特洛伊木馬 原 理+ z3 @( q3 {6 Z! H
BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序�,黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序�,一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進入并控制遠程的Windows的微機。
6 k) I" _, ^: k! b) Y 其工作原理:Boserve.exe在對方的電腦中運行后����,自動在win里注冊并隱藏起來�����,控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方�。
9 z" _; V0 c5 H0 X, W3 X: }. X 網(wǎng)上更有一些害人蟲將木馬程序和其他應(yīng)用程序結(jié)合起來發(fā)送給攻擊者�����,只要對方運行了那個程序��,木馬一樣的會駐留到windwos系統(tǒng)中����。
, `( Y7 B; {8 \' U2 t( T2 Z* D8 T BO本質(zhì)上屬于客戶機/服務(wù)器應(yīng)用程序。它通過一個極其簡單的圖形用戶界面和控制面板�,可以對感染了BO(即運行了 BO服務(wù)器)的機器操作Windows本身具備的所有功能。' [; C2 q$ V: Y2 O+ J) y/ k
這個僅有123K的程序��,水平一流���,令那些復(fù)雜而龐大的商用遠程管理 軟件相形見絀��。而真正可怕的是:BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug���,也沒有利用任何微軟未公開的內(nèi)部API�����,而完全是利用Windows系統(tǒng)的基本設(shè)計缺陷����。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋��。. v3 S( p$ d5 b4 ?. x" w4 \
BO服務(wù)器可通過網(wǎng)上下載�����、電子郵件���、盜版光盤、人為投放等途徑傳播�����,并且可極其隱藏地粘貼在其他應(yīng)用程序�����。一旦激活����,就可以自動安裝�,創(chuàng)建Windll.dll�����,然后刪除自安裝程序�,埋名隱姓,潛伏在機器中��。外人就可通過BO客戶機程序����,方便地搜索到世界上任何一臺被BO感染并上網(wǎng)的計算機IP地址。通過IP地址就可對其輕易實現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能��。6 a4 [& O9 K! S1 f0 {: [( W# b
可獲取包括網(wǎng)址口令���、撥號上網(wǎng)口令���、用戶口令、磁盤�、CPU,軟件版本等詳細的系統(tǒng)信息�;可刪除�、復(fù)制�����、檢查���、查看文件��;可運行機內(nèi)任何一個程序��;可捕捉屏幕信息;可上傳各種文件��;可以查閱�����、創(chuàng)建�����、刪除和修改系統(tǒng)注冊表�����;甚至可以使計算機重新啟動或鎖死機器。而所有這些功能的實現(xiàn)�,只需在菜單中作一選擇,輕摁一鍵����,就可輕松完成。 除了BO外�,還有很多原理和它差不多的特洛伊木馬程序,例如:【NetSpy】【Netbus】等���。+ K( y, k; J5 m# S: |
9 q. e0 r) k' M' w: R4 o7 y防 范" X0 B/ p+ _) Y( _; C9 h
不要隨便運行不太了解的人給你的程序��,特別是后綴名為exe的可執(zhí)行程序����。特洛伊木馬程序很多�,它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k),如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件����,運行時可要小心了。運行后如果程序突然消失����,或者是無任何反應(yīng)����,那你很可能是被攻擊了�����。這時候你的電腦就完全被別人所控制���,他可以復(fù)制�,刪除甚至運行你電腦里的文件和程序����。這時你只要到注冊表里去修改一下就可以消滅它:運行注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值,將其刪除�����,重新啟動你的計算機然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了���。或用最新版本的殺毒軟件����,如瑞星90(11)�,KV300等��,你也可以下載一些專門掃除特洛伊木馬的軟件�。
2 a! H+ p# p1 C
/ w% l1 |( \ f如何防范Back Orifice20005 u- Z- k5 K1 t$ D+ x1 U
對于95和98的用戶:
! D0 X: o" c p1 D; d b 檢查c:\windows\system目錄下是否有UMGR32~1.exe文件,如果有的話請運行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除�����,Reboot你的機器�,然后Delete你硬盤上的這個文件。
: }1 s/ k" O: \1 f8 [8 I# i 對于NT的用戶:3 E T4 r# C% Q
檢查winnt\system32目錄下是否有UMGR32~1.exe這個文件���,如果有的話請先在任務(wù)管理器中對應(yīng)的進程Kill掉再運行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service�����,然后Delete it��,最好Reboot一次你的機器
4 F9 t" [% ~5 e, l5 N: M( T: u( V0 n% _3 u* [
郵件炸彈 原 理" K% v# g$ f( e. W! |) \3 X; `
E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法����,一般的電子郵箱的容量在5���,6M以下��,平時大家收發(fā)郵件��,傳送軟件都會覺得容量不夠�,如果電子郵箱一下子被幾百,幾千甚至上萬封電子郵件所占據(jù)���,這是電子郵件的總?cè)萘烤蜁^電子郵箱的總?cè)萘?���,以至造成郵箱超負荷而崩潰���?����!緆aboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈�。# c! v- p! }, d6 |2 z0 |7 A# B
9 S2 u7 k. C/ W7 y8 n
防 范
( |9 ?5 p8 Q: I ⒈不要將自己的郵箱地址到處傳播�,特別是申請上網(wǎng)帳號時ISP送的電子信箱�,那可是要按字節(jié)收費的喲!去申請幾個免費信箱對外使用�,隨便別人怎么炸,大不了不要了。% K" ?/ H. H8 b$ Y B$ d7 v" N9 u C
; h3 F1 q3 w! n& Q4 K. d ⒉最好用POP3收信����,你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook�����,你可以選擇“工具”/“收件箱助理”�,然后點擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除��,根本不下載到計算機上����,可以在郵件條件框中將“大于”選中,然后輸入1024���,接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了���。/ O; h: E$ ^8 V( q
( u8 Q2 t" ^2 Q5 { ⒊當某人不停炸你信箱時,你可以先打開一封信����,看清對方地址����,然后在收件工具的過濾器中選擇不再接收這地址的信���,直接從服務(wù)器刪除��。% s/ ?. B# _1 a3 t7 ^( i( L
: W! h! ^9 `1 Q$ A6 s4 o ⒋在收信時��,一旦看見郵件列表的數(shù)量超過平時正常郵件的數(shù)量的若干倍�����,應(yīng)當馬上停止下載郵件�,然后再從服務(wù)器刪除炸彈郵件�。(要用下面提到的工具)- k. {: ?8 y- R! s- C/ e1 a
1 o$ h1 h v w$ T# ~) w; T! ?; ]
⒌不要認為郵件發(fā)送有個回復(fù)功能,就可以將發(fā)炸彈的人報復(fù)回來�,那是十分愚蠢的!發(fā)件人有可能是用的假地址發(fā)信���,這個地址也許填得與收件人地址相同��。這樣你不但不能回報對方�,還會使自己的郵箱徹底完結(jié)�����! a; v; h; W$ X8 s' n" ?$ l
, G7 y S% r* t& b! H ⒍你還可以用一些工具軟件防止郵件炸彈����,下面本站就提供一個供大家下載:, H6 V9 e! {1 v# {! {
2 \& o. u& x |# M/ V+ Q
【echom201】這是一個功能強大的砍信機,每分鐘能砍到1000封電子郵件�,是對付郵件炸彈的好東西
1 K6 V- u, h7 L$ B8 }' O0 B# _& U. @5 U \+ z" Z) f3 P
端口攻擊 原 理5 i6 _0 ~! B) [1 f
這類軟件是利用Window95/NT系統(tǒng)本身的漏洞,這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個例外處理程序OOB(Out of Band)有關(guān)���。只要對方以O(shè)OB的方式�����,就可以通過TCP/IP傳遞一個小小的封包到某個IP地址的Port139上�����,該地址的電腦系統(tǒng)即(WINDOWS95/NT)就會“應(yīng)封包而死”���,自動重新開機,你未存檔的所有工作就得重新再做一遍了���。6 ?" ~0 `6 j3 A7 Y% ]+ Y
你一定會問這個封包到底里面是些什么�����?會有如此神奇的效果�!這不過是一些很小的ICMP(Internet Control Message Protocolata)碎片,當你機器收到這份“禮物”時���,你的系統(tǒng)會不停地試圖把碎片恢復(fù)����,當然這是不可能的�����,它怎么會這樣便宜你了�!于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機!而你就只有重新啟動�。% W' y- V3 Z' _* P$ ~# P
其實,并不只是Port139會出現(xiàn)問題�,只要是使用OOB的開放接受端,都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形����。例如,Identel所用的Port113,據(jù)說收到同樣的封包也會出問題��。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】��。如果你還是用的win95���,那您就要當心了。 J3 \! T5 H& Q! v
0 G. @# E" B r
防 范+ w P: _7 f% q! x2 S6 Y$ M
將你的Windows95馬上升級到Windows98�,首先修正Win95的BUG,在微軟主頁的附件中有對于Win95和OSR2以前的版本的補丁程序�����,Win98不需要����。然后學會隱藏自己的IP,包括將ICQ中"IP隱藏"打開��,注意避免在會顯示IP的BBS和聊天室上暴露真實身份�,特別在去黑客站點訪問時最好先運行隱藏IP的程序。
' P* F; d& j" i% @4 n7 m4 `+ K: h& q$ w8 V7 G6 W2 Q
JAVA 炸彈 原 理
9 J1 {0 @# @/ J 很多網(wǎng)友在聊天室中被炸了以后��,就以為是被別人黑了����,其實不是的���。炸彈有很多種,有的是造成電腦直接死機�����,有的是通過HTML語言���,讓你的瀏覽器吃完你的系統(tǒng)資源��,然后你就死機了�����。 這里我就告訴大家?guī)讉€java炸彈的原理:
0 s5 P: l# X# G2 m
?5 M) W0 b, Q. r第一個炸彈是javascript類型的炸彈: s+ ]8 A6 m x. a' W
<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">
% T* u& v' \' p3 B! c' c( c這個 javascript語言要求瀏覽在新窗口中再打開本頁�����。新的頁面被打開以后就會同樣提出要求�����,于是瀏覽器不停地打開新窗口��,沒幾秒鐘你就死機了�����。就算是不死機�,你也必須把瀏覽器中內(nèi)存中驅(qū)除出去,這樣�����,你就被踢出了網(wǎng)絡(luò)���。# H# E8 _, D: o/ H# l$ p
: @, X' q% s* n9 \% D7 y! {下面分析一下這個HTML語言的原理。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ��,javascript 是定義運行此語言��,n=1 是定義變量 n 等于 1 ���, do{ }while(n==1) 指當 n 等于 1 ��,的時候運行{ }中間的命令����,window.open('') 指打開本窗口,整個語言的意思是����,變量 n 賦值為 1 ,如果 n 等于 1 �����,那么就打開一個窗口����,而 n 永遠等于 1 ,就不停地打開新的窗口���。
: h$ [# x+ J; K' o \. U
6 s% y0 [8 }1 _7 N同樣道理����,也可以利用無限循環(huán)的原理看看其他的炸彈�����。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的�����,你可以在網(wǎng)頁中加入以下的 javascript 語言:& N- s7 {' o0 o* }- n
<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿,你死定了��!");}while(n==1)</SCRIPT>' n+ k( |) q$ Y/ c! Q! A) h
$ q2 f: |& v, D4 a% s8 i0 k1 ^ y- K下面介紹一個1999年5月才出爐的java炸彈�,威力比上兩種都強,大家務(wù)必要當心��。 我們就不在這里提供效果了���!9 u* L% U& S t+ e
<HTML>
: }. {9 }" i! v3 x9 t5 o2 y<BODY> i+ q3 W6 b/ S2 y! C
<SCRIPT> j/ O3 y+ r5 u3 G" C R
var color = new Array;
3 }, E, n( ~: Y" mcolor[1] = "black";
( |% M0 z% Q$ {1 m3 Ycolor[2] = "white";
7 H7 v& F' ^) s! k7 u# ?! zfor(x = 0; x <3; x++)
7 i+ t& P% D/ T% }7 o{. Y, t" N% }9 m; u
document.bgColor = color[x]
. L* M' J3 g& z- ^if(x == 2)
& {3 J6 k8 {. k: p0 z T{
) O9 ^0 D$ h! N9 H$ o( `x = 0;% E9 z* K. [' c' D3 }
}, `) B7 E2 O: v1 W v4 z
}
" t0 Y, s6 F# [7 s</SCRIPT>
3 V- n0 W; N; W: A) |1 K</BODY>+ U$ M4 F# J( d+ M# e9 M3 \
</HTML>+ C( ~/ Z# f) r" ]/ J4 e4 x
8 |6 I& r# g3 S& n6 j
' Z1 H/ M, R* J5 O! j" k& V防 范4 [- U2 ?8 b( [ A5 \- N/ D
唯一的防范方法就是你在聊天室聊天時����,特別是支持HTML的聊天室(比如湛江�����,新疆等)請你一定記住關(guān)掉你瀏覽器里的java功能����,還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接��,這樣可以避免遭到惡作劇者的攻擊���。& t$ m: h% e. A) A9 J( Y/ F" U8 Q
|
發(fā)表于 2011-1-12 16:29:57
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡