攻擊軟件原理與防范

特洛伊木馬 原  理
7 ]) Q7 j7 R8 m" ^; l4 \" t: j          BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序，黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序，一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進入并控制遠程的Windows的微機。
    其工作原理：Boserve.exe在對方的電腦中運行后，自動在win里注冊并隱藏起來，控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方。
   網(wǎng)上更有一些害人蟲將木馬程序和其他應(yīng)用程序結(jié)合起來發(fā)送給攻擊者，只要對方運行了那個程序，木馬一樣的會駐留到windwos系統(tǒng)中。
* T+ H/ i; a! M! ~6 t$ c8 V6 q      BO本質(zhì)上屬于客戶機/服務(wù)器應(yīng)用程序。它通過一個極其簡單的圖形用戶界面和控制面板，可以對感染了BO（即運行了 BO服務(wù)器）的機器操作Windows本身具備的所有功能。
( Y& h% N8 P& x2 w* @# A) G   這個僅有123K的程序，水平一流，令那些復(fù)雜而龐大的商用遠程管理 軟件相形見絀。而真正可怕的是：BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug，也沒有利用任何微軟未公開的內(nèi)部API，而完全是利用Windows系統(tǒng)的基本設(shè)計缺陷。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋。
! B; c" l2 U( A8 T' m9 c      BO服務(wù)器可通過網(wǎng)上下載、電子郵件、盜版光盤、人為投放等途徑傳播，并且可極其隱藏地粘貼在其他應(yīng)用程序。一旦激活，就可以自動安裝，創(chuàng)建Windll.dll，然后刪除自安裝程序，埋名隱姓，潛伏在機器中。外人就可通過BO客戶機程序，方便地搜索到世界上任何一臺被BO感染并上網(wǎng)的計算機IP地址。通過IP地址就可對其輕易實現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能。
    可獲取包括網(wǎng)址口令、撥號上網(wǎng)口令、用戶口令、磁盤、CPU，軟件版本等詳細的系統(tǒng)信息；可刪除、復(fù)制、檢查、查看文件；可運行機內(nèi)任何一個程序；可捕捉屏幕信息；可上傳各種文件；可以查閱、創(chuàng)建、刪除和修改系統(tǒng)注冊表；甚至可以使計算機重新啟動或鎖死機器。而所有這些功能的實現(xiàn)，只需在菜單中作一選擇，輕摁一鍵，就可輕松完成。 除了BO外，還有很多原理和它差不多的特洛伊木馬程序，例如：【NetSpy】【Netbus】等。

. O4 S( H. G5 m. [% E8 m$ m( Z, E防   范
      不要隨便運行不太了解的人給你的程序，特別是后綴名為exe的可執(zhí)行程序。特洛伊木馬程序很多，它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k)，如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件，運行時可要小心了。運行后如果程序突然消失，或者是無任何反應(yīng)，那你很可能是被攻擊了。這時候你的電腦就完全被別人所控制，他可以復(fù)制，刪除甚至運行你電腦里的文件和程序。這時你只要到注冊表里去修改一下就可以消滅它：運行注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值，將其刪除，重新啟動你的計算機然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了?；蛴米钚掳姹镜臍⒍拒浖?，如瑞星90（11），KV300等，你也可以下載一些專門掃除特洛伊木馬的軟件。

如何防范Back Orifice2000
, g# g$ G+ X8 Y   對于95和98的用戶：
     檢查c:\windows\system目錄下是否有UMGR32~1.exe文件，如果有的話請運行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除，Reboot你的機器，然后Delete你硬盤上的這個文件。
     對于NT的用戶：
. f* q8 @( y1 R7 A     檢查winnt\system32目錄下是否有UMGR32~1.exe這個文件，如果有的話請先在任務(wù)管理器中對應(yīng)的進程Kill掉再運行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service，然后Delete it，最好Reboot一次你的機器
! V+ g/ _- o, d& z1 O, G
  \' h4 ~5 c) ^  K; z0 C郵件炸彈 原  理
# E% F4 C& A$ A% g' I; D        E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法，一般的電子郵箱的容量在5，6M以下，平時大家收發(fā)郵件，傳送軟件都會覺得容量不夠，如果電子郵箱一下子被幾百，幾千甚至上萬封電子郵件所占據(jù)，這是電子郵件的總?cè)萘烤蜁^電子郵箱的總?cè)萘?，以至造成郵箱超負荷而崩潰?！緆aboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈。
& t! a* X% a# A1 |1 o
6 k5 c; s3 k' [6 z1 l% q防   范
    ⒈不要將自己的郵箱地址到處傳播，特別是申請上網(wǎng)帳號時ISP送的電子信箱，那可是要按字節(jié)收費的喲！去申請幾個免費信箱對外使用，隨便別人怎么炸，大不了不要了。
1 \6 z7 z$ d" G4 t( v6 r
    ⒉最好用POP3收信，你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook，你可以選擇“工具”/“收件箱助理”，然后點擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除，根本不下載到計算機上，可以在郵件條件框中將“大于”選中，然后輸入1024，接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了。
. _/ W3 j: R6 i% E: U! {) ?$ x: L
    ⒊當(dāng)某人不停炸你信箱時，你可以先打開一封信，看清對方地址，然后在收件工具的過濾器中選擇不再接收這地址的信，直接從服務(wù)器刪除。
" E. k) m( k2 ]4 }
+ T3 u/ D3 `% r; `+ v+ Y" C8 i" m+ w1 V    ⒋在收信時，一旦看見郵件列表的數(shù)量超過平時正常郵件的數(shù)量的若干倍，應(yīng)當(dāng)馬上停止下載郵件，然后再從服務(wù)器刪除炸彈郵件。（要用下面提到的工具）

    ⒌不要認為郵件發(fā)送有個回復(fù)功能，就可以將發(fā)炸彈的人報復(fù)回來，那是十分愚蠢的！發(fā)件人有可能是用的假地址發(fā)信，這個地址也許填得與收件人地址相同。這樣你不但不能回報對方，還會使自己的郵箱徹底完結(jié)！

   ⒍你還可以用一些工具軟件防止郵件炸彈，下面本站就提供一個供大家下載：

【echom201】這是一個功能強大的砍信機，每分鐘能砍到1000封電子郵件，是對付郵件炸彈的好東西

端口攻擊 原  理
     這類軟件是利用Window95/NT系統(tǒng)本身的漏洞，這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個例外處理程序OOB（Out of Band）有關(guān)。只要對方以O(shè)OB的方式，就可以通過TCP/IP傳遞一個小小的封包到某個IP地址的Port139上，該地址的電腦系統(tǒng)即（WINDOWS95/NT）就會“應(yīng)封包而死”，自動重新開機，你未存檔的所有工作就得重新再做一遍了。
. c& S$ }1 i1 r' d! I      你一定會問這個封包到底里面是些什么？會有如此神奇的效果！這不過是一些很小的ICMP（Internet Control Message Protocolata）碎片，當(dāng)你機器收到這份“禮物”時，你的系統(tǒng)會不停地試圖把碎片恢復(fù)，當(dāng)然這是不可能的，它怎么會這樣便宜你了！于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機！而你就只有重新啟動。
      其實，并不只是Port139會出現(xiàn)問題，只要是使用OOB的開放接受端，都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形。例如，Identel所用的Port113，據(jù)說收到同樣的封包也會出問題。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】。如果你還是用的win95，那您就要當(dāng)心了。

3 ^$ ~7 {& X- `防   范
7 Q0 a  p6 r5 }# u, l* o9 j      將你的Windows95馬上升級到Windows98，首先修正Win95的BUG，在微軟主頁的附件中有對于Win95和OSR2以前的版本的補丁程序，Win98不需要。然后學(xué)會隱藏自己的IP，包括將ICQ中"IP隱藏"打開，注意避免在會顯示IP的BBS和聊天室上暴露真實身份，特別在去黑客站點訪問時最好先運行隱藏IP的程序。
. _# `+ P( D" B5 c" s  `+ _( X1 }
) c2 b' B: r' |2 |JAVA 炸彈 原  理
     很多網(wǎng)友在聊天室中被炸了以后，就以為是被別人黑了，其實不是的。炸彈有很多種，有的是造成電腦直接死機，有的是通過HTML語言，讓你的瀏覽器吃完你的系統(tǒng)資源，然后你就死機了。 這里我就告訴大家?guī)讉€java炸彈的原理：
* [, x" ^- B2 n& B) i$ r' n
2 Z9 j1 `) J6 ?/ ?  r第一個炸彈是javascript類型的炸彈：
<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">
這個 javascript語言要求瀏覽在新窗口中再打開本頁。新的頁面被打開以后就會同樣提出要求，于是瀏覽器不停地打開新窗口，沒幾秒鐘你就死機了。就算是不死機，你也必須把瀏覽器中內(nèi)存中驅(qū)除出去，這樣，你就被踢出了網(wǎng)絡(luò)。

下面分析一下這個HTML語言的原理。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ，javascript 是定義運行此語言，n=1 是定義變量 n 等于 1 ， do{ }while(n==1) 指當(dāng) n 等于 1 ，的時候運行{ }中間的命令，window.open('') 指打開本窗口，整個語言的意思是，變量 n 賦值為 1 ，如果 n 等于 1 ，那么就打開一個窗口，而 n 永遠等于 1 ，就不停地打開新的窗口。

同樣道理，也可以利用無限循環(huán)的原理看看其他的炸彈。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的，你可以在網(wǎng)頁中加入以下的 javascript 語言：
- ?3 v  p; d; x& E/ N; w$ U8 e<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿，你死定了！");}while(n==1)</SCRIPT>

9 o+ ~+ D' k7 |# H/ _下面介紹一個1999年5月才出爐的java炸彈，威力比上兩種都強，大家務(wù)必要當(dāng)心。 我們就不在這里提供效果了！
<HTML>
<BODY>
9 h& X  J  P+ A<SCRIPT>
: f3 r' v' e6 ~- S5 R3 c1 Evar color = new Array;
' b: B, E' x7 R$ I; C, l( `% \5 Vcolor[1] = "black";
color[2] = "white";
! i. R) F& U1 O$ p" V+ [: Nfor(x = 0; x <3; x++)
{
' n( Z) N9 V$ I8 Z, e0 l6 Udocument.bgColor = color[x]
if(x == 2)
{
x = 0;
% n) b3 Y3 i5 F. \  K1 g6 I}
6 q  u& j" j& m4 p* ]' _}
8 g: P# m) ^, t</SCRIPT>
</BODY>
6 b; P4 l4 ^; m; S" R) f/ C* J* e4 a</HTML>
, D) n5 `1 c/ I

$ g; T2 G* \7 W防   范
- l) ^' A$ {9 Y$ {2 A  N* b5 L3 U    唯一的防范方法就是你在聊天室聊天時，特別是支持HTML的聊天室（比如湛江，新疆等）請你一定記住關(guān)掉你瀏覽器里的java功能，還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接，這樣可以避免遭到惡作劇者的攻擊。
$ H2 F7 ?2 g+ R$ p/ Q