下载掌阅APP,畅读海量书库
立即打开
“冰河”木马实际上只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应程序就会自动运行,来应答客户机的请求。
1.冰河陷阱概述
对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程,G_client是客户端应用程序。“冰河”木马采用标准的C/S(Client/Server,客户/服务器)结构,包括客户端程序(G_Client)和服务器端程序(G_Server)。由于其简单易用的特点,加上强大的远程控制能力,不易被发觉且很难根除。“冰河”软件开发者开发了一款专门针对“冰河”的工具“冰河陷阱”。用来对付那些把“冰河”用在不正当地方的人。“冰河陷阱”程序主要有两大功能:一是自动清除所有版本“冰河”被控端程序;二是把自己伪装成“冰河”被控端,记录入侵者的所有操作。如果网上的一些朋友们还在受“冰河”的困扰,“冰河陷阱”无疑是最好的选择。
2.清除冰河木马
检测“冰河”木马的最直接、有效的方法就是使用"netstat-a"命令来查看目标主机的网络连接情况,如果发现端口7626开放,这台计算机很可能是已经中了冰河木马。反之,如果端口7626没有开放,但却发现有其他的可疑端口开放了,这时候就可以在目标主机中查找Kernel32.exe或sysexplr.exe文件,如果在Windows的系统目录中存在这两个文件,如图3-24所示,则表明该计算机中了“冰河”木马。清除“冰河”木马的方法有如下两种。
(1)使用控制端程序进行卸载
使用冰河自带的卸载功能很容易完成对控制端的卸载工作。具体的操作步骤如下。
步骤1:在“冰河”的客户端程序主窗口中,选择【命令控制台】→【控制类命令】→【系统控制】菜单项,即可在打开窗口中看到【自动卸载冰河】按钮,如图3-25所示。
步骤2:单击【自动卸载冰河】按钮,可打开【确认要卸载冰河】提示框,提示用户是否将远程计算机上的“冰河”彻底清除,如图3-26所示。单击【是】按钮,可将目标计算机中的冰河清除。
(2)清理注册表
一旦运行了冰河服务端程序,“冰河”木马就会在C:\Windows\system32目录下生成kernel32.exe和sysexplr.exe并删除自身。而kernel32.exe会随着系统启动而自动加载运行。所以要想彻底清除冰河木马,则需要通过清理注册表才能实现。具体的操作步骤如下。
步骤1:在“注册表编辑器”窗口中展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices分支后,查看两处是否有同名可疑程序名(默认安装为kernel32.exe或kernel32.dll),有则删除,如图3-27所示。
步骤2:由于冰河服务端程序有自我保护设置,用可执行文件SYSEX PLR.EXE关联了TXT文件或EXE文件。因此,当服务端的程序KERNE L32.EXE被删除后,如果打开TXT文件或运行EXE文件,就会发现TXT或EXE的关联文件SYSEXPLR.EXE会再次把“冰河”服务端程序KERNEL32.EXE安装到Windows的系统目录中。因此,如果想要完全清除“冰河”木马,就必须取消这种文件关联。
如果关联的为TXT文件,则可以采用如下步骤取消这种文件关联。
步骤1:在Windows资源管理器中打开【文件夹选项】对话框,选择【文件类型】选项卡“已注册的文件类型”列表框中的“TXT文本文档”选项,如图3-28所示。
步骤2:单击【高级】按钮,即可打开【编辑文件类型】对话框,如图3-29所示。
步骤3:在【操作】列表框中选择"Open"并单击【编辑】按钮,即可打开【编辑这种类型的操作:文本文档】对话框,如图3-30所示。如果“用于执行操作的应用程序”文本框中不是"Notepad.exe%1",而是"D:\WINNT\System32\Sysexplr.exe%1"(在Windows 9x/2000/XP中类似),则把这项内容改为"Notepad.exe%1"。
如果关联的为EXE文件,则可以采取如下步骤取消这种文件关联。
步骤1:打开注册表编辑器窗口并展开到HKEY_LOCAL_MACHINE\SOFTWARE\Class es\exe file\shell\open\command\,如图3-31所示。
提示 最好不要急于先修改注册表,因为如果这时候就对注册表进行修改,则“冰河”服务端程序sysexplr.exe的进程立刻就会把它给改回来。
步骤2:保持注册表管理器打开,按"Ctrl+Alt+Del"组合键并在【任务管理器】中找到Sysexplr.exe进程,选中后再单击【结束进程】按钮来关掉这个进程。
步骤3:把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的D:\WlNDOWS\System32\Sysexplr.exe"%1"%*改为"%1"%*。
步骤4:最后删除D:\WINDOWS\System32\目录下的Sysexplr.exe就可以了。
应该在修改注册表后再删除可疑程序,否则对方如果将“冰河”设置为与EXE文件关联,那自己就连运行注册表编辑器的机会都没有了。另外,在修改注册表时可能已启动了与EXE文件关联的“冰河”,而“冰河”在正常关闭时将会再次修改注册表。因此,在Windows系统下通过使用"Ctrl+Alt+Del"组合键来重启计算机至关重要。
3.诱骗骇客
在清除完“冰河”木马之后,再来讲述一下如何利用“冰河陷阱”的伪装功能来诱捕入侵者。由于“冰河”调用了7626端口,因此,默认情况下“冰河陷阱”将自动监听7626端口,如果需改变“冰河陷阱”的监听端口,则选择【设置】→【设置监听端口】菜单项,在【设置监听端口】对话框中输入要修改的端口号,如图3-32所示。
选择【文件】→【打开陷阱】菜单项,“冰河陷阱”将完全模拟真正的“冰河”服务端程序对入侵者的控制命令进行响应。比如被入侵主机原有3个驱动器,但“冰河陷阱”在启动后,黑客在控制端只能看到“冰河陷阱”模拟出的两个硬盘驱动器,而原有的3个驱动器将不会显示出来,如图3-33所示。
小技巧 响应信息以文本方式记录在“冰河陷阱”程序文件夹下的"dat"文件夹中。读者可以通过修改这些文本文件来改变“冰河陷阱”的响应信息,以使其更具有欺骗性。
“冰河陷阱”甚至还会模拟出“虚拟屏幕”供黑客使用冰河的“查看屏幕”等功能时调用,这些功能设计都大大提高了“冰河陷阱”以假乱真的效果,如图3-34所示。
当有入侵者通过“冰河”客户端连接到“冰河陷阱”所伪装的服务端程序上时,可以在系统托盘中看到“冰河陷阱”图标不断闪烁报警,同时还有声音。双击图标打开“冰河陷阱”主界面,在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。
此时单击【保存记录】按钮,即可将显示的入侵记录保存在磁盘上以供分析。如果还有兴趣可以和电脑的主人聊聊,则可利用“冰河”自带的【冰河信使】向其发送信息。其实“冰河”的基本操作就是这么简单,以后要接触的木马几乎都与其操作基本类似。
显然,对付“冰河”,使用“冰河陷阱”这款反控制程序,效果十分好,上述实例已充分说明了这一点。