冰河是什么软件,可以盗别人qq吗?
一种木马, 冰河2.2是目前Internet网上最为流行的中文黑客木马程序,界面直观友好,即使是初学者也非常容易掌握。由于绝大多数黑客木马都是外国人编写的英文程序,没有一定的英语水平和电脑网络知识就不容易掌握使用,所以冰河 2.2就成了大多数网络黑客初学者入门的实验程序,这也是目前冰河木马在网上泛滥的主要原因。要保护自己,防止黑客入侵,就要了解黑客使用的手段。网络初学者最好从冰河2.2入手,逐步掌握黑客软件的使用和功能,以达到保护自己的目的。
特洛伊木马的危害及命名?
木马的危害及应用对策
网络上有许多不安全因素,第一个要提防的对象就是木马!但木马到底是什么,有什么危害?黑客是怎么释放木马的,被种上木马的计算机有什么症状,以及怎样彻底清除木马呢?答案在下文。
1.什么是木马
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马,这样,即使是发现感染了木马,由于不能确定木马的正确位置,也无法清除。木马的服务端一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,而这对于服务端的用户是非常危险的!
2.木马的危害
如果我们的计算机上真的被种上了木马,黑客们能干些什么呢?以中国第一木马——冰河为例。通过冰河,黑客们可以给我们的计算机增加口令,查看我们的历史口令,记录我们的击键情况,查看屏幕,控制窗口,发送错误信息,查看并终止我们的进程,锁定鼠标、键盘热键,共享我们的目录,任意浏览、移动、复制、删除、上传和下载文件,甚至可修改我们的注册表,更改我们计算机的配置等等。
3.释放木马的常规方法
最早的隐藏方法就是修改文件名,因为第一代木马为了方便客户端连接是不支持修改文件名的,而且木马种类有限,所以只要背下那几个文件名,以后不去运行它就可以了。
在木马“隐藏史”上,第一个“里程碑”式的隐藏方法当属修改图标了。当Windows特别是Windows95问世后,这种方法就显示出极高的欺骗性。因为,Windows会对合法的应用程序及文件按其“打开方式”赋予相应的图标。早期的木马由于不属于“合法”的应用程序而没有相应的图标,使用者就很容易辨识(当时,包括现在的很多使用者都是根据图标来判断文件属性的)。于是,黑客也将木马换上了大家所熟知“图标”。当使用者们看到了自己所熟悉的图标,便会毫无顾忌地运行它,结果可想而知。
有经验的朋友当执行某些可执行文件后,发现没有反应,就会发觉自己有可能“中招”。这当然是黑客们不愿看到的。于是黑客们会在服务端加上了错误提示,即服务端被运行时,会弹出错误提示,一般类似于:“该文件已经损坏,Windows不能正常运行等等(这些提示当然是假的)”。而你也会认为文件确实是损坏了,这时木马程序却已悄悄地安装到了你的计算机上了!
聪明的黑客还想出了一种更简单易行的方法:他们发明了一种叫“捆绑机”的东西,而且很多专用的捆绑软件都支持加载反病毒代码(杀毒软件是靠病毒代码识别木马程序的),所以,几乎没有杀毒软件可以查出一个可执行文件是否捆绑了木马。黑客把木马和一些小游戏捆绑起来,然后直接发给你(放到电子邮件的附件里)。这样,当你运行这些小游戏时,木马已经不知不觉地种到你的计算机上了!
现在新出现一种相当隐蔽的释放方法,就是通过个人主页传播病毒,当然也能向浏览网页的人释放木马的。
4.症状
计算机被种上木马以后会出现如下症状:
1)响应命令速度下降。对于用惯了某一台计算机的高手来说,很轻易就能发现计算机被种上木马前后的区别。
2)有时你会发现自己并没有对计算机进行操作,而硬盘灯却闪个不停。这说明黑客有可能正通过木马在你的计算机上上传或下载文件。
3)有的症状就比较明显。例如,你在浏览网页时,网页会自动关闭;软驱或光驱会在无盘的情况下读个不停;文件被移动;计算机被关闭或是重启;甚至于有人和你匿名聊天!
5.木马的清除
如果你怀疑自己的计算机上被种上了木马,首先要.找一个或几个最新版本的杀毒软件来杀一下;然后你可以打开C盘下的Windows文件夹,看看有没有可疑的文件;最后你可以到注册表的[HKEY_LOCAl_MACHINE\ SOFTWARE\Microsoft\Windows\CurrenVersio\]这个键值下看看Run后面有什么奇怪的键值,如果有,很可能就是被种上了木马。
要想避免遭到黑客们的恶意攻击,不能仅仅靠那几个防火墙,而是要提高我们自身的网络安全意识。
6、有害程序列表
1).Trojan (特洛伊木马)
2).Spyware (间谍软件)
3).Hacktool (黑客工具)
4).Backdoor (后门)
5).Worm (蠕虫)
6).Others (其它)
Spyware(间谍软件)
间谍软件大部分情况是在PC用户不知道的情况下安装或写入计算机。这类软件一般不会对计算机系统进行破坏,而是通过偷窃用户在计算机上存储的信息,如个人网上银行账户和密码,电子邮箱的密码,以及用户的网络行为等(不限于此),利用用户的网络资源,把这些信息发送到远端的服务器,从而损害客户的利益。
Trojan(特洛伊木马)
Trojan(特洛伊木马)种类繁多、行为特征复杂。
Trojan.Bomb: 以此为前缀命名的木马,可删除用户文件或者破坏扇区信息,导致用户文件丢失,系统不能启动等问题。
Trojan.psw: 以此为前缀命名的木马是盗取用户密码的窃贼,它们可以窃取用户系统密码或者email、icq 、oicq等密码,并把密码发送到指定信箱,或者irc频道等等。
Trojan.irc: IRC频道中的后门脚本。
Trojan.mIRC: mIRC频道中的后门脚本。
Trojan.Dropper: 木马捆绑和伪装工具,可以把木马绑定到其它文件上。
Hacktool(黑客工具)
许多黑客工具并不破坏被入侵机器本身的数据,但它可以通过机器攻击或者扫描其他用户的机器。以下介绍几种不同的黑客工具。
DoS:拒绝服务攻击工具,攻击者可以通过远程控制的方法操纵用户计算机系统攻击其它节点。
DDOS:分布式拒绝服务攻击工具,可以从多个节点攻击一个目标,导致目标瘫痪。
Flooder:采用洪水包淹没目标IP,导致该节点瘫痪。
Backdoor(后门)
以Backdoor为前缀命名的Trojan(特洛伊木马)被称为远程控制木马,这是一类比较常见的有害程序,它包括服务器端和客户端。服务端寄生在被入侵的机器上,打开某一个或者多个端口,等待客户端的连接。
一些公共场所的机器可能被“种植”后门工具的服务器端,用户也可能从mail、icq、msn、oicq或者mIRC中,收到攻击者传输来的服务端程序。有些后门工具并没有特殊的客户(控制)端,它们其实悄悄在被入侵的机器上开放web、telnet或者ftp服务,从而盗取用户资源。
Worm(蠕虫)
Worm(蠕虫)是一种通过电子邮件、IRC、mIRC或者其它网络途径,具有自我复制能力的有害程序。
I-worm:也被称为网络蠕虫,它通过email或者ftp、web服务进行传播。
IRC-worm:通过IRC 频道传播的蠕虫。
mIRC-worm:通过mIRC频道传播的蠕虫。
Others(其他)
Joke(恶作剧)程序一般没有大的危害,它们的特征类似病毒发作信息,或者系统故障提示,或者和用户做一些小的恶作剧,但它可能给用户带来恐慌。
键盘记录程序主要记录用户的键盘操作,为了搜集密码或者敏感信息而进入到一个文件,它需要另外一个木马程序来搜集数据文件。
听说过吗?“冰河”是什么东西啊?有什么用啊 ?
是一种中国人自己的编写的木马病毒。
用法:冰河木马教程
跨越冰河(冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马。)
准备工作
工具下载: 远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5
软件发布:冰河v6.0GLUOSHI专版为2001年12月15日发布。
冰河原作者:黄鑫,冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。
相关主页:
目的:远程访问、控制。
选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。
注明:冰河有多个版本,现在流行冰河8.0等,操作与介绍相同。
冰河之旅
一.扫描端口:放弃冰河客户端自带的扫描功能,速度度慢,功能弱!建议使用专用扫描工具。
运行X-way,操作如下:
点击"主机扫描",分别填入"起始、结束地址"(为什么? 因为--做事要有始有终,呵呵。顺便提示一下菜菜鸟型的:结束地址应大于起始地址)。
在"端口方式"的模式下选择"线程数"。(一般值为100比较合适,网速快的可选150)。最后进入"高级设置"-"端口"选择"ONTHER",改变其值为"7626"后进行扫描。
结果如下:
说明:上图IP地址的数字为我剪切处理过,参考价值不大。:)
二.冰河的操作:连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使
主要几代作品服务端图标的变化:其中新版冰河服务端大小为182K,客户端大小为451K
先不要乱动!认清G_Server它就是令网人闻风色变的服务端了。(冰河6默认的写字板图标就很好,使用前改个好点的名称即可,不一定要捆绑)
1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。(初始密码应该为空,口令有误是已被别人完全控制)直到终于出现:
注:3.1以下版本的万能注册码:(使用其他版本冰河时,填在右上访问口令里,应用后,连接)
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000! 仅供参考
2.控制:在文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,选择打开C:会看见许多的文件夹,这时我们就算已经踏入别人的领土,对于第一次入侵的朋友是不是有些感动?别急,我们对"养马场"的探索还未开始!
在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域,顺便了解一下他有什么不良爱好,呵呵。是不是有些收获,见到了你喜欢的游戏,下载?还是省省吧,远程的机器承受不了。
(如果在我的文档里看见JPG格式的文件,有兴趣的话你可以点右键下载下来看看是不是他MM的照片。:))
在文件管理区你可以对文件、程序进行以下主要几项操作:上传、下载、删除、远程打开。击鼠标右键看到
3.口令获取:口令类命令里可是有不少好东西的!如果你运气够好的话,你会找到很多的网站名、用户名和口令。有什么用?自己想去吧.......图中第一处抹黑的是上网帐号的密码,这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了,抹掉是因为我们现在只是做学习研究用,不是不法分子在搞破坏。:)
注:卸载冰河的方法,在命令控制台下的控制类命令-系统控制可以看到,点一下就可安全清除冰河。
4.屏幕抓取:照指示操作就行,我不喜欢用这个,抓图的速度慢质量也不好,那个控制屏幕也就顺便省了吧。
5.配置服务端:在使用木马前配置好,一般不改变,选择默认值。
细节注意如下:监听端口7626可更换(范围在1024~32768之间);关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;还有关键的邮件通知设置:
附:如在设置类命令-服务端配置里选择读取服务端配置,可以看到是控制者设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子查出是谁在黑你。(小心点好,别中了别人的借刀杀人之计)如下:
6.冰河信使的使用:也许这时候你还有兴趣和机子的主人聊聊,就用自带的冰河信使,是不是吓了他一跳?(不敢回答或关机逃跑了?)遇个胆大的你们也许聊的很投机,你作为他眼里的大虾是不是要表现一下?
告诉他:"不要怕。我,远程(神气的很)帮你杀毒好了!"呵呵,只要照图轻轻点一下,陡受惊吓的人是不是还会对你感激涕零? 恩,兴奋的神经慢慢冷却,是结束我们的这次友好访问的时候了。
其实冰河的基本操作就是这么简单,请熟练掌握它,以后你要接触的木马有6成与它的基本操作类似。
夜阑卧听风吹雨,铁马冰河入梦来。夜了,休息一下,养足精神再来继续我们的木马旅程。
冰河的几种清除方法:
①:文中介绍的自卸载功能。
②:部分杀毒软件,(这个版本比较新,许多杀毒软件不能识别。推荐:升级过的KV3000等)
③:修改注册表。运行regedit,查找下面的键值。
第一步:删除相对的可疑键值。(不熟悉的朋友不要乱动)
第二步:重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\c_server.exe",会变更)这一步很重要。
最后: 重启计算机即可。
融化的冰河片刻消逝。
冰河木马如何下载
冰河木马下载方法:
点击冰河主程序,首先,配置本地服务器程序,单击从右边数过来第三个图标(或在设置-配置服务器程序)在基本设置中:安装路径指服务器程序运行时,自动安装在哪个文件夹;文件名称指服务器安装后程序的名称,进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名;
访问口令指如果您加了密码,访问中此木马的密码;敏感字符指你想要获取对方密码的关键词,比如输入password,冰河服务端将记录password的密码;
提示信息指对方运行服务端出现的窗口,比如说此文件已损坏等骗人的话;监听端口指中冰河者打开的端口,您用冰河控制端通过这个端口访问;
自动删除安装文件指对方运行服务端后,是否删除本身(就是运行后,程序不见了,而会在其它地方安装了)禁止自动拨号指运行服务端后,是否马上拨号上网连接。
真的很对不起 么哦说清楚 是冰河木马 你了解吗
冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。
在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。 目的:远程访问、控制。 选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。
编辑本段具体功能
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息; 3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据; 4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制; 5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能; 6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能; 7.发送信息:以四种常用图标向被控端发送简短信息; 8.点对点通讯:以聊天室形式同被控端进行在线交谈。 从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。 Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开 TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
编辑本段清除方法
1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。 2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它。 3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。 4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。
编辑本段冰河木马原理
木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。
一、基础篇(揭开木马的神秘面纱)
无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。
1.基本概念:
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
2.程序实现:
在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件): 服务端: G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值) G_Server.Listen(等待连接) 客户端: G_Client.RemoteHost=ServerIP(设远端地址为服务器地址) G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦) (在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配) G_Client.Connect (调用Winsock控件的连接方法) 一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接 Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestID End Sub 客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现) 如果客户断开连接,则关闭连接并重新监听端口 Private Sub G_Server_Close() G_Server.Close (关闭连接) G_Server.Listen (再次监听) End Sub 其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......
二、控制篇(木马控制了这个世界!)
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件) 因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。
1.远程监控
(控制对方鼠标、键盘,并监视对方屏幕) keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。 mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧) mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo) dwFlags: MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。 MOUSEEVENTF_MOVE 移动鼠标 MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下 MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起 MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下 MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下 MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下 MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下 dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标
2.记录各种口令信息
(作者注:出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)
3.获取系统信息
a.取得计算机名 GetComputerName b.更改计算机名 SetComputerName c.当前用户 GetUserName函数 d.系统路径 Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象) Set SystemDir = FileSystem0bject.getspecialfolder(1) (取系统目录) Set SystemDir = FileSystem0bject.getspecialfolder(0) (取Windows安装目录) (友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作) e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx f.当前显示分辨率 Width = screen.Width \ screen.TwipsPerPixelX Height= screen.Height \ screen.TwipsPerPixelY 其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Windows的"垃圾站"-注册表 比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup 注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。
4.限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现: ExitWindowsEx(ByVal uFlags,0) 当uFlags=0 EWX_LOGOFF 中止进程,然后注销 当uFlags=1 EWX_SHUTDOWN 关掉系统电源 当uFlags=2 EWX_REBOOT 重新引导系统 当uFlags=4 EWX_FORCE 强迫中止没有响应的进程 b.锁定鼠标 ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以 注:RECT是一个矩形,定义如下: Type RECT Left As Long Top As Long Right As Long Bottom As Long End Type c.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的...... d.让对方掉线 RasHangUp...... e.终止进程 ExitProcess...... f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
5.远程文件操作
无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现
6.注册表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell") 就可以使用以下的注册表功能: 删除键值:RegEdit.RegDelete RegKey 增加键值:RegEdit.Write RegKey,RegValue 获取键值:RegEdit.RegRead (Value) 记住,注册表的键值要写全路径,否则会出错的。 7.发送信息 很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。 8.点对点通讯 呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑......) 9.换墙纸 CallSystemParametersInfo(20,0,"BMP路径名称",H1) 值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找Bill吧。
三、潜行篇
(Windows,一个捉迷藏的大森林) 木马并不是合法的网络服务程序,因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!
1、在任务栏中隐藏自己:
这是最基本的了,如果连这个都做不到......(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标...@#!#@...也太嚣张了吧!) 在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。
2、在任务管理器中隐形:
在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程,这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。 在VB中如下的代码可以实现这一功能: Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long (以上为声明) Private Sub Form_Load() RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务) End Sub Private Sub Form_Unload() RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务) End Sub
3、如何悄没声息地启动:
你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(第一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到) Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了\kernl32.exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplr.exe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?),sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)
4、端口
木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势 (netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)
5.最新的隐身技术
目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术(冰河3.0会采用这种方法吗?)。 驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作...... 事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)
四、破解篇(魔高一尺、道高一丈)
本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载方法做一个小小的总结:
1.端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中) 但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat-a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3.检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。
4.查找文件
查找木马特定的文件也是一个常用的方法(这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......)冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽, 是sysexlpr.exe(什么什么,不是超级解霸吗?)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?) 如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种: a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好) b.在我的电脑-查看-文件夹选项-文件类型中编辑 c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中始终用该程序打开......,然后找到notepad,点一下就OK了。(这个最简单,推荐使用) 提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它......你苦了!连regedit都不能运行了!
5.杀病毒软件
之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来) 另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具 "-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)
五、狡诈篇(只要你的一点点疏忽......)
只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。
1. 木马种植伎俩
网上“帮”人种植木马的伎俩主要有以下的几条 a.软哄硬骗法 这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的......反正目的都一样,就是让你去运行一个木马的服务端。 b.组装合成法 就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。 c.改名换姓法 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg *.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了) d.愿者上钩法 木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意...
2. 几点注意(一些陈词滥调)
a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒; b.不要过于相信别人,不能随便运行别人给的软件; (特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间......) c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告; d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)
木马冰河的破解之法
不用我说了,大家都知道冰河2.2最新版吧!它的强大的功能大家也一定十分的了解吧!他的操作界面清晰简洁,控制类功能强大,一些功能如果应用与远程控制管理,那么它将是非常理想的软件,可要是被他人用语黑客木马,那么它的危害比起BO2000,NETSPY真是有过之而无不及.事实上,把它定位与黑客木马并不过分,因为它的服务器端程序具有隐藏,自我复制保护,盗取密码帐号等功能,这不是一个正常的软件所应具备的.他甚至还可以在客户端将木马设置成任意文件名,服务器端程序在上网后,还会自动将该机当前的IP通过E-MAIL方式发送到客户端.拷贝,删除文件,关闭进程,强制关机,跟踪键盘锁定鼠标等更不在话下,目前,还没有一个放病毒产品可对其防,杀. 所以我在此给大家介绍解除冰河服务端的方法,从此就不必再担心自己的机子会被人控制了! 那么如何防范与消除冰河呢? 首先,不要执行来路不明的软件程序,这是千古不变的真理.任何黑客程序再高明,功能再强大,都需要利用系统漏洞才能达到入侵的目的.假如没有服务器端的木马程序运行,就可以使掌握着客户端程序的这类黑客不能得逞.其次,应养成良好的电脑使用习惯,如不把拨号上网的密码保存等等! 了解冰河黑客软件的攻击机制,就没有什么可惧怕的了。一旦感染了"冰河",可以使用以下的方法,将其歼灭在你的电脑里: 1.检查注册表启动组,具体为:开始--运行--regedit,值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Sogtware\Microsoft\Windows\CurrentVersion\RunServer,查找KERNEL32.EXE的执行项目,如有则将两个键值删除.值得注意的是,因为"冰河"可以随意配置服务器程序的参数,如服务器文件名,断口号,密码等,因此服务器端的程序可以是随意名称,即不局限是KERNEL32.EXE,所以在这里需要具备一定的Windows知识,准确的找出可疑的启动文件,如哪不定主意的话可以与另一台电脑进行对照. 2.删除硬盘上与“冰河”有关的文件.可以按上述文件名将可疑文件找出后删除.KERNEL32.EXE(或更改为新名称)默认在\Windows\sytem目录下,但同样因配置的不同可以寄存与\Windows或\Temp目录下. 3.“冰河”的自我保护措施是很强的,它可以利用注册表的文件关联项目,在你毫不知觉的情况下复制自己重新安装.在做完上述工作后,虽然表面上“冰河”不复存在了,但当你点击打开有关文件时(如*.TXT,*EXE),“冰河”又复活了!因此为斩草除根,在上述1.2步的基础上,还应以可疑文件名为线索,全面扫描查找一遍注册表,可以发现可疑键值一一删除. 4.上述的操作因需要在系统的心脏--注册表上做手术,有一定的危险性.其实最简便有效的办法就是格式化你的硬盘,重装Windows系统,当然,你要为此付出一定的时间了!
以下是补充上述方法的新文章:
一. 按照上述方法杀掉冰河后,还应该对注册表中HKEY_CLASS_ROOT\txtfile\shell\poen\command下的键值C:\WINDOWS\NOTEPAD.EXE%1 进行修正,改为:C:\WINDOWS\SYSTEM\EXE%1,否则大家会发现打不开文本文件,当打开文本文件时,大家会看到'未找到程序'的提示. 二.是上述介绍杀掉木马的方法是,只是针对客户端配置的确省模式,当客户端在配置服务器程序是更换了文件名,广大网友可能就找不到了.具体的判断解决方法是"首先还是查看注册表中HKEY_CLASS_TOOT\txtfile\shell\poen\command的键值是什么,如C:\WINDOWS\SYSTEM\CY.EXE%1(这里也可能是其它文件名和路径),记下来CY.EXE;查注册表中HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunServer的键值,如也有CY.EXE,则基本上判断他就是冰河木马,最好还要再核对文件的字节数(2.0版本冰河木马字节熟为495,733字节),将以上的两个键值删除C:\WINDOWS\SYSTEM\CY.EXE即可(在WIN98下是删不掉的).需要注意的是在修正注册表之前,要做好备份;要对与CY.EXE字节熟相同的文件引其高度注意,以防客户端在此前给你配置了几套冰河木马。
我不是黑客,也不了解病毒,这是在百科搜的,你要想具体了解的话还是自己去查吧
HACK黑客常用哪些工具
AndroRAT
AndroRAT一词源自Android与RAT(即远程管理工具)。这款顶级黑客工具已经拥有相当长的发展历史,而且最初其实是一款客户端/服务器应用。这款应用旨在帮助用户以远程方式控制Android系统,同时从其中提取信息。这款Android应用会在系统启动完成后以服务形式开始运行。因此,如果用户并不需要与该服务进行交互。此应用还允许大家通过呼叫或者短信等方式触发服务器连接。
这款极具实用性的Android黑客应用之功能包括收集联系人、通话记录、消息以及所在位置等信息。此应用还允许大家以远程方式对接收到的消息以及手机运行状态加以监控,进行手机呼叫与短信发送,通过摄像头拍摄照片以及在默认浏览器当中打开URL等等。
Hackode
Hackode是一款Android应用,其基本上属于一整套工具组合,主要面向高阶黑客、IT专家以及渗透测试人员。在这款应用当中,我们可以找到三款模块——Reconnaissance、Scanning以及Security Feed。
通过这款应用,大家可以实现谷歌攻击、SQL注入、MySQL Server、Whois、Scanning、DNS查找、IP、MX记录、DNS Dif、Security RSS Feed以及漏洞利用等功能。这是一款出色的Android黑客应用,非常适合入门者作为起步工具且无需提供任何个人隐私信息。
zANTI
zANTI是一款来自Zimperium的知名Android黑客套件。此软件套件当中包含多种工具,且广泛适用于各类渗透测试场景。这套移动渗透测试工具包允许安全研究人员轻松对网络环境加以扫描。此工具包还允许IT管理员模拟出一套先进黑客环境,并以此为基础检测多项恶意技术方案。
大家可以将zANTI视为一款能够将Backtrack强大力量引入自己Android设备的应用。只要登录至zANTI,它就会映射整套网络并嗅探其中的cookie以掌握此前曾经访问过的各个网站——这要归功于设备当中的ARP缓存。
应用当中的多种模块包括网络映射、端口发现、嗅探、数据包篡改、DoS以及MITM等等。