目录

一、简介：

1.1、简述：

1.2、历史：

1.3、功能：

1.4.清除方法:

1.5.程序实现:

二、使用冰河木马

2.第一步：准备好冰河木马

2.2.第二步:配置目标主机

2.第三步：配置服务端

2.4、第四步：g_sever被运行

2.第五步:用客户端连接

---

一、简介：

1.1、简述：

使用木马冰河C Builder编写

---

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机通常打开默认端口并监控它 (Listen), 如果客户机向服务器端口提出连接请求(Connect Request), 为了响应客户机的要求，服务器上的相应程序将自动运行。这个程序被称为保护过程(UNIX但是术语已经移植到了MS系统上)。

---

对控制端成为冰河的服务器，控制端是客户机，G_server.exe是守护过程， G_client是客户端应用程序。(很容易理解，相当于要求别人电脑上的信息，也就是客户机)

1.2、历史：

冰河木马开发于1999年，类似于灰鸽。在设计之初，开发人员的初衷是编写一个功能强大的远程控制软件。然而，一旦推出，它就依靠其强大的功能成为黑客入侵的工具，结束了外国木马统一世界的局面。后来，灰鸽成为国产木马的象征和代名词。HK联盟Mask它侵入了包括外国计算机在内的数千台计算机

1.3、功能：

1.自动跟踪目标机屏幕的变化，完全模拟键盘和鼠标输入，即监控端的所有键盘和鼠标操作都将反映在控制端屏幕上（局域网）；

2.记录各种密码信息：包括启动密码、屏幕密码、各种共享资源密码和对话框中出现的大多数密码信息；

3.获取系统信息：包括计算机名称、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理和逻辑磁盘信息等系统数据；

4.限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键、锁定登记表等功能限制；

5.远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供四种不同的打开方式-正常、最大化、最小化和隐藏方式）；

6.注册表操作:包括浏览、添加、删除、复制、重命名、阅读和写作所有注册表的关键值；

7.发送信息：以四种常用图标向被控端发送短信；

8.点对点通信:以聊天室的形式与被控端在线交谈。

1.4.清除方法:

1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

冰河将在登记表中HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

Run下扎根，键值为C:/windows/system/Kernel32.exe，删除它。

三、登记表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe也要删除。

最后，更改注册表HKEY/CLASSES/ROOT/txtfile/shell/open/command中木马后面的默认值C: /windows/system/Sysexplr.exe %1改为正常情况下的%1C:/windows/notepad.exe%1，即可恢复TXT文件关联功能。

1.5.程序实现:

在VB中，可用Winsock编制网络客户/服务程序的控件实现方法如下(包括，G_Server和G_Client均为Winsock控件):

---

服务端：

G_Server.LocalPort=7626(冰河默认端口可改为其他值)

G_Server.Listen(等待连接)

---

客户端:

G_Client.RemoteHost=ServerIP(服务器地址设置远端地址)

G_Client.RemotePort=7626 (冰河默认端口设置远程端口，哈哈，你知道吗？这是冰河的生日哦)

(这里可以分配一个本地端口G_Client, 若不分配， 计算机会自动分配一个， 建议计算机自动分配。

G_Client.Connect (调用Winsock控件的连接方式)

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客户机端用G_Client.SendData服务器正在发送命令G_Server_DateArrive接受并执行事件中的命令（几乎所有的木马功能都在事件处理程序中实现）

如果客户断开连接，关闭连接并重新监控端口

Private SubG_Server_Close()

G_Server.Close (关闭连接)

G_Server.Listen (再次监听)

End Sub

其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令......

---

---

二、冰河木马使用

2.1、第一步：准备好冰河木马

第一个是客户端，放在攻击机上进行控制

第二个是服务端，放到靶机上的（先对冰河服务器程序G_ Server.exe进行配置）

---

如果是自己实验的话：

冰河很老了（可以被识别），到虚拟机中里面下载（下载时候关闭防火墙，关闭360等安全卫士），外面系统估计会自动删除

如下所示

 百度网盘

2.2、第二步：配置好目标主机

可以直接在控制面板搜索远程

允许远程连接

关闭杀毒软件和防火墙

2.3、第三步：配置好服务端

打开客户端，配置好服务端相关设置

2.4、第四步：g_sever被运行

在被攻击电脑上运行g_sever后，靶机上会打开一个端口（不会有其他反应）

在cmd命令行输入netstat -an查看端口，出现7626，证明端口已经打开

任务管理器中也会出行设置的进程名字

2.5、第五步：使用客户端进行连接

先使用第一排第三个进行搜索

配置搜索的起始域

 搜索结果显示会显示OK或者ERR

显示OK的会在左侧出现