冰河陷阱由木马“冰河”原作(zuò)者(黄鑫)制作的清理所有“冰河”以及(jí)其变种木马的软件。
1、自(zì)动(dòng)清除所有(yǒu)版本“冰(bīng)河”
2、伪装成“冰(bīng)河”被控端对入侵者进(jìn)行(háng)欺骗,并记(jì)录入(rù)侵(qīn)者的所有操作
系统要求:Windows 9x/me/nt/2000/xp 简(jiǎn)体中(zhōng)文版
一(yī)、系统要求:Windows 9x/me/nt/2000/xp 简体中文版
二、主要功能:
1、自动清除(chú)所(suǒ)有版本“冰河”:
每次启动时自(zì)动检测系统是否已经被安装了“冰(bīng)河(hé)”被控端程序,如果是(shì)则(zé)提示用户(hù)并在用户确认后自动清除所有版本的“冰(bīng)河”被控端(duān)程序。
2、保存“冰河”配置(zhì)信息:
在清除“冰河”被控端程序(xù)前(qián)会向用户(hù)显示(shì)已经被安装的“冰河”配置信息,自动清(qīng)除后(hòu)配置信(xìn)息保存在 当前目录的“清除日志.txt”文(wén)件中。
3、模拟“冰河”被控端(duān):
启(qǐ)动(dòng)“冰河”陷阱后,程序会完全模(mó)拟(nǐ)真正的“冰河”被控端程序对(duì)监控端的命令进行响应,使监控端产生(shēng)仍在正常监控的错觉,同时完全记录(lù)监控(kòng)端的(de)IP地址(zhǐ)、命(mìng)令、命令参数等相(xiàng)关(guān)信(xìn)息。
4、允许(xǔ)配置被控(kòng)端信息:
通过修(xiū)改DAT目录下的文(wén)件(jiàn),用(yòng)户可以定义自己的“ 系统信息”、“进程(chéng)列表”、“ 屏(píng)幕图像”甚至虚拟的文件系统等信息。生成虚拟的文件系统需要借助“冰河(hé)陷阱(jǐng)”所在(zài)目录下的“文(wén)件列表(biǎo)生成器”,使用方(fāng)法见第五部分。
5、保存远(yuǎn)程上传的文件:
所有由 远程监控端上传的文件,保存(cún)在UPLOAD目录(lù)下供用(yòng)户分析。
