特洛伊木馬 原 理
' O: y, S( ?8 Q% I BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序���,黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序,一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進(jìn)入并控制遠(yuǎn)程的Windows的微機(jī)��。
# s+ n0 e# e5 o$ T 其工作原理:Boserve.exe在對方的電腦中運(yùn)行后,自動(dòng)在win里注冊并隱藏起來�,控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方。5 C V _, v& C; h* X) i, Y
網(wǎng)上更有一些害人蟲將木馬程序和其他應(yīng)用程序結(jié)合起來發(fā)送給攻擊者��,只要對方運(yùn)行了那個(gè)程序����,木馬一樣的會(huì)駐留到windwos系統(tǒng)中。
: t* J) |: R' P3 f. S! ~ BO本質(zhì)上屬于客戶機(jī)/服務(wù)器應(yīng)用程序���。它通過一個(gè)極其簡單的圖形用戶界面和控制面板���,可以對感染了BO(即運(yùn)行了 BO服務(wù)器)的機(jī)器操作Windows本身具備的所有功能。# P n9 n: T1 v( F: Q2 q
這個(gè)僅有123K的程序�,水平一流,令那些復(fù)雜而龐大的商用遠(yuǎn)程管理 軟件相形見絀���。而真正可怕的是:BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug��,也沒有利用任何微軟未公開的內(nèi)部API�,而完全是利用Windows系統(tǒng)的基本設(shè)計(jì)缺陷��。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋����。
0 R! B/ L, U% c/ E7 r BO服務(wù)器可通過網(wǎng)上下載���、電子郵件、盜版光盤��、人為投放等途徑傳播�,并且可極其隱藏地粘貼在其他應(yīng)用程序。一旦激活����,就可以自動(dòng)安裝,創(chuàng)建Windll.dll�,然后刪除自安裝程序,埋名隱姓����,潛伏在機(jī)器中�����。外人就可通過BO客戶機(jī)程序��,方便地搜索到世界上任何一臺被BO感染并上網(wǎng)的計(jì)算機(jī)IP地址�。通過IP地址就可對其輕易實(shí)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能�。
# D& Z% {( M7 N* w 可獲取包括網(wǎng)址口令�、撥號上網(wǎng)口令、用戶口令�、磁盤、CPU���,軟件版本等詳細(xì)的系統(tǒng)信息�����;可刪除�、復(fù)制�、檢查、查看文件�;可運(yùn)行機(jī)內(nèi)任何一個(gè)程序;可捕捉屏幕信息�;可上傳各種文件;可以查閱���、創(chuàng)建��、刪除和修改系統(tǒng)注冊表�����;甚至可以使計(jì)算機(jī)重新啟動(dòng)或鎖死機(jī)器����。而所有這些功能的實(shí)現(xiàn),只需在菜單中作一選擇�,輕摁一鍵,就可輕松完成�����。 除了BO外�,還有很多原理和它差不多的特洛伊木馬程序,例如:【NetSpy】【Netbus】等���。
* ?. H( O+ ` x3 @
2 P" P2 [' ^8 K% Y8 u防 范& a6 e* x6 Z7 F5 [; \
不要隨便運(yùn)行不太了解的人給你的程序�,特別是后綴名為exe的可執(zhí)行程序����。特洛伊木馬程序很多,它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k)�����,如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件�����,運(yùn)行時(shí)可要小心了����。運(yùn)行后如果程序突然消失,或者是無任何反應(yīng)�����,那你很可能是被攻擊了����。這時(shí)候你的電腦就完全被別人所控制,他可以復(fù)制��,刪除甚至運(yùn)行你電腦里的文件和程序��。這時(shí)你只要到注冊表里去修改一下就可以消滅它:運(yùn)行注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值����,將其刪除,重新啟動(dòng)你的計(jì)算機(jī)然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了��。或用最新版本的殺毒軟件���,如瑞星90(11)�,KV300等��,你也可以下載一些專門掃除特洛伊木馬的軟件���。
- X( X) s9 @" V( ~7 C- n0 k" P; Z0 ^$ i, x4 G. B- q
如何防范Back Orifice2000# k5 B9 n4 Z8 h' @0 u( o
對于95和98的用戶:- o: k+ C6 e2 Y- V0 ]2 ~- Z
檢查c:\windows\system目錄下是否有UMGR32~1.exe文件�,如果有的話請運(yùn)行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除�,Reboot你的機(jī)器,然后Delete你硬盤上的這個(gè)文件��。( [! }- H# z" v8 t" ?% d
對于NT的用戶:
' D h( ]* | D- |; `: w* V/ _; \ 檢查winnt\system32目錄下是否有UMGR32~1.exe這個(gè)文件�,如果有的話請先在任務(wù)管理器中對應(yīng)的進(jìn)程Kill掉再運(yùn)行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service,然后Delete it�,最好Reboot一次你的機(jī)器
8 D; {9 T5 }: x- ?6 N7 q! U6 m( ]
郵件炸彈 原 理( K3 b! s4 V, }% C7 F
E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法,一般的電子郵箱的容量在5�,6M以下,平時(shí)大家收發(fā)郵件�����,傳送軟件都會(huì)覺得容量不夠���,如果電子郵箱一下子被幾百�����,幾千甚至上萬封電子郵件所占據(jù)��,這是電子郵件的總?cè)萘烤蜁?huì)超過電子郵箱的總?cè)萘?����,以至造成郵箱超負(fù)荷而崩潰��?�!緆aboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈�。
' g" s2 Z, O5 R1 o! c# D- N& N
防 范; Q' [* x6 F9 `
⒈不要將自己的郵箱地址到處傳播���,特別是申請上網(wǎng)帳號時(shí)ISP送的電子信箱��,那可是要按字節(jié)收費(fèi)的喲����!去申請幾個(gè)免費(fèi)信箱對外使用�����,隨便別人怎么炸,大不了不要了���。
# k. G4 h1 v+ O. e
: v6 |! @4 l' R/ a ⒉最好用POP3收信���,你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook��,你可以選擇“工具”/“收件箱助理”�,然后點(diǎn)擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除���,根本不下載到計(jì)算機(jī)上��,可以在郵件條件框中將“大于”選中�,然后輸入1024�,接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了。; v3 s t/ {: y& t7 Q& r
* }& l6 }, M. o% {; x2 i
⒊當(dāng)某人不停炸你信箱時(shí)����,你可以先打開一封信,看清對方地址���,然后在收件工具的過濾器中選擇不再接收這地址的信�����,直接從服務(wù)器刪除���。
+ `8 _8 l* G6 l! M2 x
2 u/ O8 g/ c0 l, k( u ⒋在收信時(shí),一旦看見郵件列表的數(shù)量超過平時(shí)正常郵件的數(shù)量的若干倍���,應(yīng)當(dāng)馬上停止下載郵件��,然后再從服務(wù)器刪除炸彈郵件���。(要用下面提到的工具)
$ N) E/ S7 I& p0 V+ _: R# O' Q% r P8 G* w- p. b8 f
⒌不要認(rèn)為郵件發(fā)送有個(gè)回復(fù)功能,就可以將發(fā)炸彈的人報(bào)復(fù)回來�,那是十分愚蠢的!發(fā)件人有可能是用的假地址發(fā)信��,這個(gè)地址也許填得與收件人地址相同����。這樣你不但不能回報(bào)對方,還會(huì)使自己的郵箱徹底完結(jié)��!( U! g' G: i r+ K# I' Y2 ]
/ {- Z- a# K+ k2 |% ~* R
⒍你還可以用一些工具軟件防止郵件炸彈,下面本站就提供一個(gè)供大家下載:
- L7 R- Z- G( E: N8 q4 f2 U# @* h4 q; j& B! x. k
【echom201】這是一個(gè)功能強(qiáng)大的砍信機(jī)����,每分鐘能砍到1000封電子郵件,是對付郵件炸彈的好東西
$ p6 Y2 [# y5 P; C/ f; z
" C; C. P" `& @, V; z, n0 X+ N" A端口攻擊 原 理
6 E4 \( [! c" h/ G 這類軟件是利用Window95/NT系統(tǒng)本身的漏洞�,這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個(gè)例外處理程序OOB(Out of Band)有關(guān)。只要對方以O(shè)OB的方式����,就可以通過TCP/IP傳遞一個(gè)小小的封包到某個(gè)IP地址的Port139上,該地址的電腦系統(tǒng)即(WINDOWS95/NT)就會(huì)“應(yīng)封包而死”��,自動(dòng)重新開機(jī)���,你未存檔的所有工作就得重新再做一遍了����。
, W, S! h4 Y2 r6 H% K0 U: C$ r3 y3 t6 s 你一定會(huì)問這個(gè)封包到底里面是些什么�?會(huì)有如此神奇的效果!這不過是一些很小的ICMP(Internet Control Message Protocolata)碎片�,當(dāng)你機(jī)器收到這份“禮物”時(shí),你的系統(tǒng)會(huì)不停地試圖把碎片恢復(fù)�����,當(dāng)然這是不可能的,它怎么會(huì)這樣便宜你了��!于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機(jī)�!而你就只有重新啟動(dòng)。
4 ]5 D! R/ `* d/ M; N+ V8 D, K 其實(shí)�,并不只是Port139會(huì)出現(xiàn)問題,只要是使用OOB的開放接受端�,都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形。例如����,Identel所用的Port113����,據(jù)說收到同樣的封包也會(huì)出問題。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】����。如果你還是用的win95,那您就要當(dāng)心了���。
! H; C. a2 g; Z/ k' ]
/ s5 g# I5 M# a5 _3 d8 z* M防 范
, z% `0 \' F: P5 }. P 將你的Windows95馬上升級到Windows98�����,首先修正Win95的BUG��,在微軟主頁的附件中有對于Win95和OSR2以前的版本的補(bǔ)丁程序�,Win98不需要。然后學(xué)會(huì)隱藏自己的IP��,包括將ICQ中"IP隱藏"打開�����,注意避免在會(huì)顯示IP的BBS和聊天室上暴露真實(shí)身份��,特別在去黑客站點(diǎn)訪問時(shí)最好先運(yùn)行隱藏IP的程序����。0 i! X1 J* N$ b$ J' @3 @
1 l! O1 i- r+ I+ [6 U. n, r
JAVA 炸彈 原 理. a) g* S7 y X
很多網(wǎng)友在聊天室中被炸了以后,就以為是被別人黑了�����,其實(shí)不是的�����。炸彈有很多種,有的是造成電腦直接死機(jī)����,有的是通過HTML語言,讓你的瀏覽器吃完你的系統(tǒng)資源����,然后你就死機(jī)了。 這里我就告訴大家?guī)讉€(gè)java炸彈的原理:
6 _: b/ c4 ^ A6 [7 @5 G3 q2 C* d. @) X# \9 y7 _! d
第一個(gè)炸彈是javascript類型的炸彈:
* i. B4 G1 S( z<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">
. R' z2 ]4 h+ S2 a1 L5 [這個(gè) javascript語言要求瀏覽在新窗口中再打開本頁����。新的頁面被打開以后就會(huì)同樣提出要求,于是瀏覽器不停地打開新窗口����,沒幾秒鐘你就死機(jī)了���。就算是不死機(jī)�,你也必須把瀏覽器中內(nèi)存中驅(qū)除出去���,這樣�,你就被踢出了網(wǎng)絡(luò)����。& P) r9 B' S; {" {3 s! T
- g9 J' N. x5 M+ k8 z" ~7 v下面分析一下這個(gè)HTML語言的原理����。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ���,javascript 是定義運(yùn)行此語言�����,n=1 是定義變量 n 等于 1 ����, do{ }while(n==1) 指當(dāng) n 等于 1 �,的時(shí)候運(yùn)行{ }中間的命令,window.open('') 指打開本窗口��,整個(gè)語言的意思是���,變量 n 賦值為 1 ��,如果 n 等于 1 ���,那么就打開一個(gè)窗口,而 n 永遠(yuǎn)等于 1 ,就不停地打開新的窗口�����。
! O: K& `% c5 P3 S; t7 S. O( Z* ^* \1 X
同樣道理���,也可以利用無限循環(huán)的原理看看其他的炸彈�����。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的���,你可以在網(wǎng)頁中加入以下的 javascript 語言:
; `+ [6 z* {2 i6 S0 r7 o<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿,你死定了����!");}while(n==1)</SCRIPT>
" m$ y4 ?, r# p: f) O* i, x
4 [' o2 D* i1 e6 C1 W下面介紹一個(gè)1999年5月才出爐的java炸彈,威力比上兩種都強(qiáng)���,大家務(wù)必要當(dāng)心。 我們就不在這里提供效果了����!
0 P& x0 x x; G |<HTML>; E" h5 C7 a. G+ P& q( B
<BODY>
/ q; Y! X. {; u' O+ J1 U( k<SCRIPT>
4 y2 b) ^0 J+ T! A* }4 Y& v- D1 Pvar color = new Array;
3 A y. } A0 F+ icolor[1] = "black";; t1 [, H: o1 x5 s+ w2 G% Z% a
color[2] = "white";
8 Z0 Q4 x5 H! Ifor(x = 0; x <3; x++)
) K/ {" |2 R b( c q; j( P{& r* }9 ]! `! S2 ~2 Y0 m3 T/ ]6 Q
document.bgColor = color[x]( b) @6 V8 y! P8 l% L5 z; c# X
if(x == 2) ]" A+ {, D( `: K5 e4 h
{
) J" ]- X4 _% o" P X0 [. ]x = 0;) w! C% v' k# b. b# E0 A% W* d7 A
}
6 `) o6 N# V3 J2 k) E+ I2 p}
( U/ B" s% t( d" S/ ]</SCRIPT>
0 `$ ` G& t# @, `5 M</BODY>
$ _" n9 I: x, ~8 t z</HTML>
8 S5 ?* C1 ~ Z+ {9 v! @: v, O2 @% R4 }6 b
% E; O/ C4 I* z& k3 I$ J9 `
防 范
- q: e) y+ m, `9 y8 [$ t 唯一的防范方法就是你在聊天室聊天時(shí),特別是支持HTML的聊天室(比如湛江,新疆等)請你一定記住關(guān)掉你瀏覽器里的java功能��,還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接����,這樣可以避免遭到惡作劇者的攻擊。
) `" N: }. l2 j" { |
發(fā)表于 2011-1-12 16:29:57
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡