前言:
冰河木馬是一種遠程控制木馬,這次主要想認識一下利用冰河來控制目標主機的整個流程,其實冰河是巨老版本的木馬,在很多版本較新的WIN系統即使不開殺毒軟件,運行冰河服務端也不能開啓7626端口。因此這裏用的是win2003當靶機,win7當攻擊機器。
步驟一:
準備好冰河木馬,第一個是客戶端,放在攻擊機上進行控制,第二個是服務端,放到靶機上的
對冰河服務器程序G_ Server.exe進行配置,配置好了放到靶機上
步驟2:在靶機上運行g_server.exe,然後查看自己的端口開放情況,是否打開了7626端口,下圖已開放。
查看木馬的安裝路徑是否爲所設置的路徑,如下圖所示
檢查木馬進程在進程列表中所顯示的名稱與我們設置的是符合的,和我之前設置的進程jammny一致
如果爲木馬設置了訪問口令,是必須通過設定的口令才能夠對木馬實施遠程控制,不然會出現下圖的情況
在感染主機上驗證冰河的文件關聯功能,將木馬主程序刪除,打開關聯的文件類型,查看木馬主程序是會恢復的。
步驟3:在攻擊端對已經植入木馬的主機進行範圍掃描
然後再文件管理器列表就能訪問目標主機的文件了。
不僅如此,客戶端對連接上的主機可以通過冰河信使來發送信息
下圖是服務端靶機接收的信息
遠程控制木馬自然是要對靶機進行遠程控制的了
步驟4:採用手工方法刪除冰河木馬,主要步驟包括:
①檢查系統文件,刪除C:\Window\system32下的 Kernel32.exe和 Sysexplr. exe文件。
②如果冰河木馬啓用開機自啓動,那麼會在註冊表項 HKEY LOCAL_ MACHINE\software\microsoft\windows\Currentversion\Run中紮根。檢查該註冊表項,如果服務器程序的名稱爲KERNEI32,EXE,則存在鍵值C:\windows\system\ Kemel32.exe,刪除該鍵值。
③檢查註冊表項HKEY_ LOCAL_ MACHINE \software \microsoft\windows\Current Version\Runservices,如果存在鍵值C:\windows\svstem\ Kerel32.exe的,也要刪除。
④如果木馬設置了與文件相關聯,例如與文本文件相關聯、需要修改註冊表HKEY_ CLASSES_ ROOT\textfile l shell \open command下的默認值,由感染木馬後的值:C\windows\system \Sysexplr.exe%1改爲正常情況下的值:C: \windows\notepad.exe%1,即可恢復TXT文件關聯功能。完成以上步驟後,依據端口和進程判斷木馬是否已被清除。
下圖已經刪除木馬,重新查看端口並未發現開放7626端口:
查看進程也未發現相關程序:
步驟5:使用冰河陷阱清除冰河木馬,
步驟7:在此基礎上,利用冰河陷阱的僞裝功能來誘捕入侵者。運行冰河陷阱後,使主機系統完全模擬真正的冰河服務器程序對攻擊者的控制命令進行響應,使攻擊者認爲感染計算機仍處於他的控制之下,進而觀察攻擊者在主機上所進行的攻擊操作
開啓陷阱,通過下圖能觀察到攻擊者的攻擊操作:
然後我們可以用信鴿對入侵者發起問候:
下圖是攻擊者收到的信息:
END
每天積累一點點,終究有一天爆發出來強大的力量。我是jammny,喜歡的點個贊!加個關注吧!持續更新病毒木馬系列。