荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: guess (BadBoy), 信区: Hacker
标  题: 转载BO的介绍文章
发信站: BBS 荔园晨风站 (Thu Jan 14 02:14:29 1999), 转信

标  题: 转载BO的介绍文章
发信站: 网易 BBS (Tue Jan 12 20:58:22 1999), 转信


                   黑客推出入侵Windows工具


    一个黑客群体日前发布了入侵Windows的程序Back Orifice。
该程序可以使用户经由TCP/IP网络进入并控制远程Windows微机。
Back Orifice是在日前于美国拉斯维加斯召开的黑客年会
DefCon VI上发布的,不少与会者带着面具以防人认出他们。据
说它是由一位自称是Sir Dystic的20多岁的程序员开发的。此人
属1984年成立的黑客群体the Cult   of the Dead Cow的成员。
      看到此则消息,我们很感兴趣。因为早就听说黑客组织
即将推出针对Windows95的攻击软件,而微软的安全部官员一直
对此消息表示不屑一顾。此次实物推出,怎么也要弄来看看。经
过我们使用证实,此软件并非人们想象的那么厉害。但是在被攻
击者完全不知情的情况下,却也具有相当的危害性:

                        Back Orifice的构成

        bo.txt          软件说明
        plugin.txt      plugin编程文件
        boserve.exe     Orifice自安装服务器程序
        bogui.exe       图形界面的客户端控制程序
        boclient.exe    文本方式的客户端控制

        boconfig.exe    对Boserver.exe安装方式进行设置,
                        指定文件名,监听端口,控制口令等
        melt.exe        解压被freeze压缩的文件的程序
        freeze.exe      压缩可以被melt解压的文件的程

● 侵入方式:

    先运行Boconfig.exe对Boserver.exe进行设置,然后将
Boserver.exe发送给要攻击的计算机(比如通过电子邮件等)
。对方运行Boserver.exe后,Boserver自动安装自己到Windows
中,并立刻销毁Boserver.exe.此时你的系统已经为远方的系统
侵入者留下了方便的后门.以后当你的windows启动连入网络后,
此程序就会秘密监听网络的消息,一旦发现远方的控制指令,就
会秘密的予以回应,可以让远方的控制者掌握对机器的完全控制
权。此后在你不知情的情况下,远方的侵入者可以随时在互连网
络上无限制的访问你的计算机,就如同访问他桌上另一台机器一
样的方便。这种侵入方式,让我们不由的回想起荷马史诗中的特
洛伊木马的故事。所以这种侵入可以说成是一种特洛伊木马程序
。同时我们也注意到,这种特洛伊木马要求你首先要运行它,所
以它虽没有原来宣称的那么可怕,(当初宣称是运行
back orifice后可以随意攻击网络上其他运行windows的计算机)
,但是你必须小心。
   特洛伊木马程序在计算机安全的防卫中占有一席之地。因为
早在UNIX时代,这种“木马程序”就已屡见不鲜。最著名的一个
用来骗取其他用户口令的程序就是如此做的:它先将原有的
Login程序改名,然后将自己改名成login。当用户准备登录系统
时,他会运行LOGIN(当然此时他运行的已不再是平常的LOGIN,
而是假的)。此时假的LOGIN就会象平常的LOGON做的那样,询问
用户具体的用户名(USERNAME)和口令(PASSWORD),然后它将
这些获取的资料通过邮件命令发送给攻击者,然后将自己改名,
将真实的LOGIN改名回来。再把用户登录给出的资料传送给真正
的LOGIN,让它完成用户真正的登录过程。此程序然后会销毁自
己,整个过程神不知鬼不觉。
  (注:特洛伊木马----一个著名的故事,希腊某国久攻特洛伊
城不下,最后佯做撤退,留下了内部装有精壮战士的木马。结果
对方高兴的将木马作为战利品拉回城中,夜 晚后木马中的战士
出来打开城门,和反攻回来的大部队消灭了整个曾经牢不可破的城
池。木马程序-泛指那些内部包含有为完成特殊任务而编制的代
码的程序,而这些特殊代码一般处于隐藏方式,执行时不为人发觉
,而其功能完全和程序所标称的功能无关。)
  不过根据X-FORCE组织对Back Orifice的评定,认为它只能算
一个“后门程序”。所谓的“后门程序”(backdoor),就是此程
序隐藏于目标系统中,并允许某些访问者可以任意访问计算机中
的资源,而不必获得通常人们访问资源时必须拥有的授权或者安
全认证。(我认为X-Force组织的评定更为确切一些。)

● 实验过程:

    在事先向网友Staryang说明后,我向他发送了Boserver,在
确定他已运行后,我开始运行Bogui.exe(如图),在输入对方
的IP地址后,我首先使用程序中的ping Host功能确定Bogui是否
可以正常联络对方的计算机。回应很快返回了,说明联系一切正
常。查看了一下bogui的内置功能,发现它提供大约45种功能,
可以对对方的计算机控制。比较令人担心的功能有:
    查看对方安装的软件,并可以增加删除。查看对方的硬盘,
并可以任意增加目录和删除文件。可以对对方的任意文件进行查
找,冻结,查看内容以及删除和拷贝。可以打开和关闭对方浏览
WWW的功能,并记录对方所有的键盘输入内容。可以遥控对方的
多媒体播放,捕捉等功能。
    查看对方当前运行的程序并可以任意终止其中的任意程序。
任意修改对方的注册表,查看对方的系统信息,甚至可以控制对
方的系统重启动(System Reboot)。这些功能中,经我们简单实
验的有:
   查看对方的硬盘:我输入“c:\*.*”立刻就看到显示对方C盘
上的所有目录和文件。然后我在对方的C盘的TEMP目录下建立了
一个TEMP1目录,经STARYANG确认操作成功。(为安全计,没有
实验删除文件)
   查看对方运行的程序:我选择“Process List”指令后立刻
看到对方当前运行的所有程序,并发送指令关闭其中的某个程
序,经STARYANG确认成功。
    其他一些牵涉到可能对系统有伤害的功能(如System Reboot
)没有做实验,想来也是可以成功的。
  鉴于实验的成功,让我们对此Back Orifice产生了极大的戒
心。你想,万一你的机器中有了他的存在,就象你的家给人装了
暗门,他可以随时随地的窥伺你和随意拿走东西,那还有什么安全
可言?

● 防范和消除
      在随后的日子里,我们密切关注网络论坛,搜集如何防
范,检查和消除back   orifice的消息。很快有了如下结果:

      1.Boserver.exe的大小是284160字节,你只要小心此大
        小的网络文件即可。
      2.Boserver.exe的运行表现非常明显,就是运行后什么
        也没有发生,但是原程序却不见了。如果你遇到过类
        似情况,可以90%肯定已经被攻击。
      3.查看你的注册表。一般back orifice会在注册表的如
        下项目中添加一个程序文件名:
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
        CurrentVersion\RunServices中添加一个诸如“.exe”
        。一般默认的是“ .exe”,别怀疑,就是这个名字,
        没有错,是“ .exe”。如果你经常备份你的注册表,
        你完全可以删除现在的注册表,然后从备份中重新生
        成一个。没有了注册表的入口,back orifice将不再
        发生作用。同时,你也可以在你的Windows/system目
        录下,查找一个“ .EXE”,那就是我们要寻找的
        Boserver.(注意,boserver并不确保最后安装的文件
        名就是".exe",这只是它默认安装的名字,也有可能
        不是此文件名)
       4.有专门的对付特洛伊木马的程序,使用它即可。


--


guess?

※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.1.77]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店