精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 计算机安全>>◇软件解析◇>> 国产黑客程序——“ 冰河 ”探秘

主题: 国产黑客程序——“ 冰河 ”探秘
发信人: 00210604()
整理人: williamlong(2000-11-03 10:54:40), 站内信件
在今天,人们可以利用互联网工作学习,也可以进行教育娱乐。网络带来了广
阔的发展空间,随之而来的安全问题也不容忽视。“木马”、“炸弹”、“病
毒”时刻困扰着我们。而各种防火墙、杀毒软件在极力维护网络的安全。双方
一反一正,一“魔”一“道”,进行着对抗。但“魔高一尺”,然后才“道高
一丈”,这些安全软件总是走在“魔”的后面,如果没有“病毒种”,杀毒软
件就会漏报,防火墙也“视而不见”。而且“魔”也会不断的发展,采取各种
方式躲避查毒,绕开防火墙。国产黑客程序“冰河”就是一例。下面详细介绍
冰河的特性、使用配置和破解方法(以最新版2.2为例)。 

冰河的特性 

冰河由两个程序组成:G_server.exe(被监控端后台监控程序,即木马)和G_
client.exe(监控端执行程序),特性有: 

自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控
端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域
网适用); 

记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令及绝大多数
在对话框中出现过的口令信息,记录击键输入; 

获取系统信息,包括计算机名、注册公司、当前用户、系统路径、操作系统版
本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据; 

限制系统功能,包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及
锁定注册表等多项功能限制(见图); 

远程文件操作,包括创建、上传、下载、复制、删除文件或目录、文件压缩、
快速浏览文本文件、远程打开文件等多项文件操作功能; 

注册表操作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有
注册表操作功能; 

发送信息,以四种常用图标向被控端发送简短信息; 

点对点通讯,以聊天室形式同被控端进行在线交谈; 

邮件功能,自动往设定的电子邮箱发送系统信息。 
冰河的破解 
冰河在注册表启动组里登记了启动项,通常在Windows\system目录下复制木
马及其副本,随Windows启动。所以要删除木马,必须在纯DOS下执行。将系
统退到DOS7.0下,进入windows\system目录,查找kernel32.exe和
sysexplore.exe这两个具有“系统”、“只读”属性的文件,将其删除; 

回到Windows下,运行regedit注册表编辑器,找到HKEY_LOCAL _MACHINE
 \Software\Microsoft\Windows \ CurrentVersion\ ,将run, 

runservices 等项下有kernel32.exe的主键删除; 

将HKEY_CLASSES_ROOT\txtfile \shell\open\ command 下缺省键值改
为“C:\WINDOWS\ notepad.exe %1”,或打开资源浏览器,单击“查看
/文件夹选项/文件类型”,找到文本文档,编辑“open”,将其执行文
件改回“C:\WINDOWS\notepad.exe %1”。 
注意:如果对注册表不熟悉,有必要先备份,再修改。平时,对注册表启
动项必须经常关注,对不熟悉的项目要进一步探究。 
还有一种破解方法是利用冰河的客户端程序 G_client卸载。先选中连接,
再按“删除主机”。 

大家熟悉的著名黑客程序BO早已上了各种查杀毒软件的“黑名单”,但笔
者用了一些软件识别冰河,效果不好,且冰河的功能不亚于BO。它是一把
双刃剑,人们可以方便地用它作为一个客户机/服务器管理程序来管理、
监视和使用网络中的资源,也可被用作探视别人口令、资料和攻击、控制
别人计算机的工具。 

 
     


--
★鬼冢英吉-喧哗上等★

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.110.41.40]

[关闭][返回]