● [转载] 杀冰河方法大全(转载)(转寄) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Mic (眞·霸王丸), 信区: Virus
标  题: [转载] 杀冰河方法大全(转载)(转寄)
发信站: 荔园晨风BBS站 (Wed Jun 27 06:54:26 2001), 转信

【以下文字转载自 Mic 的信箱】
【原文由 Mic.bbs@bbs.pku.edu.cn 所发表】
发信人: kuba (kuba), 信区: Security
标  题: 杀冰河方法大全(转载)
发信站: 北大未名站 (2001年06月26日17:11:49 星期二), 站内信件

(1):
一、冰河的客户端程序是经过软件加密的。
    二、判断自已是否被冰河感染的最简单的办法是在Windows的系统目录下
(例：\Windows\System)查找Kernel32.exe(同重要的系统文件Kernel32.dll
公扩展名不同）,其实此文件就是冰河客户端程序的一个副本，大家可以自己比
较一下。另外，还有一个名为SysExplr.exe,也是同一个文件。
    三、如何手工清除冰河：用REGEDIT吧，查找“KERNEL32.EXE"你会在
Windows启动程序处（\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run)的默认值即为"Kernel32.exe",这就证明Windows进入图
形界面后最先调用它了，当然系统便被接管了。删掉它，也删掉那个"SysExplr".
重启一下后，再看。
(2)
1.  download a glacier
2.  run the G_Server.exe program
3.  run the G_Client.exe program
4.  Connect your computer
5.  Click the buttem "卸载冰河"
(3)被冰河监控如何知道对方IP
lockdown杀之，netstat可以看到在跟你连接的ip，或者更简单的
是装个天网防火墙，1。0版本都可以，因为如果是冰河，他要监听你
的7626的端口，他就会先ping你的机器，你的机器存在，他才可以发命令，
而你屏蔽了icmp，他根本无法ping到你，所以也无法和你建立连接，
建议新手们都找个scanner给自己scan一把，看有没有木马的端口开着
(4)
自己去当一个"冰河"
运行server,搜索计算机(例如自己IP为192.168.0.1)
起始域为自己IP地址的前三段192.168.0,起始地址1终止地址1
搜索会查到自己,进入命令控制台->控制类命令->系统控制:
点击"自动卸载冰河"
--
有关软件使用方面的问题，请到Software版来。
    欢迎各位网友向大家介绍自己的经验

※ 来源:·北大未名站 bbs.pku.edu.cn·[FROM: 162.105.40.162]
--
※ 转载:·北大未名站 bbs.pku.edu.cn·[FROM: 162.105.35.182]
--
※ 转载:·北大未名站 bbs.pku.edu.cn·[FROM: 162.105.105.25]
--
※ 转寄:·北大未名站 bbs.pku.edu.cn·[FROM: 210.39.3.50]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店