| 粗看“BO",还以为是指Microsoft公司出品的著名软件套件Back Office。可是错了,BO现在是大名鼎鼎的黑客软件Back Orifice的简称。如果你从BBS上、电子邮件中、或者盗版光盘上看到BO120.ZIP之类的文件,那就是Cult Dead Cow黑客小组制作的BackOrifice软件包。BO120.ZIP软件包中有一个BO.TXT文件,是Back Orifice的使用说明,Cult Dead Cow并不给BO贴上“黑客”的标签,而是给BO取一个很技术化的名字棗“远程管理系统”,并称自己是一个客户机/服务器应用程序,其BO客户机程序可以监视、管理和使用其他网络中运行BO服务器程序所在的网络资源。
下面我们先来揭开BO的真面目,看看BO具有哪些攻击手段,然后介绍识别和清除BO的方法,以及应采取的防范措施。
一、BO 运行机制
BO 是一个典型的黑客软件,它采用“特洛伊木马”技术,通过在你的电脑系统中隐藏一个会在Windows 启动时悄悄执行的BO服务器程序,并用BO客户机程序来操纵你的电脑系统。
1、BO主要程序
BO整套软件包括以下几个文件:
boserve.exe:BO服务器自安装程序。
bogui.exe:图形界面的客户端控制程序。
boclient.exe:文本方式的客户端控制程序。
freeze.exe:压缩程序。压缩文档可被metl命令解压缩。
melt.exe:解压程序。可以解压由freeze压缩的文件。
boconfig.exe:配置BO服务器程序文件名、端口、密码和插件的工具。
plugin.txt:关于插件编程的说明。
bo.txt:BO软件使用说明。
2、BO运行环境
BO软件现在只能在Windows 95/98中运行,还不能运行于Windows NT,这一点倒是令NT的广大用户稍感宽慰。Cult Dead Cow 将推出BO的UNIX版本,并在不断更新。还将开发能在Windows NT上运行的BO 服务器程序。
3、运行BO服务器程序
只要在电脑上运行BO服务器自安装程序boserve.exe,就可以安装BO服务器了。当BO服务器自安装程序运行时,它在电脑系统中安装BO服务器,然后删除自安装程序。一旦BO服务器被安装到一台电脑上,它会在每次电脑系统启动时运行。
BO服务器自安装程序具有巧妙的隐蔽性,其文件长度只有122KB。一旦安装成功,就删除自安装程序,而每次开机它都运行BO服务器,但你从任务表里却找不到它,系统运行也没有什么两样,好象什么事情都没有发生过。但是,它实际上存在于Windows的SYSTEM目录中,文件名是“.EXE"(空格.EXE),属性为隐含。
4、运行BO客户机
在Windows环境中,可以运行基于图形的BO客户机程序bogui.exe,或者运行基于文本的BO客户机程序boclient.exe,虽然它们间有些命令名称不相同,但几乎所有命令的语法格式都是一致的。在基于文本的BO客户机中输入 "help command"可得到更多关于命令的信息。在基于图形的BO客户机中有两个参数输入区域,这些参数作为在“Command"列表中所选择的命令的参数。如果未给出命令所需要的参数,BO服务器将返回“Missing data"(丢失数据)。
BO客户机通过加密了的UDP包与BO服务器通讯。要实现成功通讯,BO客户机必须发送数据到BO服务器监听的端口,而且BO客户机密码必须匹配BO服务器已配置好的密码。
但如果不预先配置BO服务器,默认双方的端口都是31337,且不进行加密。也就是说,任何BO的默认配置的BO服务器都可以被默认配置的BO客户机检测出来。
基于图形和基于文本的BO客户机都可以通过使用-p选项来设置BO客户机数据包的发送端口。如果数据包被过滤或者有防火墙屏蔽,就可能需要从一个特别的、不会被过滤和屏蔽的端口发送。如果UDP连接通讯不能成功,则可能是数据包在发送或回送路径中被过滤或者屏蔽了。
5、配置BO服务器程序的参数
为了增强BO的隐蔽性,加强BO的攻击目标,Cult Dead Cow 还在BO软件包中提供了BO服务器程序配置工具boconfig.exe。在安装前,可以配置BO服务器程序的一些参数,如安装后的BO文件名、监听端口、加密密码,以及启动时缺省运行的插件,都可以使用boconfig.exe工具配置。如果不进行配置,缺省是监听31337端口、不使用加密密码(数据包仍然会加密)和以“ .exe"文件名安装。
6、捆绑安装BO服务器
Cult Dead Cow还在其主页上提供免费下载的一个BO插件SilkRope,通过它,可以十分容易地把BO服务器自安装程序捆绑到任何一个可执行程序上,而这个可执行程序,除了文件长度大了130K左右之外,没有任何的异常,一旦运行这个可执行程序,BO服务器程序就偷偷地自动安装在你的电脑里。
二、BO 攻击手段
一旦BO客户机与BO服务器通讯成功,即可操纵BO服务器所在的电脑系统。BO提供了50多种内置功能,包括在BO服务器的电脑上增加目录、删除文件、查看系统中各种可能存在的口令、修改注册表,遥控BO服务器的多媒体播放、捕捉等功能。下面分类介绍其功能。
1、IP 地址搜索功能
BO客户机的默认IP地址是127.0.0.1,用这个地址,即使不上网的情况下,客户机也可以PING到自己的电脑。笔者就是利用这个功能在自己的电脑上做了很多实验。
从BO客户机向特定的IP地址发送命令即可对BO服务器操作。如果BO服务器无静态IP地址,BO客户机提供命令:
(1)在基于文本的BO客户机使用Sweep或Sweeplist命令;
(2)在基于图形的BO客户机使用“Ping..."对话框;
(3)设定目标IP如“202.101.96.*”,扫描子网列表,当有BO服务器响应时,BO客户机在子网列表目录中浏览,并显示所匹配的行和子网地址。这对于那些动态IP的网友来说,如果你的电脑被安装了BO服务器,不管你的IP地址如何变动,你始终逃不过BO客户机的监视。
2、文件管理功能
BO提供一系列命令,如File find、File copy、File delete等,可以在BO服务器的硬盘目录中查找符合条件(支持通配符)的文件,并可以任意增加目录和删除文件,查看文件内容,拷贝文件,对目录改名,删除目录等。
3、网络控制功能
BO提供Net use、Net connections、Export add、TCP file receive等命令,可以把BO服务器连接到一个网络资源,可以在BO服务器上创建一个“出口”(共享),可以查看BO服务器上所有的网络接口、域名、服务器和可见的共享“出口”,列出当前共享名、共享驱动器、共享目录、共享权限和共享密码。通过TCP文件传输,还可以将BO服务器主机连接到一个特定的IP地址和端口,发送特定文件中的内容,或将所接收到的数据保存到特定文件中。
4、进程控制功能
BO提供App add、Plugin execute、Process spawn等命令,可以在TCP端口输出一个基于文本的应用程序,并允许你通过Telnet对话控制基于文本或DOS的应用程序。可以在BO服务器上运行BO插件,列出当前激活的插件和已存在的插件。可以在BO服务器上运行一个程序。可以查看当前运行的所有程序,并可发送命令关闭其中的某个程序。
5、超媒体控制功能
BO提供HTTP Disable、MM Capture avi、MM Capture screen等命令,可以打开和关闭BO服务器的HTTP服务器,重定向BO服务器的主机名的IP地址。可以列出BO服务器的视频输入设备。如果存在视频输入设备,可以捕捉视频和音频信号到avi文件中。可以捕捉BO服务器屏幕影像到一个位图文件中。还可以遥控BO服务器的多媒体播放,可在BO服务器上播放一个avi文件。
6、系统控制功能
BO提供Keylog begin、System dialogbox、System info、Reg set value等命令,可以显示BO服务器上的系统信息。包括电脑名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器信息、硬盘驱动器容量及未使用空间等。
可以将BO服务器上的击键记录在一个文本文件中,同时还记录执行输入的窗口名。如果愿意,还可以在BO服务器上创建一个对话框,与对方对话。
可以任意修改BO服务器的注册表,锁住BO服务器的电脑,甚至可以控制BO服务器的系统重启动。
可想而知,BO的这些功能足以让众多的上网用户心惊胆战。如果你的电脑被安装了一个BO这样的服务器程序,你的电脑就已经十分地透明了,别说你以前使用过的所有的口令,包括你在主页上使用的口令字,你的拨号上网的口令,你的加密口令,甚至连屏幕保护口令也不放过。那么,你的电脑还有什么安全可言?
三、识别与清除BO的方法
尽管BO黑客软件的功能很强大,但从技术上来说,BO黑客的本领并不是想像中的那样可怕,它只是每次在Windows启动时,悄悄地在你的电脑上启动一个服务端程序。 而其他人就可以通过你登录Internet时的IP地址,用配套的客户端程序登录到你的电脑,从而实现远程操纵你电脑的目的。从原理上讲,它是一套简单的远程登录及控制软件工具,很多人都知道著名的PC Anywhere其实就属这类软件工具。BO黑客软件的关键在于隐藏了一个会在Windows 启动时悄悄执行的服务端程序,可以说这是大多数在Internet上出现的黑客软件的共同之处。
而清除这类黑客软件的最简便、有效的方法,就是将自动执行的黑客程序从Windows的启动配置中删除掉。
下面介绍几种识别与清除BO的方法:
1、查看WINDLL.DLL文件
BO服务器安装后,将在Windows的SYSTEM子目录下生成WINDLL.DLL文件。
如果你的电脑C:\WINDOWS\SYSTEM 子目录下有WINDLL.DLL文件,说明你的电脑已经被安装过黑客软件。你可以直接删除WINDLL.DLL文件。
2、查看“.EXE"文件
检查你的C:\WINDOWS\SYSTEM 子目录下是否有一个标着“.EXE"(空格.EXE)且没有任何图标的小程序,或者连EXE都没有(如果不显示文件扩展名),只是一个空行。注意,因为它是隐含属性,你的资源管理器应该设置为“显示所有文件”上,否则你看不到它。它的文件长度为124,928个字节,由于Cult Dead Cow还在不断更新,或许文件长度还在不断变化。
如果发现“.EXE",说明系统已经被安装了BO服务器。由于这时“.EXE"程序在后台运行,所以不能在Windows系统中直接删除它。清除的方法是,重新启动电脑系统,让它在DOS方式下运行。然后,进入SYSTEM 子目录,将BO服务器程序(在DOS下显示为EXE~1)的属性改为非隐含,这样就可以删除它。操作如下:
C> CD\WINDOWS\SYSTEM
C> ATTRIB -H EXE~1
C> DEL EXE~1
注意,如果BO服务器已经被boconfig.exe重新配置,那么安装后的BO服务器文件名很可能不再是“.EXE",并且它的文件长度也可能不再是124,928个字节。
3、查看系统注册表
BO服务器程序能够在Windows启动时自动执行,靠的是在Windows系统中加入自启动程序,BO自启动程序并不是附加在传统的AUTOEXEC.BAT、CONFIG.SYS、WIN.INI和SYSTEM.INI 里,而是在Windows系统的注册表里。
用Windows 95/98的REGEDIT.EXE程序,直接打开注册表,在纷繁枯燥的目录树中你要费上一些功夫,找到下面目录:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
或者 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
如果发现“.EXE"程序,说明系统已经被安装了BO服务器。这时,可以使用注册表编辑功能删除“.EXE"程序。
4、使用MSCONFIG工具
如果你的电脑系统安装了Windows 98,那么可以使用其配置工具MSCONFIG.EXE。与运行REGEDIT.EXE一样,可以点击“开始”,选择“运行”并键入MSCONFIG,然后再选择“启动”,将会出现“启动”程序列表,如图3所示。
如果发现“.EXE"程序,说明系统已经被安装了BO服务器。这时,你只需点击左面的小方框,取消“√”打勾号,就可以使其不会自动启动,从而使这个黑客程序失效。
用MSCONFIG来清除隐藏在注册表中的自启动黑客程序,对于防范大多数Internet上的黑客程序确实是一个比较简便、高效的方法。
5、使用杀毒软件
目前有一些新版的杀毒软件,如瑞星9.0(4)版、KILL98 4.16版、KV300+(X++)版、VRV 23.b版等,都能够正确清除BO黑客程序,包括Windows的SYSTEM子目录下BO的WINDLL.DLL和“.EXE"文件,以及Windows 95/98的注册表中的BO注册项。
6、使用黑客清除工具
现在已有专门的对付BO黑客的工具,如ANTIGEN就是一个很好的工具,你可以在http://sulin.126.com下载ANTIGEN.EXE,该文件只有374KB。下载后,可以直接运行它,就可以看到ANTIGEN界面,如图4所示,通常按提示一直按Next按钮,即可清除隐藏在系统内部的BO黑客程序,并关闭BO黑客程序打开的“后门”完全恢复系统状态。
四、防范黑客软件的措施
与反病毒一样,防御黑客软件也是“预防胜于治疗”。要树立“预防为主、消防结合”的观念。
1、不运行来历不明的软件和盗版软件
从BO运行机制中可以知道,黑客的服务器程序必须被安装在目标系统,这就要求电脑用户必须有意或被骗安装之。而运行来历不明的软件和盗版软件,就有可能带来这个危险。
不要轻易运行从Internet上下载的那些不知其里的软件,不要随便下载软件,尤其是不可靠的那些FTP站点,非授权的软件分发点。另外,几乎现在任何程序都不敢相信了,因为它可以被十分容易地捆到任何一个可执行程序上,运行又无法发觉,那么如果你下载一个程序随便运行,可能那个程序(比如一个游戏软件、一个屏幕保护程序、甚至于一个新年贺卡程序)确实能够运行,但说不定那个特洛伊木马已经在你的电脑里落户,一旦你上网,你就成了任由别人宰割的羔羊。
同样地,对于来自电子邮件的附件,应先检查是否带有BO或其他病毒,不可轻易运行。
所以,我们提倡使用原版软件,尽可能少用游戏软件、公共软件,要尽可能从第一作者获得共享软件、自由软件、公共软件。
2、使用反黑客软件
要经常性地、尽可能使用多种最新的、能够查解黑客的杀毒软件来检查系统。应该使用经安全检测的反黑客软件来检查系统。
必要时应在系统中安装具有实时检测、拦截、查解黑客攻击程序的工具。
应该注意的是,与病毒不同,黑客攻击程序不具有病毒传染的机制,因此,传统的防病毒工具未必能够防御黑客程序。
3、做好数据备份工作
为了确保重要数据不被破坏,最好的办法是“备份、备份、再备份”。
应该定期备份电脑系统的重要数据,如硬盘分区表、WIN.INI和SYSTEM.INI,以及系统注册表等。应该每天备份应用系统的重要文件。
经常检查你的系统注册表,发现可疑程序,应及时加以处理。
4、保持警惕性
要时刻保持警惕性,例如,不要把你的流览器的数据传输警告窗关闭。许多上网的用户都设置为“以后不要再问此类问题”,这样你就失去了警觉,久而久之便习以为常,越来越大胆地访问、下载和在WEB上回答问题。如果可能,把你的流览器的“接受Cookie"关闭。不管是在IRC或是访问别人的网站,你都不能保证它给你的Cookie那几十个或几百个字节是好心。笔者曾经在IRC遇见过美国黑客使用这样的招术。
必须保持忧患意识,并且要为网络系统遭受入侵作出一些应变计划,如学习如何识别异常现象、如何追踪入侵者,训练经常使用电脑网络的人,要有正确的上网知识,另外留意与一些网络专家保持联系,及时从专业媒体获得安全信息。
5、使用防火墙
有条件的单位,应该使用防火墙。利用防火墙技术,通过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低网络安全风险。
6、隔离内部网与Internet的联接
为了确保重要信息不被窃取,最好的办法是重要信息应在非网络环境下工作。对于重要系统的内部网络应在物理上与Internet网隔离。
对局域网内所有电脑应定期进行检查,防止因为个别漏洞而造成对整个局域网被攻击。
对于与Internet相联的网络发布系统,必须加强网络安全管理。可喜的是,国内已有专门针对黑客入侵而设计的、有自主版权的网络安全产品,由福建海峡信息中心推出的“网威”黑客入侵防范软件就是一套高性能的安全产品。这套产品集网络安全测试、系统安全测试、Web安全测试、漏洞检测、漏洞修补和安全监控于一体。它能分析指出网络信息系统存在的各种安全漏洞与隐患,提出专家建议,而且提供了实时监控手段和数百兆的针对UNIX系统的漏洞补丁(Patch),帮助系统管理员跟踪记录黑客行踪,修补系统漏洞,提高系统的整体安全性。
必须指出的是,防止外部黑客入侵仅仅是黑客防范的一个环节。据统计,目前发生的黑客攻击事件有60%以上来自内部攻击和越权使用。所以,防内已成为当前黑客防范的重要环节。从BO黑客程序来看,它不仅仅针对Internet网络,在局域网上同样能够施其攻击手段。令人担心的是,一些网络管理员还使用BO来加强网管能力,其负面影响不可轻视。 |
京ICP备14024464 公安备案号 京1081234