冰河木马入侵者诱捕实例
- 7/18/2014 3:19:54 PM
- 蓝梦
- 网络安全
- 来源:蓝梦网络营销策划有限公司
- 围观:次
提起“冰河”木马,相信没有多少网民不知道。作为国内木马程序的经典之作,它操作简单,功能强大。虽然原作者黄鑫从2.2B版本已 完全 停止了开发,但许多“好事者”却继续在对“冰河”程序进行不断的修改。因而 网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP和 各种“XX专版”,更有甚者已 开始对修改后的冰河程序进行收费,这引发 了原作者黄鑫的注意。
为了不 这类 不良影响,他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河圈套 ”程序,主要有两大功能:一是自动清除所有版本“冰河”被控端程序。二是把自己假装 成“冰河”被控端,记录入侵者的所有操作。
下面我们就来通过一个“冰河”木马入侵者的诱捕实例来看看如何操作。
第一步:清除冰河木马
把紧缩 包内的文件解压到一个目录,运行“冰河圈套 .exe”,如果当前系统中已 被他人 植入了冰河木马的话,这时候 它会提示你是不是 自动清除冰河木马被控端程序,固然 要选择“是”了,接下来它会显示出这个安装的“冰河”木马的配置信息,点击[肯定 ]按钮,冰河圈套 就会自动完全 地从系统中清除冰河木马,并将其配置信息和 清除情况保存在当前目录的“清除日志.txt”文件中。现在我们要打开该文件查看,注意记下“监听端口”中的数字“7626”(也可能会是其他数字),后面要用到。
另外还要记下“接收IP信箱”后面显示的邮箱,这就是入侵者接收你的IP地址和 密码等信息的信箱,以后你可以向该信箱发出警告 信或 要求 信箱服务商的管理员帮助。
我在试用中发现如果“冰河圈套 .exe”处于运行状态,冰河木马被控端程序将没法 在你的系统中再次运行。而且每次它启动时都会自动检查系统中有没有 冰河被控端程序,并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项,让它开机自动运行。
第二步:请君入瓮
接下来利用“冰河圈套 ”的假装 功能来诱捕入侵者。运行冰河圈套 后,点击“设置”菜单中的“设置监听端口”,然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样),然后单击工具栏中的[打开圈套 ]按钮,再将冰河圈套 最小化到系统托盘。这时候 冰河圈套 会完全摹拟 真实的 “冰河”被控端程序对入侵者的控制命令进行响应,使入侵者以为你的机器仍处于他的控制之下。
当有入侵者通过“冰河”客户端连接到冰河圈套 所假装 的被控端程序上时,可以在系统托盘中看到冰河圈套 图标不断闪烁报警,同时还有声音报警。双击图标打开“冰河圈套 ”主界面,在列表中可以看到入侵者的IP地址、所在地和 登录密码和详细的操作进程 。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。
另外,冰河圈套 还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮,可以直接给入侵者发送一个反击消息,固然 越恐怖效果越好,保证让这个入侵者“丢盔弃甲”,落荒而逃,不再 敢冒犯你了。