黑客常用的木马工具

大家经常会听到“木马”一词。究竟木马是什么东西呢？这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。

木马，全称为：特洛伊木马（Trojan Horse）。

“特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前，在一次希腊战争中。麦尼劳斯（人名）派兵讨伐特洛伊（王国），但久攻不下。他们想出了一个主意：首先他们假装被打败，然后留下一个木马。而木马里面却藏着最强悍的勇士！最后等时间一到，木马里的勇士全部冲出来把敌人打败了！

这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里，掩饰真正的企图。

至于黑客程序里的特洛伊木马和故事里的特洛伊木马差不多。

黑客程序里的特洛伊木马有以下的特点：

（1）主程序有两个，一个是服务端，另一个是控制端。

（2）服务端需要在主机执行。

（3）一般特洛伊木马程序都是隐蔽的进程。

（4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在接受命令后，会执行相应的任务。

（5）每个系统都存在特洛伊木马。（包括Windows，Unix，liunx等）

在许多人眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病毒的性质。（包括：转播，感染文件等。）

特洛伊木马程序的发展历史：

第一代木马：控制端 —— 连接 —— 服务端

特点：属于被动型木马。能上传，下载，修改注册表，得到内存密码等。

典型木马：冰河，NetSpy，back orifice（简称：BO）等。

第二代木马：服务端 —— 连接 —— 控制端

特点：属于主动型木马。隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态连接库）隐藏进程的，甚至出现能传播的木马。

典型木马：网络神偷，广外女生等。（反弹端口型木马）

下面，我们将介绍一个国产的特洛伊木马 —— 冰河。

特洛伊木马冰河的软件功能概述：

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

看过冰河的功能概述后，是不是被它的功能所着迷呢？

接着，我会介绍特洛伊木马“冰河”的使用。

本次范例需要的系统及程序情况如下：

操作系统：Windows98

程序（一）：特洛伊木马“冰河”V2.2 DARKSUN 专版

程序（二）：Superscan3.0 英文版

本机IP：127.0.0.1

测试IP：127.0.0.3

新程序说明：

Superscan3.0是foundstone实验室出品的端口扫描器。特点：速度快，资源占用少。

Superscan：“scanner.exe”为主程序；“scanner.lst”、“hensss.lst”、“trojans.lst”为端口列表。

冰河：“G_Client.exe”为控制端；“G_Server.exe”为服务端。

本文运用端口扫描程序，在网络上寻找木马冰河的服务器端，从而达到对该用户实施入欺电脑的目的。

首先，把一些常见的木马端口和大家说说：[木马冰河：7626]；[netspy(网络精灵)：7306]；[back orifice （bo）：31337]；[back orifice2000 （bo2000）：54320]；[netbus：12345]；[subseven：27374或1243] 。

这是一个非常简单的入侵，但你别看小你这次的入侵哦！因为你可能在这次入侵里，获得上网密码、OICQ密码、E-MAIL密码、个人主页密码等等！

1、首先，我们打开Superscan3.0，在“IP”的“start”和“stop”里填上搜索范围。例如：202.103.139.1 —— 202.103.139.255。接着在“scan type”的“All ports from”里填上：7626（冰河服务端开的端口）。按“Start”开始扫描。过一会，下面就会出现很多IP，但并不是每一个都是。我们需要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河的主机。（假如没有找到，请不要灰心，继续扫描。一个成功的黑客最重要是有耐心！）

1、打开“冰河”的G_Client.exe控制端（不是G_Server.exe！），把你上面找到的主机IP添加上去，访问口令嘛，不用填。（听说现在有万能密码的！）然后单击该IP前面的小电脑图标，如果凑巧别人没有给该主机设置口令，那么它的C盘，D盘等，就会出现了，你可以象打开自己本地硬盘那样，浏览里边的文件夹了。

“冰河”上面有个“帮助”，里边有个“操作指南”。具体的使用，大家就看它吧。全中文介绍，也不用我多说了。

其实，“冰河”本身里边有个“自动搜索”，用它来找一段区域内的IP，速度和效果，是很不错的。

使用方法：按第三个图标“自动搜索”，首先要设置：

“起始域”（例如：127.0.0）

“延迟时间”：用默认的就可以

“监听端口”：7626

“起始地址”：1

“终止地址”：255

接着点击“开始搜索”。搜索完毕后，下面会有提示：对子网'127.0.0'搜索完毕，共找到N台计算机，其中N台可以用。接着，在右边框里边上方会显示搜索成功和失败的主机的。然后和前面一样，双击前面的电脑图标就可以了。

3、每次攻击，都会留下线索，所以请大家不要有恶意。你进入别人的电脑后，所得到的帐号，密码等，千万不要公开出来，也不要修改对方电脑里边的东西。然后，给别人善意的提醒对方，教他把木马清除掉！ —— 这才是真正黑客：）

关于冰河的万能密码：

2.2版：Can you speak chinese?

3.0版：yzkzero

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：dzq2000!

许多人会问：天下间哪里会有这么多中了冰河的主机啊？

当然，任何一个人都不会令自己中上这么可怕的木马程序。

那么，我们怎样让别人的运行木马的服务端呢？

这个不是我们要探讨的问题。因为我们是要了解整个入侵过程，而不是要令别人受害！

最后，我希望大家记着：任何时候，攻击、破坏个人电脑都不是一个黑客的所为！

如果清除冰河服务端：

方法一： 俗话说，解铃还需系铃人。中了冰河，就用它的控制端来卸载服务端。具体方法：

1、启动“冰河”的控制端程序。

2、选择“文件”——“添加主机”，或者直接点击快接按钮栏的第一个图标 。

3、弹出的对话框中，“远程主机”一项，填写自己的IP。

4、连接服务端，然后，点击“命令控制台”标签。

5、选择“控制类命令”——“系统控制”，在右面的窗口下方，你会发现四个按钮。点击“自动卸载”，就将冰河的服务器端清除了。

方法二：

冰河 v1.1

1、打开注册表“Regedit.exe”。（可以在“开始”——“运行”里输入“regedit”。）

2、点击目录至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3、查找以下的两个路径，并删除

“C:\windows\system\kernel32.exe”

"“C:\windows\system\sy***plr.exe”

4、关闭“Regedit.exe”，重新启动Windows。

5、删除“C:\windows\system\kernel32.exe”和“C:\windows\system\sy***plr.exe”木马程序。

6：重新启动。完成。

冰河 v2.2

因为服务端程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。所以，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。然后重新启动Windows，删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。

如何防御特洛伊木马：

对于第一代特洛伊木马，只需要安装“防火墙+杀毒软件”就可以有效预防特洛伊木马程序。

当然，你必须做到以下几点：

（1）不要乱下载黑客程序。

（2）不要随便打开陌生人发给你的程序。

（3）注意邮件里的附件。

记着经常升级防火墙和杀毒软件哦！：）