大家經常會聽到“木馬”一詞。究竟木馬是什么東西呢?這篇文章里我會向大家介紹“特洛伊木馬”、“特洛伊木馬”的使用以及特洛伊木馬的防范等。
木馬,全稱為:特洛伊木馬(Trojan Horse)。
“特洛伊木馬”這一詞最早出先在希臘神話傳說中。相傳在3000年前,在一次希臘戰爭中。麥尼勞斯(人名)派兵討伐特洛伊(王國),但久攻不下。他們想出了一個主意:首先他們假裝被打敗,然后留下一個木馬。而木馬里面卻藏著最強悍的勇士!最后等時間一到,木馬里的勇士全部沖出來把敵人打敗了!
這就是后來有名的“木馬計”。—— 把預謀的功能隱藏在公開的功能里,掩飾真正的企圖。
至于黑客程序里的特洛伊木馬和故事里的特洛伊木馬差不多。
黑客程序里的特洛伊木馬有以下的特點:
(1)主程序有兩個,一個是服務端,另一個是控制端。
(2)服務端需要在主機執行。
(3)一般特洛伊木馬程序都是隱蔽的進程。
(4)當控制端連接服務端主機后,控制端會向服務端主機發出命令。而服務端主機在接受命令后,會執行相應的任務。
(5)每個系統都存在特洛伊木馬。(包括windows,Unix,liunx等)
在許多人眼中,特洛伊木馬是一種病毒。其實特洛伊木馬并不是一種病毒,它沒有完全具備病毒的性質。(包括:轉播,感染文件等。)
特洛伊木馬程序的發展歷史:
第一代木馬:控制端 —— 連接 —— 服務端
特點:屬于被動型木馬。能上傳,下載,修改注冊表,得到內存密碼等。
典型木馬:冰河,NetSpy,back orifice(簡稱:BO)等。
第二代木馬:服務端 —— 連接 —— 控制端
特點:屬于主動型木馬。隱蔽性更強,有利用ICMP協議隱藏端口的,有利用DLL(動態連接庫)隱藏進程的,甚至出現能傳播的木馬。
典型木馬:網絡神偷,廣外女生等。(反彈端口型木馬)
下面,我們將介紹一個國產的特洛伊木馬 —— 冰河。
特洛伊木馬冰河的軟件功能概述:
該軟件主要用于遠程監控,具體功能包括:
1.自動跟蹤目標機屏幕變化,同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時,監控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網適用);
2.記錄各種口令信息:包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息;
3.獲取系統信息:包括計算機名、注冊公司、當前用戶、系統路徑、操作系統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統數據;
4.限制系統功能:包括遠程關機、遠程重啟計算機、鎖定鼠標、鎖定系統熱鍵及鎖定注冊表等多項功能限制;
5.遠程文件操作:包括創建、上傳、下載、復制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項文件操作功能;
6.注冊表操作:包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作功能;
7.發送信息:以四種常用圖標向被控端發送簡短信息;
8.點對點通訊:以聊天室形式同被控端進行在線交談。
看過冰河的功能概述后,是不是被它的功能所著迷呢?
接著,我會介紹特洛伊木馬“冰河”的使用。
本次范例需要的系統及程序情況如下:
操作系統:Windows98
程序(一):特洛伊木馬“冰河”V2.2 DARKSUN 專版
程序(二):Superscan3.0 英文版
本機IP:127.0.0.1
測試IP:127.0.0.3
新程序說明:
Superscan3.0是foundstone實驗室出品的端口掃描器。特點:速度快,資源占用少。
Superscan:“scanner.exe”為主程序;“scanner.lst”、“hensss.lst”、“trojans.lst”為端口列表。
冰河:“G_Client.exe”為控制端;“G_Server.exe”為服務端。
本文運用端口掃描程序,在網絡上尋找木馬冰河的服務器端,從而達到對該用戶實施入欺電腦的目的。
首先,把一些常見的木馬端口和大家說說:[木馬冰河:7626];[netspy(網絡精靈):7306];[back orifice (bo):31337];[back orifice2000 (bo2000):54320];[netbus:12345];[subseven:27374或1243] 。
這是一個非常簡單的入侵,但你別看小你這次的入侵哦!因為你可能在這次入侵里,獲得上網密碼、OICQ密碼、E-MAIL密碼、個人主頁密碼等等!
1、首先,我們打開Superscan3.0,在“IP”的“start”和“stop”里填上搜索范圍。例如:202.103.139.1 —— 202.103.139.255。接著在“scan type”的“All ports from”里填上:7626(冰河服務端開的端口)。按“Start”開始掃描。過一會,下面就會出現很多IP,但并不是每一個都是。我們需要按“Prune”把多余的IP刪除掉。剩下IP就是中了冰河的主機。(假如沒有找到,請不要灰心,繼續掃描。一個成功的黑客最重要是有耐心!)
1、打開“冰河”的G_Client.exe控制端(不是G_Server.exe!),把你上面找到的主機IP添加上去,訪問口令嘛,不用填。(聽說現在有萬能密碼的!)然后單擊該IP前面的小電腦圖標,如果湊巧別人沒有給該主機設置口令,那么它的C盤,D盤等,就會出現了,你可以象打開自己本地硬盤那樣,瀏覽里邊的文件夾了。
“冰河”上面有個“幫助”,里邊有個“操作指南”。具體的使用,大家就看它吧。全中文介紹,也不用我多說了。
其實,“冰河”本身里邊有個“自動搜索”,用它來找一段區域內的IP,速度和效果,是很不錯的。
使用方法:按第三個圖標“自動搜索”,首先要設置:
“起始域”(例如:127.0.0)
“延遲時間”:用默認的就可以
“監聽端口”:7626
“起始地址”:1
“終止地址”:255
接著點擊“開始搜索”。搜索完畢后,下面會有提示:對子網'127.0.0'搜索完畢,共找到N臺計算機,其中N臺可以用。接著,在右邊框里邊上方會顯示搜索成功和失敗的主機的。然后和前面一樣,雙擊前面的電腦圖標就可以了。
3、每次攻擊,都會留下線索,所以請大家不要有惡意。你進入別人的電腦后,所得到的帳號,密碼等,千萬不要公開出來,也不要修改對方電腦里邊的東西。然后,給別人善意的提醒對方,教他把木馬清除掉! —— 這才是真正黑客:)
關于冰河的萬能密碼:
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密碼: 123456!@
2.2殺手專版:05181977
2.2殺手專版:dzq2000!
許多人會問:天下間哪里會有這么多中了冰河的主機啊?
當然,任何一個人都不會令自己中上這么可怕的木馬程序。
那么,我們怎樣讓別人的運行木馬的服務端呢?
這個不是我們要探討的問題。因為我們是要了解整個入侵過程,而不是要令別人受害!
最后,我希望大家記著:任何時候,攻擊、破壞個人電腦都不是一個黑客的所為!
如果清除冰河服務端:
方法一: 俗話說,解鈴還需系鈴人。中了冰河,就用它的控制端來卸載服務端。具體方法:
1、啟動“冰河”的控制端程序。
2、選擇“文件”——“添加主機”,或者直接點擊快接按鈕欄的第一個圖標 。
3、彈出的對話框中,“遠程主機”一項,填寫自己的IP。
4、連接服務端,然后,點擊“命令控制臺”標簽。
5、選擇“控制類命令”——“系統控制”,在右面的窗口下方,你會發現四個按鈕。點擊“自動卸載”,就將冰河的服務器端清除了。
方法二:
冰河 v1.1
1、打開注冊表“Regedit.exe”。(可以在“開始”——“運行”里輸入“regedit”。)
2、點擊目錄至:HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionRun
3、查找以下的兩個路徑,并刪除
“C:windowssystemkernel32.exe”
"“C:windowssystemsy***plr.exe”
4、關閉“Regedit.exe”,重新啟動Windows。
5、刪除“C:windowssystemkernel32.exe”和“C:windowssystemsy***plr.exe”木馬程序。
6:重新啟動。完成。
冰河 v2.2
因為服務端程序、路徑用戶是可以隨意定義,寫入注冊表的鍵名也可以自己定義。所以,不能明確說明。
你可以察看注冊表,把可疑的文件路徑刪除。然后重新啟動Windows,刪除于注冊表相對應的木馬程序。也可以試試“冰河 v1.1”的清除方法。
如何防御特洛伊木馬:
對于第一代特洛伊木馬,只需要安裝“防火墻+殺毒軟件”就可以有效預防特洛伊木馬程序。
當然,你必須做到以下幾點:
(1)不要亂下載黑客程序。
(2)不要隨便打開陌生人發給你的程序。
(3)注意郵件里的附件。
記著經常升級防火墻和殺毒軟件哦!
