发信人: 00210604()
整理人: williamlong(2000-11-03 10:54:40), 站内信件
|
在今天,人们可以利用互联网工作学习,也可以进行教育娱乐。网络带来了广
阔的发展空间,随之而来的安全问题也不容忽视。“木马”、“炸弹”、“病
毒”时刻困扰着我们。而各种防火墙、杀毒软件在极力维护网络的安全。双方
一反一正,一“魔”一“道”,进行着对抗。但“魔高一尺”,然后才“道高
一丈”,这些安全软件总是走在“魔”的后面,如果没有“病毒种”,杀毒软
件就会漏报,防火墙也“视而不见”。而且“魔”也会不断的发展,采取各种
方式躲避查毒,绕开防火墙。国产黑客程序“冰河”就是一例。下面详细介绍
冰河的特性、使用配置和破解方法(以最新版2.2为例)。
冰河的特性
冰河由两个程序组成:G_server.exe(被监控端后台监控程序,即木马)和G_
client.exe(监控端执行程序),特性有:
自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控
端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域
网适用);
记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令及绝大多数
在对话框中出现过的口令信息,记录击键输入;
获取系统信息,包括计算机名、注册公司、当前用户、系统路径、操作系统版
本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
限制系统功能,包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及
锁定注册表等多项功能限制(见图);
远程文件操作,包括创建、上传、下载、复制、删除文件或目录、文件压缩、
快速浏览文本文件、远程打开文件等多项文件操作功能;
注册表操作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有
注册表操作功能;
发送信息,以四种常用图标向被控端发送简短信息;
点对点通讯,以聊天室形式同被控端进行在线交谈;
邮件功能,自动往设定的电子邮箱发送系统信息。
冰河的破解
冰河在注册表启动组里登记了启动项,通常在Windows\system目录下复制木
马及其副本,随Windows启动。所以要删除木马,必须在纯DOS下执行。将系
统退到DOS7.0下,进入windows\system目录,查找kernel32.exe和
sysexplore.exe这两个具有“系统”、“只读”属性的文件,将其删除;
回到Windows下,运行regedit注册表编辑器,找到HKEY_LOCAL _MACHINE
\Software\Microsoft\Windows \ CurrentVersion\ ,将run,
runservices 等项下有kernel32.exe的主键删除;
将HKEY_CLASSES_ROOT\txtfile \shell\open\ command 下缺省键值改
为“C:\WINDOWS\ notepad.exe %1”,或打开资源浏览器,单击“查看
/文件夹选项/文件类型”,找到文本文档,编辑“open”,将其执行文
件改回“C:\WINDOWS\notepad.exe %1”。
注意:如果对注册表不熟悉,有必要先备份,再修改。平时,对注册表启
动项必须经常关注,对不熟悉的项目要进一步探究。
还有一种破解方法是利用冰河的客户端程序 G_client卸载。先选中连接,
再按“删除主机”。
大家熟悉的著名黑客程序BO早已上了各种查杀毒软件的“黑名单”,但笔
者用了一些软件识别冰河,效果不好,且冰河的功能不亚于BO。它是一把
双刃剑,人们可以方便地用它作为一个客户机/服务器管理程序来管理、
监视和使用网络中的资源,也可被用作探视别人口令、资料和攻击、控制
别人计算机的工具。
--
★鬼冢英吉-喧哗上等★
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.110.41.40]
|
|