ted talk youtube:听说过吗?“冰河”是什么东西啊?有什么用啊 ?
来源:百度文库 编辑:查人人中国名人网 时间:2024/05/06 12:26:32
该软件主要用于远程监控,具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
看过冰河的功能概述后,是不是被它的功能所着迷呢?
接着,我会介绍特洛伊木马“冰河”的使用。
本次范例需要的系统及程序情况如下:
操作系统:Windows98
程序(一):特洛伊木马“冰河”V2.2 DARKSUN 专版
程序(二):Superscan3.0 英文版
本机IP:127.0.0.1
测试IP:127.0.0.3
新程序说明:
Superscan3.0是foundstone实验室出品的端口扫描器。特点:速度快,资源占用少。
Superscan:“scanner.exe”为主程序;“scanner.lst”、“hensss.lst”、“trojans.lst”为端口列表。
冰河:“G_Client.exe”为控制端;“G_Server.exe”为服务端。
本文运用端口扫描程序,在网络上寻找木马冰河的服务器端,从而达到对该用户实施入欺电脑的目的。
首先,把一些常见的木马端口和大家说说:[木马冰河:7626];[netspy(网络精灵):7306];[back orifice (bo):31337];[back orifice2000 (bo2000):54320];[netbus:12345];[subseven:27374或1243] 。
这是一个非常简单的入侵,但你别看小你这次的入侵哦!因为你可能在这次入侵里,获得上网密码、OICQ密码、E-MAIL密码、个人主页密码等等!
1、首先,我们打开Superscan3.0,在“IP”的“start”和“stop”里填上搜索范围。例如:202.103.139.1 —— 202.103.139.255。接着在“scan type”的“All ports from”里填上:7626(冰河服务端开的端口)。按“Start”开始扫描。过一会,下面就会出现很多IP,但并不是每一个都是。我们需要按 “Prune”把多余的IP删除掉。剩下IP就是中了冰河的主机。(假如没有找到,请不要灰心,继续扫描。一个成功的黑客最重要是有耐心!)
1、打开“冰河”的G_Client.exe控制端(不是G_Server.exe!),把你上面找到的主机IP添加上去,访问口令嘛,不用填。(听说现在有万能密码的!)然后单击该IP前面的小电脑图标,如果凑巧别人没有给该主机设置口令,那么它的C盘,D盘等,就会出现了,你可以象打开自己本地硬盘那样,浏览里边的文件夹了。
“冰河”上面有个“帮助”,里边有个“操作指南”。具体的使用,大家就看它吧。全中文介绍,也不用我多说了。
其实,“冰河”本身里边有个“自动搜索”,用它来找一段区域内的IP,速度和效果,是很不错的。
使用方法:按第三个图标“自动搜索”,首先要设置:
“起始域”(例如:127.0.0)
“延迟时间”:用默认的就可以
“监听端口”:7626
“起始地址”:1
“终止地址”:255
接着点击“开始搜索”。搜索完毕后,下面会有提示:对子网'127.0.0'搜索完毕,共找到N台计算机,其中N台可以用。接着,在右边框里边上方会显示搜索成功和失败的主机的。然后和前面一样,双击前面的电脑图标就可以了。
3、每次攻击,都会留下线索,所以请大家不要有恶意。你进入别人的电脑后,所得到的帐号,密码等,千万不要公开出来,也不要修改对方电脑里边的东西。然后,给别人善意的提醒对方,教他把木马清除掉! —— 这才是真正黑客:)
关于冰河的万能密码:
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000!
许多人会问:天下间哪里会有这么多中了冰河的主机啊?
当然,任何一个人都不会令自己中上这么可怕的木马程序。
那么,我们怎样让别人的运行木马的服务端呢?
这个不是我们要探讨的问题。因为我们是要了解整个入侵过程,而不是要令别人受害!
最后,我希望大家记着:任何时候,攻击、破坏个人电脑都不是一个黑客的所为!
如果清除冰河服务端:
方法一:俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体方法:
1、启动“冰河”的控制端程序。
2、选择“文件”——“添加主机”,或者直接点击快接按钮栏的第一个图标。
3、弹出的对话框中,“远程主机”一项,填写自己的IP。
4、连接服务端,然后,点击“命令控制台”标签。
5、选择“控制类命令”——“系统控制”,在右面的窗口下方,你会发现四个按钮。点击“自动卸载”,就将冰河的服务器端清除了。
方法二:
冰河 v1.1
1、打开注册表“Regedit.exe”。(可以在“开始”——“运行”里输入“regedit”。)
2、点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、查找以下的两个路径,并删除
“C:\windows\system\kernel32.exe”
"“C:\windows\system\sysexplr.exe”
4、关闭“Regedit.exe”,重新启动Windows。
5、删除“C:\windows\system\kernel32.exe”和“C:\windows\system\sysexplr.exe”木马程序。
6:重新启动。完成。
冰河 v2.2
因为服务端程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。所以,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。然后重新启动Windows,删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。
是一种中国人自己的编写的木马病毒。
用法:冰河木马教程 http://ciw.chinaitlab.com/tech/6861.html
跨越冰河(冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马。)
准备工作
工具下载: 远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5
软件发布:冰河v6.0GLUOSHI专版为2001年12月15日发布。
冰河原作者:黄鑫,冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。
相关主页:http://v60.6to23.com
目的:远程访问、控制。
选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。
注明:冰河有多个版本,现在流行冰河8.0等,操作与介绍相同。
冰河之旅
一.扫描端口:放弃冰河客户端自带的扫描功能,速度度慢,功能弱!建议使用专用扫描工具。
运行X-way,操作如下:
点击"主机扫描",分别填入"起始、结束地址"(为什么? 因为--做事要有始有终,呵呵。顺便提示一下菜菜鸟型的:结束地址应大于起始地址)。
在"端口方式"的模式下选择"线程数"。(一般值为100比较合适,网速快的可选150)。最后进入"高级设置"-"端口"选择"ONTHER",改变其值为"7626"后进行扫描。
结果如下:
说明:上图IP地址的数字为我剪切处理过,参考价值不大。:)
二.冰河的操作:连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使
主要几代作品服务端图标的变化:其中新版冰河服务端大小为182K,客户端大小为451K
先不要乱动!认清G_Server它就是令网人闻风色变的服务端了。(冰河6默认的写字板图标就很好,使用前改个好点的名称即可,不一定要捆绑)
1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。(初始密码应该为空,口令有误是已被别人完全控制)直到终于出现:
注:3.1以下版本的万能注册码:(使用其他版本冰河时,填在右上访问口令里,应用后,连接)
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000! 仅供参考
2.控制:在文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,选择打开C:会看见许多的文件夹,这时我们就算已经踏入别人的领土,对于第一次入侵的朋友是不是有些感动?别急,我们对"养马场"的探索还未开始!
在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域,顺便了解一下他有什么不良爱好,呵呵。是不是有些收获,见到了你喜欢的游戏,下载?还是省省吧,远程的机器承受不了。
(如果在我的文档里看见JPG格式的文件,有兴趣的话你可以点右键下载下来看看是不是他MM的照片。:))
在文件管理区你可以对文件、程序进行以下主要几项操作:上传、下载、删除、远程打开。击鼠标右键看到
3.口令获取:口令类命令里可是有不少好东西的!如果你运气够好的话,你会找到很多的网站名、用户名和口令。有什么用?自己想去吧.......图中第一处抹黑的是上网帐号的密码,这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了,抹掉是因为我们现在只是做学习研究用,不是不法分子在搞破坏。:)
注:卸载冰河的方法,在命令控制台下的控制类命令-系统控制可以看到,点一下就可安全清除冰河。
4.屏幕抓取:照指示操作就行,我不喜欢用这个,抓图的速度慢质量也不好,那个控制屏幕也就顺便省了吧。
5.配置服务端:在使用木马前配置好,一般不改变,选择默认值。
细节注意如下:监听端口7626可更换(范围在1024~32768之间);关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;还有关键的邮件通知设置:
附:如在设置类命令-服务端配置里选择读取服务端配置,可以看到是控制者设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子查出是谁在黑你。(小心点好,别中了别人的借刀杀人之计)如下:
6.冰河信使的使用:也许这时候你还有兴趣和机子的主人聊聊,就用自带的冰河信使,是不是吓了他一跳?(不敢回答或关机逃跑了?)遇个胆大的你们也许聊的很投机,你作为他眼里的大虾是不是要表现一下?
告诉他:"不要怕。我,远程(神气的很)帮你杀毒好了!"呵呵,只要照图轻轻点一下,陡受惊吓的人是不是还会对你感激涕零? 恩,兴奋的神经慢慢冷却,是结束我们的这次友好访问的时候了。
其实冰河的基本操作就是这么简单,请熟练掌握它,以后你要接触的木马有6成与它的基本操作类似。
夜阑卧听风吹雨,铁马冰河入梦来。夜了,休息一下,养足精神再来继续我们的木马旅程。
冰河的几种清除方法:
①:文中介绍的自卸载功能。
②:部分杀毒软件,(这个版本比较新,许多杀毒软件不能识别。推荐:升级过的KV3000等)
③:修改注册表。运行regedit,查找下面的键值。
第一步:删除相对的可疑键值。(不熟悉的朋友不要乱动)
第二步:重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\c_server.exe",会变更)这一步很重要。
最后: 重启计算机即可。
融化的冰河片刻消逝。
一个过时的远程控制软件..算得上国内的远程软件鼻祖了
只是后来没有更新了..就像冰河木马一说吧
是一个木马~~~还是一个著名的木马!
是一个木马~~~还是一个著名的木马!
是一个木马~~~还是一个著名的木马!
是一个木马~~~还是一个著名的木马!
是一个木马~~~还是一个著名的木马!
和tmd灰鸽子一样