攻击软件原理与防范

特洛伊木马 原  理
          BO【Back Oriffice】象是一种没有任何权限限制的FTP服务器程序，黑客先使用各种方法诱惑他人使用BO的服务器端程序，一旦得逞便可通过BO客户端程序经由TCP/IP网络进入并控制远程的Windows的微机。
    其工作原理：Boserve.exe在对方的电脑中运行后，自动在win里注册并隐藏起来，控制者在对方上网后通过Boconfig.exe(安装设置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(图形界面控制程序)来控制对方。
: I% }7 {% c0 p" ]% F/ h2 s: t  }   网上更有一些害人虫将木马程序和其他应用程序结合起来发送给攻击者，只要对方运行了那个程序，木马一样的会驻留到windwos系统中。
      BO本质上属于客户机/服务器应用程序。它通过一个极其简单的图形用户界面和控制面板，可以对感染了BO（即运行了 BO服务器）的机器操作Windows本身具备的所有功能。
$ g+ t2 `! `# x: ?4 j% C   这个仅有123K的程序，水平一流，令那些复杂而庞大的商用远程管理 软件相形见绌。而真正可怕的是：BO没有利用系统和软件的任何漏洞或Bug，也没有利用任何微软未公开的内部API，而完全是利用Windows系统的基本设计缺陷。甚至连普通的局域网防火墙和代理服务器也难以有效抵挡。
      BO服务器可通过网上下载、电子邮件、盗版光盘、人为投放等途径传播，并且可极其隐藏地粘贴在其他应用程序。一旦激活，就可以自动安装，创建Windll.dll，然后删除自安装程序，埋名隐姓，潜伏在机器中。外人就可通过BO客户机程序，方便地搜索到世界上任何一台被BO感染并上网的计算机IP地址。通过IP地址就可对其轻易实现网络和系统控制功能。
    可获取包括网址口令、拨号上网口令、用户口令、磁盘、CPU，软件版本等详细的系统信息；可删除、复制、检查、查看文件；可运行机内任何一个程序；可捕捉屏幕信息；可上传各种文件；可以查阅、创建、删除和修改系统注册表；甚至可以使计算机重新启动或锁死机器。而所有这些功能的实现，只需在菜单中作一选择，轻摁一键，就可轻松完成。 除了BO外，还有很多原理和它差不多的特洛伊木马程序，例如：【NetSpy】【Netbus】等。
, P: }+ |/ |. \1 }& W1 p4 p
; V0 U6 v0 j  s防   范
      不要随便运行不太了解的人给你的程序，特别是后缀名为exe的可执行程序。特洛伊木马程序很多，它们的安装服务器有Boserve.exe(122k),NETSPY.EXE(127k)，如果你从Email收到或是DOWN了大小和上述文件一样的EXE文件，运行时可要小心了。运行后如果程序突然消失，或者是无任何反应，那你很可能是被攻击了。这时候你的电脑就完全被别人所控制，他可以复制，删除甚至运行你电脑里的文件和程序。这时你只要到注册表里去修改一下就可以消灭它：运行注册表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN键值中的“.EXE”和“NETSPY.EXE”等的键值，将其删除，重新启动你的计算机然后删除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了。或用最新版本的杀毒软件，如瑞星90（11），KV300等，你也可以下载一些专门扫除特洛伊木马的软件。

如何防范Back Orifice2000
- t: @# `8 x% S   对于95和98的用户：
     检查c:\windows\system目录下是否有UMGR32~1.exe文件，如果有的话请运行Regedit将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除，Reboot你的机器，然后Delete你硬盘上的这个文件。
     对于NT的用户：
     检查winnt\system32目录下是否有UMGR32~1.exe这个文件，如果有的话请先在任务管理器中对应的进程Kill掉再运行Regedit将路径指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service，然后Delete it，最好Reboot一次你的机器
; t! s8 c7 q* j1 X- o5 }
邮件炸弹 原  理
5 b9 M( v  U0 c* ~6 v/ \8 R        E-MAIL炸弹原本泛指一切破坏电子邮箱的办法，一般的电子邮箱的容量在5，6M以下，平时大家收发邮件，传送软件都会觉得容量不够，如果电子邮箱一下子被几百，几千甚至上万封电子邮件所占据，这是电子邮件的总容量就会超过电子邮箱的总容量，以至造成邮箱超负荷而崩溃。【kaboom3】【upyours4】【Avalanche v2.8】就是人们常见的几种邮件炸弹。
. H, g" `3 [; \# `
( [- `" }% k: ]% G" c防   范
    ⒈不要将自己的邮箱地址到处传播，特别是申请上网帐号时ISP送的电子信箱，那可是要按字节收费的哟！去申请几个免费信箱对外使用，随便别人怎么炸，大不了不要了。

    ⒉最好用POP3收信，你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook，你可以选择“工具”/“收件箱助理”，然后点击“添加”在属性窗口可以设定对各种条件的Email的处理方式。如果我们想让超过1024KB的邮件直接从服务器上删除，根本不下载到计算机上，可以在邮件条件框中将“大于”选中，然后输入1024，接着在“执行下列操作”框中选中“从服务器删除”就行了。

    ⒊当某人不停炸你信箱时，你可以先打开一封信，看清对方地址，然后在收件工具的过滤器中选择不再接收这地址的信，直接从服务器删除。
0 E& C( b, b3 _8 [
& I# A6 p" E5 L6 R9 X" y    ⒋在收信时，一旦看见邮件列表的数量超过平时正常邮件的数量的若干倍，应当马上停止下载邮件，然后再从服务器删除炸弹邮件。（要用下面提到的工具）

    ⒌不要认为邮件发送有个回复功能，就可以将发炸弹的人报复回来，那是十分愚蠢的！发件人有可能是用的假地址发信，这个地址也许填得与收件人地址相同。这样你不但不能回报对方，还会使自己的邮箱彻底完结！

   ⒍你还可以用一些工具软件防止邮件炸弹，下面本站就提供一个供大家下载：
9 Z) K9 F: S: _8 h/ h' d4 t
6 U( z% O" O0 H$ `% V【echom201】这是一个功能强大的砍信机，每分钟能砍到1000封电子邮件，是对付邮件炸弹的好东西
* n& u; z) r7 e  Q* D, X
端口攻击 原  理
# g* z5 y) c# P/ ^* [8 [5 P     这类软件是利用Window95/NT系统本身的漏洞，这与Windows下微软网络协议NetBIOS的一个例外处理程序OOB（Out of Band）有关。只要对方以OOB的方式，就可以通过TCP/IP传递一个小小的封包到某个IP地址的Port139上，该地址的电脑系统即（WINDOWS95/NT）就会“应封包而死”，自动重新开机，你未存档的所有工作就得重新再做一遍了。
      你一定会问这个封包到底里面是些什么？会有如此神奇的效果！这不过是一些很小的ICMP（Internet Control Message Protocolata）碎片，当你机器收到这份“礼物”时，你的系统会不停地试图把碎片恢复，当然这是不可能的，它怎么会这样便宜你了！于是你的电脑系统就这样速度越来越慢直至完全死机！而你就只有重新启动。
- ]' F. ^8 T5 \7 E( p      其实，并不只是Port139会出现问题，只要是使用OOB的开放接受端，都有可能出现症状不一的“电脑狂乱”情形。例如，Identel所用的Port113，据说收到同样的封包也会出问题。常见的端口攻击器有【uKe23】【voob】【WINNUKE2】。如果你还是用的win95，那您就要当心了。
) h/ G$ u5 V8 n4 C
4 Z$ p7 h0 ^2 S防   范
; G  p5 H- _* p      将你的Windows95马上升级到Windows98，首先修正Win95的BUG，在微软主页的附件中有对于Win95和OSR2以前的版本的补丁程序，Win98不需要。然后学会隐藏自己的IP，包括将ICQ中"IP隐藏"打开，注意避免在会显示IP的BBS和聊天室上暴露真实身份，特别在去黑客站点访问时最好先运行隐藏IP的程序。
8 G" g9 F- ^8 {% m( V2 @8 |) m, z
JAVA 炸弹 原  理
     很多网友在聊天室中被炸了以后，就以为是被别人黑了，其实不是的。炸弹有很多种，有的是造成电脑直接死机，有的是通过HTML语言，让你的浏览器吃完你的系统资源，然后你就死机了。 这里我就告诉大家几个java炸弹的原理：
* B" w8 P9 T, |  G" y  u
第一个炸弹是javascript类型的炸弹：
<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1">
这个 javascript语言要求浏览在新窗口中再打开本页。新的页面被打开以后就会同样提出要求，于是浏览器不停地打开新窗口，没几秒钟你就死机了。就算是不死机，你也必须把浏览器中内存中驱除出去，这样，你就被踢出了网络。

5 l% m9 @/ y" a8 @) U2 r# B下面分析一下这个HTML语言的原理。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ，javascript 是定义运行此语言，n=1 是定义变量 n 等于 1 ， do{ }while(n==1) 指当 n 等于 1 ，的时候运行{ }中间的命令，window.open('') 指打开本窗口，整个语言的意思是，变量 n 赋值为 1 ，如果 n 等于 1 ，那么就打开一个窗口，而 n 永远等于 1 ，就不停地打开新的窗口。
# ^' G% N1 i5 G! X
同样道理，也可以利用无限循环的原理看看其他的炸弹。前面的文章中提到了 alert ("欢迎辞") 是用来致欢迎辞的，你可以在网页中加入以下的 javascript 语言：
: d* C! b* j) M& u/ e* d+ W! J<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿，你死定了！");}while(n==1)</SCRIPT>
5 d, C2 r9 b) [" i/ b9 Q
下面介绍一个1999年5月才出炉的java炸弹，威力比上两种都强，大家务必要当心。 我们就不在这里提供效果了！
# \- ?- t7 D7 [7 }" \<HTML>
<BODY>
<SCRIPT>
  `1 n0 J' {- Z8 f9 _  wvar color = new Array;
color[1] = "black";
) E0 X8 |6 z! C6 G3 q7 R, Jcolor[2] = "white";
for(x = 0; x <3; x++)
4 }: @/ i! I# [. R, V4 p{
document.bgColor = color[x]
/ J& T: i3 c8 p0 a( Vif(x == 2)
* d7 ]+ T$ Q. c0 ]  s8 ]* J{
, h2 _- P: N( c( g: r/ i1 U/ ?8 Bx = 0;
}
1 Q5 u- U6 [/ }4 k) X}
</SCRIPT>
</BODY>
</HTML>

# A0 e- J% U  M& `  g
- V& A9 F/ |9 E9 t: y防   范
    唯一的防范方法就是你在聊天室聊天时，特别是支持HTML的聊天室（比如湛江，新疆等）请你一定记住关掉你浏览器里的java功能，还要记住不要浏览一些来路不明的网站和不要在聊天室里按其他网友发出的超级链接，这样可以避免遭到恶作剧者的攻击。