如何清除冰河木马
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626.
一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
要清除冰河,首先要删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根,键值为C:\\Windows\\system\\Kernel32. exe,删除它。在注册表的
HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices
分支下,还有键值为C:\\Windows\\system\\ Kernel32.exe的,也要删除。
最后,恢复注册表中的TXT文件关联功能,只要将注册表的
HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command
下的默认值,由中木马后的C:\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C:\\Windows\\ notepad.exe %1即可。
冰河木马怎么下载
您好:1.建议您不要去下载和使用木马病毒,是属于违法犯罪行为。2.而且,如果您接收了木马病毒,那么该病毒会自动在您的电脑中优先运行。3.最终可能会导致您自己的帐号被盗,如果是您被盗号想找回,建议您到QQ安全中心进行正当申诉,不要通过非法手段找回。4.建议您到腾讯电脑管家官网下载一个电脑管家。5.在平时使用电脑的时候,打开电脑管家,可以受到电脑管家16层实时防护的保护和QQ账号全景防卫系统,全方位多维度保护账号安全,精确打击盗号木马,瞬时查杀并对风险预警。腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
怎么制作冰河木马?
您好:建议你不要制作或使用冰河木马病毒,冰河木马病毒会对您的电脑造成损坏的,如果您使用过这种不安全的冰河木马病毒的话,为了您电脑的安全建议您使用腾讯电脑管家的杀毒功能对您的电脑进行全面的杀毒吧,您可以点击这里下载最新版的腾讯电脑管家:腾讯电脑管家下载腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
冰河(木马)的破解篇
本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载方法做一个小小的总结: 端口扫描是检查远程机器有无木马的最好办法,端口扫描的原理非常简单,扫描程序尝试连接某个端口,如果成功,则说明端口开放,如果失败或超过某个特定的时间(超时),则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)但是值得说明的是,对于驱动程序/动态链接木马,扫描端口是不起作用的。 查找木马特定的文件也是一个常用的方法(这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......)冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己,只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)b.在-查看-文件夹选项-文件类型中编辑c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中;,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它......你苦了!连regedit都不能运行了! 之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的,值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的系统文件检查器,通过开始菜单-程序-附件-系统工具-系统信息-工具可以运行系统文件检查器(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧),用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复损坏的文件可能会导致系统崩溃或程序不可用!)
qq密码被盗的电脑有木马吗
一、QQ密码被盗的电脑不一定有木马,盗取QQ的办法目前有多种。以下简单列举几类QQ盗取办法,仅限于自我防护,防止QQ被盗。
二、常见盗取QQ办法:
(1)装木马程序。QQ被盗95%都是中了木马程序。木马程序就是上QQ时有个东西记录了QQ密码,然后通过邮件发送出去告诉别人。
(2)穷举盗号,也就是常说的在线破解。这种方法只对密码简单的用户有效,而且速度不佳,指定盗号的成功率几乎为零。就像随意把数字、字母组合当密码一个个去试到可以登陆为止。
(3)本地破解。当在一台电脑上过QQ后会留下某些东西在电脑上,而后来者通过一些手段把留下的东西破解出来,这东西或许是QQ密码(登陆QQ时选择保存密码的时候),或许是其他资料。
电脑中QQ盗号木马怎么办
您好!QQ中毒后一般表现 转载或发布垃圾或违法信息、借用您的个人信息骗取好友财产、盗用QQ本身的价值或游戏装备等!解决办法 1.当QQ密码泄漏被利用后,应尽快找个安全的电脑修改密码,并通知好友注意别上当受骗! 2.安装电脑管家,进行全面体检、和闪电查杀等功能,对电脑进全面的检查,避免在此中毒,如图: 管家下载地址:点我进入下载电脑管家~ 祝您生活愉快,如问题仍未得到解决可以去电脑管家企业平台追问,我们会尽快为您解决这个问题的!
冰河木马的冰河木马原理
木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。 在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):服务端:G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)G_Server.Listen(等待连接)客户端:G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)G_Client.Connect (调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)G_Server.Accept requestIDEnd Sub客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口Private Sub G_Server_Close()G_Server.Close (关闭连接)G_Server.Listen (再次监听)End Sub其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令...... 由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。 (控制对方鼠标、键盘,并监视对方屏幕)keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。MOUSEEVENTF_MOVE 移动鼠标MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标 a.取得计算机名 GetComputerNameb.更改计算机名 SetComputerNamec.当前用户 GetUserName函数d.系统路径Set FileSystem0bject = CreateObject(Scripting.FileSystemObject) (建立文件系统对象)Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系统目录)Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安装目录)(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionExf.当前显示分辨率Width = screen.Width \ screen.TwipsPerPixelXHeight= screen.Height \ screen.TwipsPerPixelY其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Windows的垃圾站-注册表比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。 a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:ExitWindowsEx(ByVal uFlags,0)当uFlags=0 EWX_LOGOFF 中止进程,然后注销当uFlags=1 EWX_SHUTDOWN 关掉系统电源当uFlags=2 EWX_REBOOT 重新引导系统当uFlags=4 EWX_FORCE 强迫中止没有响应的进程b.锁定鼠标ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以注:RECT是一个矩形,定义如下:Type RECTLeft As LongTop As LongRight As LongBottom As LongEnd Typec.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的......d.让对方掉线 RasHangUp......e.终止进程 ExitProcess......f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口 在VB中只要Set RegEdit=CreateObject(WScript.Shell)就可以使用以下的注册表功能:删除键值:RegEdit.RegDelete RegKey增加键值:RegEdit.Write RegKey,RegValue获取键值:RegEdit.RegRead (Value)记住,注册表的键值要写全路径,否则会出错的。7.发送信息很简单,只是一个弹出式消息框而已,VB中用MsgBox()就可以实现,其他程序也不太难的。8.点对点通讯呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑......)9.换墙纸CallSystemParametersInfo(20,0,BMP路径名称,&H1)值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找Bill吧。 (Windows系统,一个捉迷藏的大森林)木马并不是合法的网络服务程序,因此,它必须想尽一切办法隐藏自己,好在Windows是一个捉迷藏的大森林! 这是最基本的了,如果连这个都做不到......(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标...这也太嚣张了吧……)在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。在任务管理器中隐形:在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程,这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖茨的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。在VB中如下的代码可以实现这一功能:Public Declare Function RegisterServiceProcess Lib kernel32 (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As LongPublic Declare Function GetCurrentProcessId Lib kernel32 () As Long(以上为声明)Private Sub Form_Load()RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)End SubPrivate Sub Form_Unload()RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)End Sub
