作為壹款流行的遠程控制工具,在面世的初期,冰河就曾經以它簡單的操作方法和強大的
控制能力令人膽寒,可以說是達到了談“冰”色變的地步。鑒於此,這裏進行簡要介紹。
1、冰河的安裝該控制工具中有三個文件:Readme.txt,G_Client.exe和G_Server.exe。
Readme.txt簡單
介紹自己的使用,冰河當然也不例外了。G_Client.exe是監控端執行程序,可以用於監控
遠程計算機和配置服務器,G_Server.exe是被監控端後臺監控程序(運行壹次即自動安裝
,可任意改名)。最好不要在自己本機運行G_Server.exe,否則可能處於別人的控制之中
了。 也就是說,妳要控制的遠程計算機必須是要運行過G_Server.exe這個程序的。該服
務端程序直接進入內存,並把感染機的7626端口開放。而使得擁有冰河客戶端軟件(G_Cl
ient.exe)的計算機可以對感染機進行遠程控制。G_server.exe可以任意改名,運行時無
任何提示。2、冰河的基本使用運行客戶端控制程序G_Client.exe,界面如下圖所示。
點擊菜單“文件”下的“自動收索”,彈出如下圖的窗口。
查找IP地址:在“起始域”編輯框中輸入要查找的IP地址,例如欲搜索IP地址“192.168.
1.1”至“192.168.1.255”網段的計算機,應將“起始域”設為“192.168.1”,將“起
始地址”和“終止地址”分別設為“1”和“255”,然後點“開始搜索”按鈕,在右邊列
表框中顯示檢測到已經在網上的計算機的IP地址,地址前面的“ERR:”表示這臺計算機無
法控制;顯示“OK:”的表示它曾經運行過G_Server.exe,也就是妳可以控制了,同時它
的IP地址將“文件管理器”裏顯示出來。點擊任何壹個,在“當前連接:”的編輯框裏就
顯示這壹個地址。捕獲屏幕:單擊“文件”菜單下的“捕獲屏幕”,就會彈出下圖所示的窗口。
圖像格式有BMP和JEPG兩個選項,建議妳選JEPG格式,因為它比較小,便於網絡傳輸。“
圖像色深”第壹格為單色,第二格為16色,第三格為256色,依此類推。“圖像品質”主
要反應的是圖像的清晰度。按“確定”按鈕後便出現遠程計算機的當前屏幕內容。捕獲控制:點擊“文件”菜單下的“捕獲控制”,彈出下圖類似的窗口,設置好後按“確
定”按鈕;
可以讓被控制的計算機某些系統按鍵失去作用。冰河信使:試試文件”菜單下的“冰河信使”,出現下圖所示的窗口;
其實相當於壹個聊天工具,輸入信息以後點“發送”即可,在被控制端就會出現消息窗口
。 3、冰河的“命令控制臺”單擊“命令控制臺”按鈕,冰河的核心部分就在這裏。·口令類命令:選擇“系統信息及口令”項,點擊“系統信息與口令”,得到下圖所示的
信息;
信息包括處理器類型、Windows版本、計算機名、當前用戶、硬盤驅動器總容量、目前剩
余空間、冰河版本等,是不是很多?妳可以單擊鼠標右鍵,選擇“保存列表”保存信息;
還有“開機口令”、“緩存口令”、“其他口令”幾個按鈕,妳可以分別試試。選“歷史口令”項可以看的密碼就更多了,點擊“查看”可能會找到壹大堆東西的,仔細
看看,裏面甚至還有他用過的OICQ之類的軟件的密碼。壹般沒必要就不要選“清空”了。
選“擊鍵記錄”項後要點“啟動鍵盤記錄”,等到妳覺得時間差不多了就點“終止鍵盤記
錄”,然後點“查看鍵盤記錄”,這段時間裏對方的按鍵全部記錄。·控制類命令。“捕獲屏幕”前面已經敘述。“發送信息”主要是讓操作者選擇合適的“圖標類型”和“按鈕類型”,然後在“信息正
文”裏寫上要發送的信息,按“預覽”覺得滿意後點“發送”即可。“進程管理”是“查看進程”,了解遠程計算機正在使用的進程,便於控制。“窗口管理”非常簡單,有刷新、子窗口、最大化、最小化、激活窗口、隱藏窗口、正常
關閉、暴力關閉這幾個命令。“系統控制”中的“遠程關機”和“遠程重起”功能不用解釋。“鼠標控制”中的“鼠標鎖定”是鎖定遠程計算機的鼠標。·網絡類命令“創建***享”是把被控制的計算機的某個文件或文件夾進行***享,而“刪除***享”正好與
之相反。“網絡信息”中的“查看***享”可以把被控制計算機裏***享文件的文件名,權限和密碼都
查看到。“文件類命令”和“註冊表讀寫”的操作這裏就讓讀者自己去做了。·設置類命令“更換墻紙”命令要配合上面“文件類命令”的“文件查找”找到*.bmp的位圖文件,然
後更換遠程被監控計算機的墻紙。“更改計算機名”命令使用後不會立即生效,不過當他重新啟動計算機時就換了。“服務器端配置”通常用默認設置,當熟練使用冰河時再重新設置它。4、防範與清除冰河當冰河的G_Server.exe這個服務端程序在計算機上運行時,它不會有任何提示,而是在wi
ndows/system下建立應用程序“kernel32.exe”和“Sysexplr.exe”。若試圖手工刪除,“Sysexplr.exe”可以刪除,但是刪除“kernel32.exe”時提示“無法
刪除kernel32.exe:指定文件正在被windows使用”,按下“Ctrl+Alt+Del”時不可能找到
“kernel32.exe”,先不管它,重新啟動系統,壹查找,“Sysexplr.exe”壹定會出來的
,妳可以在純DOS模式下手工刪除掉這兩個文件。再次重新啟動,妳猜發生了什麽?再也
進不去Windows系統了。重裝系統後,再次運行G_Server.exe這個服務端程序,在“開始”->“運行”中輸入命
令“regedit”打開註冊表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run下面發現@=“C:\\WINDOWS\\SYSTEM\\Kernel32.exe”的存在,說明
它是每次啟動就自動執行的。怎麽辦呢?手工清除不行?試試殺毒工具吧!金山毒霸壹定很快就檢測到它,並完全清除。清除後重新啟動計算機,還要把剛才的過程
重復壹次才能清楚幹凈。如果沒有金山毒霸沒有提示重新啟動,那就是不徹底的,還要重
復幾次。壹直到金山毒霸提示“病毒防火墻——發現 [Hack.Glacier 2.1] 病毒在
C:\RECYCLED\*.EXE 文件中(已經刪除)”,這時才說明已經徹底擺脫冰河了。