以下哪一种是木马的工作模式-下面那些属于木马程序冰河

hacker|
184

什么叫 木马病毒 能给我做一个详细的解释吗?~~

什么叫木马病毒

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾

名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。它

的传染方式是通过电子邮件附件发出,捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、

开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户

端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马

程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意

控制此计算机,进行文件删除、改密码等非法操作。

防范措施:用户提高警惕,不下载和运行来历不明的程序,对于

不明来历的邮件附件也不要随意打开。小鱼

^4^ryeufrhdjkghfkgshjfg5^wb12-002.htm

什么是木马程序

木马的名称来自“特洛伊木马”,就是在你的计算机上种植一个后门程序,当你在计算机上输入你的隐秘信息(包括QQ帐号、密码,网银帐号、密码等),悄悄地发送出去。

木马的基本特征

木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征:

1、隐蔽性是其首要的特征

如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面:

a、不产生图标

它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可;

b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。

5、能自动打开特别的端口

木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。

6、 功能的特殊性

通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。

7、黑客组织趋于公开化

以往还从未发现有什么公开化的病毒组织(也许是我孤陋寡闻),多数病毒是由个别人出于好奇(当然也有专门从事这一职业的),想试一下自己的病毒程序开发水平而做的,但他(她)绝对不敢公开,因为一旦发现是有可能被判坐牢或罚款的,这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织,但应绝对是属于“地下”的。现在倒好,什么专门开发木马程序的组织到处都是,不光存在,而且还公开在网上大肆招兵买马,似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷,黑的手段也越来越高明。我不知道为什么,但据讲其理由是“为了自卫、为了爱国” 。

听说过吗?“冰河”是什么东西啊?有什么用啊 ?

是一种中国人自己的编写的木马病毒。

用法:冰河木马教程

跨越冰河(冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马。)

准备工作

工具下载: 远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5

软件发布:冰河v6.0GLUOSHI专版为2001年12月15日发布。

冰河原作者:黄鑫,冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。

相关主页:

目的:远程访问、控制。

选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。

注明:冰河有多个版本,现在流行冰河8.0等,操作与介绍相同。

冰河之旅

一.扫描端口:放弃冰河客户端自带的扫描功能,速度度慢,功能弱!建议使用专用扫描工具。

运行X-way,操作如下:

点击"主机扫描",分别填入"起始、结束地址"(为什么? 因为--做事要有始有终,呵呵。顺便提示一下菜菜鸟型的:结束地址应大于起始地址)。

在"端口方式"的模式下选择"线程数"。(一般值为100比较合适,网速快的可选150)。最后进入"高级设置"-"端口"选择"ONTHER",改变其值为"7626"后进行扫描。

结果如下:

说明:上图IP地址的数字为我剪切处理过,参考价值不大。:)

二.冰河的操作:连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使

主要几代作品服务端图标的变化:其中新版冰河服务端大小为182K,客户端大小为451K

先不要乱动!认清G_Server它就是令网人闻风色变的服务端了。(冰河6默认的写字板图标就很好,使用前改个好点的名称即可,不一定要捆绑)

1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。(初始密码应该为空,口令有误是已被别人完全控制)直到终于出现:

注:3.1以下版本的万能注册码:(使用其他版本冰河时,填在右上访问口令里,应用后,连接)

2.2版:Can you speak chinese?

2.2版:05181977

3.0版:yzkzero

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq2000! 仅供参考

2.控制:在文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,选择打开C:会看见许多的文件夹,这时我们就算已经踏入别人的领土,对于第一次入侵的朋友是不是有些感动?别急,我们对"养马场"的探索还未开始!

在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域,顺便了解一下他有什么不良爱好,呵呵。是不是有些收获,见到了你喜欢的游戏,下载?还是省省吧,远程的机器承受不了。

(如果在我的文档里看见JPG格式的文件,有兴趣的话你可以点右键下载下来看看是不是他MM的照片。:))

在文件管理区你可以对文件、程序进行以下主要几项操作:上传、下载、删除、远程打开。击鼠标右键看到

3.口令获取:口令类命令里可是有不少好东西的!如果你运气够好的话,你会找到很多的网站名、用户名和口令。有什么用?自己想去吧.......图中第一处抹黑的是上网帐号的密码,这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了,抹掉是因为我们现在只是做学习研究用,不是不法分子在搞破坏。:)

注:卸载冰河的方法,在命令控制台下的控制类命令-系统控制可以看到,点一下就可安全清除冰河。

4.屏幕抓取:照指示操作就行,我不喜欢用这个,抓图的速度慢质量也不好,那个控制屏幕也就顺便省了吧。

5.配置服务端:在使用木马前配置好,一般不改变,选择默认值。

细节注意如下:监听端口7626可更换(范围在1024~32768之间);关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;还有关键的邮件通知设置:

附:如在设置类命令-服务端配置里选择读取服务端配置,可以看到是控制者设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子查出是谁在黑你。(小心点好,别中了别人的借刀杀人之计)如下:

6.冰河信使的使用:也许这时候你还有兴趣和机子的主人聊聊,就用自带的冰河信使,是不是吓了他一跳?(不敢回答或关机逃跑了?)遇个胆大的你们也许聊的很投机,你作为他眼里的大虾是不是要表现一下?

告诉他:"不要怕。我,远程(神气的很)帮你杀毒好了!"呵呵,只要照图轻轻点一下,陡受惊吓的人是不是还会对你感激涕零? 恩,兴奋的神经慢慢冷却,是结束我们的这次友好访问的时候了。

其实冰河的基本操作就是这么简单,请熟练掌握它,以后你要接触的木马有6成与它的基本操作类似。

夜阑卧听风吹雨,铁马冰河入梦来。夜了,休息一下,养足精神再来继续我们的木马旅程。

冰河的几种清除方法:

①:文中介绍的自卸载功能。

②:部分杀毒软件,(这个版本比较新,许多杀毒软件不能识别。推荐:升级过的KV3000等)

③:修改注册表。运行regedit,查找下面的键值。

第一步:删除相对的可疑键值。(不熟悉的朋友不要乱动)

第二步:重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\c_server.exe",会变更)这一步很重要。

最后: 重启计算机即可。

融化的冰河片刻消逝。

什么叫“冰河”呀?它是一种病毒吗?

“冰河”木马病毒是国人编写的一种黑客性质的病毒,感染该病毒之后,黑客就可以通过网络远程控制该电脑。

可以采用以下方法清除该病毒:

1. 在DOS或者Windows安全模式下打开\Windows\System目录,删除Kernel32.exe,Sysexplr.exe,Sendme.dll,Sendme.dl_和Sendme.cfg这几个病毒文件。

2. 打开注册表编辑器,搜索含有Kernel32.exe和Sysexplr.exe的键值,全部删除。

3. 重新启动电脑,将TXT文件的关联程序重新设置为Notepad.exe。

注意:“冰河”木马有很多种版本和变种,清除方式不完全一样,建议使用专门清理木马程序的工具进行清理。

不知道你的是不是这个。?

0条大神的评论

发表评论