国产十八禁AV网站,欧美日韩亚洲国产综合乱,亚洲国产aⅴ成人精品无吗,秋霞午夜福利影院合集

汶上信息港

標(biāo)題: 攻擊軟件原理與防范 [打印本頁]

作者: 雜七雜八 時(shí)間: 2011-1-12 16:29
標(biāo)題: 攻擊軟件原理與防范
特洛伊木馬原  理
      BO【Back Oriffice】象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序，黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序，一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進(jìn)入并控制遠(yuǎn)程的Windows的微機(jī)。
其工作原理：Boserve.exe在對方的電腦中運(yùn)行后，自動(dòng)在win里注冊并隱藏起來，控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方。
網(wǎng)上更有一些害人蟲將木馬程序和其他應(yīng)用程序結(jié)合起來發(fā)送給攻擊者，只要對方運(yùn)行了那個(gè)程序，木馬一樣的會(huì)駐留到windwos系統(tǒng)中。
   BO本質(zhì)上屬于客戶機(jī)/服務(wù)器應(yīng)用程序。它通過一個(gè)極其簡單的圖形用戶界面和控制面板，可以對感染了BO（即運(yùn)行了 BO服務(wù)器）的機(jī)器操作Windows本身具備的所有功能。
這個(gè)僅有123K的程序，水平一流，令那些復(fù)雜而龐大的商用遠(yuǎn)程管理軟件相形見絀。而真正可怕的是：BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug，也沒有利用任何微軟未公開的內(nèi)部API，而完全是利用Windows系統(tǒng)的基本設(shè)計(jì)缺陷。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋。
   BO服務(wù)器可通過網(wǎng)上下載、電子郵件、盜版光盤、人為投放等途徑傳播，并且可極其隱藏地粘貼在其他應(yīng)用程序。一旦激活，就可以自動(dòng)安裝，創(chuàng)建Windll.dll，然后刪除自安裝程序，埋名隱姓，潛伏在機(jī)器中。外人就可通過BO客戶機(jī)程序，方便地搜索到世界上任何一臺(tái)被BO感染并上網(wǎng)的計(jì)算機(jī)IP地址。通過IP地址就可對其輕易實(shí)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能。
可獲取包括網(wǎng)址口令、撥號(hào)上網(wǎng)口令、用戶口令、磁盤、CPU，軟件版本等詳細(xì)的系統(tǒng)信息；可刪除、復(fù)制、檢查、查看文件；可運(yùn)行機(jī)內(nèi)任何一個(gè)程序；可捕捉屏幕信息；可上傳各種文件；可以查閱、創(chuàng)建、刪除和修改系統(tǒng)注冊表；甚至可以使計(jì)算機(jī)重新啟動(dòng)或鎖死機(jī)器。而所有這些功能的實(shí)現(xiàn)，只需在菜單中作一選擇，輕摁一鍵，就可輕松完成。除了BO外，還有很多原理和它差不多的特洛伊木馬程序，例如：【NetSpy】【Netbus】等。

防范
   不要隨便運(yùn)行不太了解的人給你的程序，特別是后綴名為exe的可執(zhí)行程序。特洛伊木馬程序很多，它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k)，如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件，運(yùn)行時(shí)可要小心了。運(yùn)行后如果程序突然消失，或者是無任何反應(yīng)，那你很可能是被攻擊了。這時(shí)候你的電腦就完全被別人所控制，他可以復(fù)制，刪除甚至運(yùn)行你電腦里的文件和程序。這時(shí)你只要到注冊表里去修改一下就可以消滅它：運(yùn)行注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值，將其刪除，重新啟動(dòng)你的計(jì)算機(jī)然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了。或用最新版本的殺毒軟件，如瑞星90（11），KV300等，你也可以下載一些專門掃除特洛伊木馬的軟件。

如何防范Back Orifice2000
對于95和98的用戶：
   檢查c:\windows\system目錄下是否有UMGR32~1.exe文件，如果有的話請運(yùn)行Regedit將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除，Reboot你的機(jī)器，然后Delete你硬盤上的這個(gè)文件。
   對于NT的用戶：
   檢查winnt\system32目錄下是否有UMGR32~1.exe這個(gè)文件，如果有的話請先在任務(wù)管理器中對應(yīng)的進(jìn)程Kill掉再運(yùn)行Regedit將路徑指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service，然后Delete it，最好Reboot一次你的機(jī)器

郵件炸彈原  理
      E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法，一般的電子郵箱的容量在5，6M以下，平時(shí)大家收發(fā)郵件，傳送軟件都會(huì)覺得容量不夠，如果電子郵箱一下子被幾百，幾千甚至上萬封電子郵件所占據(jù)，這是電子郵件的總?cè)萘烤蜁?huì)超過電子郵箱的總?cè)萘?，以至造成郵箱超負(fù)荷而崩潰。【kaboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈。

防范
⒈不要將自己的郵箱地址到處傳播，特別是申請上網(wǎng)帳號(hào)時(shí)ISP送的電子信箱，那可是要按字節(jié)收費(fèi)的喲！去申請幾個(gè)免費(fèi)信箱對外使用，隨便別人怎么炸，大不了不要了。

⒉最好用POP3收信，你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook，你可以選擇“工具”/“收件箱助理”，然后點(diǎn)擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除，根本不下載到計(jì)算機(jī)上，可以在郵件條件框中將“大于”選中，然后輸入1024，接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了。

⒊當(dāng)某人不停炸你信箱時(shí)，你可以先打開一封信，看清對方地址，然后在收件工具的過濾器中選擇不再接收這地址的信，直接從服務(wù)器刪除。

⒋在收信時(shí)，一旦看見郵件列表的數(shù)量超過平時(shí)正常郵件的數(shù)量的若干倍，應(yīng)當(dāng)馬上停止下載郵件，然后再從服務(wù)器刪除炸彈郵件。（要用下面提到的工具）

⒌不要認(rèn)為郵件發(fā)送有個(gè)回復(fù)功能，就可以將發(fā)炸彈的人報(bào)復(fù)回來，那是十分愚蠢的！發(fā)件人有可能是用的假地址發(fā)信，這個(gè)地址也許填得與收件人地址相同。這樣你不但不能回報(bào)對方，還會(huì)使自己的郵箱徹底完結(jié)！

⒍你還可以用一些工具軟件防止郵件炸彈，下面本站就提供一個(gè)供大家下載：

【echom201】這是一個(gè)功能強(qiáng)大的砍信機(jī)，每分鐘能砍到1000封電子郵件，是對付郵件炸彈的好東西

端口攻擊原  理
   這類軟件是利用Window95/NT系統(tǒng)本身的漏洞，這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個(gè)例外處理程序OOB（Out of Band）有關(guān)。只要對方以O(shè)OB的方式，就可以通過TCP/IP傳遞一個(gè)小小的封包到某個(gè)IP地址的Port139上，該地址的電腦系統(tǒng)即（WINDOWS95/NT）就會(huì)“應(yīng)封包而死”，自動(dòng)重新開機(jī)，你未存檔的所有工作就得重新再做一遍了。
   你一定會(huì)問這個(gè)封包到底里面是些什么？會(huì)有如此神奇的效果！這不過是一些很小的ICMP（Internet Control Message Protocolata）碎片，當(dāng)你機(jī)器收到這份“禮物”時(shí)，你的系統(tǒng)會(huì)不停地試圖把碎片恢復(fù)，當(dāng)然這是不可能的，它怎么會(huì)這樣便宜你了！于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機(jī)！而你就只有重新啟動(dòng)。
   其實(shí)，并不只是Port139會(huì)出現(xiàn)問題，只要是使用OOB的開放接受端，都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形。例如，Identel所用的Port113，據(jù)說收到同樣的封包也會(huì)出問題。常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】。如果你還是用的win95，那您就要當(dāng)心了。

防范
   將你的Windows95馬上升級到Windows98，首先修正Win95的BUG，在微軟主頁的附件中有對于Win95和OSR2以前的版本的補(bǔ)丁程序，Win98不需要。然后學(xué)會(huì)隱藏自己的IP，包括將ICQ中"IP隱藏"打開，注意避免在會(huì)顯示IP的BBS和聊天室上暴露真實(shí)身份，特別在去黑客站點(diǎn)訪問時(shí)最好先運(yùn)行隱藏IP的程序。

JAVA 炸彈原  理
   很多網(wǎng)友在聊天室中被炸了以后，就以為是被別人黑了，其實(shí)不是的。炸彈有很多種，有的是造成電腦直接死機(jī)，有的是通過HTML語言，讓你的瀏覽器吃完你的系統(tǒng)資源，然后你就死機(jī)了。這里我就告訴大家?guī)讉€(gè)java炸彈的原理：

第一個(gè)炸彈是javascript類型的炸彈：
<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">
這個(gè) javascript語言要求瀏覽在新窗口中再打開本頁。新的頁面被打開以后就會(huì)同樣提出要求，于是瀏覽器不停地打開新窗口，沒幾秒鐘你就死機(jī)了。就算是不死機(jī)，你也必須把瀏覽器中內(nèi)存中驅(qū)除出去，這樣，你就被踢出了網(wǎng)絡(luò)。

下面分析一下這個(gè)HTML語言的原理。分析 "javascript:n=1;do{window.open('')}while(n==1)" ，javascript 是定義運(yùn)行此語言，n=1 是定義變量 n 等于 1 ， do{ }while(n==1) 指當(dāng) n 等于 1 ，的時(shí)候運(yùn)行{ }中間的命令，window.open('') 指打開本窗口，整個(gè)語言的意思是，變量 n 賦值為 1 ，如果 n 等于 1 ，那么就打開一個(gè)窗口，而 n 永遠(yuǎn)等于 1 ，就不停地打開新的窗口。

同樣道理，也可以利用無限循環(huán)的原理看看其他的炸彈。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的，你可以在網(wǎng)頁中加入以下的 javascript 語言：
<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿，你死定了！");}while(n==1)</SCRIPT>

下面介紹一個(gè)1999年5月才出爐的java炸彈，威力比上兩種都強(qiáng)，大家務(wù)必要當(dāng)心。我們就不在這里提供效果了！
<HTML>
<BODY>
<SCRIPT>
var color = new Array;
color[1] = "black";
color[2] = "white";
for(x = 0; x <3; x++)
{
document.bgColor = color[x]
if(x == 2)
{
x = 0;
}
}
</SCRIPT>
</BODY>
</HTML>

防范
唯一的防范方法就是你在聊天室聊天時(shí)，特別是支持HTML的聊天室（比如湛江，新疆等）請你一定記住關(guān)掉你瀏覽器里的java功能，還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接，這樣可以避免遭到惡作劇者的攻擊。

歡迎光臨汶上信息港 (http://yh18.cn/)