| 查看: 133 | 回复: 0 | |||
| 当前主题已经存档。 | |||
daviewu金虫 (正式写手)
|
[交流]
上网操作1000问(续1)___字数多,分为几部分
|
||
|
三、神秘的黑客工具 Internet上为数不少的黑客网站大都提供各种各样的黑客软件,下面就来了解其中的一些“典型”,并了解应对措施。 必须说明,安全防范与攻击破解是相互依存的,我们初步了解黑客软件的攻击原理和手段,是为了更好地进行黑客防范,其中涉及的黑客手段切勿轻易尝试,否则必将受到国家有关的网络安全法规的惩处,一切后果由使用者自负。 什么是WinNuke,如何清除? 答:WinNuke的工作原理是利用Windows 95的系统漏洞,通过TCP/IP协议向远程机器发送一段可导致OOB错误的信息,使电脑屏幕上出现一个蓝屏及提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。对策是用写字板或其它的编辑软件建立一个文件名为OOBFIX.REG的文本文件,内容如下: REGEDIT4 [HKEY_LOCAL_MACHINE\System\ CurrentControlSet \ Services\VxD\MSTCP] “BSDUrgent”=“0” 启动资源管理器,双击该文件即可。 什么是BO2K? 答:BO2K是黑客组织“死牛崇拜”(Cult Dead Cow)所开发的曾经令人闻之色变的黑客程序BO1.2版的最新升级版本。 虽然BO2K可以当作一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点,使得它在网络环境里成为一个极其危险的工具。 BO2K既可以通过Email发送,也可以手工安装,安装包括两个部分:客户端和服务器端。 利用客户端程序,能够很轻松地对被控制的电脑进行众多的操作:比如重新启动计算机、锁死系统、获取系统口令,搜索、下载和编辑所有软件和文档,运行任何应用程序、记录键盘输入情况(也就是说可以易如反掌地窃取你的网络登录密码)等等。而且,BO2K不仅可以在Windows NT上顺畅运行,就连刚问世的Windows 2000也不能幸免。 另外,Cult Dead Cow还在其专为BO2K而设的网站上还提供了一些用于增强BO2K程序功能的插件(Plug-In),其中有一个名为SilkRope2K的插件(158KB),通过它可以非常容易地把BO2K的服务器程序捆绑到任何一个可执行文件上,而这个已经暗藏玄机的可执行文件,除了文件长度变大了130KB左右之外,并无其它任何异样,而这个可执行程序一旦被运行,BO2K服务器程序就会悄然无声地自动安装在对方的电脑之中。就样一来,只要被控制的电脑连上了Internet,哪怕远隔千山万水,黑客都可以像操作自己的电脑一样方便地对对方电脑进行随心所欲的控制。 BO2K的组成与工作原理是怎样的? 答:虽然BO2K可以当作一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点,使得它在网络环境里成为一个极其危险的工具。 BO2K包括服务器端的BO2K.exe、BO2Kcfg.exe和用户端的 BO2Kgui.exe、BO3des.dll、BO_peep.dll。其中,两个服务器端的文件一般是通过Email的方式进行传送,BO2K服务器端的程序大小仅为112KB,非常便于在网络上传输;客户端程序解压后的大小约2.07MB左右,功能非常强悍,由于采用了很简明的图形化界面,略通电脑的人都可以很容易地掌握其使用方法。BO2K既可以通过Email发送,也可以手工安装,安装包括两个部分:客户端和服务器端。在服务器端安装BO2K非常简单。只要执行BO2K的服务器端程序,就完成了安装。这个可执行文件名字最初叫做bo2k.exe ,但可能会被改名(比如更容易迷惑人的Readme.exe)。这个可执行文件的名字是在BO2K客户端安装时,或在BO2K设置向导里指定的。 BO2K的设置向导会指导用户进行以下几方面的设置:包括服务端文件名(可执行文件)、网络协议(TCP或UDP)、端口、加密和密码。这个过程完成后,运行bo2kgui.exe(BO2K图形用户界面), 就可以看见工作区, 工作区包括了服务器的列表(如果你保存了上次的结果)。指定要连接的服务器,开始使用BO。给这个服务器起个名字,输入IP地址和连接的一些信息。指定了服务器后,服务器命令的客户端就出现了。这个窗口里可以使用BO的功能....点个命令,功能就列给你看了,有的命令如文件名和端口还需要设置参数。设置向导允许服务端执行快速安装,使用默认设置,以便立即使用BO2K控制远程机器。通过设置工具手动进行设置,可以管理很多选项,其中很多选项主要是用于防止BO被发现的伪装工作。 设置向导的过程分为以下几个步骤: 1.服务端文件名 、2.网络协议(TCP或UDP) 、3.端口 、4.加密方法(XOR或3DES) 、5.密码/加密钥匙。设置向导执行完后,会列出服务器的设置工具,有BO2K的运行状况,控制BO2K,客户端/服务器的通讯协议和程序的隐藏。 BO2K怎样进行自我保护? 答:BO2K提供一个图形化的文件浏览方式,可以方便地修改注册表,所有危险之举已经简化到只需鼠标轻轻一点。对于Windows NT而言,BO2K的危害性就更为巨大:为进行自我保护,BO2K不仅会自动改变自己的进程名称,而且还能自动建立一个自身进程的副本,以备BO2K被删除后还能够“在烈火中永生”。它自己的文件名后面加上一些随机的空格及字母,所以在Windows下无法删除该文件,只能在纯DOS下删掉。也就是说,一旦服务器感染BO2K就必须停机,才能删除。众所周知,重要的服务器停机会造成多大的损失......BO2k还支持多种网络协议。它可以利用TCP或UDP来传送,还可以用XOR加密算法或更高级的3DES加密算法加密。虽然用3DES算法加密的BO2K也有可能被发现,但现在还没有方法来判断其执行的命令。更为令人担心的是,BO2K可以自由地增加或者去掉网络目录的共享属性,也就是说,一旦BO2K进入公司内部网络服务器,那么整个公司网络上的所有文件就都随时有可能被居心叵测的人所“共享”. BO2K具体可以对电脑进行哪些远程控制? 答:O2K的服务器端程序一旦被激活,你就成为了BO2K的服务器,从此处于黑客的完全控制之下, BO2K里共有70多条命令,这些命令用来在服务器上搜集数据和控制服务器,包括在BO2K服务器的电脑上增加目录、删除文件、查看系统中各种可能存在的口令、修改注册表,遥控BO2K服务器的多媒体播放、捕捉等功能。两台计算机建立连接后,选个命令,加上参数(如果需要的话),按 “Send Command”(发送命令),就在选择的服务器上执行该命令,服务器的回应也会在回应窗口中显示出来。 黑客可随时启动和锁死系统、猎取密码、获得系统信息;可在你的计算机上出现系统信息框提示,改变HTTP文件服务器访问;可查看、删除、创建网络共享驱动盘和程序;修改注册表;通过远程来拷贝、删除、改变文件名;解压文件; 可使用DNS服务改变主机名和IP地址;可启动和停止BO2K服务系统;加载和卸装有关插件。下面就是BO2K的一些主要的远程控制手段: 1.搜索动态IP地址 从BO2K客户机向特定的IP地址发送命令即可对BO2K服务器操作。如果BO2K服务器无静态IP地址,BO2K客户机提供命令:在BO2K客户机的图形界面中使用“Ping...”命令,给对方电脑发个数据包看它能否被访问,看其是否已经“中招”;另外还可以设定目标IP如“202.102.87.*”,通过扫描子网列表来查找和监控那些电脑被安装了BO2K服务器、而IP地址又是动态分配的用户的电脑。 2.系统控制和文件管理 通过相应的命令,BO2K可以轻松获取和显示包括当前用户、CPU、内存、Window版 本、驱动器(硬盘)容量及未使用空间等内容BO2K服务器上的相关系统信息。另外可以将BO2K服务器上的击键情况和执行输入的窗口名记录下来。 甚至还可以在BO服务器上开一个对话框来与对方进行对话。BO2K还提供诸如对文件进行查找、拷贝、删除等操作的一系列命令,可在BO2K服务器的硬盘目录中查找目标文件,并能任意增加目录和删除文件、查看和拷贝文件、更改目录名、删除目录等。BO2K还可以任意修改BO2K服务器的注册表,锁住BO2K服务器的电脑,甚至可以控制BO2K服务器的系统重启动。 3.音频及视频控制 通过BO2K客户端可以列出BO2K服务器的视频输入设备。如果存在视频输入设备,既可以将视频和音频信号捕捉成为avi文件,也可以将BO2K服务器屏幕影像捕捉成为位图文件。只要愿意,甚至还可以遥控BO2K服务器的多媒体播放,比如在BO2K服务器上播放一个avi文件等等。 4.网络控制 BO2K提供了网络连接、出口地址、TCP 文件接收、网络使用等命令,可以查看BO2K服务器上所有的域名、网络接口、服务器等内容,并可列出当前共享名、共享驱动器以及共享目录、权限和密码。通过TCP文件传输,还能将BO2K服务器主机连接到一个特定的IP地址和端口并发送特定文件中的内容,或将所接收到的数据保存到特定文件中。 5.进程控制 BO2K可以通过Telnet对话来控制基于文本或DOS的应用程序。可以在BO2K服务器列出当前激活的插件和已存在的插件并加以运行。另外还能在BO2K服务器上运行一个程序。也可以查看当前运行的所有程序并发送命令关闭其中的某个程序。 作为一个功能强悍的黑客程序,BO2K的这些功能颇有些令人不寒而栗:因为如果我们的电脑不慎被BO2K侵入,当我们上网的时候自己的电脑就已经毫无秘密可言了,别说拨号上网的口令和系统加密口令了,就连你的屏幕保护口令黑客也知道的一清二楚。 如何清除BO2K? 答:BO2K的功能虽然十分强悍,但它的工作原理却很简单。我们知道它发生作用的前提是每次在Windows启动时,同时悄悄地在我们的电脑上启动一个服务器程序,黑客通过我们登录因特网时的IP地址,用配套的客户端程序登录到我们的电脑,从而实现远程控制我们电脑的目的。从原理上讲,BO2K和著名的PC Anywhere一样,是一套简单的远程登录及控制软件工具。既然我们知道了BO2K进行工作的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,那么对付它的最直接有效的方法,就是从我们Windows的启动配置中将自动执行的黑客服务器程序删除掉。 对付BO2K的方法如下:首先检查Windows\system下有没有一个名叫UMGR32~1.EXE的文件;如果是NT系统,则在Winnt\system32目录下检查它是否存在,这个文件的存在往往意味着系统已经被BO2K入侵。但这种方法并不是绝对保险,因为BO2K允许入侵者自行改变这个文件名,较可靠的办法还是检查可疑文件的长度,BO2K服务端的文件大小是114688字节, 如果发现某个文件刚好符合这个长度,可使用EDIT打开它,如果发现“Back Orifice”字串,那么该系统已经确实无疑地感染了BO2K。 BO2K运行时必须修改注册表,因此我们可根据下面的线索通过注册表编辑器使用“查找”检查自己的系统是否被BO2K入侵。被BO2K修改过的注册表应该包含下列特征: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices] “UMGR32.EXE”=“C:\\WINDOWS\\ SYSTEM\\UMGR32.EXE” 发现了BO2K的蛛丝马迹后,Windows9x用户可以在纯DOS(而不是DOS窗口)下删除文件名以UMGR32打头的文件(del umgr*.*),再把它增加的注册表项删掉即可。对于WindowsNT,因为不能进入纯DOS状态,可以先删除它的相关注册表项,然后重启机器再看能否删掉以UMGR32打头的文件。如果这样不行的话,只好用系统软盘引导别的操作系统再做修改了。 另外,如果你已经在使用Windows 98 Second Edition版(即98第2版), BO2K 1.0会因为在隐身时的一个小缺陷,它会导致每次开机时都出现“非法操作”提示而无法在系统中顺利驻留,因此使用Windows98 SE版是暂时免疫BO2K的方法之一(可是这种暂时的优势随时可能会因BO2K新修正版的推出而不复存在)。 什么是KeyboardGhost,如何清除? 答:KeyboardGhost(键盘幽灵)是一个专门记录键盘按键情况的黑客软件,可以运行在Win9x/NT/2000下。它的原理是这样的:Windows系统为了开辟键盘输入的缓冲区,在核心区保留了一定数量的字节,其数据结构形式是队列。KeyboardGhost就是通过直接访问这一队列来记录键盘上输入的一切以星号形式显示的密码窗口中的符号。并在系统根目录下生成一文件名为KG.DAT的隐含文件。对策是启动注册表,将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunService]→KG.EXE这一键值删除,并将文件KG.EXE从Windows\System目录下删除。 同时删除C:\KG.DAT这个文件。 什么是万能钥匙Xkey? 答:万能钥匙Xkey是产自国内的密码查找软件,该软件把词典内容分为“电话号码”、“出生日期”、“姓名字母”、“英文数字”四个部分,在每一部分可以按照需要设置有关参数,以快速地制作出许多破解工具所需要的词典文件。万能钥匙Xkey的 1.1版本还增加了电脑和网络常用英文作为字典文件中的单词。 万能钥匙Xkey可以根据你的设置生成各种类型的口令,下面逐一介绍: 1、电话号码:分为“普通电话”和“数字移动电话或寻呼机”两种,这里可以选择不同位数的号码。 在“词典长度”状态栏可以直观地看到词典的长度。词典的越长,那么生成的时间越长、词典文件也越大。2、出生日期:分为月日、年月、年月日三种,并可选择二位或四位年份和设置年份范围。3、姓名字母:分为姓名声母、姓或英文名、中文姓+名、中文姓+名字声母、中文姓+英文名;在姓氏范围中,你可以直接输入某个姓氏或按照人口频度选择姓氏范围,在“姓氏范围”中,你可以直接输入某个姓氏或调整人口频度。 除此之外,你还可选择加上固定前缀、常用数字和出生日期,姓名换位或使用分隔符。4、英文数字:此项包括有“计算机和网络常用英文(150个)”、其它常用英文(53123个)、常用数字(175个)和其它数字(0-999999)。 在生成词典文件之前,你还可以对词典中的字母进行大小写设定和设定词条宽度,并可以根据不同的系统平台对文本文件的换行符进行设定。在一切设置好后,来到“生成词典”对话框,点击“完成”按钮,弹出“保存词典文件”对话框,设置要保存的词典文件类型为TXT或DIC,然后用鼠标单击“保存”按钮,Xkey就开始为你生成词典了。 什么是NetSpy,如何清除? 答:Netspy是一个运行Win95/98的客户机/服务器模式远程控制软件,由客户程序和服务器程序两部分组成。在最新的Netspy版本中,客户程序通过互连网与安装运行在远程计算机上的服务器程序打交道。实际上可以将其看作一个没有权限控制的增强型FTP服务器。通过NetSpy可以神不知鬼不觉地下载和上载目标机器上的任意文件。并可以执行一些特殊的操作,如:终止远程计算机中运行的程序、在远程计算机上执行程序、关闭远程计算机等。 要想通过NetSpy自由存取别的计算机上的软件,同样必须先在目标计算机上安装NetSpy的服务器。Netspy服务器的安装方法十分简单,只需在目标计算机上运行一次netspy.exe文件即可。NetSpy会自动注册到系统里,以后每次启动Windows95/98时,就会自动启动netspy.exe程序了。这时,只要在别的计算机上执行netmonitor.exe,在菜单里选择添加计算机,输入目标计算机的IP地址或域名地址,就可以连接到目标计算机上进行操作了,使用方法十分简单。Netspy的缺点是不能为具体的机器设置密码,所以说安装了netspy server的机器一旦上网,有可能被任何安装了NetSpy客户程序的机器所控制。 由于Netspy.exe程序安装后,每次重新启动Windows95/98都会在不为人觉察的情况下自动加载NetSpy,所以它也是一个典型的特洛伊黑客程序:只要设法使欲攻击对象运行一次netspy.exe文件,目标计算机的后门就彻底对外开放了。只要对方的计算机一上网,入侵者就可以神不知鬼不觉地取得它的绝对控制权! 对策是在“开始--运行”里输入REGEDIT.EXE,直接打开注册表,如果在:“HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\CurrentVersion\Run”里如果有类似“netspy”、“C:\windows\system\netspy.exe”等字样,说明NetSpy已经进驻系统。另外一种识别方法是:打开资源管理器,进入Windows下的System子目录,如果发现有NetSpy.exe文件(86.5KB),没说的,中招了! 清除NetSpy的方法是:重新启动计算机,进入DOS状态,在Windows下的System子目录里删掉NetSpy.exe这个文件。再次启动机器,进入Windows的注册表,找到并删除“KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下NetSpy的键值即可。 [ Last edited by 幻影无痕 on 2006-11-6 at 14:15 ] |
回复此楼» 猜你喜欢
拟解决的关键科学问题还要不要写
已经有6人回复
-
存款400万可以在学校里躺平吗
已经有14人回复
-
Materials Today Chemistry审稿周期
已经有6人回复
-
基金委咋了?2026年的指南还没有出来?
已经有10人回复
-
基金申报
已经有6人回复
-
推荐一本书
已经有13人回复
-
国自然申请面上模板最新2026版出了吗?
已经有17人回复
-
纳米粒子粒径的测量
已经有8人回复
-
疑惑?
已经有5人回复
-
计算机、0854电子信息(085401-058412)调剂
已经有5人回复