登陆注册
178000000010

黑客常用兵器之木马篇(上)

“我知道远程控制是种武器,在十八般兵器中名列第七,木马呢?”

“木马也是种武器,也是远程控制。”

“既然是远程控制,为什么要叫做木马?”

“因为这个远程控制,无论控制了什么都会造成离别。如果它钩住你的E-Mail,你的E-Mail就要和你离别;如果它钩住你的QQ,你的QQ就要和你离别。”

“如果它钩住我的机器,我就和整个网络离别了?”

“是的。”

“你为什么要用如此残酷的武器?”

“因为我不愿被人强迫与我所爱的人离别。”

“我明白你的意思了。”

“你真的明白?”

“你用木马,只不过为了要相聚。”

“是的。”

在众多的黑客武器中特洛伊木马(Trojan horse)这种攻击性武器无论是菜鸟级的黑客爱好,还时研究网络安全的高手,都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具,木马的威力要比其他的黑客工具大得多。

“木马既然如此有效,为何在Hacker兵器谱中排名靠后?”

“因为使用木马往往不是很光明正大。”

“哦?为何?”

“在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是去驾驭技术不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马,以便将来随时方便进出这台服务器。”

“但如此一来木马的名声不就随之降低了吗?”

“是的,所以现在的黑客高手都耻于用木马,更耻于黑个人的计算机。”

“不过木马在很多人的眼中仍然是一等一的绝好兵器。”

在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的,但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品,BO2000的这个功能无疑对Windows NT来说是致命的,就Windows NT本身而言,由于硬盘采取了NTSF的加密,普通的木马,包括冰河也无法控制,当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。

而正因为如此BO2000才深得黑客高手的喜爱,因为他们感兴趣的也只有服务器,也只有Web Server才能够提起他们的胃口,那是一种来自深层感官的刺激。

通常情况下木马大致可分为两个部分:服务器端程序和客户端程序。服务器端通常就是被控制端,也是我们传统概念上的木马了。

“你说BO2000好,但是绝大多数的杀毒招数都能够沟将其制服,而且我感觉他在使用上不如我手里的冰河锐利,况且我也不想黑什么服务器。我认为,个人电脑中隐藏有更大的宝藏,而且个人电脑脆弱的我能够利用任何一种方法摧毁它。

“你说的很对,冰河确实锐利,而且称霸中华江湖一年之久,也可谓武林中少见的好兵刃,但是兵器虽然锋利,但兵器在打造的时候却留下来一个致命的缺点,这也是木马冰河为何在武林衰败的原因。”

“这是一个什么样的弱点那?竟然如此致命?”

“呵呵,说白了也很简单,冰河的作者在打造冰河2.X版本时就给它留下了一个后门,这个后门其实就是一个万能密码,只要拥有此密码,即便你中的冰河加了密码保护,到时候仍然行同虚设。”

“什么!真有此事?想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用,如此这般,他们的机子岂不暴露无遗?”

“呵呵,在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么,多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手,致命的一招。冰河的作者当然也不例外,而且由于作者钟爱许美静,所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。”

“噢?万能密码?”

“通常黑客在植入冰河这种木马的时候,为了维护自己的领地通常的要为自己的猎物加一个密码,只有输入正确的密码你才能够正常的控制对方的计算机,但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码,就像万能钥匙一样。冰河各版本的通用密码:

2.2版:Can you speak Chinese?

2.2版:05181977

3.0版:yzkzero!

4.0版:05181977

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq20000!

你可以试试看,是不是很轻松的就能够进入任何一台有冰河服务器端的电脑?”

“真的进入了,果然有此事情,怪不得现在很多人都不再使用冰河。”

“此外冰河还存在着两个严重的漏洞:

漏洞一:不需要密码远程运行本地文件漏洞。

具体的操作方法如下:我们选择使用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client,进入文件管理器,展开“我的电脑”选中任一个本地文件按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文件一样能上传并运行。

任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了,如果你高兴的话,还可以上传病毒和其它的木马。

漏洞二:不需要密码就能用发送信息命令发送信息,不是用冰河信使,而是用控制类命令的发发送信息命令。”

“当然这的确是一个原因,但更主要的是现在的多数杀毒软件都能克制冰河。”

木马通常会在三个地方做手脚:注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件,绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存。捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。

“在众多木马中,大多数都会将自己隐藏在Windows系统下面,通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。”

“众多的目录中为何选择这两个目录?”

“呵呵,当然是为了便于隐蔽。通常这几个目录为计算机的系统目录,其中的文件数量多而繁杂,很不容易辨别哪些是良性程序哪些是恶性程序,即便高手往往也会有失误删除的情况。而且,即便放置在系统目录下,就多数为重要的文件,这些文件的误删除往往会直接导致系统严重的瘫痪。”

“原来如此。”

“前辈,木马冰河是否也做了这些手脚?”

“这是自然,木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先,冰河会在你的注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 键值中加上了\kernl32.exe(是系统目录),

§c:\改动前的RUN下

默认=

§c:\改动后的RUN下

默认=C:\\WINDOWS\\SYSTEM\\Kernel32.exe

§c:\改动前RunServices下

默认=

§c:\改动后RunServices下

默认=C:\\WINDOWS\\SYSTEM\\Kernel32.exe

§c:\改动前[  HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的:

默认=Notepad.exe %1

§c:\改动后[  HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的:

默认=C:\\WINDOWS\\SYSTEM\\Sy***plr.exe %1

可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sy***plr.exe,而且冰河服务器端的编制是加密的,没法简单的通过改注册表得到或换掉。另外值得一提的是,即便你删除了这个键值,也并非平安大吉,冰河还会随时出来给你捣乱,主要因为冰河的服务端也会在c:\windows目录下生成一个叫 sy***plr.exe文件,当然这个目录会随你windows的安装目录变化而变化。

“这个文件名好像超级解霸啊,冰河竟然如此狠毒。”

“哈哈哈哈,你说的很对,也很聪明,这个文件的确很像超级解霸,但是这还是不够称得上为阴险,最为阴险的是这个文件是与文本文件相关联的,只要你打开文本,sy***plr.exe程序就会重新生成一个krnel32.exe,此时你的电脑还是被冰河控制著。而且如果你失误将sy***plr.exe程序破坏,你计算机的文本文件将无法打开。”

木马都会很注意自己的端口,多达六万多中的端口很容易让我们迷失其中,如果你留意的话就会发现,通常情况下木马端口一般都在1000以上,并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口,况且用时占用这些端口可能会造成系统不正常,木马也就会很容易暴露;此外使用大的端口也会让你比较难发现隐藏其中的木马,如果使用远程扫描端口的方式查找木马,端口数越大,需要扫描的时间也就越多,故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。

“既然木马如此的阴险,那么前辈有何可知木马的方法啊?”

“现在的木马虽然阴险,但终究逃不过几个道理。平时出名的木马,杀毒软件就多数能够对付。但是现在木马种类繁多,有很多杀毒软件对付不了的。但是,只要我们谨记一下几个方法,就能够手到擒来。”

“首先,我们可以选择端口扫描来进行判断,因为木马在被植入计算机后会打开计算机的端口,我们可以根据端口列表对计算机的端口进行分析。此外,查看连接也是一种好办法,而且在本地机上通过netstat -a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,而且可以直观地发现与我们计算机连接的有哪些IP地址。当然,如果你对系统很熟悉的话,也可以通过检查注册表来进行木马的杀除,但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法,就拿冰河来说……”

“这个我知道前辈,木马冰河的特征文件一定是G_Server.exe。”

“那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sy***lpr.exe。”

“太狠毒了,一个跟系统内核文件一样,一个又像超级解霸。那么前辈我们把这两个文件删除掉,这冰河岂不就消失了。”

“的确,你要是在DOS模式下删除了他们,冰河就被破坏掉了,但是你的计算机随之会无法打开文本文件,因为你删除的sy***plr.exe文件是和文本文件关联的,你还必须把文本文件跟notepad关联上。修改注册表太危险,你可以在Windows资源管理器中选择查看菜单的文件夹选项,再选择文件类型进行编辑。不过最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文件,再选择打开方式,选中〖始终用该程序打开〗,然后找到notepad一项,选择打开就可以了。”

“哈哈,按照前辈这么说来,我们只要抓住了这特征,天下的木马也奈何不了我们了。”

同类推荐
  • 中国家庭教育缺什么

    中国家庭教育缺什么

    尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!这是中国第一本全方位解读中国家庭教育缺陷的经典范本!家庭教育改革是一个艰难的过程,在这个过程里,我们的行为模式莫不发生着改变。而有关这一过程的探寻,在世人的眼中自然有指点迷津的价值。我们找到的欠缺之处,足以让我们的家长站在某种高度上看到时代的变迁。在本书中,作者以亲切睿智的语言,通过一些真实性案例,深入浅出,娓娓道来许多家庭教育中存在的基本问题,它给孩子们的伟大前程提供了一份行动指南,也给望子成龙、望女成凤的父母们带来了最直观、最有效的经验指导。本书是为众多茫然无助的家长而倾心打造的鼎立之作。祝你开卷有益,与孩子在本书的指引下,共同走出教育的误区,建构美好、幸福、快乐的人生!
  • 青少年最想问的60个心理问题

    青少年最想问的60个心理问题

    尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!结合青少年的心理现状,以简洁、鲜活、富有情趣的文字,再王见了青少年经常遇到的问题,进行心理分析,并为家长和老师提供解决心理问题的方法、对策和建议。表达清晰、分析透彻、观点鲜明,有较强的可读性和实用性,可谓是为青少年而写就的一本心理健康指导书。在《青少年最想问的60个心理问题(最新珍藏版)》的引导下,青少年可以走进自己的内心深处,在一个个故事中净化自己的心灵,呵护自己内心的世界,永葆心理健康,发掘内心的潜能,为成功塑造人生观和世界观打下坚实的基础。
  • 演讲的艺术
  • 孩子一生最受用的40种能力

    孩子一生最受用的40种能力

    尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!本书作者提出的40种能力,对孩子在未来生活中的竞争力是不可缺少的,并相应的为家长提供实际的方法和原则,帮助父母在家庭生活中,如何和孩子共同培养这些能力,开启孩子生命中的优势密码。能力关乎孩子的一生,可以让孩子受益一生,从小培养孩子一生最受用的40种能力,它不仅可以开发孩子的才能和潜力,使其身心得到全面成长与成熟,还能把孩子培养成一个乐观、健康、全面发展的优秀人才。
热门推荐
  • 智慧谋略宝库2

    智慧谋略宝库2

    雄心勃勃的帝王将相、能言善辩的文士说客、善于经营的富商巨贾、巧夺天工的能工巧匠,《智慧谋略宝库》一书囊括。凭借智慧,运用计谋,达到事业或人生的预期目标,是生存的必须,是生活的必然。变幻无穷、克敌制胜的方法智谋尽在其中。
  • 只为玉人心

    只为玉人心

    王诗玉是一位饱受贫穷折磨的乡村女孩,生活的困苦和不甘平庸的心使她养成了谦卑谨慎又过于自尊的性格,当她全心全意地为改变命运而奋斗时,来自繁华都市的无忧青年夏远意外地闯进她的生活。面对条件优渥、风度翩翩的夏远的爱慕,王诗玉渐渐开启了尘封于心底的爱情之门。但现实的差距让敏感、自卑的王诗玉对这分意外的邂逅心生敬畏,她隐藏自己的热情,掩饰自己的真心,这使这段情缘随着环绕在她身边的异性而一波三折!尊严、利益、良心的角逐,她究竟何去何从、、、、、、
  • 金刚般若波罗蜜经-鸠摩罗什

    金刚般若波罗蜜经-鸠摩罗什

    本书为公版书,为不受著作权法限制的作家、艺术家及其它人士发布的作品,供广大读者阅读交流。
  • 星际之三好学生

    星际之三好学生

    这个年代的三好学生标准:实力高,颜值好(大雾),人气高。伊思被绑架后失去原本引以为傲天赋,本该安然的学习生活一下子变得波澜起伏起来:被要求转系?就因为精神力不够?好吧,坑来个导师缓解下危机。三好学生酷哥前辈说帮她恢复精神力天赋,但是要求她之后要为导师赢来至少三次‘三好学生’评价。为了重回拳打竞技场脚踢魔导赛的日子,她开始了三好学生修炼之路——但是为什么咱会被认定是犯罪者?不就是想好好读过书吗!为什么就不能老老实实让我读书啊!
  • 二十几岁要懂的100条人生经验

    二十几岁要懂的100条人生经验

    本书简要概括了年轻人在人生成长过程中的100条人生经验。阅读本书,年轻人将会懂得人生的成功之道、处世法则;应用本书,年轻人将告别青鲁莽,向人生的成熟迈进。仔细揣摩、用心掌握这本书的细节,将会对年轻人产生重要的影响。乘风破浪会有时,直挂云帆济沧海。相信二十几岁的这代年轻人一定能够在沧海横流中尽显英雄本色,成为把握时代命运的弄潮儿。
  • 一本书读通世界地理

    一本书读通世界地理

    本书以独特的视角为读者选取了当今世界最著名的上百个不可不知的地方,以山川、河流、盆地、岳陵、沙漠、瀑布等为分界点,分块成章,使读者一目了解,更可以直接进入自己喜欢的地方。
  • 侯争

    侯争

    “侯”自太初大陆诞生一千七百年后从未知虚空外出现并接近大陆,他们肆意破坏侵占与吞噬文化。数位继承虚空之力的侍主应援虚空次元的号召握起武器以器之名为大陆而战,在不断的战斗中得知每个虚空有数十座大陆,每座大陆上皆有三个侯的名额后。这些侍主开始相互吞噬,直到那一场可怕的浩劫出现。我们称呼它为…“侯争”
  • 茅山全能高手

    茅山全能高手

    在这个天道崩坏,的时代,道法的传承,已经岌岌可危到了地步,若是在这样下去,恐怕过些年,我泱泱中华的道法就要消失了,但庆幸的是,也许是天道,不忍,给茅山送来了,一个婴儿。他是千年不遇的奇才。他是全能高手。
  • 待你走过年少轻狂

    待你走过年少轻狂

    其实我的本意就是写点故事,这样不停笔的随便写写,我不知道这些故事是否能拼成一本书,但每个故事都有它值得读的地方。我希望你们能在安静的角落里静静地读,或许平静,或许伤感,或许感同身受,随缘而已。
  • 剑隐偏锋

    剑隐偏锋

    “剑本凡铁,因执拿而通灵,因心而动,因血而活,因非念而死。”“弥兰?怎么听起来像花呢?”“师父说,我有姓,但不能告诉我。嗯,就是这样。”“你若敢伤她一根汗毛,我便屠了这整座城;你若断了她一根头发,我便弑了天下人。”为何桃源进的来出不去?为何神话时代结束后又出现了妖魔?为何千万尸骨突然全体撤退?为何术家二女死而复生?为何帝天家人见了他都要礼让三分?“这个世界,这片天下,这尊王座,已经在腐朽中浸泡太久。我所做的一切,只是为了让它们重见光明。”“所以你便要杀尽天下人?!”