怎么用冰河木马(冰河木马教程)
点这里下载==》冰河木马
从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。该软件主要用于远程监控,自动跟踪目标机屏幕变化等。
从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。该软件主要用于远程监控,自动跟踪目标机屏幕变化等。
冰河木马算是木马的领军人物了(我自己认为) 虽然过时了 但6.0的到现在也有人用的不少 现在为大家送上教程 新手们看好了 不要在问冰河怎么用的菜问题了
跨越冰河
(冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马。)
准备工作
软件发布:
冰河v6.0GLUOSHI专版为20##年
12月15日发布。
冰河原作者:黄鑫,冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。
目的:远程访问、控制。
选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。
注明:冰河有多个版本,现在流行冰河8.0等,操作与介绍相同。
冰河之旅
一.扫描端口:
放弃冰河客户端自带的扫描功能,速度度慢,功能弱!建议使用专用扫描工具。运行X-way,操作如下
点击"主机扫描",分别填入"起始、结束地址"(为什么? 因为--做事要有始有终,呵呵。顺便提示一下菜菜鸟型的:结束地址应大于起始地址)。
在"端口方式"的模式下选择"线程数"。(一般值为100比较合适,网速快的可选150)。最后进入"高级设置"-"端口"选择"ONTHER",改变其值为"7626"后进行扫描。
结果如下:
说明:上图IP地址的数字为我剪切处理过,参考价值不大。:)
二.冰河的操作:
连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使
主要几代作品服务端图标的变化:其中新版冰河服务端大小为182K,客户端大小为451K
先不要乱动!认清G_Server
它就是令网人闻风色变的服务端了。
(冰河6默认的写字板图标就很好,使用前改个好点的名称即可,不一定要捆绑)
1.连接:
打开瑞士军刀图标的客户端
G_Client
,选择
添加主机,填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。
(初始密码应该为空,
口令有误是已被别人完全控制
)直到终于出现:
注:3.1以下版本的万能注册码:(使用其他版本冰河时,填在右上访问口令里,
应用后,连接)
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000! 仅供参考
2.控制:
在文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,
选择打开C:会看见许多的文件夹,这时我们就算已经踏入别人的领土,对于
第一次入侵的朋友是不是有些感动?别急,我们对"养马场"的探索还未开始!
在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域,
顺便了解一下他有什么不良爱好,呵呵。是不是有些收获,见到了你喜欢的游戏,
下载?还是省省吧,远程的机器承受不了。
(如果在我的文档里看见JPG格式的文件,有兴趣的话你可以点右键下载下来看看
是不是他MM的照片。:))
在文件管理区你可以对文件、程序进行以下主要几项操作:
上传、下载、删除、
远程打开
。击鼠标右键看到
3.口令获取:
口令类命令里可是有不少好东西的!如果你运气够好的话,你会找到很多的网站名、用户名和口令。有什么用?自己想去吧.......图中第一处抹黑的是上网帐号的密码,这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了,抹掉是因为我们现在只是做学习研究用,不是不法分子在搞破坏。:)
注:卸载冰河的方法,在命令控制台下的控制类命令-系统控制可以看到,
点一下就可安全清除冰河。
4.屏幕抓取:
照指示操作就行,我不喜欢用这个,抓图的速度慢质量也不好,
那个控制屏幕也就顺便省了吧。
5.配置服务端:
在使用木马前配置好,一般不改变,选择默认值。
细节注意如下:监听端口7626可更换(范围在1024~32768之间);
关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;
怎么用冰河木马(冰河木马教程)(2)
还有关键的邮件通知设置: 附:如在设置类命令 - 服务端配置 里选择 读取服务端配置,可以看到是控制者 设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子 查出是谁在黑你。(小心点好,别
还有关键的邮件通知设置:
附:如在设置类命令
-
服务端配置
里选择
读取服务端配置,可以看到是控制者
设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子
查出是谁在黑你。(小心点好,别中了别人的借刀杀人之计)如下:
6.冰河信使的使用:
也许这时候你还有兴趣和机子的主人聊聊,就用自带的
冰河信使
,是不是吓了他一跳?(不敢回答或关机逃跑了?)遇个胆大的你
们也许聊的很投机,你作为他眼里的大虾是不是要表现一下?
告诉他:"不要怕。我,远程(神气的很)帮你杀毒好了!"呵呵,只要照图
轻轻点一下,陡受惊吓的人是不是还会对你感激涕零? 恩,兴奋的神经慢慢
冷却,是结束我们的这次友好访问的时候了。
其实冰河的基本操作就是这么简单,请熟练掌握它,以后你要接触的木马有6
成与它的基本操作类似。
夜阑卧听风吹雨,铁马冰河入梦来
。夜了,休息一下,养足精神再来继续我们
的木马旅程。
冰河的几种清除方法:
①:文中介绍的自卸载功能。
②:部分杀毒软件
,(这个版本比较新,许多杀毒软件不能识别。推荐:
升级过的KV3000等)
③:修改注册表
。运行regedit,查找下面的键值。
第一步
:删除相对的可疑键值。(不熟悉的朋友不要乱动)
第二步
:重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\G_server.exe",会变更)这一步很重要。
最后
: 重启计算机即可
冰河木马下载地址:http://www.heibai.net/download/Soft/Soft_23826.htm
第二篇:木马和冰河的使用!【教程】
木马和冰河的使用!【教程】
木马
大家对他的名字很熟悉吧??是啊木马作为一个远程控制的软件已经深入人心,木马是 什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这 个工具作一个简单的介绍:
黑客程序里的特洛伊木马有以下的特点:
(1)主程序有两个,一个是服务端,另一个是控制端。(如果你下载了,请千万不要 用鼠标双击服务器端)
(2)服务端需要在主机(被你控制的电脑)执行。
(3)一般特洛伊木马程序都是隐蔽的进程。(需要专业的软件来查杀,也有不用软件 查杀的办法,我会介绍)
(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在 接受命令后,会执行相应的任务。
(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)
眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病 毒的性质。(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是 一种使用简单但是危害比较大的软件)
木马的发展:
第一代木马:控制端 -- 连接 -- 服务端
特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。
典型木马:冰河,NetSpy,back orifice(简称:BO)等。
第二代木马:服务端 -- 连接 -- 控制端
特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态 连接库)隐藏进程的,甚至出现能传播的木马。
典型木马:网络神偷,广外女生等。(反弹端口型木马)
第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监 控(像金山,天网等)
随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半 病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你 打开这个文件,你就肯定会被中上木马,甚至可以在网络上通过下载来传播)所以查杀 木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软 件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在网络上进行升级 的并不多,所以木马还是很有使用空间的。下面,我们将介绍一款国产的木马------- 冰河。
需要工具:冰河(随便你找什么版本,因为界面根本就差不多)
Superscan3.0 中文汉化版(上黑白搜索一下可以找到)
首先最重要的一步-------工具接压缩(啊~~我知道是废话。。大家多多包涵嘛。。不 要打拉)
然后运行Superscan3.0(就是那连着的两个电脑图标)
出现界面在IP表里面有两个选项
起始IP:
终止IP:
随便填上两个IP地址(最好是C类IP范围从192.0.0.0--223.255.255.255)
顺便讲一下IP的类型:
A类范围:0.0.0.0---127.255.255.255
B类范围:128.0.0.0---191.255.255.255
C类范围:192.0.0.0---223.255.255.255
D类范围:224.0.0.0---239.255.255.255
E类范围:240.0.0.0---247.255.255.255
一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚,有兴趣的朋 友可以看看相关的资料。。。。。
闲话说到这里我们继续看起始IP和终止IP
我给大家一个参考
起始IP:202.103.139.1
终止IP:2020103.139.255
填好这个在扫描类型里看列表中定义:
你可以扫描很多的端口,但那对我们的木马攻击没有实际意义
所以我们把两个窗口填上7626(冰河服务端开的端口)。
好了,点开始。
扫描结果会出现在底下兰色的列表中
当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河 的主机。(假如没有找到,请不要灰心,继续扫描。一个成功的黑客最重要是有耐心 !)
好了打开我们的冰河的客户端(再次提醒!!千万不要点服务器端!!!否则你等于种 木马给自己!!什么??你已经点了??你不会那么傻吧。。。。)
具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕 变化的同时,监控端的一切键盘及鼠标*作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对 话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当 前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定 注册表等多项功能限制;
5.远程文件*作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏 览文本文件、远程打开文件(提供了四中不同的打开方式--正常方式、最大化、最小化 和隐藏方式)等多项文件*作功能;
6.注册表*作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表 *作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
呵呵,是不是很拽??哼哼~~我叫你不服!!!我要删掉你C盘文件!!!修改你注册 表!!盗你QQ号码!!上网帐号!!
!………………………………………………………………
罗嗦一下!!你们千万不要搞破坏哦,学会了使用就好。。。
接着,我会介绍特洛伊木马“冰河”的使用:
首先打开客户端
出现*作界面
文件 编辑 设置 帮助
点文件出现下拉菜单
点自动搜索
出现提示框
里面只有起始域 起使地址 终止地址
这三个比较有用
比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25
那么我们就在起始域里输入:202.103.139
起始地址:25
终止地址:25
表示搜索这一个主机
如果扫描结果里显示ERR表示该计算机没有种木马,如果是OK你就爽拉~~
(你也可以在起始域里输入:202.103.139起始里面:1终止里面255,这样是搜索 202.103.139子网里所有的计算机)
看到这里有的朋友会问拉,既然木马可以自己扫描为什么还要上面哪个工具??嘿嘿~~ 哪个比较快嘛,多学一点没有坏处的~~(啊~~我错了还不行??大家息怒)
只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个 小加号,点开他你可以随便对对方的文件进行修改删除了,你甚至可以上传一个病毒到 他的文件夹中(不推荐,你们没那么大仇吧??)
好了我们再来看看文件管理右面的命令控制台,这里有你感兴趣的东西哦~~命令很简单 都是一看就会的,你们只要每个都实验一下就知道作什么用的拉
由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”
简单的就象小孩子的游戏~~~
看看下面有什么??
远程关闭计算机
远程从新启动计算机
后面两个没什么用不理他也罢
你只要点一下远程“关闭计算机”
OK拉,他的电脑自己关机拉,不相信??好,QQ上和他说话,他能回答你才怪:) 好了,关于*作的方法我已经向大家介绍了,这是一个傻瓜式的软件,*作命令全中文, 作用一看就知道,很容易上手,用他来盗QQ也不错哦~~~~(在口令类命令的系统信息及 口令里,要先做键盘记录哦)具体方法请自己研究,我可不想犯罪。。
关于使用方法就介绍到这里,到这里以上为止都是对不特定人物的入侵,那么要怎么对 特定的人物进行入侵那??记得我不叫你们点的服务器端吗?呵呵,就是他,他是没有 图标的一个运行文件,可以夹带在几乎任何文件里运送,比如照片,FLASH等……(有 相关的合成软件,我不知道具体那里有下载,不过我有的,你们需要可以找我,不过不 要拿来作坏事)你只需要给你的网友用QQ传送个照片呀,一篇文章呀就可以顺利种上木 马,然后你要取得他(她)的IP地址就可以对他进行控制拉,这方法不是我教你们的啊 !!以后不要出卖我,还有电子邮件也可以传播。。。。。。。木马病毒。。
方法有很多大家可以自己研究。。。。。。
下面有几点提示:
1:为什么我解压缩的时候杀毒软件老是报有病毒呀??
木马本身就是一个病毒,只要你不点服务器端,对你不会造成任何影响
运行的时候也要关掉防火墙,否则系统无法运行。
2:为什么我种上木马以后连接不到计算机??
很简单,你的版本过旧拉,去下载新的版本吧,再者对方在网吧,由于
设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。
什么??你不知道他是不是在家??看QQ的IP地址
比如对方IP是202.103.139.22:4000表示在家
202.103.139.22:1030网吧
只有后面是4000、7000的用户是在家
有的时候是4001、4002表示对方现在运行的QQ数目,不用管他
3:关于冰河的万能密码:
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000!
有的是要密码口令登陆的,不过一般不要,也不用刻意注意
4:我也种上服务器端了,对方也在家,他也并没发觉我给他种了,但就是连接不正常 呵呵,对方懂得使用代理服务器那你看到的IP地址不是真实的IP地址。这种情况,你还 是放弃吧。
5:冰河是一个很麻烦的家伙,卸载很麻烦就是你安装以后卸载和其他的程序不一样 网上相关文章很多,我由于最近考试关系就不一一介绍了,你可以去黑白网络看看:) 6:如果清除冰河服务端:
方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体 方法:
1、启动“冰河”的控制端程序。
2、选择“文件”--“添加主机”,或者直接点击快接按钮栏的第一个图标 。
3、弹出的对话框中,“远程主机”一项,填写自己的IP。
4、连接服务端,然后,点击“命令控制台”标签。
5、选择“控制类命令”--“系统控制”,在右面的窗口下方,你会发现四个按钮。点 击“自动卸载”,就将冰河的服务器端清除了。
方法二:
冰河 v1.1
1、打开注册表“Regedit.exe”。(可以在“开始”--“运行”里输入
“regedit”。)
2、点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、查找以下的两个路径,并删除
“C:\windows\system\kernel32.exe”
"“C:\windows\system\sysexplr.exe”
4、关闭“Regedit.exe”,重新启动Windows。
5、删除“C:\windows\system\kernel32.exe”和
“C:\windows\system\sysexplr.exe”木马程序。
6:重新启动。完成。
方法一是对于你给别人种的服务器端的,记得玩完以后给人家清除掉,作事情不要那么 决情!!
方法二是对于清除自己计算机里的服务器端的,现在就好好看看是不是由于自己的疏忽 被人家种下冰河。。。。。。。。。
小结:对于木马的大家庭来说冰河只是一个小弟弟,但是大家也看到了他的危害性,所 以本人只建议大家学习这个软件,并不是用他去干什么,恶意破坏是低级黑客(根本可 以说是菜鸟)的做法,建议大家不要搞破坏,学习就好。。。。。。。。。。