小知识：介绍一个国产的特洛伊木马——冰河

　该软件主要用于远程监控，具体功能包括:

　　1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；

　　2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；

　　3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

　　4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

　　5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

　　6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

　　7．发送信息：以四种常用图标向被控端发送简短信息；

　　8．点对点通讯：以聊天室形式同被控端进行在线交谈。

　　看过冰河的功能概述后，是不是被它的功能所着迷呢？

　　接着，我会介绍特洛伊木马“冰河”的使用。

　　本次范例需要的系统及程序情况如下：

　　操作系统：Windows98

　　程序（一）：特洛伊木马“冰河”V2.2 DARKSUN 专版

　　程序（二）：Superscan3.0 英文版

　　本机IP：127.0.0.1

　　测试IP：127.0.0.3

　　新程序说明：

　　Superscan3.0是foundstone实验室出品的端口扫描器。特点：速度快，资源占用少。

　　Superscan：“scanner.exe”为主程序；“scanner.lst”、“hensss.lst”、“trojans.lst”为端口列表。

　　冰河：“G_Client.exe”为控制端；“G_Server.exe”为服务端。

　　本文运用端口扫描程序，在网络上寻找木马冰河的服务器端，从而达到对该用户实施入欺电脑的目的。

　　首先，把一些常见的木马端口和大家说说：[木马冰河：7626]；[netspy(网络精灵)：7306]；[back orifice （bo）：31337]；[back orifice2000 （bo2000）：54320]；[netbus：12345]；[subseven：27374或1243] 。

　　这是一个非常简单的入侵，但你别看小你这次的入侵哦！因为你可能在这次入侵里，获得上网密码、OICQ密码、E-MAIL密码、个人主页密码等等！

　　1、首先，我们打开Superscan3.0，在“IP”的“start”和“stop”里填上搜索范围。例如：202.103.139.1 —— 202.103.139.255。接着在“scan type”的“All ports from”里填上：7626（冰河服务端开的端口）。按“Start”开始扫描。过一会，下面就会出现很多IP，但并不是每一个都是。我们需要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河的主机。（假如没有找到，请不要灰心，继续扫描。一个成功的黑客最重要是有耐心！）

　　1、打开“冰河”的G_Client.exe控制端（不是G_Server.exe！），把你上面找到的主机IP添加上去，访问口令嘛，不用填。（听说现在有万能密码的！）然后单击该IP前面的小电脑图标，如果凑巧别人没有给该主机设置口令，那么它的C盘，D盘等，就会出现了，你可以象打开自己本地硬盘那样，浏览里边的文件夹了。

　　“冰河”上面有个“帮助”，里边有个“操作指南”。具体的使用，大家就看它吧。全中文介绍，也不用我多说了。

　　其实，“冰河”本身里边有个“自动搜索”，用它来找一段区域内的IP，速度和效果，是很不错的。

　　使用方法：按第三个图标“自动搜索”，首先要设置：

　　“起始域”（例如：127.0.0）

　　“延迟时间”：用默认的就可以

　　“监听端口”：7626

　　“起始地址”：1

　　“终止地址”：255

　　接着点击“开始搜索”。搜索完毕后，下面会有提示：对子网''127.0.0''搜索完毕，共找到N台计算机，其中N台可以用。接着，在右边框里边上方会显示搜索成功和失败的主机的。然后和前面一样，双击前面的电脑图标就可以了。

　　3、每次攻击，都会留下线索，所以请大家不要有恶意。你进入别人的电脑后，所得到的帐号，密码等，千万不要公开出来，也不要修改对方电脑里边的东西。然后，给别人善意的提醒对方，教他把木马清除掉！ —— 这才是真正黑客：）

　　关于冰河的万能密码：

　　2.2版：Can you speak chinese?

　　2.2版：05181977

　　3.0版：yzkzero

　　3.0版：yzkzero.51.net

　　3.0版：yzkzero!

　　3.1-netbug版密码: 123456!@

　　2.2杀手专版：05181977

　　2.2杀手专版：dzq2000!

　　许多人会问：天下间哪里会有这么多中了冰河的主机啊？

　　当然，任何一个人都不会令自己中上这么可怕的木马程序。

　　那么，我们怎样让别人的运行木马的服务端呢？

　　这个不是我们要探讨的问题。因为我们是要了解整个入侵过程，而不是要令别人受害！

　　最后，我希望大家记着：任何时候，攻击、破坏个人电脑都不是一个黑客的所为！

　　如果清除冰河服务端：

　　方法一：俗话说，解铃还需系铃人。中了冰河，就用它的控制端来卸载服务端。具体方法：

　　1、启动“冰河”的控制端程序。

　　2、选择“文件”——“添加主机”，或者直接点击快接按钮栏的第一个图标。

　　3、弹出的对话框中，“远程主机”一项，填写自己的IP。

　　4、连接服务端，然后，点击“命令控制台”标签。

　　5、选择“控制类命令”——“系统控制”，在右面的窗口下方，你会发现四个按钮。点击“自动卸载”，就将冰河的服务器端清除了。

　　方法二：

　　冰河 v1.1

　　1、打开注册表“Regedit.exe”。（可以在“开始”——“运行”里输入“regedit”。）

　　2、点击目录至：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　3、查找以下的两个路径，并删除

　　“C:windowssystemkernel32.exe”

　　"“C:windowssystemsysexplr.exe”

　　4、关闭“Regedit.exe”，重新启动Windows。

　　5、删除“C:windowssystemkernel32.exe”和“C:windowssystemsysexplr.exe”木马程序。

　　6：重新启动。完成。

　　冰河 v2.2

　　因为服务端程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。所以，不能明确说明。

　　你可以察看注册表，把可疑的文件路径删除。然后重新启动Windows，删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。

了解。

种现象的病毒太多了~~~~如果隐藏文件不能看到的话  有点像磁碟机的现象