黑客是怎样通过网络入侵电脑的?
黑客是入侵别人电脑的方法有9种。
1、获取口令
这又有三种方法:
一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。
此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。
当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4、电子邮件攻击
电子邮件攻击主要表现为两种方式:
一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;
二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
7、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
黑客通常是从哪输入程序的?
或许你并不想成为一个黑客而是好奇,或许你只是为了高超的技术。无论是什么都需要刻苦的去学习,没有什么事情是不付出努力就能轻易成功的,之所以叫成功是因为那个人拥有着与众不同的本领,如果你想拥有超群的本领就要不断的去学习,而学习也要讲究一定的效率。今天inoker的这个开始也正式我作为一个站长所要为他付出的努力,我知道一个人支撑起一个站很难,不过当我撑到不难的时候我知道我的日子会很好过。
先来说说很多朋友们的烦恼,是不是每次进一个论坛或者在百度搜索一篇菜鸟文章都要很费劲的来读,甚至看到几行便没有信心在读下去,因为什么?因为读不懂。原有的充满好奇的那种信心也随之逝去了。最后因为难以继续学习下去而放弃了黑客。
我曾经有过深深的体会。好比一条狭窄的小路,当你选择工具的时候就必须考虑是自行车汽车还是路行,选择好的方法才能得到一条捷径。下面我把大致的一条菜鸟路告诉给大家,也是我几年来东一条路西一条路走出来的捷径,希望对你们能有所帮助。但要记得,不付出努力即使一米长的小路,你不迈腿一样是一事无成,要想学就得做好下苦心的准备,不是说你今天按照别人做好的动画跟着去做刷到了几个QB就说明你是个黑客了,你内心的喜悦如果可以唤醒对黑客技术的兴趣,那还是值得的。一句话,我希望你走下去。
自己一定要对自己有个计划。不能今天上午学学黑客有兴趣了下午又对游戏有兴趣了。学到的知识相当与没学,学东西一定要有总体上的安排。我哪天哪天要计划学什么。预计多少天掌握熟练。这些在你学之前一定要想。我们提倡一种分类的学习方法,下面我说说分类学习的基本内容。前几天看见网安的这个分类学习路线我想在这里在补充点。
1.黑客术语基础:主要把一些常用黑客术语搞清楚,比如什么叫webshell什么叫注入,什么叫旁注,还有一些常用工具的功能,比如nc,sc等等.还有就是当你遇到一个不明白的黑客术语时就应该首先搞清楚这个术语的意思,到百度或者GOOGLE先查好了他的意思。在进行学习,不可以朦胧的去接触不懂的知识。要先搞清楚。(学习一个星期)
2.灰鸽子配置与使用:通过学习要达到正确配置灰鸽子并能正常上线.对它的功能进行操作训练.(学习二天)这个不用说了,初级黑客听得最多的就是鸽子了。
3.网页木马制作与传播(一个星期)
4.网站入侵(差不多一个月)
5.木马特征码修改(四五天)
当然知识块的划分与学习时间,可根据自己身情况进行适当选择.
下面我把分类学习法过程,技巧,并结合自己在实际学习中以实例形式讲解这种学习方法的具体步骤.
分类学习法的主线:
收集资料----看动画教程与技术文章----实战训练----回过头再看教程与文章---自己制作动画教程与写文章.
按照上面的路线反复练习我想你一定会在很短的时间内有很大的提升。
下面对各个环节进行讲解:
一、收集资料
这个环节,主要目的是收集到尽量多的某类知识块的相关动画教程和技术文章.收集方法主要有两种方法:第一种,利用百度,google,搜索.比如我想找网站入侵相关教程,可以在百度google中输入关键字"网站入侵+空格+教程",这样就可以收集大量教程和文章,可以灵活变化关键字,比如输入脚本入侵+空格+动画,ASP入侵等等,可以搜到大量网站入侵方面的资料,统统把它们收集整理起来。第二种,利用大型黑客网站的站内搜索功能。这种搜索比百度和google命中率要高的多。比如你想找网页木马相关教程,你可以到各大黑客网站,在站内搜索内输入关键字网页木马。
二、看动画教程与技术文章
在看之前,你要准备一个笔记本,专门用来记录在看动画或文章时,不明白的或疑惑的地方,在看的过程中,你可能有些地方看不明白,没关系,把不懂的地方记录下来,当然看动画
与文章时要注意以下几点:
1.要深刻理解动画教程整体思路
2.注意观察动画的每个操作细节,一有不清楚的就要马上记录.那如何解决记录着不懂的地方呢?通过以下几种方法解决。
1.论坛提问:比如菜鸟提问专区,把你遇到的不明白地方描述清楚,发到论坛上,当然你还可以到其它的黑客论坛提问。
2.向黑客群或朋友请教,这里你要多加几个黑客技术群,多交几个要好的黑客技术爱好者,然后,把你的疑难问题拿出来与大家一起讨论,一般也能解决。
3.反复看动画教程,技术文章,有时候,我们看一遍可能不能理解,但反复的看,反复的思考,往往都能解开动画或文章中的疑难问题。
4.用百度,google搜索相关内容,同样利用关键字进行搜索相关内容。这种方法还是不错的,在你搞懂了你的疑难问题的同时也搞懂了N个其它相关问题。
三、实战训练
这一阶段也是最重要的,刚开始你可以按照动画步骤来操作,很多疑难问题在实际操作才能真正体会到,同时在操作中也会得到解决。当然你在操作过程中遇到困难还可以回过头再看动画,并一直反复这个过程。慢慢的就会变成自己的技术。
四、回过头再看动画与文章
在操作过程中,遇到的疑难问题,然后我们带着这些问题回过头来看动画,相信理解的更深刻了。目的也更明确了。在这个过程中特别要注意在你操作的每个细节与动画中的细节作对比,发现存在问题的地方及时纠正。
五、自己制作动画或写文章
经过一段时间的学习,你可能对某个知识块也有较深的理解,也有自己的见解,所谓熟能生巧,熟练了自然而然也有个人的心得体会。这时候,你可以把你的新的入侵思路和技巧做成动画或写成文章呀,这不但提高了你的思维能力同时也锻炼了你的实际操作水平。这也是提高黑客技术水平的一个重要方法。
所以我在这里建议:若你有新的入侵思路或新的入侵技巧,不要埋在心里,做成动画。你会在不知不觉中进步。
以上就是我个人认为效果不错的黑客学习方法,当然还结合了以下四个方面的技巧。
一、做黑客笔记
1.记录实战入侵过程中的疑惑问题
2.在看别人动画或文章时,不明白或不理解的地方也记录下来。
3.同时,在学习过程中,遇到的入侵小技巧,入侵常用命令,优秀黑客工具,经典方法也一一记录下来。以后入侵或遇到难题时,随时都可以拿来查看。
二、收集整理优秀文章,动画教程,黑客工具。
1.分类整理优秀的技术文章。
2.收集整理经典的有技术含量的动画教程
3.收集经典的优秀的黑客工具,大家都应该有自己的黑客工具箱,并分类整理存放好。
收集整理的目的是方便以后的学习。
三、在看别人动画或文章时应该思考的问题。
1.领会动画整体思路。
2.记下不明的或疑惑的细节。
3.评价别人的动画,有何缺点,有何优点,学会分析和思考。同时要敢于提出自己的想法,如何才能进一步完美他的入侵方法。
四、勤做动画
这里做动画的好处,我不多说了,只要你做多了,自然而然就会体会到其中的好处!
只要具备以下条件的,都可以做成动画,我想,也是你掌握技术的最好方法,所以这也是行之有效的提高黑客技术的好方法。
1.看到好的文章就应做成动画:
2.好的工具,经典工具的使用也做成动画:
3.入侵总结:
之前我看到很多人做过木马传播的方法,也看过相关木马传播的文章,不过都比较零散,后来我又参考了相关杂志后就制作了木马传播的综合教程----木马传播终级大套餐。
4.新思路新技巧:
如果你有好的入侵思路或方法,也可做个动画.
5.拓展,延伸别人的动画:
主要是看了别人做的入侵动画,给你带来的新的入侵方法和技巧.
6.改善完美别人的动画:
从以上可以看出,我们要做的教程,尽量不要重复别人的教程,要有自己的创意和想法。所以,大家可以参考以上方法进行做动画,同时在看别人教程时,不要一味的照抄照搬,要有自己的见解,要学会思考,要善于总结,在看别人教程时还要不停的反问自己,能进一步入侵吗?他的这种入侵方法有什么缺点吗?能进一步完善他的入侵方法吗?只要你做到以上几点,我相信,你的技术也会突飞猛进的。
首先,我们了解被破坏网吧的客观环境,要了解网吧人员的实地jian测等。尤其要注意看有没有闭路电视jian控。如果网吧人员对你的个人资料相当熟悉,就住手免的惹麻烦了。部分网吧要出示身份证也不要破坏了,免的惹麻烦。以下破坏方法不分先后,请量力灵活运用若干破坏组合。具体操作细节不详细所了。
1、COMS破坏
尽情乱调吧,电脑系统的好多问题都出在COMS设置错误!!例如:电源设置错误,硬盘数据调错等。这样的隐形错误好多都是不容易发现。最现眼莫过于临走前,加个开机密码,你只用几秒钟,网管人员就要用几分钟拆机去掉COMS密码。
2、CIH类破坏 CIH类的病毒够厉害吧
除了CIH病毒,其他攻击硬件的病毒也有不少哦!把病毒发作条件调到我们离开才发作。
3。硬盘类破坏硬盘破坏软件多到泛滥。黑客站(病毒站)每天都出现更厉害的新病毒。旧病毒“KV300逻辑锁”就蛮厉害的,软硬盘都无法启动!HD-FILL等蠕虫软件也是有大杀伤力,硬盘瞬间充满废文件,硬盘无法使用!相反的做法是低格硬盘类病毒,低格会物理伤害硬盘,多低格硬盘就会报废!
4、超频破坏
超频对电脑有损害,大家都知道!超频带来的不系统稳定,是隐性的,不容易发现!CPU软超频,显卡也超频,硬盘也可以超频等!超频也容易引来黑屏和蓝屏。此法阴险,需要破坏者有相当的电脑知识.
5、系统破坏 破坏必修课
对付网管软件(美萍,网管大师等),多留意黑客网站上的新破解方法。有心就很容易找到的。对付隐藏的系统克隆文件也要找出来(用PQ6等),大肆破坏,至少也要加些病毒进去呀。同时也要把隐藏的分区找出来,进行必要的破坏。最好我们也把搞点隐藏,可以隐藏网吧的分区(文件)等。该出手时,就出手,决对不要手下留情,对敌人仁慈就是对自己残忍!还有就是破坏网吧的杀毒软件和防火墙,这是必要的,象卸掉KV3000,安装假的KV3000等,至少也要让杀毒软件带毒。破防火墙的软件去病毒网站找找,包你有惊喜发现。当然我们也可以下载其他的系统保护软件,让WINDOWS锁定,让其他人不能设置保存。
6、破解密码 电脑上有很多密码是有用的
网管软件(美萍等)的密码都是可以破解的,黑客站有你需要的资料。不知道就去问资深的黑客吧。他们乐意帮谦虚的你。局域网的共享密码也可以破解了(我也是4月才接触到破解资料),把破坏延伸都其他的电脑,抗大战果。有空把网吧的代理主机的上网密码也破解出来。简单点就可以安装个“键盘幽灵”等键盘记录软件,什么帐号密码都会无法遁行。破解OICQ密码的软件,多到泛滥。把得到的帐号密码巧妙地公布天下!最好贼赃架祸是网吧泄露出去的!没有安全感的网吧是难有人去消费的,没有消费者是对网吧的最大破坏。
7、木马破坏在电脑上安装木马可谓历史悠久,破坏经验最多的方法
木马可以遥控网吧的电脑,远程破坏。这样的文章和软件随地是,不浪费时间重复介绍了。最好尽力把木马装到网吧代理上网主机上面。关键是要选对好的木马!用捆绑软件把病毒和木马和主要的软件捆绑起来!(例如IE和OICQ等)。黑客网站和木马网站会令你有新惊喜!
8、其他破坏简单硬件破坏,例如把主机的reset键堵住(等于按住reset不放),键盘”不小心“进水等
来点高风险的,去其他大网站贴不文明的文章,攻击zhengfu的文章,帮网吧引来不少”政治“问题,多贴文章,公安人员就会出手的啦!麻烦大大的有!也可以把电脑做成”跳板“,多些攻击”著名“网站,无论成功是否,IP会给网吧带来麻烦!
9、更多破坏多些留意电脑类书籍中的故障和维修等文章
里面有太多的经验可以吸收!有很多恼人的破坏方法。上黑客网站了解最新的共防知识!还有充分了解中国的刑法.
在你动手破坏之前,要想好先后次序。最好先去实地踩点,了解第一手详细资料,下次一次过动手。不要经常出入同一网吧,容易引起注意。个人安全一定要做足够。最好做个全屏遮盖的快截键(方式),预防网吧人员的走近。假如被发现就一定要XXX,(不是小弟强项,不知道写什么好)。
网络黑客是怎么操作的
Web服务器将成为下一代黑客施展妖术的对象。在很大程度上,进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前,黑客的攻击对象集中在操作系统和网络协议上,但随着这些攻击目标的弱点和漏洞逐渐得到修补,要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健,对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中,网络协议也变得更加安全。此外,防火墙也越来越智能,成为网络和系统的外部保护屏障。
另一方面,电子商务技术正在日益普及开来,其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是,人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢?
有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络,而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是,Web服务器和基于Web的应用程序有时是在“功能第一,安全其次”的思想指导下开发出来的。
当您的Web服务器面临巨大威胁时,怎样保障它们的安全呢?这就需要您不断了解新信息,新情况,每天跟踪您所用服务器的有关网站,阅读相关新闻并向它进行咨询。为了让你着手这方面的工作,下面介绍黑客对NT系统的四种常用攻击手段,同时介绍如何防止这类攻击。
Microsoft IIS ism.dll缓冲区溢出
受影响的服务器:运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器
Microsoft IIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS
eEye,这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时,黑客向目标程序或服务输入超出程序处理能力的数据,导致程序突然终止。另外,还可以通过设置,在执行中的程序终止运行前,用输入的内容来覆盖此程序的某些部分,这样就可以在服务器的安全权限环境下执行任意黑客命令。
eEye发现,IIS用来解释HTR文件的解释程序是ism.dll,它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文件名(大约3,000个字符,或更多)传递给IIS,那么输入值将在ism.dll中造成输入缓冲区溢出,并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码(通常称为“鸡蛋”或“外壳代码”),那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法包括三个步骤:
1.创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号,该程序将执行一个Windows命令外壳程序(cmd.exe),并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序,其源代码可以免费获得。
2.在IIS的ism.dll中制造缓冲区溢出,并使IIS从外部Web站点下载侦听程序(由步骤1产生)。
3.执行刚下载的程序(由步骤2产生),该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。
由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳,所以该外壳程序将在IIS的安全权限背景下运行,而该安全权限背景等价于NT
Administrator权限。这样,攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接,然后等着出现c:提示就万事大吉了。现在,攻击者拥有对整个NT服务器的管理权限,可以做任何事,比如,添加新用户、修改服务器的内容、格式化驱动器,甚至将该服务器用作攻击其它系统的踏脚石。
运行IIS 4.0并带有“Service Pack 3/4/5”的Windows
NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack
6也已经修补了该问题。
Microsoft IIS MDAC RDS安全弱点
受影响的服务器:运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器
在发现IIS eEye安全弱点的大约一个月后,IIS
4.0的另一个弱点又暴露出来。使用Microsoft数据访问组件(MDAC)和远程数据服务(RDS),攻击者可以建立非法的ODBC连接,并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft
Jet OLE DB提供程序或Datashape提供程序,攻击者可以使用Visual Basic for Applications
shell()函数发出能够在服务器上执行的命令。
在安装了MDAC 2.1或更高版本的IIS 4.0上,从位于其公共目录中的msadcmsadcs.dll,可以找到MDAC
RDS弱点。Rain Forest
Puppy在其站点中对该弱点进行了详细说明。该弱点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT
Administrator的IIS Web服务器进程的安全权限背景下,进行这种攻击的黑客可以在NT系统上远程执行任意命令。
MDAC的弱点不是由于技术造成的,而是由于用户对它的配置方式所致。很多站点是通过NT Option Pack 4.0安装IIS
4.0的。如果NT Option Pack
4.0是以典型或默认配置安装的,那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整过这些设置,从而使Web服务器的安全性大大降低。
Foundstone公司的George Kurtz、Purdue大学的Nitesh
Dhanjani和我曾经共同设计了一个只有一行的命令字符串,该命令将利用MDAC
RDS弱点,使远程NT系统启动一个通过FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行Netcat。Netcat将运行Windows命令外壳程序,并建立一个返回攻击者计算机的连接,这样,攻击者就获得了对远程NT系统的完全管理控制权。
Microsoft已经发布了相应的安全公告,并对使IIS 4.0免受该弱点攻击的保护措施进行了说明。
Allaire ColdFusion 4.0弱点
受影响的服务器:运行在Windows NT上的Allaire ColdFusion Server 4.0
作为还算容易使用的、功能强大的脚本语言,ColdFusion已经广泛流行起来。但流行并不意味着安全。ColdFusion的问题不在于该服务器自身,而是在于它附带的脚本。ColdFusion
4.0提供了示范应用程序和范例,它们可以在位于Web服务器根目录中的cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时,将安装这些应用程序和脚本。ColdFusion所附带的部分范例经过修改后,将允许非法访问服务器上所包含的敏感数据。这些弱点表明,基本的应用程序服务器可以被编写得不好的应用程序脚本歪曲利用。
存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为ColdFusion是作为具有Administrator权限的系统服务运行的,所以,该程序可以被用来任意访问和查看NT
Web服务器上的任何文件,包括boot.ini。用这种方法可以检索任何文件。Packet Storm对该弱点做了完整解释。
而更严重的弱点存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可以用来查看服务器上的任何文件,更为严重的是,它们还能将任意文件上载到服务器。对该弱点如何发作的讨论超出了本文的范围,欲了解详细信息请访问L0pht
Heavy
Industries的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的ColdFusion表达式的值。作为预防手段,该脚本在进行表达式计算时便会把被上载的文件删除掉,但要避免删除却是件容易的事。这样,攻击者可以上载恶意文件,并最终控制服务器。
这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题,请从任何运行中的服务器中删除ColdFusion示范脚本。Allaire的Security
Zone提供了补丁程序,并提供了如何保护ColdFusion服务器的进一步信息。
Sambar 4.3 hello.bat
受影响的服务器:运行在Windows NT上的Sambar 4.3 beta 7和更早版本
Sambar是提供给开发者的免费Web服务器。它提供了对CGI和WinCGI脚本、ODBC脚本以及ISAPI的支持。它甚至捆绑了Perl
5解释器。
Sambar 4.3 beta
7版和更早版本附带两个名为hello.bat和echo.bat的文件,它们是将Windows批处理文件用作CGI脚本的范例。这两个脚本本身没有问题,hello.bat显示字符串“Hello
World”,而echo.bat显示字符串“Place
Holder”。但当批处理文件被用作CGI脚本时,Web服务器将使用Windows命令外壳程序cmd.exe来运行它们。这样,攻击者可以利用该弱点针对目标服务器运行任意命令。例如,假如攻击者把URL
http://target.site/cgi-bin/hello.bat?dir+c:放在他或她的浏览器中,那么,将在服务器上运行命令“dir
c:”,并在浏览器上显示结果。由于Sambar是在NT
Administrator安全权限下运行的,因此事情会变得更为复杂。这样的权限等级可以让攻击者作为NT Administrator运行任意命令。
Windows命令外壳使用“”在相同命令行上分隔多个命令。如果用户将“”放在hello.bat的后面,并在其后添加一个命令,那么将在执行hello.bat后执行第二个命令。
由于已经删除了文件hello.bat和echo.bat,Sambar 4.3 beta
8版和更高版本没有该弱点。但是,由于Windows命令外壳程序解析命令行的方式无法改变,所以并没有办法能真正修正该问题。如果您安装了4.3
beta 7版或更低版本,请一定要删除hello.bat和echo.bat。
什么是黑客程序?
所谓黑客程序,是指一种无传染性的系统安全屏蔽程序。它被植入计算机系统,一旦黑客程序感染了计算机,便与黑客里应外合,使黑客攻击变得十分容易。
现在的黑客程序很可怕,就好像在你的计算机上隐藏了一套摄录装置。它可能窃取你的存折和信用卡的账号密码,偷看你的日记、情书,有时候,它甚至能够在你的计算机上留下暗门,随后供黑客出入,把你的计算机完全地控制起来。
设想一下,如果黑客通过一台计算机和一条电话线进入国家重要的政治、经济、军事、金融、保险网络系统,并进行控制或破坏,社会会怎么样?
黑客软件就是这样的一种工具,它可以使得那些略懂一些软件的人成为黑客,因为,一切都是现成的了,只需要学一学怎么用就可以了。借助黑客软件,十几岁的孩子都能成为黑客,就像操作自己的计算机一样轻而易举,通过互联网进入并远程控制被黑客程序“感染”过的计算机,这实在是一件很可怕的事情。
因此,专家认为,黑客软件不是病毒,但危害性要比病毒严重得多。
有一个黑客群体发布了一个人侵Windows机器的程序“后门”。它可以让用户经由因特网进入并控制远程Windows计算机。实际上,现在网络上到处都有这样的自由软件下载,这简直和到处都是枪支店一样危险。
所有运行在Windows95/98操作平台之上、使用支持TCP/IP通讯协议进行联网的计算机系统,都有可能遭受黑客程序“后门”的攻击。实际上这几乎包括了几乎所有的网络用户,可以把通过电话线拨号上网钓用户一网打尽。
专家告诉我们,目前已发现黑客程序的种类很多。黑客程序只要进行一次欺骗性的运行就可以完成自动安装,而且永远起作用,其破坏无规律可循,无法预见。
黑客程序的传播途径也五花八门,例如电子邮件的附件、共享软件程序、聊天软件、盗版光盘上不明用途的软件、电子贺卡寄送的可执行的“礼物”程序。这就告诉我们,随便安装程序是一件很危险的事情,尤其是重要部门的计算机系统。
木马有几种启动方式?
我来回答
广场xyi1983退出关注此空间在这儿商城专业的在线购物商城,正品行货,网上直销,全城最低价,7天无条件退款。
2008-11-18 16:10木马在WINDOWS中的几种启动方式如果你的电脑中一种新型的木马病毒你能怎么办?特别是一些未知类型的木马病毒,使用一般的杀毒软件或防木马软件是很难将其根除的,这时候我们就需要手动来清除这些病毒文件了。
其实我们只要能破坏这些病毒的启动条件,就可以达到清除病毒的目的,为此,本人在这方面找了些资料供给大家,以供参考。
病毒的启动主要分为3类,分别是:一、随windows系统启动,二、映像劫持启动,三、捆绑和嵌入正常程序中启动。下面我们主要就第一和第二点进行详细介绍。
第一部分:Windows自启动程序
一、经典的启动——“启动”文件夹
单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,如所示,其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下:
当前用户:
所有用户:
二、有名的启动——注册表启动项
注册表是启动程序藏身之处最多的地方,主要有以下几项:
1.Run键
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]
和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run],也要仔细查看。
2.RunOnce键
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\ RunOnce]
[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
3.RunServicesOnce键
RunServicesOnce键位于[HKEY_CURRENT_USER\Software\MicrosoftWindows\Current Version\RunServicesOnce]
和[HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\Current Version\RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
4.RunServices键
RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]
和[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]键。
5.RunOnceEx键
该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
6.load键
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。
7.Winlogon键
该键位于位于注册表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion\Winlogon]
和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
8.其他注册表位置
还有一些其他键值,经常会有一些程序在这里自动运行,如:
[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
小提示:
注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别:前者对所有用户有效,后者只对当前用户有效。
三、古老的启动——自动批处理文件
从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:\*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。
小提示:
★在Windows 98中,Autoexec.bat还有一个哥们——Winstart.bat文件,winstart.bat位于Windows文件夹,也会在启动时自动执行。
★在Windows Me/2000/XP中,上述两个批处理文件默认都不会被执行。
四、常用的启动——系统配置文件
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
1.Win.ini文件
使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。
小提示:
“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
2.System.ini文件
使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”,如果你强行删除“妖之吻”病毒程序yzw.exe,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的病毒,如将该句变成“shell=Explorer.exe 其他程序名”,看到这样的情况,后面的其他程序名一定是病毒程序如所示。
3.wininit.ini
wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。
小提示:
★如果不知道它们存放的位置,按F3键打开“搜索”对话框进行搜索;
★单击“开始→运行”,输入sysedit回车,打开“系统配置编辑程序”,如图2所示,在这里也可以方便的对上述文件进行查看与修改。
五、智能的启动——开/关机/登录/注销脚本
在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序。
六、定时的启动——任务计划
在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。
小提示:“任务计划”也是一个特殊的系统文件夹,单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹,从而方便进行查看和管理。
七、跟着别人的启动(病毒映像劫持,在下部分介绍)——随软件开启的程序
八、从“系统信息”查看启动程序
单击“开始→程序→附件→系统工具→系统信息”,双击“软件环境”,单击“启动程序”,在右边窗口出现的程序就是所有自启动程序,在“装载源”或“位置”下显出该程序是由注册表还是“启动”文件夹启动的。从这里只能查看自启动程序,不能对自启动程序进行禁止自启动等任何更改操作。
九、MSConfig
在Windows 98/Me/XP/2003中,单击“开始→运行”,输入msconfig回车即可打开“系统配置实用程序”窗口,单击“启动”标签,在列表框中显示的就是从注册表、“启动”文件夹和系统配置文件中自启动的程序。程序前有对号的是允许自启动的程序,没有对号的则不会自启动。如果想取消某个程序的自启动,单击取消程序前的对勾即可。还可以在autoexec.bat、system.ini和win.ini标签里面对它们进行编辑,取消其中的自启动程序。
十、以windows服务方式启动
这种方式目前已经少有病毒见到,但作为一种行之有效的启动方式,仍被以些病毒采用。这种启动方式的病毒,我们可以通过“开始→控制面板→管理工具→服务”来查看。一般通过这种方式启动的病毒服务状态都是“自动”和“已启动”状态的,我们可以通过修改其状态为“已停止”和“禁用”来停止病毒服务,并且,在该服务的“属性”中有此病毒程序的路径及名称,我们可以在此路径下删除病毒文件即可杀灭病毒。
第二部分:病毒的映象劫持技术
映像劫持的定义
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe(记事本),结果运行的却是运行了notepad.exe(记事本),也就是说在这种情况下,QQ程序被notepad给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options] 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
映像胁持的基本原理
WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后,程序就可以运行!
映像劫持的应用
★禁止某些程序的运行
先看一段代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
"Debugger"="notepad.exe"
使用记事本,把上面这段代码复制到记事本中,并另存为 ABC.reg,双击导入注册表,打开你的QQ看一下效果!
这段代码的作用是双击运行QQ的时候,系统都打开记事本,原因就是QQ被重定向了。如果要让QQ继续运行的话,把notepad.exe改为QQ.exe的绝对路径就可以了。
★偷梁换柱恶作剧
每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:
Windows Registry Editor Version 5.00
[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"
将上面的代码在记事本中另存为 task_cmd.reg,双击导入注册表。按下那三个键看是什么效果,不用我说了吧,是不是很惊讶啊!精彩的还在后头呢!
★让病毒迷失自我
同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的!下面就自己试着玩吧!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]
"Debugger"="123.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]
"Debugger"="123.exe"
上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映像劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。是不是很过瘾啊,想不到病毒也有今天!
当然你也可以把病毒程序重定向到你要启动的程序中去,如果你想让QQ开机自启动,你可以把上面的123.exe改为你QQ的安装路径即可,但是前提是这些病毒必须是随系统的启动而启动的。
关于映像劫持的预防,主要通过以下几个方法来实现:
★权限限制法
如果用户无权访问该注册表项了,它也就无法修改这些东西了。打开注册表编辑器,进入[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options] ,选中该项,右键——权限——高级,将administrator 和 system 用户的权限调低即可(这里只要把写入操作给取消就行了)。
★快刀斩乱麻法
打开注册表编辑器,进入把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项,直接删掉 Image File Execution Options 项即可解决问题。
第三部分:捆绑和嵌入(感染)正常程序启动
这种启动方式也是一种普遍的病毒启动方式,也是最让一般用户感到头疼的病毒感染方式,它通过感染和嵌入正常程序中达到使病毒启动的目的。
一、查看文件最后修改日期和字节大小
通过列出当前运行的程序目录,我们可以通过显示文件的“详细信息”来查看文件的最后修改日期和当前文件大小,一般来说,病毒感染的文件的修改日期都很近,而且被感染文件比正常程序文件体积要大一些。要注意的是,病毒嵌入后文件体积大小增加可能不明显,必须在该文件的属性中才可以看到最精确的文件体积,通过对比正常程序文件的正确体积和最后修改时间,才能判断该文件是否被感染。
一旦确定被感染文件,我们可以通过文件替换方式来修复被感染的程序。
小提示:
如果病毒感染了你的操作系统文件,无法在windows中直接置换该文件,可以考虑使用光盘虚拟操作系统或将硬盘挂载到其他计算机上的方法,来完成文件替换工作。
鉴于有部分初学者在修改了QQ重定向注册表键值后,出现QQ打开不了的问题,我在这里给出解决方法:在注册表中删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]项即可。#Pc分享到:浏览(23) 评论 转载评论 发布 帮助中心 | 空间客服 | 投诉中心 | 空间协议�0�82012 Baidu
目前大部分木马病毒经常用到的启动加载方式是哪些?
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。
一、通过"开始\程序\启动"
隐蔽性:2星
应用程度:较低
这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在 “系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
二、通过Win.ini文件
隐蔽性:3星
应用程度:较低
同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中, Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在 msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
三、通过注册表启动
1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
隐蔽性:3.5星
应用程度:极高
应用案例:BO2000,GOP,NetSpy,IEthief,冰河……
这是很多Windows程序都采用的方法,也是木马最常用的。使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称 regedit)都可以将它轻易的删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。
破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。
2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
隐蔽性:4星
应用程度:较低
应用案例:Happy99月
这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在 Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?
其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。
还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭 Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦 Windows异常中止(对于Windows9x这是经常的),木马也就失效了。
破解他们的方法也可以用安全模式。
另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。
四、通过Autoexec.bat文件,或winstart.bat,config.sys文件
隐蔽性:3.5星
应用程度:较低
其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。
另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似"Deltree C:\*.*"和"Format C:/u"的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。
五、通过System.ini文件
隐蔽性:5星
应用程度:一般
事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的 Shell项的值正常情况下是"Explorer.exe",这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为 Progman.exe就可以让Win9x变成Windows3.2)。我们可以在"Explorer.exe"后加上木马程序的路径,这样 Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。
六、通过某特定程序或文件启动
1、寄生于特定程序之中
隐蔽性:5星
应用程度:一般
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
2、将特定的程序改名
隐蔽性:5星
应用程度:常见
这种方式常见于针对QQ的木马,例如将QQ的启动文件QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了 QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。
3、文件关联
隐蔽性:5星
应用程度:常见
通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开一个文本文件或运行一个程序时,木马也就神不知鬼不觉的启动了。
这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文件和注册表键值即可。
"黑客"如何使用木马程序?
在黑客的领域中,有一句针对入侵者的名言是这么讲的:”一次入侵的成功,绝非是因为你的技术高明,而是你的运气较佳”。是的,无论你对黑客了解多少,在你所向往的传奇黑客故事背后,必然有着令人难以想像的艰辛和毅力。对于一个现成的系统漏洞,足以让一位高明的入侵者完全摧毁欲攻击的目标;相对于一些爱用木马的白痴入侵者而言,也正显现出入侵者在其水平与功力上极大差异。
如何会有木马?
关于木马程序的起源可追溯到二十年前的美国中情局,或者你也可以不要看太远,在1995年商业上所使用的一种服务器端与客户端的连线工具就是标准的木马程序。当初木马软件的使用是基于相当良好的网络管理概念,而受到高级入侵者对外发表与使用的时间点延伸到1998年8月,此时它才真正足以配合Windows内置的强大工具,更改登录文件或系统文件,发撅出完美的“躲藏”功能而成为名正言顺的Back Door(后门)。
据悉,在亚洲地区,木马软件的原始码程序在1999年初的中国大陆黑客组织的团队中,遭到”鹰派”方面人士的重新编写,尔后不到短短的二年,出现不下百匹来自中国大陆的“原创”木马,包含目前中国本土顶级的”冰河”木马,由原先的草稿式1.0,2.0,2.02等版本持续不断经过改写,一直升级到4.02才真正成为一个强大的木马软件。
当前的木马的程序几乎都是使用VC 或C 来编写,只有少数几个使用VB编写,配合微软在Windows内部内置许多秘密的工具,借以“面向对象”的理念,可以使用简单的继承直接来使用,有了微软的Windows XP内置的强大功能,相信对于要编写一支让人恻目的木马程序已经不再是一件苦差事,我们,正拭目以待这XP将会为网络带来的危险性。。
白痴入侵者才使用这种软件?
在近几年的入侵事件中我们可以发现一个共同的特点:凡是对于电脑愈不了解、水平越低的入侵者,愈喜欢使用木马软件。我们为什么要称使用木马软件的入侵者为白痴?非常可笑的一点是,当你的电脑安装木马程序的同时,你已经成为第一代被植入木马的受害者,而当你上网的同时,提供这些程序的人可以在数秒之内入侵到你的电脑,并且将你电脑的密码文件一次抓走……这简直是一种讽刺!
当前的木马愈来愈恐怖,遭到植入的电脑不光只是受害者本人,先进的木马经过转移后,会衍生出第二代,第三代,持续的向下延伸,植入每一台安装木马软件的电脑。而这些专门研发木马软件的高级入侵者,可以将所有安装过木马的电脑当成是一个个活的跳板,你的电脑将遭到隐密的改造,系统文件内将会潜伏着不为人知的秘密,这些人假手你的电脑可以轻松的使用“嫁接”后的IP,由你的电脑主动发出攻击的指令,如果入侵者的软硬件各方面条件具备,将有可能一次可以发动数万台的电脑对某一个甚至数个机构发动总攻击--信息战的时代即将来临,我们正在面临前所谓未见的网络大战,只要你的电脑安装了木马,你就可能成为被利用者,一位无名的士兵,一支被利用的枪。然而,这正是这一群爱用木马的白痴自找的,不能怨社会。请木马爱好者牢记:黑他人之前,自己必将先被黑。这是一种网络的相对论。
杀马,无用的观点?
很多人遭到木马入侵后,会寻找系统内相关被更改的地方进行查杀。其实木马是杀不完的,每日在全球诞生的木马有几百种,一支木马只要稍微改一下程序,就会变成一支新的木马.
事实上,木马并没有想像的那么可怕,要防范木马的方法也很简单。万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动。所以,只要不开启来路不明的文件、信件,不到不安全的网站,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
就算中了木马也不要太紧张,当前除了少数先进的木马具有配合植入电脑的时钟来自我运行外,多数的木马本身还没有攻击性,暂时还不用过于担心。
总之,在网络上木马程序还称不上是一种可怕的敌人,溢位的漏洞才是真正可怕的问题。
能详细的说说入侵别人的电脑的步骤和原理
我们自然先来看看“黑客”常用的攻击方法。“黑客”的攻击方法可以是你所接触到的任何东西:从键盘到硬盘,从诈骗到轰炸。下面我们就逐一列举这些问题。
1. 键盘
是不是感觉到很奇怪,为什么把键盘放在第一位呢?键盘也会遭到攻击吗?很简单,键盘是我们与外界进行沟通的重要桥梁,我们要通过它输入大量的信息,所以许多“黑客”软件都把这只“黑暗中的眼睛”放在了这里。通过记录键盘的活动,可以很容易地得到很多有价值的东西,例如密码、谈话内容。 解决办法:对付这些东西,最好的办法还是使用杀毒软件。如果杀毒软件带有病毒防火墙,需要注意下载最新的防火墙的版本。
2.浏览器
我们上网肯定离不开浏览器,这也是泄漏秘密的“好地方”。浏览器的漏洞主要是IE缓存的问题以及cookie的问题,尤其是cookie,有的cookie里面包含了你的登录网站名称、登录时间甚至登录密码。“踏雪无痕”这类软件就是专门查看cookie的“黑客”软件。
解决办法:点“internet选项”、“删除文件”把缓存彻底删除掉.
3. 腾讯OICQ.
现在哪家网吧会把腾讯OICQ拒之门外呢?正因为腾讯OICQ的广泛使用,腾讯OICQ每一个新版本的发布都受到众多的“黑客”的关注。从嗅探器、键盘记录器、轰炸器到偷看聊天记录等攻击方式,让人防不胜防。
解决办法:腾讯OICQ的更新速度非常快,所以要注意下载使用最新版本;在OICQ中点“系统参数”、“网络安全设置”、“拒绝陌生人信息”就可以对付OICQ的轰炸;还应该设置“使用本地信息加密”。
4. 网页浏览
浏览网页是我们获取网上信息的重要方法之一,对于网页浏览需要注意以下几点:登录免费信箱的时候尽量到指定的网站上去登录,不要在个人主页上登录,因为该网站很可能会记录下你的用户名和口令。对付无限制弹出窗口的网页(这是网页浏览时的恶作剧,可以让你的机器死机),可以先按住“Crtl+Alt+Del”键,把“EXPLORER”窗口关闭,然后再修改“Internet”选项,禁止执行Java。对于网页中插入的ActiveX,当提示下载安装的时候一定要看清除是否签名,如果没有签名就存在包含木马的可能性。尽量到知名的下载网站去下载软件,对下载的软件最好先杀毒。
5. 硬盘共享
网吧等于一个局域网,所以对于网络硬盘的共享一定要注意,尤其是硬盘的写权限千万开不得。最好把所有的硬盘全部设置为不共享。
6. 拷贝粘贴
我们有时候会大量地使用拷贝粘贴功能来复制文件和文字。当离开机器的时候最好把剪贴板清空,尤其要注意是否使用了某些剪贴板增强工具,这些工具通常会自动记录你所拷贝的文件数量和内容,即便是非正常关机都不会消失。
7.遗留文件
不要随便打开别人遗留下来的文件。好奇心并非总是好事。“黑客”为了使普通用户去掉戒备之心,总是利用大家最常见或者喜好的东西来骗人上当。一个图标是WINZIP的文件实际上却可能是一个木马;一款漂亮的FLASH动画背后可能隐藏了许多不为人所知的“勾当”。
8.异常变化
最后,注意计算机的异常变化。当你正在聊天的时候,突然鼠标不听你指挥了,或者计算机突然重新启动了,又或者突然出现一个新的窗口等,这些迹象表明你使用的计算机遭到了别人的控制。最好的防范办法,是下载天网个人防火墙,切断与网络的连接,天网同时也会自动记录下入侵者的IP。
9.端口
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑.
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,rylxk11就让你利用软件如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,rylxk11已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马.
rylxk11曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口.
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首显灰个端口扫描器,rylxk11推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。
排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得----在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过.
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。
Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。
另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。
SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,rylxk11倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。
而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。rylxk11在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中.
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp;
排除了木马以后,你就可以监视端口,悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。