荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: nttiger (平平淡淡才是真。), 信区: Hacker
标 题: BO黑客攻击手段与防御措施
发信站: BBS 荔园晨风站 (Tue Mar 23 23:26:42 1999), 转信
BO黑客攻击手段与防御措施
苏林尤子
粗看“BO”,还以为是指Microsoft公司出品的著名软件套件Back Office。可是
错了,BO现在是大名鼎鼎的黑客软件Back Orifice的简称。如果你从BBS上、电子邮件中
、或者盗版光盘上看到BO120.ZIP之类的文件,那就是Cult Dead
Cow黑客小组制作的BackOrifice软件包。BO120.ZIP软件包中有一个BO.TXT文件,是Back
Orifice的使用说明,Cult Dead
Cow并不给BO贴上“黑客”的标签,而是给BO取一个很技术化的名字——“远程管理系统
”,并称自己是一个客户机/服务器应用程序,其BO客户机程序可以监视、管理和使用其
他网络中运行BO服务器程序所在的网络资源。
下面我们先来揭开BO的真面目,看看BO具有哪些攻击手段,然后介绍识别和清除
BO的方法,以及应采取的防范措施。
一、BO 运行机制
BO 是一个典型的黑客软件,它采用“特洛伊木马”技术,通过在你的电脑系统
中隐藏一个会在Windows 启动时悄悄执行的BO服务器程序,并用BO客户机程序来操纵你的
电脑系统。
1、BO主要程序
BO整套软件包括以下几个文件:
boserve.exe:BO服务器自安装程序。
bogui.exe:图形界面的客户端控制程序。
boclient.exe:文本方式的客户端控制程序。
freeze.exe:压缩程序。压缩文档可被metl命令解压缩。
melt.exe:解压程序。可以解压由freeze压缩的文件。
boconfig.exe:配置BO服务器程序文件名、端口、密码和插件的工具。
plugin.txt:关于插件编程的说明。
bo.txt:BO软件使用说明。
2、BO运行环境
BO软件现在只能在Windows 95/98中运行,还不能运行于Windows NT,这一点倒
是令NT的广大用户稍感宽慰。Cult Dead Cow 将推出BO的UNIX版本,并在不断更新。还将
开发能在Windows NT上运行的BO 服务器程序。
3、运行BO服务器程序
只要在电脑上运行BO服务器自安装程序boserve.exe,就可以安装BO服务器了。
当BO服务器自安装程序运行时,它在电脑系统中安装BO服务器,然后删除自安装程序。
一旦BO服务器被安装到一台电脑上,它会在每次电脑系统启动时运行。
BO服务器自安装程序具有巧妙的隐蔽性,其文件长度只有122KB。一旦安装成功
,就删除自安装程序,而每次开机它都运行BO服务器,但你从任务表里却找不到它,系统
运行也没有什么两样,好象什么事情都没有发生过。但是,它实际上存在于Windows的
SYSTEM目录中,文件名是“
.EXE”(空格.EXE),属性为隐含。
4、运行BO客户机
在Windows环境中,可以运行基于图形的BO客户机程序bogui.exe(如图1所示)
,或者运行基于文本的BO客户机程序boclient.exe,虽然它们间有些命令名称不相同,但
几乎所有命令的语法格式都是一致的。在基于文本的BO客户机中输入 “help
command”可得到更多关于命令的信息。在基于图形的BO客户机中有两个参数输入区域,
这些参数作为在“Command”列表中所选择的命令的参数。如果未给出命令所需要的参数
,BO服务器将返回“Missing data”(丢失数据)。
BO客户机通过加密了的UDP包与BO服务器通讯。要实现成功通讯,BO客户机必须
发送数据到BO服务器监听的端口,而且BO客户机密码必须匹配BO服务器已配置好的密码。
但如果不预先配置BO服务器,默认双方的端口都是31337,且不进行加密。也就
是说,任何BO的默认配置的BO服务器都可以被默认配置的BO客户机检测出来。
基于图形和基于文本的BO客户机都可以通过使用-p选项来设置BO客户机数据包
的发送端口。如果数据包被过滤或者有防火墙屏蔽,就可能需要从一个特别的、不会被
过滤和屏蔽的端口发送。如果UDP连接通讯不能成功,则可能是数据包在发送或回送路径
中被过滤或者屏蔽了。
5、配置BO服务器程序的参数
为了增强BO的隐蔽性,加强BO的攻击目标,Cult Dead Cow
还在BO软件包中提供了BO服务器程序配置工具boconfig.exe。在安装前,可以配置BO服务
器程序的一些参数,如安装后的BO文件名、监听端口、加密密码,以及启动时缺省运行的
插件,都可以使用boconfig.exe工具配置。如果不进行配置,缺省是监听31337端口、不
使用加密密码(数据包仍然会加密)和以“ .exe”文件名安装。
6、捆绑安装BO服务器
Cult Dead
Cow还在其主页上提供免费下载的一个BO插件SilkRope,通过它,可以十分容易地把BO服
务器自安装程序捆绑到任何一个可执行程序上,而这个可执行程序,除了文件长度大了
130K左右之外,没有任何的异常,一旦运行这个可执行程序,BO服务器程序就偷偷地自
动安装在你的电脑里。
二、BO 攻击手段
一旦BO客户机与BO服务器通讯成功,即可操纵BO服务器所在的电脑系统。BO提供
了50多种内置功能,包括在BO服务器的电脑上增加目录、删除文件、查看系统中各种可能
存在的口令、修改注册表,遥控BO服务器的多媒体播放、捕捉等功能。下面分类介绍其功
能。
1、IP 地址搜索功能
BO客户机的默认IP地址是127.0.0.1,用这个地址,即使不上网的情况下,客户
机也可以PING到自己的电脑。笔者就是利用这个功能在自己的电脑上做了很多实验。
从BO客户机向特定的IP地址发送命令即可对BO服务器操作。如果BO服务器无静态
IP地址,BO客户机提供命令:
(1)在基于文本的BO客户机使用Sweep或Sweeplist命令;
(2)在基于图形的BO客户机使用“Ping...”对话框;
(3)设定目标IP如“202.101.96.*”,扫描子网列表,当有BO服务器响应时,BO客
户机在子网列表目录中浏览,并显示所匹配的行和子网地址。这对于那些动态IP的网友来
说,如果你的电脑被安装了BO服务器,不管你的IP地址如何变动,你始终逃不过BO客户机
的监视。
2、文件管理功能
BO提供一系列命令,如File find、File copy、File delete等,可以在BO服务
器的硬盘目录中查找符合条件(支持通配符)的文件,并可以任意增加目录和删除文件,
查看文件内容,拷贝文件,对目录改名,删除目录等。
3、网络控制功能
BO提供Net use、Net connections、Export add、TCP file
receive等命令,可以把BO服务器连接到一个网络资源,可以在BO服务器上创建一个“出
口”(共享),可以查看BO服务器上所有的网络接口、域名、服务器和可见的共享“出
口”,列出当前共享名、共享驱动器、共享目录、共享权限和共享密码。通过TCP文件传
输,还可以将BO服务器主机
连接到一个特定的IP地址和端口,发送特定文件中的内容,或将所接收到的数据保存到
特定文件中。
4、进程控制功能
BO提供App add、Plugin execute、Process
spawn等命令,可以在TCP端口输出一个基于文本的应用程序,并允许你通过Telnet对话控
制基于文本或DOS的应用程序。可以在BO服务器上运行BO插件,列出当前激活的插件和已
存在的插件。可以在BO服务器上运行一个程序。可以查看当前运行的所有程序,并可发送
命令关闭其中的某个程序。
5、超媒体控制功能
BO提供HTTP Disable、MM Capture avi、MM Capture
screen等命令,可以打开和关闭BO服务器的HTTP服务器,重定向BO服务器的主机名的IP地
址。可以列出BO服务器的视频输入设备。如果存在视频输入设备,可以捕捉视频和音频信
号到avi文件中。可以捕捉BO服务器屏幕影像到一个位图文件中。还可以遥控BO服务器的
多媒体播放,可在BO服务器上播放一个avi文件。
6、系统控制功能
BO提供Keylog begin、System dialogbox、System info、Reg set value等命令
,可以显示BO服务器上的系统信息。包括电脑名、当前用户、CPU类型、内存容量及可用
内存、Windows版本、驱动器信息、硬盘驱动器容量及未使用空间等。
可以将BO服务器上的击键记录在一个文本文件中,同时还记录执行输入的窗口名
。如果愿意,还可以在BO服务器上创建一个对话框,与对方对话。
可以任意修改BO服务器的注册表,锁住BO服务器的电脑,甚至可以控制BO服务器
的系统重启动。
可想而知,BO的这些功能足以让众多的上网用户心惊胆战。如果你的电脑被安装
了一个BO这样的服务器程序,你的电脑就已经十分地透明了,别说你以前使用过的所有的
口令,包括你在主页上使用的口令字,你的拨号上网的口令,你的加密口令,甚至连屏幕
保护口令也不放过。那么,你的电脑还有什么安全可言?
三、识别与清除BO的方法
尽管BO黑客软件的功能很强大,但从技术上来说,BO黑客的本领并不是想像中的
那样可怕,它只是每次在Windows启动时,悄悄地在你的电脑上启动一个服务端程序。
而其他人就可以通过你登录Internet时的IP地址,用配套的客户端程序登录到你的电脑,
从而实现远程操纵你电脑的目的。从原理上讲,它是一套简单的远程登录及控制软件工具
,很多人都知道著名的PC Anywhere其实就属这类软件工具。BO黑客软件的关键在于隐藏
了一个会在Windows
启动时悄悄执行的服务端程序,可以说这是大多数在Internet上出现的黑客软件的共同之
处。
而清除这类黑客软件的最简便、有效的方法,就是将自动执行的黑客程序从
Windows的启动配置中删除掉。
下面介绍几种识别与清除BO的方法:
1、查看WINDLL.DLL文件
BO服务器安装后,将在Windows的SYSTEM子目录下生成WINDLL.DLL文件。
如果你的电脑C:\WINDOWS\SYSTEM 子目录下有WINDLL.DLL文件,说明你的电脑
已经被安装过黑客软件。你可以直接删除WINDLL.DLL文件。
2、查看“.EXE”文件
检查你的C:\WINDOWS\SYSTEM
子目录下是否有一个标着“.EXE”(空格.EXE)且没有任何图标的小程序,或者连EXE都没
有(如果不显示文件扩展名),只是一个空行。注意,因为它是隐含属性,你的资源管理
器应该设置为“显示所有文件”上,否则你看不到它。它的文件长度为124,928个字节,
由于Cult Dead
Cow还在不断更新,或许文件长度还在不断变化。
如果发现“.EXE”,说明系统已经被安装了BO服务器。由于这时“.EXE”程序在
后台运行,所以不能在Windows系统中直接删除它。清除的方法是,重新启动电脑系统,
让它在DOS方式下运行。然后,进入SYSTEM
子目录,将BO服务器程序(在DOS下显示为EXE~1)的属性改为非隐含,这样就可以删除
它。操作如下:
C> CD\WINDOWS\SYSTEM
C> ATTRIB -H EXE~1
C> DEL EXE~1
注意,如果BO服务器已经被boconfig.exe重新配置,那么安装后的BO服务器文件
名很可能不再是“.EXE”,并且它的文件长度也可能不再是124,928个字节。
3、查看系统注册表
BO服务器程序能够在Windows启动时自动执行,靠的是在Windows系统中加入自启
动程序,BO自启动程序并不是附加在传统的AUTOEXEC.BAT、CONFIG.SYS、WIN.INI和
SYSTEM.INI 里,而是在Windows系统的注册表里。
用Windows 95/98的REGEDIT.EXE程序,直接打开注册表,在纷繁枯燥的目录树中
你要费上一些功夫,找到下面目录:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
或者 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServi
ces
如果发现“.EXE”程序(如图2所示),说明系统已经被安装了BO服务器。这时
以使用注册表编辑功能删除“.EXE”程序。
4、使用MSCONFIG工具
如果你的电脑系统安装了Windows 98,那么可以使用其配置工具MSCONFIG.EXE。
与运行REGEDIT.EXE一样,可以点击“开始”,选择“运行”并键入MSCONFIG,然后再选
择“启动”,将会出现“启动”程序列表,如图3所示。
如果发现“.EXE”程序,说明系统已经被安装了BO服务器。这时,你只需点击
左面的小方框,取消“√”打勾号,就可以使其不会自动启动,从而使这个黑客程序失
效。
用MSCONFIG来清除隐藏在注册表中的自启动黑客程序,对于防范大多数Internet
上的黑客程序确实是一个比较简便、高效的方法。
5、使用杀毒软件
目前有一些新版的杀毒软件,如瑞星9.0(4)版、KILL98 4.16版、KV300+(X++)
版、VRV 23.b版等,都能够正确清除BO黑客程序,包括Windows的SYSTEM子目录下BO的
WINDLL.DLL和“.EXE”文件,以及Windows 95/98的注册表中的BO注册项。
6、使用黑客清除工具
现在已有专门的对付BO黑客的工具,如ANTIGEN就是一个很好的工具,你可以在
我的网页上(http://sulin.126.com)下载ANTIGEN.EXE,该文件只有374KB。下载后,可以
直接运行它,就可以看到ANTIGEN界面,如图4所示,通常按提示一直按Next按钮,即可清
除隐藏在系统内部的BO黑客程序,并关闭BO黑客程序打开的“后门”完全恢复系统状态。
四、防范黑客软件的措施
与反病毒一样,防御黑客软件也是“预防胜于治疗”。要树立“预防为主、消防
结合”的观念。
1、不运行来历不明的软件和盗版软件
从BO运行机制中可以知道,黑客的服务器程序必须被安装在目标系统,这就要求
电脑用户必须有意或被骗安装之。而运行来历不明的软件和盗版软件,就有可能带来这个
危险。
不要轻易运行从Internet上下载的那些不知其里的软件,不要随便下载软件,尤
其是不可靠的那些FTP站点,非授权的软件分发点。另外,几乎现在任何程序都不敢相信
了,因为它可以被十分容易地捆到任何一个可执行程序上,运行又无法发觉,那么如果你
下载一个程序随便运能那个程序(比如一个游戏软件、一个屏幕保护程序、甚至于一个新
年贺卡程序)确实能够运行,但说不定那个特洛伊木马已经在你的电脑里落户,一旦你上
网,你就成了任由别人宰割的羔羊。
同样地,对于来自电子邮件的附件,应先检查是否带有BO或其他病毒,不可轻易
运行。
所以,我们提倡使用原版软件,尽可能少用游戏软件、公共软件,要尽可能从第
一作者获得共享软件、自由软件、公共软件。
2、使用反黑客软件
要经常性地、尽可能使用多种最新的、能够查解黑客的杀毒软件来检查系统。应该
使用经安全检测的反黑客软件来检查系统。
必要时应在系统中安装具有实时检测、拦截、查解黑客攻击程序的工具。
应该注意的是,与病毒不同,黑客攻击程序不具有病毒传染的机制,因此,传统的
防病毒工具未必能够防御黑客程序。
3、做好数据备份工作
为了确保重要数据不被破坏,最好的办法是“备份、备份、再备份”。
应该定期备份电脑系统的重要数据,如硬盘分区表、WIN.INI和SYSTEM.INI,以及
系统注册表等。应该每天备份应用系统的重要文件。
经常检查你的系统注册表,发现可疑程序,应及时加以处理。
4、保持警惕性
要时刻保持警惕性,例如,不要把你的流览器的数据传输警告窗关闭。许多上网的
用户都设置为“以后不要再问此类问题”,这样你就失去了警觉,久而久之便习以为常,越
来越大胆地访问、下载和在WEB上回答问题。如果可能,把你的流览器的“接受Cookie”关
闭。不管是在IRC
或是访问别人的网站,你都不能保证它给你的Cookie那几十个或几百个字节是好心。笔者曾
经在IRC遇见过美国黑客使用这样的招术。
必须保持忧患意识,并且要为网络系统遭受入侵作出一些应变计划,如学习如何识
别异常现象、如何追踪入侵者,训练经常使用电脑网络的人,要有正确的上网知识,另外留
意与一些网络专家保持联系,及时从专业媒体获得安全信息。
5、使用防火墙
有条件的单位,应该使用防火墙。利用防火墙技术,通过仔细的配置,通常能够在
内外网之间提供安全的网络保护,降低网络安全风险。
6、隔离内部网与Internet的联接
为了确保重要信息不被窃取,最好的办法是重要信息应在非网络环境下工作。对于
重要系统的内部网络应在物理上与Internet网隔离。
对局域网内所有电脑应定期进行检查,防止因为个别漏洞而造成对整个局域网被攻
击。
对于与Internet相联的网络发布系统,必须加强网络安全管理。可喜的是,国内已
有专门针对黑客入侵而设计的、有自主版权的网络安全产品,由福建海峡信息中心推出的“
网威”黑客入侵防范软件就是一套高性能的安全产品。这套产品集网络安全测试、系统安全
测试、Web安全?
馐浴⒙┒醇觳狻⒙┒葱薏购桶踩嗫赜谝惶濉K芊治鲋赋鐾缧畔⑾低炒嬖诘母髦职踩
┒从胍迹岢鲎医ㄒ椋姨峁┝耸凳奔嗫厥侄魏褪僬椎恼攵訳NIX系统的漏洞补丁
(Patch),帮助系统管理员跟踪记录黑客行踪,修补系统漏洞,提高系统的整体安全性。
必须指出的是,防止外部黑客入侵仅仅是黑客防范的一个环节。据统计,目前发生
的黑客攻击事件有60%以上来自内部攻击和越权使用。所以,防内已成为当前黑客防范的重
要环节。从BO黑客程序来看,它不仅仅针对Internet网络,在局域网上同样能够施其攻击手
段。令人担心的
是,一些网络管理员还使用BO来加强网管能力,其负面影响不可轻视。
--
※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.1.199]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店