|
楼主 |
发表于 2008-12-6 21:37:41
|
显示全部楼层
?BO2K具体可以对电脑进行哪些远程控制? 8 _( ?7 P6 P. y O
??答:O2K的服务器端程序一旦被激活,你就成为了BO2K的服务器,从此处于黑客的完全控制之下, BO2K里共有70多条命令,这些命令用来在服务器上搜集数据和控制服务器,包括在BO2K服务器的电脑上增加目录、删除文件、查看系统中各种可能存在的口令、修改注册表,遥控BO2K服务器的多媒体播放、捕捉等功能。两台计算机建立连接后,选个命令,加上参数(如果需要的话),按 “Send ommand”(发送命令),就在选择的服务器上执行该命令,服务器的回应也会在回应窗口中显示出来。
+ ^7 O8 I7 u- M! l. z7 C黑客可随时启动和锁死系统、猎取密码、获得系统信息;可在你的计算机上出现系统信息框提示,改变HTTP文件服务器访问;可查看、删除、创建网络共享驱动盘和程序;修改注册表;通过远程来拷贝、删除、改变文件名;解压文件; # [2 a% n/ b# x$ q8 Y6 x
可使用DNS服务改变主机名和IP地址;可启动和停止BO2K服务系统;加载和卸装有关插件。下面就是BO2K的一些主要的远程控制手段: 4 q+ C" Q2 y' l& j/ R R) ]6 |
??1.搜索动态IP地址
; b& Q' R4 O! A0 x# ?: G* G" ~??从BO2K客户机向特定的IP地址发送命令即可对BO2K服务器操作。如果BO2K服务器无静态IP地址,BO2K客户机提供命令:在BO2K客户机的图形界面中使用“Ping...”命令,给对方电脑发个数据包看它能否被访问,看其是否已经“中招”;另外还可以设定目标IP如“202.102.87.*”,通过扫描子网列表来查找和监控那些电脑被安装了BO2K服务器、而IP地址又是动态分配的用户的电脑。 8 L# a% l' U8 P& j2 ~% z \
??2.系统控制和文件管理 ) g6 h8 I2 h% ]8 J9 m
??通过相应的命令,BO2K可以轻松获取和显示包括当前用户、CPU、内存、Window版
5 A e' U9 V: A0 D2 v& `, m本、驱动器(硬盘)容量及未使用空间等内容BO2K服务器上的相关系统信息。另外可以将BO2K服务器上的击键情况和执行输入的窗口名记录下来。
( p! q( x# j) i5 G$ |* ]" T甚至还可以在BO服务器上开一个对话框来与对方进行对话。BO2K还提供诸如对文件进行查找、拷贝、删除等操作的一系列命令,可在BO2K服务器的硬盘目录中查找目标文件,并能任意增加目录和删除文件、查看和拷贝文件、更改目录名、删除目录等。BO2K还可以任意修改BO2K服务器的注册表,锁住BO2K服务器的电脑,甚至可以控制BO2K服务器的系统重启动。
0 [7 Y6 M! I2 e??3.音频及视频控制 + w. C& m2 e/ k
??通过BO2K客户端可以列出BO2K服务器的视频输入设备。如果存在视频输入设备,既可以将视频和音频信号捕捉成为avi文件,也可以将BO2K服务器屏幕影像捕捉成为位图文件。只要愿意,甚至还可以遥控BO2K服务器的多媒体播放,比如在BO2K服务器上播放一个avi文件等等。
- Z* t( y- [ D/ s" A8 X??4.网络控制 BO2K提供了网络连接、出口地址、TCP
% b3 [6 s- o! T: g8 |8 E0 I文件接收、网络使用等命令,可以查看BO2K服务器上所有的域名、网络接口、服务器等内容,并可列出当前共享名、共享驱动器以及共享目录、权限和密码。通过TCP文件传输,还能将BO2K服务器主机连接到一个特定的IP地址和端口并发送特定文件中的内容,或将所接收到的数据保存到特定文件中。 , \9 B: F4 k3 Z w) a x
??5.进程控制 5 [' S9 l) \' L: p- S, D. k8 r
BO2K可以通过Telnet对话来控制基于文本或DOS的应用程序。可以在BO2K服务器列出当前激活的插件和已存在的插件并加以运行。另外还能在BO2K服务器上运行一个程序。也可以查看当前运行的所有程序并发送命令关闭其中的某个程序。 , P8 q {+ c# V8 j6 _! ~
作为一个功能强悍的黑客程序,BO2K的这些功能颇有些令人不寒而栗:因为如果我们的电脑不慎被BO2K侵入,当我们上网的时候自己的电脑就已经毫无秘密可言了,别说拨号上网的口令和系统加密口令了,就连你的屏幕保护口令黑客也知道的一清二楚。 4 n- u" n. b5 ?% g9 b
??如何清除BO2K? : ^' Z1 X! T" g* Q" ~
??答:BO2K的功能虽然十分强悍,但它的工作原理却很简单。我们知道它发生作用的前提是每次在Windows启动时,同时悄悄地在我们的电脑上启动一个服务器程序,黑客通过我们登录因特网时的IP地址,用配套的客户端程序登录到我们的电脑,从而实现远程控制我们电脑的目的。从原理上讲,BO2K和著名的PC
4 x6 v0 _$ w5 S: e9 EAnywhere一样,是一套简单的远程登录及控制软件工具。既然我们知道了BO2K进行工作的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,那么对付它的最直接有效的方法,就是从我们Windows的启动配置中将自动执行的黑客服务器程序删除掉。
# k- M7 q1 a, t0 \3 x??对付BO2K的方法如下:首先检查Windows\system下有没有一个名叫UMGR32~1.EXE的文件;如果是NT系统,则在Winnt\system32目录下检查它是否存在,这个文件的存在往往意味着系统已经被BO2K入侵。但这种方法并不是绝对保险,因为BO2K允许入侵者自行改变这个文件名,较可靠的办法还是检查可疑文件的长度,BO2K服务端的文件大小是114688字节, 如果发现某个文件刚好符合这个长度,可使用EDIT打开它,如果发现“Back Orifice”字串,那么该系统已经确实无疑地感染了BO2K。
9 \* u& F& N0 o" Y- h2 G& K, g) g??BO2K运行时必须修改注册表,因此我们可根据下面的线索通过注册表编辑器使用“查找”检查自己的系统是否被BO2K入侵。被BO2K修改过的注册表应该包含下列特征:
! E0 E, F" Y1 D/ t3 G# ]; b??[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ ' P1 H6 N: {* x1 L) N
Windows\CurrentVersion\RunServices] 0 w, n0 k0 g8 _3 Y
??“UMGR32.EXE”=“C:\\WINDOWS\\ " q+ _. M/ [# x [
??SYSTEM\\UMGR32.EXE”
* L3 o' r% q! @2 c, H/ N??发现了BO2K的蛛丝马迹后,Windows9x用户可以在纯DOS(而不是DOS窗口)下删除文件名以UMGR32打头的文件(del
& {. ^+ |1 ]- A/ fumgr*.*),再把它增加的注册表项删掉即可。对于WindowsNT,因为不能进入纯DOS状态,可以先删除它的相关注册表项,然后重启机器再看能否删掉以UMGR32打头的文件。如果这样不行的话,只好用系统软盘引导别的操作系统再做修改了。 * v4 X2 n, u! h
??另外,如果你已经在使用Windows 98 Second Edition版(即98第2版), BO2K " ~# G9 M5 z' O- J, s* Q/ V- Z
1.0会因为在隐身时的一个小缺陷,它会导致每次开机时都出现“非法操作”提示而无法在系统中顺利驻留,因此使用Windows98
j; m" r8 H! p1 ?SE版是暂时免疫BO2K的方法之一(可是这种暂时的优势随时可能会因BO2K新修正版的推出而不复存在)。
4 S8 j. F) x) S! F2 b??什么是KeyboardGhost,如何清除? " x: L& i3 s5 X' |3 P* i3 \: Y$ u
??答:KeyboardGhost(键盘幽灵)是一个专门记录键盘按键情况的黑客软件,可以运行在Win9x/NT/2000下。它的原理是这样的:Windows系统为了开辟键盘输入的缓冲区,在核心区保留了一定数量的字节,其数据结构形式是队列。KeyboardGhost就是通过直接访问这一队列来记录键盘上输入的一切以星号形式显示的密码窗口中的符号。并在系统根目录下生成一文件名为KG.DAT的隐含文件。对策是启动注册表,将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ % O: ]+ F( D, n
CurrentVersion\RunService]→KG.EXE这一键值删除,并将文件KG.EXE从Windows\System目录下删除。
$ b5 y/ D, s3 Y( b" Y, \" {6 q同时删除C:\KG.DAT这个文件。 6 `& D' L [. U, k1 u
??什么是万能钥匙Xkey?
. Q* s) V8 n7 R1 r- ~+ Z' ` O1 D??答:万能钥匙Xkey是产自国内的密码查找软件,该软件把词典内容分为“电话号码”、“出生日期”、“姓名字母”、“英文数字”四个部分,在每一部分可以按照需要设置有关参数,以快速地制作出许多破解工具所需要的词典文件。万能钥匙Xkey的
- h3 t, m5 Z- ` q' P$ B6 R% C1.1版本还增加了电脑和网络常用英文作为字典文件中的单词。 万能钥匙Xkey可以根据你的设置生成各种类型的口令,下面逐一介绍:
- e. i2 I& `4 A, h1、电话号码:分为“普通电话”和“数字移动电话或寻呼机”两种,这里可以选择不同位数的号码。 3 R3 V* M F8 @+ X% ?! }% H
在“词典长度”状态栏可以直观地看到词典的长度。词典的越长,那么生成的时间越长、词典文件也越大。2、出生日期:分为月日、年月、年月日三种,并可选择二位或四位年份和设置年份范围。3、姓名字母:分为姓名声母、姓或英文名、中文姓+名、中文姓+名字声母、中文姓+英文名;在姓氏范围中,你可以直接输入某个姓氏或按照人口频度选择姓氏范围,在“姓氏范围”中,你可以直接输入某个姓氏或调整人口频度。 % M% H% {7 c) C2 }3 x
除此之外,你还可选择加上固定前缀、常用数字和出生日期,姓名换位或使用分隔符。4、英文数字:此项包括有“计算机和网络常用英文(150个)”、其它常用英文(53123个)、常用数字(175个)和其它数字(0-999999)。
& X" Y0 w* ~1 Z5 |2 a. |??在生成词典文件之前,你还可以对词典中的字母进行大小写设定和设定词条宽度,并可以根据不同的系统平台对文本文件的换行符进行设定。在一切设置好后,来到“生成词典”对话框,点击“完成”按钮,弹出“保存词典文件”对话框,设置要保存的词典文件类型为TXT或DIC,然后用鼠标单击“保存”按钮,Xkey就开始为你生成词典了。 + D! P* ]' S) F' u; m. W% y
??什么是NetSpy,如何清除? % S/ q! ?! V) N
??答:Netspy是一个运行Win95/98的客户机/服务器模式远程控制软件,由客户程序和服务器程序两部分组成。在最新的Netspy版本中,客户程序通过互连网与安装运行在远程计算机上的服务器程序打交道。实际上可以将其看作一个没有权限控制的增强型FTP服务器。通过NetSpy可以神不知鬼不觉地下载和上载目标机器上的任意文件。并可以执行一些特殊的操作,如:终止远程计算机中运行的程序、在远程计算机上执行程序、关闭远程计算机等。
% K, f9 D \, X& x3 R( q??要想通过NetSpy自由存取别的计算机上的软件,同样必须先在目标计算机上安装NetSpy的服务器。Netspy服务器的安装方法十分简单,只需在目标计算机上运行一次netspy.exe文件即可。NetSpy会自动注册到系统里,以后每次启动Windows95/98时,就会自动启动netspy.exe程序了。这时,只要在别的计算机上执行netmonitor.exe,在菜单里选择添加计算机,输入目标计算机的IP地址或域名地址,就可以连接到目标计算机上进行操作了,使用方法十分简单。Netspy的缺点是不能为具体的机器设置密码,所以说安装了netspy server的机器一旦上网,有可能被任何安装了NetSpy客户程序的机器所控制。 8 L4 h* I# H1 X, F3 o
??由于Netspy.exe程序安装后,每次重新启动Windows95/98都会在不为人觉察的情况下自动加载NetSpy,所以它也是一个典型的特洛伊黑客程序:只要设法使欲攻击对象运行一次netspy.exe文件,目标计算机的后门就彻底对外开放了。只要对方的计算机一上网,入侵者就可以神不知鬼不觉地取得它的绝对控制权!
' E0 n; u0 t m) d8 v, h对策是在“开始--运行”里输入REGEDIT.EXE,直接打开注册表,如果在:“HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\CurrentVersion\Run”里如果有类似“netspy”、“C:\windows\system\netspy.exe”等字样,说明NetSpy已经进驻系统。另外一种识别方法是:打开资源管理器,进入Windows下的System子目录,如果发现有NetSpy.exe文件(86.5KB),没说的,中招了! 6 X2 q. N E) U9 M
??清除NetSpy的方法是:重新启动计算机,进入DOS状态,在Windows下的System子目录里删掉NetSpy.exe这个文件。再次启动机器,进入Windows的注册表,找到并删除“KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下NetSpy的键值即可。 6 e2 V7 q* m8 D, \7 H$ }
??什么是ProxyThief,如何清除?
- s0 V- {0 |' ~* ~??答:ProxyThief被安装后,会用NetInspect 对机器的0到9999端口进行扫描,以找出可用的Free Proxy!端口,
4 k: g T) [8 V9 }) K% N. B然后通过将你的计算机设置成代理服务器, 达到冒用你的IP上网的目的 5 {4 \' I6 h" G- w, a* [; i
。黑客可以通过NetSpy或BO2K这样的工具对ProxyThief进行远程控制。清除方法是运行注册表,查找关键字“ProxyThief”,将所有与之相关的键和键值删除。 ) U9 v9 }9 N% {" y' c# y3 x
??什么是“冰河”,如何清除?
8 U! s& | O! `& J2 R% [1 Z }" e??答:国产黑客软件“冰河” 0 ~( \" ]3 W0 s/ [6 I [
与所有的特洛伊木马程序一样,当“冰河”的服务器端程序G_Server.exe一旦被某台电脑的使用者所执行,虽然在表面上看不出任何变化,但事实上,该服务器端程序已悄悄地进驻该机的注册表,以后,只要这台电脑一启动上网,可怕的“后门”(默认端口号7626)就会悄然洞开,可轻易地被藏在网络某个角落的客户端程序G_Client.exe扫描到并实施包括可显示系统信息及上网密码、系统控制(重新启动、关机等)、注册表键值读写等几乎是全方位的控制。 . A4 E2 F& S8 k: F7 A/ q
如果上网时一旦不小心误入了“冰河”,脱身的方法如下:
$ A9 W+ p! o r9 K- v5 K. ?0 b??1.在c:\Windows\system目录下,查找并删除名为KERNEL32.EXE的文件。 K% ]; \* G4 v- W+ p
??2.“冰河”为了进行自我保护,它可将自己与文本文件关联,以便在程序被删除后在打开文本文件的时候又自动恢复,这个关联文件是SYSEXPLR.EXE。
# r4 v. @8 n% a??3. 检查注册表。在“开始—运行”里输入“regedit”并回车,在“HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion \Run和HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices”,查找并删除有KERNEL32.EXE文件的键值。
: T, [" `3 q% [1 s# R??4.最后,因为“冰河”的服务器端程序名不一定就是KERNEL32.EXE,所以最可靠的办法还是把C盘格式化后重新安装Windows。 , f. j* d8 d2 e0 D- V
?? |
|