<返回更多

黑客常用的木马工具

2020-02-25    
加入收藏

大家经常会听到“木马”一词。究竟木马是什么东西呢?这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。

木马,全称为:特洛伊木马(Trojan Horse)。

“特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前,在一次希腊战争中。麦尼劳斯(人名)派兵讨伐特洛伊(王国),但久攻不下。他们想出了一个主意:首先他们假装被打败,然后留下一个木马。而木马里面却藏着最强悍的勇士!最后等时间一到,木马里的勇士全部冲出来把敌人打败了!

这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里,掩饰真正的企图。

至于黑客程序里的特洛伊木马和故事里的特洛伊木马差不多。

黑客程序里的特洛伊木马有以下的特点:

(1)主程序有两个,一个是服务端,另一个是控制端。

(2)服务端需要在主机执行。

(3)一般特洛伊木马程序都是隐蔽的进程。

(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。

(5)每个系统都存在特洛伊木马。(包括windows,Unix,liunx等)

在许多人眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。(包括:转播,感染文件等。)

特洛伊木马程序的发展历史:

第一代木马:控制端 —— 连接 —— 服务端

特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。

典型木马:冰河,NetSpy,back orifice(简称:BO)等。

第二代木马:服务端 —— 连接 —— 控制端

特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。

典型木马:网络神偷,广外女生等。(反弹端口型木马)

下面,我们将介绍一个国产的特洛伊木马 —— 冰河。

特洛伊木马冰河的软件功能概述:

该软件主要用于远程监控,具体功能包括:

1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;

3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;

5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;

7.发送信息:以四种常用图标向被控端发送简短信息;

8.点对点通讯:以聊天室形式同被控端进行在线交谈。

看过冰河的功能概述后,是不是被它的功能所着迷呢?

接着,我会介绍特洛伊木马“冰河”的使用。

本次范例需要的系统及程序情况如下:

操作系统:Windows98

程序(一):特洛伊木马“冰河”V2.2 DARKSUN 专版

程序(二):Superscan3.0 英文版

本机IP:127.0.0.1

测试IP:127.0.0.3

新程序说明:

Superscan3.0是foundstone实验室出品的端口扫描器。特点:速度快,资源占用少。

Superscan:“scanner.exe”为主程序;“scanner.lst”、“hensss.lst”、“trojans.lst”为端口列表。

冰河:“G_Client.exe”为控制端;“G_Server.exe”为服务端。

本文运用端口扫描程序,在网络上寻找木马冰河的服务器端,从而达到对该用户实施入欺电脑的目的。

首先,把一些常见的木马端口和大家说说:[木马冰河:7626];[netspy(网络精灵):7306];[back orifice (bo):31337];[back orifice2000 (bo2000):54320];[netbus:12345];[subseven:27374或1243] 。

这是一个非常简单的入侵,但你别看小你这次的入侵哦!因为你可能在这次入侵里,获得上网密码、OICQ密码、E-MAIL密码、个人主页密码等等!

1、首先,我们打开Superscan3.0,在“IP”的“start”和“stop”里填上搜索范围。例如:202.103.139.1 —— 202.103.139.255。接着在“scan type”的“All ports from”里填上:7626(冰河服务端开的端口)。按“Start”开始扫描。过一会,下面就会出现很多IP,但并不是每一个都是。我们需要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河的主机。(假如没有找到,请不要灰心,继续扫描。一个成功的黑客最重要是有耐心!)

1、打开“冰河”的G_Client.exe控制端(不是G_Server.exe!),把你上面找到的主机IP添加上去,访问口令嘛,不用填。(听说现在有万能密码的!)然后单击该IP前面的小电脑图标,如果凑巧别人没有给该主机设置口令,那么它的C盘,D盘等,就会出现了,你可以象打开自己本地硬盘那样,浏览里边的文件夹了。

“冰河”上面有个“帮助”,里边有个“操作指南”。具体的使用,大家就看它吧。全中文介绍,也不用我多说了。

其实,“冰河”本身里边有个“自动搜索”,用它来找一段区域内的IP,速度和效果,是很不错的。

使用方法:按第三个图标“自动搜索”,首先要设置:

“起始域”(例如:127.0.0)

“延迟时间”:用默认的就可以

“监听端口”:7626

“起始地址”:1

“终止地址”:255

接着点击“开始搜索”。搜索完毕后,下面会有提示:对子网'127.0.0'搜索完毕,共找到N台计算机,其中N台可以用。接着,在右边框里边上方会显示搜索成功和失败的主机的。然后和前面一样,双击前面的电脑图标就可以了。

3、每次攻击,都会留下线索,所以请大家不要有恶意。你进入别人的电脑后,所得到的帐号,密码等,千万不要公开出来,也不要修改对方电脑里边的东西。然后,给别人善意的提醒对方,教他把木马清除掉! —— 这才是真正黑客:)

关于冰河的万能密码:

2.2版:Can you speak chinese?

2.2版:05181977

3.0版:yzkzero

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq2000!

许多人会问:天下间哪里会有这么多中了冰河的主机啊?

当然,任何一个人都不会令自己中上这么可怕的木马程序。

那么,我们怎样让别人的运行木马的服务端呢?

这个不是我们要探讨的问题。因为我们是要了解整个入侵过程,而不是要令别人受害!

最后,我希望大家记着:任何时候,攻击、破坏个人电脑都不是一个黑客的所为!

黑客常用的木马工具
 
 

如果清除冰河服务端:

方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体方法:

1、启动“冰河”的控制端程序。

2、选择“文件”——“添加主机”,或者直接点击快接按钮栏的第一个图标 。

3、弹出的对话框中,“远程主机”一项,填写自己的IP。

4、连接服务端,然后,点击“命令控制台”标签。

5、选择“控制类命令”——“系统控制”,在右面的窗口下方,你会发现四个按钮。点击“自动卸载”,就将冰河的服务器端清除了。

黑客常用的木马工具
 
 
 

 

方法二:

冰河 v1.1

1、打开注册表“Regedit.exe”。(可以在“开始”——“运行”里输入“regedit”。)

2、点击目录至:HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionRun

3、查找以下的两个路径,并删除

“C:windowssystemkernel32.exe”

"“C:windowssystemsy***plr.exe”

4、关闭“Regedit.exe”,重新启动Windows。

5、删除“C:windowssystemkernel32.exe”和“C:windowssystemsy***plr.exe”木马程序。

6:重新启动。完成。

冰河 v2.2

因为服务端程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。所以,不能明确说明。

你可以察看注册表,把可疑的文件路径删除。然后重新启动Windows,删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。

 

如何防御特洛伊木马:

对于第一代特洛伊木马,只需要安装“防火墙+杀毒软件”就可以有效预防特洛伊木马程序。

当然,你必须做到以下几点:

(1)不要乱下载黑客程序。

(2)不要随便打开陌生人发给你的程序。

(3)注意邮件里的附件。

记着经常升级防火墙和杀毒软件哦!

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>