登陆注册
178000000010

黑客常用兵器之木马篇(上)

“我知道远程控制是种武器,在十八般兵器中名列第七,木马呢?”

“木马也是种武器,也是远程控制。”

“既然是远程控制,为什么要叫做木马?”

“因为这个远程控制,无论控制了什么都会造成离别。如果它钩住你的E-Mail,你的E-Mail就要和你离别;如果它钩住你的QQ,你的QQ就要和你离别。”

“如果它钩住我的机器,我就和整个网络离别了?”

“是的。”

“你为什么要用如此残酷的武器?”

“因为我不愿被人强迫与我所爱的人离别。”

“我明白你的意思了。”

“你真的明白?”

“你用木马,只不过为了要相聚。”

“是的。”

在众多的黑客武器中特洛伊木马(Trojan horse)这种攻击性武器无论是菜鸟级的黑客爱好,还时研究网络安全的高手,都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具,木马的威力要比其他的黑客工具大得多。

“木马既然如此有效,为何在Hacker兵器谱中排名靠后?”

“因为使用木马往往不是很光明正大。”

“哦?为何?”

“在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是去驾驭技术不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马,以便将来随时方便进出这台服务器。”

“但如此一来木马的名声不就随之降低了吗?”

“是的,所以现在的黑客高手都耻于用木马,更耻于黑个人的计算机。”

“不过木马在很多人的眼中仍然是一等一的绝好兵器。”

在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的,但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品,BO2000的这个功能无疑对Windows NT来说是致命的,就Windows NT本身而言,由于硬盘采取了NTSF的加密,普通的木马,包括冰河也无法控制,当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。

而正因为如此BO2000才深得黑客高手的喜爱,因为他们感兴趣的也只有服务器,也只有Web Server才能够提起他们的胃口,那是一种来自深层感官的刺激。

通常情况下木马大致可分为两个部分:服务器端程序和客户端程序。服务器端通常就是被控制端,也是我们传统概念上的木马了。

“你说BO2000好,但是绝大多数的杀毒招数都能够沟将其制服,而且我感觉他在使用上不如我手里的冰河锐利,况且我也不想黑什么服务器。我认为,个人电脑中隐藏有更大的宝藏,而且个人电脑脆弱的我能够利用任何一种方法摧毁它。

“你说的很对,冰河确实锐利,而且称霸中华江湖一年之久,也可谓武林中少见的好兵刃,但是兵器虽然锋利,但兵器在打造的时候却留下来一个致命的缺点,这也是木马冰河为何在武林衰败的原因。”

“这是一个什么样的弱点那?竟然如此致命?”

“呵呵,说白了也很简单,冰河的作者在打造冰河2.X版本时就给它留下了一个后门,这个后门其实就是一个万能密码,只要拥有此密码,即便你中的冰河加了密码保护,到时候仍然行同虚设。”

“什么!真有此事?想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用,如此这般,他们的机子岂不暴露无遗?”

“呵呵,在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么,多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手,致命的一招。冰河的作者当然也不例外,而且由于作者钟爱许美静,所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。”

“噢?万能密码?”

“通常黑客在植入冰河这种木马的时候,为了维护自己的领地通常的要为自己的猎物加一个密码,只有输入正确的密码你才能够正常的控制对方的计算机,但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码,就像万能钥匙一样。冰河各版本的通用密码:

2.2版:Can you speak Chinese?

2.2版:05181977

3.0版:yzkzero!

4.0版:05181977

3.0版:yzkzero.51.net

3.0版:yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版:05181977

2.2杀手专版:dzq20000!

你可以试试看,是不是很轻松的就能够进入任何一台有冰河服务器端的电脑?”

“真的进入了,果然有此事情,怪不得现在很多人都不再使用冰河。”

“此外冰河还存在着两个严重的漏洞:

漏洞一:不需要密码远程运行本地文件漏洞。

具体的操作方法如下:我们选择使用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client,进入文件管理器,展开“我的电脑”选中任一个本地文件按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文件一样能上传并运行。

任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了,如果你高兴的话,还可以上传病毒和其它的木马。

漏洞二:不需要密码就能用发送信息命令发送信息,不是用冰河信使,而是用控制类命令的发发送信息命令。”

“当然这的确是一个原因,但更主要的是现在的多数杀毒软件都能克制冰河。”

木马通常会在三个地方做手脚:注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件,绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存。捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。

“在众多木马中,大多数都会将自己隐藏在Windows系统下面,通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。”

“众多的目录中为何选择这两个目录?”

“呵呵,当然是为了便于隐蔽。通常这几个目录为计算机的系统目录,其中的文件数量多而繁杂,很不容易辨别哪些是良性程序哪些是恶性程序,即便高手往往也会有失误删除的情况。而且,即便放置在系统目录下,就多数为重要的文件,这些文件的误删除往往会直接导致系统严重的瘫痪。”

“原来如此。”

“前辈,木马冰河是否也做了这些手脚?”

“这是自然,木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先,冰河会在你的注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 键值中加上了\kernl32.exe(是系统目录),

§c:\改动前的RUN下

默认=

§c:\改动后的RUN下

默认=C:\\WINDOWS\\SYSTEM\\Kernel32.exe

§c:\改动前RunServices下

默认=

§c:\改动后RunServices下

默认=C:\\WINDOWS\\SYSTEM\\Kernel32.exe

§c:\改动前[  HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的:

默认=Notepad.exe %1

§c:\改动后[  HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的:

默认=C:\\WINDOWS\\SYSTEM\\Sy***plr.exe %1

可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sy***plr.exe,而且冰河服务器端的编制是加密的,没法简单的通过改注册表得到或换掉。另外值得一提的是,即便你删除了这个键值,也并非平安大吉,冰河还会随时出来给你捣乱,主要因为冰河的服务端也会在c:\windows目录下生成一个叫 sy***plr.exe文件,当然这个目录会随你windows的安装目录变化而变化。

“这个文件名好像超级解霸啊,冰河竟然如此狠毒。”

“哈哈哈哈,你说的很对,也很聪明,这个文件的确很像超级解霸,但是这还是不够称得上为阴险,最为阴险的是这个文件是与文本文件相关联的,只要你打开文本,sy***plr.exe程序就会重新生成一个krnel32.exe,此时你的电脑还是被冰河控制著。而且如果你失误将sy***plr.exe程序破坏,你计算机的文本文件将无法打开。”

木马都会很注意自己的端口,多达六万多中的端口很容易让我们迷失其中,如果你留意的话就会发现,通常情况下木马端口一般都在1000以上,并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口,况且用时占用这些端口可能会造成系统不正常,木马也就会很容易暴露;此外使用大的端口也会让你比较难发现隐藏其中的木马,如果使用远程扫描端口的方式查找木马,端口数越大,需要扫描的时间也就越多,故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。

“既然木马如此的阴险,那么前辈有何可知木马的方法啊?”

“现在的木马虽然阴险,但终究逃不过几个道理。平时出名的木马,杀毒软件就多数能够对付。但是现在木马种类繁多,有很多杀毒软件对付不了的。但是,只要我们谨记一下几个方法,就能够手到擒来。”

“首先,我们可以选择端口扫描来进行判断,因为木马在被植入计算机后会打开计算机的端口,我们可以根据端口列表对计算机的端口进行分析。此外,查看连接也是一种好办法,而且在本地机上通过netstat -a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,而且可以直观地发现与我们计算机连接的有哪些IP地址。当然,如果你对系统很熟悉的话,也可以通过检查注册表来进行木马的杀除,但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法,就拿冰河来说……”

“这个我知道前辈,木马冰河的特征文件一定是G_Server.exe。”

“那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sy***lpr.exe。”

“太狠毒了,一个跟系统内核文件一样,一个又像超级解霸。那么前辈我们把这两个文件删除掉,这冰河岂不就消失了。”

“的确,你要是在DOS模式下删除了他们,冰河就被破坏掉了,但是你的计算机随之会无法打开文本文件,因为你删除的sy***plr.exe文件是和文本文件关联的,你还必须把文本文件跟notepad关联上。修改注册表太危险,你可以在Windows资源管理器中选择查看菜单的文件夹选项,再选择文件类型进行编辑。不过最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文件,再选择打开方式,选中〖始终用该程序打开〗,然后找到notepad一项,选择打开就可以了。”

“哈哈,按照前辈这么说来,我们只要抓住了这特征,天下的木马也奈何不了我们了。”

同类推荐
  • 中国家庭教育缺什么

    中国家庭教育缺什么

    尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!这是中国第一本全方位解读中国家庭教育缺陷的经典范本!家庭教育改革是一个艰难的过程,在这个过程里,我们的行为模式莫不发生着改变。而有关这一过程的探寻,在世人的眼中自然有指点迷津的价值。我们找到的欠缺之处,足以让我们的家长站在某种高度上看到时代的变迁。在本书中,作者以亲切睿智的语言,通过一些真实性案例,深入浅出,娓娓道来许多家庭教育中存在的基本问题,它给孩子们的伟大前程提供了一份行动指南,也给望子成龙、望女成凤的父母们带来了最直观、最有效的经验指导。本书是为众多茫然无助的家长而倾心打造的鼎立之作。祝你开卷有益,与孩子在本书的指引下,共同走出教育的误区,建构美好、幸福、快乐的人生!
  • 告诉孩子钱该怎么花

    告诉孩子钱该怎么花

    尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!本书是青少年金钱和理财知识教育的实用读本,从介绍、分析中国孩子目前普通存在的错误金钱观和不合理消费行为开始,根据孩子不同年龄段的心智和行为能力水平,为如何开展并实施理财教育,提供了一系列细致的理论和实用的方法指导。
  • 计算机探密

    计算机探密

    黑客的精神态度是很重要的,但技术则更是重要.黑客的态度虽然是无可取代,随著新科技的发明和旧技术的取代,这些工具随时间在慢慢的改变.要成为一位真正的黑客,你必须要能在几天之内将manual内容和你目前己经知道的关连起学会一种新的语言.也就是说,你必会学还了C之外的东西,你至少还要会LIS/P或Perl(Java也正在努力的挤上这个名单;译者注: 我很怀疑这份名单).除了几个重要的hacking常用语言之外,这些语言提供你一些不同的程序设计途径,并且让你在好的方法中学习.
  • 看穿人心术,拿来就用

    看穿人心术,拿来就用

    如果能掌握“看穿人心术”,人与人之间的沟通会更有效。本书要为您揭晓的“秘术”有:从弦外之音看人际关系、从外表和动作看本性、听到哪些话值得注意、从口头禅看相处之道、从不同的借口洞悉性格等。只要勤加“修炼”,谁都可以更有心机和技巧地处理好人际关系,让家庭更和睦、让工作环境更舒适。尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!
  • 青少年最想问的60个心理问题

    青少年最想问的60个心理问题

    尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!结合青少年的心理现状,以简洁、鲜活、富有情趣的文字,再王见了青少年经常遇到的问题,进行心理分析,并为家长和老师提供解决心理问题的方法、对策和建议。表达清晰、分析透彻、观点鲜明,有较强的可读性和实用性,可谓是为青少年而写就的一本心理健康指导书。在《青少年最想问的60个心理问题(最新珍藏版)》的引导下,青少年可以走进自己的内心深处,在一个个故事中净化自己的心灵,呵护自己内心的世界,永葆心理健康,发掘内心的潜能,为成功塑造人生观和世界观打下坚实的基础。
热门推荐
  • 星辰绝恋:傲娇殿下请靠边

    星辰绝恋:傲娇殿下请靠边

    青春飞扬的蒲公英,初次相遇,高傲强势的尹家大少霸道来袭,什么我是他的未婚妻?那么,尹大少爷,请接招!你是乖乖束手就擒,还是被我屈打成招!外表乖巧内心猖狂的伪淑女对上外表高冷内心腹黑的傲娇男,究竟鹿死谁手,谁主沉浮。四目相对,她仰着小脸,脸不红,心不跳的说:“你眸中的那个女生可真漂亮啊!”他黑眸中带着一丝溺宠,似笑非笑,镇定的说:“那是当然,在我眼里你最美。”
  • 吸血鬼的爱情

    吸血鬼的爱情

    德古拉和贺佳的爱情、搞笑、暴力,教你如何管理好老公
  • 相思谋:妃常难娶

    相思谋:妃常难娶

    某日某王府张灯结彩,婚礼进行时,突然不知从哪冒出来一个小孩,对着新郎道:“爹爹,今天您的大婚之喜,娘亲让我来还一样东西。”说完提着手中的玉佩在新郎面前晃悠。此话一出,一府宾客哗然,然当大家看清这小孩与新郎如一个模子刻出来的面容时,顿时石化。此时某屋顶,一个绝色女子不耐烦的声音响起:“儿子,事情办完了我们走,别在那磨矶,耽误时间。”新郎一看屋顶上的女子,当下怒火攻心,扔下新娘就往女子所在的方向扑去,吼道:“女人,你给本王站住。”一场爱与被爱的追逐正式开始、、、、、、、
  • 福妻驾到

    福妻驾到

    现代饭店彪悍老板娘魂穿古代。不分是非的极品婆婆?三年未归生死不明的丈夫?心狠手辣的阴毒亲戚?贪婪而好色的地主老财?吃上顿没下顿的贫困宭境?不怕不怕,神仙相助,一技在手,天下我有!且看现代张悦娘,如何身带福气玩转古代,开面馆、收小弟、左纳财富,右傍美男,共绘幸福生活大好蓝图!!!!快本新书《天媒地聘》已经上架开始销售,只要3.99元即可将整本书抱回家,你还等什么哪,赶紧点击下面的直通车,享受乐乐精心为您准备的美食盛宴吧!)
  • 千年炼师

    千年炼师

    一个失忆的男子,一个千年前的公主加上一个冷酷的美女医生。在一个恐怖的大陆上为了自己的誓言奋斗的故事,他们要在三个大陆上找到消失了亿年的文明遗迹,不然誓言会导致三人的命运就此终结,三人在旅途上失忆男子回想起自己的过去,每当回忆一点都发现了一个惊人的秘密……
  • 韩梦

    韩梦

    九只同在,如此,安好。(求推荐,收藏,不胜感激)
  • 佛说瞻婆比丘经

    佛说瞻婆比丘经

    本书为公版书,为不受著作权法限制的作家、艺术家及其它人士发布的作品,供广大读者阅读交流。
  • 邪魅校草:丫头,别惹我

    邪魅校草:丫头,别惹我

    “啊--变态!”安逸儿一巴掌拍向韩少桀。
  • 凯源玺之奇妙爱恋

    凯源玺之奇妙爱恋

    第一章的前面一段初夏下午,阳光灿烂,海边的一栋豪宅里传出爽朗的笑声。“好,就这么定了。我们两家以后就亲上加亲了。”说话的是一个身穿休闲服的男子。三四十岁的样子。身上散发这一种不可抗拒的威严。“我们家小凯是没问题啦!可是雅琪会同意吗?”悦耳的女声中淡涵着一股忧虑。“安啦,死丫头这么多年一个男朋友都没交,如果不是我们清楚,还以为她喜欢的是女生呢!又不是结婚,订婚而已啦,让他们俩好好培养一下感情,过几年说不定就能抱孙子啦!呵呵~”一个中年贵妇不符形象地笑着说。“也对啦!我们赶快筹备啦,三天后就要行礼啦!”坐在中年贵妇隔壁的男子说道。众人又笑了起来。今天看了已经心动了吗?快点过来继续看吧!
  • 玄冥帝尊

    玄冥帝尊

    天生异象,神秘图案,逆天天赋,这注定了他将在修炼的路上越走越远。一路上他大杀四方,他的名字响彻大陆。“我,将逆天而行!”谁敢不服,我杀到你服为止!