冰河大戰

選手出場

首先，有請今天比賽的兩位選手出場。

冰河——不可動搖的領軍木馬，被無數黑客推崇，在國內沒用過冰河的人等于沒用過木馬。它就像一柄利劍，可以直插遠程計算機的要害，使得黑客能夠任意地控制遠程計算機。

冰河陷阱——國內最早出現的蜜罐系統之，它雖然默默無聞，但卻像一副堅固的鎧甲，保護系統安全正確地運行。

冰河與冰河陷阱，就如同矛和盾。到底是矛尖，還是盾堅呢?

第一回合：配置

●冰河

冰河有很多版本，今天上場的是它最后一個正式版，包括三個文件：Readme.txt，G_Client.exe和G_Server.exe。G_Client.exe是客戶端程序，可以用于監控遠程計算機和配置服務器。G_Server.exe是服務端程序(圖1)，可任意改名，最好不要在自己本機運行它，否則可能處于別人的控制之中。

冰河的服務端程序可以按默認設置使用，也可以自己配置。運行G_Client.exe，點擊工具欄中的“配置本地服務器程序”按鈕，在彈出的窗口設置服務端程序的安裝路徑、文件名稱、進程名稱、訪問口令等內容，設置完成后點擊“確定”按鈕將配置信息寫入服務端程序中(圖2)。

冰河服務端程序運行后會把本地計算機的7626端口開放，并且常駐內存，使得擁有冰河客戶端軟件(G_Client.exe)的計算機隨時可以對感染機進行遠程控制。

小知識

通常我們說中木馬了，就是指自己的電腦中被偷偷安裝上了木馬的服務端程序。而客戶端程序是留在黑客的電腦中，用于控制服務端。

●冰河陷阱

冰河陷阱是冰河原作者黃鑫發布的(下載地址：http：//work.newhua.com/pcd)，專門用來對付各類冰河木馬的蜜罐程序。它主要有兩大功能：一是自動清除所有版本的冰河服務端程序(圖3)；二是把自己偽裝成冰河的服務端程序，記錄入侵黑客的所有操作，所以它的設置可比冰河復雜得多。

我們先通過“冰河陷阱”偽造一個中了冰河服務端程序的Windows XP系統。在磁盤中新建一個空的文件夾，接著在它里面新建諸如Documents and Settings、Program Files、Windows等系統目錄，用于.迷惑入侵的黑客。

運行“冰河陷阱”目錄中的“文件列表生成器.exe”，在“真實目錄”中填入剛才新建的空文件夾路徑，再在“偽裝成驅動器”下拉框中選擇“C：”，接著點擊“添加”按鈕將映射關系填入列表(圖4)。重復這樣的操作，就可以偽裝出更多的驅動器，最后點擊“生成文件”按鈕重新生成DAT目錄下“文件列表.txt”文件。以后當遠程通過“冰河”客戶端進行監控時，“冰河陷阱”將從“文件列表.txt”中檢索文件信息。

到此為止，已經基本完成了冰河陷阱的配置，但是為了能更加強烈地迷惑黑客，還要做其他很多更加詳細的設置。在冰河陷阱的DAT目錄下，保存了大量偽裝的信息內容。比如打開“系統信息.txt”，根據文件中的每一項內容將其填寫得更加誘人(圖5)，畢竟黑客都喜歡控制配置好的遠程計算機嘛。

第二回合：操作

●冰河

打開有瑞士軍刀圖標的冰河客戶端程序，點擊工具欄中的“添加主機”按鈕，填上遠程計算機的主機地址、訪問口令、監聽端口等內容，直到出現遠程計算機的磁盤列表才表示連接成功。這時在“文件管理器”里面任意地選擇要查看的目錄，就可以對計算機里的文件進行遠程管理，包括上傳、下載、刪除、遠程打開等主要幾項操作。點擊工具欄的“查看屏幕”，建議選JEPG格式，便于網絡傳輸。

除此以外，在“命令控制臺”中還包括口令類命令、控制類命令、網絡類命令等，每一類都包括多個控制命令。比如選擇“擊鍵記錄”選項后，點擊“啟動鍵盤記錄”按鈕，過一段時間后點擊“終止鍵盤記錄”按鈕，然后點擊“查看鍵盤記錄”按鈕，就可以看到這段時間里對方的全部按鍵記錄。“進程管理”中的“查看進程”命令，是用于了解遠程計算機正在使用的進程，便于用戶控制管理(圖6)。“創建共享”是把被控制的計算機的某個文件或文件夾進行共享。

冰河的基本操作就這么簡單，用戶只要熟練掌握它，使用其他的木馬程序也就不在話下了。

●冰河陷阱

“冰河陷阱”設置完成，程序啟動時會自動檢測系統是否已經被安裝了“冰河”服務端程序，如果是則提醒用戶并在用戶確認后，自動清除所有版本的服務端程序。

“冰河陷阱”會打開冰河木馬默認的7626連接端口進行監聽，通過菜單項“設置一設置監聽端口一可以進行更改，并模擬出一個真正的“冰河”服務端程序，對客戶端的命令進行響應，使客戶端產生仍在正常監控的錯覺，同時記錄客戶端的IP地址、命令、命令參數等全部相關信息。

現在將“冰河陷阱”最小化，當有人通過冰河客戶端入侵時，我們就可以在系統通知欄看到閃爍的警告圖標。

第三回合：PK

下面我們就來看看冰河陷阱如何操作，它是怎樣誘騙黑客的，最終進行一場“冰河陷阱”與“冰洞”的PK賽。

如果任務欄上的“冰河陷阱”開始閃爍，同時發出警報聲，就說明有黑客上鉤了，闖入了我們精心設置的陷阱。雙擊任務欄中的圖標，打開“冰河陷阱”主界面，從控制界面的列表中就可以查看到黑客詳細的操作過程(圖7)。

從圖中可以看到，黑客查看了我系統的桌面、進程列表、窗口列表，甚至還進行了鍵盤記錄，并且上傳、運行了一個應用程序。所有由遠程客戶端程序上傳的文件，都保存在“冰河陷阱”所在目錄的UPLOAD目錄下供用戶進行分析。但是由遠程客戶端程序上傳的文件多為破壞性程序或病毒、木馬等有害程序，所以在沒有把握的情況下不要輕易執行UPLOAD目錄下的任何文件。

面對這些入侵的黑客，我們應該怎樣警告他們呢?只要在主界面的列表中，任意選擇一條入侵記錄，接著點擊工具欄中的“冰河信使”按鈕，就可以向冰河客戶端發送信息，客戶端回應的信息依然會以入侵記錄方式顯示在主界面的列表中(圖8)。

小結

由上所述可以看出，“冰河陷阱”在這次的PK中大獲全勝。獲勝主要原因有二：第一是因為冰河陷阱是一款專門針對冰河木馬的蜜罐程序，第二是普通黑客很難判斷是否是蜜罐程序在執行。雖然蜜罐系統并不能百分之百地保證用戶系統的安全并捉住黑客，但我們可以借此更多地學習安全知識，與黑客斗，其樂無窮啊。