2024年4月1日发(作者:)
广州大学华软软件学院浅析冰河 林楚金
“冰河”木马的攻击与防范
林楚金 班级(YL03)
前言
随着网络的日益发展,通过网络攻击的手段也变得复杂
多样,有组织,有预谋,有目的的攻击,破坏活动也频繁
的发生,攻击点也越来越精确集中,攻击破坏的影响面不
断扩大,甚至产生连锁反应,所以,我们必须要构筑一种
主动的安全防御,才有可能最大限度地有效应对各种不同
的攻击方式。接下来给大家介绍一下我对“冰河”木马的
认识和“冰河”木马的一些基本的防范措施。在此之前,
先简单的介绍一下什么是特洛伊木马„„
1
广州大学华软软件学院浅析冰河 林楚金
目录
一、 什么是木马 .................................................................... 3
二、 “冰河”木马的简介 ....................................................... 6
三、 “冰河”木马工作原理 ................................................... 7
四、 “冰河”木马工作过程或步骤流程 ............................... 8
五、 “冰河”木马功能或后果 ............................................. 17
六、 “冰河”木马防范手段与措施 ..................................... 18
2
广州大学华软软件学院浅析冰河 林楚金
什么是木马
1、木马的基础
特洛伊木马(
TrojanHorse
)简称“木马”,
原指古希腊士兵藏在木马内进入敌方城
市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从
网络上下载的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过
邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。
在计算机领域中,木马其实就是类恶意程序。
“木马”程序是目前比较流行
的病毒文件,与一般的病毒不同,病毒是一自我复制为明确目的的编写代码,它附
着宿主程序,然后试图在计算机之间传播,会对硬件、软件和信息造成破坏。而“木
马”不会自我繁殖,也不会刻意的去感染其他文件,它通过将自身伪装吸引用户下
载执行,向施种木马者提供打开被施种者电脑的门户,使施种者可以任意损坏、窃
取被施种者的文件,甚至远程控制被施种者的电脑。“木马”与常用的远程控制软
件不同,远程控制软件是善意的控制,不具有隐蔽性;“木马”正好相反,它是以
“偷窃”为目的的远程控制,具有很强的隐蔽性。
一个完整的“木马”程序包括“服务器”和“控制器”两部分。被施种者的电
脑是“服务器”部分,而施种者的电脑正是利用“控制器”进入运行了“服务器”
的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,
使施种者可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
2、木马的特性和功能
木马一般具有以下几个特性:
伪装性(木马程序善于改头换面)
潜伏性(等控制端的信号)
隐蔽性(一般人不易发觉)
不易删除(深藏于各个系统文件中)
3
广州大学华软软件学院浅析冰河 林楚金
通用性(能适应多种操作系统)
木马一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已
经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若
干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马
就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了施种者,他便能通过跟踪击
键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控
制、查看、修改资料等操作。
3、木马的攻击原理
木马的攻击过程大致上可以分为6步进行:
1) 配置木马。木马的配置主要是实现木马的伪装和信息反馈方式配置。
木马的伪装一般会采用修改图标、绑定文件、定制端口、自我销毁的
手段。
2) 木马的传播。木马的传播方式主要有两种,一种是通过E-mail附件的
形式传播,另一种是通过在网上提供下载的名义,将木马捆绑在软件
上(如右图所示)。
4
广州大学华软软件学院浅析冰河 林楚金
运行木马。服务端用户运行木马或捆绑木马的程序后,木马就会自动
进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS
或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中
设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启
动木马了。
4) 信息泄露。木马安装成功后会将服务端电脑上的相关信息通过E-mail、
IRC、ICQ等方式告知控制端。
5) 建立连接。连接必须服务端已安装木马程序或控制端和服务端都在线
的条件下才能成功连接。连接有正向连接和方向连接(反弹式连接)
两种,前者是控制端向被控制端发送信号,后者是被控制端主动向控
制端发信号。
控制端
扫描端口,发送信号,获得IP
装木马的服务器端
6) 远程控制。木马连接建立后,控制端端口和木马端口之间将会出现一
条通道。
5
广州大学华软软件学院浅析冰河 林楚金
“冰河”木马的简介
木马的发展可以分为四代,最早的是以对付UNIX为主,针对WINDOS的只有BO
和Netspy;第二代则是BO2000、Sub7、冰河(国产最早)、广外女生等;到了第三
代比较有名的就是灰鸽子;第四代则是广外幽灵和广外男生。
冰河是最优秀的国产木马程序之一,开发于1999年,同时也是被使用最多的一
种木马,我个人认为,如果“冰河”木马这个软件做成规规矩矩的商业用远程控制
软件,绝对不会比那个体积庞大、操作复杂的远程控制软件差,但可惜的是,它最
终变成了黑客常用的工具。冰河是由黄鑫开发的免费软件,目前的最高版本是 8.4,
由于它是国产软件,所以大多数网络黑客在初期都以它用来作为入门程序。冰河面
世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”
色变的地步。
目前,冰河还在不断更新,进行版本升级,对其默认配置进行修改,
来躲避杀毒软件的查杀。新出的冰河8.4的程序界面如下图所示:那些对
你的电脑不怀好意的人,就是用这个控制软件在网络的另一头,在你没有
查觉的情况下,严重危害你的电脑,可以完全控制你的电脑,偷到你的电
脑上的一切文件,破坏你的电脑,而这一切,你很难发现,这是很可怕的。
6
广州大学华软软件学院浅析冰河 林楚金
三、 “冰河”木马工作原理
从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过
它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木
马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变
种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河
就很容易了。
冰河的服务器端程序为,客户端程序为,默认连接
端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生
成和,并删除自身。 在系统启动时自动
加载运行,和TXT文件关联。即使你删除了,但只要你
打开 TXT文件,就会被激活,它将再次生成,于是冰河
又回来了!这就是冰河屡删不止的原因。
对于冰河,被控制端相当于一台服务器,控制端则是一台客户机,G_
是守护进程,G_client是客户端的应用程序,这一点很容易让人混淆。我们可以把
冰河比作网络客户/服务器模式的原理,服务器提供服务(被控制端),客户机接受
服务(客户端)。作为服务器的主机一般会打开一个默认的端口并进行监听, 如果有
客户机向服务器的这一端口提出连接请求, 服务器上的相应程序就会自动运行,来
应答客户机的请求,这个程序我们称为守护进程。
7
广州大学华软软件学院浅析冰河 林楚金
四、 “冰河”木马工作过程或步骤流程
下面我们以冰河V8.4为例,演示冰河木马的攻击过程。
装有G_的
A机
扫描开放了7626端口的主机(冰河木马)
获得B机的IP地
址
向B
机发
出连
接
A机开启一个随机端口(如2001)与B
机的7626端口建立连接
B机的木马程序作出响应
8
广州大学华软软件学院浅析冰河 林楚金
1、
在下载解压的目录下我们可以看到以下几个文件:
1)G_:被监控端后台监控程序,在安装前可以先通
过“G_”进行一些特殊配置,例如是否将动态IP发送到
指定信箱、改变监听端口、设置访问口令等。黑客们想方设法对
它进行伪装,用各种方法将服务器端程序安装在你的电脑上,程
序运行的时候一点痕迹也没有,你是很难发现有木马冰河在你的
电脑上运行的;
2)G_:监控端执行程序,用于监控远程计算机和配置服务器程序;
3):G_的配置文件;
4):帮助文件。
2、
为了更好地隐蔽,我们一般先对服务端软件进行配置。打开 g_,可以
看到如下界面:
9
广州大学华软软件学院浅析冰河 林楚金
3、
在使用服务器程序之前,要对它进行配置。运行
G_,选择【文件】
→【配置服务器端程序】,在弹出的对话框中进行配置即可,对话框如图所示:
10
广州大学华软软件学院浅析冰河 林楚金
【邮件通知】。下面依次介绍。
【基本配置】
a) 安装路径:即服务器程序安装的位置,有三个选项:分别为
“Windows”、“System”、“Temp”,这些都是Windows里的一
些目录;
b) 文件名称:是服务器程序安装到目标计算机之后的名称,默认是
,对于不熟悉Windows系统的用户来说,这可像是一
个系统程序啊。当然,这个名称是可以改的;
c) 进程名称:服务器程序运行时,在进程栏中显示的名称。默认的进
程名是Windows,也可以更改;
d) 访问口令:客户机连接服务器程序时需要输入的口令。如果用于远
程控制的时候,可以在一定程度上限制客户端程序的使用;
e) 敏感字符:设置冰河程序对某些敏感字符的信息加以记录。冰河把
这些包含文字的信息保存下来,然后通过各种途径发给黑客;
f) 提示信息:被控制计算机运行时,弹出的对话框信息。如果为空的
话,程序运行时就没有任何提示;
g) 监听端口:设置服务器程序在哪个端口等待客户程序的连接,以前
的默认设置是 7626,在冰河 8.0版本中,端口号已经改为了2001;
h) 自动删除安装程序:如果选中此项的话,会自动删除安装程序;
11
广州大学华软软件学院浅析冰河 林楚金
i) 禁止自动拨号:如果不选中此项的话,每次开机时,冰河就会自
动拨号上网,然后把系统信息发送到指定的邮箱。通常,黑客们都
不会轻易暴露自己,所以他们会选中该项;
j) 待配置文件:服务器程序的名称,原始的文件名是G_。
【自我保护】
选中此项的话,每次系统启动时都会自
动运行冰河。它在注册表中的位置是:
HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentversionruns
ervice
在注册表中的
名称
这是一个令冰河死灰复燃的功能。如果选中的
话,当关联文件是文本文件的时候,用户执行文
本文件之后,就会自动装载冰河;同样的道理,
选择可执行程序关联后,可执行程序也会自动装
载冰河。
12
广州大学华软软件学院浅析冰河 林楚金
【邮件通知】
这是程序与黑客进行通信的一个渠道,当中木马的计算机连到
互联网之后,冰河就会寻找设置的邮件服务器,把目标计算机的敏感
信息,如系统信息、开机口令等发到设置的邮件地址。
a) SMTP服务器:冰河用来发送邮件的服务器,例如等;
b) 接收信箱:这就是黑客用来接受目标计算机信息的信箱;
c) 邮件内容:包括系统信息、开机口令、缓存口令、共享资源信息等,也可
以只选择其中一项或几项。
4、
客户端的实战操作方法
将服务端程序发送到目标计算机上(可以采取任何方法),并运行该程序。
13
广州大学华软软件学院浅析冰河 林楚金
【添加主机】
想要对某台已经种植冰河的目标计算机进行监控,首先就要把目标计算机添加进来。
选择“文件”->“添加计算计”,填入主机的名称,这就是目标计算机显示
在控制端的名称,接下来要填入目标计算机的IP地址,同时设置访问口令监听端
口,如果参数设置正确的话,就可以成功地连到目标计算机上。如图:
5、
当连接成功以后就可以通过“文件管理器”察看目标计算机上的文件
。选择“命
令控制台”,分别试验以下功能:捕获屏幕、击键纪录、进程管理、创
建共享等功能。
【删除主机】
将被监控端IP地址从主机列表中删除(相关设置也将同时被清除)。
【自动搜索】
搜索指定子网内安装有“冰河”的计算机,在进行搜索的时候,除了指定子网之
外,还可以根据监听端口、延时时间来进行设置。
14
广州大学华软软件学院浅析冰河 林楚金
【查看屏幕】
查看被监控端的屏幕。
【控制屏幕】
控制被监控端的屏幕。
15
广州大学华软软件学院浅析冰河 林楚金
【冰河信使】
相信大家一定在网上聊过天,那么肯定也少不了私聊了。冰河提供了一个点对
点聊天室,也就是传说中的“二人世界”,客户端和被监控端可以通过信使进行
对
话
16
广州大学华软软件学院浅析冰河 林楚金
“冰河”木马功能或后果
1)
自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控制
端的屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控制端的屏幕
(局域网适用);
2)
记录各种口令信息:包括开机口令、屏幕保护口令、各种共享资源口令及绝大对
话框中出现过的口令信息;
3)
获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、
当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4)
限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁
定注册表等多项限制;
5)
远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快
速浏览文本文件、远程打开文件(提供了四种不同的打开方式——正常方式、最
大化、最小化和隐藏方式)等多项文件操作功能;
6)
注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注
册表操作功能;
7)
发送信息:以四种常用图标向被控端发送简短信息;
8)
点对点通讯:以聊天室形式同被控端进行在线交谈。
17
广州大学华软软件学院浅析冰河 林楚金
“冰河”木马防范手段与措施
多留意一下自己电脑的一些状况,看是否符合以下木马运行的征兆:
电脑莫名其妙地死机或重启;
硬盘在无操作的情况下频繁被访问;
系统无端搜索软驱、光驱;
系统速度异常缓慢,系统资源占用率过高……
如果发现自己的计算机中了冰河木马,那么,也不用着急,一般来说,木马的查杀,
可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在
很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星 XP,它们在查杀
木马方面有自己独特的一套。或者是使用专门的木马清除工具,如The Cleaner。
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀也是非常必要的。
一般来说,“冰河”客户端程序的自我保护的设定是与 TXT 文件或 EXE 文件关联的,
关联的文件是,所以还要把关联更改。
如果是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法如下:按住
Shift 键的同时鼠标右击任何一个 TXT 文件,选择打开方式,选中“始终用该程序打开......”
然后在程序选择列表中选择notepad就可以了。
如果是与 EXE 文件关联的,那么应该用注册表编辑器在
HKEY_CLASSES_中把“默认”的键值进行修改(注意要看清楚,下面还要改
回来的),完成后退出Windows,然后在DOS状态下删除该“冰河”用户端程序,重新启
动,并把EXE文件的注册表改回来才算是大功告成。
防范冰河木马的攻击,可以使用以下几点措施:
(一) 端口扫描
无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口,
如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端
18
广州大学华软软件学院浅析冰河 林楚金
(二) 查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或
某个第三方的程序)查看所有的/动态链接木马,而且仅仅能
在本地使用。
(三) 观察目录
普通用户应当经常观察位于“双c:、c:windowsc:windowssystem”这三
个目录下的文件。用“记事本”逐一打开“c:”下的非执行类文件“(除exe、bat、
com以外的文件),查看是否发现特洛伊木马、击键程序的记录文件,在在“c:Windows”
或“ :Windowssystem”下如果存在只有文件名没有图标的可执行程序,你应该把
它们删除,然后再用杀毒软件进行认真的清理。
(四) 检查注册表
察看注册表的
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrenVersion和
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent Version下所有以“Run”
开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除
相应的应用程序。
(五) 检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场
所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:
windowsstartmenuprogramsstartup,在注册表中的位置:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShel
l Folders Startup=“C:
windowsstartmenuprogramsstartup”。要注意经常检查这两个地方哦!
(六) 使用杀毒软件
现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,如 KV3000、瑞星、
19
广州大学华软软件学院浅析冰河 林楚金
供网络实时监控功能,这一功能可以在黑客从远端执行用户计算机上的文件时,提供
报警或让执行失败,使黑客向用户计算机上载可执行文件后无法执行,从而避免了进
一步的损失,但是要记住,杀毒软件不是万能的。
(七) 使用防火墙软件
可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,这样在上
网时,会安全许多。网上防火墙软件很多,如“天网防火墙个人版”、“zonearlarm”
等等。
(八) 提高防范意识
不要打开陌生人信中的附件,哪怕他说的天花乱坠,熟人的也要确认一下来信的
原地址是否合法。
20
发布评论