【電腦計算機病毒25年生日】 - 病毒,防毒,防駭 - 電腦系統討論 - 頂客論壇 ,免費遊戲,免費交友,免費空間,免費部落格,免費相簿,免費開店 - 頂客社區 dk101.com 最用心的華人社群網站
發新話題

[討論] 【電腦計算機病毒25年生日】

【電腦計算機病毒25年生日】

並不是所有生日都是讓人愉快的,《科學》指出今年是病毒的25年生日,提醒大家瞭解病毒和其衍生物——木馬,Rootkit等惡意軟件。

1982年,真正意義上的病毒出現——Elk Cloner是第一個我們知道的瘋狂傳播的計算機病毒。Richard Skrenta,當時只有十五歲,對蘋果II操作系統寫下了這個病毒,它存儲在軟盤上。當一個計算機從感染了Elk Cloner的軟盤啟動時,病毒就開始運行,並且隨後就把自己複製到任意插入的沒有被感染的軟盤。由於當時的計算機有雙軟盤驅動器,並且由於當時軟盤常常在朋友間傳遞,所以病毒就被頻繁的拷貝。

Elk Cloner 能夠複製自己的能力(一個病毒的主要標準)使得Skrenta 能夠繼續騷擾他的朋友而不需要物理訪問。據報道,這個病毒廣泛的在他的朋友間傳播(也包括他的數學老師),所以保證了Elk Cloner 在歷史上的地位。

科技在發展,病毒也在發展,破壞力更強,感染的平台更多,給計算機業界帶來了無盡的煩惱,在無奈地對病毒說生日快樂的同時,也希望他盡快消失在我們的眼前。

看看黑客如何給你的系統種上木馬
相信很多朋友都聽說過木馬程序,總覺得它很神秘、很高難,但事實上隨著木馬軟件的智能化,很多駭客都能輕鬆達到攻擊的目的。今天,筆者就以最新的一款木馬程序——黑洞2004,從種植、使用、隱藏、防範四個方面來為網絡愛好者介紹一下木馬的特性。需要提醒大家的是,在使用木馬程序的時候,請先關閉系統中的病毒防火牆,因為殺毒軟件會把木馬作為病毒的一種進行查殺。

操作步驟:

一、種植木馬

現在網絡上流行的木馬基本上都採用的是C/S 結構(客戶端/服務端)。你要使用木馬控制對方的電腦,首先需要在對方的的電腦中種植並運行服務端程序,然後運行本地電腦中的客戶端程序對對方電腦進行連接進而控制對方電腦。

二、使用木馬

成功的給別人植入木馬服務端後,就需要耐心等待服務端上線。由於黑洞2004採用了反連接技術,所以服務端上線後會自動和客戶端進行連接,這時,我們就可以操控客戶端對服務端進行遠程控制。在黑洞2004下面的列表中,隨便選擇一台已經上線的電腦,然後通過上面的命令按鈕就可以對這台電腦進行控制。下面就簡單的介紹一下這些命令的意義。

文件管理:服務端上線以後,你可以通過「文件管理」命令對服務端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過鼠標直接把文件或文件夾拖放到目標文件夾,並且支持斷點傳輸。簡單吧?

進程管理:查看、刷新、關閉對方的進程,如果發現有殺毒軟件或者防火牆,就可以關閉相應的進程,達到保護服務器端程序的目的。

窗口管理:管理服務端電腦的程序窗口,你可以使對方窗口中的程序最大化、最小化、正常關閉等操作,這樣就比進程管理更靈活。你可以搞很多惡作劇,比如讓對方的某個窗口不停的最大化和最小化。

視頻監控和語音監聽:如果遠程服務端電腦安裝有USB攝像頭,那麼可以通過它來獲取圖像,並可直接保存為Media Play可以直接播放的Mpeg文件;需要對方有麥克風的話,還可以聽到他們的談話,恐怖吧?

除了上面介紹的這些功能以外,還包括鍵盤記錄、重啟關機、遠程卸載、抓屏查看密碼等功能,操作都非常簡單,明白了吧?做駭客其實很容易。

隱藏

隨著殺毒軟件病毒庫的升級,木馬會很快被殺毒軟件查殺,所以為了使木馬服務端辟開殺毒軟件的查殺,長時間的隱藏在別人的電腦中,在木馬為黑客提供幾種可行的辦法。

1.木馬的自身保護

就像前面提到的,黑洞2004在生成服務端的時候,用戶可以更換圖標,並使用軟件UPX對服務端自動進行壓縮隱藏。

2.捆綁服務端

用戶通過使用文件捆綁器把木馬服務端和正常的文件捆綁在一起,達到欺騙對方的目的。文件捆綁器有廣外文件捆綁器2002、萬能文件捆綁器、exeBinder、Exe Bundle等。

3.制做自己的服務端

上面提到的這些方法雖然能一時瞞過殺毒軟件,但最終還是不能逃脫殺毒軟件的查殺,所以若能對現有的木馬進行偽裝,讓殺毒軟件無法辨別,則是個治本的方法。可以通過使用壓縮EXE和DLL文件的壓縮軟件對服務端進行加殼保護。例如1中的UPX就是這樣一款壓縮軟件,但默認該軟件是按照自身的設置對服務端壓縮的,因此得出的結果都相同,很難長時間躲過殺毒軟件;而自己對服務端進行壓縮,就可以選擇不同的選項,壓縮出與眾不同的服務端來,使殺毒軟件很難判斷。下面我就以冰河為例,為大家簡單的講解一下脫殼(解壓)、加殼(壓縮)的過程。

如果我們用殺毒軟件對冰河進行查殺,一定會發現2個病毒,一個是冰河的客戶端,另一個是服務端。使用軟件「PEiD」查看軟件的服務端是否已經被作者加殼,可以看到服務端已經使用UPX進行了壓縮。

現在,我們就需要對軟件進行脫殼,也就是一種解壓的過程。這裡我使用了「UPXUnpack」,選擇需要的文件後,點擊「解壓縮」就開始執行脫殼。

脫殼完成後,我們需要為服務端加一個新殼,加殼的軟件很多,比如:ASPack、ASProtect、UPXShell、Petite等。這裡以「ASPack」為例,點擊「打開」按鈕,選擇剛剛脫殼的服務端程序,選擇完成後ASPack會自動為服務端進行加殼。再次用殺毒軟件對這個服務端進行查殺,發現其已經不能識別判斷了。如果你的殺毒軟件依舊可以查殺,你還可以使用多個軟件對服務端進行多次加殼。筆者在使用Petite和ASPack對服務端進行2次加殼後,試用了多種殺毒軟件都沒有掃瞄出來。現在網絡中流行的很多XX版冰河,就是網友通過對服務端進行修改並重新加殼後制做出來的。

為了避免不熟悉木馬的用戶誤運行服務端,現在流行的木馬都沒有提供單獨的服務端程序,而是通過用戶自己設置來生成服務端,黑洞2004也是這樣。首先運行黑洞2004,點擊「功能/生成服務端」命令,彈出「服務端配置」界面。由於黑洞2004採用了反彈技術(請參加小知識),首先單擊旁邊的「查看」按鈕,在彈出的窗口中設置新的域名,輸入你事先申請空間的域名和密碼,單擊「域名註冊」,在下面的窗口中會反映出註冊的情況。域名註冊成功以後,返回「服務端配置」界面,填入剛剛申請的域名,以及「上線顯示名稱」、「註冊表啟動名稱」等項目。為了迷惑他人,可以點「更改服務端圖標」按鈕為服務端選擇一個圖標。所有的設置都完成後,點擊「生成EXE型服務端」就生成了一個服務端。在生成服務端的同時,軟件會自動使用UPX為服務端進行壓縮,對服務端起到隱藏保護的作用。

服務端生成以後,下一步要做的是將服務端植入別人的電腦?常見的方法有,通過系統或者軟件的漏洞入侵別人的電腦把木馬的服務端植入其的電腦;或者通過 Email夾帶,把服務端作為附件寄給對方;以及把服務端進行偽裝後放到自己的共享文件夾,通過P2P軟件(比如PP點點通、百寶等),讓網友在毫無防範中下載並運行服務端程序。

由於本文主要面對普通的網絡愛好者,所以就使用較為簡單的Email夾帶,為大家進行講解。我們使用大家經常會看到的Flash動畫為例,建立一個文件夾命名為「好看的動畫」,在該文件夾裡邊再建立文件夾「動畫.files」,將木馬服務端軟件放到該文件夾中假設名稱為「abc.exe」,再在該文件夾內建立flash文件,在flash文件的第1幀輸入文字「您的播放插件不全,單擊下邊的按鈕,再單擊打開按鈕安裝插件」,新建一個按鈕組件,將其拖到舞台中,打開動作面板,在裡邊輸入「on (press) 」,表示當單擊該按鈕時執行abc這個文件。在文件夾「好看的動畫」中新建一個網頁文件命名為「動畫.htm」,將剛才製作的動畫放到該網頁中。看出門道了嗎?平常你下載的網站通常就是一個.html文件和一個結尾為.files的文件夾,我們這麼構造的原因也是用來迷惑打開者,畢竟沒有幾個人會去翻. files文件夾。現在我們就可以撰寫一封新郵件了,將文件夾「好看的動畫」壓縮成一個文件,放到郵件的附件中,再編寫一個誘人的主題。只要對方深信不疑的運行它,並重新啟動系統,服務端就種植成功了。

三、防範

防範重於治療,在我們的電腦還沒有中木馬前,我們需要做很多必要的工作,比如:安裝殺毒軟件和網絡防火牆;及時更新病毒庫以及系統的安全補丁;定時備份硬盤上的文件;不要運行來路不明的軟件和打開來路不明的郵件。

最後筆者要特別提醒大家,木馬除了擁有強大的遠程控制功能外,還包括極強的破壞性。我們學習它,只是為了瞭解它的技術與方法,而不是用於盜竊密碼等破壞行為,希望大家好自為之。

小知識:

反彈技術,該技術解決了傳統的遠程控制軟件不能訪問裝有防火牆和控制局域網內部的遠程計算機的難題。反彈端口型軟件的原理是,客戶端首先登錄到FTP 服務器,編輯在木馬軟件中預先設置的主頁空間上面的一個文件,並打開端口監聽,等待服務端的連接,服務端定期用HTTP協議讀取這個文件的內容,當發現是客戶端讓自己開始連接時,就主動連接,如此就可完成連接工作。

因此在互聯網上可以訪問到局域網裡通過 NAT (透明代理)代理上網的電腦,並且可以穿過防火牆。與傳統的遠程控制軟件相反,反彈端口型軟件的服務端會主動連接客戶端,客戶端的監聽端口一般開為80 (即用於網頁瀏覽的端口),這樣,即使用戶在命令提示符下使用「netstat -a」命令檢查自己的端口,發現的也是類似「TCP UserIP:3015 ControllerIP:http ESTABLISHED」的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁,而防火牆也會同樣這麼認為的。於是,與一般的軟件相反,反彈端口型軟件的服務端主動連接客戶端,這樣就可以輕易的突破防火牆的限制。


【我的電腦你別動 一「鎖」平天下】
在網吧、辦公室和學校宿舍等公共場合,你當然不喜歡別人動用自己的電腦。通常情況下,臨時要離開一下都是通過「Win+L」鎖定電腦。這種方法方便到是方便,不過缺點也是明顯的,這種一棍子打死的方法並不是每一個人都適用。借助於一款小工具--鎖定桌面任我行的幫助,我們在鎖定系統時就可以「挑肥減瘦」,桌面圖標、快捷啟動欄、任務欄,某個程序想鎖那個鎖那個。

鎖定桌面任我行下載地址:
訪客無法瀏覽此圖片或連結,請先 註冊登入會員

安裝完畢,運行程序,程序界面十分簡單,只有「設置」和「恢復/鎖定」兩個按鈕(見圖1)和10個小方格。這10個小方格是幹什麼的呢?這裡暫時埋下伏筆。單擊「設置」按鈕,彈出密碼驗證框,只有有權限的用戶才能設置和鎖定項目,初始密碼為「3721」,用戶可以在以後的設置中自行更改。正確輸入密碼後,進入設置頁面。



1.挑肥減瘦,想鎖誰就鎖誰

單擊「基本設置」標籤,在其下列出14個鎖定項,有「鎖定桌面圖標、鎖定系統任務欄、鎖定開始按鈕、鎖定快速啟動項、鎖定任務欄中的所有任務、鎖定系統托盤」等(見圖2)。用戶可以按自己的實際需要單選或者是多選進行鎖定設置,設置完畢,關閉設置窗口即可。以後用戶需要鎖定桌面時,只需單擊程序界面中的「鎖定」按鈕即可。這樣就沒有人能夠動用我們鎖定的項目了。當自己需要解鎖時,單擊「恢復」按鈕,輸入正確的密碼就可以解鎖了。



2.隱身匿蹤,把危險操作藏幕後 ww

在單位、在學校的宿舍很多時候礙於同事、同學的情面我們並不好意思將電腦鎖起來不給他們用,但又怕他們亂動電腦給系統造成損害,這時不妨把「運行」、「網絡鄰居」等藏起來,把註冊表鎖起來,以增加系統的安全性。在「其本設置」中可以隱藏桌面和任務欄,另外,切換到「其他設置」,還可以隱藏「運行、查找、網絡鄰居、本機名稱」以及鎖定註冊表(見圖3),用戶只需選擇相應的選項,然後單擊「確定」即可。



3.網開一面,講點情面給點自由

朋友們一定還記得主界面中的10個小方格吧?它們到底是幹什麼的呢?這10個小方格是給與我們共用一台電腦的其它用戶(以後簡稱受限用戶)打開的方便之窗,當我們鎖定桌面之後,受限用戶就無法再動用電腦了,這時我們可以通過這10個小窗格給受限用戶指定電腦鎖定後可以使用的程序。單擊「鍵位設置」標籤,在其下可以定義10個程序(見圖4),在這裡為以後的使用方便,建議給程序定義一個相關的圖標,以方便在鎖定主界面中調用。定義完畢,單擊「確定」按鈕,以後當我們鎖定電腦後,受限用戶僅可以通過鎖定窗口來使用10個小方格中的程序。



小提示:用戶可以切換到「密碼設置」標籤頁,設置一個強有力的密碼,以確保程序啟動時的安全。

TOP

三個小命令檢查電腦是否被安裝木馬
些基本的命令往往可以在保護網絡安全上起到很大的作用,下面幾條命令的作用就非常突出。

一、檢測網絡連接
如果你懷疑自己的電腦計算機上被別人安裝了木馬,或者是中了病毒,但是手裡沒有完善的工具來檢測是不是真有這樣的事情發生,那可以使用Windows自帶的網絡命令來看看誰在連接你的電腦計算機。

具體的命令格式是:netstat -an這個命令能看到所有和本地電腦計算機建立連接的IP,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控電腦計算機上的連接,從而達到控制電腦計算機的目的。

二、禁用不明服務
很多朋友在某天系統重新啟動後會發現電腦計算機速度變慢了,不管怎麼優化都慢,用殺毒軟件也查不出問題,這個時候很可能是別人通過入侵你的電腦計算機後給你開放了特別的某種服務,比如IIS信息服務等,這樣你的殺毒軟件是查不出來的。但是別急,可以通過「net start」來查看系統中究竟有什麼服務在開啟,如果發現了不是自己開放的服務,我們就可以有針對性地禁用這個服務了。

方法就是直接輸入「net start」來查看服務,再用「net stop server」來禁止服務。

三、輕鬆檢查帳戶
很長一段時間,惡意的攻擊者非常喜歡使用硬碟帳號的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認帳戶,但這個帳戶是不經常用的,然後使用工具把這個帳戶提升到管理員權限,從表面上看來這個帳戶還是和原來一樣,但是這個硬碟的帳戶卻是系統中最大的安全隱患。惡意的攻擊者可以通過這個帳戶任意地控制你的電腦計算機。

為了避免這種情況,可以用很簡單的方法對帳戶進行檢測。

首先在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用「net user+用戶名」查看這個用戶是屬於什麼權限的,一般除了Administrator是administrators組的,其他都不是!如果你發現一個系統內置的用戶是屬於administrators組的,那幾乎肯定你被入侵了,而且別人在你的電腦計算機上硬碟了帳戶。快使用「net user用戶名/del」來刪掉這個用戶吧!

聯網狀態下的客戶端。對於沒有聯網的客戶端,當其聯網之後也會在第一時間內收到更新信息將病毒特徵庫更新到最新版本。不僅省去了用戶去手動更新的煩瑣過程,也使用戶的電腦計算機時刻處於最佳的保護環境之下。


[ 本帖最後由 蔡逸竹 於 2007-7-13 21:36 編輯 ]

TOP

發新話題

本站所有圖文均屬網友發表,僅代表作者的觀點與本站無關,如有侵權請通知版主會盡快刪除。