簡述：

• 百科詞條

冰河木馬開發(fā)于1999年，跟灰鴿子類似，在設(shè)計(jì)之初，開發(fā)者的本意是編寫一個(gè)功能強(qiáng)大的遠(yuǎn)程控制軟件。但一經(jīng)推出，就依靠其強(qiáng)大的功能成為了黑客們發(fā)動(dòng)入侵的工具，并結(jié)束了國外木馬一統(tǒng)天下的局面，跟后來的灰鴿子等等成為國產(chǎn)木馬的標(biāo)志和代名詞。

冰河的服務(wù)器端程序?yàn)镚-server.exe，客戶端程序?yàn)镚-client.exe，默認(rèn)連接端口為7626。其中攻擊者使用G-client.exe對執(zhí)行了G-server.exe的主機(jī)進(jìn)行控制。

• 功能

1．自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）；

2．記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息；

3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；

4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項(xiàng)功能限制；

5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能；

6．注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能；

7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡短信息；

8．點(diǎn)對點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。

實(shí)驗(yàn)環(huán)境：

冰河木馬：V8.4

攻擊主機(jī)：win7，ip：……132（以A代替）

受控靶機(jī)：win7，ip：……134（以B代替）

兩臺(tái)主機(jī)能互相ping通

攻擊步驟：

本次試驗(yàn)采用共享文件的方式將木馬種植在目標(biāo)主機(jī)

打開實(shí)驗(yàn)的兩臺(tái)虛擬機(jī)，使用net use命令進(jìn)行連接

net use \\192.168.88.134\ipc$

將主機(jī)B的C盤映射在主機(jī)A上，名為X

net use x: \\192.168.88.134\c$

把g_server.exe文件拷貝進(jìn)主機(jī)B的C盤，并設(shè)置自啟動(dòng)時(shí)間

at \\192.168.88.134 h:m:s C:\\g_server

當(dāng)?shù)竭_(dá)設(shè)定時(shí)間后，主機(jī)B上就會(huì)自動(dòng)運(yùn)行g(shù)_server.exe

（運(yùn)行g(shù)_server.exe前）

（運(yùn)行g(shù)_server.exe后）

此時(shí)主機(jī)B的7626端口已經(jīng)打開，可以對其進(jìn)行控制。

在主機(jī)A上打開g_client.exe，并掃描主機(jī)

掃描成功后對其進(jìn)行控制

（查看、編輯、創(chuàng)建、刪除主機(jī)文件）

（在主機(jī)A上給主機(jī)B創(chuàng)建文件）


（記錄鍵盤）



（查看注冊表鍵值）

等……

防御步驟：

冰河木馬隱蔽性高，且極為頑固，一旦運(yùn)行G-server，那么該程序就會(huì)C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。

Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sysexplr.exe和TXT文件關(guān)聯(lián)。

即使你刪除了Kernel32.exe，只要打開 TXT文件，sysexplr.exe就會(huì)被激活，它將再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢刪不止的原因。

因此防御分以下四個(gè)步驟：

還原自啟動(dòng)注冊表

冰河會(huì)在注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根，鍵值為C:/windows/system/Kernel32.exe，用于設(shè)置開機(jī)自啟，找到并刪除。

還原txt文件的注冊表信息

冰河通過修改txt文件之策表信息的鍵值對，使得sysexplr.exe和txt文件關(guān)聯(lián)，當(dāng)編輯txt文件時(shí)，就會(huì)再次激活冰河，找到該鍵值對并還原為notepad

（正常的txt文件打開路徑）

（感染冰河）

修改為正常數(shù)據(jù)

結(jié)束冰河的核心進(jìn)程Kernel32.exe

刪除系統(tǒng)目錄下的Kernel32.exe和sysexplr.exe文件

文件位置為：windows/system32。
Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sysexplr.exe和TXT文件關(guān)聯(lián)。找到并刪除


自此，冰河已經(jīng)被完全清除，以上幾個(gè)步驟缺一不可。

學(xué)習(xí)整理，若有問題請指出。

總結(jié)

以上是生活随笔為你收集整理的冰河木马实验（V8.4）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。