特洛伊木馬 原 理
: Y) L: H( f, y! i" Q6 j BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序���,黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序,一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進(jìn)入并控制遠(yuǎn)程的Windows的微機(jī)。* B' h$ @, G2 S8 T9 ^$ W Z
其工作原理:Boserve.exe在對(duì)方的電腦中運(yùn)行后��,自動(dòng)在win里注冊(cè)并隱藏起來�,控制者在對(duì)方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對(duì)方。
y8 k3 {& n$ Y, J 網(wǎng)上更有一些害人蟲將木馬程序和其他應(yīng)用程序結(jié)合起來發(fā)送給攻擊者����,只要對(duì)方運(yùn)行了那個(gè)程序,木馬一樣的會(huì)駐留到windwos系統(tǒng)中�。
, E, \/ M) d0 [: J- g& ~ BO本質(zhì)上屬于客戶機(jī)/服務(wù)器應(yīng)用程序。它通過一個(gè)極其簡單的圖形用戶界面和控制面板�,可以對(duì)感染了BO(即運(yùn)行了 BO服務(wù)器)的機(jī)器操作Windows本身具備的所有功能。
7 c# m& S: o5 k! n* q$ U 這個(gè)僅有123K的程序�����,水平一流�����,令那些復(fù)雜而龐大的商用遠(yuǎn)程管理 軟件相形見絀�����。而真正可怕的是:BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug�,也沒有利用任何微軟未公開的內(nèi)部API���,而完全是利用Windows系統(tǒng)的基本設(shè)計(jì)缺陷��。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋����。
; c0 l+ M: }6 P BO服務(wù)器可通過網(wǎng)上下載、電子郵件�、盜版光盤、人為投放等途徑傳播�,并且可極其隱藏地粘貼在其他應(yīng)用程序。一旦激活�����,就可以自動(dòng)安裝����,創(chuàng)建Windll.dll,然后刪除自安裝程序��,埋名隱姓����,潛伏在機(jī)器中。外人就可通過BO客戶機(jī)程序,方便地搜索到世界上任何一臺(tái)被BO感染并上網(wǎng)的計(jì)算機(jī)IP地址��。通過IP地址就可對(duì)其輕易實(shí)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能����。
- L, c' q, O' c' H6 }8 i 可獲取包括網(wǎng)址口令、撥號(hào)上網(wǎng)口令����、用戶口令、磁盤�、CPU,軟件版本等詳細(xì)的系統(tǒng)信息�����;可刪除�、復(fù)制、檢查��、查看文件�����;可運(yùn)行機(jī)內(nèi)任何一個(gè)程序�����;可捕捉屏幕信息���;可上傳各種文件�����;可以查閱��、創(chuàng)建�、刪除和修改系統(tǒng)注冊(cè)表����;甚至可以使計(jì)算機(jī)重新啟動(dòng)或鎖死機(jī)器。而所有這些功能的實(shí)現(xiàn)�,只需在菜單中作一選擇,輕摁一鍵�,就可輕松完成。 除了BO外���,還有很多原理和它差不多的特洛伊木馬程序�����,例如:【NetSpy】【Netbus】等�����。
1 Q! Z: Q w* I0 T/ B( c$ A. ~/ X y, q& n4 }
防 范
5 f' t3 |. L) E6 J 不要隨便運(yùn)行不太了解的人給你的程序���,特別是后綴名為exe的可執(zhí)行程序�。特洛伊木馬程序很多����,它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k),如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件���,運(yùn)行時(shí)可要小心了����。運(yùn)行后如果程序突然消失���,或者是無任何反應(yīng)��,那你很可能是被攻擊了�。這時(shí)候你的電腦就完全被別人所控制���,他可以復(fù)制�,刪除甚至運(yùn)行你電腦里的文件和程序��。這時(shí)你只要到注冊(cè)表里去修改一下就可以消滅它:運(yùn)行注冊(cè)表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值��,將其刪除��,重新啟動(dòng)你的計(jì)算機(jī)然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了��?����;蛴米钚掳姹镜臍⒍拒浖?�,如瑞星90(11)�����,KV300等����,你也可以下載一些專門掃除特洛伊木馬的軟件。
) I8 A3 x* _: A) P" W, y- w4 Y7 o D8 s: ~. @$ ^8 A+ S/ C
如何防范Back Orifice2000
8 C; f' r, z8 y- J 對(duì)于95和98的用戶:
; p. }' D8 M/ X9 A# S 檢查c:\windows\system目錄下是否有UMGR32~1.exe文件�����,如果有的話請(qǐng)運(yùn)行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除,Reboot你的機(jī)器���,然后Delete你硬盤上的這個(gè)文件�。
; q0 Y+ ]& _: z( o$ \8 ] 對(duì)于NT的用戶:% o" C- M6 A$ ]8 M
檢查winnt\system32目錄下是否有UMGR32~1.exe這個(gè)文件��,如果有的話請(qǐng)先在任務(wù)管理器中對(duì)應(yīng)的進(jìn)程Kill掉再運(yùn)行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service��,然后Delete it����,最好Reboot一次你的機(jī)器
$ ~; O4 [' P0 b, v1 W- v; y4 s6 x2 ?7 n7 T. d6 @
郵件炸彈 原 理# W. J0 {, d/ g% m
E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法,一般的電子郵箱的容量在5�,6M以下,平時(shí)大家收發(fā)郵件�,傳送軟件都會(huì)覺得容量不夠,如果電子郵箱一下子被幾百���,幾千甚至上萬封電子郵件所占據(jù)���,這是電子郵件的總?cè)萘烤蜁?huì)超過電子郵箱的總?cè)萘浚灾猎斐舌]箱超負(fù)荷而崩潰����?!緆aboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈���。
! J: _$ h! G$ E P) M# }7 _3 O: G
$ O: f9 w* {8 t* v; q9 z0 S, O" Z防 范# j9 X4 G$ z( [7 I2 @
⒈不要將自己的郵箱地址到處傳播,特別是申請(qǐng)上網(wǎng)帳號(hào)時(shí)ISP送的電子信箱�,那可是要按字節(jié)收費(fèi)的喲!去申請(qǐng)幾個(gè)免費(fèi)信箱對(duì)外使用���,隨便別人怎么炸����,大不了不要了�����。
' Y) t1 ^- p% d) y$ f' ?6 v P( I, \& h S7 l8 f
⒉最好用POP3收信����,你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook���,你可以選擇“工具”/“收件箱助理”�,然后點(diǎn)擊“添加”在屬性窗口可以設(shè)定對(duì)各種條件的Email的處理方式。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除����,根本不下載到計(jì)算機(jī)上,可以在郵件條件框中將“大于”選中�,然后輸入1024,接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了�����。- S$ j1 V' `3 |9 O! A! T; j6 ~( e
* p# E- y) j, @& s4 Z8 H3 K o
⒊當(dāng)某人不停炸你信箱時(shí)�����,你可以先打開一封信�����,看清對(duì)方地址�����,然后在收件工具的過濾器中選擇不再接收這地址的信�����,直接從服務(wù)器刪除。9 J6 l3 h/ w9 k! V2 R. V/ i
- M0 U* K6 h+ Q' t% _
⒋在收信時(shí)����,一旦看見郵件列表的數(shù)量超過平時(shí)正常郵件的數(shù)量的若干倍,應(yīng)當(dāng)馬上停止下載郵件�,然后再從服務(wù)器刪除炸彈郵件。(要用下面提到的工具)
7 K& x1 F- K& m9 _2 d) z' V2 ~$ F5 ] p3 U7 c# p# S& }
⒌不要認(rèn)為郵件發(fā)送有個(gè)回復(fù)功能�����,就可以將發(fā)炸彈的人報(bào)復(fù)回來����,那是十分愚蠢的�!發(fā)件人有可能是用的假地址發(fā)信,這個(gè)地址也許填得與收件人地址相同�����。這樣你不但不能回報(bào)對(duì)方�,還會(huì)使自己的郵箱徹底完結(jié)!& T. w7 e1 U q, H
$ C3 p5 y: M2 ?
⒍你還可以用一些工具軟件防止郵件炸彈���,下面本站就提供一個(gè)供大家下載:" V6 M* c6 z% d t. G
2 a6 m) g) q3 K' s- K9 I) q【echom201】這是一個(gè)功能強(qiáng)大的砍信機(jī)����,每分鐘能砍到1000封電子郵件,是對(duì)付郵件炸彈的好東西
9 q- P K/ n$ B- E
: j& {2 ?) o) X1 Y+ B端口攻擊 原 理
. ]$ ]0 {3 V% m# j' y5 V 這類軟件是利用Window95/NT系統(tǒng)本身的漏洞���,這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個(gè)例外處理程序OOB(Out of Band)有關(guān)��。只要對(duì)方以O(shè)OB的方式���,就可以通過TCP/IP傳遞一個(gè)小小的封包到某個(gè)IP地址的Port139上,該地址的電腦系統(tǒng)即(WINDOWS95/NT)就會(huì)“應(yīng)封包而死”�����,自動(dòng)重新開機(jī)���,你未存檔的所有工作就得重新再做一遍了���。" y/ s3 J3 ^# j; f0 d( ~& ^0 k
你一定會(huì)問這個(gè)封包到底里面是些什么?會(huì)有如此神奇的效果�!這不過是一些很小的ICMP(Internet Control Message Protocolata)碎片,當(dāng)你機(jī)器收到這份“禮物”時(shí)�,你的系統(tǒng)會(huì)不停地試圖把碎片恢復(fù),當(dāng)然這是不可能的,它怎么會(huì)這樣便宜你了����!于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機(jī)!而你就只有重新啟動(dòng)���。
5 @4 H: @- ~1 `1 T- V& h 其實(shí)����,并不只是Port139會(huì)出現(xiàn)問題����,只要是使用OOB的開放接受端,都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形�。例如�,Identel所用的Port113,據(jù)說收到同樣的封包也會(huì)出問題�。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】。如果你還是用的win95���,那您就要當(dāng)心了���。% l. P f& D8 p4 l/ _' a5 O! `6 H
& H9 ]9 a5 V6 ^( F) j防 范* A0 c& E; |2 I+ m! a
將你的Windows95馬上升級(jí)到Windows98,首先修正Win95的BUG,在微軟主頁的附件中有對(duì)于Win95和OSR2以前的版本的補(bǔ)丁程序�����,Win98不需要����。然后學(xué)會(huì)隱藏自己的IP,包括將ICQ中"IP隱藏"打開�,注意避免在會(huì)顯示IP的BBS和聊天室上暴露真實(shí)身份,特別在去黑客站點(diǎn)訪問時(shí)最好先運(yùn)行隱藏IP的程序�����。# _* {/ ~5 h D6 I% X- b3 ^
( P: I4 ~9 g0 n4 Y! X' l
JAVA 炸彈 原 理
+ c. y( N% [8 ^6 T 很多網(wǎng)友在聊天室中被炸了以后��,就以為是被別人黑了����,其實(shí)不是的。炸彈有很多種����,有的是造成電腦直接死機(jī),有的是通過HTML語言���,讓你的瀏覽器吃完你的系統(tǒng)資源��,然后你就死機(jī)了�����。 這里我就告訴大家?guī)讉€(gè)java炸彈的原理:
& t" D1 |3 H3 u! G* P8 V* Q# E! m" j
第一個(gè)炸彈是javascript類型的炸彈:
1 T4 b8 n5 j7 ^2 Y<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1"># c' H% [- Y1 A& c/ G
這個(gè) javascript語言要求瀏覽在新窗口中再打開本頁����。新的頁面被打開以后就會(huì)同樣提出要求,于是瀏覽器不停地打開新窗口�,沒幾秒鐘你就死機(jī)了。就算是不死機(jī)���,你也必須把瀏覽器中內(nèi)存中驅(qū)除出去���,這樣,你就被踢出了網(wǎng)絡(luò)��。
, D0 a+ l; J, w2 A/ |/ i% `; E" ~& Z0 ^+ @
下面分析一下這個(gè)HTML語言的原理�����。 分析 "javascript:n=1;do{window.open('')}while(n==1)" �,javascript 是定義運(yùn)行此語言,n=1 是定義變量 n 等于 1 ��, do{ }while(n==1) 指當(dāng) n 等于 1 ����,的時(shí)候運(yùn)行{ }中間的命令,window.open('') 指打開本窗口�����,整個(gè)語言的意思是��,變量 n 賦值為 1 �,如果 n 等于 1 ,那么就打開一個(gè)窗口����,而 n 永遠(yuǎn)等于 1 ,就不停地打開新的窗口�����。8 _1 c& G |, e$ F, V1 H r
f% D! B- y8 n+ F4 j( F
同樣道理���,也可以利用無限循環(huán)的原理看看其他的炸彈��。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的����,你可以在網(wǎng)頁中加入以下的 javascript 語言:
7 @0 r l+ w# N! I<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿,你死定了�����!");}while(n==1)</SCRIPT>
8 d% N; F; l9 B; F. J; j; _. i1 P6 K$ r: b4 N
下面介紹一個(gè)1999年5月才出爐的java炸彈����,威力比上兩種都強(qiáng),大家務(wù)必要當(dāng)心�。 我們就不在這里提供效果了!
0 I. S P' r' a. z) q/ b9 v+ n<HTML>
* a7 u# O0 S- }( n<BODY>
) l, G. J p8 E& x<SCRIPT>5 ?( {. P/ n0 F& t& t
var color = new Array;) H% ?# b6 Y6 u2 L; P( z, W, s. B
color[1] = "black";; r) f7 C q$ [0 g2 D# B
color[2] = "white";: a n8 J0 M3 o! i
for(x = 0; x <3; x++)5 k1 P/ f8 T2 T8 s' I
{
# [/ F8 R# Y4 k7 Y" d+ z% D- O- Sdocument.bgColor = color[x]
+ k- x/ [/ L) G5 pif(x == 2)3 b! p' C/ R* A. I& H8 v1 f
{1 v8 d( i4 U! W) t5 s
x = 0;
1 b$ y) m2 S. @# s" e$ h% w}
+ w% u+ S4 x4 E, _}! ?9 F- z# h; M* G& V
</SCRIPT>
: ?4 F# N4 J! ~: N/ u</BODY>- z+ G6 [# b$ u: Y( z2 q" N# K
</HTML>
0 S3 S: I7 x$ l/ I5 P* F$ @; \, I. Y. i, C6 [
. p4 J4 x. w4 W+ h# c防 范. [/ k$ Z3 _ i. |. x( z
唯一的防范方法就是你在聊天室聊天時(shí)�����,特別是支持HTML的聊天室(比如湛江�����,新疆等)請(qǐng)你一定記住關(guān)掉你瀏覽器里的java功能����,還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級(jí)鏈接,這樣可以避免遭到惡作劇者的攻擊���。: k+ [: S9 C# r, n+ d8 \2 l
|
發(fā)表于 2011-1-12 16:29:57
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡