「他旁若無人地站在白宮走廊的一角,目光深邃。一台筆記本電腦與他寸步不離,
他不時在鍵盤上敲下某些神秘的指令......」,當有「世界頭號電腦黑客」之稱的天才
黑客凱文.米特尼克(Kevin.Mitnik)被克林頓總統邀請到白宮共商網絡安全大計時,美國
的一本著名週刊對這位有著傳奇色彩的黑客進行了以上的描述。
2000年8月21日上午10時,國內企業海信集團宣佈,懸賞50萬,以集團下屬公司——北京
海信數碼科技股份公司研製的8341防火牆向全球黑客挑戰。但就在8月24日,海信公司網
站主頁被化名為「黑妹」的黑客黑掉。並且在其主頁發表了一封致該公司副總裁的公開
信。信中稱,該公司這種行為「無非為了炒作。」並聲稱海信公司公佈的是一個根本PIN
G不通的IP地址,是對黑客極大侮辱。在最後以威脅性言語表示:「我現在勒令你:立即
停止叫板,否則貴網站一年四季休得安寧!」 ……
持續不斷的有關事件的新聞,使得黑客這一特殊群體再一次引起了世人的關注。
黑客的定義及其危害 什麼是黑客?
答:談到網絡安全問題,就沒法不談黑客(Hacker)。翻開1998年日本出版的《新黑
客字典》,可以看到上面對黑客的定義是:「喜歡探索軟件程序奧秘、並從中增長其個
人才幹的人。他們不像絕大多數電腦使用者,只規規矩矩地瞭解別人指定瞭解的範圍狹
小的部分知識。」
「黑客」大都是程序員,他們對於操作系統和編程語言有著深刻的認識,樂於探索操作
系統的奧秘且善於通過探索瞭解系統中的漏洞及其原因所在,他們恪守這樣一條準則:
「Never damage any
system」(永不破壞任何系統)。他們近乎瘋狂地鑽研更深入的電腦系統知識並樂於與他
人共享成果,他們一度是電腦發展史上的英雄,為推動計算機的發展起了重要的作用。
那時候,從事黑客活動,就意味著對計算機的潛力進行智力上最大程度的發掘。國際上
的著名黑客均強烈支持信息共享論,認為信息、技術和知識都應當被所有人共享,而不
能為少數人所壟斷。大多數黑客中都具有反社會或反傳統的色彩,同時,另外一個特徵
是十分重視團隊的合作精神。
顯然,「黑客」一詞原來並沒有絲毫的貶義成分。直到後來,少數懷著不良的企圖
,利用非法手段獲得的系統訪問權去闖入遠程機器系統、破壞重要數據,或為了自己的
私利而製造麻煩的具有惡意行為特徵的人(他們其實是「Crack」)慢慢玷污了「黑客」
的名聲,「黑客」才逐漸演變成入侵者、破壞者的代名詞。
「他們瞄準一台計算機,對它進行控制,然後毀壞它。」——這是1995年美國拍攝第一
部有關黑客的電影《戰爭遊戲》中,對「黑客」概念的描述。
雖然現在對黑客的準確定義仍有不同的意見,但是,從信息安全這個角度來說,「
黑客」的普遍含意是特指對電腦系統的非法侵入者。多數黑客都癡迷電腦,認為自己在
計算機方面的天賦過人,只要自己願意,就可毫無顧忌地非法闖入某些敏感的信息禁區
或者重要網站,以竊取重要的信息資源、篡改網址信息或者刪除該網址的全部內容等惡
作劇行為作為一種智力的挑戰而自我陶醉。
目前黑客已成為一個特殊的社會群體,在歐美等國有不少完全合法的黑客組織,黑
客們經常召開黑客技術交流會,97年11月,在紐約就召開了世界黑客大會,與會者達四
五千人之眾。另一方面,黑客組織在因特網上利用自己的網站上介紹黑客攻擊手段、免
費提供各種黑客工具軟件、出版網上黑客雜誌。這使得普通人也很容易下載並學會使用
一些簡單的黑客手段或工具對網絡進行某種程度的攻擊,進一步惡化了網絡安全環境。
黑客可以分為哪幾種類型? 答:黑客通常可以分為以下幾種類型:
1.好奇型 他們沒有反社會色彩,只是在追求技術上的精進,
只在好奇心驅使下進行一些並無惡意的攻擊,以不正當侵入為手段找出網絡漏洞,他們
在發現了某些內部網絡漏洞後,會主動向網絡管理員指出或者乾脆幫助修補網絡錯誤以
防止損失擴大。他們能使更多的網絡趨於完善和安全。 2.惡作劇型
闖入他人網站,以篡改、更換網站信息或者刪除該網站的全部內容,並在被攻擊的
網站上公佈自己的綽號,以便在技術上尋求刺激,炫耀自己的網絡攻擊能力。
3.隱密型
喜歡先通過種種手段把自己深深地隱藏起來,然後再以匿名身份從暗處實施主動網
絡攻擊;有時乾脆冒充網絡合法用戶,通過正常渠道侵入網絡後再進行攻擊。此類黑客
大都技術高超、行蹤無定,攻擊性比較強。 4.定時炸彈型
極具破壞性的一種類型。為了達到個人目的,通過在網絡上設置陷阱或事先在生產或網
絡維護軟件內置入邏輯炸彈或後門程序,在特定的時間或特定條件下,根據需要干擾網絡
正常運行或致使生產線或者網絡完全陷入癱瘓狀態。 5. 重磅炸彈型
這種黑客憑借高超的黑客技術,利用高技術手段干擾競爭對手的正常商業行為。或者非
法闖入軍事情報機關的內部網絡,干擾軍事指揮系統的正常工作,竊取、調閱和篡改有
關軍事資料,使高度敏感信息洩密,意圖製造軍事混亂或政治動盪。
黑客有什麼樣的危害?
答:黑客對於窺視別人在網絡上的秘密有著特別的興趣,如政府和軍隊的機密、企
業的商業秘密及個人隱私等均在他們的雙目注視之下。他們的所作所為常常讓人們為之
瞠目:
1990年4月—1991年5月間,幾名荷蘭黑客自由進出美國國防部的34個站點如入無人
之境,調出了所有包含「武器」、「導彈」等關鍵詞的信息。嚴重的是,而美國國防部
當時竟一無所知。
在1991年的海灣戰爭中,美國首次將信息戰用於實戰,但黑客很快就攻擊了美國軍
方的網絡系統。同時。黑客們將竊取到的部分美軍機密文件提供給了伊拉克。
1996年9月18日,美國中央情報局的網頁被一名黑客破壞,「中央情報局」被篡改成
「中央愚蠢局」 ……
據《今日美國報》報道,黑客每年給全球電腦網絡帶來的損失估計高達上百億美元
。
為了打擊黑客的犯罪活動,美國政府計劃成立一個由聯邦調查局、中央情報局、司法局
和商務部聯合組成的特別小組,來保護美國的重要電腦系統不受恐怖分子的攻擊。五角
大樓籌劃組建一個國家安全情報交流小組,以防止發生「電子珍珠港事件」。
二、黑客常用的攻擊手段
在高速運行的Internet上,除了機器設備、通訊線路等硬件設施本身的可靠性問題
之外,可以說每時每刻都受到潛在人為攻擊的威脅,而這種攻擊一旦成功,小則文件受
損、商業機密洩漏,大至威脅國家安全。以下就是黑客通常都採用幾種攻擊手段:後門
、炸彈攻擊、拒絕服務攻擊等。
什麼是後門程序?
答:當一個訓練有素的程序員設計一個功能較複雜的軟件時,都習慣於先將整個軟
件分割為若干模塊,然後再對各模塊單獨設計、調試,而後門則是一個模塊的秘密入口
。在程序開發期間,後門的存在是為了便於測試、更改和增強模塊的功能。當然,程序
員一般不會把後門記入軟件的說明文檔,因此用戶通常無法瞭解後門的存在。
按照正常操作程序,在軟件交付用戶之前,程序員應該去掉軟件模塊中的後門,但
是,由於程序員的疏忽,或者故意將其留在程序中以便日後可以對此程序進行隱蔽的訪
問,方便測試或維護已完成的程序等種種原因,實際上並未去掉。
這樣,後門就可能被程序的作者所秘密使用,也可能被少數別有用心的人用窮舉搜索法
發現利用。想想看,如果黑客發現了你的服務器正運行著有後門的軟件,結果將會怎樣
?!
炸彈攻擊的原理是什麼?
答:炸彈攻擊的基本原理是利用特殊工具軟件,在短時間內向目標機集中發送大量
超出系統接收範圍的信息或者垃圾信息,目的在於使對方目標機出現超負荷、網絡堵塞
等狀況,從而造成目標的系統崩潰及拒絕服務。常見的炸彈攻擊有郵件炸彈、邏輯炸彈
、聊天室炸彈、特洛伊木馬、網絡監聽等。
什麼是郵件炸彈?
答:郵件炸彈攻擊是各種炸彈攻擊中最常見的攻擊手段。現在網上的郵件炸彈程序
很多,雖然它們的安全性不盡相同,但基本上都能保證攻擊者的不被發現。任何一個剛
上網的新手利用現成郵件炸彈工具程序,要實現這種攻擊都是易如反掌的。
郵件炸彈造成的危害原理是這樣的:由於接收郵件信息需要系統來處理,而且郵件
的保存也需要一定的空間。所以,因郵件炸彈而導致的巨量郵件會大大加劇網絡連接負
擔、消耗大量的存儲空間,甚至溢出文件系統,這將會給Unix、Windows等許多操作系統
形成威脅,除了操作系統有崩潰的危險之外,由於大量垃圾郵件集中湧來,將會佔用大
量的處理器時間與帶寬,造成正常用戶的訪問速度急劇下降。而對於個人的免費郵箱來
說,由於其郵箱容量是有限制的,郵件容量一旦超過限定容量(即郵箱被「撐爆」),
系統就會拒絕服務。
有矛就會有盾,針對郵件炸彈的氾濫,一些對抗郵件炸彈的「砍信」軟件開始應運
而生(比如E-mail
Chomper等),這些「砍信」軟件可以幫助你快速刪除炸彈郵件。而各免費郵箱提供商也
通過使用郵件過濾器等措施加強了這方面的防護。如果被攻擊者能夠及時發現遭受攻擊
的話,完全可以使用系統提供的郵件過濾器系統來拒絕接收此類郵件,但是,目前對於
解決郵件炸彈的困擾還沒有萬全之策,應以預防為主。
什麼是邏輯炸彈?
答:邏輯炸彈是指對計算機程序進行修改,使之在某種特定條件下觸發,按某種特
殊的方式運行。在不具備觸發條件的情況下,邏輯炸彈深藏不露,系統運行情況良好,
用戶也感覺不到異常之處。但是,觸發條件一旦被滿足,邏輯炸彈就會「爆炸」。雖然
它不能炸毀你的機器,但是可以嚴重破壞你的計算機裡存儲的重要數據,導致凝聚了你
心血的研究、設計成果毀於一旦,或者自動生產線的癱瘓等嚴重後果。
什麼是聊天室炸彈?
答:在聊天室裡也相對容易受到炸彈攻擊,不過還好,並不是所有的聊天室都支持
炸彈,一般的聊天室炸彈有兩種,一種是使用javascript編就的,只有在支持javascrip
t的聊天室才可以使用它;另外一種炸彈是基於IP原理的,使用時需要知道對方的IP地址
或者主機支持擴展郵件的標準。如果主機是Unix的,且支持擴展郵件標準,那麼可以使
用flash之類的軟件去襲擊他們,如果知道對方的IP地址,事情就更簡單了,使對方的系
統過載的軟件簡直不勝枚舉。此外,還有瀏覽器炸彈和留言本炸彈等。當觸發瀏覽器炸
彈的時候,系統會打開無數的窗口,直到耗盡計算機的資源導致死機為止(也稱「窗口
炸彈」)。
什麼是拒絕服務攻擊?
答:拒絕服務攻擊,也叫分佈式D.O.S攻擊(Distributed Denial Of
Service)。拒絕服務就是用超出被攻擊目標處理能力的海量數據包消耗可用系統,帶寬
資源,致使網絡服務癱瘓的一種攻擊手段。它的攻擊原理是這樣的:攻擊者首先通過比
較常規的黑客手段侵入並控制某個網站之後,在該網站的服務器上安裝並啟動一個可由
攻擊者發出的特殊指令來進行控制的進程。當攻擊者把攻擊對象的IP地址作為指令下達
給這些進程的時候,這些進程就開始對目標主機發起攻擊。這種方式集中了成百上千台
服務器的帶寬能力,對某個特定目標實施攻擊,所以威力驚人,在這種懸殊的帶寬對比
下,被攻擊目標的剩餘帶寬會迅速耗盡,從而導致服務器的癱瘓。當黑客於1999年8月17
日
攻擊美國明尼蘇達大學的時候就採用了一個典型的拒絕服務攻擊工具Trin00,攻擊包從
被Trin00控制的至少227個主機源源不斷地送到明尼蘇達大學的服務器,造成其網絡嚴重
癱瘓達48小時。在一定時間內,徹底使被攻擊的網絡喪失正常服務功能,這種攻擊手法
為 DDoS,即分佈式拒絕服務攻擊
拒絕服務攻擊工具Trin00有何特點? 答: Trin00是一個基於UDP
flood的比較成熟攻擊軟件,運行環境為Unix或NT。
它通過向被攻擊目標主機的隨機端口發送超出其處理能力的UDP包,
致使被攻擊主機的帶寬被大量消耗,直至不能提供正常服務甚至崩潰。
Trin00由以下三個模塊組成:客戶端(如Telnet之類的連接軟件)、攻擊控制進程(MASTER
)、攻擊守護進程(NS)
。其中,攻擊守護進程NS是具體實施攻擊的程序,它一般和攻擊控制進程(MASTER)所在
主機分離。
黑客先通過主機系統漏洞將大量NS植入有漏洞主機裡。當NS運行時,會首先向攻擊控制
進程(MASTER)所在主機的31335端口發送內容為HELLO的UDP包,隨後,攻擊守護進程即對
端口27444處於檢測狀態,等待MASTER攻擊指令的到來。
MASTER在正確輸入默認密碼後開始啟動,它一方面偵聽端口31335,等待攻擊守護進程的
HELLO包,另一方面偵聽端口27665,等待客戶端對其的連接。當客戶端連接成功並發出
指令時, MASTER所在主機將向攻擊守護進程ns所在主機的27444端口傳遞指令。
當客戶端完成了與MASTER所在主機的27665端口的連接後,即開始進入預備攻擊控制狀態
。
你以為自己的密碼很安全嗎?
答:只要我們需要上網衝浪,那麼就少不了一系列的密碼:撥號上網需要密碼,收
取電子郵件需要密碼,進入免費電子信箱要密碼、進入網絡社區也要密碼,使用ICQ、OI
CQ還是離不開密碼......眾所周知,在Win9X下,我們的用戶密碼通常被保存為*.pwl文
件。而*.pwl文件就安全了嗎?不!在網上就可以找到不少可以直接讀取*.pwl文件的小
工具。另外,拿用於撥號上網的應用軟件來說,我們輸入的密碼雖然顯示為「*」號,但
也同樣有許多工具(比如PwdView)可以看到用「*」號後面隱藏的秘密。再比如說,當
黑客通過某種手段知道了你上傳網頁的FTP密碼以後,就可以很輕易地黑掉你的主頁。所
以說,通常我們密碼的安全性並沒有我們想像的那麼高。
哪幾類密碼最危險? 答:通常不很安全的密碼主要有以下幾種:
第一類:使用用戶名/帳號作為密碼。雖然這種密碼很方便記憶,可是其安全幾乎為
0。因為幾乎所有以破解密碼為手段的黑客軟件,都首先會將用戶名作為破解密碼的突破
口,而破解這種密碼的速度極快,這就等於為黑客的入侵提供了敞開著的大門。
第二類:使用用戶名/帳號的變換形式作為密碼。
將用戶名顛倒或者加前後綴作為密碼,雖然容易記憶又可以使一部分初級黑客軟件一籌
莫展。但是,現在已經有專門對付這類密碼的黑客軟件了。
第三類:使用紀念日作為密碼。這種純數字的密碼破解起來幾乎沒有什麼難度可言
。
第四類:使用常用的英文單詞作為密碼。尤其是如果選用的單詞是十分偏僻的,那
麼這種方法遠比前幾種方法都要安全。但是,對於有較大的字典庫的黑客來說,破解它
也並不那麼太困難。
第五類:使用5位或5位以下的字符作為密碼。5位的密碼是很不可靠的,而6位密碼
也不過將破解的時間延長到一周左右。
比較安全的密碼首先必須是8位長度,其次必須包括大小寫、數字字母,如果有特殊
控制符最好,最後就是不要太常見。比如說:d9C&v6Q0這樣的密碼就是相對比較安全的
,如果再堅持每隔幾個月更換一次密碼,那就更安全了。另外,還要注意最好及時清空
自己的臨時文件,上網撥號的時候不選擇「保存密碼」,在瀏覽網頁輸入密碼的時候不
讓瀏覽器記住自己的密碼等。
黑客破解密碼的窮舉法是怎麼回事?
答:窮舉法對於純數字密碼(比如以出生日期或者電話號碼作為密碼)有很好的破
解效果,但是包含字母的密碼不適合這種方式。。窮舉法的原理逐一嘗試數字密碼的所
有排列組合,雖然效率最低,但很可靠,所以又有暴力法破解之稱。純數字密碼是很不
可靠的,為什麼呢? 因為即使是完全窮舉,6位數字密碼的極限也只有100萬種,
如果使用密碼破解工具NoPassword,在網絡暢通的情況下不出一天即可窮舉完畢。而即
使是使用8位純數字密碼,只要破解時間稍長,也難保安全。
黑客破解密碼的字典法是怎麼回事?
答:字典法的工作原理是這樣的:由於網絡用戶通常採用某些英文單詞或者自己姓
名的縮寫作為密碼,所以就先建立一個包含巨量英語詞彙和短語、短句的可能的密碼詞
彙字典(也稱「字典檔」),然後使用破解軟件去一一嘗試,如此循環往復,直到找出
正確的密碼,或者將密碼詞彙字典裡的所有單詞試完一遍為止。這種破解密碼方法的效
率遠高於窮舉法,因此大多數密碼破解軟件都支持這種破解方法。
黑客破解密碼的猜測法是怎麼回事?
答:猜測法依靠的是經驗和對目標用戶的熟悉程度。現實生活中,很多人的密碼就
是姓名漢語拼音的縮寫和生日的簡單組合。甚至還有人用最危險的密碼——與用戶名相
同的密碼!這時候,猜測法擁有最高的效率。
什麼是特洛伊木馬?
答:特洛伊木馬是指一個程序表面上在執行一個任務,實際上卻在執行另一個任務
。黑客的特洛伊木馬程序事先已經以某種方式潛入你的機器,並在適當的時候激活,潛
伏在後台監視系統的運行,它同一般程序一樣,能實現任何軟件的任何功能。例如,拷
貝、刪除文件、格式化硬盤、甚至發電子郵件。典型的特洛伊木馬是竊取別人在網絡上
的帳號和口令,它有時在用戶合法的登錄前偽造一登錄現場,提示用戶輸入帳號和口令
,然後將帳號和口令保存至一個文件中,顯示登錄錯誤,退出特洛伊木馬程序。用戶還
以為自己輸錯了,再試一次時,已經是正常的登錄了,用戶也就不會有懷疑。其實,特
洛伊木馬已完成了任務,躲到一邊去了。更為惡性的特洛伊木馬則會對系統進行全面破
壞。
特洛伊木馬法最大的缺陷在於,必須先想方設法將木馬程序植入到用戶的機器中去
。這也是為什麼建議普通用戶不要輕易地執行電子郵件中附帶的程序的原因之一,因為
特洛伊木馬可能就在你的鼠標點擊之間悄然潛入到了你的系統之中。
網絡監聽是怎麼回事?
答:網絡監聽工具本來是提供給管理員的一種監視網絡的狀態、數據流動情況以及
網絡上傳輸的信息的管理工具。當信息以明文的形式在網絡上傳輸時,將網絡接口設置
在監聽模式,便可以源源不斷地截獲網上傳輸的信息。網絡監聽可以在網上的任何一個
位置實施,如局域網中的一台主機、網關上或遠程網的調製解調器之間等。當黑客成功
登錄一台網絡上的主機並取得這台主機的超級用戶權之後,若想嘗試登錄其它主機,那
麼使用網絡監聽將是最快捷有效的方法,它常常能輕易獲得用其它方法很難獲得的信息
。由於它能有效地截獲網上的數據,因此也成了網上黑客使用得最多的方法。網絡監聽
有一個前提條件,那就是監聽只能物理上的連接屬於同一網段的主機。因為不是同一網
段的數據包,在網關就被濾掉,無法傳入該網段。
總之,網絡監聽常常被用來獲取用戶的口令。因為當前網上的數據絕大多數是以明
文的形式傳輸,而且口令通常都很短且容易辨認。當口令被截獲,則可以非常容易地登
上另一台主機。
三、神秘的黑客工具
Internet上為數不少的黑客網站大都提供各種各樣的黑客軟件,下面就來瞭解其中的一
些「典型」,並瞭解應對措施。
必須說明,安全防範與攻擊破解是相互依存的,我們初步瞭解黑客軟件的攻擊原理和手
段,是為了更好地進行黑客防範,其中涉及的黑客手段切勿輕易嘗試,否則必將受到國
家有關的網絡安全法規的懲處,一切後果由使用者自負。
什麼是WinNuke,如何清除? 答:WinNuke的工作原理是利用Windows
95的系統漏洞,通過TCP/IP協議向遠程機器發送一段可導致OOB錯誤的信息,使電腦屏幕
上出現一個藍屏及提示:「系統出現異常錯誤」,按ESC鍵後又回到原來的狀態,或者死
機。對策是用寫字板或其它的編輯軟件建立一個文件名為OOBFIX.REG的文本文件,內容
如下: REGEDIT4 [HKEY_LOCAL_MACHINE\System\ CurrentControlSet \
Services\VxD\MSTCP] 「BSDUrgent」=「0」
啟動資源管理器,雙擊該文件即可。
什麼是BO2K? 答:BO2K是黑客組織「死牛崇拜」(Cult Dead
Cow)所開發的曾經令人聞之色變的黑客程序BO1.2版的最新升級版本。
雖然BO2K可以當作一個簡單的監視工具,但它主要的目的還是控制遠程機器和搜集資料
。BO2K的匿名登陸和可惡意控制遠程機器的特點,使得它在網絡環境裡成為一個極其危
險的工具。
BO2K既可以通過Email發送,也可以手工安裝,安裝包括兩個部分:客戶端和服務器端。
利用客戶端程序,能夠很輕鬆地對被控制的電腦進行眾多的操作:比如重新啟動計算機
、鎖死系統、獲取系統口令,搜索、下載和編輯所有軟件和文檔,運行任何應用程序、
記錄鍵盤輸入情況(也就是說可以易如反掌地竊取你的網絡登錄密碼)等等。而且,BO2
K不僅可以在Windows NT上順暢運行,就連剛問世的Windows 2000也不能倖免。
另外,Cult Dead
Cow還在其專為BO2K而設的網站上還提供了一些用於增強BO2K程序功能的插件(Plug-In
),其中有一個名為SilkRope2K的插件(158KB),通過它可以非常容易地把BO2K的服務
器程序捆綁到任何一個可執行文件上,而這個已經暗藏玄機的可執行文件,除了文件長
度變大了130KB左右之外,並無其它任何異樣,而這個可執行程序一旦被運行,BO2K服務
器程序就會悄然無聲地自動安裝在對方的電腦之中。就樣一來,只要被控制的電腦連上
了Internet,哪怕遠隔千山萬水,黑客都可以像操作自己的電腦一樣方便地對對方電腦
進行隨心所欲的控制。
BO2K的組成與工作原理是怎樣的?
答:雖然BO2K可以當作一個簡單的監視工具,但它主要的目的還是控制遠程機器和
搜集資料。BO2K的匿名登陸和可惡意控制遠程機器的特點,使得它在網絡環境裡成為一
個極其危險的工具。 BO2K包括服務器端的BO2K.exe、BO2Kcfg.exe和用戶端的
BO2Kgui.exe、BO3des.dll、BO_peep.dll。其中,兩個服務器端的文件一般是通過Email
的方式進行傳送,BO2K服務器端的程序大小僅為112KB,非常便於在網絡上傳輸;客戶端
程序解壓後的大小約2.07MB左右,功能非常強悍,由於採用了很簡明的圖形化界面,略
通電腦的人都可以很容易地掌握其使用方法。BO2K既可以通過Email發送,也可以手工安
裝,安裝包括兩個部分:客戶端和服務器端。在服務器端安裝BO2K非常簡單。只要執行B
O2K的服務器端程序,就完成了安裝。這個可執行文件名字最初叫做bo2k.exe
,但可能會被改名(比如更容易迷惑人的Readme.exe)。這個可執行文件的名字是在BO2
K客戶端安裝時,或在BO2K設置嚮導裡指定的。
BO2K的設置嚮導會指導用戶進行以下幾方面的設置:包括服務端文件名(可執行文件)
、網絡協議(TCP或UDP)、端口、加密和密碼。這個過程完成後,運行bo2kgui.exe(BO
2K圖形用戶界面), 就可以看見工作區,
工作區包括了服務器的列表(如果你保存了上次的結果)。指定要連接的服務器,開始
使用BO。給這個服務器起個名字,輸入IP地址和連接的一些信息。指定了服務器後,服
務器命令的客戶端就出現了。這個窗口裡可以使用BO的功能....點個命令,功能就列給
你看了,有的命令如文件名和端口還需要設置參數。設置嚮導允許服務端執行快速安裝
,使用默認設置,以便立即使用BO2K控制遠程機器。通過設置工具手動進行設置,可以
管理很多選項,其中很多選項主要是用於防止BO被發現的偽裝工作。
設置嚮導的過程分為以下幾個步驟: 1.服務端文件名 、2.網絡協議(TCP或UDP)
、3.端口 、4.加密方法(XOR或3DES)
、5.密碼/加密鑰匙。設置嚮導執行完後,會列出服務器的設置工具,有BO2K的運行狀況
,控制BO2K,客戶端/服務器的通訊協議和程序的隱藏。
BO2K怎樣進行自我保護?
答:BO2K提供一個圖形化的文件瀏覽方式,可以方便地修改註冊表,所有危險之舉
已經簡化到只需鼠標輕輕一點。對於Windows
NT而言,BO2K的危害性就更為巨大:為進行自我保護,BO2K不僅會自動改變自己的進程
名稱,而且還能自動建立一個自身進程的副本,以備BO2K被刪除後還能夠「在烈火中永
生」。它自己的文件名後面加上一些隨機的空格及字母,作者QQ:9750406所以在Windows
下無法刪除該文件,只能在純DOS下刪掉。也就是說,一旦服務器感染BO2K就必須停機,
才能刪除。眾所周知,重要的服務器停機會造成多大的損失......BO2k還支持多種網絡
協議。它可以利用TCP或UDP來傳送,還可以用XOR加密算法或更高級的3DES加密算法加密
。雖然用3DES算法加密的BO2K也有可能被發現,但現在還沒有方法來判斷其執行的命令
。更為令人擔心的是,BO2K可以自由地增加或者去掉網絡目錄的共享屬性,也就是說,
一旦BO2K進入公司內部網絡服務器,那麼整個公司網絡上的所有文件就都隨時有可能被
居心叵測的人所「共享」.
BO2K具體可以對電腦進行哪些遠程控制?
答:O2K的服務器端程序一旦被激活,你就成為了BO2K的服務器,從此處於黑客的完
全控制之下,
BO2K裡共有70多條命令,這些命令用來在服務器上搜集數據和控制服務器,包括在BO2K
服務器的電腦上增加目錄、刪除文件、查看系統中各種可能存在的口令、修改註冊表,
遙控BO2K服務器的多媒體播放、捕捉等功能。兩台計算機建立連接後,選個命令,加上
參數(如果需要的話),按 「Send
Command」(發送命令),就在選擇的服務器上執行該命令,服務器的回應也會在回應窗
口中顯示出來。
黑客可隨時啟動和鎖死系統、獵取密碼、獲得系統信息;可在你的計算機上出現系統信
息框提示,改變HTTP文件服務器訪問;可查看、刪除、創建網絡共享驅動盤和程序;修
改註冊表;通過遠程來拷貝、刪除、改變文件名;解壓文件;
可使用DNS服務改變主機名和IP地址;可啟動和停止BO2K服務系統;加載和卸裝有關插件
。下面就是BO2K的一些主要的遠程控制手段: 1.搜索動態IP地址
從BO2K客戶機向特定的IP地址發送命令即可對BO2K服務器操作。如果BO2K服務器無
靜態IP地址,BO2K客戶機提供命令:在BO2K客戶機的圖形界面中使用「Ping...」命令,
給對方電腦發個數據包看它能否被訪問,看其是否已經「中招」;另外還可以設定目標I
P如「202.102.87.*」,通過掃瞄子網列表來查找和監控那些電腦被安裝了BO2K服務器、
而IP地址又是動態分配的用戶的電腦。 2.系統控制和文件管理
通過相應的命令,BO2K可以輕鬆獲取和顯示包括當前用戶、CPU、內存、Window版
本、驅動器(硬盤)容量及未使用空間等內容BO2K服務器上的相關係統信息。另外可以
將BO2K服務器上的擊鍵情況和執行輸入的窗口名記錄下來。
甚至還可以在BO服務器上開一個對話框來與對方進行對話。BO2K還提供諸如對文件進行
查找、拷貝、刪除等操作的一系列命令,可在BO2K服務器的硬盤目錄中查找目標文件,
並能任意增加目錄和刪除文件、查看和拷貝文件、更改目錄名、刪除目錄等。BO2K還可
以任意修改BO2K服務器的註冊表,鎖住BO2K服務器的電腦,甚至可以控制BO2K服務器的
系統重啟動。 3.音頻及視頻控制
通過BO2K客戶端可以列出BO2K服務器的視頻輸入設備。如果存在視頻輸入設備,既
可以將視頻和音頻信號捕捉成為avi文件,也可以將BO2K服務器屏幕影像捕捉成為位圖文
件。只要願意,甚至還可以遙控BO2K服務器的多媒體播放,比如在BO2K服務器上播放一
個avi文件等等。 4.網絡控制 BO2K提供了網絡連接、出口地址、TCP
文件接收、網絡使用等命令,可以查看BO2K服務器上所有的域名、網絡接口、服務器等
內容,並可列出當前共享名、共享驅動器以及共享目錄、權限和密碼。通過TCP文件傳輸
,還能將BO2K服務器主機連接到一個特定的IP地址和端口並發送特定文件中的內容,或
將所接收到的數據保存到特定文件中。 5.進程控制
BO2K可以通過Telnet對話來控制基於文本或DOS的應用程序。可以在BO2K服務器列出當前
激活的插件和已存在的插件並加以運行。另外還能在BO2K服務器上運行一個程序。也可
以查看當前運行的所有程序並發送命令關閉其中的某個程序。
作為一個功能強悍的黑客程序,BO2K的這些功能頗有些令人不寒而慄:因為如果我們的
電腦不慎被BO2K侵入,當我們上網的時候自己的電腦就已經毫無秘密可言了,別說撥號
上網的口令和系統加密口令了,就連你的屏幕保護口令黑客也知道的一清二楚。
如何清除BO2K?
答:BO2K的功能雖然十分強悍,但它的工作原理卻很簡單。我們知道它發生作用的前
提是每次在Windows啟動時,同時悄悄地在我們的電腦上啟動一個服務器程序,黑客通過
我們登錄因特網時的IP地址,用配套的客戶端程序登錄到我們的電腦,從而實現遠程控
制我們電腦的目的。從原理上講,BO2K和著名的PC
Anywhere一樣,是一套簡單的遠程登錄及控制軟件工具。既然我們知道了BO2K進行工作
的關鍵在於隱藏了一個會在Windows啟動時悄悄執行的服務端程序,那麼對付它的最直接
有效的方法,就是從我們Windows的啟動配置中將自動執行的黑客服務器程序刪除掉。
對付BO2K的方法如下:首先檢查Windows\system下有沒有一個名叫UMGR32~1.EXE的
文件;如果是NT系統,則在Winnt\system32目錄下檢查它是否存在,這個文件的存在往往
意味著系統已經被BO2K入侵。但這種方法並不是絕對保險,因為BO2K允許入侵者自行改變
這個文件名,較可靠的辦法還是檢查可疑文件的長度,BO2K服務端的文件大小是114688字
節, 如果發現某個文件剛好符合這個長度,可使用EDIT打開它,如果發現「Back
Orifice」字串,那麼該系統已經確實無疑地感染了BO2K。
BO2K運行時必須修改註冊表,因此我們可根據下面的線索通過註冊表編輯器使用「查
找」檢查自己的系統是否被BO2K入侵。被BO2K修改過的註冊表應該包含下列特徵:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices] 「UMGR32.EXE」=「C:\\WINDOWS\\
SYSTEM\\UMGR32.EXE」
發現了BO2K的蛛絲馬跡後,Windows9x用戶可以在純DOS(而不是DOS窗口)下刪除文件
名以UMGR32打頭的文件(del
umgr*.*),再把它增加的註冊表項刪掉即可。對於WindowsNT,因為不能進入純DOS狀態,可
以先刪除它的相關註冊表項,然後重啟機器再看能否刪掉以UMGR32打頭的文件。如果這樣
不行的話,只好用系統軟盤引導別的操作系統再做修改了。
另外,如果你已經在使用Windows 98 Second Edition版(即98第2版), BO2K
1.0會因為在隱身時的一個小缺陷,它會導致每次開機時都出現「非法操作」提示而無法
在系統中順利駐留,因此使用Windows98
SE版是暫時免疫BO2K的方法之一(可是這種暫時的優勢隨時可能會因BO2K新修正版的推
出而不復存在)。
什麼是KeyboardGhost,如何清除?
答:KeyboardGhost(鍵盤幽靈)是一個專門記錄鍵盤按鍵情況的黑客軟件,可以運
行在Win9x/NT/2000下。它的原理是這樣的:Windows系統為了開闢鍵盤輸入的緩衝區,
在核心區保留了一定數量的字節,其數據結構形式是隊列。KeyboardGhost就是通過直接
訪問這一隊列來記錄鍵盤上輸入的一切以星號形式顯示的密碼窗口中的符號。並在系統
根目錄下生成一文件名為KG.DAT的隱含文件。對策是啟動註冊表,將[HKEY_LOCAL_MACHI
NE\Software\Microsoft\Windows\
CurrentVersion\RunService]→KG.EXE這一鍵值刪除,並將文件KG.EXE從Windows\Syste
m目錄下刪除。 同時刪除C:\KG.DAT這個文件。
什麼是萬能鑰匙Xkey?
答:萬能鑰匙Xkey是產自國內的密碼查找軟件,該軟件把詞典內容分為「電話號碼
」、「出生日期」、「姓名字母」、「英文數字」四個部分,在每一部分可以按照需要
設置有關參數,以快速地製作出許多破解工具所需要的詞典文件。萬能鑰匙Xkey的
1.1版本還增加了電腦和網絡常用英文作為字典文件中的單詞。
萬能鑰匙Xkey可以根據你的設置生成各種類型的口令,下面逐一介紹:
1、電話號碼:分為「普通電話」和「數字移動電話或尋呼機」兩種,這裡可以選擇不同
位數的號碼。
在「詞典長度」狀態欄可以直觀地看到詞典的長度。詞典的越長,那麼生成的時間越長
、詞典文件也越大。2、出生日期:分為月日、年月、年月日三種,並可選擇二位或四位
年份和設置年份範圍。3、姓名字母:分為姓名聲母、姓或英文名、中文姓+名、中文姓+
名字聲母、中文姓+英文名;在姓氏範圍中,你可以直接輸入某個姓氏或按照人口頻度選
擇姓氏範圍,在「姓氏範圍」中,你可以直接輸入某個姓氏或調整人口頻度。
除此之外,你還可選擇加上固定前綴、常用數字和出生日期,姓名換位或使用分隔符。4
、英文數字:此項包括有「計算機和網絡常用英文(150個)」、其它常用英文(53123個)
、常用數字(175個)和其它數字(0-999999)。
在生成詞典文件之前,你還可以對詞典中的字母進行大小寫設定和設定詞條寬度,
並可以根據不同的系統平台對文本文件的換行符進行設定。在一切設置好後,來到「生
成詞典」對話框,點擊「完成」按鈕,彈出「保存詞典文件」對話框,設置要保存的詞
典文件類型為TXT或DIC,然後用鼠標單擊「保存」按鈕,Xkey就開始為你生成詞典了。
什麼是NetSpy,如何清除?
答:Netspy是一個運行Win95/98的客戶機/服務器模式遠程控制軟件,由客戶程序和
服務器程序兩部分組成。在最新的Netspy版本中,客戶程序通過互連網與安裝運行在遠
程計算機上的服務器程序打交道。實際上可以將其看作一個沒有權限控制的增強型FTP服
務器。通過NetSpy可以神不知鬼不覺地下載和上載目標機器上的任意文件。並可以執行
一些特殊的操作,如:終止遠程計算機中運行的程序、在遠程計算機上執行程序、關閉
遠程計算機等。
要想通過NetSpy自由存取別的計算機上的軟件,同樣必須先在目標計算機上安裝Net
Spy的服務器。Netspy服務器的安裝方法十分簡單,只需在目標計算機上運行一次netspy
.exe文件即可。NetSpy會自動註冊到系統裡,以後每次啟動Windows95/98時,就會自動
啟動netspy.exe程序了。這時,只要在別的計算機上執行netmonitor.exe,在菜單裡選
擇添加計算機,輸入目標計算機的IP地址或域名地址,就可以連接到目標計算機上進行
操作了,使用方法十分簡單。Netspy的缺點是不能為具體的機器設置密碼,所以說安裝
了netspy server的機器一旦上網,有可能被任何安裝了NetSpy客戶程序的機器所控制。
由於Netspy.exe程序安裝後,每次重新啟動Windows95/98都會在不為人覺察的情況
下自動加載NetSpy,所以它也是一個典型的特洛伊黑客程序:只要設法使欲攻擊對像運
行一次netspy.exe文件,目標計算機的後門就徹底對外開放了。只要對方的計算機一上
網,入侵者就可以神不知鬼不覺地取得它的絕對控制權!
對策是在「開始--運行」裡輸入REGEDIT.EXE,直接打開註冊表,如果在:「HKEY_LOCAL
_MACHINE\ Software\ Microsoft\
Windows\CurrentVersion\Run」裡如果有類似「netspy」、「C:\windows\system\n
etspy.exe」等字樣,說明NetSpy已經進駐系統。另外一種識別方法是:打開資源管理器
,進入Windows下的System子目錄,如果發現有NetSpy.exe文件(86.5KB),沒說的,中
招了!
清除NetSpy的方法是:重新啟動計算機,進入DOS狀態,在Windows下的System子目錄
裡刪掉NetSpy.exe這個文件。再次啟動機器,進入Windows的註冊表,找到並刪除「KEY_
LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下NetSpy的
鍵值即可。
什麼是ProxyThief,如何清除? 答:ProxyThief被安裝後,會用NetInspect
對機器的0到9999端口進行掃瞄,以找出可用的Free Proxy!端口,
然後通過將你的計算機設置成代理服務器, 達到冒用你的IP上網的目的
。黑客可以通過NetSpy或BO2K這樣的工具對ProxyThief進行遠程控制。清除方法是運行
註冊表,查找關鍵字「ProxyThief」,將所有與之相關的鍵和鍵值刪除。
什麼是「冰河」,如何清除? 答:國產黑客軟件「冰河」
與所有的特洛伊木馬程序一樣,當「冰河」的服務器端程序G_Server.exe一旦被某台電
腦的使用者所執行,雖然在表面上看不出任何變化,但事實上,該服務器端程序已悄悄
地進駐該機的註冊表,以後,只要這台電腦一啟動上網,可怕的「後門」(默認端口號7
626)就會悄然洞開,可輕易地被藏在網絡某個角落的客戶端程序G_Client.exe掃瞄到並
實施包括可顯示系統信息及上網密碼、系統控制(重新啟動、關機等)、註冊表鍵值讀
寫等幾乎是全方位的控制。 如果上網時一旦不小心誤入了「冰河」,脫身的方法如下:
1.在c:\Windows\system目錄下,查找並刪除名為KERNEL32.EXE的文件。
2.「冰河」為了進行自我保護,它可將自己與文本文件關聯,以便在程序被刪除後
在打開文本文件的時候又自動恢復,這個關聯文件是SYSEXPLR.EXE。 3.
檢查註冊表。在「開始—運行」裡輸入「regedit」並回車,在「HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion \Run和HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\RunServices」,查找並刪除有KERNEL32.EXE文件
的鍵值。
4.最後,因為「冰河」的服務器端程序名不一定就是KERNEL32.EXE,所以最可靠的
辦法還是把C盤格式化後重新安裝Windows。
什麼是GirlFriend,如何清除?
答:GirlFriend屬於木馬程序。主要是獲取目標機的密碼等資料,另還可以傳送信
息、顯示bmp圖像等。運行了該木馬之後,會在HKEY_LOCAL_MACHINE\Software\Microsof
t\ Windows\CurrentVersion\RUN下面找到鍵值名Systemtray,在Windows
下生成一個Wind11.exe文件,並將自身刪除,然後修改註冊表。
清除方法是刪除該木馬在註冊表中所修改的鍵值名,再在純DOS下刪除Wind11. exe。
什麼是PortHunter,有何對策?
答:PortHunter佔用大量的Socks進行端口搜索,盜用SMTP端口(:119)發E-mail、
盜用沒有密碼的代理端口(:8080)、盜用內部使用的FTP端口(:25)。PortHunter降低局域
網的數據傳輸效率,危害網絡安全。對策是對於Novell
的局域網,採用限制指定程序運行的方法;對於其它框架的局域網的用戶,則可以在服
務器中設定禁止一些黑客程序的運行。
什麼是Deep Throat,如何清除? 答:Deep
Throat屬於特洛伊木馬,功能還不少:可獲取密碼及系統信息,重啟目標機器,將目標
機設置成FTP服務器,讀寫、運行和刪除目標機器上的文件,隱藏開始菜單和任務欄,截
獲屏幕圖像等功能。 Deep Throat
2.0被執行後會在註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RUN下面找到鍵值名Systemtray,在Windows下生成「Systray.
exe」。
清除方法是刪除該木馬在註冊表中的鍵值,接著在純DOS下刪除該木馬啟動文件。
什麼是HDFILL,有何對策?
答:HDFILL屬於特洛伊木馬程序,表面上是個有著可愛畫面的安裝程序,但是在實
際「安裝」過程中會自動產生999999999個變長的文件,直到把你的硬盤填滿垃圾為止。
雖然要清除這麼多垃圾文件非常辛苦,但是也只得耐心清除,要不然怎麼辦,格式化硬
盤?對策還是防患於未然,安裝LockDown2000來攔截來歷不明的軟件。
什麼是天行刺客,有何對策? 答:運行於Windows
95/98平台的天行刺客通過從路由器中竊取未加密的信息,從而對指定的機器進行監控。
你的E-mail、FTP、BBS登錄的用戶名和密碼都會被黑客竊取。對策是盡量少用MS
—DOS下的FTP命令和Windows下的Telnet命令,盡量採用IE這樣對你的重要數據進行了加
密的瀏覽器上站。
四、網上防黑術
必須說明,安全防範與攻擊破解是相互依存的,我們初步瞭解黑客軟件的攻擊原理
和手段,是為了更好地進行黑客防範,其中涉及的黑客手段切勿輕易嘗試,否則必將受
到國家有關的網絡安全法規的懲處,一切後果由使用者自負。
如何防止IP的洩露?
答:很多黑客軟件都需要先瞭解對方的IP地址方能發起有效的攻擊,為此還出現了
類似IPHunter這樣的專門用於截獲IP地址的工具。顯然,要防範黑客的進攻,第一步應
該先保護好自己的IP。要想不讓對方刺探到我們的真實IP,一個行之有效的方法就是設
置並使用具有防火牆作用的代理服務器(Proxy)。我們在通過代理服務器上網的時候,
那些「功力」還不是太深厚的黑客通常就只能定位到代理服務器的IP,而無法獲得我們
的真實IP。
如何讓Win98更安全? 答:對普通個人用戶來說,Windows
98還是目前最常用的操作系統,但其安全性能比較薄弱,面對潛在的安全隱患,我們可
以通過設置登錄密碼、以及修改註冊表裡的一些內容,來屏蔽和限制Windows
98系統裡的某些敏感功能,限制普通用戶的系統使用權限,以提高上網的安全性。
如何設置系統登錄密碼?
答:設置登錄密碼可有效地改善系統的安全性,設置方法如下:首先選擇「開始」
→「設置」→「控制面板」→「密碼」,在隨後出現的「密碼屬性」對話框裡,在「更
改密碼」標籤下,點擊「更改Windows密碼」設置新的系統登錄密碼,當出現「成功更改
了Windows密碼」提示後,按「確定」退出。接著打開「用戶配置文件」標籤,選擇「用
戶可自定義首選項及桌面設置...」,完成後按「確定」退出。
重新啟動系統,會出現密碼輸入框,需要正確輸入密碼方可正常登錄。
如何請不速之客吃閉門羹?
答:要謝絕不速之客以默認配置造訪我們的Win98系統
,可在每天離開系統前做如下的修改:在「開始」→「運行」裡輸入「regedit」,然後
按「確定」,打開Win98註冊表,在「\HKEY_USERS\.Default\Software\Micorosoft\
Windows\CurrentVersion\Run」中單擊鼠標右鍵,選擇「新建」---「字符串值」,將該
字符串值命名為「你是非法用戶吧?哈哈」,將該鍵值設為「RUNDLL.EXE
user.exe,exitwindows」。這樣,當不速之客想要「光臨」我們的Win98系統時,電腦將
會執行自動關機操作。
如何屏蔽註冊表編輯器?
答:通過修改文件註冊表,可以根據需要限制普通用戶的系統使用權限:為了防止
黑客修改註冊表,可做如下的修改:在「開始」→「運行」裡輸入「regedit」,然後按
「確定」,打開Win98註冊表,在「\HKEY_CURRENT_USER\Software\
Micorsoft\Windows\CurrentVersion\Policies\System」中,選擇「新建」→「DWORD值
」「DisableRegistryTools」,將其鍵值設置為「1」。
如何隱藏驅動器?
CurrentVersion\Policies\Explorer」中,選擇「新建」→「二進制值」,取名為
「NoDrives」,若將其值設為00000000(由四個字節組成),則表示任何驅動器都不隱
藏,該值每個字節的第一位對應從A:到Z:的一個驅動器盤符,即01為A,02為B,04為C
,08為D...... 比方:需要把D盤隱藏起來,則將該鍵鍵值設為08000000。
如何屏蔽MS DOS方式?
答:當我們用上一步中的方法隱藏了驅動器後,如果普通用戶選擇使用MS
DOS方式,那麼他還是可以進入任何驅動器的,所以還應該考慮屏蔽MS
DOS方式:啟動註冊表,在「\HKEY_ CURRENT_USER\Software\Micorsoft\Windows\
CurrentVersion\Policies」中新建「WinOldApp」主鍵,在其下新建一個DOWRD值「Disa
bled」,鍵值設置為「1」。 問:如何隱藏桌面上所有圖標? 答:啟動註冊表,在
「\HKEY_CURRENT_USER\Software\Micorsoft\
Windows\CurrentVersion\Policies\Explorer」中,選擇「新建」——「DOWRD值」,取
名為「NoDesktop」,鍵值設置為「1」,重新啟動系統後,普通用戶桌面上的圖標就統
統消失了。
如何隱藏密碼文件? 答:
在Win98中,用戶設置的撥號上網等密碼都是以.pwl文件的形式保存在Window目錄中,這
樣,一個侵入你系統的人是很容易找到該.pwl文件的。所以,應該把這個密碼文件盡快
隱藏起來:在C盤的WIndows目錄下找到並打開System.ini文件,在其中找到[Password
Lists]項,將密碼文件的存放路徑改到剛才隱藏起來的驅動器下的目錄中,這樣你的密
碼文件就相對安全多了。
如何讓ICQ更安全?
答:廣受歡迎的網絡尋呼軟件ICQ具有功能齊全、穩定性好等特點,但是它存在著一
些安全上的漏洞。雖然現有的這些漏洞還不至於使ICQ用戶的本地數據受到直接損失,但
是卻可能使我們在網上受到一些別有用心的人的攻擊,為有效地避免這種煩惱,可以採
取以下的措施來進行一定程度上的防禦(以ICQ2000a為例):
1.提高ICQ的安全級別 單擊「ICQ」按鈕,打開菜單,在「Security &
Privacy」欄裡找到「Security level」(安全級別)項,將其設置為「High」(高)。
2.對特定的人「隱身」
如果不希望某人看到你在線,可以這樣做:對ICQ的列表中對該人的名字單擊左鍵,在彈
出的菜單中選擇「Alert/Aeceptmodes」項,在「Status」(狀態)標籤裡「Invisible
To user」(對該人「隱身」)前的復選框裡打勾。 3.保護好自己的IP
自己的IP一旦暴露,對方就可以很容易地使用類似ICQBomber(160KB)的攻擊性很強的I
P炸彈對你進行「轟炸」。比較簡單的保護措施如下: (1)在「Security &
Privacy」的「General」標籤中,把「Change Contactlist
Authorization」設置為「My authorization is
required...」,設定只有經過你自己同意,別人才能把你添加到列表中。同時,打開「
Invisible」標籤,通過設置,讓某些特定的人看不到我是否在線。
(2)對於2000a以前的版本,可以按「ICQ」按鈕,在ICQ菜單裡的「Security &
privacy」項中選「Do not allow others to see my IP
address」(不允許別人查看我的IP地址)。另外,在「Preferences」(設置)中的Con
tact list(聯繫列表)選擇「Show Online Only Tab in the
Contact」,這樣可以使只有在你列表上的人才能看到你在線。
在ICQ中如何使用SOCK代理服務器?
答:使用SOCK代理服務器也是避免騷擾的一個有效方法。在ICQ中的設置方法如下:
在「My Contact List」(我的聯繫名單)中把ICQ由「Simple
Mode」(簡單模式)切換為「Adeanced
Mode」(高級模式)。接著單擊「ICQ」按鈕,在彈出的菜單裡選擇「Preferences」(
性能設置),選擇左側的「Connections」(連接)一項,將其中的「Server」(服務器
)標籤下的「Proxy Settings」(代理服務設置)裡選擇「Using Firewall---Using
Proxy」,並在「Proxy」裡選擇SOCK5代理服務器;再選中「Firewall」(防火牆)標籤
,選擇「SOCK5」代理服務器,然後在右邊的「Proxy
Server」裡把你的SOCK代理服務器地址填入Host框,Port框中填寫端口(通常為1080)
。最後,在「User」標籤下選中「Using
Proxy」,類型選擇「SOCK5」。最後單擊「Apply」(應用)按鈕後按「確定」就可以了
。
目前主要有哪些OICQ惡意攻擊軟件?
答:國產網絡尋呼軟件OICQ雖然在功能和穩定性上暫時還無法和ICQ相提並論,但是
親切的全中文的界面還是吸引了越來越多的國內用戶。隨著用戶數量的急劇上升,各類
針對OICQ的惡意攻擊軟件也開始紛至踏來,它的安全性也日益受到挑戰。
目前比較功能較強的常見惡意攻擊軟件主要:OICQ Send、網絡追捕、OICQ
Sniffer、OICQ Nuke Plus、OICQ 密碼終結者、OICQ
Spy、OICQ好友炸彈、OICQPASS、OICQ對話閱讀器、OICQPEEP等,簡單介紹如下:
(1) OICQ Nuke Plus:極具攻擊性的OICQ炸彈,它的主要手段是在短時間內向
指定的OICQ用戶發送大量的信息,使對方的OICQ超載從而達到轟炸對方的目的。
(2) OICQ
密碼終結者:採用窮舉法來竊取OICQ的密碼。新版經過優化後密碼搜索速度極快,可以
達到2萬個/秒。 (3)
OICQ閱讀器:不需任何密碼即可直接查看OICQ聊天紀錄文件。? (4)OICQ
Spy:一個非常全面的OICQ攻擊性工具,集成了IP及端口地址的查尋、用戶地址查尋、顯
示對方真實上線地址等功能,非常全面,具有較強的殺傷力! (5)
OICQ對話閱讀器:針對本地OICQ的黑客工具,能很容易查看你的OICQ賬號、密碼和聊天
記錄,可以說什麼秘密都沒有了。 (6) OICQPeep:
可以輕易地查出任何一個OICQ用戶的在線好友名單和他們的IP地址。
OICQ Send有何特點? 答:OICQ
Send是一個利用OICQ發佈消息的工具,還可以查找OICQ好友的IP。使用方法十分簡單,
啟動OICQ
Send,將需要發送的OICQ好友的IP地址和端口以及發送內容填入相應的對話框內,按「
開始」按鈕即可將信息發出,不需要自己的OICQ在線。
要注意的是:在OICQ號的欄目內如果不填如何數值,則程序將自動隨機的產生OICQ號,
虛擬發送到對方的OICQ的陌生人一欄中,而且每發送一次會更換一個號碼!如果填入相
應的數值,就可以向該OICQ號碼用戶發送信息,但最多只能發送8條記錄。作者為了避免
產生不良影響,特別將發送次數限制在每次20條。另外,在發送內容中填寫的字符不能
超過1000個,否則會產生系統緩衝溢出。
OICQ Sniffer有何特點? 答:OICQ
Sniffer是用於破解OICQ密碼的UDP協議嗅探器,目前只能夠支持Win
9x系列。該軟件針對OICQ的消息協議進行了優化,可以探測到OICQ點對點的通信情況。
軟件啟動後的界面十分簡潔、明快。用戶只要選擇上網方式後按下追蹤按鈕,便可以查
看主界面中顯示的內容。
OICQ 密碼終結者有何特點?
答:利用OICQ密碼終結者可以幫助你快速找回6位的OICQ密碼(或者說是採用窮舉法
暴力破解本地機器上OICQ密碼的老牌工具),比以前的密碼查找軟件OICQPass在功能上
前進了一步。
完成安裝後啟動OICQ密碼終結者,可以看到它有一個簡單而實用的工作界面。使用的方
法是先選擇用戶搜索用到的字符集,然後在選項前面的復選框裡打鉤;然後選擇自己的
想要搜索密碼的起止位數,最後選擇OICQ的解密目錄。例如:你的OICQ目錄是c:\progra
m
files\oicq,你要解密的OICQ號是123456,那麼你應該選擇的解密目錄就是:c:\progra
m files\oicq\123456。點擊「開始」,立即開始查找OICQ密碼,可以觀察到工作進度。
什麼是OICQPassSniff?
答:OICQPassSniff是一個近乎於「木馬」性質的工具,用於破解本機的OICQ密碼,
只能在Windows
9x下使用。執行程序後沒有任何界面出現,程序在後台不露聲色地自動運作。最好是手
動設置為在Windows啟動後自動運行,以後每當有用戶登錄OICQ時,所有的密碼都會被記
錄在c:\log.txt文件裡。
何為OICQ好友炸彈?
答:OICQ好友炸彈是專門對那些在OICQ加入好友時需要身份驗證的人進行惡作劇的
小工具。填寫OICQ服務器名稱或IP地址、自己及對方的OICQ號碼、請求信息的內容和發
送次數,然後點擊「開始」,你設置好的騷擾信息就會向陌生人的OICQ發起狂轟濫炸...
...另外,在進行攻擊之前,點擊「他的資料」就能查看對應號碼用戶的所有資料,以保
證自己不會隨便亂炸。對付這個惡作劇工具的方法是:在OICQ中修改用戶資料,在「網
絡安全」標籤中把「身份驗證」級別定在「不允許任何人把我列為好友」。這樣,你的
好友將全部由自己來添加,但卻會失去一些廣交朋友的機會。
什麼是XOICQ?
答:XOICQ是一個查OICQ好友IP以及進行炸彈攻擊的二合一OICQ攻擊工具。
使用時啟動軟件,先在根據自己的上網方式在「Adaptor」裡選擇正確的適配器(否則程
序無法繼續執行並可能死機),接著點擊
「Detect」按鈕,截獲的對象資料將顯示在「在線名單」「List on
line」裡面。最後選擇對象,點擊「Add in
attack」,把它添加到攻擊對像名單裡,然後按「Attack」開始發起攻擊。
OICQPeep有何特點?
答:OICQPeep運行於Win98/NT,用於查看OICQ上聊天對象的IP地址,該程序短小精
悍且無須特別安裝。第一次啟動OICQPeep時,在彈出的窗口裡選擇的上網類型、默認端
口號,再填入自己OICQ號碼即可。先啟動你的OICQ,再運行OICQPeep,然後再按下OICQ
的顯示按鈕,此時你的OICQ在線好友列表裡的OICQ號碼及其IP地址便就會顯示在右邊的
文本框裡。用OICQPeep
來查找IP地址比傳統的NETXRAY更為簡單、實用,無鬚髮送消息給對方。
網絡追捕有何特點?
答:網絡追捕是一個針對OICQ的黑客軟件。可以查詢對方IP的域名,可以設置智能
追捕功能,在激活追捕時可以自動從剪貼板上取出IP地址進行查詢;可以把查詢結果隱
藏在系統任務欄中;可以分析一些IRC服務器為了保護聊天者而虛設的IP地址等。第一次
啟動網絡追捕會彈出一個很簡潔的提示菜單,根據需要選擇執行的操作後,點擊一下菜
單上的追捕按扭即可。
OICQSpy有何特點? 答:
OICQSpy是一個重量級的OICQ工具。利用它不僅可以監視對方的IP和端口地址,顯示對方
的上網真實地址和上線時間,而且還可以發送匿名信件;掃瞄指定計算機的NetBIOS信息
。另外,它還可以過濾OICQ炸彈;
軟件安裝完成後運行OICQSpy.exe,首次運行該程序時會自動彈出一個設置對話框。將其
中的OICQ服務器地址設為202.103.190.46,端口設為8000即可。代理端口可任意設置(
最好大於1024), 選擇IP數據庫的路徑時可設置為OICQSpy自帶的wry.d11。
啟動OICQ後,更改系統設置中的網絡設置,將上網類型設置為「局域網接入Interne
t」,用戶類型為「Internet用戶」,服務器地址設置為「127.0.0.1」,然後點擊「添
加到列表」,端口號應為前面設置的OICQSpy的代理端口。完成上述設置後,OICQSpy主
窗口中將列出所有在線好友的IP、端口、真實地址、上線時間等各種信息。
使用OICQSpy後,由於OICQ的信息要通過代理服務器傳送,所以起到了保護自己IP不
被OICQPeep這樣的工具探查,從而避免OICQ炸彈的襲擊。
OICQ ShellTools有何特點? 答:該軟件的功能與OICQSpy比較接近,
利用這個軟件可以查出自己OICQ好友的IP地址;配合網絡追捕的數據庫,不僅可以知道
對方的地址,甚至還可以冒充其它人發言。安裝好OICQ
ShellTools軟件後,首先啟動自己的OICQ,然後離線,然後再啟動OICQ
ShellTools,按照提示填上號碼、密碼,然後點擊「OK」,OICQ好友的秘密就都將呈現
眼前。如果想要匿名發送,只需要填上號碼和對方的IP地址、端口地址,然後選擇發送
即可。
如何提高OICQ的安全性?
答:(1)盡量使用最新版本的OICQ軟件,因為新版本不僅修改了舊版中的各種BUG
,而且往往更穩定快速(最近修改了通訊底層協議的Build
0820版就一個典型的例子)。重要的是,原來針對舊版的OICQ黑客軟件,面對時新版往往
無能為力。
(2)如果是在網吧或機房等公共場合上網運行OICQ結束後,找到OICQ的安裝目錄,
將以你的OICQ號碼命名的那個子目錄刪除,並隨即清空回收站,就可以避免密碼被盜和
記錄被別人偷看了。
(3)使用OICQShield之類的OICQ「盾牌」軟件,能夠使你避免遭受OICQ
Nuke之類OICQ炸彈的攻擊。
(4)如果可能的話,使用個人防火牆。單擊「OICQ」按鈕,選擇「系統參數」,進
入「網絡設置」標籤,在「使用ProxySocket5
防火牆」,並填入防火牆的地址和端口號就可以了。另外,在「本地安全」標籤裡,還
可「啟用本地消息加密」。
為什麼要提防CGI?
答:我們平時上網用的IE等瀏覽器大都支持CGI、JAVA、ASP等技術。一些別有用心
的人利用系統存在的漏洞編寫出一些特殊的代碼,當你打開包含這些代碼的頁面時,該
代碼就會被瀏覽器自動執行並產生破壞作用。其中典型的惡作劇代碼——「窗口炸彈」
,包含這一代碼的頁面被打開後,就會迅速自動打開無數個瀏覽器窗口,直至你的系統
資源被徹底耗盡!另外一種代碼則更為陰險,包含了該種代碼的頁面一旦被打開後,就
會自動尋找本機的密碼文件並發回服務器。
有效的防範方法是使用防火牆、避免訪問來歷不明的站點,增強網絡管理級別,盡量避
免CGI等代碼的自動運行。
怎樣防止電子郵件炸彈的攻擊? 答:1.
不要輕易向別人透露自己的ISP電子郵箱,可根據用途多申請幾個163、263這樣的免費郵
箱,以方便對外聯繫時使用。
2.一般ISP郵箱或163、263免費郵箱都具有郵件過濾器系統,提供郵件拒收功能。
這個功能可以幫助我們把那些令人討厭的垃圾信件自動退回。只要在郵箱的服務器端設
置好就行了。同時你還可以設置具體的過濾規則,同時關閉郵件的自動回復功能。
3.對於使用Foxmail的用戶,如果意外遭到電子郵件炸彈的的襲擊,可以利用Foxma
il的遠程郵箱管理功能(在菜單裡選「工具」——「遠程郵箱管理」),先不會把信件
直接從主機上下載,而只是先取包括了它包含了信件的發送者,信件的主題等信息的所
有郵件頭信息,用「view」功能檢查頭部信息,看到信件中的不速之客後,可直接使用
刪除命令把它從主機服務器端直接刪除掉。
4.如果你的電子郵箱支持POP3,郵箱被炸後你也可以採用專門的砍信軟件(如E-ma
il Chomper等)來處理,可以高速刪除大量的垃圾信件。
五、網上安全策略
信息的全面數字化和電子網絡的四通八達,突破了時空的阻隔,使得當今世界正朝
一個電子化的「e—World」逐漸演進,依靠電腦網絡,就可以運籌帷幄、決勝於千里之
外。然而,這一切都必須建立在良好的網絡發展環境和安全的網絡運作基礎之上。
各種黑客程序雖然功能強大,但並不可怕。只要我們作好相應的防範工作,上網時又能
獨善其身,這樣就可以大大降低被黑客攻擊的可能性: 1.重要數據常備份
確保重要數據不被破壞最好的辦法是定期或不定期的備份工作,
如硬盤分區表、系統註冊表、WIN.INI和SYSTEM.INI等。特別重要的文件應該每天備份。
2.不運行來歷不明的軟件
我們知道,黑客的服務器程序必須被植入目標計算機系統方能發揮作用,所以我們就不
要輕易運行從陌生的不可靠的Internet網站(特別是某些黑客站點)、不可靠的FTP站點
上下載的軟件,因為黑客軟件可以被十分容易地捆綁到任何一個可執行程序上,運行又
無法發覺,當你接受到一個來歷不明的軟件,就有可能包含了後門程序。攻擊者常把後
門程序換一個名字作為E-mail附件發給你,並騙你說:「我不知道這個軟件怎麼用,請
幫我試一下」之類的話,這時一定不要上當!其他的程序比如遊戲軟件、屏幕保護程序
、新年賀卡程序都很有可能攜特洛伊木馬進駐你的電腦,所以千萬不要運行來歷不明的
軟件。另外,盜版光盤上的許多黑客工具也是暗藏玄機,別輕易中招喔。
3.使用反黑客軟件
盡可能經常性地使用多種最新的、能夠查解黑客的殺毒軟件(或可靠的反黑客軟件)來
檢查系統。必要時應在系統中安裝具有實時檢測、攔截、查解黑客攻擊程序的工具。應
該注意的是,與病毒不同,黑客攻擊程序不具有病毒傳染的機制,因此,傳統的防病毒
工具未必能夠防禦黑客程序。另外防火牆也是抵禦BO2K等黑客程序入侵的非常有效的手
段。 4.防人之心不可無
要時刻保持警惕性,例如,不要關閉瀏覽器的數據傳輸提示窗,許多上網的用戶都設置
為「以後不再詢問此類問題」,這樣容易失去警覺,越來越大膽地訪問、下載和在WEB上
回答問題。 最好關閉瀏覽器的「接受Cookie」——不管是在IRC或是訪問別人的網站,
因為沒人能保證它給你的那幾十個或幾百個字節的Cookie
是出於一片好心。上網覺得不對勁時(比如程序自動運行、頻繁的死機),應該立刻斷
線下網,用我們剛才說過的多種方法進行安全檢查,看看是否已經被黑客的特洛伊木馬
進攻了。 5.不要暴露自己的IP
上網注意不要把自己的IP顯示出來。某些聊天室會把你聊天用的密碼寫入你的緩存裡面
, 自己最好每次清理你的緩存(WINDOWS目錄下的Internet
Temp文件夾),刪掉那些文件名含有自己密碼的文件。
總之,對於個人用戶而言,要提高上網時的安全性,除了獨善其身,做到不訪問黑客站
點、不運行來歷不明的軟件,並對系統進行一定的安全性設置外,還有一個很有效的防
範措施就是安裝使用個人防火牆。對此,我們稍後將做詳細的介紹。