1. 冰河木马的前世今生我第一次接触冰河木马是在2008年的一次网络安全培训课上。当时老师拿着一个U盘神秘兮兮地说今天带你们见识下传说中的国产第一木马。这个诞生于1999年的恶意软件至今仍是网络安全教学的经典案例。冰河木马之所以经典是因为它完整呈现了一个木马程序的典型特征。它采用客户端/服务器架构服务端程序g_server只有几十KB大小却能实现远程桌面控制、文件管理、键盘记录等完整功能。最特别的是它的冰河信使功能允许攻击者直接与受害者对话这种嚣张的设计在当年可谓独树一帜。在虚拟机里运行这个古董级木马时我发现几个有趣的细节它的默认连接端口是7626这个数字其实是作者生日7月6日加上年龄26岁的组合它的进程会伪装成系统核心进程KERNEL32.EXE还会修改注册表实现自启动。这些特征后来都成为了安全软件检测的重要指标。提示实验环境务必使用Windows XP/7 32位系统64位系统和新版Windows已内置对该木马的防护机制。2. 实验环境搭建指南上周帮学弟搭建实验环境时我们折腾了整整一个下午。这里分享几个避坑要点首先准备两台虚拟机建议使用VirtualBox它比VMware对老旧系统兼容性更好。操作机用Windows 7 SP1 32位系统目标机用Windows XP SP3镜像文件建议从MSDN我告诉你官网下载纯净版。安装完系统后务必做以下准备关闭Windows防火墙控制面板→Windows防火墙→关闭禁用UACXP跳过此步Win7在控制面板→用户账户→更改用户账户控制设置设置共享文件夹方便传输冰河程序为两台虚拟机配置桥接网络确保IP在同一网段冰河V8.4的客户端(g_client.exe)和服务端(g_server.exe)加起来不到1MB。有个细节容易忽略右键g_client.exe选择属性→兼容性勾选以兼容模式运行这个程序选择Windows XP SP3否则配置界面可能显示异常。3. 木马植入实战演示记得第一次成功控制目标机时那种震撼感至今难忘。具体操作流程如下3.1 服务端配置双击打开g_client.exe点击设置→配置服务器程序。关键参数设置访问口令建议设置复杂密码早期版本存在弱口令漏洞进程名称默认KERNEL32.EXE伪装系统进程写入注册表启动项勾选关联文件类型建议取消所有勾选避免误伤系统配置完成后会生成g_server.exe这就是要植入目标机的木马程序。通过共享文件夹或U盘将其复制到目标机双击运行后看似没有任何反应其实它已经悄悄做了三件事在系统目录创建副本默认C:\Windows\system32\KERNEL32.EXE在注册表Run和RunService项添加自启动开放7626端口等待连接3.2 连接控制在操作机的g_client界面点击自动搜索当看到目标机IP出现时双击它就会建立连接。成功连接后可以看到六个功能模块文件管理像资源管理器一样浏览目标机文件远程控制实时查看/操作对方桌面屏幕监控定时截图记录密码获取提取系统保存的密码系统控制关机/重启/卸载等冰河信使发送弹窗消息特别要演示的是远程控制功能。点击后会出现目标机桌面镜像在菜单栏选择控制→键盘鼠标控制就能像操作本地电脑一样控制目标机。我常用这个功能打开目标机的记事本输入你的电脑已被控制来制造恶作剧效果。4. 木马清除的两种姿势去年有朋友的电脑中了类似木马我用这套方法成功清除。下面分享具体操作4.1 反卸载方法如果还能连接到目标机这是最便捷的方式在g_client选中目标机点击命令控制台选择控制类命令→系统控制点击右下角自动卸载冰河确认后显示服务器端监控程序自动卸载完毕但这种方法有个隐患如果木马被修改过可能无法完全清除。因此建议完成后用第二种方法复查。4.2 手动清除步骤这是最彻底的清除方式共分四步第一步结束进程打开任务管理器CtrlShiftEsc在进程列表找到KERNEL32.EXE。注意辨别真正的系统进程是小写的kernel32.exe而木马是全大写的。结束该进程后立即进行下一步防止它重新启动。第二步删除文件打开资源管理器依次删除以下文件C:\Windows\system32\KERNEL32.EXE原始g_server.exe所在位置C:\Windows\system32\sysexplr.exe可能存在的衍生文件第三步清理注册表打开regedit.exe删除以下键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run → 删除binghe项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService → 删除binghe项第四步修复文件关联有些版本会劫持txt文件打开方式HKEY_CLASSES_ROOT\txtfile\shell\open\command → 将默认值改为C:\WINDOWS\notepad.exe %15. 防护建议与检测技巧根据多年运维经验我总结了几条实用建议基础防护措施定期更新系统补丁特别是MS17-010这类高危漏洞安装杀毒软件并开启实时防护火绒、卡巴斯基等禁用UAC的用户建议至少设置标准账户重要数据定期备份到移动硬盘可疑行为检测当电脑出现以下症状时要警惕系统目录出现陌生exe文件特别是全大写进程7626等非常用端口被监听cmd下执行netstat -ano查看注册表Run项被修改可用Autoruns工具检查文本文件打开方式变成其他程序进阶检测手段对于技术人员可以用这些方法深度检测# 检查可疑网络连接 netstat -ano | findstr 7626 # 检查计划任务 schtasks /query /fo LIST /v # 检查WMI持久化 wmic /namespace:\\root\subscription path __EventFilter get name wmic /namespace:\\root\subscription path __EventConsumer get name在虚拟机里反复练习这个实验后你会对木马的工作原理产生肌肉记忆。有次公司内网排查时我仅凭任务管理器里一个异常的大写进程名就发现了一台被控主机。这种实战能力正是通过这类基础实验积累而来的。