冰河木马入侵者诱捕实例

提起“冰河”木马,相信没有多少网民不知道。作为国内木马程序的经典之作,它操作简单,功能强大。虽然原作者黄鑫从2.2B版本已经彻底停止了开发,但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP以及各种“XX专版”,更有甚者已经开始对修改后的冰河程序进行收费,这引起了原作者黄鑫的注意。

    为了防止这种不良影响,他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序,主要有两大功能:一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端,记录入侵者的所有操作。

    下面我们就来通过一个“冰河”木马入侵者的诱捕实例来看看如何操作。

    第一步:清除冰河木马

    把压缩包内的文件解压到一个目录,运行“冰河陷阱.exe”,如果当前系统中已经被别人植入了冰河木马的话,这时它会提示你是否自动清除冰河木马被控端程序,当然要选择“是”了,接下来它会显示出这个安装的“冰河”木马的配置信息,点击[确定]按钮,冰河陷阱就会自动彻底地从系统中清除冰河木马,并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。现在我们要打开该文件查看,注意记下“监听端口”中的数字“7626”(也可能会是其他数字),后面要用到。

    另外还要记下“接收IP信箱”后面显示的邮箱,这就是入侵者接收你的IP地址以及密码等信息的信箱,以后你可以向该信箱发出警告信或者请求信箱服务商的管理员帮助。

    我在试用中发现如果“冰河陷阱.exe”处于运行状态,冰河木马被控端程序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无冰河被控端程序,并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项,让它开机自动运行。

    第二步:请君入瓮

    接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后,点击“设置”菜单中的“设置监听端口”,然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样),然后单击工具栏中的[打开陷阱]按钮,再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应,使入侵者以为你的机器仍处于他的控制之下。

    当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时,可以在系统托盘中看到冰河陷阱图标不断闪烁报警,同时还有声音报警。双击图标打开“冰河陷阱”主界面,在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。

    另外,冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮,可以直接给入侵者发送一个反击消息,当然越恐怖效果越好,保证让这个入侵者“丢盔弃甲”,落荒而逃,再也不敢冒犯你了。
下载冰河陷阱
http://www.skycn.com/soft/12355.html

最后编辑2005-07-18 11:02:31