浅析冰河木马

“冰河”木马的攻击与防范

林楚金班级(YL03) 0930103238

前言

随着网络的日益发展，通过网络攻击的手段也变得复杂多样，有组织，有预谋，有目的的攻击，破坏活动也频繁的发生，攻击点也越来越精确集中，攻击破坏的影响面不断扩大，甚至产生连锁反应，所以，我们必须要构筑一种主动的安全防御，才有可能最大限度地有效应对各种不同的攻击方式。接下来给大家介绍一下我对“冰河”木马的认识和“冰河”木马的一些基本的防范措施。在此之前，先简单的介绍一下什么是特洛伊木马……

目录

一、什么是木马 (3)

二、“冰河”木马的简介 (6)

三、“冰河”木马工作原理 (7)

四、“冰河”木马工作过程或步骤流程 (8)

五、“冰河”木马功能或后果 (17)

六、“冰河”木马防范手段与措施 (18)

什么是木马

1、木马的基础

特洛伊木马(TrojanHorse)简称“木马”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

在计算机领域中，木马其实就是类恶意程序。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，病毒是一自我复制为明确目的的编写代码，它附着宿主程序，然后试图在计算机之间传播，会对硬件、软件和信息造成破坏。而“木马”不会自我繁殖，也不会刻意的去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被施种者电脑的门户，使施种者可以任意损坏、窃取被施种者的文件，甚至远程控制被施种者的电脑。“木马”与常用的远程控制软件不同，远程控制软件是善意的控制，不具有隐蔽性；“木马”正好相反，它是以“偷窃”为目的的远程控制，具有很强的隐蔽性。

一个完整的“木马”程序包括“服务器”和“控制器”两部分。被施种者的电脑是“服务器”部分，而施种者的电脑正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使施种者可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

2、木马的特性和功能

木马一般具有以下几个特性：

●伪装性(木马程序善于改头换面)

●潜伏性(等控制端的信号)

●隐蔽性(一般人不易发觉)

●不易删除(深藏于各个系统文件中)

通用性(能适应多种操作系统)

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了施种者，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

3、木马的攻击原理

木马的攻击过程大致上可以分为6步进行：

1)配置木马。木马的配置主要是实现木马的伪装和信息反馈方式配置。

木马的伪装一般会采用修改图标、绑定文件、定制端口、自我销毁的

手段。

2)木马的传播。木马的传播方式主要有两种，一种是通过E-mail附件的

形式传播，另一种是通过在网上提供下载的名义，将木马捆绑在软件

上（如右图所示）。

运行木马。服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS 或C:\WINDOWS\SYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了。

4)信息泄露。木马安装成功后会将服务端电脑上的相关信息通过E-mail、

IRC、ICQ等方式告知控制端。

5)建立连接。连接必须服务端已安装木马程序或控制端和服务端都在线

的条件下才能成功连接。连接有正向连接和方向连接（反弹式连接）两种，前者是控制端向被控制端发送信号，后者是被控制端主动向控制端发信号。

6)远程控制。木马连接建立后，控制端端口和木马端口之间将会出现一

条通道。

“冰河”木马的简介

木马的发展可以分为四代，最早的是以对付UNIX为主，针对WINDOS的只有BO 和Netspy；第二代则是BO2000、Sub7、冰河（国产最早）、广外女生等；到了第三代比较有名的就是灰鸽子；第四代则是广外幽灵和广外男生。

冰河是最优秀的国产木马程序之一，开发于1999年，同时也是被使用最多的一种木马，我个人认为，如果“冰河”木马这个软件做成规规矩矩的商业用远程控制软件，绝对不会比那个体积庞大、操作复杂的远程控制软件差，但可惜的是，它最终变成了黑客常用的工具。冰河是由黄鑫开发的免费软件，目前的最高版本是8.4，由于它是国产软件，所以大多数网络黑客在初期都以它用来作为入门程序。冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

目前，冰河还在不断更新，进行版本升级，对其默认配置进行修改，来躲避杀毒软件的查杀。新出的冰河8.4的程序界面如下图所示：那些对你的电脑不怀好意的人，就是用这个控制软件在网络的另一头，在你没有查觉的情况下，严重危害你的电脑，可以完全控制你的电脑，偷到你的电

这是很可怕的。

脑上的一切文件，破坏你的电脑，而这一切，你很难发现，

三、 “冰河”木马工作原理

从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe ，客户端程序为G-client.exe ，默认连接端口为7626。一旦运行G-server ，那么该程序就会在C:/Windows/system 目录下生成Kernel32.exe 和sysexplr.exe ，并删除自身。 Kernel32.exe 在系统启动时自动加载运行，sysexplr.exe 和TXT 文件关联。即使你删除了Kernel32.exe ，但只要你打开 TXT 文件，sysexplr.exe 就会被激活，它将再次生成Kernel32.exe ，于是冰河又回来了！这就是冰河屡删不止的原因。

对于冰河，被控制端相当于一台服务器，控制端则是一台客户机，G_server.exe 是守护进程，G_client 是客户端的应用程序，这一点很容易让人混淆。我们可以把冰河比作网络客户/服务器模式的原理，服务器提供服务（被控制端），客户机接受服务（客户端）。作为服务器的主机一般会打开一个默认的端口并进行监听, 如果有客户机向服务器的这一端口提出连接请求,

服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。