冰河的特性
冰河由两个程序组成:G_server.exe(被监控端后台监控程序,即木马)和G_client.exe(监控端执行程序),特性有:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息,记录击键输入;
3.获取系统信息,包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能,包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制
5.远程文件操作,包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件等多项文件操作功能;
6.注册表操作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
7.发送信息,以四种常用图标向被控端发送简短信息;
8.点对点通讯,以聊天室形式同被控端进行在线交谈;
9.邮件功能,自动往设定的电子邮箱发送系统信息。
冰河的破解
1. 冰河在注册表启动组里登记了启动项,通常在Windows\system目录下复制木马及其副本,随Windows启动。所以要删除木马,必须在纯DOS下执行。将系统退到DOS7.0下,进入windows\system目录,查找kernel32.exe和sysexplore.exe这两个具有“系统”、“只读”属性的文件,将其删除;
2.回到Windows下,运行regedit注册表编辑器,找到HKEY_LOCAL _MACHINE \Software\Microsoft\Windows\ CurrentVersion\ ,将run, runservices等项下有kernel32.exe的主键删除;
3.将HKEY_CLASSES_ROOT\txtfile \shell\open\command下缺省键值改为“C:\WINDOWS\ notepad.exe %1",或打开资源浏览器,单击“查看/文件夹选项/文件类型”,找到文本文档,编辑“open",将其执行文件改回“C:\WINDOWS\notepad.exe %1"。
注意:如果对注册表不熟悉,有必要先备份,再修改。平时,对注册表启动项必须经常关注,对不熟悉的项目要进一步探究。
还有一种破解方法是利用冰河的客户端程序G_client卸载。先选中连接,再按“删除主机”。
大家熟悉的著名黑客程序BO早已上了各种查杀毒软件的“黑名单”,但笔者用了一些软件识别冰河,效果不好,且冰河的功能不亚于BO。它是一把双刃剑,人们可以方便地用它作为一个客户机/服务器管理程序来管理、监视和使用网络中的资源,也可被用作探视别人口令、资料和攻击、控制别人计算机的工具。
