|
說起網(wǎng)絡安全,我想確實是一個難題,因為網(wǎng)絡的確不安全,那麼到底怎麼不安全呢?這也是一兩句話難以說清楚,現(xiàn)在我只談一談簡單的木馬攻防戰(zhàn)術.
木馬程序用“瞞天過海”或“披著羊皮的狼”之類的詞來形容這類程序一點也不為過,直截了當?shù)恼f法是木馬有兩個程序,一個是服務器程序,一個是控制器程序,當你的電腦運行了服務器程序后,客人就可以使用控制器程序進入你的電腦,通過指揮服務器程序達到控制你的電腦的目的. 有些網(wǎng)友會說我的電腦沒有什麼秘密的資料,就抱著無所謂的態(tài)度,我想你肯定不希望在奮勇沖浪的時候,在與MM談情說愛的時候,或許你在看屬于你隱私的電子郵件的時候總有一雙或很多雙眼睛在"笑瞇瞇"的"關心"著你吧,更有甚者,通過木馬將病毒傳染到你的電腦上,讓你死去活來,你的鼠標被人家控制,鍵盤不知什麼時候鎖住了,這電腦還算你的嗎?怎麼辦?涼拌! 那麼木馬究竟是何方神圣,讓我們來分析一下. 一個木馬要工作,那麼其服務器程序必須在目標上運行,沒有人會主動要求去運行它,但是會有這麼一天,有人對你抱以和善的微笑說,"我這有一個好游戲""我有漂亮的MM屏保和你分享一下"等等,當你打開這些所謂的程序時,一個宿主程序已經(jīng)悄悄潛入你的機子,第一步就這樣完成了,這完全是我們疏于防范造成的. 然后,木馬一般會在以下三個地方安營扎寨:注冊表,、win.ini,、system.ini,因為電腦啟動的時候,需要裝載這三個文件,大部分木馬是使用這三種方式啟動的.也有捆綁方式啟動的,木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標電腦上,可以捆綁到啟動程序上,也可以捆綁到一般程序的常用程序上.如果捆綁到一般的程序上,啟動是不確定的,這要看目標電腦主人了,如果他不運行,木馬就不會進入內(nèi)存.捆綁方式是一種手動的安裝方式,一般捆綁的是非自動方式啟動的木馬.非捆綁方式的木馬因為會在注冊表等位置留下痕跡,所以,很容易被發(fā)現(xiàn),而捆綁木馬可以由黑客自己確定捆綁方式,、捆綁位置,、捆綁程序等,位置的多變使木馬由很強的隱蔽性. 木馬的服務器程序文件一般位置是在c:\windows和c:\windows\system中,為什么要在這兩個目錄下,因為windows的一些系統(tǒng)文件在這兩個位置,如果你誤刪了文件,你的電腦可能崩潰,你不得不重新安裝系統(tǒng). 木馬的文件名更是一種學問,木馬的文件名盡量和windows的系統(tǒng)文件接近,這樣你就會弄糊涂了,比如木馬SubSeven 1.7版本的服務器文件名是c:\windows\KERNEL16.DL,而windows由一個系統(tǒng)文件是c:\windows\KERNEL32.DLL,他們之差一點點,但是刪錯了的話,結果可大不相同的哦,刪除KERNEL32.DLL會讓你死翹翹的哦.再比如,木馬phAse 1.0版本,生成的木馬是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系統(tǒng)文件C:\WINDOWS\System\Msgsrv32.exe一模一樣,只是圖標有點兩樣,你可不要刪錯了哦.上面兩個是假扮系統(tǒng)文件的類型,我們再來看看無中生有的類型,木馬SubSeven 1.5版本服務器文件名是c:\windows\window.exe,看清楚了哦,少一個s的哦,如果不告訴你這是木馬,你有膽子刪嗎,? 但是木馬有一個致命的缺點,相對固定的端口,黑客要進入你的電腦,必須要有通往你電腦的途徑,也就是說,木馬必須打開某個端口,大家叫這個端口為“后門”,木馬也叫“后門工具”.這個不得不打開的后門是很難隱蔽的,只能采取混淆的辦法,很多木馬的端口是固定的,讓人一眼就能看出是什么樣的木馬造成的.所以,端口號可以改變,這是一種混淆的辦法.我們知道7306是木馬netspy的,木馬SUB7可以改變端口號,SUB7默認的端口是1243,但是如果把1243端口改成了7306呢,呵呵,一定會把目標電腦的主人弄混淆了.有些人會問,要是這個端口會自動改變那該多好呀,每次上網(wǎng)端口號自動改變,呵呵,真聰明,可惜聰明過頭了.比如,真有這樣的木馬裝在我的電腦上,每次上網(wǎng)的端口均會改變,你是黑客,你打算怎么進入我的電腦呢,?你知道這個木馬現(xiàn)在開放的端口號是多少嗎,?想掃描我的電腦?端口一共有6萬多個,你什么時候掃描完畢,?半個小時,呵呵,我早發(fā)現(xiàn)了,早把你炸死了.即使我是菜鳥一個,你這樣高速度掃描我的電腦,也會導致我的電腦通訊阻塞,誰會在網(wǎng)速非常慢的情況下在網(wǎng)絡上待半個小時,?所以,這基本上是不太可能的事情. 木馬有很強的隱蔽性,在WINDOWS中,如果某個程序出現(xiàn)異常,用正常的手段不能退出的時候,采取的辦法時按“Ctrl+Alt+Del"鍵,跳出一個窗口,找到需要終止的程序,然后關閉它.早期的木馬會在按“Ctrl+Alt+Del"顯露出來,現(xiàn)在大多數(shù)木馬已經(jīng)看不到了.所以只能采用內(nèi)存工具來看內(nèi)存中時候存在木馬. 木馬還具有很強潛伏的能力,表面上的木馬被發(fā)現(xiàn)并刪除以后,后備的木馬在一定的條件下會跳出來.這種條件主要是目標電腦主人的操作造成的.我們先來看一個典型的例子:木馬Glacier(冰河1.2正式版)現(xiàn)在已經(jīng)升級到3.0版, 這個木馬有兩個服務器程序,C:\WINDOWS\SYSTEM\Kernel32.exe掛在注冊表的啟動組中,當電腦啟動的時候,會裝入內(nèi)存,這是表面上的木馬.另一個是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注冊表中,它修改了文本文件的關聯(lián),當你點擊文本文件的時候,它就啟動了,它會檢查Kernel32.exe是不是存在,如果存在的話,什么事情也不做.當表面上的木馬Kernel32.exe被發(fā)現(xiàn)并刪除以后,目標電腦的主人可能會覺得自己已經(jīng)刪除木馬了,應該是安全的了.如果目標電腦的主人在以后的日子中點擊了文本文件,那么這個文件文件照樣運行,而Sysexplr.exe被啟動了.Sysexplr.exe會發(fā)現(xiàn)表面上的木馬Kernel32.exe已經(jīng)被刪除,就會再生成一個Kernel32.exe,于是,目標電腦以后每次啟動電腦木馬又被裝上了. 說了這麼多,是不是感到很恐怖,很上火,別著急,清涼解暑藥馬上就到. 在對付特洛伊木馬程序方面,有以下幾種辦法: 1.必須提高防范意識,不要打開陌生人信中的附件,哪怕他說的天花亂墜,熟人的也要確認一下來信的原地址是否合法. 2.多讀readme.txt.許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,在沒有弄清軟件包中幾個程序的具體功能前,就匆匆地執(zhí)行其中的程序,這樣往往就錯誤地執(zhí)行了服務器端程序而使用戶的計算機成為了特洛伊木馬的犧牲品.軟件包中經(jīng)常附帶的readme.txt文件會有程序的詳細功能介紹和使用說明,盡管它一般是英文的,但還是有必要先閱讀一下,如果實在讀不懂,那最好不要執(zhí)行任何程序,丟棄軟件包當然是最保險的了.有必要養(yǎng)成在使用任何程序前先讀readme.txt的好習慣. 值得一提的是,有許多程序說明做成可執(zhí)行的readme.exe形式,readme.exe往往捆綁有病毒或特洛伊木馬程序,或者干脆就是由病毒程序、特洛伊木馬的服務器端程序改名而得到的,目的就是讓用戶誤以為是程序說明文件去執(zhí)行它,可謂用心險惡.所以從互聯(lián)網(wǎng)上得來的readme.exe最好不要執(zhí)行它. 3.使用殺毒軟件.現(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能,如KV300,、KILL98,、瑞星等等,可以不定期地在脫機的情況下進行檢查和清除.另外,有的殺毒軟件還提供網(wǎng)絡實時監(jiān)控功能,這一功能可以在黑客從遠端執(zhí)行用戶機器上的文件時,提供報警或讓執(zhí)行失敗,使黑客向用戶機器上載可執(zhí)行文件后無法正確執(zhí)行,從而避免了進一步的損失,但是要記住,它不是萬能的. 4.立即掛斷.盡管造成上網(wǎng)速度突然變慢的原因有很多,但有理由懷疑這是由特洛伊木馬造成的,當入侵者使用特洛伊的客戶端程序訪問你的機器時,會與你的正常訪問搶占寬帶,特別是當入侵者從遠端下載用戶硬盤上的文件時,正常訪問會變得奇慢無比.這時,你可以雙擊任務欄右下角的連接圖標,仔細觀察一下“已發(fā)送字節(jié)”項,如果數(shù)字變化成1~3kbps(每秒1~3千字節(jié)),幾乎可以確認有人在下載你的硬盤文件,除非你正在使用ftp功能.對TCP/IP端口熟悉的用戶,可以在“MS-DOS方式”下鍵入“netstat-a"來觀察與你機器相連的當前所有通信進程,當有具體的IP正使用不常見的端口(一般大于1024)與你通信時,這一端口很可能就是特洛伊木馬的通信端口.當發(fā)現(xiàn)上述可疑跡象后,你所能做的就是:立即掛斷,然后對硬盤有無特洛伊木馬進行認真的檢查. 5.觀察目錄.普通用戶應當經(jīng)常觀察位于c:\、c:\windows,、c:\windows\system這三個目錄下的文件.用“記事本”逐一打開c:\下的非執(zhí)行類文件(除exe,、bat、com以外的文件),查看是否發(fā)現(xiàn)特洛伊木馬,、擊鍵程序的記錄文件,在c:\Windows或c:\Windows\system下如果有光有文件名沒有圖標的可執(zhí)行程序,你應該把它們刪除,然后再用殺毒軟件進行認真的清理. 6.在刪除木馬之前,最最重要的一項工作是備份,需要備份注冊表,防止系統(tǒng)崩潰,備份你認為是木馬的文件,如果不是木馬就可以恢復,如果是木馬你就可以對木馬進行分析.不同的不馬有不同的清除方法,由于涉及面太大,這里就不詳述了. 總之不管你喜歡不喜歡,木馬總是存在的,你只有去多多少少的了解一些木馬的知識,才不至于遭人暗算,警惕啊,我的朋友,在茫茫的大海中,總有那麼一雙眼睛在窺視著你. |
|
|
