| 国产远程控制软件——冰河 |
| 责任编辑:admin 更新日期:2005-7-6 |
|
|
国产远程控制软件——冰河
作为一款流行的远程控制工具,在面世的初期,冰河就曾经以它简单的操作方法和强大的
控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。鉴于此,这里进行简要介绍。
1、冰河的安装
该控制工具中有三个文件:Readme.txt,G_Client.exe和G_Server.exe。Readme.txt简单
介绍自己的使用,冰河当然也不例外了。G_Client.exe是监控端执行程序,可以用于监控
远程计算机和配置服务器,G_Server.exe是被监控端后台监控程序(运行一次即自动安装
,可任意改名)。最好不要在自己本机运行G_Server.exe,否则可能处于别人的控制之中
了。 也就是说,你要控制的远程计算机必须是要运行过G_Server.exe这个程序的。该服
务端程序直接进入内存,并把感染机的7626端口开放。而使得拥有冰河客户端软件(G_Cl
ient.exe)的计算机可以对感染机进行远程控制。G_server.exe可以任意改名,运行时无
任何提示。
2、冰河的基本使用
运行客户端控制程序G_Client.exe,界面如下图所示。
点击菜单“文件”下的“自动收索”,弹出如下图的窗口。
查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“192.168.
1.1”至“192.168.1.255”网段的计算机,应将“起始域”设为“192.168.1”,将“起
始地址”和“终止地址”分别设为“1”和“255”,然后点“开始搜索”按钮,在右边列
表框中显示检测到已经在网上的计算机的IP地址,地址前面的“ERR:”表示这台计算机无
法控制;显示“OK:”的表示它曾经运行过G_Server.exe,也就是你可以控制了,同时它
的IP地址将“文件管理器”里显示出来。点击任何一个,在“当前连接:”的编辑框里就
显示这一个地址。
捕获屏幕:单击“文件”菜单下的“捕获屏幕”,就会弹出下图所示的窗口。
图像格式有BMP和JEPG两个选项,建议你选JEPG格式,因为它比较小,便于网络传输。“
图像色深”第一格为单色,第二格为16色,第三格为256色,依此类推。“图像品质”主
要反应的是图像的清晰度。按“确定”按钮后便出现远程计算机的当前屏幕内容。
捕获控制:点击“文件”菜单下的“捕获控制”,弹出下图类似的窗口,设置好后按“确
定”按钮;
可以让被控制的计算机某些系统按键失去作用。
冰河信使:试试文件”菜单下的“冰河信使”,出现下图所示的窗口;
其实相当于一个聊天工具,输入信息以后点“发送”即可,在被控制端就会出现消息窗口
。
3、冰河的“命令控制台”
单击“命令控制台”按钮,冰河的核心部分就在这里。
·口令类命令:选择“系统信息及口令”项,点击“系统信息与口令”,得到下图所示的
信息;
信息包括处理器类型、Windows版本、计算机名、当前用户、硬盘驱动器总容量、目前剩
余空间、冰河版本等,是不是很多?你可以单击鼠标右键,选择“保存列表”保存信息;
还有“开机口令”、“缓存口令”、“其他口令”几个按钮,你可以分别试试。
选“历史口令”项可以看的密码就更多了,点击“查看”可能会找到一大堆东西的,仔细
看看,里面甚至还有他用过的OICQ之类的软件的密码。一般没必要就不要选“清空”了。
选“击键记录”项后要点“启动键盘记录”,等到你觉得时间差不多了就点“终止键盘记
录”,然后点“查看键盘记录”,这段时间里对方的按键全部记录。
·控制类命令。
“捕获屏幕”前面已经叙述。
“发送信息”主要是让操作者选择合适的“图标类型”和“按钮类型”,然后在“信息正
文”里写上要发送的信息,按“预览”觉得满意后点“发送”即可。
“进程管理”是“查看进程”,了解远程计算机正在使用的进程,便于控制。
“窗口管理”非常简单,有刷新、子窗口、最大化、最小化、激活窗口、隐藏窗口、正常
关闭、暴力关闭这几个命令。
“系统控制”中的“远程关机”和“远程重起”功能不用解释。
“鼠标控制”中的“鼠标锁定”是锁定远程计算机的鼠标。
·网络类命令
“创建共享”是把被控制的计算机的某个文件或文件夹进行共享,而“删除共享”正好与
之相反。
“网络信息”中的“查看共享”可以把被控制计算机里共享文件的文件名,权限和密码都
查看到。
“文件类命令”和“注册表读写”的操作这里就让读者自己去做了。
·设置类命令
“更换墙纸”命令要配合上面“文件类命令”的“文件查找”找到*.bmp的位图文件,然
后更换远程被监控计算机的墙纸。
“更改计算机名”命令使用后不会立即生效,不过当他重新启动计算机时就换了。
“服务器端配置”通常用默认设置,当熟练使用冰河时再重新设置它。
4、防范与清除冰河
当冰河的G_Server.exe这个服务端程序在计算机上运行时,它不会有任何提示,而是在wi
ndows/system下建立应用程序“kernel32.exe”和“Sysexplr.exe”。
若试图手工删除,“Sysexplr.exe”可以删除,但是删除“kernel32.exe”时提示“无法
删除kernel32.exe:指定文件正在被windows使用”,按下“Ctrl+Alt+Del”时不可能找到
“kernel32.exe”,先不管它,重新启动系统,一查找,“Sysexplr.exe”一定会出来的
,你可以在纯DOS模式下手工删除掉这两个文件。再次重新启动,你猜发生了什么?再也
进不去Windows系统了。
重装系统后,再次运行G_Server.exe这个服务端程序,在“开始”->“运行”中输入命
令“regedit”打开注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run下面发现@=“C:\\WINDOWS\\SYSTEM\\Kernel32.exe”的存在,说明
它是每次启动就自动执行的。
怎么办呢?手工清除不行?试试杀毒工具吧!
金山毒霸一定很快就检测到它,并完全清除。清除后重新启动计算机,还要把刚才的过程
重复一次才能清楚干净。如果没有金山毒霸没有提示重新启动,那就是不彻底的,还要重
复几次。一直到金山毒霸提示“病毒防火墙——发现 [Hack.Glacier 2.1] 病毒在
C:\RECYCLED\*.EXE 文件中(已经删除)”,这时才说明已经彻底摆脱冰河了。
主目录 分目录
Copyright By「黑白网络工作室」2002 All Rights Reserve
※黑客攻防指南※===>工具介绍==>国产远程控制软件——冰河
国产远程控制软件——冰河
作为一款流行的远程控制工具,在面世的初期,冰河就曾经以它简单的操作方法和强大的
控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。鉴于此,这里进行简要介绍。
1、冰河的安装
该控制工具中有三个文件:Readme.txt,G_Client.exe和G_Server.exe。Readme.txt简单
介绍自己的使用,冰河当然也不例外了。G_Client.exe是监控端执行程序,可以用于监控
远程计算机和配置服务器,G_Server.exe是被监控端后台监控程序(运行一次即自动安装
,可任意改名)。最好不要在自己本机运行G_Server.exe,否则可能处于别人的控制之中
了。 也就是说,你要控制的远程计算机必须是要运行过G_Server.exe这个程序的。该服
务端程序直接进入内存,并把感染机的7626端口开放。而使得拥有冰河客户端软件(G_Cl
ient.exe)的计算机可以对感染机进行远程控制。G_server.exe可以任意改名,运行时无
任何提示。
2、冰河的基本使用
运行客户端控制程序G_Client.exe,界面如下图所示。
点击菜单“文件”下的“自动收索”,弹出如下图的窗口。
查找IP地址:在“起始域”编辑框中输入要查找的IP地址,例如欲搜索IP地址“192.168.
1.1”至“192.168.1.255”网段的计算机,应将“起始域”设为“192.168.1”,将“起
始地址”和“终止地址”分别设为“1”和“255”,然后点“开始搜索”按钮,在右边列
表框中显示检测到已经在网上的计算机的IP地址,地址前面的“ERR:”表示这台计算机无
法控制;显示“OK:”的表示它曾经运行过G_Server.exe,也就是你可以控制了,同时它
的IP地址将“文件管理器”里显示出来。点击任何一个,在“当前连接:”的编辑框里就
显示这一个地址。
捕获屏幕:单击“文件”菜单下的“捕获屏幕”,就会弹出下图所示的窗口。
图像格式有BMP和JEPG两个选项,建议你选JEPG格式,因为它比较小,便于网络传输。“
图像色深”第一格为单色,第二格为16色,第三格为256色,依此类推。“图像品质”主
要反应的是图像的清晰度。按“确定”按钮后便出现远程计算机的当前屏幕内容。
捕获控制:点击“文件”菜单下的“捕获控制”,弹出下图类似的窗口,设置好后按“确
定”按钮;
可以让被控制的计算机某些系统按键失去作用。
冰河信使:试试文件”菜单下的“冰河信使”,出现下图所示的窗口;
其实相当于一个聊天工具,输入信息以后点“发送”即可,在被控制端就会出现消息窗口
。
3、冰河的“命令控制台”
单击“命令控制台”按钮,冰河的核心部分就在这里。
·口令类命令:选择“系统信息及口令”项,点击“系统信息与口令”,得到下图所示的
信息;
信息包括处理器类型、Windows版本、计算机名、当前用户、硬盘驱动器总容量、目前剩
余空间、冰河版本等,是不是很多?你可以单击鼠标右键,选择“保存列表”保存信息;
还有“开机口令”、“缓存口令”、“其他口令”几个按钮,你可以分别试试。
选“历史口令”项可以看的密码就更多了,点击“查看”可能会找到一大堆东西的,仔细
看看,里面甚至还有他用过的OICQ之类的软件的密码。一般没必要就不要选“清空”了。
选“击键记录”项后要点“启动键盘记录”,等到你觉得时间差不多了就点“终止键盘记
录”,然后点“查看键盘记录”,这段时间里对方的按键全部记录。
·控制类命令。
“捕获屏幕”前面已经叙述。
“发送信息”主要是让操作者选择合适的“图标类型”和“按钮类型”,然后在“信息正
文”里写上要发送的信息,按“预览”觉得满意后点“发送”即可。
“进程管理”是“查看进程”,了解远程计算机正在使用的进程,便于控制。
“窗口管理”非常简单,有刷新、子窗口、最大化、最小化、激活窗口、隐藏窗口、正常
关闭、暴力关闭这几个命令。
“系统控制”中的“远程关机”和“远程重起”功能不用解释。
“鼠标控制”中的“鼠标锁定”是锁定远程计算机的鼠标。
·网络类命令
“创建共享”是把被控制的计算机的某个文件或文件夹进行共享,而“删除共享”正好与
之相反。
“网络信息”中的“查看共享”可以把被控制计算机里共享文件的文件名,权限和密码都
查看到。
“文件类命令”和“注册表读写”的操作这里就让读者自己去做了。
·设置类命令
“更换墙纸”命令要配合上面“文件类命令”的“文件查找”找到*.bmp的位图文件,然
后更换远程被监控计算机的墙纸。
“更改计算机名”命令使用后不会立即生效,不过当他重新启动计算机时就换了。
“服务器端配置”通常用默认设置,当熟练使用冰河时再重新设置它。
4、防范与清除冰河
当冰河的G_Server.exe这个服务端程序在计算机上运行时,它不会有任何提示,而是在wi
ndows/system下建立应用程序“kernel32.exe”和“Sysexplr.exe”。
若试图手工删除,“Sysexplr.exe”可以删除,但是删除“kernel32.exe”时提示“无法
删除kernel32.exe:指定文件正在被windows使用”,按下“Ctrl+Alt+Del”时不可能找到
“kernel32.exe”,先不管它,重新启动系统,一查找,“Sysexplr.exe”一定会出来的
,你可以在纯DOS模式下手工删除掉这两个文件。再次重新启动,你猜发生了什么?再也
进不去Windows系统了。
重装系统后,再次运行G_Server.exe这个服务端程序,在“开始”->“运行”中输入命
令“regedit”打开注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run下面发现@=“C:\\WINDOWS\\SYSTEM\\Kernel32.exe”的存在,说明
它是每次启动就自动执行的。
怎么办呢?手工清除不行?试试杀毒工具吧!
金山毒霸一定很快就检测到它,并完全清除。清除后重新启动计算机,还要把刚才的过程
重复一次才能清楚干净。如果没有金山毒霸没有提示重新启动,那就是不彻底的,还要重
复几次。一直到金山毒霸提示“病毒防火墙——发现 [Hack.Glacier 2.1] 病毒在
C:\RECYCLED\*.EXE 文件中(已经删除)”,这时才说明已经彻底摆脱冰河了。 |
|
| 上一篇文章: Snort的使用 |
| 下一篇文章: 完全破解灰鸽子成为会员!! |
|
|
|
|
