冰河木马 病毒 入侵与防范 详细试验报告 图文教程

本文格式为Word版，下载可任意编辑——冰河木马病毒入侵与防范详细试验报告图文教程(以上为声明)

PrivateSubForm_Load()

RegisterServiceProcessGetCurrentProcessId,1(注册系统服务)EndSub

PrivateSubForm_Unload()

RegisterServiceProcessGetCurrentProcessId,0(取消系统服务)

EndSub

3、如何悄没声息地启动：

你当然不会指望用户每次启动后点击木马图标来运行服务端，木马要做到的其次重要的事就是如何在每次用户启动时自动装载服务端（第一重要的是如何让对方中木马，嘿嘿，这部分的内容将在后面提到）

Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run和RUNSERVICE键值中加上了

\\kernl32.exe(是系统目录),其次假使你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\\windows(这个会随你

windows的安装目录变化而变化）下生成一个叫sysexplr.exe文件（太象超级解霸了，好毒呀，冰河！）,这个文件是与文本文件相关联的,只要你开启文本(哪天不开启几次文本?),sysexplr.exe文件就会重新生成krnel32.exe,然后你还是被冰河控制著。（冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的，555555）4、端口

木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),假使你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243)这是由于,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很简单暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及好多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)5.最新的隐身技术

目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现，那就是-驱动程序及动态链接库技术（冰河3.0会采用这种方法吗?）。

驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式-监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀）、不需要开启新的端口（所以不能用端口监视的方法查杀）、没有新的进程（所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行）。在正常运行时木马几乎没有任何的病症,而一旦木马的控制端向被控端发出特定的信息后,隐蔽的程序就马上开始运作

步骤流程

以下试验环境为虚拟机，请大家根据自己的环境改变策略

5

一得到管理员密码：

我们采用x-way（也可以使用x-scan）扫描出空口令的机器如图：启动x-way

配置：

选择高级扫描

IP地址：10.81.41.1-10.81.41.20（建议范围小些，下面一步可以不用等太久）和需要扫描的模块，选择如图：

6

确定——》开始扫描，根据网络状况肯能要等几分钟

扫描终止就看了机器了：

7

选择详细资料，就可以看到了，譬如我们选择10.81.41.1这个机器，向下浏览可以看到

我们刚要利用这个达到入侵的目的：测试下帐号：

IE地址栏输入\\\\10.81.41.1然后输入用户名/口令administrator密码为空，确定进入

说明可以使用，下面开始做入侵的工作了

8

二入侵机器

1、连接登陆远程主机

开启冰河木马程序客户端，选择文件—>探寻计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）

21图-3冰河木马程序客户端

探寻结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

9

21图-4添加远程主机的IP进行连接

我看到（标号2）出现192.168.3.28和192.168.3.29两台远程主机的IP，表示可以与这两台主机连接。

2、控制操纵远程主机

点击主机的IP地址，与他建立连接，我们选择192.168.3.28（见图5）

10

图-5操纵远程主机的文件管理器

右边出现该主机的盘符，点击可以开启查看，并且可以下载其中的文件，保存到本机。

点击命令控制台，可以进一步控制主机（图6）

11

图-6命令控制台

左边出现口令类命令、控制类命令、网络类命令、文件类命令、注册表读写、设置类命令。

a)口令类命令

口令类命令分系统系统口令、历史口令和击键记录。系统信息及口令（见图7）

12

图-7系统信息及口令

有四个按钮，可以查看远程主机的系统信息，包括其详细配置状况、系统设置、各盘符的使用状况等，还可以获取开机口令、缓存口令、其他口令。

b)控制类命令

控制类命令分捕获屏幕、发送信息、进程管理、窗口管理、系统控制、鼠标控制及其他控制。

?捕获屏幕（见图8）

13

12图-8屏幕控制

屏幕控制可以查看远程主机的屏幕（见标号1），把握远程主机上的一举一动，还可以根据网络状况制定不同的传送方案（见标号2）。

?发送信息（如图9）

14

以寄放与\\Windows或\\Temp目录下.

3.“冰河〞的自我保护措施是很强的,它可以利用注册表的文件关联项目,在你毫不知觉的状况下复制自己重新安装.在做完上述工作后,虽然表面上“冰河〞不复存在了，但当你点击开启有关文件时(如*.TXT,*EXE),“冰河〞又复活了！因此为斩草除根,在上述1.2步的基础上,还应以可疑文件名为线索,全面扫描查找一遍注册表,可以发现可疑键值一一删除.

4.上述的操作因需要在系统的心脏--注册表上做手术，有一定的危险性.其实最简便有效的方法就是格式化你的硬盘,重装Windows系统，当然,你要为此付出一定的时间了！

依照上述方法杀掉冰河后，还应当对注册表中HKEY_CLASS_ROOT\\txtfile\\shell\\open\\command下的键值C:\\WINDOWS\\NOTEPAD.EXE%1进行修正,改为:C:\\WINDOWS\\SYSTEM\\EXE%1,否则大家会发现打不开文本文件,当开启文本文件时,大家会看到'未找到程序'的提醒.

是上述介绍杀掉木马的方法是,只是针对客户端配置的确省模式,当客户端在配置服务器程序是更换了文件名,广大网友可能就找不到了.具体的判断解决方法是\首先还是查看注册表中HKEY_CLASS_TOOT\\txtfile\\shell\\poen\\command的键值是什么,如C:\\WINDOWS\\SYSTEM\\CY.EXE%1(这里也可能是其它文件名和路径),记录下来来CY.EXE;查注册表中HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion\\Run和HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion\\RunServer的键值,如也有CY.EXE,则基本上判断他就是冰河木马,最好还要再核对文件的字节数(2.0版本冰河木马字节熟为495,733字节),将以上的两个键值删除C:\\WINDOWS\\SYSTEM\\CY.EXE即可(在WIN98下是删不掉的).需要注意的是在修正注册表之前,要做好备份;要对与CY.EXE字节熟一致的文件引其高度注意,以防客户端在此前给你配置了几套冰河木马。

结论

木马的入侵方式是首先设法进入系统，然后里应外合进行入侵。一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。硬件部分：建立木马连接所必需的硬件实体。控制端：要对别人主机进行远程控制的一方。服务端：被控制的一方。INTERNET：数据传输的网络载体。软件部分：实现远程控制所必需的软件程序。主要包括：控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必需的元素。它主要包括：控制端IP，服务端IP，控制端端口，木马端口。如何避免木马的入侵？谈到这个问题，我真有点畏惧讲下去，由于我知道我所讲的这些预防方法那些专门研究木马的黑客早就注意了，或许早就想好了对策，但是不管怎样我相信假使注意了以下几个方面多多少少对阻止木马的入侵有些好处的，特别是对那些入门级的木马！在此先要声明，反木马就象反病毒一样永远没有止境，也永远没有一个百分百的解决方案，由于都是先有木马，然后才有我们反木马的方法和软件，我们始终是个追随者！1、不要执行任何来历不明的软件2、不要相信你的邮箱不会收到垃圾和带毒的邮件3、不要轻