特洛伊木马病毒的运行方式,及怎么查杀
1.特洛伊木马病毒的运行方式:
在PC安装的是木马病毒的被控端,其原理是实时监控运行的条件,并开启某个TCP服务端口(不同木马不同端口),此时控制者就可以通过连接TCP服务端口远程实施控制(操作)。详见“网络安全实用技术”清华大学出版社。
2.查杀木马病毒的具体方法和步骤(图):
https://jingyan.baidu.com/article/36d6ed1f08a4d41bce488362.html
目前大部分木马病毒经常用到的启动加载方式是哪些?
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。
一、通过"开始\程序\启动"
隐蔽性:2星
应用程度:较低
这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在 “系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
二、通过Win.ini文件
隐蔽性:3星
应用程度:较低
同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中, Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在 msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
三、通过注册表启动
1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
隐蔽性:3.5星
应用程度:极高
应用案例:BO2000,GOP,NetSpy,IEthief,冰河……
这是很多Windows程序都采用的方法,也是木马最常用的。使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称 regedit)都可以将它轻易的删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。
破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。
2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
隐蔽性:4星
应用程度:较低
应用案例:Happy99月
这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在 Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?
其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。
还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭 Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦 Windows异常中止(对于Windows9x这是经常的),木马也就失效了。
破解他们的方法也可以用安全模式。
另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。
四、通过Autoexec.bat文件,或winstart.bat,config.sys文件
隐蔽性:3.5星
应用程度:较低
其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。
另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似"Deltree C:\*.*"和"Format C:/u"的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。
五、通过System.ini文件
隐蔽性:5星
应用程度:一般
事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的 Shell项的值正常情况下是"Explorer.exe",这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为 Progman.exe就可以让Win9x变成Windows3.2)。我们可以在"Explorer.exe"后加上木马程序的路径,这样 Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。
六、通过某特定程序或文件启动
1、寄生于特定程序之中
隐蔽性:5星
应用程度:一般
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
2、将特定的程序改名
隐蔽性:5星
应用程度:常见
这种方式常见于针对QQ的木马,例如将QQ的启动文件QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了 QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。
3、文件关联
隐蔽性:5星
应用程度:常见
通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开一个文本文件或运行一个程序时,木马也就神不知鬼不觉的启动了。
这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文件和注册表键值即可。
我想知道木马病毒的一些知识?
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。那怎么知道木马隐藏在哪里呢!
1、集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe这时你就要小心了,这个file.exe很可能是木马。
4、伪装在普通文件中
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
5、内置到注册表中
上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
6、在System.ini中藏身
木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里了。
7、隐形于启动组中
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\windows\startmenu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\startmenu\programs\startup"。要注意经常检查启动组。
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
10、设置在超级连接中
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!请你不要随便点击网页上的链接,除非你了解它,信任它。
如果电脑中了木马病毒用什么方法处理
既然是中毒了,就杀毒呗。
首先进行全盘杀毒操作,确认是否有病毒。可以尝试网络在线杀毒。
如果无法杀毒,建议使用PE系统盘启动电脑,备份重要的数据后,对硬盘进行快速分区,重建主引导记录,彻底清除可能的病毒隐患,然后重新安装系统。
系统安装完成,记得安装杀毒软件,并升级病毒库,再对备份数据杀毒。
木马,病毒等恶意程序通常是利用什么方法植入电脑的?如何防范
预防木马病毒,应该采取以下措施
1.安装杀毒软件和个人防火墙,并及时升级。
2. 把个人防火墙设置好安全等级,防止未知程序向外传送数据。
3. 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
4. 如果使用IE 浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
5. 不要执行任何来历不明的软件
6. 不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的,而且有的还会连环扩散,因此对邮件附件的运行尤其需要注意。
7. 重新选择新的客户端软件 很多木马病毒主要感染的是Microsoft 的OutLook 和OutLook Express 的邮件客户端软件,因为这两款软件全球使用量最大,黑客们对它们的漏洞已经洞察得比较透彻。如果选用其他的邮件软件,例如Foxmail 等,收到木马病毒攻击的可能性就将减小,至少不会反复感染给通信录中的好友。此外也可以直接通过Web方式来访问信箱,这样就能大大降低木马病毒的感染概率。
8. 将资源管理器配置成始终显示扩展名将Windows 资源管理器配置成始终显示扩展名,一些文件扩展名为vbs 、shs 、pif 的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
9. 尽量少用共享文件夹如果因工作等原因必须将电脑设置成共享,则最好单独设置一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
10. 运行反木马实时监控程序木马防范重要的一点就是在上网时最好运行反木马实时监控程序,TheCleaner 等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
11. 经常升级系统和更新病毒库。经常关注微软和杀毒软件厂商网站上的安全公告,这些网站通常都会及时地将漏洞、木马和更新公布出来,并在第一时间发布补丁和新的病毒库等。
一般用户在使用电脑的过程中要注意的几点
1、天上是不会掉馅饼的。
你可能会收到这样的消息,告诉你点击某个网站就可以得到什么好处。这往往是病毒的制造者给你设的陷井,只要你照他说的做了,那你的电脑中病毒的可能性就会提高!因此说,不熟悉的网站要提高警觉。
2、减少好奇心。
邮件中的附件不要轻易点击。陌生人给你发送的邮件如果包含的附件,多数情况下附件是病毒文件。有一些附件为了引诱用户点击经常将自己伪装成美女图片、美女情书或是跟美女有关的东西。切记有时好奇心大了不一定是好事!
3、提高警惕。
现在的病毒也能做到假借你朋友的名义给你传送文件,所以说当收到朋友给你传来的文件后,向朋友问明文件的内容后再打开查看也不晚!
4、非必要的网站插件不要安装
去某些网站时总会提醒你安装某某插件。先了解插件的作用后再安装也不迟。当然有一些插件是需要安装的,比如:Flash插件、相关银行网站的安全插件等。对于一些不知名网站的插件或用处不大的插件,最好不要安装。
怎么用木马?
木马和冰河的使用!【教程】
木马
大家对他的名字很熟悉吧??是啊木马作为一个远程控制的软件已经深入人心,木马是
什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这
个工具作一个简单的介绍:
黑客程序里的特洛伊木马有以下的特点:
(1)主程序有两个,一个是服务端,另一个是控制端。(如果你下载了,请千万不要
用鼠标双击服务器端)
(2)服务端需要在主机(被你控制的电脑)执行。
(3)一般特洛伊木马程序都是隐蔽的进程。(需要专业的软件来查杀,也有不用软件
查杀的办法,我会介绍)
(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在
接受命令后,会执行相应的任务。
(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)
眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病
毒的性质。(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是
一种使用简单但是危害比较大的软件)
木马的发展:
第一代木马:控制端 -- 连接 -- 服务端
特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。
典型木马:冰河,NetSpy,back orifice(简称:BO)等。
第二代木马:服务端 -- 连接 -- 控制端
特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态
连接库)隐藏进程的,甚至出现能传播的木马。
典型木马:网络神偷,广外女生等。(反弹端口型木马)
第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监
控(像金山,天网等)
随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半
病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你
打开这个文件,你就肯定会被中上木马,甚至可以在网络上通过下载来传播)所以查杀
木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软
件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在网络上进行升级
的并不多,所以木马还是很有使用空间的。下面,我们将介绍一款国产的木马-------
冰河。
需要工具:冰河(随便你找什么版本,因为界面根本就差不多)
Superscan3.0 中文汉化版(上黑白搜索一下可以找到)
首先最重要的一步-------工具接压缩(啊~~我知道是废话。。大家多多包涵嘛。。不
要打拉)
然后运行Superscan3.0(就是那连着的两个电脑图标)
出现界面在IP表里面有两个选项
起始IP:
终止IP:
随便填上两个IP地址(最好是C类IP范围从192.0.0.0--223.255.255.255)
顺便讲一下IP的类型:
A类范围:0.0.0.0---127.255.255.255
B类范围:128.0.0.0---191.255.255.255
C类范围:192.0.0.0---223.255.255.255
D类范围:224.0.0.0---239.255.255.255
E类范围:240.0.0.0---247.255.255.255
一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚,有兴趣的朋
友可以看看相关的资料。。。。。
闲话说到这里我们继续看起始IP和终止IP
我给大家一个参考
起始IP:202.103.139.1
终止IP:2020103.139.255
填好这个在扫描类型里看列表中定义:
你可以扫描很多的端口,但那对我们的木马攻击没有实际意义
所以我们把两个窗口填上7626(冰河服务端开的端口)。
好了,点开始。
扫描结果会出现在底下兰色的列表中
当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河
的主机。(假如没有找到,请不要灰心,继续扫描。一个成功的黑客最重要是有耐心
!)
好了打开我们的冰河的客户端(再次提醒!!千万不要点服务器端!!!否则你等于种
木马给自己!!什么??你已经点了??你不会那么傻吧。。。。)
具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕
变化的同时,监控端的一切键盘及鼠标*作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对
话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当
前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定
注册表等多项功能限制;
5.远程文件*作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏
览文本文件、远程打开文件(提供了四中不同的打开方式--正常方式、最大化、最小化
和隐藏方式)等多项文件*作功能;
6.注册表*作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表
*作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
呵呵,是不是很拽??哼哼~~我叫你不服!!!我要删掉你C盘文件!!!修改你注册
表!!盗你QQ号码!!上网帐号!!
!………………………………………………………………
罗嗦一下!!你们千万不要搞破坏哦,学会了使用就好。。。
接着,我会介绍特洛伊木马“冰河”的使用:
首先打开客户端
出现*作界面
文件 编辑 设置 帮助
点文件出现下拉菜单
点自动搜索
出现提示框
里面只有起始域 起使地址 终止地址
这三个比较有用
比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25
那么我们就在起始域里输入:202.103.139
起始地址:25
终止地址:25
表示搜索这一个主机
如果扫描结果里显示ERR表示该计算机没有种木马,如果是OK你就爽拉~~
(你也可以在起始域里输入:202.103.139起始里面:1终止里面255,这样是搜索
202.103.139子网里所有的计算机)
看到这里有的朋友会问拉,既然木马可以自己扫描为什么还要上面哪个工具??嘿嘿~~
哪个比较快嘛,多学一点没有坏处的~~(啊~~我错了还不行??大家息怒)
只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个
小加号,点开他你可以随便对对方的文件进行修改删除了,你甚至可以上传一个病毒到
他的文件夹中(不推荐,你们没那么大仇吧??)
好了我们再来看看文件管理右面的命令控制台,这里有你感兴趣的东西哦~~命令很简单
都是一看就会的,你们只要每个都实验一下就知道作什么用的拉
由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”
简单的就象小孩子的游戏~~~
看看下面有什么??
远程关闭计算机
远程从新启动计算机
后面两个没什么用不理他也罢
你只要点一下远程“关闭计算机”
OK拉,他的电脑自己关机拉,不相信??好,QQ上和他说话,他能回答你才怪:)
好了,关于*作的方法我已经向大家介绍了,这是一个傻瓜式的软件,*作命令全中文,
作用一看就知道,很容易上手,用他来盗QQ也不错哦~~~~(在口令类命令的系统信息及
口令里,要先做键盘记录哦)具体方法请自己研究,我可不想犯罪。。
关于使用方法就介绍到这里,到这里以上为止都是对不特定人物的入侵,那么要怎么对
特定的人物进行入侵那??记得我不叫你们点的服务器端吗?呵呵,就是他,他是没有
图标的一个运行文件,可以夹带在几乎任何文件里运送,比如照片,FLASH等……(有
相关的合成软件,我不知道具体那里有下载,不过我有的,你们需要可以找我,不过不
要拿来作坏事)你只需要给你的网友用QQ传送个照片呀,一篇文章呀就可以顺利种上木
马,然后你要取得他(她)的IP地址就可以对他进行控制拉,这方法不是我教你们的啊
!!以后不要出卖我,还有电子邮件也可以传播。。。。。。。木马病毒。。
方法有很多大家可以自己研究。。。。。。
下面有几点提示:
1:为什么我解压缩的时候杀毒软件老是报有病毒呀??
木马本身就是一个病毒,只要你不点服务器端,对你不会造成任何影响
运行的时候也要关掉防火墙,否则系统无法运行。
2:为什么我种上木马以后连接不到计算机??
很简单,你的版本过旧拉,去下载新的版本吧,再者对方在网吧,由于
设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。
什么??你不知道他是不是在家??看QQ的IP地址
比如对方IP是202.103.139.22:4000表示在家
202.103.139.22:1030网吧
只有后面是4000、7000的用户是在家
有的时候是4001、4002表示对方现在运行的QQ数目,不用管他
3:关于冰河的万能密码:
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000!
有的是要密码口令登陆的,不过一般不要,也不用刻意注意
4:我也种上服务器端了,对方也在家,他也并没发觉我给他种了,但就是连接不正常
呵呵,对方懂得使用代理服务器那你看到的IP地址不是真实的IP地址。这种情况,你还
是放弃吧。
5:冰河是一个很麻烦的家伙,卸载很麻烦就是你安装以后卸载和其他的程序不一样
网上相关文章很多,我由于最近考试关系就不一一介绍了,你可以去黑白网络看看:)
6:如果清除冰河服务端:
方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体
方法:
1、启动“冰河”的控制端程序。
2、选择“文件”--“添加主机”,或者直接点击快接按钮栏的第一个图标 。
3、弹出的对话框中,“远程主机”一项,填写自己的IP。
4、连接服务端,然后,点击“命令控制台”标签。
5、选择“控制类命令”--“系统控制”,在右面的窗口下方,你会发现四个按钮。点
击“自动卸载”,就将冰河的服务器端清除了。
方法二:
冰河 v1.1
1、打开注册表“Regedit.exe”。(可以在“开始”--“运行”里输入
“regedit”。)
2、点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、查找以下的两个路径,并删除
“C:\windows\system\kernel32.exe”
"“C:\windows\system\sysexplr.exe”
4、关闭“Regedit.exe”,重新启动Windows。
5、删除“C:\windows\system\kernel32.exe”和
“C:\windows\system\sysexplr.exe”木马程序。
6:重新启动。完成。
方法一是对于你给别人种的服务器端的,记得玩完以后给人家清除掉,作事情不要那么
决情!!
方法二是对于清除自己计算机里的服务器端的,现在就好好看看是不是由于自己的疏忽
被人家种下冰河。。。。。。。。。
小结:对于木马的大家庭来说冰河只是一个小弟弟,但是大家也看到了他的危害性,所
以本人只建议大家学习这个软件,并不是用他去干什么,恶意破坏是低级黑客(根本可
以说是菜鸟)的做法,建议大家不要搞破坏,学习就好。。。。。。。。。。
