网络安全|国产木马——冰河(一)
什么是冰河木马
冰河木马(Glacier Trojan)开发于1999年,跟灰鸽子类似,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑,其中包括国外电脑。(百度百科)
冰河木马的功能
- 远程监控
如控制对方鼠标、键盘,并监视对方屏幕。通过模拟键盘动作和鼠标事件来进行远程控制。可以实现远程关机、远程重启计算机、锁定鼠标、锁定系统热键和锁定注册表等功能。 - 远程文件操作
如创建、上传、下载、复制或删除文件或目录。 - 注册表操作
如对主键的浏览、增删、复制、重命名和对键值的读写操作等。 - 获取系统信息
如获取计算机名、更改计算机名、获取系统路径等。 - 记录口令信息
记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。
冰河木马的程序实现
远程控制型木马一般采用网络应用中常见的客户端/服务器模式,由客户端程序和服务器端程序两部分组成。网络应用的客户端/服务器模式,其工作原理是服务器端程序提供服务,而客户端程序提出连接请求,服务器端程序就会自动运行,应答客户端程序的要求。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。
G_sever是放到被攻击电脑上的。(即目标靶机,win32位系统)G_client是放到攻击者电脑上的。(32位,64都可以)
注意事项
在进行冰河木马实验时,请关掉防火墙、关掉等360安全卫士,最好使用模拟机Win7系统,因为即使关闭防火墙,Win10系统也能检测出冰河。
参考文献
- 百度百科
- 吴礼发、洪征、李华波著.《网络攻防原理与技术》.机械工业出版社
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
