您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

黑客常用的木马工具

时间:2020-02-25 11:02:58  来源:  作者:

大家经常会听到“木马”一词。究竟木马是什么东西呢?这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。

木马,全称为:特洛伊木马(Trojan Horse)。

“特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前,在一次希腊战争中。麦尼劳斯(人名)派兵讨伐特洛伊(王国),但久攻不下。他们想出了一个主意:首先他们假装被打败,然后留下一个木马。而木马里面却藏着最强悍的勇士!最后等时间一到,木马里的勇士全部冲出来把敌人打败了!

这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里,掩饰真正的企图。

至于黑客程序里的特洛伊木马和故事里的特洛伊木马差不多。

黑客程序里的特洛伊木马有以下的特点:

(1)主程序有两个,一个是服务端,另一个是控制端。

(2)服务端需要在主机执行。

(3)一般特洛伊木马程序都是隐蔽的进程。

(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。

(5)每个系统都存在特洛伊木马。(包括windows,Unix,liunx等)

在许多人眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。(包括:转播,感染文件等。)

特洛伊木马程序的发展历史:

第一代木马:控制端 —— 连接 —— 服务端

特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。

典型木马:冰河,NetSpy,back orifice(简称:BO)等。

第二代木马:服务端 —— 连接 —— 控制端

特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。

典型木马:网络神偷,广外女生等。(反弹端口型木马)

下面,我们将介绍一个国产的特洛伊木马 —— 冰河。

特洛伊木马冰河的软件功能概述:

该软件主要用于远程监控,具体功能包括:

1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;

3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;

5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;

7.发送信息:以四种常用图标向被控端发送简短信息;

8.点对点通讯:以聊天室形式同被控端进行在线交谈。

看过冰河的功能概述后,是不是被它的功能所着迷呢?

接着,我会介绍特洛伊木马“冰河”的使用。

本次范例需要的系统及程序情况如下:

操作系统:Windows98

程序(一):特洛伊木马“冰河”V2.2 DARKSUN 专版

程序(二):Superscan3.0 英文版

本机IP:127.0.0.1

测试IP:127.0.0.3

新程序说明:

Superscan3.0是foundstone实验室出品的端口扫描器。特点:速度快,资源占用少。

Superscan:“scanner.exe”为主程序;“scanner.lst”、“hensss.lst”、“trojans.lst”为端口列表。

冰河:“G_Client.exe”为控制端;“G_Server.exe”为服务端。

本文运用端口扫描程序,在网络上寻找木马冰河的服务器端,从而达到对该用户实施入欺电脑的目的。

首先,把一些常见的木马端口和大家说说:[木马冰河:7626];[netspy(网络精灵):7306];[back orifice (bo):31337];[back orifice2000 (bo2000):54320];[netbus:12345];[subseven:27374或1243] 。

这是一个非常简单的入侵,但你别看小你这次的入侵哦!因为你可能在这次入侵里,获得上网密码、OICQ密码、E-MAIL密码、个人主页密码等等!

1、首先,我们打开Superscan3.0,在“IP”的“start”和“stop”里填上搜索范围。例如:202.103.139.1 —— 202.103.139.255。接着在“scan type”的“All ports from”里填上:7626(冰河服务端开的端口)。按“Start”开始扫描。过一会,下面就会出现很多IP,但并不是每一个都是。我们需要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河的主机。(假如没有找到,请不要灰心,继续扫描。一个成功的黑客最重要是有耐心!)

1、打开“冰河”的G_Client.exe控制端(不是G_Server.exe!),把你上面找到的主机IP添加上去,访问口令嘛,不用填。(听说现在有万能密码的!)然后单击该IP前面的小电脑图标,如果凑巧别人没有给该主机设置口令,那么它的C盘,D盘等,就会出现了,你可以象打开自己本地硬盘那样,浏览里边的文件夹了。

“冰河”上面有个“帮助”,里边有个“操作指南”。具体的使用,大家就看它吧。全中文介绍,也不用我多说了。

其实,“冰河”本身里边有个“自动搜索”,用它来找一段区域内的IP,速度和效果,是很不错的。

使用方法:按第三个图标“自动搜索”,首先要设置:

“起始域”(例如:127.0.0)

“延迟时间”:用默认的就可以

“监听端口”:7626

“起始地址”:1

“终止地址”:255

接着点击“开始搜索”。搜索完毕后,下面会有提示:对子网'127.0.0'搜索完毕,共找到N台计算机,其中N台可以用。接着,在右边框里边上方会显示搜索成功和失败的主机的。然后和前面一样,双击前面的电脑图标就可以了。

3、每次攻击,都会留下线索,所以请大家不要有恶意。你进入别人的电脑后,所得到的帐号,密码等,千万不要公开出来,也不要修改对方电脑里边的东西。然后,给别人善意的提醒对方,教他把木马清除掉! —— 这才是真正黑客:)

关于冰河的万能密码:

2.2版:Can you speak chinese?

2.2版:05181977

3.0版:yzkzero

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq2000!

许多人会问:天下间哪里会有这么多中了冰河的主机啊?

当然,任何一个人都不会令自己中上这么可怕的木马程序。

那么,我们怎样让别人的运行木马的服务端呢?

这个不是我们要探讨的问题。因为我们是要了解整个入侵过程,而不是要令别人受害!

最后,我希望大家记着:任何时候,攻击、破坏个人电脑都不是一个黑客的所为!

黑客常用的木马工具
 
 

如果清除冰河服务端:

方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体方法:

1、启动“冰河”的控制端程序。

2、选择“文件”——“添加主机”,或者直接点击快接按钮栏的第一个图标 。

3、弹出的对话框中,“远程主机”一项,填写自己的IP。

4、连接服务端,然后,点击“命令控制台”标签。

5、选择“控制类命令”——“系统控制”,在右面的窗口下方,你会发现四个按钮。点击“自动卸载”,就将冰河的服务器端清除了。

黑客常用的木马工具
 
 
 

 

方法二:

冰河 v1.1

1、打开注册表“Regedit.exe”。(可以在“开始”——“运行”里输入“regedit”。)

2、点击目录至:HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionRun

3、查找以下的两个路径,并删除

“C:windowssystemkernel32.exe”

"“C:windowssystemsy***plr.exe”

4、关闭“Regedit.exe”,重新启动Windows。

5、删除“C:windowssystemkernel32.exe”和“C:windowssystemsy***plr.exe”木马程序。

6:重新启动。完成。

冰河 v2.2

因为服务端程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。所以,不能明确说明。

你可以察看注册表,把可疑的文件路径删除。然后重新启动Windows,删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。

 

如何防御特洛伊木马:

对于第一代特洛伊木马,只需要安装“防火墙+杀毒软件”就可以有效预防特洛伊木马程序。

当然,你必须做到以下几点:

(1)不要乱下载黑客程序。

(2)不要随便打开陌生人发给你的程序。

(3)注意邮件里的附件。

记着经常升级防火墙和杀毒软件哦!



Tags:木马工具   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
大家经常会听到“木马”一词。究竟木马是什么东西呢?这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。木马,全称为:特洛伊木马(Trojan H...【详细内容】
2020-02-25  Tags: 木马工具  点击:(131)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条