https://www.minghui.org/mh/articles/2000/12/17/4802p.html |
黑客程序解析: 深入了解“冰河木马” |
【明慧网2000年12月17日】 “冰河”的原理 “冰河”是特洛伊木马的一种,因此它也具有特洛伊木马的一切特性。我们将“冰河”解压后可以得到3个主要文件:客户端G_client.exe 、服务端G_server.exe和说明文件readme.txt。 “冰河”的服务端G_server一旦运行,它首先会修改启动组,以便在每次启动时自动加载。这就是在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和Runservice键值中加上了“C:\windows\system\kernel32.exe” ,然后将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值由“C :\windows\notepad.exe %1”改为“C:\windows\system\sysexplr.exe %1”,同时在C:\windows\system目录下生成kernel32.exe 和sysexplr.exe 这两个文件。如果你对注册表的各项用途有点了解的话,就会知道第二项是将TXT文件改为用sysexplr.exe打开 ,而这个文件和kernel32.exe可以说是“青梅竹马”,互通有无。 当你想方设法删除了kernel32.exe这个文件,怡然自得的时候,它又神出鬼没地出现了,原因是当你打开TXT文档时,sysexplr.exe会重新生成kernel32.exe,你将还是在冰河的控制下。同时,kernel32.exe在系统每次关闭时,如果在启动组中没有kernel32.exe或是sysexplr.exe被删除,它自动将其恢复。 “冰河”的服务端一旦加载,它就自动驻留内存,在默认的情况下同时开放7626端口,如果你配置时设置了邮件通知的话,它采用SMTP将本机信息发送到指定邮箱。此时你的计算机的7626端口处于LISTENING状态,等待与客户端建立连接。 “冰河”的客户端可以用“自动搜索”来搜索指定子网内安装有“冰河”服务端的计算机。首先,它会用ICMP协议探测你的IP是否存在(类似Ping命令),如果探测不到,它将进行下一个IP的探测工作(这就是为什么搜索结果列表中IP地址不连续的原因)。如果该IP地址存在,它将扫描它的7626端口是否开放,如果不是开放的,该IP地址在搜索结果列表显示为error,如果该端口开放,这个IP就会被自动添加到主机列表中,这时,G_client 会向该主机发出连接信号,该主机中驻留内存的kernel32.exe收到数据后立即向客户端作出响应,在客户机收到响应的信号后,开放一个随机端口与主机的木马端口7626建立连接(这就是为什么一个客户端能控制多个主机的原因),这时一个木马连接就已经真正建立。 “冰河”的卸载 “冰河”的作者黄鑫在readme.txt中早就说过:冰河1.2正式版以后的各版本都在客户端提供了彻底的卸载功能。此外还可以通过注册表清除(具体办法请见41期《电脑报》)。 首先我想引用一下Microsoft的安全公报对木马软件的评价:“该软件其实要求你先安装Server端,然后再启动Client端进行控制,虽然要将它作为特洛伊木马安装到欲控制的机器上不算很困难,但毕竟这不是Win95/98的bug,而是利用机器使用者的疏忽而已。”我们暂不说特洛伊木马是否利用了Windows系统的bug,但是只要我们保持警惕,不让Server端有机会进入我们的机器,也就不会被控制了,下面是几点建议: 1.从网上下载软件时应该注意:尽量选择一些有名的站点下载,不要去一些小站点。 事物都有两面性,当我看到好多人将“臭名昭著”等词语用在“冰河”上时,心里总觉得不是味道。其实我们不必为“冰河”究竟是一个厉害的黑客工具,还是优秀的远程管理系统而争论不休, 实际上这就像讨论一把小刀究竟是工具还是凶器一样,问题的关键并不在刀子本身, 而在于使用者用它来做什么。 以上纯属个人观点,如有不当之处,欢迎大家批评指正 (E-mail: bennial@263.net)! (摘自中公网) |
成文:2000年12月16日 发稿:2000年12月17日 更新:2003年09月21日 03:53:39 |
|