观前告示此文章旨在分享网络安全知识学习经验无不良引导。本文章演示的恶意程序、木马病毒和各种网络攻击方式仅用于学习目的样本不提供下载请勿用于非法用途。请遵守我国相关法律法规。大家好今天我讲一下冰河木马。这里先介绍环境 攻击机 Windows7IP192.168.3.135 目标机 Windows Server2008IP192.168.3.139首先什么是冰河木马冰河木马原本是一种远程控制软件最初由开发者于1999年编写。目的是创建一个功能强大的远程控制工具。然而由于其强大的功能它很快被黑客用作入侵工具成为了国产木马的代表之一。它的核心危害在于一旦运行攻击者就能远程操控你的电脑——比如查看文件、下载数据、执行命令甚至远程关机。而最可怕的是它常伪装成普通文件比如一张图片诱使用户点击运行。一个普通文件是如何捆绑上冰河木马的**准备一张图片做成图标。**我用画图工具创建了一张黄色背景的图片然后将其保存为PNG格式。接着我使用在线工具将这张图片转换为ICO图标文件——这一步至关重要因为冰河木马的自解压机制依赖图标文件触发执行流程。准备一张图片使用工具转换成ico图标文件图标文件**捆绑木马程序。**真正的技术核心在“捆绑”阶段。我解压出冰河木马的服务端程序G_SERVER.EXE和客户端配置文件Operate.ini然后使用WinRAR将它们与刚才生成的ICO图标打包成一个自解压EXE文件。重点来了在高级设置中我将“自解压路径”设为%systemroot%\temp并在“解压后运行”中指定执行G_SERVER.EXE同时将“解压后运行”的参数设为图片文件名如pic1.png。这意味着当用户双击这个“图片”时系统会先解压出木马服务端再自动运行它而用户看到的只是那张熟悉的黄色图片——完全无感。开始控制当这个伪装成图片的EXE被复制到被控机并运行后奇迹发生了被控机瞬间变卡而攻击端的控制软件立即识别到目标IP192.168.3.139并列出其全部文件目录。我尝试了远程下载文件、查看系统信息、发送弹窗消息甚至“隐藏桌面”——所有操作都成功了。最震撼的是我点击“远程关机”被控机直接进入注销界面屏幕上显示“按 CTRL ALT DELETE 登录”仿佛被无形之手操控。尝试发送窗口成功显示尝试远程关机注销了但没关机但不管怎么说反正就是能起到控制作用的啦。总而言之我觉得这个木马程序还是有一定危害性的。那么如何防御我总结了四步实战策略1.查端口冰河默认监听7626端口可用netstat -ano | findstr 7626检测2.查进程它常伪装成[Kernel32.exe](https://zhida.zhihu.com/search?content_id277816901content_typeArticlematch_order1qKernel32.exezhida_sourceentity)用tasklist | findstr Kernel32.exe排查发现即用taskkill /f /im Kernel32.exe终止3.删文件清除C:\Windows\system32\Kernel32.exe及同目录下的systexplr.exe4.修注册表删除HKLM\Software\Microsoft\Windows\CurrentVersion\Run中的木马启动项并恢复被篡改的文件关联如.txt默认用记事本打开5.开防火墙装杀软最后也是最重要的防线——开启Windows防火墙并安装专业杀毒软件实测某国产杀软在木马运行瞬间即告警拦截。打开防火墙安装杀毒软件整个实验让我意识到木马的危险不在于技术多高深而在于它利用了人性的疏忽——我们总以为“点开图片没事”却忘了操作系统对自解压文件的信任机制。**真正的安全始于警惕成于习惯。**希望这篇文章能帮你建立起一道心理防线面对陌生文件多问一句“它真的只是图片吗”。最后提醒一句本文仅用于学习研究请严格遵守《中华人民共和国治安管理处罚法》第二十九条切勿用于非法用途。技术无善恶人心有高低。