冰河入侵与防御

用于学习，禁止用于非法攻击

冰河木马

网络客户/服务程序，用于远程访问及控制，是国产木马的标志和代名词。

环境说明

WinServer 2003 为攻击机（10.1.1.31），WinXP 为靶机（10.1.1.97），相互 ping 通。

操作步骤

1、下载冰河木马到 Windows server 2003

G_Client 为客户端，在攻击机本地打开，用来为靶机的后门程序做控制设置。
G_Server 为服务端，在靶机上打开，一般通过捆绑方式绑定到其他软件。

2、在攻击机上开启 G_Client.exe


设置访问口令（必须设置，不然没法访问靶机）

其他为默认，也可以修改安装路径、文件名称、进程名称、监听端口等等。

设置关联启动（自我保护），当冰河后门被关闭之后，通过 txt 或者 exe 文件复活

设置邮件通知，当地址发生变动时，发送邮件，将系统、密码等信息发送过来

点击确定，保存配置

3、将攻击机上的 G_Server.exe 复制到靶机 WIN XP上

打开该病毒，并观察后台任务管理器

关闭此进程，删除G_Server文件

新建任意的 TXT 文档，并打开，看看后门是否能够自动启动

名字变了，但是同样可以看到后门程序

4、在攻击机上开启 G_Client.exe 并远程控制靶机（肉鸡）

扫描靶机（定义IP地址范围）


此时可以访问此肉鸡

可以通过命令控制台对肉鸡进行各种控制，包括文件上传下载、远程控制、信息查看等等

5、木马程序增强，使用万能文件免杀捆绑器，将木马后门与正常的文件捆绑在一起，防止木马植入后被发现杀死。

选择图标，添加文件，捆绑文件。

仅用于学习，禁止用于非法攻击