如何清除冰河木马 - 360文档中心

104种常见木马的清除方法

104种木马的清除方法1. 冰河v1.1 v2.2这是国产最好的木马清除木马v1.1打开注册表Regedit点击目录至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run查找以下的两个路径，并删除" C:\windows\system\ kernel32.exe"" C:\windows\system\ sysexplr.exe"关闭Regedit重新启动到MSDOS方式删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序重新启动。

ＯＫ清除木马v2.2服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

因此，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。

重新启动到MSDOS方式删除于注册表相对应的木马程序重新启动Windows。

ＯＫ2. Acid Battery v1.0清除木马的步骤：打开注册表Regedit点击目录至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe"关闭Regedit重新启动到MSDOS方式删除c:\windows\expiorer.exe木马程序注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。

重新启动。

ＯＫ3. Acid Shiver v1.0 + 1.0Mod + lmacid清除木马的步骤：重新启动到MSDOS方式删除C:\windows\MSGSVR16.EXE然后回到Windows系统打开注册表Regedit点击目录至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"关闭Regedit重新启动。

冰河木马入侵和防护报告-Read

冰河木马入侵和防护实验报告一、实验目的通过使用IPC$ 漏洞扫描器发现网络中有安全漏洞的主机，植入木马程序，控制远程主机，然后在客户端查杀木马，进行防护。

通过入侵实验理解和掌握木马的传播和运行机制，动手查杀木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理和查看计算机。

利用20CN IPC 扫描器可以发现网络上的IPC$漏洞，并往远程主机植入木马。

冰河木马程序属于第二代木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制。

三、实验条件工具扫描端口工具：20CN IPC扫描器木马程序：冰河ROSE 版实验平台WINDOWS XP，机房局域网。

四、实验步骤实验分两步，入侵和查杀木马A.入侵实验1、扫描网络中的IPC$漏洞并植入木马打开扫描器（见图1）图-1 20CN 扫描器设置扫描的IP 开始和结束地址（见图2）图-2 扫描器设置本次实验我们扫描IP 地址在192.168.3.20至192.168.3.50这一区间内的主机，设置步进为1，逐个扫描主机，线程数默认64，线程间延默认50（标号见1）。

选择要植入的木马程序，我们选择冰河木马（见标号2）。

扫描过程显示每个IP 的扫描结果（见标号3）。

扫描完成后会自动植入有IPC$漏洞的主机，接下来就可以控制了。

2 1 32、连接登陆远程主机打开冰河木马程序客户端，选择文件—>搜索计算机，设置起始域，起始地址和终止地址，我们进行如下设置，监听端口、延迟选择默认值，（见图3）21图-3 冰河木马程序客户端搜索结果（见标号2），在192.168.3.28和192.168.3.29前面是OK表示可以连接，其他主机都是ERR表示不能建立连接。

或者点击文件—>添加计算机，输入扫描并已植入木马的远程主机IP(见标号1)，访问口令为空，监听端口默认7626。

实验4-冰河木马实验

实验4-冰河木马实验实验报告如有雷同，雷同各方当次实验成绩均以0分计。

2. 在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。

实验4 冰河木马实验【实验原理】作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。

若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。

冰河控制工具中有二个文件：G_Client.exe ，以及G_Server.exe 。

G_Client.exe 是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe 是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何本班序号姓名警示提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

冰河木马的主要功能：（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

（2）记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。

（3）获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

（4）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

（5）远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。

（6）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

（7）发送信息：以四种常用图标向被控端发送简短信息。

实训：病毒与木马防范——冰河木马

【实训内容】
• 1 掌握木马的原理和攻击方法。 • 2 了解“冰河”的配置及使用方法。 • 3 掌握清除“冰河”的方法。
【实训步骤】
• 1. “冰河”木马的原理和攻击方法 • 1）G_Server.exe：被监控端后台监控程序 • 2）G_Client.exe：监控端执行程序，用于监控远程计算机
• （2）删除注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion \Run下的键值C：\Windows\system\Kernel32.exe。
• （3）删除注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion \Runservices下的键值C：\Windows\system\Kernel32.exe。
电子商务安全技术
电子商务安全技术
实训：病毒与木马防范——冰河木马
• 【实训条件】 • 1. 硬件条件 • CPU：至少550MHz，内存：至少256MB； • 硬盘空间：150MB以上，不含缓存使用的磁盘空间。 • 2. 软件条件 • 操作系统：Windows 2000 Server或Windows 2003 Server • 3. 网络环境 • 工作站连入局域网。
和配置服务器程序。 •

2. 了解“冰河”的配置及使用方法。
• （1）各模块简要说明 • （2）文件管理器操作说明 • （3）命令控制台主要命令 • （4）使用技巧
3. 掌握清除“冰河”的方法。
• （1）删除C：\Windows\system下的Kernel32.exe和sy* * *plr.exe文件。

冰河木马的使用

冰河木马的使用实验目的：1.掌握冰河木马的具体功能2.熟悉冰河木马的使用操作3.懂得冰河木马的清除方法实验原理：1.基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。

对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe 是守护进程, G_client是客户端应用程序。

2.程序实现:在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):服务端:G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)G_Server.Listen(等待连接)客户端:G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)G_Client.Connect (调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestIDEnd Sub客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口Private Sub G_Server_Close()G_Server.Close (关闭连接)G_Server.Listen (再次监听)End Sub其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令......实验步骤：1.连接：打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。

木马通用的激活方式和清除方法

木马通用的激活方式和清除方法木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。

为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。

这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。

●在Win.ini中启动木马：在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：run=C:Windows ile.exeload=C:Windows ile.exe则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。

举个例子，在正常情况下txt文件的打开方式为Notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。

如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。

当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。

冰河木马攻击实验报告(3篇)

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全防护能力，本实验旨在通过模拟冰河木马攻击，了解其攻击原理、传播途径以及防护措施。

实验过程中，我们将使用虚拟机环境，模拟真实网络环境下的木马攻击，并采取相应的防护措施。

二、实验目的1. 了解冰河木马的攻击原理和传播途径。

2. 掌握网络安全防护的基本方法，提高网络安全意识。

3. 熟悉网络安全工具的使用，为实际网络安全工作打下基础。

三、实验环境1. 操作系统：Windows 10、Linux Ubuntu2. 虚拟机软件：VMware Workstation3. 木马程序：冰河木马4. 网络安全工具：杀毒软件、防火墙四、实验步骤1. 搭建实验环境（1）在VMware Workstation中创建两个虚拟机，分别为攻击机和被攻击机。

（2）攻击机安装Windows 10操作系统，被攻击机安装Linux Ubuntu操作系统。

（3）在攻击机上下载冰河木马程序，包括GClient.exe和GServer.exe。

2. 模拟冰河木马攻击（1）在攻击机上运行GClient.exe，连接到被攻击机的GServer.exe。

（2）通过GClient.exe，获取被攻击机的远程桌面控制权，查看被攻击机的文件、运行进程等信息。

（3）尝试在被攻击机上执行恶意操作，如修改系统设置、删除文件等。

3. 检测与防护（1）在被攻击机上安装杀毒软件，对系统进行全盘扫描，查杀木马病毒。

（2）关闭被攻击机的远程桌面服务，防止木马再次连接。

（3）设置防火墙规则，阻止不明来源的连接请求。

4. 修复与恢复（1）对被攻击机进行系统备份，以防数据丢失。

（2）修复被木马破坏的系统设置和文件。

（3）重新安装必要的软件，确保系统正常运行。

五、实验结果与分析1. 攻击成功通过实验，我们成功模拟了冰河木马攻击过程，攻击机成功获取了被攻击机的远程桌面控制权，并尝试执行恶意操作。

2. 防护措施有效在采取防护措施后，成功阻止了木马再次连接，并修复了被破坏的系统设置和文件。

冰河木马教程

怎么用冰河木马（冰河木马教程）点这里下载==》冰河木马从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为）虽然过时了但6.0的到现在也有人用的不少现在为大家送上教程新手们看好了不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河v6.0GLUOSHI 专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way ，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么？因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K ，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

木马攻击与防范

1随着人类生活水平的逐渐提升，网络已成为人们生活中必不可少的一个部分，但是网络的安全问题让人们不得不担忧。

尤其是近几年，网络业务越来越多，许许多多的人采用了网络的方式来处理自己的日常生活事务，电子银行、网上购物已成为人们处理事务的常事了。

但是由于一些不法分子企图通过网络的方式来谋取非法的利益，尤其是一些敏感领域及一些数额较大的交易，更是成为了不法分子攻击的目标，给广大的网络用户带来了巨大的安全威胁，并造成了许多难以估计的损失。

黑客和计算机病毒是网络安全最为普遍的威胁。

特洛伊木马就是这样的一种病毒，它没有自我复制能力，但它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。

而完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。

“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑，为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

而冰河木马是国人编写的木马的经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，揭示木马普遍的工作原理，并提出相关的解决办法，提示人们要时刻注意网络的安全，保证自身利益不要受到侵害，对广大的网络用户而言是具有非常重要的意义的。

2 木马的定义、分类及发展2.1木马的定义“木马”程序是目前比较流行的病毒文件，但它与一般的病毒不同，它究竟与病毒有什么不同之处，有必要认识一下病毒及木马的定义，再对比分析病毒与木马的区别与联系。

2.1.1病毒的定义及特点病毒是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

计算机病毒的特点：计算机病毒是人为的特制程序，具有自我复制能力，具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性。

2.1.2木马的定义及特点特洛伊木马，英文叫做"Trojan house",其名称取自希腊神话的特洛伊木马记。

冰河木马教程

怎么用冰河木马（冰河木马教程）点这里下载==》冰河木马从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为）虽然过时了但6.0的到现在也有人用的不少现在为大家送上教程新手们看好了不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河v6.0GLUOSHI专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

2.2版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么？因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

冰河木马实验

冰河⽊马实验冰河⽊马实验实验报告实验⽬的与要求:1.了解⽊马运⾏机理2.掌握查杀⽊马的基本⽅法。

实验重点与难点:重点：1.对⽬标机使⽤冰河软件进⾏感染后控制2.清除冰河⽊马病毒难点：3.清除冰河⽊马病毒仪器设备及⽤具:1.连⽹的个⼈计算机2.Windows 2000 系统平台实验内容：1.冰河⽊马的组成1)G_Server.exe：被监控端后台监控程序，在安装前可以先通过“G_Client.exe”进⾏⼀些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端⼝、设置访问⼝令等。

⿊客们想⽅设法对它进⾏伪装，⽤各种⽅法将服务器端程序安装在你的电脑上，程序运⾏的时候⼀点痕迹也没有，你是很难发现有⽊马冰河在你的电脑上运⾏的;2)G_Client.exe：监控端执⾏程序，⽤于监控远程计算机和配置服务器程序;3)Operate.ini：G_Server.exe的配置⽂件;2.冰河⽊马的使⽤1）将G_Server.exe植⼊到⽬标主机2 ）打开瑞⼠军⼑图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。

对服务器进⾏简单配置。

监听端⼝2001可更换（范围在1024~32768之间）；关联可更改为与EXE⽂件关联（就是⽆论运⾏什么exe⽂件，冰河就开始加载；还有关键的邮件通知设置：A.服务器的配置1)安装路径：即服务器程序安装的位置，有三个选项：分别为“Windows”、“System”、“Temp”，这些都是Windows⾥的⼀些⽬录;2)⽂件名称：是服务器程序安装到⽬标计算机之后的名称，默认是Winoldap.exe，对于不熟悉Windows系统的⽤户来说，这可像是⼀个系统程序啊。

当然，这个名称是可以改的;3)进程名称：服务器程序运⾏时，在进程栏中显⽰的名称。

默认的进程名是Windows，也可以更改;4)访问⼝令：客户机连接服务器程序时需要输⼊的⼝令。

如果⽤于远程控制的时候，可以在⼀定程度上限制客户端程序的使⽤;5)敏感字符：设置冰河程序对某些敏感字符的信息加以记录。

冰河陷阱

另外，冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮，可以直接给入侵者发送一个反击消息，当然越恐怖效果越好，保证让这个入侵者“丢盔弃甲”，落荒而逃，再也不敢冒犯你了。
立即下载：冰河陷阱
把压缩包内的文件解压到一个目录，运行“冰河陷阱.exe”，如果当前系统中已经被别人植入了冰河木马的话，这时它会提示你是否自动清除冰河木马被控端程序，当然要选择“是”了，接下来它会显示出这个安装的“冰河”木马的配置信息，点击[确定]按钮，冰河陷阱就会自动彻底地从系统中清除冰河木马，并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。现在我们要打开该文件查看，注意记下“监听端口”中的数字“7626”(也可能会是其他数字)，后面要用到。
第二步：请君入瓮
接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后，点击“设置”菜单中的“设置监听端口”，然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样)，然后单击工具栏中的[打开陷阱]按钮，再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应，使入侵者以为你的机器仍处于他的控制之下。
ห้องสมุดไป่ตู้
为了防止这种不良影响，他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序，主要有两大功能：一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端，记录入侵者的所有操作。
下面我们就来通过一个“冰河”木马入侵者的诱捕实例来看看如何操作。
第一步：清除冰河木马
当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时，可以在系统托盘中看到冰河陷阱图标不断闪烁报警，同时还有声音报警。双击图标打开“冰河陷阱”主界面，在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。

冰河木马

实验项目：冰河木马测试实验一、实验目的通过在虚拟机上的实验，测试冰河木马的功能，并通过适当的方式对冰河木马的感染及清除过程进行实验。

二、实验原理冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。

Readme.txt简单介绍冰河的使用。

G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。

G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。

运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。

而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。

三、实验环境VMvare Workstation中建立的Windows2003操作系统。

四、实验内容冰河木马的感染、使用及卸载。

五、实验步骤1、冰河木马的感染将G_Server.exe文件复制到一台虚拟机中，使其运行，在另一台虚拟机中运行G_Client.exe文件，进入到冰河木马控制界面。

2、搜索计算机，找到已经感染木马的虚拟机。

3 、配置访问口令4、屏幕控制5、弹窗、发送消息6、进程控制7、冰河信使9、卸载冰河木马六、分析总结计算机木马的概念，我们都还局限在很窄的层面，通过对冰河木马的学习并使用它完成本次实验，认识到木马是怎样侵入到我们的计算机并获得所需要的信息的。

在本次实验中，我们直接将木马植入目标主机中，在现实中，我们可以通过其它途径使目标更容易感染木马，如下载运行隐藏病毒文件等。

对木马病毒的防护建议：及时下载系统补丁，修补系统漏洞；提高防范意识，不要打开陌生人的可以邮件和附件，其中可能隐藏病毒；如果电脑出现无故重启、桌面异常、速度变慢等情况，注意检查是否已中病毒；使用杀毒软件和防火墙，配置好运行规则。

冰河木马病毒入侵与防范详细实验报告图文教程[汇编]

目录简介 (1)工作原理 (1)步骤流程 (5)功能 (18)清除方法 (19)结论 (20)简介冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。

但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。

在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开TXT 文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

工作原理冰河木马是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。

一、基础篇（揭开木马的神秘面纱）无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。

流行的木马病毒如何清除

流行的木马病毒如何清除信任大家对木马不会感到生疏吧?如今木马程序的种类越来越多，其危害性也越来越大，被安装上木马程序的电脑多得数不胜数。

下面总结了一些流行的木马病毒的解决方法，让我们来看看如何去除它们。

1、BO2000查看注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse 中是否存在Umgr32.exe 的键值。

有则将其删除。

重新启动电脑，并将\Windows\System中的Umgr32.exe删除。

2、NetSpy查看注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run 中是否有"Spynotify.exe'和"Netspy.exe'。

有则将其删除，重新启动电脑后将\Windows\System中的相应文件删除。

3、Happy99此程序运行时，会在打开一个名为"Happy new year 1999'的窗口，并出现秀丽的烟花，它会复制到Windows主文件夹的"System'名目下，更名为Ska.exe，并创建文件Ska.dll，同时修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。

另外，用户可以检查注册\HEKY-LOCAL-MACHINE\Softwre\Microsoft\Windows\ Current Version\RunOnce中有无键值Ska.exe。

有则将其删除，并删除\Windows\System中的Ska.exe和Ska.dll 两个文件，将Wsock32.ska更名为Wscok32.dll。

4、NetBus在MS-DOS方式下用"Netstat-an'指令查看12345端口是否开启，在注册表相应位置中是否有可疑文件。

冰河木马教程

怎么用冰河木马（冰河木马教程）点这里下载==》冰河木马从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。

该软件主要用于远程监控，自动跟踪目标机屏幕变化等。

冰河木马算是木马的领军人物了（我自己认为）虽然过时了但的到现在也有人用的不少现在为大家送上教程新手们看好了不要在问冰河怎么用的菜问题了跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。

）准备工作软件发布：冰河专版为2001年12月15日发布。

冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。

版本后均非黄鑫制作。

目的：远程访问、控制。

选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。

注明：冰河有多个版本，现在流行冰河等，操作与介绍相同。

冰河之旅一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。

运行X-way，操作如下点击"主机扫描"，分别填入"起始、结束地址"（为什么因为--做事要有始有终，呵呵。

顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。

在"端口方式"的模式下选择"线程数"。

（一般值为100比较合适，网速快的可选150）。

最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。

结果如下：说明：上图ＩＰ地址的数字为我剪切处理过，参考价值不大。

：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。

《清除黑客程序》

《清除黑客程序》1．冰河冰河是国人自行开发的一种木马程序，中了冰河木马的机器将轻而易举的被远程机器所控制，就像使用自己的机器一样方便进行各种操作。

清除方法一：如果安装了“冰河”客户端程序，就很简单了。

运行客户端程序，在自动扫描中输入自己的IP，看一下扫描结果是否为“0K”，并且左边的“文件管理器”中是否会出现自己的IP。

如果有，在“命令控制台”中的“控制类命令”中的“系统控制”中点击“自动卸载冰河”就可以了。

清除方法二：如果没有“冰河”这个软件，也不用着急，可以用清理注册表的办法的方法查找并解除冰河木马。

运行REGEDIT命令打开注册表编辑器，在HKEY_LOCAL_MACHINE＼Software＼MiCrosoft＼Windows＼CurrentVersion＼Run中查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

(一般“冰河”的默认文件名为KERNEL32．EXE，注意此文件的名字可能会被种马的人改变)。

如果有，那我们先删除该键值中这一项，再删除RUNDRIVES这个键值。

一般“冰河”用户端程序的自我保护设为：关联TXT文件或EXE文件，关联的文件为：SYSEXPLR．EXE。

A．在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框，选择“文件类型”，在“已注册文件类型”框中找到“TXT FILE”这一项，看一下“打开方式”有无变化(一般为：NOTEPAD)，如果关联对象不是NOTEPAD，选择“编辑”按钮，在“操作”框中删除“OPEN”这—项，那关联TXT文件的用户程序就失效了。

B．如果是关联的EXE文件，那打开注册表编辑器，在HKEY_CLASSES_ROOT\．exe中把“默认”的键值随便改成什么（注意看清楚，等会儿要改回来）。

以上两步做完后，退出WINDOWS，在DOS状态下删除该“冰河”用户端程序，重新启动即可。

注意：要把EXE文件的注册表改回来。

附：建议采用第一种方法：方便简单，如果采用第二种方法，而你对注册表不是太熟悉的话，请一定先备份注册表文件。