冰河谷怎么灭的 冰河大战

　　选手出场 　　 　　首先，有请今天比赛的两位选手出场。 　　冰河――不可动摇的领军木马，被无数黑客推崇，在国内没用过冰河的人等于没用过木马。它就像一柄利剑，可以直插远程计算机的要害，使得黑客能够任意地控制远程计算机。
　　冰河陷阱――国内最早出现的蜜罐系统之，它虽然默默无闻，但却像一副坚固的铠甲，保护系统安全正确地运行。
　　冰河与冰河陷阱，就如同矛和盾。到底是矛尖，还是盾坚呢?
　　
　　第一回合：配置
　　
　　
　　●冰河
　　冰河有很多版本，今天上场的是它最后一个正式版，包括三个文件：Readme.txt，G_Client.exe和G_Server.exe。G_Client.exe是客户端程序，可以用于监控远程计算机和配置服务器。G_Server.exe是服务端程序(图1)，可任意改名，最好不要在自己本机运行它，否则可能处于别人的控制之中。
　　冰河的服务端程序可以按默认设置使用，也可以自己配置。运行G_Client.exe，点击工具栏中的“配置本地服务器程序”按钮，在弹出的窗口设置服务端程序的安装路径、文件名称、进程名称、访问口令等内容，设置完成后点击“确定”按钮将配置信息写入服务端程序中(图2)。
　　冰河服务端程序运行后会把本地计算机的7626端口开放，并且常驻内存，使得拥有冰河客户端软件(G_Client.exe)的计算机随时可以对感染机进行远程控制。
　　
　　小知识
　　通常我们说中木马了，就是指自己的电脑中被偷偷安装上了木马的服务端程序。而客户端程序是留在黑客的电脑中，用于控制服务端。
　　
　　●冰河陷阱
　　
　　冰河陷阱是冰河原作者黄鑫发布的(下载地址：http：//work.省略/pcd)，专门用来对付各类冰河木马的蜜罐程序。它主要有两大功能：一是自动清除所有版本的冰河服务端程序(图3)；二是把自己伪装成冰河的服务端程序，记录入侵黑客的所有操作，所以它的设置可比冰河复杂得多。
　　我们先通过“冰河陷阱”伪造一个中了冰河服务端程序的Windows XP系统。在磁盘中新建一个空的文件夹，接着在它里面新建诸如Documents and Settings、Program Files、Windows等系统目录，用于.迷惑入侵的黑客。
　　运行“冰河陷阱”目录中的“文件列表生成器.exe”，在“真实目录”中填入刚才新建的空文件夹路径，再在“伪装成驱动器”下拉框中选择“C：”，接着点击“添加”按钮将映射关系填入列表(图4)。重复这样的操作，就可以伪装出更多的驱动器，最后点击“生成文件”按钮重新生成DAT目录下“文件列表.txt”文件。以后当远程通过“冰河”客户端进行监控时，“冰河陷阱”将从“文件列表.txt”中检索文件信息。
　　
　　到此为止，已经基本完成了冰河陷阱的配置，但是为了能更加强烈地迷惑黑客，还要做其他很多更加详细的设置。在冰河陷阱的DAT目录下，保存了大量伪装的信息内容。比如打开“系统信息.txt”，根据文件中的每一项内容将其填写得更加诱人(图5)，毕竟黑客都喜欢控制配置好的远程计算机嘛。
　　
　　第二回合：操作
　　
　　●冰河
　　打开有瑞士军刀图标的冰河客户端程序，点击工具栏中的“添加主机”按钮，填上远程计算机的主机地址、访问口令、监听端口等内容，直到出现远程计算机的磁盘列表才表示连接成功。这时在“文件管理器”里面任意地选择要查看的目录，就可以对计算机里的文件进行远程管理，包括上传、下载、删除、远程打开等主要几项操作。点击工具栏的“查看屏幕”，建议选JEPG格式，便于网络传输。
　　除此以外，在“命令控制台”中还包括口令类命令、控制类命令、网络类命令等，每一类都包括多个控制命令。比如选择“击键记录”选项后，点击“启动键盘记录”按钮，过一段时间后点击“终止键盘记录”按钮，然后点击“查看键盘记录”按钮，就可以看到这段时间里对方的全部按键记录。“进程管理”中的“查看进程”命令，是用于了解远程计算机正在使用的进程，便于用户控制管理(图6)。“创建共享”是把被控制的计算机的某个文件或文件夹进行共享。
　　冰河的基本操作就这么简单，用户只要熟练掌握它，使用其他的木马程序也就不在话下了。
　　
　　●冰河陷阱
　　“冰河陷阱”设置完成，程序启动时会自动检测系统是否已经被安装了“冰河”服务端程序，如果是则提醒用户并在用户确认后，自动清除所有版本的服务端程序。
　　“冰河陷阱”会打开冰河木马默认的7626连接端口进行监听，通过菜单项“设置一设置监听端口一可以进行更改，并模拟出一个真正的“冰河”服务端程序，对客户端的命令进行响应，使客户端产生仍在正常监控的错觉，同时记录客户端的IP地址、命令、命令参数等全部相关信息。
　　现在将“冰河陷阱”最小化，当有人通过冰河客户端入侵时，我们就可以在系统通知栏看到闪烁的警告图标。
　　
　　第三回合：PK
　　
　　下面我们就来看看冰河陷阱如何操作，它是怎样诱骗黑客的，最终进行一场“冰河陷阱”与“冰洞”的PK赛。
　　
　　如果任务栏上的“冰河陷阱”开始闪烁，同时发出警报声，就说明有黑客上钩了，闯入了我们精心设置的陷阱。双击任务栏中的图标，打开“冰河陷阱”主界面，从控制界面的列表中就可以查看到黑客详细的操作过程(图7)。
　　从图中可以看到，黑客查看了我系统的桌面、进程列表、窗口列表，甚至还进行了键盘记录，并且上传、运行了一个应用程序。所有由远程客户端程序上传的文件，都保存在“冰河陷阱”所在目录的UPLOAD目录下供用户进行分析。但是由远程客户端程序上传的文件多为破坏性程序或病毒、木马等有害程序，所以在没有把握的情况下不要轻易执行UPLOAD目录下的任何文件。
　　面对这些入侵的黑客，我们应该怎样警告他们呢?只要在主界面的列表中，任意选择一条入侵记录，接着点击工具栏中的“冰河信使”按钮，就可以向冰河客户端发送信息，客户端回应的信息依然会以入侵记录方式显示在主界面的列表中(图8)。
　　
　　小结
　　
　　由上所述可以看出，“冰河陷阱”在这次的PK中大获全胜。获胜主要原因有二：第一是因为冰河陷阱是一款专门针对冰河木马的蜜罐程序，第二是普通黑客很难判断是否是蜜罐程序在执行。虽然蜜罐系统并不能百分之百地保证用户系统的安全并捉住黑客，但我们可以借此更多地学习安全知识，与黑客斗，其乐无穷啊。