“冰河”的进一步深入
文/太阳湖
看到上期司徒新浪对我的文章的反馈,觉得有不少不妥之处。本来懒
得打铁,但实在不忍其误人子弟,故此在这里进一步对“冰河”做一些探
讨。
在这里只对软件本身,不针对黄鑫本人。
1、 “冰河”软件的创意本身就有问题,它没有创新,还是在抄袭国
外的一些“木马”程序,而要想成为一种好的黑客软件或病毒,一个好的
创意是首要的(如CIH)。当然“冰河”在程序驻留的方式上有了一些改良。
2、“冰河”在程序驻留时会驻留两个程序,一个是服务端运行程序,
一个是监视服务端程序。服务端程序用于与客户端的联系;监视服务端程
序用于检测服务程序是否运行,如果服务端程序没有运行就加载服务端程
序。
3、“冰河”在注册表的启动项 run和runservices分别新建两个字符
值。一个用于启动服务端程序,一个用于启动监视服务端程序。
4、“冰河”最精彩的可能就是 :驻留程序名和字符值的数据的不确
定性(可以用客户端程序配置服务端程序实现)。但是它没有回避独立进
程的问题,也就是说当它运行时可以用进程观测器发现它,不管你把它改
成什么名字(只有用病毒代码才能回避这一问题)。而且不管你怎么改动
字符值数据,为了启动,它必将存入run和runservices键中。
5、这一点本来不想说 ,但有些人却认为它是了不起的设计,将它看
成宝。有必要澄清一下。就是“冰河”的程序关联问题。我想有一点常识
的人都知道,windows的“关联”就是:指向——运行目标并且open。“冰
河”在设计时运用关联的目的就是,当监视程序无法自动加载时可以在不
察觉的情况下让用户手工启动它。但如果监视程序已被删除,这种关联也
就毫无意义了,最多对被关联文件重定向。
6、关于“冰河”的监听端口问题,它只是一种有利于客户端的设计,
对防范它的人没有价值。
有点累了:(
上述分析可推广到大部分的“木马”类程序。对“冰河”的探讨,
主要目的是希望大家在碰到新的“木马”类程序时有一个好的防护方案。
在这里向黄鑫本人致歉,为了大家进步,如有冒犯请多包涵。