在清除“冰河”被控端程序前会向用户显示已经被安装的“冰河”配置信息,自动清除后配置信息保存在
当前目录的“清除日志.txt”文件中。
启动“冰河”陷阱后,程序会完全模拟真正的“冰河”被控端程序对监控端的命令进行响应,使监控端产生仍在正常监控的错觉,同时完全记录监控端的IP地址、命令、命令参数等相关信息。
通过修改DAT目录下的文件,用户可以定义自己的“
系统信息”、“进程列表”、“
屏幕图像”甚至虚拟的文件系统等信息。生成虚拟的文件系统需要借助“冰河陷阱”所在目录下的“文件列表生成器”,使用方法见第五部分。
所有由
远程监控端上传的文件,保存在UPLOAD目录下供用户分析。