幕后黑手之 木马冰河
冰河是一款功能强大的国产远程控制软件,是基于TCP/IP协议和Windows操作系统的网络工具,冰河采用标准的C/S结构,包括客户端程序(G_Client.exe)和服务器端程序(G_Server.exe)。由于其简单易用的特点,加上强大的远程控制能力,所以是网友最常使用的一款远程控制软件。
解析木马冰河
冰河功能强大,不易被发觉,而且很难根除。在木马中,冰河可谓大名鼎鼎。下面我们就来看看冰河是如何进行远程控制的。
1.设置服务器端
首先运行客户端程序(G_Client.exe),在出现的主界面上单击工具栏中的“配置本地服务器程序”(图2),弹出“服务器端配置”窗口。窗口有基本配置、自我保护和邮件通知三个基本项。在基本配置选项中,可以对安装路径、监听端口等进行设置。自我保护选项是为了防止服务器端被删除后可以自动恢复而设置的。
图2
2.添加服务器端
单击工具栏上的“添加主机”按钮,在弹出的窗口中输入远程计算机的IP地址,并设置访问口令以及监听端口,单击“确定”后即可在客户端程序的“文件管理器”中添加一个新的服务器端。用户还可以通过单击工具栏上的“自动搜索”按钮,在弹出的窗口中设置起始域、起始地址、终止地址等,这样就可以在指定的IP地址段中搜索出已经打开了相应端口的远程计算机,搜索出的结果都会自动添加到客户端程序的用户列表中。
3.客户端操作
在客户端的“文件管理器”中的用户列表中选择要控制的计算机,登录成功后即可实现出远程计算机中的所有磁盘、文件,可以对文件进行复制、删除、打开、上传、下载等操作,感觉就像平时我们在使用资源管理器一样简单。
切换到“命令控制台”选项卡,在这里可以进行屏幕捕捉、修改远程注册表、截取密码、控制鼠标的操作。如果要查看服务器端的配置,就可以选择“设置类命令”列表中的“服务器端端配置”选项(图3),然后在右边单击“读取服务器端配置”进行查看,还可以单击“修改服务器端配置”对远程服务器端进行修改。
图3
防止冰河侵入
由于冰河已经是一个比较老的木马程序了,使用一般的安全软件都可以将它清除掉。
对个人用户来说只要定时升级自己的杀毒软件,不要轻易使用陌生人传来的可执行文件。定期检查自己的端口,如果发现自己所开端口中有高位端口如7849端口等,一定要引起重视。
对服务器来说,除了定时对系统进行升级补丁和安装企业级防火墙以外,可以采用冰河陷阱这款软件,它不但可以自动清除所有版本冰河的服务器端程序,还可以伪装成“冰河”服务器端对入侵者进行欺骗,并记录入侵者的所有操作功能。
6437
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
