木马冰河

葱绿玉髓

网名：glacier
　　别名：木马冰河
　　姓名：黄鑫
　　性别：男
　　年龄：不详
　　性别：男
　　现居住：广西
　　网站：无
　　大家都知道微软网站被黑客入侵是因为木马软件的缘故。这个以特洛伊战争中使用的木
马正大摇大摆地杀入互联网的领地，也就是我们俗称的后门程序。我跟冰河的接触是在他编写
冰河1.2版本的时候。那时国内而言，木马虽然已经在黑客中间遍布使用，但多数为国外的BO
和BUS等木马，对于一些刚接触黑客的生手来说，理解这些软件的使用方法和熟练使用这些软
件无疑成为了“通往黑客道路”上的最大的难题，此外这些木马多数能够被杀毒软件擒获，使
得国内的黑客多数不愿意去用木马。正当国内大多数黑客们苦苦寻觅新的国外木马时，一款中
国人自己的编写的木马悄悄诞生了，它就是冰河。冰河在诞生之初凭借着国产化和暂时无杀毒
软件能防杀的特点迅速地成为了黑客们使用最广泛的木马。冰河本不该归属于木马的行列的，
按照冰河作者黄鑫的话说，他编写冰河完全是靠自己的兴趣和网友的鼓励，最初只是想编写一
个方便自己的远程控制软件，不曾想竟然编成了一个中国流传使用最广泛的黑客软件。在1.2
版本冰河发布以后，国内的黑客们大多认同了冰河，把冰河作为了木马软件的首选。经过多方
的支持和鼓励，特别是来自中国国内的黑客们的支持使得黄鑫又努力开发出冰河2.0。2.0新增
加了许多以前没有的功能和特性，特别是它在使用的过程中比1.2的更加方便更加的隐蔽好，
所以2.0的出现使得冰河立即成为了人尽皆知的木马类黑客软件。冰河良好的隐蔽性和使用简
单的特点让国内许多想成为黑客，但又不懂黑客技术的人深深地过了一把黑客瘾，利用冰河入
侵个人系统计算机后，他们便能够利用冰河得到他们想得到的一切。现今很多出名的黑客都是
利用冰河迈向通往黑客道路的第一步黄鑫的冰河让很多人体会了做黑客的快感，更让很多人了
解了网络安全的重要性。其实就黑客的定性而言，身为一个数据库开发程序员的黄鑫或许根本
算不上一个黑客，他从来没有黑过任何一个网站，甚至在开发测试冰河的时候也是利用自己和
朋友的计算机来检验。然而我们不能否认冰河的强大功能，特别是22版的冰河开发出后，它可
以让任何一个菜鸟顷刻之间变成一个极否有攻击力的黑客。这一切理由都让黄鑫成为了中国黑
客，特别是初级黑客们的精神领袖。我们几乎能从每一个想了解黑客的朋友的计算机里找到冰
河的身影。在中国千千万万个连接在互联网上的计算机中，几乎每一百台里就埋藏着一个冰河
，我们也不难发现在大大小小的网吧里时常能够听到那些初级黑客利用冰河搜寻出冰河的受害
者后发出的兴奋高呼。冰河，已经成为了中国木马的代名词冰河已经成为了互联网恐怖的象征
。现如今黄鑫已经停止了对冰河后续版本的开发，作为程序员的良知让他不得不面对冰河作为
一个黑客工具的危害性。没有人想成为人民的公敌，正是这些良知让黄鑫放弃了冰河的后期开
发。作为一个无意间带动了中国互联网络安全发展的人，他的名字应向他的软件一样，永远值
得我们去回忆，虽然他带给我们的只有那个经典的木马程序，但这依然不丝毫影响我们对他的
崇敬。冰河在打开我们电脑大门的同时也打开了我们对网络安全认识的大门。
　　

木马就是一个客户端/服务端的软件，通过服务端向客户端发信息来控制客户端的软件。此类
软件的典型代表是：Back Orifice和Netspy。

一、 Back Orifice

　　Back Orifice软件包里包括：

bo.txt 本文档
plugin.txt 插件编程文档
boserve.exe Back Orifice客户端自安装程序
bogui.exe Back Orifice图形服务端（如图10）
boclient.exe Back Orifice文本服务端
boconfig.exe 配置BO客户端程序文件名、端口、密码和插件的工具
melt.exe 对由freeze命令压缩的文档解压缩
freeze.exe 压缩文档。压缩文档可被metl命令解压缩


图10

　　在安装客户端前，可以配置BO客户端程序的一些参数：如安装后的BO文件名、监听端口
、加密密码，都可以使用boconfig.exe工具配置。如果不进行配置，缺省是监听31337端口、
不使用加密密码（数据包仍然会加密）和以“ .exe”文件名安装。

　　基于图形和文本的BO服务端都可以通过使用-p选项来设置BO客户机数据包的发送端口。
如果数据包被过滤或者有防火墙屏蔽，就可能需要从一个特别的、不会被过滤和屏蔽的端口发
送。如果UDP连接通讯不能成功，则可能是数据包在发送或回送路径中被过滤或者屏蔽了。

　　总之，大家只要让对方"吃下"客户端就行了


　　Back Orifice命令（图形服务端命令/文本服务端）

App add/appadd 在TCP端口输出一个基于文本的应用程序。它允许你通过 Telnet对话控制基
于文本或DOS的应用程序
App del/appdel 从监听的连接中关闭一个应用程序
Apps list/applist 列出当前监听的连接中的应用程序
Directory create/md 创建目录
Directory list/dir 列出文件和目录。如要显示多文件、目录则须使用通配符
Directory remove/rd 删除目录
Export add/shareadd 在BO客户端上创建一个"出口"（共享）。被输出的目 录或驱动器图标
不会出现共享图标
Export delete/sharedel 删除一个（共享）"出口"
Exports list/sharelist 列出当前共享名、共享驱动器、共享目录、共享权限和 共享密码
File copy/copy 拷贝文件
File delete/del 删除文件
File find/find 在目录中查找符合条件（支持通配符）的文件
File freeze/freeze 压缩文件
File melt/melt 解压缩文件
File view/view 查看文件内容
HTTP Disable/httpoff 使HTTP客户端失效
HTTP Enable/httpon 使HTTP客户端有效
Keylog begin/keylog 将BO客户端上的击键记录在一个文本文件中，同时还 记录执行输入的
窗口名
Keylog end/keylog stop 停止击键记录
MM Capture avi/capavi 从视频输入设备（如果存在）捕捉视频和音频信号到 avi文件中
MM Capture frame/capframe 从视频输入设备捕捉一个视频帧到一个位图文件中
MM Capture screen/capscreen 捕捉BO客户端屏幕影像到一们位图文件中
MM List capture devices/listcaps 列出视频输入设备
MM Play sound/sound 在BO客户端上播放一个avi文件
Net connections/netlist 列出当前接入和接出的连接
Net delete/netdisconnect 断开BO客户端的一个网络资源连接
Net use/netconnect 把BO客户端连接到一个网络资源
Net view/netview 查看BO客户端上所有的网络接口、域名、客户端和可见的共享"出口"
Ping host/ping Ping主机。返回主机名和BO版本
Plugin execute/pluginexec 运行BO插件。运行不符合BO插件接口的函数可能使客户端死机
Plugin kill/pluginkill 命令一个插件关闭
Plugins list/pluginlist 列出当前激活的插件和已存在的插件返回值
Process kill/prockill 终止一个进程
Process list/proclist 列出运行中的进程
Process spawn/procspawn 运行一个程序
Redir add/rediradd 重定向接入的TCP连接或UDP数据包到另一个IP地址
Redir del/redirdel 停止端口重定向
Redir list/redirlist 列出激活的端口重定向
Reg create key/regmakekey 在注册表中创建中一个主键
Reg delete key/regdelkey 从注册表中删除一个主键
Reg delete value/regdelval 删除注册表中的一个键值
Reg list keys/reglistkeys 列出注册表中一个主键下的子键
Reg list values/reglistvals 列出注册表中一个主键的键值
Reg set value/regsetval 设置注册表一个主键的一个键值。键值格式为"类型, 值"。对于
二进制值（类型为B），值是一个两位的16进制数；对于DWORD（双字）值（类型为D），值是
一个十进制数；对于字符串值（类型为S），值是一个文本串
Resolve host/resolve 解析BO客户端的主机名的IP地址
System dialogbox/dialog 用所给出的文本和一个"OK"按钮，在BO客户端上创建一个对话框
。可以创建任意多的对话框，对话框的显示是堆叠式的
System info/info 显示BO客户端上的系统信息
System lockup/lockup 锁住BO客户端机器
System passwords/passes 显示被缓存的当前用户密码和屏幕保护密码
System reboot/reboot 关闭BO客户端主机并重启动
TCP file receive/tcprecv 将BO客户端主机连接到一个特定的IP地址和端口，并保存所接收
到的数据到特定文件中
TCP file send/tcpsend 将BO客户端主机连接到一个特定的IP地址和端口，发送特定文件中
的内容，然后断开此连接
netcat -l -p 666 > file 从BO客户端传输文件
netcat -l -p 666 < file 传输文件到BO客户端
二、NetSpy

　　NetSpy是由中国人开发的木马，包括：

NetMonitor.exe NetSpy图形服务端（如图11-1）
Netspy.exe NetSpy客户端
Procmon.exe 程序进程控制器服务端（如图11-2）
ProcSpy.exe 程序进程控制器客户端
Xspy.exe 图像返回软件客户端
Readme.txt 自述文件


图11-1


图11-2

　　NetSpy是中文的，应用起来非常简单，首先点"连接"，加入目标IP，然后选"刷新"，目
标计算机的目录就列出来了。这时你可以对目标计算机进行操作，如：发消息、关机、运行程
序、关闭程序、上下传文件等。


　　Xspy的用法：上传xspy.exe到客户端并在远程执行它，然后启动浏览器，填写目标计算
机的地址和端口，就能够看见远程计算机上的屏幕图象了。例如，一台计算机的IP地址是：2
02.96.107.126，那么只要在浏览器里填写：http:// 202.96.107.126:7308/ 就行了。


　　为了更好的让目标机"吃掉"客户端，可以使用ExeBind（如图12）将客户端软件和别的软
件合并起来。


图12


　　ExeBind的两大应用：

　　1.合法使用：可将应用软件和自述文件合起来以方便安装；

　　2.非法使用：将客户端软件和别的软件合并起来。

木马的两大应用：

　　1.合法使用：可以远程管理自己的计算机；

　　2.非法应用：入侵他人计算机病进行破坏。