特洛伊木馬 原 理
6 r" K( X( O! p* s BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序���,黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序����,一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進入并控制遠程的Windows的微機。
- d1 V+ s1 \) d8 p0 k; Q6 Z 其工作原理:Boserve.exe在對方的電腦中運行后��,自動在win里注冊并隱藏起來�����,控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方���。2 f1 V) h( T1 S% W% z
網(wǎng)上更有一些害人蟲將木馬程序和其他應用程序結(jié)合起來發(fā)送給攻擊者�,只要對方運行了那個程序�,木馬一樣的會駐留到windwos系統(tǒng)中。; v( C1 E* T* {- W" l
BO本質(zhì)上屬于客戶機/服務(wù)器應用程序���。它通過一個極其簡單的圖形用戶界面和控制面板��,可以對感染了BO(即運行了 BO服務(wù)器)的機器操作Windows本身具備的所有功能���。
" w: P7 ^4 }% A1 ` 這個僅有123K的程序,水平一流����,令那些復雜而龐大的商用遠程管理 軟件相形見絀�。而真正可怕的是:BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug��,也沒有利用任何微軟未公開的內(nèi)部API�����,而完全是利用Windows系統(tǒng)的基本設(shè)計缺陷���。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋。- o2 x' n% ?4 M& J3 }( a
BO服務(wù)器可通過網(wǎng)上下載����、電子郵件、盜版光盤�、人為投放等途徑傳播,并且可極其隱藏地粘貼在其他應用程序�����。一旦激活��,就可以自動安裝����,創(chuàng)建Windll.dll���,然后刪除自安裝程序,埋名隱姓��,潛伏在機器中�。外人就可通過BO客戶機程序,方便地搜索到世界上任何一臺被BO感染并上網(wǎng)的計算機IP地址���。通過IP地址就可對其輕易實現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能���。
7 {" r; T5 u; R1 a( H% H 可獲取包括網(wǎng)址口令、撥號上網(wǎng)口令��、用戶口令�、磁盤、CPU����,軟件版本等詳細的系統(tǒng)信息;可刪除�����、復制、檢查����、查看文件;可運行機內(nèi)任何一個程序����;可捕捉屏幕信息����;可上傳各種文件;可以查閱��、創(chuàng)建�、刪除和修改系統(tǒng)注冊表;甚至可以使計算機重新啟動或鎖死機器�。而所有這些功能的實現(xiàn),只需在菜單中作一選擇�����,輕摁一鍵�,就可輕松完成。 除了BO外�����,還有很多原理和它差不多的特洛伊木馬程序,例如:【NetSpy】【Netbus】等���。2 \' {8 i7 Z% p& {1 o
: n- f, w5 U" W+ m3 i防 范
$ z7 s6 c# O- N7 w' l8 ~) w/ E 不要隨便運行不太了解的人給你的程序�����,特別是后綴名為exe的可執(zhí)行程序����。特洛伊木馬程序很多�����,它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k)��,如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件���,運行時可要小心了��。運行后如果程序突然消失����,或者是無任何反應,那你很可能是被攻擊了���。這時候你的電腦就完全被別人所控制�����,他可以復制����,刪除甚至運行你電腦里的文件和程序�����。這時你只要到注冊表里去修改一下就可以消滅它:運行注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值���,將其刪除,重新啟動你的計算機然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了���?����;蛴米钚掳姹镜臍⒍拒浖?�,如瑞星90(11)���,KV300等�����,你也可以下載一些專門掃除特洛伊木馬的軟件����。: R% b2 I8 M0 P4 L7 p
6 S. f2 [2 p/ D3 j+ y) J g如何防范Back Orifice2000/ d' r1 S7 p @+ L1 f5 S( J
對于95和98的用戶:5 ^8 g$ G7 `* R0 K G. z9 B$ b/ N
檢查c:\windows\system目錄下是否有UMGR32~1.exe文件���,如果有的話請運行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除�,Reboot你的機器����,然后Delete你硬盤上的這個文件。
/ B/ `: X x4 z5 r- t 對于NT的用戶:7 I ~5 N7 C/ e- m4 H A: X. e* X. [
檢查winnt\system32目錄下是否有UMGR32~1.exe這個文件���,如果有的話請先在任務(wù)管理器中對應的進程Kill掉再運行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service�,然后Delete it�����,最好Reboot一次你的機器; q% H' j. z: O; { ?
2 z" F0 D9 J6 X& o郵件炸彈 原 理8 l' f/ O" W% f! S4 P; a1 F5 U, A
E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法,一般的電子郵箱的容量在5���,6M以下����,平時大家收發(fā)郵件��,傳送軟件都會覺得容量不夠��,如果電子郵箱一下子被幾百���,幾千甚至上萬封電子郵件所占據(jù)�����,這是電子郵件的總?cè)萘烤蜁^電子郵箱的總?cè)萘浚灾猎斐舌]箱超負荷而崩潰����。【kaboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈���。
) D/ W' \+ W. m( @3 o
( s; I8 W) E Q8 @5 C防 范+ K9 f+ j* Y/ D Z4 U
⒈不要將自己的郵箱地址到處傳播��,特別是申請上網(wǎng)帳號時ISP送的電子信箱��,那可是要按字節(jié)收費的喲�!去申請幾個免費信箱對外使用,隨便別人怎么炸��,大不了不要了�����。: T" W6 T$ q# Z3 Y
& _# k% V* f+ J$ ]3 a9 k8 D1 ^/ }- S r ⒉最好用POP3收信����,你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook�����,你可以選擇“工具”/“收件箱助理”����,然后點擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除�����,根本不下載到計算機上,可以在郵件條件框中將“大于”選中����,然后輸入1024,接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了���。- c; I! _4 W8 y& W4 I+ L; p
; N* k- z% \+ K) @" P# |
⒊當某人不停炸你信箱時���,你可以先打開一封信,看清對方地址�����,然后在收件工具的過濾器中選擇不再接收這地址的信����,直接從服務(wù)器刪除。: h" f, W @" N( s& @0 A0 O
! Z/ K+ R0 c5 D
⒋在收信時����,一旦看見郵件列表的數(shù)量超過平時正常郵件的數(shù)量的若干倍�,應當馬上停止下載郵件,然后再從服務(wù)器刪除炸彈郵件。(要用下面提到的工具)7 e3 J9 n, r9 r! W$ F! V8 S
5 S4 n& ^# H8 O3 W
⒌不要認為郵件發(fā)送有個回復功能�����,就可以將發(fā)炸彈的人報復回來��,那是十分愚蠢的����!發(fā)件人有可能是用的假地址發(fā)信,這個地址也許填得與收件人地址相同�����。這樣你不但不能回報對方����,還會使自己的郵箱徹底完結(jié)!
2 I- V( n8 o1 d
6 ]% n( g3 {0 q3 N+ f# |- L ⒍你還可以用一些工具軟件防止郵件炸彈�,下面本站就提供一個供大家下載:
" J$ h- l/ {& q, }) X
, r3 m& N' K+ B【echom201】這是一個功能強大的砍信機,每分鐘能砍到1000封電子郵件�����,是對付郵件炸彈的好東西
7 f+ B9 ^! O5 v" v2 f
* \& U; w7 U, Q9 U端口攻擊 原 理
( ^' T% N$ y3 X" M1 G 這類軟件是利用Window95/NT系統(tǒng)本身的漏洞����,這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個例外處理程序OOB(Out of Band)有關(guān)�。只要對方以O(shè)OB的方式�,就可以通過TCP/IP傳遞一個小小的封包到某個IP地址的Port139上,該地址的電腦系統(tǒng)即(WINDOWS95/NT)就會“應封包而死”�,自動重新開機,你未存檔的所有工作就得重新再做一遍了�。; ^" J5 {; V' Q4 d) P- l& R3 R9 O
你一定會問這個封包到底里面是些什么?會有如此神奇的效果��!這不過是一些很小的ICMP(Internet Control Message Protocolata)碎片����,當你機器收到這份“禮物”時,你的系統(tǒng)會不停地試圖把碎片恢復��,當然這是不可能的��,它怎么會這樣便宜你了��!于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機���!而你就只有重新啟動�����。
) j- _7 i. y6 ]) v% ~ 其實���,并不只是Port139會出現(xiàn)問題,只要是使用OOB的開放接受端���,都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形�。例如�,Identel所用的Port113,據(jù)說收到同樣的封包也會出問題�。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】。如果你還是用的win95�,那您就要當心了。6 c' m+ n' T- V$ j8 V$ K
3 M7 Z- s! O% h; ?' O L+ m: O防 范
+ u% k; h, b7 G% l4 s 將你的Windows95馬上升級到Windows98����,首先修正Win95的BUG,在微軟主頁的附件中有對于Win95和OSR2以前的版本的補丁程序����,Win98不需要。然后學會隱藏自己的IP�,包括將ICQ中"IP隱藏"打開,注意避免在會顯示IP的BBS和聊天室上暴露真實身份�,特別在去黑客站點訪問時最好先運行隱藏IP的程序����。
$ g7 u2 ?9 Y8 @& h% v/ M- ]4 o: V5 E& W0 @7 x% a9 z1 S2 J
JAVA 炸彈 原 理% f1 d) }# o# ^' i- e6 T
很多網(wǎng)友在聊天室中被炸了以后���,就以為是被別人黑了����,其實不是的�。炸彈有很多種,有的是造成電腦直接死機�����,有的是通過HTML語言��,讓你的瀏覽器吃完你的系統(tǒng)資源��,然后你就死機了����。 這里我就告訴大家?guī)讉€java炸彈的原理:0 Y* z8 `- g' R4 [% L! E& O
6 W T2 R g# H( c, e$ J
第一個炸彈是javascript類型的炸彈:" x+ S% t: W% m- a. \# Z8 R% |
<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">
n5 `- }$ S5 H; |. w8 t這個 javascript語言要求瀏覽在新窗口中再打開本頁。新的頁面被打開以后就會同樣提出要求�����,于是瀏覽器不停地打開新窗口,沒幾秒鐘你就死機了���。就算是不死機,你也必須把瀏覽器中內(nèi)存中驅(qū)除出去����,這樣,你就被踢出了網(wǎng)絡(luò)�����。
& ?7 @/ [/ \) B: G \# |* B
2 ]) @$ y- j8 L! h( `9 ^6 i3 O下面分析一下這個HTML語言的原理����。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ,javascript 是定義運行此語言�,n=1 是定義變量 n 等于 1 , do{ }while(n==1) 指當 n 等于 1 ����,的時候運行{ }中間的命令,window.open('') 指打開本窗口����,整個語言的意思是����,變量 n 賦值為 1 ����,如果 n 等于 1 ,那么就打開一個窗口��,而 n 永遠等于 1 ���,就不停地打開新的窗口����。
" e$ B9 g3 x, n; R5 W/ C4 P- [' Q4 b8 s9 y; n4 n
同樣道理����,也可以利用無限循環(huán)的原理看看其他的炸彈。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的�����,你可以在網(wǎng)頁中加入以下的 javascript 語言:4 Q) N4 w$ F1 h4 Q& i9 j( G
<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿���,你死定了���!");}while(n==1)</SCRIPT>
' N% ?/ X1 n E2 H( S2 h# d1 w6 D0 v% C/ R; f7 A2 K0 g
下面介紹一個1999年5月才出爐的java炸彈�,威力比上兩種都強��,大家務(wù)必要當心�。 我們就不在這里提供效果了!
1 j+ _* F3 g+ ]2 \( p<HTML>- v$ c. n9 Y8 t" A# C
<BODY>6 m* @+ c4 \1 r
<SCRIPT> Y4 [6 N0 s7 b: V, H
var color = new Array;, F; M" m0 D! N6 i
color[1] = "black";$ w' H) E4 s+ L% P
color[2] = "white";3 x; @( y! I6 s
for(x = 0; x <3; x++)
/ H$ s+ A H6 e0 R, T( Y Q7 I4 D# M{
& [* a) v# P, g; d' f% Y) idocument.bgColor = color[x]% r$ P) j7 d/ B, a
if(x == 2)
# r$ F4 o+ j" c; ^- O" c/ @{
; V3 m# ]# @# ix = 0;
1 a1 a8 L) H# R5 G3 Q}' S: U' R" f1 l! E0 Q
}1 a) y4 n) z K
</SCRIPT>! [/ G9 e& ?* `
</BODY>
7 p. n6 q0 d) B. L</HTML>
: O! \( m' O/ _$ Y: M# X% k& o9 i c% Q( f1 U. y8 h
6 E+ A: @. r5 S1 S3 h
防 范+ X! d8 D' w I" D( ]: V# @; F
唯一的防范方法就是你在聊天室聊天時�����,特別是支持HTML的聊天室(比如湛江�����,新疆等)請你一定記住關(guān)掉你瀏覽器里的java功能��,還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接����,這樣可以避免遭到惡作劇者的攻擊�。; ^; H0 N% ~4 S$ k1 |
|
發(fā)表于 2011-1-12 16:29:57
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡