特洛伊木馬 原 理
0 S# H; l) b' Y2 M+ S" M% r BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序�����,黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序�����,一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進(jìn)入并控制遠(yuǎn)程的Windows的微機(jī)��。# J3 B6 V4 g; \, C0 u
其工作原理:Boserve.exe在對方的電腦中運(yùn)行后�����,自動在win里注冊并隱藏起來�,控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方�����。
7 g8 s5 O9 `% e" b9 ^ 網(wǎng)上更有一些害人蟲將木馬程序和其他應(yīng)用程序結(jié)合起來發(fā)送給攻擊者�����,只要對方運(yùn)行了那個(gè)程序�����,木馬一樣的會駐留到windwos系統(tǒng)中。
$ ]0 B3 ~$ o, f: q: y% K BO本質(zhì)上屬于客戶機(jī)/服務(wù)器應(yīng)用程序����。它通過一個(gè)極其簡單的圖形用戶界面和控制面板,可以對感染了BO(即運(yùn)行了 BO服務(wù)器)的機(jī)器操作Windows本身具備的所有功能�����。
' W$ I3 @; T7 p$ G3 M 這個(gè)僅有123K的程序�,水平一流,令那些復(fù)雜而龐大的商用遠(yuǎn)程管理 軟件相形見絀���。而真正可怕的是:BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug�,也沒有利用任何微軟未公開的內(nèi)部API�,而完全是利用Windows系統(tǒng)的基本設(shè)計(jì)缺陷����。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋。
3 ?* ?, `. A3 {/ k# j) K7 t& J BO服務(wù)器可通過網(wǎng)上下載�����、電子郵件、盜版光盤����、人為投放等途徑傳播,并且可極其隱藏地粘貼在其他應(yīng)用程序��。一旦激活���,就可以自動安裝��,創(chuàng)建Windll.dll���,然后刪除自安裝程序,埋名隱姓���,潛伏在機(jī)器中���。外人就可通過BO客戶機(jī)程序,方便地搜索到世界上任何一臺被BO感染并上網(wǎng)的計(jì)算機(jī)IP地址�����。通過IP地址就可對其輕易實(shí)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能。
1 {2 {# r m8 Z 可獲取包括網(wǎng)址口令����、撥號上網(wǎng)口令、用戶口令�、磁盤、CPU�,軟件版本等詳細(xì)的系統(tǒng)信息;可刪除��、復(fù)制��、檢查��、查看文件�����;可運(yùn)行機(jī)內(nèi)任何一個(gè)程序��;可捕捉屏幕信息���;可上傳各種文件��;可以查閱、創(chuàng)建、刪除和修改系統(tǒng)注冊表�����;甚至可以使計(jì)算機(jī)重新啟動或鎖死機(jī)器��。而所有這些功能的實(shí)現(xiàn)�,只需在菜單中作一選擇,輕摁一鍵���,就可輕松完成�����。 除了BO外�,還有很多原理和它差不多的特洛伊木馬程序����,例如:【NetSpy】【Netbus】等。
5 m9 E) w$ {# y7 b8 ?+ D7 s9 t0 S4 j9 Q5 P5 f, P
防 范
* Q+ r# l Z2 r) r! X 不要隨便運(yùn)行不太了解的人給你的程序����,特別是后綴名為exe的可執(zhí)行程序。特洛伊木馬程序很多��,它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k),如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件���,運(yùn)行時(shí)可要小心了���。運(yùn)行后如果程序突然消失,或者是無任何反應(yīng)����,那你很可能是被攻擊了。這時(shí)候你的電腦就完全被別人所控制���,他可以復(fù)制���,刪除甚至運(yùn)行你電腦里的文件和程序。這時(shí)你只要到注冊表里去修改一下就可以消滅它:運(yùn)行注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值���,將其刪除���,重新啟動你的計(jì)算機(jī)然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了?;蛴米钚掳姹镜臍⒍拒浖缛鹦?0(11)����,KV300等�,你也可以下載一些專門掃除特洛伊木馬的軟件�。0 s! ^/ ?9 ]( i& k8 L( l. h, f
3 ]4 z$ W9 M4 }) W7 S2 ^如何防范Back Orifice20008 E/ Z4 D6 \+ \
對于95和98的用戶:
, C$ x9 _$ Z3 {5 w 檢查c:\windows\system目錄下是否有UMGR32~1.exe文件���,如果有的話請運(yùn)行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除���,Reboot你的機(jī)器,然后Delete你硬盤上的這個(gè)文件�。3 ]+ L. L: X) ]- j# {( ^5 K
對于NT的用戶:1 _4 l( g* Y) M( H* _8 W
檢查winnt\system32目錄下是否有UMGR32~1.exe這個(gè)文件,如果有的話請先在任務(wù)管理器中對應(yīng)的進(jìn)程Kill掉再運(yùn)行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service�,然后Delete it,最好Reboot一次你的機(jī)器! z. u6 ^: v% U& L9 J+ u s7 j/ o
& ` q8 g ?4 X
郵件炸彈 原 理7 S9 w; v8 l1 j1 _, a5 {
E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法�,一般的電子郵箱的容量在5,6M以下����,平時(shí)大家收發(fā)郵件,傳送軟件都會覺得容量不夠�,如果電子郵箱一下子被幾百,幾千甚至上萬封電子郵件所占據(jù)�����,這是電子郵件的總?cè)萘烤蜁^電子郵箱的總?cè)萘浚灾猎斐舌]箱超負(fù)荷而崩潰��?!緆aboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈。& \# z) B0 M W) f! ?" W
) \$ E w6 g% v, H# X7 E2 V, \4 U+ w2 D8 u防 范
! r; ~) R% [- P ⒈不要將自己的郵箱地址到處傳播�,特別是申請上網(wǎng)帳號時(shí)ISP送的電子信箱,那可是要按字節(jié)收費(fèi)的喲�!去申請幾個(gè)免費(fèi)信箱對外使用,隨便別人怎么炸�����,大不了不要了�。
. Y' \9 t' F/ r3 }- e. x
! K' u0 a! V* j3 Y7 i( O2 w: }9 { ⒉最好用POP3收信,你可以用Outlook 或Foxmail等POP收信工具收取Email�����。例如用Outlook��,你可以選擇“工具”/“收件箱助理”����,然后點(diǎn)擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除�����,根本不下載到計(jì)算機(jī)上,可以在郵件條件框中將“大于”選中�,然后輸入1024,接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了��。% Q1 x/ G& _) n5 \( T* f
' f! T6 ?6 J* g; a3 x# D
⒊當(dāng)某人不停炸你信箱時(shí)����,你可以先打開一封信����,看清對方地址,然后在收件工具的過濾器中選擇不再接收這地址的信����,直接從服務(wù)器刪除。7 w0 x" f& [7 t
6 f4 Z. f8 i& e4 z& n5 O% g
⒋在收信時(shí)�����,一旦看見郵件列表的數(shù)量超過平時(shí)正常郵件的數(shù)量的若干倍�,應(yīng)當(dāng)馬上停止下載郵件,然后再從服務(wù)器刪除炸彈郵件���。(要用下面提到的工具)
% O$ O4 D" E* \( G
0 ~' `+ y4 V6 v6 q ⒌不要認(rèn)為郵件發(fā)送有個(gè)回復(fù)功能�,就可以將發(fā)炸彈的人報(bào)復(fù)回來,那是十分愚蠢的�����!發(fā)件人有可能是用的假地址發(fā)信��,這個(gè)地址也許填得與收件人地址相同�����。這樣你不但不能回報(bào)對方��,還會使自己的郵箱徹底完結(jié)��!
( s, x# P$ [+ T) Q1 [- q6 ]9 H) P* d
⒍你還可以用一些工具軟件防止郵件炸彈�����,下面本站就提供一個(gè)供大家下載:& D% Y% a/ C, o$ W
3 k* Q# I! Y9 {6 M4 e# c' J/ O【echom201】這是一個(gè)功能強(qiáng)大的砍信機(jī)�����,每分鐘能砍到1000封電子郵件,是對付郵件炸彈的好東西
. K1 ?; J- e9 T2 o* x/ ?1 b6 k
$ V0 f, p7 M y. I端口攻擊 原 理* X2 ^! {" v' d* X/ `/ ]4 `
這類軟件是利用Window95/NT系統(tǒng)本身的漏洞����,這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個(gè)例外處理程序OOB(Out of Band)有關(guān)。只要對方以O(shè)OB的方式����,就可以通過TCP/IP傳遞一個(gè)小小的封包到某個(gè)IP地址的Port139上,該地址的電腦系統(tǒng)即(WINDOWS95/NT)就會“應(yīng)封包而死”��,自動重新開機(jī)���,你未存檔的所有工作就得重新再做一遍了。2 o0 T' Q8 x. k; H
你一定會問這個(gè)封包到底里面是些什么���?會有如此神奇的效果��!這不過是一些很小的ICMP(Internet Control Message Protocolata)碎片����,當(dāng)你機(jī)器收到這份“禮物”時(shí)�,你的系統(tǒng)會不停地試圖把碎片恢復(fù),當(dāng)然這是不可能的��,它怎么會這樣便宜你了��!于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機(jī)!而你就只有重新啟動��。$ z9 R. E, H/ q0 P' Q3 h9 v: ?( b
其實(shí)���,并不只是Port139會出現(xiàn)問題�����,只要是使用OOB的開放接受端�,都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形��。例如�,Identel所用的Port113,據(jù)說收到同樣的封包也會出問題��。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】�。如果你還是用的win95,那您就要當(dāng)心了�����。! }5 P5 L' r2 y$ o
c0 B( ~- O( G5 n
防 范
4 D0 {" @0 G* i( n7 F O/ Z 將你的Windows95馬上升級到Windows98�����,首先修正Win95的BUG,在微軟主頁的附件中有對于Win95和OSR2以前的版本的補(bǔ)丁程序����,Win98不需要。然后學(xué)會隱藏自己的IP����,包括將ICQ中"IP隱藏"打開,注意避免在會顯示IP的BBS和聊天室上暴露真實(shí)身份��,特別在去黑客站點(diǎn)訪問時(shí)最好先運(yùn)行隱藏IP的程序���。+ \( y( _, u1 H0 L; j
+ E, N1 U* H# [- [% T( M' g
JAVA 炸彈 原 理
) F3 j# e [. W6 r- } 很多網(wǎng)友在聊天室中被炸了以后����,就以為是被別人黑了���,其實(shí)不是的。炸彈有很多種�,有的是造成電腦直接死機(jī),有的是通過HTML語言�,讓你的瀏覽器吃完你的系統(tǒng)資源,然后你就死機(jī)了。 這里我就告訴大家?guī)讉€(gè)java炸彈的原理:" g7 O4 c+ O1 L9 G1 w5 j
# S3 W* J. T4 K, H
第一個(gè)炸彈是javascript類型的炸彈:
- s- S- ~9 L- v+ g; x<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">
7 e7 G( H$ c' z/ `這個(gè) javascript語言要求瀏覽在新窗口中再打開本頁���。新的頁面被打開以后就會同樣提出要求���,于是瀏覽器不停地打開新窗口,沒幾秒鐘你就死機(jī)了����。就算是不死機(jī),你也必須把瀏覽器中內(nèi)存中驅(qū)除出去��,這樣����,你就被踢出了網(wǎng)絡(luò)。/ M. y4 {1 C) l8 C m
. @9 E& g1 Q( Z$ C+ y: ~下面分析一下這個(gè)HTML語言的原理�。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ,javascript 是定義運(yùn)行此語言�,n=1 是定義變量 n 等于 1 , do{ }while(n==1) 指當(dāng) n 等于 1 ��,的時(shí)候運(yùn)行{ }中間的命令�����,window.open('') 指打開本窗口,整個(gè)語言的意思是����,變量 n 賦值為 1 ,如果 n 等于 1 ��,那么就打開一個(gè)窗口����,而 n 永遠(yuǎn)等于 1 ,就不停地打開新的窗口�����。
0 E7 v# |5 M& B: h& {+ B; c, K
3 t& y7 ?4 v, C- N0 w# x" M同樣道理����,也可以利用無限循環(huán)的原理看看其他的炸彈。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的��,你可以在網(wǎng)頁中加入以下的 javascript 語言:
0 R0 r4 a. u# f- _<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿����,你死定了����!");}while(n==1)</SCRIPT>* @7 K% F3 X$ E9 T+ R
* @7 F$ f U: L) @3 b1 f
下面介紹一個(gè)1999年5月才出爐的java炸彈���,威力比上兩種都強(qiáng),大家務(wù)必要當(dāng)心���。 我們就不在這里提供效果了�!
& ?) `! k" H; P* a% q8 l& q9 D; |<HTML>9 I7 J% W2 {( M0 D% C. C
<BODY>
7 B8 j5 n1 v; V% I7 W% u<SCRIPT>
' L" u; `5 Y2 svar color = new Array;- }) e" w1 \8 U& C# u3 B; }2 `, j1 a f
color[1] = "black";
I# l p, }$ Fcolor[2] = "white";
& x6 ?$ x7 O" A! B T2 yfor(x = 0; x <3; x++)
+ K5 z% K& `/ `6 Z' B: R{
1 T! _ K; E, V. M7 \document.bgColor = color[x]
- T9 G- G8 L( s7 E' V* u: [if(x == 2)5 _$ y1 U; [/ z
{# {7 b1 X3 ^! l& U3 X6 U
x = 0;
' z9 R, ?1 k0 C" Z}9 A; `: y' v& x* f
}/ N' _/ n. B: |4 [# G
</SCRIPT>
; a1 L- h; D' G( ^# } j</BODY>
' `& r( e3 R- p</HTML>& K( Y" |- ^5 O2 q3 e9 w$ c- t
3 Z( d& R0 w. x+ S; @& u6 c3 @ m" k5 |
防 范' h( R! f" ^5 K. P% g! s* d$ R1 ^
唯一的防范方法就是你在聊天室聊天時(shí)��,特別是支持HTML的聊天室(比如湛江���,新疆等)請你一定記住關(guān)掉你瀏覽器里的java功能����,還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接���,這樣可以避免遭到惡作劇者的攻擊�。
! H: i4 r# a2 x% e |
發(fā)表于 2011-1-12 16:29:57
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡