瑞星卡卡安全论坛技术交流区系统软件 【好文】上网操作1000问

12   1  /  2  页   跳转

【好文】上网操作1000问

【好文】上网操作1000问

黑客及防范
“他旁若无人地站在白宫走廊的一角,目光深邃。一台笔记本电脑与他寸步不离,他不时在键盘上敲下某些神秘的指令......”,当有“世界头号电脑黑客”之称的天才黑客凯文.米特尼克(Kevin.Mitnik)被克林顿总统邀请到白宫共商网络安全大计时,美国的一本著名周刊对这位有着传奇色彩的黑客进行了以上的描述。
2000年8月21日上午10时,国内企业海信集团宣布,悬赏50万,以集团下属公司——北京海信数码科技股份公司研制的8341防火墙向全球黑客挑战。但就在8月24日,海信公司网站主页被化名为“黑妹”的黑客黑掉。并且在其主页发表了一封致该公司副总裁的公开信。信中称,该公司这种行为“无非为了炒作。”并声称海信公司公布的是一个根本PING不通的IP地址,是对黑客极大侮辱。在最后以威胁性言语表示:“我现在勒令你:立即停止叫板,否则贵网站一年四季休得安宁!”
……
持续不断的有关事件的新闻,使得黑客这一特殊群体再一次引起了世人的关注。

黑客的定义及其危害
什么是黑客?
答:谈到网络安全问题,就没法不谈黑客(Hacker)。翻开1998年日本出版的《新黑客字典》,可以看到上面对黑客的定义是:“喜欢探索软件程序奥秘、并从中增长其个人才干的人。我可不是啊如果做朋友的可以共同讨论啊我的Q929230还是说正题吧他们不像绝大多数电脑使用者,只规规矩矩地了解别人指定了解的范围狭小的部分知识。”
“黑客”大都是程序员,他们对于操作系统和编程语言有着深刻的认识,乐于探索操作系统的奥秘且善于通过探索了解系统中的漏洞及其原因所在,他们恪守这样一条准则:“Never
damage any
system”(永不破坏任何系统)。他们近乎疯狂地钻研更深入的电脑系统知识并乐于与他人共享成果,他们一度是电脑发展史上的英雄,为推动计算机的发展起了重要的作用。那时候,从事黑客活动,就意味着对计算机的潜力进行智力上最大程度的发掘。国际上的著名黑客均强烈支持信息共享论,认为信息、技术和知识都应当被所有人共享,而不能为少数人所垄断。大多数黑客中都具有反社会或反传统的色彩,同时,另外一个特征是十分重视团队的合作精神。
显然,“黑客”一词原来并没有丝毫的贬义成分。直到后来,少数怀着不良的企图,利用非法手段获得的系统访问权去闯入远程机器系统、破坏重要数据,或为了自己的私利而制造麻烦的具有恶意行为特征的人(他们其实是“Crack”)慢慢玷污了“黑客”的名声,“黑客”才逐渐演变成入侵者、破坏者的代名词。
“他们瞄准一台计算机,对它进行控制,然后毁坏它。”——这是1995年美国拍摄第一部有关黑客的电影《战争游戏》中,对“黑客”概念的描述。
虽然现在对黑客的准确定义仍有不同的意见,但是,从信息安全这个角度来说,“黑客”的普遍含意是特指对电脑系统的非法侵入者。多数黑客都痴迷电脑,认为自己在计算机方面的天赋过人,只要自己愿意,就可毫无顾忌地非法闯入某些敏感的信息禁区或者重要网站,以窃取重要的信息资源、篡改网址信息或者删除该网址的全部内容等恶作剧行为作为一种智力的挑战而自我陶醉。
目前黑客已成为一个特殊的社会群体,在欧美等国有不少完全合法的黑客组织,黑客们经常召开黑客技术交流会,97年11月,在纽约就召开了世界黑客大会,与会者达四五千人之众。另一方面,黑客组织在因特网上利用自己的网站上介绍黑客攻击手段、免费提供各种黑客工具软件、出版网上黑客杂志。这使得普通人也很容易下载并学会使用一些简单的黑客手段或工具对网络进行某种程度的攻击,进一步恶化了网络安全环境。

黑客可以分为哪几种类型?
答:黑客通常可以分为以下几种类型:
1.好奇型
他们没有反社会色彩,只是在追求技术上的精进,
只在好奇心驱使下进行一些并无恶意的攻击,以不正当侵入为手段找出网络漏洞,他们在发现了某些内部网络漏洞后,会主动向网络管理员指出或者干脆帮助修补网络错误以防止损失扩大。他们能使更多的网络趋于完善和安全。
2.恶作剧型
闯入他人网站,以篡改、更换网站信息或者删除该网站的全部内容,并在被攻击的网站上公布自己的绰号,以便在技术上寻求刺激,炫耀自己的网络攻击能力。
3.隐密型
喜欢先通过种种手段把自己深深地隐藏起来,然后再以匿名身份从暗处实施主动网络攻击;有时干脆冒充网络合法用户,通过正常渠道侵入网络后再进行攻击。此类黑客大都技术高超、行踪无定,攻击性比较强。
4.定时炸弹型
极具破坏性的一种类型。为了达到个人目的,通过在网络上设置陷阱或事先在生产或网络维护软件内置入逻辑炸弹或后门程序,在特定的时间或特定条件下,根据需要干扰网络正常运行或致使生产线或者网络完全陷入瘫痪状态。
5. 重磅炸弹型
这种黑客凭借高超的黑客技术,利用高技术手段干扰竞争对手的正常商业行为。或者非法闯入军事情报机关的内部网络,干扰军事指挥系统的正常工作,窃取、调阅和篡改有关军事资料,使高度敏感信息泄密,意图制造军事混乱或政治动荡。

黑客有什么样的危害?
答:黑客对于窥视别人在网络上的秘密有着特别的兴趣,如政府和军队的机密、企业的商业秘密及个人隐私等均在他们的双目注视之下。他们的所作所为常常让人们为之瞠目:
1990年4月—1991年5月间,几名荷兰黑客自由进出美国国防部的34个站点如入无人之境,调出了所有包含“武器”、“导弹”等关键词的信息。严重的是,而美国国防部当时竟一无所知。
在1991年的海湾战争中,美国首次将信息战用于实战,但黑客很快就攻击了美国军方的网络系统。同时。黑客们将窃取到的部分美军机密文件提供给了伊拉克。
1996年9月18日,美国中央情报局的网页被一名黑客破坏,“中央情报局”被篡改成“中央愚蠢局” ……
据《今日美国报》报道,黑客每年给全球电脑网络带来的损失估计高达上百亿美元。
为了打击黑客的犯罪活动,美国政府计划成立一个由联邦调查局、中央情报局、司法局和商务部联合组成的特别小组,来保护美国的重要电脑系统不受恐怖分子的攻击。五角大楼筹划组建一个国家安全情报交流小组,以防止发生“电子珍珠港事件”。


二、黑客常用的攻击手段
在高速运行的Internet上,除了机器设备、通讯线路等硬件设施本身的可靠性问题之外,可以说每时每刻都受到潜在人为攻击的威胁,而这种攻击一旦成功,小则文件受损、商业机密泄漏,大至威胁国家安全。以下就是黑客通常都采用几种攻击手段:后门、炸弹攻击、拒绝服务攻击等。

什么是后门程序?
答:当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。
按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。
这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。想想看,如果黑客发现了你的服务器正运行着有后门的软件,结果将会怎样?!


炸弹攻击的原理是什么?
答:炸弹攻击的基本原理是利用特殊工具软件,在短时间内向目标机集中发送大量超出系统接收范围的信息或者垃圾信息,目的在于使对方目标机出现超负荷、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、逻辑炸弹、聊天室炸弹、特洛伊木马、网络监听等。

什么是邮件炸弹?
答:邮件炸弹攻击是各种炸弹攻击中最常见的攻击手段。现在网上的邮件炸弹程序很多,虽然它们的安全性不尽相同,但基本上都能保证攻击者的不被发现。任何一个刚上网的新手利用现成邮件炸弹工具程序,要实现这种攻击都是易如反掌的。
邮件炸弹造成的危害原理是这样的:由于接收邮件信息需要系统来处理,而且邮件的保存也需要一定的空间。所以,因邮件炸弹而导致的巨量邮件会大大加剧网络连接负担、消耗大量的存储空间,甚至溢出文件系统,这将会给Unix、Windows等许多操作系统形成威胁,除了操作系统有崩溃的危险之外,由于大量垃圾邮件集中涌来,将会占用大量的处理器时间与带宽,造成正常用户的访问速度急剧下降。而对于个人的免费邮箱来说,由于其邮箱容量是有限制的,邮件容量一旦超过限定容量(即邮箱被“撑爆”),系统就会拒绝服务。
有矛就会有盾,针对邮件炸弹的泛滥,一些对抗邮件炸弹的“砍信”软件开始应运而生(比如E-mail
Chomper等),这些“砍信”软件可以帮助你快速删除炸弹邮件。而各免费邮箱提供商也通过使用邮件过滤器等措施加强了这方面的防护。如果被攻击者能够及时发现遭受攻击的话,完全可以使用系统提供的邮件过滤器系统来拒绝接收此类邮件,但是,目前对于解决邮件炸弹的困扰还没有万全之策,应以预防为主。

什么是逻辑炸弹?
答:逻辑炸弹是指对计算机程序进行修改,使之在某种特定条件下触发,按某种特殊的方式运行。在不具备触发条件的情况下,逻辑炸弹深藏不露,系统运行情况良好,用户也感觉不到异常之处。但是,触发条件一旦被满足,逻辑炸弹就会“爆炸”。虽然它不能炸毁你的机器,但是可以严重破坏你的计算机里存储的重要数据,导致凝聚了你心血的研究、设计成果毁于一旦,或者自动生产线的瘫痪等严重后果。


什么是聊天室炸弹?
答:在聊天室里也相对容易受到炸弹攻击,不过还好,并不是所有的聊天室都支持炸弹,一般的聊天室炸弹有两种,一种是使用java-script编就的,只有在支持java-script的聊天室才可以使用它;另外一种炸弹是基于IP原理的,使用时需要知道对方的IP地址或者主机支持扩展邮件的标准。如果主机是Unix的,且支持扩展邮件标准,那么可以使用flash之类的软件去袭击他们,如果知道对方的IP地址,事情就更简单了,使对方的系统过载的软件简直不胜枚举。此外,还有浏览器炸弹和留言本炸弹等。当触发浏览器炸弹的时候,系统会打开无数的窗口,直到耗尽计算机的资源导致死机为止(也称“窗口炸弹”)。

什么是拒绝服务攻击?
答:拒绝服务攻击,也叫分布式D.O.S攻击(Distributed Denial Of
Service)。拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统,带宽资源,致使网络服务瘫痪的一种攻击手段。它的攻击原理是这样的:攻击者首先通过比较常规的黑客手段侵入并控制某个网站之后,在该网站的服务器上安装并启动一个可由攻击者发出的特殊指令来进行控制的进程。当攻击者把攻击对象的IP地址作为指令下达给这些进程的时候,这些进程就开始对目标主机发起攻击。这种方式集中了成百上千台服务器的带宽能力,对某个特定目标实施攻击,所以威力惊人,在这种悬殊的带宽对比下,被攻击目标的剩余带宽会迅速耗尽,从而导致服务器的瘫痪。当黑客于1999年8月17

攻击美国明尼苏达大学的时候就采用了一个典型的拒绝服务攻击工具Trin00,攻击包从被Trin00控制的至少227个主机源源不断地送到明尼苏达大学的服务器,造成其网络严重瘫痪达48小时。在一定时间内,彻底使被攻击的网络丧失正常服务功能,这种攻击手法为
DDoS,即分布式拒绝服务攻击

拒绝服务攻击工具Trin00有何特点?
答: Trin00是一个基于UDP flood的比较成熟攻击软件,运行环境为Unix或NT。
它通过向被攻击目标主机的随机端口发送超出其处理能力的UDP包, 致使被攻击主机的带宽被大量消耗,直至不能提供正常服务甚至崩溃。
Trin00由以下三个模块组成:客户端(如Telnet之类的连接软件)、攻击控制进程(MASTER)、攻击守护进程(NS)
。其中,攻击守护进程NS是具体实施攻击的程序,它一般和攻击控制进程(MASTER)所在主机分离。
黑客先通过主机系统漏洞将大量NS植入有漏洞主机里。当NS运行时,会首先向攻击控制进程(MASTER)所在主机的31335端口发送内容为HELLO的UDP包,随后,攻击守护进程即对端口27444处于检测状态,等待MASTER攻击指令的到来。
MASTER在正确输入默认密码后开始启动,它一方面侦听端口31335,等待攻击守护进程的HELLO包,另一方面侦听端口27665,等待客户端对其的连接。当客户端连接成功并发出指令时,
MASTER所在主机将向攻击守护进程ns所在主机的27444端口传递指令。
当客户端完成了与MASTER所在主机的27665端口的连接后,即开始进入预备攻击控制状态。

你以为自己的密码很安全吗?
答:只要我们需要上网冲浪,那么就少不了一系列的密码:拨号上网需要密码,收取电子邮件需要密码,进入免费电子信箱要密码、进入网络社区也要密码,使用ICQ、OICQ还是离不开密码......众所周知,在Win9X下,我们的用户密码通常被保存为*.pwl文件。而*.pwl文件就安全了吗?不!在网上就可以找到不少可以直接读取*.pwl文件的小工具。另外,拿用于拨号上网的应用软件来说,我们输入的密码虽然显示为“*”号,但也同样有许多工具(比如PwdView)可以看到用“*”号后面隐藏的秘密。再比如说,当黑客通过某种手段知道了你上传网页的FTP密码以后,就可以很轻易地黑掉你的主页。所以说,通常我们密码的安全性并没有我们想象的那么高。

哪几类密码最危险?
答:通常不很安全的密码主要有以下几种:
第一类:使用用户名/帐号作为密码。虽然这种密码很方便记忆,可是其安全几乎为0。因为几乎所有以破解密码为手段的黑客软件,都首先会将用户名作为破解密码的突破口,而破解这种密码的速度极快,这就等于为黑客的入侵提供了敞开着的大门。
第二类:使用用户名/帐号的变换形式作为密码。
将用户名颠倒或者加前后缀作为密码,虽然容易记忆又可以使一部分初级黑客软件一筹莫展。但是,现在已经有专门对付这类密码的黑客软件了。
第三类:使用纪念日作为密码。这种纯数字的密码破解起来几乎没有什么难度可言。
第四类:使用常用的英文单词作为密码。尤其是如果选用的单词是十分偏僻的,那么这种方法远比前几种方法都要安全。但是,对于有较大的字典库的黑客来说,破解它也并不那么太困难。
第五类:使用5位或5位以下的字符作为密码。5位的密码是很不可靠的,而6位密码也不过将破解的时间延长到一周左右。
比较安全的密码首先必须是8位长度,其次必须包括大小写、数字字母,如果有特殊控制符最好,最后就是不要太常见。比如说:d9C&v6Q0这样的密码就是相对比较安全的,如果再坚持每隔几个月更换一次密码,那就更安全了。另外,还要注意最好及时清空自己的临时文件,上网拨号的时候不选择“保存密码”,在浏览网页输入密码的时候不让浏览器记住自己的密码等。

黑客破解密码的穷举法是怎么回事?
答:穷举法对于纯数字密码(比如以出生日期或者电话号码作为密码)有很好的破解效果,但是包含字母的密码不适合这种方式。。穷举法的原理逐一尝试数字密码的所有排列组合,虽然效率最低,但很可靠,所以又有暴力法破解之称。纯数字密码是很不可靠的,为什么呢?
因为即使是完全穷举,6位数字密码的极限也只有100万种,
如果使用密码破解工具NoPassword,在网络畅通的情况下不出一天即可穷举完毕。而即使是使用8位纯数字密码,只要破解时间稍长,也难保安全。

黑客破解密码的字典法是怎么回事?
答:字典法的工作原理是这样的:由于网络用户通常采用某些英文单词或者自己姓名的缩写作为密码,所以就先建立一个包含巨量英语词汇和短语、短句的可能的密码词汇字典(也称“字典档”),然后使用破解软件去一一尝试,如此循环往复,直到找出正确的密码,或者将密码词汇字典里的所有单词试完一遍为止。这种破解密码方法的效率远高于穷举法,因此大多数密码破解软件都支持这种破解方法。


黑客破解密码的猜测法是怎么回事?
答:猜测法依靠的是经验和对目标用户的熟悉程度。现实生活中,很多人的密码就是姓名汉语拼音的缩写和生日的简单组合。甚至还有人用最危险的密码——与用户名相同的密码!这时候,猜测法拥有最高的效率。

什么是特洛伊木马?
答:特洛伊木马是指一个程序表面上在执行一个任务,实际上却在执行另一个任务。黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能。例如,拷贝、删除文件、格式化硬盘、甚至发电子邮件。典型的特洛伊木马是窃取别人在网络上的帐号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入帐号和口令,然后将帐号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。用户还以为自己输错了,再试一次时,已经是正常的登录了,用户也就不会有怀疑。其实,特洛伊木马已完成了任务,躲到一边去了。更为恶性的特洛伊木马则会对系统进行全面破坏。
特洛伊木马法最大的缺陷在于,必须先想方设法将木马程序植入到用户的机器中去。这也是为什么建议普通用户不要轻易地执行电子邮件中附带的程序的原因之一,因为特洛伊木马可能就在你的鼠标点击之间悄然潜入到了你的系统之中。

网络监听是怎么回事?
答:网络监听工具本来是提供给管理员的一种监视网络的状态、数据流动情况以及网络上传输的信息的管理工具。当信息以明文的形式在网络上传输时,将网络接口设置在监听模式,便可以源源不断地截获网上传输的信息。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。当黑客成功登录一台网络上的主机并取得这台主机的超级用户权之后,若想尝试登录其它主机,那么使用网络监听将是最快捷有效的方法,它常常能轻易获得用其它方法很难获得的信息。由于它能有效地截获网上的数据,因此也成了网上黑客使用得最多的方法。网络监听有一个前提条件,那就是监听只能物理上的连接属于同一网段的主机。因为不是同一网段的数据包,在网关就被滤掉,无法传入该网段。
总之,网络监听常常被用来获取用户的口令。因为当前网上的数据绝大多数是以明文的形式传输,而且口令通常都很短且容易辨认。当口令被截获,则可以非常容易地登上另一台主机。


三、神秘的黑客工具
 Internet上为数不少的黑客网站大都提供各种各样的黑客软件,下面就来了解其中的一些“典型”,并了解应对措施。
必须说明,安全防范与攻击破解是相互依存的,我们初步了解黑客软件的攻击原理和手段,是为了更好地进行黑客防范,其中涉及的黑客手段切勿轻易尝试,否则必将受到国家有关的网络安全法规的惩处,一切后果由使用者自负。

什么是WinNuke,如何清除?
答:WinNuke的工作原理是利用Windows
95的系统漏洞,通过TCP/IP协议向远程机器发送一段可导致OOB错误的信息,使电脑屏幕上出现一个蓝屏及提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。对策是用写字板或其它的编辑软件建立一个文件名为OOBFIX.REG的文本文件,内容如下:
REGEDIT4 [HKEY_LOCAL_MACHINE\System\ CurrentControlSet \
Services\VxD\MSTCP]
“BSDUrgent”=“0”
启动资源管理器,双击该文件即可。

什么是BO2K?
答:BO2K是黑客组织“死牛崇拜”(Cult Dead Cow)所开发的曾经令人闻之色变的黑客程序BO1.2版的最新升级版本。
虽然BO2K可以当作一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点,使得它在网络环境里成为一个极其危险的工具。
BO2K既可以通过Email发送,也可以手工安装,安装包括两个部分:客户端和服务器端。
利用客户端程序,能够很轻松地对被控制的电脑进行众多的操作:比如重新启动计算机、锁死系统、获取系统口令,搜索、下载和编辑所有软件和文档,运行任何应用程序、记录键盘输入情况(也就是说可以易如反掌地窃取你的网络登录密码)等等。而且,BO2K不仅可以在Windows
NT上顺畅运行,就连刚问世的Windows 2000也不能幸免。 另外,Cult Dead
Cow还在其专为BO2K而设的网站上还提供了一些用于增强BO2K程序功能的插件(Plug-In),其中有一个名为SilkRope2K的插件(158KB),通过它可以非常容易地把BO2K的服务器程序捆绑到任何一个可执行文件上,而这个已经暗藏玄机的可执行文件,除了文件长度变大了130KB左右之外,并无其它任何异样,而这个可执行程序一旦被运行,BO2K服务器程序就会悄然无声地自动安装在对方的电脑之中。就样一来,只要被控制的电脑连上了Internet,哪怕远隔千山万水,黑客都可以像操作自己的电脑一样方便地对对方电脑进行随心所欲的控制。

BO2K的组成与工作原理是怎样的?
答:虽然BO2K可以当作一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点,使得它在网络环境里成为一个极其危险的工具。
BO2K包括服务器端的BO2K.exe、BO2Kcfg.exe和用户端的
BO2Kgui.exe、BO3des.dll、BO_peep.dll。其中,两个服务器端的文件一般是通过Email的方式进行传送,BO2K服务器端的程序大小仅为112KB,非常便于在网络上传输;客户端程序解压后的大小约2.07MB左右,功能非常强悍,由于采用了很简明的图形化界面,略通电脑的人都可以很容易地掌握其使用方法。BO2K既可以通过Email发送,也可以手工安装,安装包括两个部分:客户端和服务器端。在服务器端安装BO2K非常简单。只要执行BO2K的服务器端程序,就完成了安装。这个可执行文件名字最初叫做bo2k.exe
,但可能会被改名(比如更容易迷惑人的Readme.exe)。这个可执行文件的名字是在BO2K客户端安装时,或在BO2K设置向导里指定的。
BO2K的设置向导会指导用户进行以下几方面的设置:包括服务端文件名(可执行文件)、网络协议(TCP或UDP)、端口、加密和密码。这个过程完成后,运行bo2kgui.exe(BO2K图形用户界面),
就可以看见工作区,
工作区包括了服务器的列表(如果你保存了上次的结果)。指定要连接的服务器,开始使用BO。给这个服务器起个名字,输入IP地址和连接的一些信息。指定了服务器后,服务器命令的客户端就出现了。这个窗口里可以使用BO的功能....点个命令,功能就列给你看了,有的命令如文件名和端口还需要设置参数。设置向导允许服务端执行快速安装,使用默认设置,以便立即使用BO2K控制远程机器。通过设置工具手动进行设置,可以管理很多选项,其中很多选项主要是用于防止BO被发现的伪装工作。
设置向导的过程分为以下几个步骤: 1.服务端文件名 、2.网络协议(TCP或UDP) 、3.端口 、4.加密方法(XOR或3DES)
、5.密码/加密钥匙。设置向导执行完后,会列出服务器的设置工具,有BO2K的运行状况,控制BO2K,客户端/服务器的通讯协议和程序的隐藏。

BO2K怎样进行自我保护?
答:BO2K提供一个图形化的文件浏览方式,可以方便地修改注册表,所有危险之举已经简化到只需鼠标轻轻一点。对于Windows
NT而言,BO2K的危害性就更为巨大:为进行自我保护,BO2K不仅会自动改变自己的进程名称,而且还能自动建立一个自身进程的副本,以备BO2K被删除后还能够“在烈火中永生”。它自己的文件名后面加上一些随机的空格及字母,所以在Windows下无法删除该文件,只能在纯DOS下删掉。也就是说,一旦服务器感染BO2K就必须停机,才能删除。众所周知,重要的服务器停机会造成多大的损失......BO2k还支持多种网络协议。它可以利用TCP或UDP来传送,还可以用XOR加密算法或更高级的3DES加密算法加密。虽然用3DES算法加密的BO2K也有可能被发现,但现在还没有方法来判断其执行的命令。更为令人担心的是,BO2K可以自由地增加或者去掉网络目录的共享属性,也就是说,一旦BO2K进入公司内部网络服务器,那么整个公司网络上的所有文件就都随时有可能被居心叵测的人所“共享”.

BO2K具体可以对电脑进行哪些远程控制?
答:O2K的服务器端程序一旦被激活,你就成为了BO2K的服务器,从此处于黑客的完全控制之下,
BO2K里共有70多条命令,这些命令用来在服务器上搜集数据和控制服务器,包括在BO2K服务器的电脑上增加目录、删除文件、查看系统中各种可能存在的口令、修改注册表,遥控BO2K服务器的多媒体播放、捕捉等功能。两台计算机建立连接后,选个命令,加上参数(如果需要的话),按
“Send Command”(发送命令),就在选择的服务器上执行该命令,服务器的回应也会在回应窗口中显示出来。
黑客可随时启动和锁死系统、猎取密码、获得系统信息;可在你的计算机上出现系统信息框提示,改变HTTP文件服务器访问;可查看、删除、创建网络共享驱动盘和程序;修改注册表;通过远程来拷贝、删除、改变文件名;解压文件;
可使用DNS服务改变主机名和IP地址;可启动和停止BO2K服务系统;加载和卸装有关插件。下面就是BO2K的一些主要的远程控制手段:
1.搜索动态IP地址
从BO2K客户机向特定的IP地址发送命令即可对BO2K服务器操作。如果BO2K服务器无静态IP地址,BO2K客户机提供命令:在BO2K客户机的图形界面中使用“Ping...”命令,给对方电脑发个数据包看它能否被访问,看其是否已经“中招”;另外还可以设定目标IP如“202.102.87.*”,通过扫描子网列表来查找和监控那些电脑被安装了BO2K服务器、而IP地址又是动态分配的用户的电脑。
2.系统控制和文件管理
通过相应的命令,BO2K可以轻松获取和显示包括当前用户、CPU、内存、Window版
本、驱动器(硬盘)容量及未使用空间等内容BO2K服务器上的相关系统信息。另外可以将BO2K服务器上的击键情况和执行输入的窗口名记录下来。
甚至还可以在BO服务器上开一个对话框来与对方进行对话。BO2K还提供诸如对文件进行查找、拷贝、删除等操作的一系列命令,可在BO2K服务器的硬盘目录中查找目标文件,并能任意增加目录和删除文件、查看和拷贝文件、更改目录名、删除目录等。BO2K还可以任意修改BO2K服务器的注册表,锁住BO2K服务器的电脑,甚至可以控制BO2K服务器的系统重启动。
3.音频及视频控制
通过BO2K客户端可以列出BO2K服务器的视频输入设备。如果存在视频输入设备,既可以将视频和音频信号捕捉成为avi文件,也可以将BO2K服务器屏幕影像捕捉成为位图文件。只要愿意,甚至还可以遥控BO2K服务器的多媒体播放,比如在BO2K服务器上播放一个avi文件等等。
4.网络控制 BO2K提供了网络连接、出口地址、TCP
文件接收、网络使用等命令,可以查看BO2K服务器上所有的域名、网络接口、服务器等内容,并可列出当前共享名、共享驱动器以及共享目录、权限和密码。通过TCP文件传输,还能将BO2K服务器主机连接到一个特定的IP地址和端口并发送特定文件中的内容,或将所接收到的数据保存到特定文件中。
5.进程控制
BO2K可以通过Telnet对话来控制基于文本或DOS的应用程序。可以在BO2K服务器列出当前激活的插件和已存在的插件并加以运行。另外还能在BO2K服务器上运行一个程序。也可以查看当前运行的所有程序并发送命令关闭其中的某个程序。
作为一个功能强悍的黑客程序,BO2K的这些功能颇有些令人不寒而栗:因为如果我们的电脑不慎被BO2K侵入,当我们上网的时候自己的电脑就已经毫无秘密可言了,别说拨号上网的口令和系统加密口令了,就连你的屏幕保护口令黑客也知道的一清二楚。

如何清除BO2K?
答:BO2K的功能虽然十分强悍,但它的工作原理却很简单。我们知道它发生作用的前提是每次在Windows启动时,同时悄悄地在我们的电脑上启动一个服务器程序,黑客通过我们登录因特网时的IP地址,用配套的客户端程序登录到我们的电脑,从而实现远程控制我们电脑的目的。从原理上讲,BO2K和著名的PC
Anywhere一样,是一套简单的远程登录及控制软件工具。既然我们知道了BO2K进行工作的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,那么对付它的最直接有效的方法,就是从我们Windows的启动配置中将自动执行的黑客服务器程序删除掉。
对付BO2K的方法如下:首先检查Windows\system下有没有一个名叫UMGR32~1.EXE的文件;如果是NT系统,则在Winnt\system32目录下检查它是否存在,这个文件的存在往往意味着系统已经被BO2K入侵。但这种方法并不是绝对保险,因为BO2K允许入侵者自行改变这个文件名,较可靠的办法还是检查可疑文件的长度,BO2K服务端的文件大小是114688字节,
如果发现某个文件刚好符合这个长度,可使用EDIT打开它,如果发现“Back Orifice”字串,那么该系统已经确实无疑地感染了BO2K。
BO2K运行时必须修改注册表,因此我们可根据下面的线索通过注册表编辑器使用“查找”检查自己的系统是否被BO2K入侵。被BO2K修改过的注册表应该包含下列特征:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices]
“UMGR32.EXE”=“C:\\WINDOWS\\
SYSTEM\\UMGR32.EXE”
发现了BO2K的蛛丝马迹后,Windows9x用户可以在纯DOS(而不是DOS窗口)下删除文件名以UMGR32打头的文件(del
umgr*.*),再把它增加的注册表项删掉即可。对于WindowsNT,因为不能进入纯DOS状态,可以先删除它的相关注册表项,然后重启机器再看能否删掉以UMGR32打头的文件。如果这样不行的话,只好用系统软盘引导别的操作系统再做修改了。
另外,如果你已经在使用Windows 98 Second Edition版(即98第2版), BO2K
1.0会因为在隐身时的一个小缺陷,它会导致每次开机时都出现“非法操作”提示而无法在系统中顺利驻留,因此使用Windows98
SE版是暂时免疫BO2K的方法之一(可是这种暂时的优势随时可能会因BO2K新修正版的推出而不复存在)。

什么是KeyboardGhost,如何清除?
答:KeyboardGhost(键盘幽灵)是一个专门记录键盘按键情况的黑客软件,可以运行在Win9x/NT/2000下。它的原理是这样的:Windows系统为了开辟键盘输入的缓冲区,在核心区保留了一定数量的字节,其数据结构形式是队列。KeyboardGhost就是通过直接访问这一队列来记录键盘上输入的一切以星号形式显示的密码窗口中的符号。并在系统根目录下生成一文件名为KG.DAT的隐含文件。对策是启动注册表,将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunService]→KG.EXE这一键值删除,并将文件KG.EXE从Windows\System目录下删除。
同时删除C:\KG.DAT这个文件。

什么是万能钥匙Xkey?
答:万能钥匙Xkey是产自国内的密码查找软件,该软件把词典内容分为“电话号码”、“出生日期”、“姓名字母”、“英文数字”四个部分,在每一部分可以按照需要设置有关参数,以快速地制作出许多破解工具所需要的词典文件。万能钥匙Xkey的
1.1版本还增加了电脑和网络常用英文作为字典文件中的单词。 万能钥匙Xkey可以根据你的设置生成各种类型的口令,下面逐一介绍:
1、电话号码:分为“普通电话”和“数字移动电话或寻呼机”两种,这里可以选择不同位数的号码。
在“词典长度”状态栏可以直观地看到词典的长度。词典的越长,那么生成的时间越长、词典文件也越大。2、出生日期:分为月日、年月、年月日三种,并可选择二位或四位年份和设置年份范围。3、姓名字母:分为姓名声母、姓或英文名、中文姓+名、中文姓+名字声母、中文姓+英文名;在姓氏范围中,你可以直接输入某个姓氏或按照人口频度选择姓氏范围,在“姓氏范围”中,你可以直接输入某个姓氏或调整人口频度。
除此之外,你还可选择加上固定前缀、常用数字和出生日期,姓名换位或使用分隔符。4、英文数字:此项包括有“计算机和网络常用英文(150个)”、其它常用英文(53123个)、常用数字(175个)和其它数字(0-999999)。
在生成词典文件之前,你还可以对词典中的字母进行大小写设定和设定词条宽度,并可以根据不同的系统平台对文本文件的换行符进行设定。在一切设置好后,来到“生成词典”对话框,点击“完成”按钮,弹出“保存词典文件”对话框,设置要保存的词典文件类型为TXT或DIC,然后用鼠标单击“保存”按钮,Xkey就开始为你生成词典了。

什么是NetSpy,如何清除?
答:Netspy是一个运行Win95/98的客户机/服务器模式远程控制软件,由客户程序和服务器程序两部分组成。在最新的Netspy版本中,客户程序通过互连网与安装运行在远程计算机上的服务器程序打交道。实际上可以将其看作一个没有权限控制的增强型FTP服务器。通过NetSpy可以神不知鬼不觉地下载和上载目标机器上的任意文件。并可以执行一些特殊的操作,如:终止远程计算机中运行的程序、在远程计算机上执行程序、关闭远程计算机等。
要想通过NetSpy自由存取别的计算机上的软件,同样必须先在目标计算机上安装NetSpy的服务器。Netspy服务器的安装方法十分简单,只需在目标计算机上运行一次netspy.exe文件即可。NetSpy会自动注册到系统里,以后每次启动Windows95/98时,就会自动启动netspy.exe程序了。这时,只要在别的计算机上执行netmonitor.exe,在菜单里选择添加计算机,输入目标计算机的IP地址或域名地址,就可以连接到目标计算机上进行操作了,使用方法十分简单。Netspy的缺点是不能为具体的机器设置密码,所以说安装了netspy
server的机器一旦上网,有可能被任何安装了NetSpy客户程序的机器所控制。
由于Netspy.exe程序安装后,每次重新启动Windows95/98都会在不为人觉察的情况下自动加载NetSpy,所以它也是一个典型的特洛伊黑客程序:只要设法使欲攻击对象运行一次netspy.exe文件,目标计算机的后门就彻底对外开放了。只要对方的计算机一上网,入侵者就可以神不知鬼不觉地取得它的绝对控制权!
对策是在“开始--运行”里输入REGEDIT.EXE,直接打开注册表,如果在:“HKEY_LOCAL_MACHINE\ Software\
Microsoft\
Windows\CurrentVersion\Run”里如果有类似“netspy”、“C:\windows\system\netspy.exe”等字样,说明NetSpy已经进驻系统。另外一种识别方法是:打开资源管理器,进入Windows下的System子目录,如果发现有NetSpy.exe文件(86.5KB),没说的,中招了!
清除NetSpy的方法是:重新启动计算机,进入DOS状态,在Windows下的System子目录里删掉NetSpy.exe这个文件。再次启动机器,进入Windows的注册表,找到并删除“KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下NetSpy的键值即可。


什么是ProxyThief,如何清除?
答:ProxyThief被安装后,会用NetInspect 对机器的0到9999端口进行扫描,以找出可用的Free Proxy!端口,
然后通过将你的计算机设置成代理服务器, 达到冒用你的IP上网的目的
。黑客可以通过NetSpy或BO2K这样的工具对ProxyThief进行远程控制。清除方法是运行注册表,查找关键字“ProxyThief”,将所有与之相关的键和键值删除。

什么是“冰河”,如何清除?
答:国产黑客软件“冰河”
与所有的特洛伊木马程序一样,当“冰河”的服务器端程序G_Server.exe一旦被某台电脑的使用者所执行,虽然在表面上看不出任何变化,但事实上,该服务器端程序已悄悄地进驻该机的注册表,以后,只要这台电脑一启动上网,可怕的“后门”(默认端口号7626)就会悄然洞开,可轻易地被藏在网络某个角落的客户端程序G_Client.exe扫描到并实施包括可显示系统信息及上网密码、系统控制(重新启动、关机等)、注册表键值读写等几乎是全方位的控制。
如果上网时一旦不小心误入了“冰河”,脱身的方法如下:
1.在c:\Windows\system目录下,查找并删除名为KERNEL32.EXE的文件。
2.“冰河”为了进行自我保护,它可将自己与文本文件关联,以便在程序被删除后在打开文本文件的时候又自动恢复,这个关联文件是SYSEXPLR.EXE。
3. 检查注册表。在“开始—运行”里输入“regedit”并回车,在“HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion
\Run和HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\RunServices”,查找并删除有KERNEL32.EXE文件的键值。
4.最后,因为“冰河”的服务器端程序名不一定就是KERNEL32.EXE,所以最可靠的办法还是把C盘格式化后重新安装Windows。

什么是GirlFriend,如何清除?
答:GirlFriend属于木马程序。主要是获取目标机的密码等资料,另还可以传送信息、显示bmp图像等。运行了该木马之后,会在HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RUN下面找到键值名Systemtray,在Windows
下生成一个Wind11.exe文件,并将自身删除,然后修改注册表。 清除方法是删除该木马在注册表中所修改的键值名,再在纯DOS下删除Wind11.
exe。

什么是PortHunter,有何对策?
答:PortHunter占用大量的Socks进行端口搜索,盗用SMTP端口(:119)发E-mail、盗用没有密码的代理端口(:8080)、盗用内部使用的FTP端口(:25)。PortHunter降低局域网的数据传输效率,危害网络安全。对策是对于Novell
的局域网,采用限制指定程序运行的方法;对于其它框架的局域网的用户,则可以在服务器中设定禁止一些黑客程序的运行。

什么是Deep Throat,如何清除?
答:Deep
Throat属于特洛伊木马,功能还不少:可获取密码及系统信息,重启目标机器,将目标机设置成FTP服务器,读写、运行和删除目标机器上的文件,隐藏开始菜单和任务栏,截获屏幕图像等功能。
Deep Throat 2.0被执行后会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RUN下面找到键值名Systemtray,在Windows下生成“Systray.exe”。
清除方法是删除该木马在注册表中的键值,接着在纯DOS下删除该木马启动文件。

什么是HDFILL,有何对策?
答:HDFILL属于特洛伊木马程序,表面上是个有着可爱画面的安装程序,但是在实际“安装”过程中会自动产生999999999个变长的文件,直到把你的硬盘填满垃圾为止。虽然要清除这么多垃圾文件非常辛苦,但是也只得耐心清除,要不然怎么办,格式化硬盘?对策还是防患于未然,安装LockDown2000来拦截来历不明的软件。

什么是天行刺客,有何对策?
答:运行于Windows
95/98平台的天行刺客通过从路由器中窃取未加密的信息,从而对指定的机器进行监控。你的E-mail、FTP、BBS登录的用户名和密码都会被黑客窃取。对策是尽量少用MS
—DOS下的FTP命令和Windows下的Telnet命令,尽量采用IE这样对你的重要数据进行了加密的浏览器上站。

四、网上防黑术
必须说明,安全防范与攻击破解是相互依存的,我们初步了解黑客软件的攻击原理和手段,是为了更好地进行黑客防范,其中涉及的黑客手段切勿轻易尝试,否则必将受到国家有关的网络安全法规的惩处,一切后果由使用者自负。

如何防止IP的泄露?
答:很多黑客软件都需要先了解对方的IP地址方能发起有效的攻击,为此还出现了类似IPHunter这样的专门用于截获IP地址的工具。显然,要防范黑客的进攻,第一步应该先保护好自己的IP。要想不让对方刺探到我们的真实IP,一个行之有效的方法就是设置并使用具有防火墙作用的代理服务器(Proxy)。我们在通过代理服务器上网的时候,那些“功力”还不是太深厚的黑客通常就只能定位到代理服务器的IP,而无法获得我们的真实IP。

如何让Win98更安全?
答:对普通个人用户来说,Windows
98还是目前最常用的操作系统,但其安全性能比较薄弱,面对潜在的安全隐患,我们可以通过设置登录密码、以及修改注册表里的一些内容,来屏蔽和限制Windows
98系统里的某些敏感功能,限制普通用户的系统使用权限,以提高上网的安全性。

如何设置系统登录密码?
答:设置登录密码可有效地改善系统的安全性,设置方法如下:首先选择“开始”→“设置”→“控制面板”→“密码”,在随后出现的“密码属性”对话框里,在“更改密码”标签下,点击“更改Windows密码”设置新的系统登录密码,当出现“成功更改了Windows密码”提示后,按“确定”退出。接着打开“用户配置文件”标签,选择“用户可自定义首选项及桌面设置...”,完成后按“确定”退出。
重新启动系统,会出现密码输入框,需要正确输入密码方可正常登录。

如何请不速之客吃闭门羹?
答:要谢绝不速之客以默认配置造访我们的Win98系统
,可在每天离开系统前做如下的修改:在“开始”→“运行”里输入“regedit”,然后按“确定”,打开Win98注册表,在“\HKEY_USERS\.Default\Software\Micorosoft\
Windows\CurrentVersion\Run”中单击鼠标右键,选择“新建”---“字符串值”,将该字符串值命名为“你是非法用户吧?哈哈”,将该键值设为“RUNDLL.EXE
user.exe,exitwindows”。这样,当不速之客想要“光临”我们的Win98系统时,电脑将会执行自动关机操作。

如何屏蔽注册表编辑器?
答:通过修改文件注册表,可以根据需要限制普通用户的系统使用权限:为了防止黑客修改注册表,可做如下的修改:在“开始”→“运行”里输入“regedit”,然后按“确定”,打开Win98注册表,在“\HKEY_CURRENT_USER\Software\
Micorsoft\Windows\CurrentVersion\Policies\System”中,选择“新建”→“DWORD值”“DisableRegistryTools”,将其键值设置为“1”。

如何隐藏驱动器?
CurrentVersion\Policies\Explorer”中,选择“新建”→“二进制值”,取名为“NoDrives”,若将其值设为00000000(由四个字节组成),则表示任何驱动器都不隐藏,该值每个字节的第一位对应从A:到Z:的一个驱动器盘符,即01为A,02为B,04为C,08为D......
比方:需要把D盘隐藏起来,则将该键键值设为08000000。

最后编辑2005-09-22 19:21:25
分享到:
gototop
 

多谢,学习一下。
gototop
 

好贴啊
gototop
 

就连刚问世的Windows 2000也不能幸免
什么时候的????
gototop
 

灌水

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-3-19 1:00:14
描述:



gototop
 

晕死.我也想做个黑客~~~~~~
gototop
 

Very Good
gototop
 

谢谢咯!这让我受益良多!
gototop
 

谢谢~~
辛苦了~
gototop
 

very good
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT