BO2K怎樣進行自我保護?
答:BO2K提供一個圖形化的文件瀏覽方式,可以方便地修改註冊表,所有危險之舉已經簡化到只需滑鼠輕輕一點。對於Windows NT而言,BO2K的危害性就更為巨大:為進行自我保護,BO2K不僅會自動改變自己的工作行程名稱,而且還能自動建立一個自身工作行程的副本,以備BO2K被刪除後還能夠「在烈火中永生」。它自己的文件名後面加上一些隨機的空格及字母,所以在Windows下無法刪除該文件,只能在純DOS下刪掉。也就是說,一旦服務器感染BO2K就必須停機,才能刪除。眾所周知,重要的服務器停機會造成多大的損失......BO2k還支持多種網路協議。它可以利用TCP或UDP來傳送,還可以用XOR加密保護算法或更高階的3DES加密保護算法加密保護。雖然用3DES算法加密保護的BO2K也有可能被發現,但現在還沒有方法來判斷其執行的命令。更為令人擔心的是,BO2K可以自由地增加或者去掉網路目錄的共享內容,也就是說,一旦BO2K進入公司內部網路服務器,那麼整個公司網路上的所有文件就都隨時有可能被居心叵測的人所「共享」.
BO2K具體可以對電腦進行哪些遠端控制?
答:O2K的服務器端程式一旦被啟動,你就成為了BO2K的服務器,從此處於黑客的完全控制之下, BO2K裡共有70多條命令,這些命令用來在服務器上搜集資料和控制服務器,包括在BO2K服務器的電腦上增加目錄、刪除文件、檢視系統中各種可能存在的口令、修改註冊表,遙控BO2K服務器的多媒體播放、捕捉等功能。兩台電腦建立連接後,選個命令,加上參數(如果需要的話),按 「Send ommand」(發送命令),就在選擇的服務器上執行該命令,服務器的回應也會在回應視窗中顯示出來。
黑客可隨時啟動和鎖死系統、獵取密碼、獲得系統訊息;可在你的電腦上出現系統訊息框提示,改變HTTP文件服務器訪問;可檢視、刪除、創建網路共享驅動盤和程式;修改註冊表;通過遠端來拷貝、刪除、改變文件名;解壓文件;
可使用DNS服務改變主機名和IP位址;可啟動和停止BO2K服務系統;載入和卸裝有關插件。下面就是BO2K的一些主要的遠端控制手段:
1.搜索動態IP位址
從BO2K客戶機向特定的IP位址發送命令即可對BO2K服務器操作。如果BO2K服務器無靜態IP位址,BO2K客戶機提供命令:在BO2K客戶機的圖形界面中使用「Ping...」命令,給對方電腦發個資料包看它能否被訪問,看其是否已經「中招」;另外還可以設定目標IP如「202.102.87.*」,通過掃瞄子網列表來查找和監控那些電腦被安裝了BO2K服務器、而IP位址又是動態分配的用戶的電腦。
2.系統控制和文件管理
通過相應的命令,BO2K可以輕鬆獲取和顯示包括當前用戶、CPU、記憶體、Window版
本、驅動器(硬碟)容量及未使用空間等內容BO2K服務器上的相關係統訊息。另外可以將BO2K服務器上的擊鍵情況和執行輸入的視窗名記錄下來。
甚至還可以在BO服務器上開一個交談視窗來與對方進行對話。BO2K還提供諸如對文件進行查找、拷貝、刪除等操作的一系列命令,可在BO2K服務器的硬碟目錄中查找目標文件,並能任意增加目錄和刪除文件、檢視和拷貝文件、更改目錄名、刪除目錄等。BO2K還可以任意修改BO2K服務器的註冊表,鎖住BO2K服務器的電腦,甚至可以控制BO2K服務器的系統重啟動。
3.音頻及視頻控制
通過BO2K客戶端可以列出BO2K服務器的視頻輸入設備。如果存在視頻輸入設備,既可以將視頻和音頻信號捕捉成為avi文件,也可以將BO2K服務器螢幕影像捕捉成為位圖文件。只要願意,甚至還可以遙控BO2K服務器的多媒體播放,比如在BO2K服務器上播放一個avi文件等等。
4.網路控制 BO2K提供了網路連接、出口位址、TCP
文件接收、網路使用等命令,可以檢視BO2K服務器上所有的域名、網路接頭、服務器等內容,並可列出當前共享名、共享驅動器以及共享目錄、權限和密碼。通過TCP文件傳輸,還能將BO2K服務器主機連接到一個特定的IP位址和連接阜並發送特定文件中的內容,或將所接收到的資料儲存到特定文件中。
5.工作行程控制
BO2K可以通過Telnet對話來控制基於文本或DOS的應用程式。可以在BO2K服務器列出當前啟動的插件和已存在的插件並加以執行。另外還能在BO2K服務器上執行一個程式。也可以檢視當前執行的所有程式並發送命令關閉其中的某個程式。
作為一個功能強悍的黑客程式,BO2K的這些功能頗有些令人不寒而慄:因為如果我們的電腦不慎被BO2K侵入,當我們上網的時候自己的電腦就已經毫無秘密可言了,別說撥號上網的口令和系統加密保護口令了,就連你的螢幕保護口令黑客也知道的一清二楚。
如何清除BO2K?
答:BO2K的功能雖然十分強悍,但它的工作原理卻很簡單。我們知道它發生作用的前提是每次在Windows啟動時,同時悄悄地在我們的電腦上啟動一個服務器程式,黑客通過我們登入因特網時的IP位址,用配套的客戶端程式登入到我們的電腦,從而實現遠端控制我們電腦的目的。從原理上講,BO2K和著名的PC
Anywhere一樣,是一套簡單的遠端登入及控制軟件工具。既然我們知道了BO2K進行工作的關鍵在於隱藏了一個會在Windows啟動時悄悄執行的服務端程式,那麼對付它的最直接有效的方法,就是從我們Windows的啟動配置中將自動執行的黑客服務器程式刪除掉。
對付BO2K的方法如下:首先檢查Windows\system下有沒有一個名叫UMGR32~1.EXE的文件;如果是NT系統,則在Winnt\system32目錄下檢查它是否存在,這個文件的存在往往意味著系統已經被BO2K入侵。但這種方法並不是絕對保險,因為BO2K允許入侵者自行改變這個文件名,較可靠的辦法還是檢查可疑文件的長度,BO2K服務端的文件大小是114688字節, 如果發現某個文件剛好符合這個長度,可使用EDIT打開它,如果發現「Back Orifice」字串,那麼該系統已經確實無疑地感染了BO2K。
BO2K執行時必須修改註冊表,因此我們可根據下面的線索通過註冊表編輯器使用「查找」檢查自己的系統是否被BO2K入侵。被BO2K修改過的註冊表應該包含下列特徵:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices]
「UMGR32.EXE」=「C:\\WINDOWS\\
SYSTEM\\UMGR32.EXE」
發現了BO2K的蛛絲馬跡後,Windows9x用戶可以在純DOS(而不是DOS視窗)下刪除文件名以UMGR32打頭的文件(del
umgr*.*),再把它增加的註冊表項刪掉即可。對於WindowsNT,因為不能進入純DOS狀態,可以先刪除它的相關註冊表項,然後重啟機器再看能否刪掉以UMGR32打頭的文件。如果這樣不行的話,只好用系統軟碟啟始別的操作系統再做修改了。
另外,如果你已經在使用Windows 98 Second Edition版(即98第2版), BO2K
1.0會因為在隱身時的一個小缺陷,它會導致每次開機時都出現「非法操作」提示而無法在系統中順利駐留,因此使用Windows98
SE版是暫時免疫BO2K的方法之一(可是這種暫時的優勢隨時可能會因BO2K新修正版的推出而不復存在)。
什麼是KeyboardGhost,如何清除?
答:KeyboardGhost(鍵盤幽靈)是一個專門記錄鍵盤按鍵情況的黑客軟件,可以執行在Win9x/NT/2000下。它的原理是這樣的:Windows系統為了開闢鍵盤輸入的緩衝區,在核心區保留了一定數量的字節,其資料結構形式是隊列。KeyboardGhost就是通過直接訪問這一隊列來記錄鍵盤上輸入的一切以星號形式顯示的密碼視窗中的符號。並在系統根目錄下產生一文件名為KG.DAT的隱含文件。對策是啟動註冊表,將[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunService]→KG.EXE這一鍵值刪除,並將文件KG.EXE從Windows\System目錄下刪除。
同時刪除C:\KG.DAT這個文件。
什麼是萬能鑰匙Xkey?
答:萬能鑰匙Xkey是產自國內的密碼查找軟件,該軟件把詞典內容分為「電話號碼」、「出生日期」、「姓名字母」、「英文數位」四個部分,在每一部分可以按照需要設置有關參數,以快速地製作出許多破解工具所需要的詞典文件。萬能鑰匙Xkey的
1.1版本還增加了電腦和網路常用英文作為字典文件中的單詞。 萬能鑰匙Xkey可以根據你的設置產生各種類型的口令,下面逐一介紹:
1、電話號碼:分為「普通電話」和「數位移動電話或尋呼機」兩種,這裡可以選擇不同位數的號碼。
在「詞典長度」狀態欄可以直觀地看到詞典的長度。詞典的越長,那麼產生的時間越長、詞典文件也越大。2、出生日期:分為月日、年月、年月日三種,並可選擇二位或四位年份和設置年份範圍。3、姓名字母:分為姓名聲母、姓或英文名、中文姓+名、中文姓+名字聲母、中文姓+英文名;在姓氏範圍中,你可以直接輸入某個姓氏或按照人口頻度選擇姓氏範圍,在「姓氏範圍」中,你可以直接輸入某個姓氏或調整人口頻度。
除此之外,你還可選擇加上固定前綴、常用數位和出生日期,姓名換位或使用分隔符。4、英文數位:此項包括有「電腦和網路常用英文(150個)」、其它常用英文(53123個)、常用數位(175個)和其它數位(0-999999)。
|