国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

  刀，兵器譜上排名第六。
    刀；
    一把好刀，光亮如雪；
    刃；
    一抹利刃，吹發(fā)即斷；
    黑客手中的掃描器如同刺客手中之刀，殺人、保命；攻擊、補漏。
    如果一個黑客手中沒有一兩個掃描器，那么他算不上是一個黑客，至少他是一個手里沒有“刀”的黑客。沒有“刀”的黑客是難以生存的……】
    “前輩，您為何如此看好掃描器？為什么黑客必須要有掃描器？”
    “后生，你上次木馬害我不淺，你這次又像搞什么花樣？”
    “上次小生只是跟前輩開了一個玩笑，還望前輩見諒。”
    “罷了，我老人家還不止于和你如此一般見識。此次你又有什么不清楚的？”
    “我不太清楚掃描器為何會像您所說的有如此大的威力，掃描器在黑客攻擊中能起到什么作用？”
    “看來你現(xiàn)在也是一個手里沒有刀的黑客，掃描器在一個成熟的黑客手里有著相當大的作用。因為進化到會用掃描器一級的黑客，他們就會很少有人在對那些無知的個人用戶感興趣，注意力更多的被吸引到了服務(wù)器上。而對付服務(wù)器最好的方法就是找到服務(wù)器系統(tǒng)的漏洞，或者服務(wù)器相關(guān)軟件的漏洞。對于傳統(tǒng)的手工查找來說，不但查找漏洞的速度過于緩慢，而且多數(shù)情況下只能針對某一個特定的漏洞，感覺有點大海撈針的味道。而掃描器就是一種快速尋找服務(wù)器系統(tǒng)相關(guān)漏洞的工具，通過它們，黑客可以根據(jù)自己的帶寬和系統(tǒng)情況，以他們自己喜歡的速度和方式來快速的尋找系統(tǒng)漏洞，而且這多數(shù)掃描器可以同時掃描多種漏洞，很容易找到系統(tǒng)的漏洞和弱點，此時黑客就可以根據(jù)掃描器提供的漏洞報告和信息，采用合適的攻擊方法對目標給以致命的一擊。”
    “前輩，那我如何找到掃描器，平時我好像很少接觸到這些東西啊。”
    “呵呵，你用過小榕的流光系列嗎？”
    “這個當然是接觸過了。”
    “其實小榕的流光就是一款結(jié)合強大掃描功能的軟件，只不過他在流光中加入了一些攻擊和破解成份。”
    “掃描器果然強大，我就曾用流光攻破過許多的黃色和反動網(wǎng)站，特別是他的FTP和新加入的SQLCMD功能，非常的強大。而且界面非常的友好，讓我這種菜鳥用戶很容易上手。”
    “你說的不錯，但是雖然小榕的流光非常出色，并兼?zhèn)鋸姶蟮钠平夂凸舫煞?，但是總的來說它不能算的上是一個真正的掃描器。而且流光主要體現(xiàn)在破解，攻擊性很強，沒有太多的對目標系統(tǒng)掃描后的分析報告，所以流光在我看來只能算是是一個涵蓋掃描功能的強大破解軟件。”
    “那么在前輩的眼中，什么樣的軟件是一個強大的掃描軟件，什么樣的掃描器才能成為黑客手中的屠龍刀？”
    “一個好的掃描器必須有簡潔和易于使用的操作界面，強大的分析和掃描信息范圍，對最新漏洞的掃描判斷能力（也就是通常所說的升級概念），詳細的分析結(jié)果報告和對漏洞的描述與對策。這樣的“刀”才能算的上是黑客手中的一把寶刀。”
    “前輩能否給我點評一下如今最為流行的掃描器的特點和性能呢？”
    “說道當今網(wǎng)絡(luò)安全界流行的掃描器，其中最為優(yōu)秀的就要算是ISS公司出品的商業(yè)掃描器了。它能針對上千種的系統(tǒng)和軟件漏洞對服務(wù)器作出全面的細微掃描，而且能夠生成比較詳細的掃描報告，應(yīng)該說是先進最好的掃描器了。”
    “前輩這個掃描器我可以從什么地方下載？”
    “無知！商業(yè)掃描器，當然是不能免費下載的了，你要花錢去買！”
    “還需要花錢啊，哪有沒有不花錢的掃描器呢？”
    “當然有了，掃描器是黑客必備的工具之一，要是都花錢去買那不符合黑客的風(fēng)格。我們可以在網(wǎng)上找到很多免費的而且同樣很優(yōu)秀的黑客掃描器。在國外比較常用的有Cerberus Internet Scanner簡稱CIS，還有烏克蘭SATAN。我們國內(nèi)的也有安全焦點的X-Scanner，與小榕的流光。”
    “前輩說的這幾種掃描器我只用過流光，我個人認為流光很出色，其他的掃描器也只有所耳聞，但不知道有什么特點，還請前輩賜教。”
    “比起你用過的流光來說，ISS算得上是一個真正的管理員使用的系統(tǒng)掃描工具，首先它能掃描一些眾所周知的系統(tǒng)漏洞和系統(tǒng)弱點，包括一些往往被用戶忽略的問題，這些問題是一些經(jīng)常被黑客利用的漏洞和弱點。ISS有更為強大的漏洞分析功能，并且它不會允許非法訪問，但是實際情況是ISS已經(jīng)背離了它的初衷目的。”
    “任何好的事物都有不利的一面，更何況一把刀，而且是把寶刀。”
    “這話不錯，ISS的確是安全界最為出色的掃描器，而且他還是第一個可以公開得到的多層次掃描器。特別是它的可移植性和靈活性，眾多的UNIX的平臺上都可以運行ISS，ISS的掃描時間和效率也是很快的，很適合于企業(yè)級的用戶。”
    “前輩，我插一句話，雖然ISS足夠強大，但是它畢竟不是免費的午餐，這就不符合我們的黑客精神了。您那里有沒有一些強大而且免費的掃描器？”
    “掃描器龐大的家族中怎么會沒有免費的，你聽說過NMAP嗎？”
    “NMAP倒是有所耳聞，以前在許多安全網(wǎng)站上見到過這個名字，但是我不知道它是干什么用的一個東西。”
    “NMAP其實就是一個功能強大的掃描器。它的強大之處在于它支持UDP，TCP (connect)，TCP SYN(half open)，ftp proxy(bounce attack)，Reverse-ident，ICMP(ping sweep)，F(xiàn)IN，ACK sweep，Xmas Tree，SYN sweep，Null等多種掃描協(xié)議和掃描方式。但是總的來說它的最大的優(yōu)點莫過于隱蔽性高，這是由于它采用的是“半開”的一種掃描方式，此外它提供的Stealth FIN，Xmas Tree與Null掃描模式更是讓被掃描者難以發(fā)現(xiàn)。也正是因為這一點的原因，NMAP深受一些骨灰級黑客的喜愛。像一般黑客喜歡的秘密掃描、動態(tài)延遲、重發(fā)與平行掃描、欺騙掃描、端口過濾探測、RPC直接掃描、分布掃描等，NMAP均可以實現(xiàn)，可以說NMAP是一個靈活性很大的掃描器。通過強大系統(tǒng)的掃描，它還可以分析出服務(wù)器的端口處于Open狀態(tài)還是被防火墻保護狀態(tài)?？傊膹姶笫遣谎远鞯?，如果你有一臺聯(lián)網(wǎng)的Linux或者UNIX計算機，那么你就可以去http://www.insecure.org/nmap/ 下載得到它。我知道遠程控制是種武器，在十八般兵器中名列第七，木馬呢?”
    “木馬也是種武器，也是遠程控制。”
    “既然是遠程控制，為什么要叫做木馬？”
    “因為這個遠程控制，無論控制了什么都會造成離別。如果它鉤住你的E-Mail，你的E-Mail就要和你離別；如果它鉤住你的QQ，你的QQ就要和你離別。”
    “如果它鉤住我的機器，我就和整個網(wǎng)絡(luò)離別了?”
    “是的。”
    “你為什么要用如此殘酷的武器?”
    “因為我不愿被人強迫與我所愛的人離別。”
    “我明白你的意思了。”
    “你真的明白?”
    “你用木馬，只不過為了要相聚。”
    “是的。”
    一
    在眾多的黑客武器中特洛伊木馬（Trojan horse）這種攻擊性武器無論是菜鳥級的黑客愛好，還時研究網(wǎng)絡(luò)安全的高手，都視為最愛。雖然有的時候高手將木馬視為卑鄙的手段。但是作為最為有效的攻擊工具，木馬的威力要比其他的黑客工具大得多。
    “木馬既然如此有效，為何在Hacker兵器譜中排名靠后？”
    “因為使用木馬往往不是很光明正大。”
    “哦？為何？”
    “在使用木馬的人群中菜鳥黑客居多，他們往往接觸網(wǎng)絡(luò)不久，對黑客技術(shù)很感興趣，很想向眾人和朋友顯示一番，但是去駕馭技術(shù)不高，不能采取別的方法攻擊。于是木馬這種半自動的傻瓜式且非常有效的攻擊軟件成為了他們的最愛。而且隨著國產(chǎn)化的木馬不斷的出現(xiàn)，多數(shù)黑客的入門攻擊幾乎無一例外都是使用木馬。當然對于那些黑客老手來說他們也并不是不使用木馬了，他們通常會在得到一個服務(wù)器權(quán)限的時候植入自己編寫的木馬，以便將來隨時方便進出這臺服務(wù)器。”
    “但如此一來木馬的名聲不就隨之降低了嗎？”
    “是的，所以現(xiàn)在的黑客高手都恥于用木馬，更恥于黑個人的計算機。”
    “不過木馬在很多人的眼中仍然是一等一的絕好兵器。”
    在眾多的木馬之中Cult of Dead Cow開發(fā)的Back Orific2000應(yīng)該算是名氣比較大的一個。這款軟件是在Back Orific2.1的基礎(chǔ)之上開發(fā)的，但是他最大的改動就是增加了對Windows NT服務(wù)器系列的支持。作為微軟的高端產(chǎn)品，BO2000的這個功能無疑對Windows NT來說是致命的，就Windows NT本身而言，由于硬盤采取了NTSF的加密，普通的木馬，包括冰河也無法控制，當然要想要讓多數(shù)木馬無法對Windows NT發(fā)揮作用最好將Windows NT轉(zhuǎn)化為NTSF的格式下才會比較好用一些。
    而正因為如此BO2000才深得黑客高手的喜愛，因為他們感興趣的也只有服務(wù)器，也只有Web Server才能夠提起他們的胃口，那是一種來自深層感官的刺激。
    通常情況下木馬大致可分為兩個部分：服務(wù)器端程序和客戶端程序。服務(wù)器端通常就是被控制端，也是我們傳統(tǒng)概念上的木馬了。
    二
    “你說BO2000好，但是絕大多數(shù)的殺毒招數(shù)都能夠溝將其制服，而且我感覺他在使用上不如我手里的冰河銳利，況且我也不想黑什么服務(wù)器。我認為，個人電腦中隱藏有更大的寶藏，而且個人電腦脆弱的我能夠利用任何一種方法摧毀它。
    “你說的很對，冰河確實銳利，而且稱霸中華江湖一年之久，也可謂武林中少見的好兵刃，但是兵器雖然鋒利，但兵器在打造的時候卻留下來一個致命的缺點，這也是木馬冰河為何在武林衰敗的原因。”
    “這是一個什么樣的弱點那？竟然如此致命？”
    “呵呵，說白了也很簡單，冰河的作者在打造冰河2.X版本時就給它留下了一個后門，這個后門其實就是一個萬能密碼，只要擁有此密碼，即便你中的冰河加了密碼保護，到時候仍然行同虛設(shè)。”
    “什么！真有此事？想我許多朋友還因為冰河好用把它當作了一個免費的遠程控制程序來用，如此這般，他們的機子豈不暴露無遺？”
    “呵呵，在黑客中瞞天過海、借花獻佛這些陰險的招數(shù)都不算什么，多數(shù)木馬軟件的作者為了擴大自己的勢力范圍和爭取主動權(quán)都會留一手，致命的一招。冰河的作者當然也不例外，而且由于作者鐘愛許美靜，所以每一個冰河中都包含許美靜的歌詞。當然作者為自己以后行事方便也留了幾個萬能密碼。”
    “噢？萬能密碼？”
    “通常黑客在植入冰河這種木馬的時候，為了維護自己的領(lǐng)地通常的要為自己的獵物加一個密碼，只有輸入正確的密碼你才能夠正常的控制對方的計算機，但是冰河的打造者為了方便自己的使用在冰河中加入了一個萬能的密碼，就像萬能鑰匙一樣。冰河各版本的通用密碼：
    2.2版：Can you speak Chinese?
    2.2版：05181977
    3.0版：yzkzero!
    4.0版：05181977
    3.0版：yzkzero.51.net
    3.0版：yzkzero!
    3.1-netbug版密碼: 123456!@
    2.2殺手專版：05181977
    2.2殺手專版：dzq20000!
    你可以試試看，是不是很輕松的就能夠進入任何一臺有冰河服務(wù)器端的電腦？”
    “真的進入了，果然有此事情，怪不得現(xiàn)在很多人都不再使用冰河。”
    “此外冰河還存在著兩個嚴重的漏洞：
    漏洞一：不需要密碼遠程運行本地文件漏洞。
    具體的操作方法如下：我們選擇使用相應(yīng)的冰河客戶端，2.2版以上服務(wù)端用2.2版客戶端，1.2版服務(wù)端需要使用1.2版客戶端控制。打開客戶端程序G_Client，進入文件管理器，展開“我的電腦”選中任一個本地文件按右鍵彈出選擇菜單，選擇“遠程打開”這時會報告口令錯誤，但是文件一樣能上傳并運行。
    任何人都可以利用這個漏洞上傳一個冰河服務(wù)端就可以輕松獲得機器的生死權(quán)限了，如果你高興的話，還可以上傳病毒和其它的木馬。
    漏洞二：不需要密碼就能用發(fā)送信息命令發(fā)送信息，不是用冰河信使，而是用控制類命令的發(fā)發(fā)送信息命令。”
    “當然這的確是一個原因，但更主要的是現(xiàn)在的多數(shù)殺毒軟件都能克制冰河。”
    三
    木馬通常會在三個地方做手腳：注冊表、win.ini、system.ini。這三個文件都是電腦啟動的時候需要加載到系統(tǒng)的重要文件，絕大部分木馬使用這三種方式進行隨機啟動。當然也有利用捆綁軟件方式啟動的木馬，木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標電腦上，可以捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。如果木馬捆綁到一般的程序上，啟動是不確定的，這要看目標電腦主人了，如果他不運行，木馬就不會進入內(nèi)存。捆綁方式是一種手動的安裝方式，一般捆綁的是非自動方式啟動的木馬。非捆綁方式的木馬因為會在注冊表等位置留下痕跡，所以，很容易被發(fā)現(xiàn)，而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等，位置的多變使木馬有很強的隱蔽性。
    “在眾多木馬中，大多數(shù)都會將自己隱藏在Windows系統(tǒng)下面，通常為C:\Windows\目錄或者C:\Windows\system\與C:\Windows\system32下隱藏。”
    “眾多的目錄中為何選擇這兩個目錄？”
    “呵呵，當然是為了便于隱蔽。通常這幾個目錄為計算機的系統(tǒng)目錄，其中的文件數(shù)量多而繁雜，很不容易辨別哪些是良性程序哪些是惡性程序，即便高手往往也會有失誤刪除的情況。而且，即便放置在系統(tǒng)目錄下，就多數(shù)為重要的文件，這些文件的誤刪除往往會直接導(dǎo)致系統(tǒng)嚴重的癱瘓。”
    “原來如此。”
    “前輩，木馬冰河是否也做了這些手腳？”
    “這是自然，木馬一旦被植入目標計算機中要做的最重要的事就是如何在每次用戶啟動時自動裝載服務(wù)端。冰河也是如此了。首先，冰河會在你的注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 鍵值中加上了\kernl32.exe(是系統(tǒng)目錄)，
    §c:\改動前的RUN下
    默認=""
    §c:\改動后的RUN下
    默認="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
    §c:\改動前RunServices下
    默認=""
    §c:\改動后RunServices下
    默認="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
    §c:\改動前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的：
    默認="Notepad.exe %1"
    §c:\改動后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的：
    默認="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1"
    可以看出之所以冰河可以自我恢復(fù)主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe，而且冰河服務(wù)器端的編制是加密的，沒法簡單的通過改注冊表得到或換掉。另外值得一提的是，即便你刪除了這個鍵值，也并非平安大吉，冰河還會隨時出來給你搗亂，主要因為冰河的服務(wù)端也會在c:\windows目錄下生成一個叫 sysexplr.exe文件，當然這個目錄會隨你windows的安裝目錄變化而變化。
    “這個文件名好像超級解霸啊，冰河竟然如此狠毒。”
    “哈哈哈哈，你說的很對，也很聰明，這個文件的確很像超級解霸，但是這還是不夠稱得上為陰險，最為陰險的是這個文件是與文本文件相關(guān)聯(lián)的，只要你打開文本，sysexplr.exe程序就會重新生成一個krnel32.exe，此時你的電腦還是被冰河控制著。而且如果你失誤將sysexplr.exe程序破壞，你計算機的文本文件將無法打開。”
    木馬都會很注意自己的端口，多達六萬多中的端口很容易讓我們迷失其中，如果你留意的話就會發(fā)現(xiàn)，通常情況下木馬端口一般都在1000以上，并朝著越來越大的趨勢發(fā)展。這主要是因為1000以下的端口是常用端口，況且用時占用這些端口可能會造成系統(tǒng)不正常，木馬也就會很容易暴露；此外使用大的端口也會讓你比較難發(fā)現(xiàn)隱藏其中的木馬，如果使用遠程掃描端口的方式查找木馬，端口數(shù)越大，需要掃描的時間也就越多，故而使用諸如8765的端口會讓你很難發(fā)現(xiàn)隱藏在其中的木馬。
    四
    “既然木馬如此的陰險，那么前輩有何可知木馬的方法啊？”
    “現(xiàn)在的木馬雖然陰險，但終究逃不過幾個道理。平時出名的木馬，殺毒軟件就多數(shù)能夠?qū)Ω丁５乾F(xiàn)在木馬種類繁多，有很多殺毒軟件對付不了的。但是，只要我們謹記一下幾個方法，就能夠手到擒來。”
    “首先，我們可以選擇端口掃描來進行判斷，因為木馬在被植入計算機后會打開計算機的端口，我們可以根據(jù)端口列表對計算機的端口進行分析。此外，查看連接也是一種好辦法，而且在本地機上通過netstat -a（或某個第三方的程序）查看所有的TCP/UDP連接，查看連接要比端口掃描快，而且可以直觀地發(fā)現(xiàn)與我們計算機連接的有哪些IP地址。當然，如果你對系統(tǒng)很熟悉的話，也可以通過檢查注冊表來進行木馬的殺除，但是這個方法不適合于那些菜鳥級用戶。查找木馬特征文件也是一種好方法，就拿冰河來說……”
    “這個我知道前輩，木馬冰河的特征文件一定是G_Server.exe。”
    “那有這么簡單。冰河植入計算機后真正的特征文件是kernl32.exe和sysexlpr.exe。”
    “太狠毒了，一個跟系統(tǒng)內(nèi)核文件一樣，一個又像超級解霸。那么前輩我們把這兩個文件刪除掉，這冰河豈不就消失了。”
    “的確，你要是在DOS模式下刪除了他們，冰河就被破壞掉了，但是你的計算機隨之會無法打開文本文件，因為你刪除的sysexplr.exe文件是和文本文件關(guān)聯(lián)的，你還必須把文本文件跟notepad關(guān)聯(lián)上。修改注冊表太危險，你可以在Windows資源管理器中選擇查看菜單的文件夾選項，再選擇文件類型進行編輯。不過最簡單的方法是按住鍵盤上的SHIFT鍵的同時鼠標右擊任何一個TXT為后綴的文本文件，再選擇打開方式，選中〖始終用該程序打開〗，然后找到notepad一項，選擇打開就可以了。”
    “哈哈，按照前輩這么說來，我們只要抓住了這特征，天下的木馬也奈何不了我們了。”

責(zé)任編輯：Geeglo       

本文引用網(wǎng)址：    與您的QQ/MSN好友分享!
上一篇：無
下一篇：無

 
發(fā)表評論　加入收藏　告訴好友　打印本頁　關(guān)閉窗口　返回頂部    VIP會員
黑客常用兵器之木馬篇（上）的相關(guān)文章
發(fā)表評論最新
 · 黑客常用兵器之木馬篇（上）  · Windows系統(tǒng)用戶做好防范黑  · 基礎(chǔ)知識（6）  · 基礎(chǔ)知識（4）  · 基礎(chǔ)知識（2）  · 基礎(chǔ)知識（1）  · 黑客初級技術(shù)講解（下）  · 黑客初級技術(shù)講解（中）  · 主動內(nèi)核(Active K)技術(shù)  · 新時代下的網(wǎng)絡(luò)病毒 推薦
 · 惡意網(wǎng)頁病毒十三大癥狀分析及修  · 揭露Q幣/Q號被盜的真相  · “偽裝網(wǎng)站”的欺詐方法介紹及案  · 手工查殺病毒常見文件型分析總結(jié)  · 如何知道自己是不是中木馬  · QQ寶典　六法則保護你安全聊天  · 小技巧解決QQ占用CPU資源過高問  · 如何防御分布式拒絕服務(wù)DDoS的攻  · 機器狗病毒入侵源代碼以及入侵原 專題
SQL注入攻防專題
       詳細>>
ARP欺騙與反欺騙技術(shù)
       詳細>>
黑客DDOS拒絕服務(wù)攻擊
       詳細>>
圖片
 變種機器狗木馬病毒防
 “反黑軍團”總教頭
 黑客訓(xùn)練營一瞥
 黑客域名劫持攻擊詳細
 Linux下如何知道某個
熱點
 · 查看別人IP經(jīng)典辦法  · 恐怖！黑客入侵全過程  · 基礎(chǔ)知識（1）  · HACKER菜鳥入門[經(jīng)典]  · 淺談下黑客入侵的四條常規(guī)途  · 偽裝攻擊 IP地址的洪水Ping  · 基礎(chǔ)知識（2）  · 開啟與關(guān)閉服務(wù)列表命令  · 黑客初級技術(shù)講解（上）  · 黑客探取密碼的原理及防范
本篇文章來源于 黑客基地-全球最大的中文黑客站 原文鏈接：http://www.hackbase.com/tech/2010-01-04/58900.html“哈哈，你可知道除了冰河這樣的木馬經(jīng)常使用的隱身技術(shù)外，更新、更隱蔽的方法已經(jīng)出現(xiàn)，這就是―驅(qū)動程序及動態(tài)鏈接庫技術(shù)。驅(qū)動程序及動態(tài)鏈接庫技術(shù)和一般的木馬不同，它基本上擺脫了原有的木馬模式―監(jiān)聽端口，而采用替代系統(tǒng)功能的方法改寫驅(qū)動程序或動態(tài)鏈接庫。這樣做的結(jié)果是：系統(tǒng)中沒有增加新的文件所以不能用掃描的方法查殺、不需要打開新的端口所以不能用端口監(jiān)視的方法進行查殺、沒有新的進程所以使用進程查看的方法發(fā)現(xiàn)不了它，也不能用kill進程的方法終止它的運行。在正常運行時木馬幾乎沒有任何的癥狀，而一旦木馬的控制端向被控端發(fā)出特定的信息后，隱藏的程序就立即開始運作。此類木馬通過改寫vxd文件建立隱藏共享的木馬，甚是隱蔽，我們上面的那些方法根本不會對這類木馬起作用。
    “可是前輩說的這種木馬晚生并沒有見到啊。”
    笨蛋！你沒有見過，你怎么知道我老人家也沒有見過？告訴你我已經(jīng)看到了一個更加巧妙的木馬，它就是Share。運行Share木馬之前，我先把注冊表以及所有硬盤上的文件數(shù)量、結(jié)構(gòu)用一個監(jiān)控軟件DiskState記錄了起來，這個監(jiān)控軟件使用128bit MD5的技術(shù)來捕獲所有文件的狀態(tài)，系統(tǒng)中的任何文件的變動都逃不過他的監(jiān)視，這個軟件均會將它們一一指出。”
    “前輩我這里第一次運行Share后，系統(tǒng)好像沒有動靜，使用Dllshow（內(nèi)存進程察看軟件）觀看內(nèi)存進程，似乎也沒有太大的變化。一般木馬都會馬上在內(nèi)存駐留的，或許此木馬修改了硬盤上的文件。”
    “好，那么你就接著用DiskState比較運行share.exe前后的記錄。”
    “程序顯示windows\applog里面的目錄的一些文件和system.dat、user.dat文件起了變化，并沒有其他文件的增加和修改。”
    “系統(tǒng)中的applog目錄里面存放了所有應(yīng)用程序函數(shù)和程序調(diào)用的情況，而system.dat和user.dat則是組冊表的組成文件。你把applog目錄里面的share.lgc打開來觀看，它的調(diào)用過程是什么？”
    “調(diào)用過程如下：
    c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"
    c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
    c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL"
    c15d4fd0 2623 "C:\WINDOWS\WIN.INI"
    c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
    c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL"
    c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE"
    c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"
    但是為什么前輩我們看不到MSWINSCK.OCX或WSOCK2.VXD的調(diào)用呢？如果木馬想要進行網(wǎng)絡(luò)通訊，是會使用一些socket調(diào)用的。”
    “那么接著你再觀察注冊表的變化。”
    “好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面，多了幾個鍵值，分別是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其內(nèi)部鍵值如下：
    "Flags"=dword:00000302
    "Type"=dword:00000000
    "ath"="A:\\" 《-----路徑是A到F
    "arm2enc"=hex:
    "arm1enc"=hex:
    "Remark"="黑客帝國"
    ”
    “這就對了，然后你在瀏覽器的地址欄輸入\\111.111.111.1\CJT_C$。”
    “?。【尤话盐业腃盤目錄文件顯示出來了。”
    “現(xiàn)在你把CJT_C$改成matrix然后重啟計算機，接著在瀏覽器的地址欄輸入\\111.111.111.1\matrix。”
    “前輩也顯示C盤目錄文件了，很奇怪的是，在我的電腦里面硬盤看上去并沒有共享啊？”
    “哈哈，那你再把"Flags"=dword:00000302的302改成402，reboot計算機。”
    “嘻嘻，硬盤共享已顯示出來了。那么如何防止這種木馬那？”
    “哈哈哈哈，這種木馬只不過用了一個巧妙的方法隱藏起來而已。你現(xiàn)在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部刪掉。如果你還放心不下，也可以把windows\system\下面的Vserver.vxd（Microsoft 網(wǎng)絡(luò)上的文件與打印機共享，虛擬設(shè)備驅(qū)動程序）刪掉，再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER鍵值刪掉。這樣就可以了。另外，對于驅(qū)動程序/動態(tài)鏈接庫木馬，有一種方法可以試試，使用Windows的〖系統(tǒng)文件檢查器〗，通過〖開始菜單〗－〖程序〗－〖附件〗－〖系統(tǒng)工具〗－〖系統(tǒng)信息〗－〖工具〗可以運行〖系統(tǒng)文件檢查器〗，用〖系統(tǒng)文件檢查器〗可檢測操作系統(tǒng)文件的完整性，如果這些文件損壞，檢查器可以將其還原，檢查器還可以從安裝盤中解壓縮已壓縮的文件。如果你的驅(qū)動程序或動態(tài)鏈接庫在你沒有升級它們的情況下被改動了，就有可能是木馬，提取改動過的文件可以保證你的系統(tǒng)安全和穩(wěn)定。”
    六
    “此外很多人中木馬都會采用如下手段：
    1．先跟你套近乎，冒充成漂亮的美眉或者其他的能讓你輕信的人，然后想方設(shè)法的騙你點他發(fā)給你的木馬。
    2．把木馬用工具和其它的軟件捆綁在一起，然后在對文件名字進行修改，然后修改圖標，利用這些虛假的偽裝欺騙麻痹大意的人。
    3．另外一種方法就是把木馬偽裝好后，放在軟件下載站中，著收漁翁之利。
    所以我這里提醒你一些常見的問題，首先是不要隨便從小的個人網(wǎng)站上下載軟件，要下也要到比較有名、比較有信譽的站點，通常這些網(wǎng)站的軟件比較安全。其次不要過于相信別人，不能隨便運行別人給的軟件。而且要經(jīng)常檢查自己的系統(tǒng)文件、注冊表、端口等，而且多注意些安全方面的信息。再者就是改掉windows關(guān)于隱藏文件后綴名的默認設(shè)置，這樣可以讓我們看清楚文件真正的后綴名字。最后要提醒你的是，如果有一天你突然發(fā)現(xiàn)自己的計算機硬盤莫名其妙的工作，或者在沒有打開任何連接的情況下，貓還在眨眼睛，就立刻斷線，進行木馬的搜索。”

本篇文章來源于 黑客基地-全球最大的中文黑客站 原文鏈接：http://www.hackbase.com/tech/2010-01-04/58902.html

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。