般默认为"c:\windows\c_server.exe"，会变更）这一步很重要。
最后： 重启计算机即可。

融化的冰河片刻消逝。

一个过时的远程控制软件..算得上国内的远程软件鼻祖了
只是后来没有更新了..就像冰河木马一说吧

是一个木马~~~还是一个著名的木马！
是一个木马~~~还是一个著名的木马！
是一个木马~~~还是一个著名的木马！
是一个木马~~~还是一个著名的木马！
是一个木马~~~还是一个著名的木马！

和tmd灰鸽子一样