特洛伊木馬 原 理
2 |) {, D" A" W BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務器程序����,黑客先使用各種方法誘惑他人使用BO的服務器端程序����,一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡進入并控制遠程的Windows的微機。; f2 ~+ \! s6 \ P$ F* Y% E
其工作原理:Boserve.exe在對方的電腦中運行后�����,自動在win里注冊并隱藏起來����,控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方。
0 m) @$ [$ r) d9 W) ~% P8 I 網(wǎng)上更有一些害人蟲將木馬程序和其他應用程序結(jié)合起來發(fā)送給攻擊者�����,只要對方運行了那個程序,木馬一樣的會駐留到windwos系統(tǒng)中����。
) G$ X- z# }1 p- Q2 k BO本質(zhì)上屬于客戶機/服務器應用程序。它通過一個極其簡單的圖形用戶界面和控制面板���,可以對感染了BO(即運行了 BO服務器)的機器操作Windows本身具備的所有功能�����。
: ~( C) {& I8 N3 w 這個僅有123K的程序�,水平一流�,令那些復雜而龐大的商用遠程管理 軟件相形見絀。而真正可怕的是:BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug�,也沒有利用任何微軟未公開的內(nèi)部API,而完全是利用Windows系統(tǒng)的基本設計缺陷���。甚至連普通的局域網(wǎng)防火墻和代理服務器也難以有效抵擋�。& ?" l* X7 e4 X4 f5 n) z7 |( K7 M
BO服務器可通過網(wǎng)上下載�����、電子郵件�����、盜版光盤��、人為投放等途徑傳播���,并且可極其隱藏地粘貼在其他應用程序���。一旦激活,就可以自動安裝��,創(chuàng)建Windll.dll���,然后刪除自安裝程序�����,埋名隱姓����,潛伏在機器中。外人就可通過BO客戶機程序��,方便地搜索到世界上任何一臺被BO感染并上網(wǎng)的計算機IP地址��。通過IP地址就可對其輕易實現(xiàn)網(wǎng)絡和系統(tǒng)控制功能��。; T; V% Z7 `& `0 N0 f! v
可獲取包括網(wǎng)址口令���、撥號上網(wǎng)口令�、用戶口令���、磁盤��、CPU�����,軟件版本等詳細的系統(tǒng)信息���;可刪除、復制����、檢查��、查看文件���;可運行機內(nèi)任何一個程序�;可捕捉屏幕信息;可上傳各種文件���;可以查閱����、創(chuàng)建��、刪除和修改系統(tǒng)注冊表�����;甚至可以使計算機重新啟動或鎖死機器�����。而所有這些功能的實現(xiàn)�,只需在菜單中作一選擇,輕摁一鍵��,就可輕松完成。 除了BO外���,還有很多原理和它差不多的特洛伊木馬程序���,例如:【NetSpy】【Netbus】等。
. Z0 g9 G& _1 }7 F/ U3 M( d0 t" W8 j. P' k( w$ U! |
防 范& ~1 o( N* h* v5 i( f6 t
不要隨便運行不太了解的人給你的程序�����,特別是后綴名為exe的可執(zhí)行程序�����。特洛伊木馬程序很多�����,它們的安裝服務器有Boserve.exe(122k),NETSPY.EXE(127k)�,如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件,運行時可要小心了��。運行后如果程序突然消失�,或者是無任何反應,那你很可能是被攻擊了����。這時候你的電腦就完全被別人所控制����,他可以復制�����,刪除甚至運行你電腦里的文件和程序��。這時你只要到注冊表里去修改一下就可以消滅它:運行注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值���,將其刪除,重新啟動你的計算機然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了���?���;蛴米钚掳姹镜臍⒍拒浖?��,如瑞星90(11)���,KV300等�����,你也可以下載一些專門掃除特洛伊木馬的軟件��。0 a4 t5 I, z C$ o; W* s/ I
7 P/ N7 s: [9 O. j* m如何防范Back Orifice20003 q4 y: v( S) n+ v1 z% p5 j( z$ L$ P
對于95和98的用戶:6 Y& f: f2 @ n
檢查c:\windows\system目錄下是否有UMGR32~1.exe文件�,如果有的話請運行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除���,Reboot你的機器�����,然后Delete你硬盤上的這個文件�。+ U1 d7 n- q/ f c: e
對于NT的用戶:
8 j7 ~, `! D* ? k" R; F 檢查winnt\system32目錄下是否有UMGR32~1.exe這個文件����,如果有的話請先在任務管理器中對應的進程Kill掉再運行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service,然后Delete it����,最好Reboot一次你的機器
. r1 E0 g5 E& o: g' t' _, ]* i" c: w
郵件炸彈 原 理
. Q& E/ s0 I6 H8 r/ G% Y E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法,一般的電子郵箱的容量在5����,6M以下�����,平時大家收發(fā)郵件���,傳送軟件都會覺得容量不夠,如果電子郵箱一下子被幾百���,幾千甚至上萬封電子郵件所占據(jù)��,這是電子郵件的總?cè)萘烤蜁^電子郵箱的總?cè)萘?����,以至造成郵箱超負荷而崩潰?���!緆aboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈。3 e* A7 ?* z% W. q6 ], h
! g+ @( `/ r8 R; [- U防 范* U0 w. J2 v. X$ [! [5 @
⒈不要將自己的郵箱地址到處傳播�����,特別是申請上網(wǎng)帳號時ISP送的電子信箱����,那可是要按字節(jié)收費的喲����!去申請幾個免費信箱對外使用����,隨便別人怎么炸,大不了不要了����。1 C! [ a, a" u- m6 K6 ^( V7 `
9 j: c* o ]8 I" Z1 W6 }
⒉最好用POP3收信,你可以用Outlook 或Foxmail等POP收信工具收取Email�。例如用Outlook,你可以選擇“工具”/“收件箱助理”��,然后點擊“添加”在屬性窗口可以設定對各種條件的Email的處理方式�。如果我們想讓超過1024KB的郵件直接從服務器上刪除,根本不下載到計算機上�����,可以在郵件條件框中將“大于”選中��,然后輸入1024,接著在“執(zhí)行下列操作”框中選中“從服務器刪除”就行了����。
* r F2 N7 `3 `% Z' V4 A5 Z
0 Q; V _8 R7 G" E W ⒊當某人不停炸你信箱時,你可以先打開一封信�,看清對方地址,然后在收件工具的過濾器中選擇不再接收這地址的信��,直接從服務器刪除�����。 ?6 D2 `4 M% y: @
/ P% _9 A* Q* a. f4 y
⒋在收信時�,一旦看見郵件列表的數(shù)量超過平時正常郵件的數(shù)量的若干倍,應當馬上停止下載郵件�,然后再從服務器刪除炸彈郵件。(要用下面提到的工具)& S( N- I3 D( q' M; I( D
( y D \$ R/ ^( H q6 c
⒌不要認為郵件發(fā)送有個回復功能���,就可以將發(fā)炸彈的人報復回來,那是十分愚蠢的���!發(fā)件人有可能是用的假地址發(fā)信�,這個地址也許填得與收件人地址相同����。這樣你不但不能回報對方��,還會使自己的郵箱徹底完結(jié)�!
' e1 e+ H9 {" _1 X# K
; t& z: `3 a2 Q! D1 z ⒍你還可以用一些工具軟件防止郵件炸彈����,下面本站就提供一個供大家下載:- b' n2 p5 R7 d+ N9 `- \: u
- r2 [& @) `+ w3 S; v
【echom201】這是一個功能強大的砍信機,每分鐘能砍到1000封電子郵件����,是對付郵件炸彈的好東西# {/ s( ]2 p3 s- j6 a8 o
2 |; _( {8 D+ S1 N9 c' a1 R
端口攻擊 原 理
' \& A1 E, ~# _" o 這類軟件是利用Window95/NT系統(tǒng)本身的漏洞,這與Windows下微軟網(wǎng)絡協(xié)議NetBIOS的一個例外處理程序OOB(Out of Band)有關(guān)���。只要對方以OOB的方式�,就可以通過TCP/IP傳遞一個小小的封包到某個IP地址的Port139上����,該地址的電腦系統(tǒng)即(WINDOWS95/NT)就會“應封包而死”,自動重新開機��,你未存檔的所有工作就得重新再做一遍了���。& T: r: a5 Y0 i+ w9 f1 j
你一定會問這個封包到底里面是些什么���?會有如此神奇的效果�!這不過是一些很小的ICMP(Internet Control Message Protocolata)碎片�����,當你機器收到這份“禮物”時��,你的系統(tǒng)會不停地試圖把碎片恢復�����,當然這是不可能的��,它怎么會這樣便宜你了�����!于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機����!而你就只有重新啟動。: v/ E; n P* @8 E% A, T5 l
其實�,并不只是Port139會出現(xiàn)問題���,只要是使用OOB的開放接受端���,都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形�。例如�,Identel所用的Port113,據(jù)說收到同樣的封包也會出問題�����。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】�。如果你還是用的win95,那您就要當心了����。; {0 `6 `/ ~7 `. R
. L# ^' S) t: T
防 范; I4 L& x8 |. ?9 N4 I' _: |
將你的Windows95馬上升級到Windows98,首先修正Win95的BUG����,在微軟主頁的附件中有對于Win95和OSR2以前的版本的補丁程序,Win98不需要��。然后學會隱藏自己的IP�,包括將ICQ中"IP隱藏"打開,注意避免在會顯示IP的BBS和聊天室上暴露真實身份���,特別在去黑客站點訪問時最好先運行隱藏IP的程序����。
- ~5 u. N0 L* w" F! L
! @, J6 o0 k9 ^( VJAVA 炸彈 原 理
! Q; ~) i( f4 j, }8 \ 很多網(wǎng)友在聊天室中被炸了以后,就以為是被別人黑了�����,其實不是的��。炸彈有很多種�,有的是造成電腦直接死機,有的是通過HTML語言���,讓你的瀏覽器吃完你的系統(tǒng)資源�����,然后你就死機了��。 這里我就告訴大家?guī)讉€java炸彈的原理:
" J0 w: y) k9 Z# h. @2 J) _ z7 S9 _7 J" `7 k U: t8 n
第一個炸彈是javascript類型的炸彈:
: h# F: D& [+ b( z! Y }<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">' t4 j# X9 F* ]
這個 javascript語言要求瀏覽在新窗口中再打開本頁�。新的頁面被打開以后就會同樣提出要求����,于是瀏覽器不停地打開新窗口����,沒幾秒鐘你就死機了�。就算是不死機�,你也必須把瀏覽器中內(nèi)存中驅(qū)除出去,這樣�����,你就被踢出了網(wǎng)絡��。0 W4 h: p' s; R, `+ \) z v
6 A2 q8 n' c7 i9 S
下面分析一下這個HTML語言的原理����。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ,javascript 是定義運行此語言���,n=1 是定義變量 n 等于 1 �����, do{ }while(n==1) 指當 n 等于 1 ��,的時候運行{ }中間的命令���,window.open('') 指打開本窗口�����,整個語言的意思是�����,變量 n 賦值為 1 ��,如果 n 等于 1 ����,那么就打開一個窗口����,而 n 永遠等于 1 ,就不停地打開新的窗口����。) Q- i. l. M, l( | H
3 {0 j( s8 n E9 Z2 ^
同樣道理,也可以利用無限循環(huán)的原理看看其他的炸彈�。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的,你可以在網(wǎng)頁中加入以下的 javascript 語言:6 B# f' z- L' e2 K
<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿����,你死定了�!");}while(n==1)</SCRIPT>
8 O/ Z& V u c0 A9 x
+ X4 c, Z% K& v" C! Z A: m& w下面介紹一個1999年5月才出爐的java炸彈�����,威力比上兩種都強�,大家務必要當心����。 我們就不在這里提供效果了!
) |1 H3 e9 Q+ Y7 |% p, h# R7 J* t<HTML>7 O, G& o4 t* V8 c' u
<BODY>7 F5 R1 t5 e9 w6 I6 Q1 Q
<SCRIPT>' X1 ~ Z G7 H. y; C5 G
var color = new Array;7 L7 v% ^0 H. Y" C N# r
color[1] = "black";
8 j' Z: b9 W9 Tcolor[2] = "white";
- L& C( z1 X8 k$ I: d, M1 U" O8 \for(x = 0; x <3; x++)
7 g1 I/ F/ p% T7 h: l" n' d{+ Z9 k, D6 {* J3 o
document.bgColor = color[x]1 F" {+ o5 q. D' U | n
if(x == 2)
2 G: }: |) Q ?{( `, q% ]2 H7 P" J9 ]
x = 0;% I( l2 V2 `7 h K7 n$ O8 m; G
}
' \' @( A$ H- a# G1 t}( M: T+ L% R4 c
</SCRIPT>7 z, g$ z9 K& m* X7 O- m
</BODY>
& u% e& a. I/ e4 `0 Z5 k</HTML>
) F* h4 {: B2 `6 ^" |+ V* a( K$ } i9 K, M6 V1 Q _+ H
# u, L) a8 G( G) |) z( t
防 范! q" q# s- X! y/ R+ L
唯一的防范方法就是你在聊天室聊天時�,特別是支持HTML的聊天室(比如湛江,新疆等)請你一定記住關(guān)掉你瀏覽器里的java功能�,還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接,這樣可以避免遭到惡作劇者的攻擊�。
8 f8 A3 a% g5 \( f% i4 H3 W' S |
發(fā)表于 2011-1-12 16:29:57
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡