1. 怎麼用木馬
木馬和冰河的使用!【教程】
木馬
大家對他的名字很熟悉吧??是啊木馬作為一個遠程式控制制的軟體已經深入人心,木馬是
什麼那?如何使用木馬程序控制他人那??先不要著急,我們來看看木馬的發展,對這
個工具作一個簡單的介紹:
黑客程序里的特洛伊木馬有以下的特點:
(1)主程序有兩個,一個是服務端,另一個是控制端。(如果你下載了,請千萬不要
用滑鼠雙擊伺服器端)
(2)服務端需要在主機(被你控制的電腦)執行。
(3)一般特洛伊木馬程序都是隱蔽的進程。(需要專業的軟體來查殺,也有不用軟體
查殺的辦法,我會介紹)
(4)當控制端連接服務端主機後,控制端會向服務端主機發出命令。而服務端主機在
接受命令後,會執行相應的任務。
(5)每個系統都存在特洛伊木馬。(包括Windows,Unix,liunx等)
眼中,特洛伊木馬是一種病毒。其實特洛伊木馬並不是一種病毒,它沒有完全具備病
毒的性質。(包括:轉播,感染文件等,但是很多的殺毒軟體還是可以查殺,畢竟這是
一種使用簡單但是危害比較大的軟體)
木馬的發展:
第一代木馬:控制端 -- 連接 -- 服務端
特點:屬於被動型木馬。能上傳,下載,修改注冊表,得到內存密碼等。
典型木馬:冰河,NetSpy,back orifice(簡稱:BO)等。
第二代木馬:服務端 -- 連接 -- 控制端
特點:屬於主動型木馬。隱蔽性更強,有利用ICMP協議隱藏埠的,有利用DLL(動態
連接庫)隱藏進程的,甚至出現能傳播的木馬。
典型木馬:網路神偷,廣外女生等。(反彈埠型木馬)
第二代木馬象廣外女生可以使用WINDOWS的漏洞,越過許多防火牆從而進行對系統的監
控(像金山,天網等)
隨著木馬的發展,並且作為很多人使用的軟體,殺毒軟體也越來越對這個傳播很廣的半
病毒不病毒的軟體越來越關注(因為作為伺服器端可以夾帶在任何文件中傳播,只要你
打開這個文件,你就肯定會被中上木馬,甚至可以在網路上通過下載來傳播)所以查殺
木馬的工具很多,但是道高一尺,魔高一丈,木馬又不斷演化出新的品種來對抗殺毒軟
件,畢竟中國的廣大網民的安全意識不高,加上盜版猖狂,可以正式在網路上進行升級
的並不多,所以木馬還是很有使用空間的。下面,我們將介紹一款國產的木馬-------
冰河。
需要工具:冰河(隨便你找什麼版本,因為界面根本就差不多)
Superscan3.0 中文漢化版(上黑白搜索一下可以找到)
首先最重要的一步-------工具接壓縮(啊~~我知道是廢話。。大家多多包涵嘛。。不
要打拉)
然後運行Superscan3.0(就是那連著的兩個電腦圖標)
出現界面在IP表裡面有兩個選項
起始IP:
終止IP:
隨便填上兩個IP地址(最好是C類IP范圍從192.0.0.0--223.255.255.255)
順便講一下IP的類型:
A類范圍:0.0.0.0---127.255.255.255
B類范圍:128.0.0.0---191.255.255.255
C類范圍:192.0.0.0---223.255.255.255
D類范圍:224.0.0.0---239.255.255.255
E類范圍:240.0.0.0---247.255.255.255
一般只有B、C類用的著D類地址是用於多點播送的其他的我也不是很清楚,有興趣的朋
友可以看看相關的資料。。。。。
閑話說到這里我們繼續看起始IP和終止IP
我給大家一個參考
起始IP:202.103.139.1
終止IP:2020103.139.255
填好這個在掃描類型里看列表中定義:
你可以掃描很多的埠,但那對我們的木馬攻擊沒有實際意義
所以我們把兩個窗口填上7626(冰河服務端開的埠)。
好了,點開始。
掃描結果會出現在底下蘭色的列表中
當然不是所有的結果都有用你要按「Prune」把多餘的IP刪除掉。剩下IP就是中了冰河
的主機。(假如沒有找到,請不要灰心,繼續掃描。一個成功的黑客最重要是有耐心
!)
好了打開我們的冰河的客戶端(再次提醒!!千萬不要點伺服器端!!!否則你等於種
木馬給自己!!什麼??你已經點了??你不會那麼傻吧。。。。)
具體功能包括:
1.自動跟蹤目標機屏幕變化,同時可以完全模擬鍵盤及滑鼠輸入,即在同步被控端屏幕
變化的同時,監控端的一切鍵盤及滑鼠*作將反映在被控端屏幕(區域網適用);
2.記錄各種口令信息:包括開機口令、屏保口令、各種共享資源口令及絕大多數在對
話框中出現過的口令信息;
3.獲取系統信息:包括計算機名、注冊公司、當前用戶、系統路徑、*作系統版本、當
前顯示解析度、物理及邏輯磁碟信息等多項系統數據;
4.限制系統功能:包括遠程關機、遠程重啟計算機、鎖定滑鼠、鎖定系統熱鍵及鎖定
注冊表等多項功能限制;
5.遠程文件*作:包括創建、上傳、下載、復制、刪除文件或目錄、文件壓縮、快速瀏
覽文本文件、遠程打開文件(提供了四中不同的打開方式--正常方式、最大化、最小化
和隱藏方式)等多項文件*作功能;
6.注冊表*作:包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表
*作功能;
7.發送信息:以四種常用圖標向被控端發送簡簡訊息;
8.點對點通訊:以聊天室形式同被控端進行在線交談。
呵呵,是不是很拽??哼哼~~我叫你不服!!!我要刪掉你C盤文件!!!修改你注冊
表!!盜你QQ號碼!!上網帳號!!
!………………………………………………………………
羅嗦一下!!你們千萬不要搞破壞哦,學會了使用就好。。。
接著,我會介紹特洛伊木馬「冰河」的使用:
首先打開客戶端
出現*作界面
文件 編輯 設置 幫助
點文件出現下拉菜單
點自動搜索
出現提示框
裡面只有起始域 起使地址 終止地址
這三個比較有用
比如我剛才用Superscan3.0 中文漢化版搜索到的IP是202.103.139.25
那麼我們就在起始域里輸入:202.103.139
起始地址:25
終止地址:25
表示搜索這一個主機
如果掃描結果里顯示ERR表示該計算機沒有種木馬,如果是OK你就爽拉~~
(你也可以在起始域里輸入:202.103.139起始裡面:1終止裡面255,這樣是搜索
202.103.139子網里所有的計算機)
看到這里有的朋友會問拉,既然木馬可以自己掃描為什麼還要上面哪個工具??嘿嘿~~
哪個比較快嘛,多學一點沒有壞處的~~(啊~~我錯了還不行??大家息怒)
只要有掃到的OK的IP就會把該計算機的IP添到主界面的文件管理的下面他的前面有一個
小加號,點開他你可以隨便對對方的文件進行修改刪除了,你甚至可以上傳一個病毒到
他的文件夾中(不推薦,你們沒那麼大仇吧??)
好了我們再來看看文件管理右面的命令控制台,這里有你感興趣的東西哦~~命令很簡單
都是一看就會的,你們只要每個都實驗一下就知道作什麼用的拉
由於危害性我只介紹一個點「命令控制台」---「控制類命令」---「系統控制」
簡單的就象小孩子的游戲~~~
看看下面有什麼??
遠程關閉計算機
遠程從新啟動計算機
後面兩個沒什麼用不理他也罷
你只要點一下遠程「關閉計算機」
OK拉,他的電腦自己關機拉,不相信??好,QQ上和他說話,他能回答你才怪:)
好了,關於*作的方法我已經向大家介紹了,這是一個傻瓜式的軟體,*作命令全中文,
作用一看就知道,很容易上手,用他來盜QQ也不錯哦~~~~(在口令類命令的系統信息及
口令里,要先做鍵盤記錄哦)具體方法請自己研究,我可不想犯罪。。
關於使用方法就介紹到這里,到這里以上為止都是對不特定人物的入侵,那麼要怎麼對
特定的人物進行入侵那??記得我不叫你們點的伺服器端嗎?呵呵,就是他,他是沒有
圖標的一個運行文件,可以夾帶在幾乎任何文件里運送,比如照片,FLASH等……(有
相關的合成軟體,我不知道具體那裡有下載,不過我有的,你們需要可以找我,不過不
要拿來作壞事)你只需要給你的網友用QQ傳送個照片呀,一篇文章呀就可以順利種上木
馬,然後你要取得他(她)的IP地址就可以對他進行控制拉,這方法不是我教你們的啊
!!以後不要出賣我,還有電子郵件也可以傳播。。。。。。。木馬病毒。。
方法有很多大家可以自己研究。。。。。。
下面有幾點提示:
1:為什麼我解壓縮的時候殺毒軟體老是報有病毒呀??
木馬本身就是一個病毒,只要你不點伺服器端,對你不會造成任何影響
運行的時候也要關掉防火牆,否則系統無法運行。
2:為什麼我種上木馬以後連接不到計算機??
很簡單,你的版本過舊拉,去下載新的版本吧,再者對方在網吧,由於
設定和家裡不一樣所以無法連接請盡量選擇在家裡的倒霉鬼進行實驗。
什麼??你不知道他是不是在家??看QQ的IP地址
比如對方IP是202.103.139.22:4000表示在家
202.103.139.22:1030網吧
只有後面是4000、7000的用戶是在家
有的時候是4001、4002表示對方現在運行的QQ數目,不用管他
3:關於冰河的萬能密碼:
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密碼: 123456!@
2.2殺手專版:05181977
2.2殺手專版:dzq2000!
有的是要密碼口令登陸的,不過一般不要,也不用刻意注意
4:我也種上伺服器端了,對方也在家,他也並沒發覺我給他種了,但就是連接不正常
呵呵,對方懂得使用代理伺服器那你看到的IP地址不是真實的IP地址。這種情況,你還
是放棄吧。
5:冰河是一個很麻煩的傢伙,卸載很麻煩就是你安裝以後卸載和其他的程序不一樣
網上相關文章很多,我由於最近考試關系就不一一介紹了,你可以去黑白網路看看:)
6:如果清除冰河服務端:
方法一: 俗話說,解鈴還需系鈴人。中了冰河,就用它的控制端來卸載服務端。具體
方法:
1、啟動「冰河」的控制端程序。
2、選擇「文件」--「添加主機」,或者直接點擊快接按鈕欄的第一個圖標 。
3、彈出的對話框中,「遠程主機」一項,填寫自己的IP。
4、連接服務端,然後,點擊「命令控制台」標簽。
5、選擇「控制類命令」--「系統控制」,在右面的窗口下方,你會發現四個按鈕。點
擊「自動卸載」,就將冰河的伺服器端清除了。
方法二:
冰河 v1.1
1、打開注冊表「Regedit.exe」。(可以在「開始」--「運行」里輸入
「regedit」。)
2、點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、查找以下的兩個路徑,並刪除
「C:\windows\system\kernel32.exe」
"「C:\windows\system\sysexplr.exe」
4、關閉「Regedit.exe」,重新啟動Windows。
5、刪除「C:\windows\system\kernel32.exe」和
「C:\windows\system\sysexplr.exe」木馬程序。
6:重新啟動。完成。
方法一是對於你給別人種的伺服器端的,記得玩完以後給人家清除掉,作事情不要那麼
決情!!
方法二是對於清除自己計算機里的伺服器端的,現在就好好看看是不是由於自己的疏忽
被人家種下冰河。。。。。。。。。
小結:對於木馬的大家庭來說冰河只是一個小弟弟,但是大家也看到了他的危害性,所
以本人只建議大家學習這個軟體,並不是用他去干什麼,惡意破壞是低級黑客(根本可
以說是菜鳥)的做法,建議大家不要搞破壞,學習就好。。。。。。。。。。
2. 有誰用過木馬剋星這個軟體怎麼注冊 有免費的注冊方法嗎
不錯,www.anxz.com 可下載,搜索一下吧,下載下來後,裡面有個「注冊.reg」,雙擊就注冊了。
3. 如何把木馬加到一個軟體里
要用捆綁軟體進行捆綁,現在網上的軟體都不免殺,捆綁後變有毒了,根本沒辦法傳播,建議去找幾個論壇,自己學習去。
4. 我的電腦中了木馬很多木馬軟體都要注冊才能清除木馬,有什麼好軟體可以殺木馬嗎
重裝程序
5. 木馬是怎麼運行的通過注冊表還是點擊其他程序帶動
多數木馬分為兩個部分,客戶端和服務端,但是很多木馬不提供客戶端,它們使用通用的telnet作為客戶端,或者是它們完全是自動地在做它們要做的事情(比如鍵盤記錄、嗅談監聽等等),完全不需要入侵者更多地干預。可是,那種客戶/伺服器式的木馬則需要入侵者進行互動式xx作。一旦肉雞在不知情的情況下運行了木馬的服務端,入侵者就可以通過某個埠連接到肉雞,開始使用木馬。TCP是最常使用的協議,但是也有一些木馬使用ICMP和UDP協議。當木馬的服務端在肉雞上執行以後,它通常是把自己隱藏在計算機上的某個地方,並且在入侵者設定的埠開始監聽,等待連接。
為了能夠連接肉雞,必須知道肉雞的IP,有些肉雞的IP是動態變化的,比如電話撥號用戶或者ADSL虛擬撥號用戶。很多木馬具有自動發送肉雞IP到入侵者郵箱的功能,或者是通過ICQ或者IRC來發送。
當肉雞重新啟動的時候,絕大多數木馬都有自啟動的方法,這些方法包括:使用注冊表、使用windows系統文件、使用第三方程序。
1、使用系統文件啟動木馬
*Autostart Folder
C:\Windows\Start Menu\Programs\startup
這個文件夾是windows啟動之後自動運行的文件夾,放在這個下面的任何程序都將自動運行,當機器重新啟動的時候。
*Win.ini
如果win.ini中包含下面的,則trojan將自動執行
load=Trojan.exe
run=Trojan.exe
*System.ini
Shell=Explorer.exe trojan.exe
系統啟動的時候將自動執行跟在explorer後面的程序
*Wininit.ini
放在該文件下的程序將自動執行,執行完畢後就刪除自己,特別適合木馬自運行使用
*Winstart.bat
機器啟動時的自運行批處理文件
@trojan.exe
使用上面這個語句,木馬就自動運行了
*Autoexec.bat
這個是DOS命令行自運行批處理文件,使用
@trojan.exe
*Config.sys
這里也可以自動載入木馬
*Explorer Startup
如果存在c:\explorer.exe,則windows將首先執行該程序,而不是通常要執行的c:\Windows\Explorer.exe,這樣木馬可以把自己改名為explorer.exe,存放在c:\下,這樣就執行了它。
2、使用注冊表
下面都是木馬的藏身之地
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
另外木馬也可以在這里運行
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情況下,這個鍵值應該是"%1 %*",如果是這樣trojan.exe "%1 %*",那麼就可以自動啟動木馬了
3、使用第三方程序
*ICQ 網路探測自動執行程序
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
當ICQ探測到機器存在INTERNET連接的時候,防在該鍵下的所有程序都將自動執行,木馬可以放在這里運行。
*ActiveX組件
6. 如何使用軟體綁定木馬程序
打開一款綁定軟體,選擇你要綁定在一起的文件後點擊綁定就可以了!