圣约翰文理学院:怎么用木马？

木马和冰河的使用！【教程】

木马
大家对他的名字很熟悉吧？？是啊木马作为一个远程控制的软件已经深入人心，木马是
什么那？如何使用木马程序控制他人那？？先不要着急，我们来看看木马的发展，对这
个工具作一个简单的介绍：
黑客程序里的特洛伊木马有以下的特点：
（1）主程序有两个，一个是服务端，另一个是控制端。（如果你下载了，请千万不要
用鼠标双击服务器端）
（2）服务端需要在主机（被你控制的电脑）执行。
（3）一般特洛伊木马程序都是隐蔽的进程。（需要专业的软件来查杀，也有不用软件
查杀的办法，我会介绍）
（4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在
接受命令后，会执行相应的任务。
（5）每个系统都存在特洛伊木马。（包括Windows，Unix，liunx等）
眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病
毒的性质。（包括：转播，感染文件等，但是很多的杀毒软件还是可以查杀，毕竟这是
一种使用简单但是危害比较大的软件）
木马的发展：
第一代木马：控制端 -- 连接 -- 服务端
特点：属于被动型木马。能上传，下载，修改注册表，得到内存密码等。
典型木马：冰河，NetSpy，back orifice（简称：BO）等。
第二代木马：服务端 -- 连接 -- 控制端
特点：属于主动型木马。隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态
连接库）隐藏进程的，甚至出现能传播的木马。
典型木马：网络神偷，广外女生等。（反弹端口型木马）
第二代木马象广外女生可以使用WINDOWS的漏洞，越过许多防火墙从而进行对系统的监
控（像金山，天网等）
随着木马的发展，并且作为很多人使用的软件，杀毒软件也越来越对这个传播很广的半
病毒不病毒的软件越来越关注（因为作为服务器端可以夹带在任何文件中传播，只要你
打开这个文件，你就肯定会被中上木马，甚至可以在网络上通过下载来传播）所以查杀
木马的工具很多，但是道高一尺，魔高一丈，木马又不断演化出新的品种来对抗杀毒软
件，毕竟中国的广大网民的安全意识不高，加上盗版猖狂，可以正式在网络上进行升级
的并不多，所以木马还是很有使用空间的。下面，我们将介绍一款国产的木马-------
冰河。
需要工具：冰河（随便你找什么版本，因为界面根本就差不多）
Superscan3.0 中文汉化版（上黑白搜索一下可以找到）
首先最重要的一步-------工具接压缩（啊~~我知道是废话。。大家多多包涵嘛。。不
要打拉）
然后运行Superscan3.0（就是那连着的两个电脑图标）
出现界面在IP表里面有两个选项
起始IP：
终止IP：
随便填上两个IP地址（最好是C类IP范围从192.0.0.0--223.255.255.255）
顺便讲一下IP的类型：
A类范围：0.0.0.0---127.255.255.255
B类范围：128.0.0.0---191.255.255.255
C类范围：192.0.0.0---223.255.255.255
D类范围：224.0.0.0---239.255.255.255
E类范围：240.0.0.0---247.255.255.255
一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚，有兴趣的朋
友可以看看相关的资料。。。。。
闲话说到这里我们继续看起始IP和终止IP
我给大家一个参考
起始IP：202.103.139.1
终止IP：2020103.139.255
填好这个在扫描类型里看列表中定义：
你可以扫描很多的端口，但那对我们的木马攻击没有实际意义
所以我们把两个窗口填上7626（冰河服务端开的端口）。
好了，点开始。
扫描结果会出现在底下兰色的列表中
当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河
的主机。（假如没有找到，请不要灰心，继续扫描。一个成功的黑客最重要是有耐心
！）

好了打开我们的冰河的客户端（再次提醒！！千万不要点服务器端！！！否则你等于种
木马给自己！！什么？？你已经点了？？你不会那么傻吧。。。。）
具体功能包括:
1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕
变化的同时，监控端的一切键盘及鼠标*作将反映在被控端屏幕（局域网适用）；
2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对
话框中出现过的口令信息；
3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当
前显示分辨率、物理及逻辑磁盘信息等多项系统数据；
4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定
注册表等多项功能限制；
5．远程文件*作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏
览文本文件、远程打开文件（提供了四中不同的打开方式--正常方式、最大化、最小化
和隐藏方式）等多项文件*作功能；
6．注册表*作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表
*作功能；
7．发送信息：以四种常用图标向被控端发送简短信息；
8．点对点通讯：以聊天室形式同被控端进行在线交谈。
呵呵，是不是很拽？？哼哼~~我叫你不服！！！我要删掉你C盘文件！！！修改你注册
表！！盗你QQ号码！！上网帐号！！
！………………………………………………………………
罗嗦一下！！你们千万不要搞破坏哦，学会了使用就好。。。
接着，我会介绍特洛伊木马“冰河”的使用：
首先打开客户端
出现*作界面
文件 编辑 设置 帮助
点文件出现下拉菜单
点自动搜索
出现提示框
里面只有起始域 起使地址 终止地址
这三个比较有用
比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25
那么我们就在起始域里输入：202.103.139
起始地址：25
终止地址：25
表示搜索这一个主机
如果扫描结果里显示ERR表示该计算机没有种木马，如果是OK你就爽拉~~
（你也可以在起始域里输入：202.103.139起始里面：1终止里面255，这样是搜索
202.103.139子网里所有的计算机）
看到这里有的朋友会问拉，既然木马可以自己扫描为什么还要上面哪个工具？？嘿嘿~~
哪个比较快嘛，多学一点没有坏处的~~（啊~~我错了还不行？？大家息怒）
只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个
小加号，点开他你可以随便对对方的文件进行修改删除了，你甚至可以上传一个病毒到
他的文件夹中（不推荐，你们没那么大仇吧？？）
好了我们再来看看文件管理右面的命令控制台，这里有你感兴趣的东西哦~~命令很简单
都是一看就会的，你们只要每个都实验一下就知道作什么用的拉
由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”
简单的就象小孩子的游戏~~~
看看下面有什么？？
远程关闭计算机
远程从新启动计算机
后面两个没什么用不理他也罢
你只要点一下远程“关闭计算机”
OK拉，他的电脑自己关机拉，不相信？？好，QQ上和他说话，他能回答你才怪：）
好了，关于*作的方法我已经向大家介绍了，这是一个傻瓜式的软件，*作命令全中文，
作用一看就知道，很容易上手，用他来盗QQ也不错哦~~~~（在口令类命令的系统信息及
口令里，要先做键盘记录哦）具体方法请自己研究，我可不想犯罪。。

关于使用方法就介绍到这里，到这里以上为止都是对不特定人物的入侵，那么要怎么对
特定的人物进行入侵那？？记得我不叫你们点的服务器端吗？呵呵，就是他，他是没有
图标的一个运行文件，可以夹带在几乎任何文件里运送，比如照片，FLASH等……（有
相关的合成软件，我不知道具体那里有下载，不过我有的，你们需要可以找我，不过不
要拿来作坏事）你只需要给你的网友用QQ传送个照片呀，一篇文章呀就可以顺利种上木
马，然后你要取得他（她）的IP地址就可以对他进行控制拉，这方法不是我教你们的啊
！！以后不要出卖我，还有电子邮件也可以传播。。。。。。。木马病毒。。
方法有很多大家可以自己研究。。。。。。

下面有几点提示：
1：为什么我解压缩的时候杀毒软件老是报有病毒呀？？
木马本身就是一个病毒，只要你不点服务器端，对你不会造成任何影响
运行的时候也要关掉防火墙，否则系统无法运行。
2：为什么我种上木马以后连接不到计算机？？
很简单，你的版本过旧拉，去下载新的版本吧，再者对方在网吧，由于
设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。
什么？？你不知道他是不是在家？？看QQ的IP地址
比如对方IP是202.103.139.22：4000表示在家
202.103.139.22：1030网吧
只有后面是4000、7000的用户是在家
有的时候是4001、4002表示对方现在运行的QQ数目，不用管他
3：关于冰河的万能密码：
2.2版：Can you speak chinese?
2.2版：05181977
3.0版：yzkzero
3.0版：yzkzero.51.net
3.0版：yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版：05181977
2.2杀手专版：dzq2000!
有的是要密码口令登陆的，不过一般不要，也不用刻意注意
4：我也种上服务器端了，对方也在家，他也并没发觉我给他种了，但就是连接不正常
呵呵，对方懂得使用代理服务器那你看到的IP地址不是真实的IP地址。这种情况，你还
是放弃吧。

5：冰河是一个很麻烦的家伙，卸载很麻烦就是你安装以后卸载和其他的程序不一样
网上相关文章很多，我由于最近考试关系就不一一介绍了，你可以去黑白网络看看：）
6：如果清除冰河服务端：
方法一： 俗话说，解铃还需系铃人。中了冰河，就用它的控制端来卸载服务端。具体
方法：
1、启动“冰河”的控制端程序。
2、选择“文件”--“添加主机”，或者直接点击快接按钮栏的第一个图标 。
3、弹出的对话框中，“远程主机”一项，填写自己的IP。
4、连接服务端，然后，点击“命令控制台”标签。
5、选择“控制类命令”--“系统控制”，在右面的窗口下方，你会发现四个按钮。点
击“自动卸载”，就将冰河的服务器端清除了。
方法二：
冰河 v1.1
1、打开注册表“Regedit.exe”。（可以在“开始”--“运行”里输入
“regedit”。）
2、点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、查找以下的两个路径，并删除
“C:\windows\system\kernel32.exe”
"“C:\windows\system\sysexplr.exe”
4、关闭“Regedit.exe”，重新启动Windows。
5、删除“C:\windows\system\kernel32.exe”和
“C:\windows\system\sysexplr.exe”木马程序。
6：重新启动。完成。
方法一是对于你给别人种的服务器端的，记得玩完以后给人家清除掉，作事情不要那么
决情！！
方法二是对于清除自己计算机里的服务器端的，现在就好好看看是不是由于自己的疏忽
被人家种下冰河。。。。。。。。。

小结：对于木马的大家庭来说冰河只是一个小弟弟，但是大家也看到了他的危害性，所
以本人只建议大家学习这个软件，并不是用他去干什么，恶意破坏是低级黑客（根本可
以说是菜鸟）的做法，建议大家不要搞破坏，学习就好。。。。。。。。。。

http://www.okyok.com/read.php?tid=3788&page=e
啰嗦一句：千万不要用于坏道。

http://www.okyok.com/read.php?tid=3788&page=e
啰嗦一句：千万不要用于坏道。

QQ木马的组合很简单就是两个邮箱，一个来发一个来收。来盗取密码的，

要看什么木马了

要看什么木马了