2021-05-24

网络安全|国产木马——冰河（一）

什么是冰河木马

冰河木马（Glacier *）开发于1999年，跟灰鸽子类似，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑，其中包括国外电脑。（百度百科）

冰河木马的功能

• 远程监控
  如控制对方鼠标、键盘，并监视对方屏幕。通过模拟键盘动作和鼠标事件来进行远程控制。可以实现远程关机、远程重启计算机、锁定鼠标、锁定系统热键和锁定注册表等功能。
• 远程文件操作
  如创建、上传、下载、复制或删除文件或目录。
• 注册表操作
  如对主键的浏览、增删、复制、重命名和对键值的读写操作等。
• 获取系统信息
  如获取计算机名、更改计算机名、获取系统路径等。
• 记录口令信息
  记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。

冰河木马的程序实现

远程控制型木马一般采用网络应用中常见的客户端/服务器模式，由客户端程序和服务器端程序两部分组成。网络应用的客户端/服务器模式，其工作原理是服务器端程序提供服务，而客户端程序提出连接请求，服务器端程序就会自动运行，应答客户端程序的要求。
冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。
G_sever是放到被攻击电脑上的。（即目标靶机，win32位系统）G_client是放到攻击者电脑上的。（32位，64都可以）

注意事项

在进行冰河木马实验时，请关掉防火墙、关掉等360安全卫士，最好使用模拟机Win7系统，因为即使关闭防火墙，Win10系统也能检测出冰河。

参考文献

1. 百度百科
2. 吴礼发、洪征、李华波著.《网络攻防原理与技术》.机械工业出版社