黑客基本知识

一、第二代木马

在国内，冰河与广外女生被认为是标准的第二代木马。通过这两个具有代表性的木马为例，理解木马的特点，以及入侵者是如何使用这些木马来控制远程主机的。

1、冰河

冰河主要含有两个文件。

G_Server.exe：被监控端后台监控程序（运行一次即自动安装，可任意改名），在安装前可以先在“G_Client”中对“配置本地服务器程序”功能进行一些特殊配置，例如是否将动态IP发送到指定信箱，是否需要改变监听端口，以及设置访问口令等。

G_Client.exe：监控端执行程序，用于监控远程计算机和配置服务器程序。

该软件主要用于远程监控，具体功能包括：

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

2、广外女生

广外女生是广东外语外贸大学“广外女生”网络小组的处女作，作为一个远程控制软件它的基本功能有：文件管理方面有上传，下载，删除，改名，设置属性，建立文件夹和运行指定文件等功能；注册表操作方面：全面模拟WINDOWS的注册表编辑器，让远程注册表编辑工作有如在本机上操作一样方便；屏幕控制方面：可以自定义图片的质量来减少传输的时间，在局域网或高网速的地方还可以全屏操作对方的鼠标（包括单击，双击，右键，拖动等）；其他功能还有远程任务管理、邮件IP通知、邮件服务等。

广外女生与其他同类软件相比，其主要特点是：

服务端程序体积小，大家熟悉的冰河是260多KB，而广外女生只有96KB。

服务端占用系统资源少，最多时只占用3M的内存，不会影响服务端计算机的速度。隐蔽性好，不容易被发现。