冰河2.2
中国黑客自己创作的优秀木马之一，是由网名为木马冰河的网友黄鑫制作的。
一、功能简介
该软件主要用于远程监控，主要功能包括：

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；
2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；
3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；
4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统、热键及锁定注册表等多项功能限制；
5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；
6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；
7．发送信息：以四种常用图标向被控端发送简短信息；
8．点对点通讯：以聊天室形式同被控端进行在线交谈。

二、组成部分
该软件的是由两个部分组成的：
1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装，可任意改名，既所谓服务端)，在安装前可以先通过“G_Client”的'配置本地服务器程序'功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)；
2. G_Client.exe: 监控端执行程序，用于监控远程计算机和配置服务器程序（既所谓客户端）。

冰河在许多网站都提供下载，大多是压缩包的形式，没有什么安装过程，直接解压缩到相应路径就可以使用了。

三、操作步骤
首先请看一下冰河的主界面（如图3-1-1），全中文的界面，全中文的菜单，非常适合国人自己使用。主菜单有四个大项“文件”、“编辑”、“设置”、“帮助”，其中的各个子项和主界面上的快捷按钮还有快捷键都可以帮助用户实现操作。
图3-1-1
1．添加主机
单击菜单“文件”→“添加主机”或单击快捷按钮“ ”或按下快捷键“Alt+F”
和“A”，就可以进入添加计算机窗口（如图3-1-2）。
图3-1-2
在这个窗口中的“显示名称”中填入给该主机起的名字；在“主机地址”中填入这台主机的ip地址；至于“访问口令”是在其它拥有冰河的用户试图连接该主机时起保护作用的，在这里不使用它；监听端口为7626（这是冰河的默认端口，如果该主机使用了经过“服务器配置”而改变了端口的服务器端的话，就填入修改过的端口值）。最后按下确定按钮，添加完成。
2．删除主机
图3-1-3
单击菜单“文件”→“删除主机”或按下快捷按钮“ ”或按下快捷键“Alt+F”和“R”，进入删除计算机窗口（如图3-1-3）。
在这个窗口中选中要删除的主机名，按下“删除”按钮，如果要对所有的主机进行删除操作，只要按下“清空”按钮就可以了。完成后按下“关闭”返回主界面。
3．自动搜索
单击菜单“文件”→“自动搜索”或按下快捷按钮“ ”或按下快捷键“Alt+F”和“S”，进入搜索计算机窗口。（如图3-1-4）
图3-1-4
这其实是一个冰河自带的特殊扫描器，专门用来搜索安装了冰河服务端的主机。
首先在监听端口中填入冰河的默认通讯端口7626，在延迟时间一栏中添入扫描延迟时间。在起始域一栏中填入要扫描的域的前三段，在起始地址中填入开始扫描的主机ip地址最后一段，在终止地址中填入结束扫描主机的ip地址最后一段。
设置工作已经完成了，现在可以按下“开始搜索”按钮进行搜索工作了，在按下“开始搜索”按钮后此按钮马上变为“取消搜索”，按下此按钮可以取消本次搜索。
观察窗口右侧的搜索结果框如果搜索到主机活动状态且安装了冰河服务端就会显示“OK：xxx.xxx.xxx.xxx”，其中冒号后的是该主机的ip地址；如果搜索到的主机在活动状态但没有安装冰河服务端，那么就会显示“ERR：xxx.xxx.xxx.xxx”，同样冒号后的也是该主机ip地址；对于那些不在活动状态的主机，该框内将不予显示。
最后按下“关闭”按钮返回主界面，此时搜索到的主机已被自动添加到主机文件管理器中的主机列表内了。
4．文件管理
冰河2.2提供了一个类似资源管理器服务器文件管理模块（如图3-1-5）。

图3-1-5
图3-1-6
（1） 上传文件：在主机管理区右单击一个文件夹，弹出如图3-1-6的快捷菜单，单击“文
件上传自…”→选中相应本地文件→按下“打开”按钮，这样就完成了文件从本地象服务器的传送。

图3-1-7
（2） 下载文件：在文件管理区内右单击相应文件，弹出如图3-1-7的快捷菜单，单击“文
件下载至…”→选择本地保存路径→按下“保存”按钮，完成对文件的远端下载。图3-1-7
（3） 文件查找：在主机管理区内右单击一个文件夹（如图3-1-6），单击“文件查找”进
入文件查找窗口；只需要输入过滤条件按下“OK”按钮就可以对该文件夹进行查找。
（4） 新建文件夹、删除和复制文件及文件夹
新建文件夹：在主机管理区内右单击要操作的父文件夹或盘符，选择“新建文件夹”→按下“OK”按钮。（如图3-1-6）
删除文件及文件夹：在主机管理区中右单击要操作的文件夹，选择“删除”→按下“是”按钮（如图3-1-6）。
复制文件及文件夹：在文件管理区中右单击相应的文件及文件夹，选择“复制”，右单击要复
图3-1-8

制到的远端文件夹，选择“粘贴”。（如图3-1-7）
（5） 远程打开：在文件管理区中右单击相应的文件，选择“远程打开”（如图3-1-7）。
在“运行参数”一栏中输入运行是要加的参数，在“运行方式”中选择打开的方式，按下“确定”按钮。
5．命令控制
冰河2.2有许多特殊功能的命令，为此专门提供了一个命令控制台为用户的操作提供方便（如图3-1-8）。
（1） 口令类命令
系统信息及口令：分别按下“系统信息”、“开机口令”、“缓存口令”、“其它口令”
四个按钮后观察结果显示区，可能获得目标机上的对应信息。其中“其它口令”有可能是Oicq口令和拨号网络口令等。
历史口令：按下历史口令命令中的“查看”按钮可以搜索浏览器中的历史记录，显示在结果显示区中。有些用户在使用IE登陆某些网站时喜欢记录下口令方便自己下次登陆，历史口令这条命令可以偷取它们。
击键记录：按下“启动键盘记录”→等待一定的时间按下“终止键盘记录”→按下“查看键盘记录”，在结果显示区中可以看到此段时间内对方的击键记录。
（2） 控制类命令
捕获屏幕：使用这条命令可以观察对方的屏幕，设置好“捕获区域”、“传输格式”、“色
深”、“图象品质”后按下查看屏幕按钮可以实现对对方屏幕的偷窥。如果网络传送质量允许的话还可以按下“屏幕控制”把对方的屏幕当成自己的屏幕加以控制和监视。
发送信息：先定义一个窗口标题→选择窗口图标类型→输入信息正文→选择按钮类型→按
下“发送”按钮，对方的桌面上会出现这样按照上述定义生成的一个窗口。
进程管理：单击“查看进程”按钮从结果显示区查看进程，单击选中某一进程→按下“终
止进程”，可以从进程队列中删除该进程。
窗口管理：首先按下“刷新”按钮，从结果显示区里可以看到对方现在打开的窗口；任意
选中其中一个按下“子窗口”、“最大化”、“最小化”、“激活窗口”、“隐藏窗口”、“正常关闭”、“暴力关闭”这七个按钮中的一个，分别可以实现对应的功能。
系统控制：分别按下“远程关机”、“远程重启”、“重新加载冰河”、“自动卸载冰河”，
可以实现对应的功能。
鼠标控制：在上、下、左、右四个参数设置框里设置好参数，按下“鼠标锁定”按钮，对
方的鼠标就会在这个位置被锁定而无法移动。按下“鼠标解锁”按钮可以取消锁定。
其它控制：按下“自动拨号禁止”、“自动拨号启动”、“桌面隐藏”、“桌面恢复”、
“热键屏蔽”、“热键恢复”、“注册表锁定”、“注册表解锁”八个按钮中的一个可以实现对应功能。
（3） 网络类命令
创建共享：在“路径”框里输入希望在对方主机上创建共享的路径→在“共享名”框中输
入共享名（可以在共享名后面加“$”，创建隐含共享）→按下“创建共享”按钮→创建完成（注意：相同的共享不允许反复创建）。
网络信息：可以按下“查看连接”按钮来查看对方现在的连接，或者使用“查看共享”来
查看对方现在所打开的共享。
删除共享：在“共享名”框中输入要删除的共享名→按下“删除共享”按钮，完成共享删
除。
（4） 文件类命令
此类命令在前面文件管理器中已作过介绍，所以不再重复了。
（5） 注册表读写
键值读取：在“主键”框内输入该键的路径→在“键名”框内输入键名→按下“读取键值”
按钮，在结果显示区中就可以看到所读取的结果。按下“删除键值”按钮可以删除该键。
键值写入：在“主键”框内输入该键的路径→在“键名”框内输入要写入的键名→选择该
键的数据类型→在“键值”输入框中输入键值→按下“写入键值”按钮，完成键值写入。
键值重命名：在“路径”输入框中输入该键的路径→在“原键名”输入框中输入原键名→
在“新键名”框中输入新键名→按下“重命名”按钮，完成重命名。
主键浏览：在“主键”输入框中输入该主键的路径→按下“浏览”按钮，观察结果显示区
完成对主键浏览。
主键增删：在“主键”输入框中输入该主键路径→按下“新建主键”按钮或“删除主键”
按钮，完成对主键的新建和删除。
主键复制：在“源主键”输入框中输入要复制的主键路径→在“目的主键”中输入复制到
的主键路径→按下“复制主键”按钮，完成对主键的复制。
主键重命名：在“路径”输入框中输入主键所在路径→在“原主键”中输入原来主键名→
在“新主键”中输入新主键名→按下“重命名”按钮，完成重命名。
（6） 设置类命令
更换墙纸：将作为墙纸的文件上传到对方硬盘或直接使用对方硬盘上的文件→在“文件”
输入框中输入该文件的路径→选择“显示方式”→按下“确定”按钮，完成更换墙纸。
更改计算机名：在“计算机名”输入框中输入新的计算机名→按下“确定”按钮，完成计
算机名更改。
服务器配置：这个部分的内容将在下面详细介绍。
6．冰河信使
这个功能可以实现服务端和用户端的点对点通讯。
单击“文件”→“冰河信使”或按下快捷按钮“ ”或按下快捷键“Alt+F”和“M”
出现冰河信使的界面（如图3-1-9）。其操作很简单，只要在空白处输入对话按“发送”按钮就可以了。在服务器端也会出现一个相同的窗口，这样就实现了点对点通讯。

图3-1-9
7．服务器配置
服务器配置是指对服务端程序的配置，包括本地的和远地的。
（1） 远端服务器配置
单击“文件”→“修改远端配置”或按下快捷按钮“ ”或按快捷键“Alt+F”和“D”，
启动远端服务器配置窗口（如图3-1-10、3-1-11、3-1-12）。
图3-1-10
如图3-1-10是服务器配置的基本设置界面。安装路径是指每次把冰河服务端放置的路径，
一般选择将进程设置为Windows，然后安装路径选择system也就是c:\windows\system路径。文件名为了隐蔽可以任意命名，访问口令是为了防止其它冰河服务端持有者访问的保护口令。敏感字符是用来根据他们在服务器搜寻诸如：口令、密码等信息的。监听端口可以在这里更改，这样对方和其它用户无法通过扫描器来对其实现搜索。
图3-1-11
如图3-1-11是冰河的自我保护设置界面。如果要将冰河写入注册表启动项以便对方每次启
动就会自动加载，那么必须使用一个隐蔽性很强的键名。可以在“键名”输入框中输入新键名。关联类型可以选txt或exe两种文件类型。比如可以和浏览器关联起来使对方即使删除了木马，只要一运行浏览器马上又运行木马。
图3-1-12
如图3-1-12是邮件通知设置界面。所谓邮件通知就是冰河服务端在上网时自动发送一个通
知给指定信箱。在“STMP服务器”输入服务器，在“接受信箱”里输入要发送通知的信箱；然后选择邮件发送内容，按“确定”按钮完成设置。
（2） 本地服务器配置
单击“文件”→单击“配置服务器程序”或按下快捷按钮“ ”或按下组合键“Alt+F”
和“G”，打开本地服务器程序配置窗口。
本地服务器程序配置窗口的操作内容和远地服务器配置的窗口几乎完全一样，所不同的是
在窗口底部有一个路径选择的按钮，在配置前需要在这里指定配置的服务器程序。