特洛伊木馬 原 理- ~5 E) b* Y) ~+ p! W1 L1 I& |
BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序�����,黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序����,一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進入并控制遠程的Windows的微機。
7 ?3 `3 e8 i( a# ]6 Z6 D9 I0 N 其工作原理:Boserve.exe在對方的電腦中運行后�,自動在win里注冊并隱藏起來,控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方���。6 q @0 Z3 q8 h4 S& {
網(wǎng)上更有一些害人蟲將木馬程序和其他應(yīng)用程序結(jié)合起來發(fā)送給攻擊者���,只要對方運行了那個程序���,木馬一樣的會駐留到windwos系統(tǒng)中。) s0 i, a( G1 X" V c/ T) D9 j" H. o M
BO本質(zhì)上屬于客戶機/服務(wù)器應(yīng)用程序�����。它通過一個極其簡單的圖形用戶界面和控制面板���,可以對感染了BO(即運行了 BO服務(wù)器)的機器操作Windows本身具備的所有功能��。
$ `; ]0 \8 d& w2 N8 t$ Q J! Y, S 這個僅有123K的程序����,水平一流���,令那些復(fù)雜而龐大的商用遠程管理 軟件相形見絀。而真正可怕的是:BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug��,也沒有利用任何微軟未公開的內(nèi)部API�����,而完全是利用Windows系統(tǒng)的基本設(shè)計缺陷���。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋����。
0 M) }' p& U) p N BO服務(wù)器可通過網(wǎng)上下載、電子郵件�、盜版光盤、人為投放等途徑傳播���,并且可極其隱藏地粘貼在其他應(yīng)用程序��。一旦激活���,就可以自動安裝,創(chuàng)建Windll.dll���,然后刪除自安裝程序�����,埋名隱姓�����,潛伏在機器中����。外人就可通過BO客戶機程序,方便地搜索到世界上任何一臺被BO感染并上網(wǎng)的計算機IP地址���。通過IP地址就可對其輕易實現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能��。, f# F1 J- @# a& D. Y& M7 g
可獲取包括網(wǎng)址口令�、撥號上網(wǎng)口令���、用戶口令�、磁盤���、CPU���,軟件版本等詳細的系統(tǒng)信息;可刪除���、復(fù)制、檢查����、查看文件�����;可運行機內(nèi)任何一個程序��;可捕捉屏幕信息�����;可上傳各種文件�����;可以查閱�、創(chuàng)建����、刪除和修改系統(tǒng)注冊表;甚至可以使計算機重新啟動或鎖死機器�。而所有這些功能的實現(xiàn),只需在菜單中作一選擇�����,輕摁一鍵,就可輕松完成�。 除了BO外,還有很多原理和它差不多的特洛伊木馬程序�,例如:【NetSpy】【Netbus】等。
* ]8 T4 b+ b. L- x/ J$ a9 K6 n
9 H/ w* _9 d7 J- o5 s8 G2 Q防 范- I3 G7 J" [! U5 Q
不要隨便運行不太了解的人給你的程序����,特別是后綴名為exe的可執(zhí)行程序。特洛伊木馬程序很多��,它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k)��,如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件���,運行時可要小心了�。運行后如果程序突然消失�,或者是無任何反應(yīng),那你很可能是被攻擊了�。這時候你的電腦就完全被別人所控制,他可以復(fù)制���,刪除甚至運行你電腦里的文件和程序��。這時你只要到注冊表里去修改一下就可以消滅它:運行注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值�,將其刪除����,重新啟動你的計算機然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了?�;蛴米钚掳姹镜臍⒍拒浖?,如瑞星90(11),KV300等���,你也可以下載一些專門掃除特洛伊木馬的軟件��。; u' |' w- L1 U; g. k
2 U- F, p5 e/ u2 R( g4 Y6 m ^; R
如何防范Back Orifice2000) N. x& i1 @ v% ?) t' R$ f
對于95和98的用戶:
7 t" T: B8 ?6 ?" F) J; R D8 W 檢查c:\windows\system目錄下是否有UMGR32~1.exe文件����,如果有的話請運行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除�,Reboot你的機器,然后Delete你硬盤上的這個文件��。
! x2 r L) t* r5 a& [6 N0 L1 t 對于NT的用戶:
- N& D( t5 O8 R0 v 檢查winnt\system32目錄下是否有UMGR32~1.exe這個文件���,如果有的話請先在任務(wù)管理器中對應(yīng)的進程Kill掉再運行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service����,然后Delete it,最好Reboot一次你的機器; i" ?* b$ H4 ~
3 }8 O8 o: ?- X( {$ v* F9 B
郵件炸彈 原 理* q1 ]" b. i% P4 O
E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法�,一般的電子郵箱的容量在5,6M以下�,平時大家收發(fā)郵件,傳送軟件都會覺得容量不夠�����,如果電子郵箱一下子被幾百�����,幾千甚至上萬封電子郵件所占據(jù)�����,這是電子郵件的總?cè)萘烤蜁^電子郵箱的總?cè)萘?����,以至造成郵箱超負荷而崩潰����。【kaboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈�����。 w" g: y5 ]6 ]+ L4 w. q' U# v% D: ~9 e0 x
9 M& S. d5 n0 k* H9 }- l/ n! B, V0 \6 f防 范4 d0 A' `+ V& @2 ?/ i3 `
⒈不要將自己的郵箱地址到處傳播,特別是申請上網(wǎng)帳號時ISP送的電子信箱�,那可是要按字節(jié)收費的喲����!去申請幾個免費信箱對外使用,隨便別人怎么炸�,大不了不要了。
0 @; f( Z9 C8 B3 g2 V
: b/ F/ x3 U' _+ @ ⒉最好用POP3收信��,你可以用Outlook 或Foxmail等POP收信工具收取Email����。例如用Outlook,你可以選擇“工具”/“收件箱助理”�����,然后點擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式����。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除,根本不下載到計算機上����,可以在郵件條件框中將“大于”選中���,然后輸入1024,接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了�����。& M& |) A, s8 j G* P/ t
) y: Z: i% [& i) j q2 y
⒊當某人不停炸你信箱時��,你可以先打開一封信����,看清對方地址,然后在收件工具的過濾器中選擇不再接收這地址的信��,直接從服務(wù)器刪除�。
" T: L4 M9 l5 m$ x: [" V+ h' r6 I5 b/ X- p4 b
⒋在收信時,一旦看見郵件列表的數(shù)量超過平時正常郵件的數(shù)量的若干倍�����,應(yīng)當馬上停止下載郵件��,然后再從服務(wù)器刪除炸彈郵件���。(要用下面提到的工具)
" F5 f# O( c1 E; j& j
1 x% F! i! g( |* y, M3 n, u ⒌不要認為郵件發(fā)送有個回復(fù)功能�����,就可以將發(fā)炸彈的人報復(fù)回來���,那是十分愚蠢的���!發(fā)件人有可能是用的假地址發(fā)信����,這個地址也許填得與收件人地址相同。這樣你不但不能回報對方����,還會使自己的郵箱徹底完結(jié)!1 m( r$ u- R% s
+ G8 q7 P& Z. ^) U ⒍你還可以用一些工具軟件防止郵件炸彈��,下面本站就提供一個供大家下載:
) F9 T$ E" y8 ^' Q
R7 v5 H2 W8 w$ H8 `6 }7 i( Z【echom201】這是一個功能強大的砍信機��,每分鐘能砍到1000封電子郵件��,是對付郵件炸彈的好東西
& O6 r" F0 p' T" _% I! w
0 [) O1 q# T8 ]" d* p7 z端口攻擊 原 理2 } w# ]. m2 K' s9 F
這類軟件是利用Window95/NT系統(tǒng)本身的漏洞����,這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個例外處理程序OOB(Out of Band)有關(guān)�。只要對方以O(shè)OB的方式�,就可以通過TCP/IP傳遞一個小小的封包到某個IP地址的Port139上,該地址的電腦系統(tǒng)即(WINDOWS95/NT)就會“應(yīng)封包而死”�,自動重新開機,你未存檔的所有工作就得重新再做一遍了���。
1 x5 E' T4 a g; D- O+ O* _1 j 你一定會問這個封包到底里面是些什么����?會有如此神奇的效果����!這不過是一些很小的ICMP(Internet Control Message Protocolata)碎片,當你機器收到這份“禮物”時��,你的系統(tǒng)會不停地試圖把碎片恢復(fù)����,當然這是不可能的,它怎么會這樣便宜你了����!于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機����!而你就只有重新啟動��。
3 A+ ?; }) z# C8 I$ V& S: L 其實�,并不只是Port139會出現(xiàn)問題,只要是使用OOB的開放接受端���,都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形�����。例如,Identel所用的Port113�,據(jù)說收到同樣的封包也會出問題。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】��。如果你還是用的win95��,那您就要當心了�。2 |1 Q6 L' b! D3 q7 ]$ M
# j6 q" @4 V4 B% c9 q防 范4 E4 M. O; o- v: `6 F: b+ p9 F
將你的Windows95馬上升級到Windows98,首先修正Win95的BUG����,在微軟主頁的附件中有對于Win95和OSR2以前的版本的補丁程序��,Win98不需要����。然后學(xué)會隱藏自己的IP�,包括將ICQ中"IP隱藏"打開,注意避免在會顯示IP的BBS和聊天室上暴露真實身份�,特別在去黑客站點訪問時最好先運行隱藏IP的程序。
' k! o& @0 i/ h& ~! j1 A) a6 M
% e7 ]8 J; |4 s; d- U1 F# nJAVA 炸彈 原 理
8 T, A, I. J8 h3 V* p* h2 w8 k4 k 很多網(wǎng)友在聊天室中被炸了以后�����,就以為是被別人黑了�����,其實不是的�。炸彈有很多種,有的是造成電腦直接死機�,有的是通過HTML語言,讓你的瀏覽器吃完你的系統(tǒng)資源�,然后你就死機了。 這里我就告訴大家?guī)讉€java炸彈的原理:
- N. x3 G2 u. ]3 e* o
0 k2 `, K1 R3 Z# Z' B- @第一個炸彈是javascript類型的炸彈:3 P) ] K& r6 l9 J% {, a7 `
<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">% k9 I8 p/ C! H
這個 javascript語言要求瀏覽在新窗口中再打開本頁����。新的頁面被打開以后就會同樣提出要求�,于是瀏覽器不停地打開新窗口���,沒幾秒鐘你就死機了�����。就算是不死機�����,你也必須把瀏覽器中內(nèi)存中驅(qū)除出去����,這樣��,你就被踢出了網(wǎng)絡(luò)����。
) z' K) n8 B# R/ v
% M3 V1 y, \6 w L- x) v下面分析一下這個HTML語言的原理�����。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ,javascript 是定義運行此語言���,n=1 是定義變量 n 等于 1 ��, do{ }while(n==1) 指當 n 等于 1 �����,的時候運行{ }中間的命令��,window.open('') 指打開本窗口�����,整個語言的意思是�,變量 n 賦值為 1 �,如果 n 等于 1 ,那么就打開一個窗口�,而 n 永遠等于 1 ,就不停地打開新的窗口���。
% E( y2 ~0 v$ Z( G* G0 V" @' ~& E5 W2 B( i4 t/ `' i% p
同樣道理�,也可以利用無限循環(huán)的原理看看其他的炸彈�����。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的,你可以在網(wǎng)頁中加入以下的 javascript 語言:
- F% M1 N" }% O: L3 q2 a<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿�,你死定了!");}while(n==1)</SCRIPT>+ \( b+ J0 K9 g [$ ]8 k
3 H ^6 [, q% g9 d& Y下面介紹一個1999年5月才出爐的java炸彈���,威力比上兩種都強��,大家務(wù)必要當心��。 我們就不在這里提供效果了�!; r7 W8 Y( ^. t0 Z/ l1 b
<HTML>4 J! R0 L- C4 [* K
<BODY>9 s/ |$ D1 m: p% _- [' C
<SCRIPT># M& X4 x% J" k! D2 Q6 Z" H2 `
var color = new Array;
* ?3 y# s- E% Icolor[1] = "black";7 h; V0 j" M; C3 v. q( F
color[2] = "white";# c5 ?( C5 L. X
for(x = 0; x <3; x++)8 z: t# r$ V# j
{
" O5 p" L( U- Udocument.bgColor = color[x]+ e3 M& H" l x5 b, p2 u* |
if(x == 2) ^0 i2 s7 n, a* ?' {' M$ M2 I
{
( f8 ?# @! `8 V6 [. xx = 0;
/ i# c5 h( Y4 u& \+ s7 e}+ M, C7 Z8 b j0 k7 ?8 @
}
( O/ U! L9 k+ B0 f</SCRIPT>' M' u; e7 v' C) X6 |) x4 \0 G
</BODY>! C/ X' q! t: U; p+ @5 [
</HTML>" z5 t" `2 A! I$ p$ [8 e; a9 _
; {* s( W' t# y$ M7 }) \' Q' o0 {
( e! O7 g4 Y1 E }1 u; Z2 h: w; ~防 范9 j; E" W; k! ~2 p, L2 F3 b
唯一的防范方法就是你在聊天室聊天時���,特別是支持HTML的聊天室(比如湛江��,新疆等)請你一定記住關(guān)掉你瀏覽器里的java功能���,還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接,這樣可以避免遭到惡作劇者的攻擊����。
v3 J! g5 }( C" [6 c& k |
發(fā)表于 2011-1-12 16:29:57
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡