特洛伊木馬 原 理
1 U7 K1 K0 ?4 E3 }" c' J BO【Back Oriffice】象是一種沒(méi)有任何權(quán)限限制的FTP服務(wù)器程序�,黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序,一旦得逞便可通過(guò)BO客戶(hù)端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進(jìn)入并控制遠(yuǎn)程的Windows的微機(jī)。
5 v X+ w3 q: }1 d c 其工作原理:Boserve.exe在對(duì)方的電腦中運(yùn)行后���,自動(dòng)在win里注冊(cè)并隱藏起來(lái)���,控制者在對(duì)方上網(wǎng)后通過(guò)Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來(lái)控制對(duì)方。5 M1 P- N0 H$ G" Z1 G5 R
網(wǎng)上更有一些害人蟲(chóng)將木馬程序和其他應(yīng)用程序結(jié)合起來(lái)發(fā)送給攻擊者��,只要對(duì)方運(yùn)行了那個(gè)程序��,木馬一樣的會(huì)駐留到windwos系統(tǒng)中��。
4 S9 o! [8 T- K8 x' d& M; k+ I2 ` BO本質(zhì)上屬于客戶(hù)機(jī)/服務(wù)器應(yīng)用程序�����。它通過(guò)一個(gè)極其簡(jiǎn)單的圖形用戶(hù)界面和控制面板�,可以對(duì)感染了BO(即運(yùn)行了 BO服務(wù)器)的機(jī)器操作Windows本身具備的所有功能。
) S' q2 E/ X+ g% ?( t) Y( J0 E" Z 這個(gè)僅有123K的程序�,水平一流,令那些復(fù)雜而龐大的商用遠(yuǎn)程管理 軟件相形見(jiàn)絀�。而真正可怕的是:BO沒(méi)有利用系統(tǒng)和軟件的任何漏洞或Bug,也沒(méi)有利用任何微軟未公開(kāi)的內(nèi)部API�����,而完全是利用Windows系統(tǒng)的基本設(shè)計(jì)缺陷。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋��。7 z- P; k( e2 \# d
BO服務(wù)器可通過(guò)網(wǎng)上下載��、電子郵件����、盜版光盤(pán)、人為投放等途徑傳播����,并且可極其隱藏地粘貼在其他應(yīng)用程序。一旦激活�,就可以自動(dòng)安裝,創(chuàng)建Windll.dll�,然后刪除自安裝程序,埋名隱姓�����,潛伏在機(jī)器中�����。外人就可通過(guò)BO客戶(hù)機(jī)程序����,方便地搜索到世界上任何一臺(tái)被BO感染并上網(wǎng)的計(jì)算機(jī)IP地址�����。通過(guò)IP地址就可對(duì)其輕易實(shí)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能。" X4 G/ Q. d* Y2 O
可獲取包括網(wǎng)址口令����、撥號(hào)上網(wǎng)口令、用戶(hù)口令���、磁盤(pán)���、CPU,軟件版本等詳細(xì)的系統(tǒng)信息�����;可刪除�����、復(fù)制�、檢查�、查看文件���;可運(yùn)行機(jī)內(nèi)任何一個(gè)程序��;可捕捉屏幕信息����;可上傳各種文件��;可以查閱��、創(chuàng)建����、刪除和修改系統(tǒng)注冊(cè)表;甚至可以使計(jì)算機(jī)重新啟動(dòng)或鎖死機(jī)器���。而所有這些功能的實(shí)現(xiàn)��,只需在菜單中作一選擇����,輕摁一鍵����,就可輕松完成��。 除了BO外�����,還有很多原理和它差不多的特洛伊木馬程序,例如:【NetSpy】【Netbus】等����。
; n) D1 a; x+ ?2 Z( Z$ U# T$ S2 O1 f+ p( r, ^" m- G$ m0 A
防 范
/ |3 p z2 B9 }7 }% c _ 不要隨便運(yùn)行不太了解的人給你的程序,特別是后綴名為exe的可執(zhí)行程序��。特洛伊木馬程序很多�,它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k),如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件���,運(yùn)行時(shí)可要小心了���。運(yùn)行后如果程序突然消失,或者是無(wú)任何反應(yīng)���,那你很可能是被攻擊了�����。這時(shí)候你的電腦就完全被別人所控制�����,他可以復(fù)制�����,刪除甚至運(yùn)行你電腦里的文件和程序����。這時(shí)你只要到注冊(cè)表里去修改一下就可以消滅它:運(yùn)行注冊(cè)表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值,將其刪除�����,重新啟動(dòng)你的計(jì)算機(jī)然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了�。或用最新版本的殺毒軟件����,如瑞星90(11),KV300等,你也可以下載一些專(zhuān)門(mén)掃除特洛伊木馬的軟件��。
, C5 q3 \6 N5 G) D2 w8 h n
- D0 o$ p3 K+ P; P9 Y如何防范Back Orifice2000! y3 L; ~* h; ^" g0 M2 z
對(duì)于95和98的用戶(hù):' g3 L0 f3 i) y1 f, F7 z
檢查c:\windows\system目錄下是否有UMGR32~1.exe文件���,如果有的話請(qǐng)運(yùn)行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除���,Reboot你的機(jī)器,然后Delete你硬盤(pán)上的這個(gè)文件�。5 k) A5 e3 o8 ]8 F
對(duì)于NT的用戶(hù):
1 U& [5 I& Y, V1 p2 } 檢查winnt\system32目錄下是否有UMGR32~1.exe這個(gè)文件,如果有的話請(qǐng)先在任務(wù)管理器中對(duì)應(yīng)的進(jìn)程Kill掉再運(yùn)行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service��,然后Delete it���,最好Reboot一次你的機(jī)器% V5 L9 I l) o g7 U
4 o0 X6 h, l2 |' M, O' D' B郵件炸彈 原 理
* U3 Y& e8 o+ Q9 k E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法,一般的電子郵箱的容量在5����,6M以下,平時(shí)大家收發(fā)郵件���,傳送軟件都會(huì)覺(jué)得容量不夠�����,如果電子郵箱一下子被幾百����,幾千甚至上萬(wàn)封電子郵件所占據(jù),這是電子郵件的總?cè)萘烤蜁?huì)超過(guò)電子郵箱的總?cè)萘?��,以至造成郵箱超負(fù)荷而崩潰����?�!緆aboom3】【upyours4】【Avalanche v2.8】就是人們常見(jiàn)的幾種郵件炸彈��。' G" A, q$ _# g
& W: ]. d! _" h2 C防 范
* W# g5 q6 z- k5 k. U) n+ T ⒈不要將自己的郵箱地址到處傳播��,特別是申請(qǐng)上網(wǎng)帳號(hào)時(shí)ISP送的電子信箱�,那可是要按字節(jié)收費(fèi)的喲!去申請(qǐng)幾個(gè)免費(fèi)信箱對(duì)外使用���,隨便別人怎么炸���,大不了不要了。
% U) l( M( @' T$ v9 V: a) E" O( F
& y. B# d$ u- z$ g. j ⒉最好用POP3收信��,你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook����,你可以選擇“工具”/“收件箱助理”,然后點(diǎn)擊“添加”在屬性窗口可以設(shè)定對(duì)各種條件的Email的處理方式�����。如果我們想讓超過(guò)1024KB的郵件直接從服務(wù)器上刪除���,根本不下載到計(jì)算機(jī)上��,可以在郵件條件框中將“大于”選中�,然后輸入1024�����,接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了����。
6 c5 S, z- l! G( s/ o; T9 z! ?# J) {& f+ o" F r; b
⒊當(dāng)某人不停炸你信箱時(shí)�����,你可以先打開(kāi)一封信,看清對(duì)方地址�����,然后在收件工具的過(guò)濾器中選擇不再接收這地址的信����,直接從服務(wù)器刪除。3 g1 r8 W/ K6 Z/ n/ c1 U; K+ s
7 t2 Q: U( I! e% D% } b ⒋在收信時(shí)�,一旦看見(jiàn)郵件列表的數(shù)量超過(guò)平時(shí)正常郵件的數(shù)量的若干倍,應(yīng)當(dāng)馬上停止下載郵件���,然后再?gòu)姆?wù)器刪除炸彈郵件��。(要用下面提到的工具)4 B( p$ t: j; x7 y( D; f8 V6 V$ O) B* i" ^
3 q) Y& t: {4 P* |1 a. [
⒌不要認(rèn)為郵件發(fā)送有個(gè)回復(fù)功能�,就可以將發(fā)炸彈的人報(bào)復(fù)回來(lái)�,那是十分愚蠢的!發(fā)件人有可能是用的假地址發(fā)信�����,這個(gè)地址也許填得與收件人地址相同����。這樣你不但不能回報(bào)對(duì)方���,還會(huì)使自己的郵箱徹底完結(jié)!
r g7 f2 I1 [* [# x5 G ^
: @1 P# q* w: c6 [) k! f ⒍你還可以用一些工具軟件防止郵件炸彈��,下面本站就提供一個(gè)供大家下載:% w9 Q- ^$ n0 R( g" k
4 C$ G& b0 a5 {% x' ]2 r/ U# s, K
【echom201】這是一個(gè)功能強(qiáng)大的砍信機(jī)�,每分鐘能砍到1000封電子郵件,是對(duì)付郵件炸彈的好東西+ |) H8 \+ w5 w+ e5 ]2 @ z+ W0 d: ~3 Y
- i6 s- }7 `# H9 a- x" a7 n端口攻擊 原 理
+ i$ W5 B- ^. o: S0 o% ~+ [! ?9 X7 s 這類(lèi)軟件是利用Window95/NT系統(tǒng)本身的漏洞�,這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個(gè)例外處理程序OOB(Out of Band)有關(guān)。只要對(duì)方以O(shè)OB的方式���,就可以通過(guò)TCP/IP傳遞一個(gè)小小的封包到某個(gè)IP地址的Port139上�����,該地址的電腦系統(tǒng)即(WINDOWS95/NT)就會(huì)“應(yīng)封包而死”�,自動(dòng)重新開(kāi)機(jī)�,你未存檔的所有工作就得重新再做一遍了。0 h# R4 Y' j. D% ?
你一定會(huì)問(wèn)這個(gè)封包到底里面是些什么�����?會(huì)有如此神奇的效果�!這不過(guò)是一些很小的ICMP(Internet Control Message Protocolata)碎片��,當(dāng)你機(jī)器收到這份“禮物”時(shí),你的系統(tǒng)會(huì)不停地試圖把碎片恢復(fù)�,當(dāng)然這是不可能的,它怎么會(huì)這樣便宜你了�����!于是你的電腦系統(tǒng)就這樣速度越來(lái)越慢直至完全死機(jī)����!而你就只有重新啟動(dòng)。
8 _$ n4 T9 H8 D# j, M* X" { 其實(shí)�,并不只是Port139會(huì)出現(xiàn)問(wèn)題,只要是使用OOB的開(kāi)放接受端�,都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形。例如�����,Identel所用的Port113�,據(jù)說(shuō)收到同樣的封包也會(huì)出問(wèn)題。常見(jiàn)的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】���。如果你還是用的win95��,那您就要當(dāng)心了�。
1 `8 B) u0 G3 l! L
6 ?, \7 x7 o5 c/ y; N防 范: r+ S* ^/ [, D! s5 [
將你的Windows95馬上升級(jí)到Windows98,首先修正Win95的BUG��,在微軟主頁(yè)的附件中有對(duì)于Win95和OSR2以前的版本的補(bǔ)丁程序����,Win98不需要。然后學(xué)會(huì)隱藏自己的IP�,包括將ICQ中"IP隱藏"打開(kāi),注意避免在會(huì)顯示IP的BBS和聊天室上暴露真實(shí)身份�,特別在去黑客站點(diǎn)訪問(wèn)時(shí)最好先運(yùn)行隱藏IP的程序。
0 X! H: x9 a, F3 `( O! f) l
8 ^; s, h% c3 p; KJAVA 炸彈 原 理
; R) x8 s* M% g8 j+ p9 [5 p 很多網(wǎng)友在聊天室中被炸了以后�,就以為是被別人黑了,其實(shí)不是的���。炸彈有很多種�����,有的是造成電腦直接死機(jī)���,有的是通過(guò)HTML語(yǔ)言,讓你的瀏覽器吃完你的系統(tǒng)資源�,然后你就死機(jī)了。 這里我就告訴大家?guī)讉€(gè)java炸彈的原理:1 l+ k1 A4 T ~4 ~0 l9 Z
' m ~, B+ @3 v! t$ A# K! q- x8 x' F第一個(gè)炸彈是javascript類(lèi)型的炸彈:
8 r7 ^, y0 Z7 x! Z7 b<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">/ J+ p3 P; S2 c. C# y1 [
這個(gè) javascript語(yǔ)言要求瀏覽在新窗口中再打開(kāi)本頁(yè)�����。新的頁(yè)面被打開(kāi)以后就會(huì)同樣提出要求�,于是瀏覽器不停地打開(kāi)新窗口,沒(méi)幾秒鐘你就死機(jī)了��。就算是不死機(jī)�����,你也必須把瀏覽器中內(nèi)存中驅(qū)除出去�,這樣,你就被踢出了網(wǎng)絡(luò)��。
" [) O) Z6 G6 T& K# Y( g/ C1 Y( [. l) C5 N( f, R( j+ {2 D
下面分析一下這個(gè)HTML語(yǔ)言的原理���。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ����,javascript 是定義運(yùn)行此語(yǔ)言�����,n=1 是定義變量 n 等于 1 �����, do{ }while(n==1) 指當(dāng) n 等于 1 ,的時(shí)候運(yùn)行{ }中間的命令���,window.open('') 指打開(kāi)本窗口���,整個(gè)語(yǔ)言的意思是,變量 n 賦值為 1 ���,如果 n 等于 1 ��,那么就打開(kāi)一個(gè)窗口�,而 n 永遠(yuǎn)等于 1 �,就不停地打開(kāi)新的窗口。/ [/ H' H& _" _
. _% @% R; o- I# w- l/ B/ B同樣道理�,也可以利用無(wú)限循環(huán)的原理看看其他的炸彈。前面的文章中提到了 alert ("歡迎辭") 是用來(lái)致歡迎辭的���,你可以在網(wǎng)頁(yè)中加入以下的 javascript 語(yǔ)言:
! d5 v% R+ `" u9 ?) M<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿����,你死定了!");}while(n==1)</SCRIPT>
/ v' D% }, ]: J" s
4 W. g/ M* Z$ n8 T1 B: i: u下面介紹一個(gè)1999年5月才出爐的java炸彈�����,威力比上兩種都強(qiáng)�,大家務(wù)必要當(dāng)心��。 我們就不在這里提供效果了���!1 ] m. ~4 X9 }( C. t+ N
<HTML>
) L, Z* n% \& l0 s" ~# F4 [1 z! }<BODY>/ E' s' @9 a% u* w" `; S9 }
<SCRIPT>! h p- s% K9 Z" j6 x
var color = new Array;
/ M& ?6 P6 S: R' j: ncolor[1] = "black";
, ?( [4 U0 M- l9 M2 E. vcolor[2] = "white";
# ~2 |; N3 v; y0 Dfor(x = 0; x <3; x++)
4 I7 A* F2 e P! {3 U2 o7 Q{
8 M& \2 I; s: K2 i5 T/ k3 Odocument.bgColor = color[x]; ^2 V2 G( |# J W; e3 W* R
if(x == 2)
1 K" d6 R/ U& e" o$ a/ u! _% X$ T{+ o# v* z1 g" c6 i* c9 x1 e
x = 0;# h" a3 y+ Y! M8 _1 E) Q" m
}! y; Q* _3 s8 u4 V3 m9 @
}
% z; s. i& h ~</SCRIPT>
' h1 _ u2 y* x4 n" _' F</BODY>
1 Q( s' l# @4 S. p: i9 m0 k' A/ w! a</HTML>
, d8 M4 K7 L# U& m) R. w; d! d5 F+ V& ^9 r4 |# S2 H- z
7 A- c+ D. Z' P3 }& s1 O
防 范
! O f) q' x+ c+ k8 Z6 x 唯一的防范方法就是你在聊天室聊天時(shí)���,特別是支持HTML的聊天室(比如湛江,新疆等)請(qǐng)你一定記住關(guān)掉你瀏覽器里的java功能����,還要記住不要瀏覽一些來(lái)路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級(jí)鏈接,這樣可以避免遭到惡作劇者的攻擊�����。- y1 b. h, p- p q2 W, z
|
發(fā)表于 2011-1-12 16:29:57
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡