冰河可以说是国内最为著名的一款木马软件,相信很多朋友都曾经吃过它的苦头,不过只要有这款名为冰河陷阱的软件,就不用担心了。
一、软件简介
大家可别小看了冰河陷阱这款软件的威力,因为这是冰河的作者发布的,该软件主要提供了如下两个功能:
1.自动清除所有版本的冰河;
2.伪装成冰河被控端,实现对入侵者的欺骗,并自动记录入侵者的所有操作。
二、认识冰河陷阱中的文件
从www.xfocus.net可以下载冰河陷阱,文件也不大,才815KB而已,可以在Windows 9X/Me/NT/2000/XP等各种平台下使用。将下载回来的文件解压缩,可以得到下列文件,各个文件的主要用途如下:
1.冰河陷阱.exe:冰河陷阱主程序;
2.文件列表生成器.exe:用于生成虚拟的文件列表,并保存到DAT目录下的“文件列表.txt”中,当某些居心不良的人从远程通过冰河客户端进行监控时,冰河陷阱将从“文件列表.txt”中检索文件信息;
3.使用说明.txt:说明文档;
4.Wry.dll:“追捕”数据库,用于查询入侵者IP地址对应的地理位置;
5.DAT:存放各种虚拟数据文件。
DAT目录中的这些数据文件也可以进行自定义,用记事本打开即可进行编辑,具体步骤这里就不多说了。 三、让冰河离你远去
说了半天,我们还是先来看一看冰河陷阱的主要使用方法吧!
1.清除系统中的冰河
冰河陷阱启动时,会自动检测系统中是否已经被安装了各种版本的冰河被控端程序,如果一旦发现的话,将弹出对话框进行警告,点击“是”按钮将自动清除被控端程序,在清除之前会向用户显示已被植入系统的冰河被控端程序的配置信息,清除结束后会显示一对话框,你可以从当前目录下的“清除日志.txt”文件中查看相应内容(如图),够清晰吧?
2.模拟冰河被控端
点击程序主界面工具栏最左侧的“打开陷阱”按钮,程序会完全模拟真正的冰河被控端程序,并对远程监控端发出的命令进行响应,使监控端产生一种仍在正常监控的错觉。
当然啦,在模拟冰河被控端的同时,冰河陷阱还会同时完全记录监控端的IP地址、命令、命令参数等相关信息,呵呵,有了这些信息,你就可以利用一些工具软件进行反追踪了。
3.程序配置
在缺省设置下,冰河的监听端口为7626,不过某些经过修改的版本可能会更改监听端口,我们可以执行“设置→设置监听端口”命令进行重新设置。如果将冰河陷阱程序最小化,当有人通过冰河客户端进行入侵时,我们可以从系统托盘区看到闪烁的警告图标,此时只要双击图标打开程序主界面,就可以查看到入侵者的详细操作过程了。(Wjun)
(出处:http://www.sheup.com)