前言：

冰河木马是一种远程控制木马，这次主要想认识一下利用冰河来控制目标主机的整个流程，其实冰河是巨老版本的木马，在很多版本较新的WIN系统即使不开杀毒软件，运行冰河服务端也不能开启7626端口。因此这里用的是win2003当靶机，win7当攻击机器。

 

步骤一：

准备好冰河木马,第一个是客户端，放在攻击机上进行控制，第二个是服务端，放到靶机上的

对冰河服务器程序G_ Server.exe进行配置，配置好了放到靶机上

 

步骤2：在靶机上运行g_server.exe，然后查看自己的端口开放情况，是否打开了7626端口,下图已开放。

查看木马的安装路径是否为所设置的路径，如下图所示

检查木马进程在进程列表中所显示的名称与我们设置的是符合的，和我之前设置的进程jammny一致

如果为木马设置了访问口令,是必须通过设定的口令才能够对木马实施远程控制，不然会出现下图的情况

在感染主机上验证冰河的文件关联功能,将木马主程序删除,打开关联的文件类型,查看木马主程序是会恢复的。

 

步骤3：在攻击端对已经植入木马的主机进行范围扫描

然后再文件管理器列表就能访问目标主机的文件了。

不仅如此，客户端对连接上的主机可以通过冰河信使来发送信息

下图是服务端靶机接收的信息

远程控制木马自然是要对靶机进行远程控制的了

 

步骤4：采用手工方法删除冰河木马,主要步骤包括:

①检查系统文件,删除C:\Window\system32下的 Kernel32.exe和 Sysexplr. exe文件。

②如果冰河木马启用开机自启动,那么会在注册表项 HKEY LOCAL_ MACHINE\software\microsoft\windows\Currentversion\Run中扎根。检查该注册表项,如果服务器程序的名称为KERNEI32,EXE,则存在键值C:\windows\system\ Kemel32.exe,删除该键值。

③检查注册表项HKEY_ LOCAL_ MACHINE \software \microsoft\windows\Current Version\Runservices,如果存在键值C:\windows\svstem\ Kerel32.exe的,也要删除。

④如果木马设置了与文件相关联,例如与文本文件相关联、需要修改注册表HKEY_ CLASSES_ ROOT\textfile l shell \open command下的默认值,由感染木马后的值:C\windows\system \Sysexplr.exe%1改为正常情况下的值:C: \windows\notepad.exe%1,即可恢复TXT文件关联功能。完成以上步骤后,依据端口和进程判断木马是否已被清除。

 

下图已经删除木马，重新查看端口并未发现开放7626端口：

查看进程也未发现相关程序：

 

步骤5：使用冰河陷阱清除冰河木马,

 

步骤7：在此基础上,利用冰河陷阱的伪装功能来诱捕入侵者。运行冰河陷阱后，使主机系统完全模拟真正的冰河服务器程序对攻击者的控制命令进行响应，使攻击者认为感染计算机仍处于他的控制之下，进而观察攻击者在主机上所进行的攻击操作

开启陷阱，通过下图能观察到攻击者的攻击操作：

 

然后我们可以用信鸽对入侵者发起问候：

下图是攻击者收到的信息：

 

END

每天积累一点点，终究有一天爆发出来强大的力量。我是jammny，喜欢的点个赞！加个关注吧！持续更新病毒木马系列。