本文將向您介紹中國黑客常用的八種工具及其防御方法。需要說明的是,這些只是初級黑客、甚至是不算黑客的“黑客”所使用的工具。在真正的黑客看來這些工具是很初級的,但這些黑客工具對我們普通用戶的殺傷力卻是非常大的,因此有必要介紹一下它們的特點及防御方法。
本文列出了幾種有代表性的黑客工具,我們真正要掌握的當然不是如何使用這些黑客工具,而是通過它們了解黑客攻擊手段,掌握防范黑客攻擊的方法,堵住可能出現的各種漏洞。
冰河
冰河是最優秀的國產木馬程序之一,同時也是被使用最多的一種木馬 。說句心裡話,如果這個軟件做成規規矩矩的商業用遠程控制軟件,絕對不會遜於那個體積龐大、操作復雜的PCanywhere,但可惜的是,它最終變成了黑客常用的工具。
冰河的服務器端(被控端)和客戶端(控制端)都是一個可執行文件,客戶端的圖標是一把瑞士軍刀,服務器端則看起來是個沒什麼大不了的微不足道的程序,但就是這個程序,足以讓你的電腦成為別人的掌中之物。某台電腦執行了服務器端軟件後,該電腦的7626端口(默認)就對外開放了,如果在客戶端輸入這台電腦的IP地址,就能完全控制這台電腦。由於個人電腦每次上網的IP地址都是隨機分配的,所以客戶端軟件有一個“自動搜索”功能,可以自動掃描某個IP段受感染的電腦,一旦找到,這台電腦就盡在黑客的掌握之中了。由於冰河程序傳播比較廣泛,所以一般情況下,幾分鐘之內就能找到一個感染了冰河的受害者。
防御措施:首先不要輕易運行來歷不明的軟件,只要服務器端不被運行,冰河再厲害也是有力使不出,這一點非常重要;其次由於冰河的廣泛流行,使得大多數殺毒軟件可以查殺冰河,因此在運行一個新軟件之前用殺毒軟件查查是很必要的。但由於該軟件變種很多,殺毒軟件如果不及時升級,難免會有遺漏,因此要保證您使用的殺毒軟件病毒庫保持最新。 安裝並運行防火牆,如此則能相對安全一些。
Wnuke
Wnuke可以利用Windows系統的漏洞, 通過TCP/IP協議向遠程機器發送一段信息,導致一個OOB錯誤,使之崩潰。現象:電腦屏幕上出現一個藍底白字的提示:“系統出現異常錯誤”,按ESC鍵後又回到原來的狀態,或者死機。它可以攻擊WIN9X、WINNT、WIN2000等系統,並且可以自由設置包的大小和個數,通過連續攻擊導致對方死機。
防御措施:不要輕易點擊別人在論壇或聊天室告訴您的網址,那很可能是探測您的IP地址的(如Iphunter就可以做到這一點);用寫字板或其它的編輯軟件建立一個文本文件,文件名為OOBFIX.REG,內容如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\MSTCP]
″BSDUrgent″=″0″
啟動資源管理器,雙擊該文件即可;安裝並運行防火牆。
Shed
Shed是基於NetBIOS的攻擊Windows的軟件。NetBIOS(Network Basic Input Output System,網絡基本輸入輸出系統),是一種應用程序接口(API),作用是為局域網(LAN)添加特殊功能,幾乎所有的局域網電腦都是在NetBIOS基礎上工作的。在我們的Windows 95、99、或Me中,NetBIOS是和TCP/IP捆綁在一起的,這是十分危險的!但當我們安裝TCP/IP協議時,默認情況下NetBIOS和它的文件與打印共享功能也一起被裝進了系統。當NetBIOS運行時,你的後門打開了:因為NetBIOS不光允許局域網內的用戶訪問你的硬盤資源,Internet上的黑客也能!Shed正是利用了這一點。
防御措施:
1) 檢查NetBEUI是否出現在配置欄中。打開控制面版,雙擊“網絡”選項,打開“網絡”對話框。在“配置”標簽頁中檢查己安裝的網絡組件中是否有NetBEUI。如果沒有,點擊列表下邊的添加按鈕,選中“網絡協議”對話框,在制造商列表中選擇微軟,在網絡協議列表中選擇NetBEUI。點擊確定,根據提示插入安裝盤,安裝NetBEUI。
2) 回到“網絡”對話框,選中“撥號網絡適配器”,點擊列表右下方“屬性”按鈕。在打開的“屬性”對話框中選擇“綁定”標簽頁,將除“TCP/IP->網絡適配器”之外的其它項目前復選框中的對勾都取消!
3) 回到“網絡”對話框,選中“TCP/IP->撥號網絡適配器”點擊列表右下方“屬性”按鈕,不要怕彈出的警告對話框,點擊“確定”。在“TCP/IP屬性”對話框中選擇“綁定”標簽頁,將列表中所有項目前復選框中的對勾都取消!點擊“確定”,這時Windows會警告你“尚未選擇綁定的驅動器。現在是否選擇驅動器?”點擊“否”。之後,系統會提示重新啟動計算機,確認。
4) 重新進入“TCP/IP->撥號網絡適配器”的“TCP/IP屬性”對話框,選定“NetBIOS”標簽頁,看到“通過TCP/IP啟用NetBIOS”項被清除了吧!連點兩次“取消”退出“網絡”對話框(不要點“確認”,免得出現什麼意外)。
Superscan
Superscan是一個功能強大的掃描器,速度奇快,探測台灣全部回應值小於200MS的IP段僅用6個小時。可以查看本機IP地址和域名,掃描一個IP段的所有在線主機以及其可探測到的端口號。而且可以保存和導入所有已探測的信息。
防御措施:及時打補丁堵住漏洞。微軟的那些沒完沒了的補丁包是有用的,很多時候,這些補丁能有效堵住漏洞使我們的系統更安全一些。盡管補丁包出現總會晚於漏洞的出現,但作為亡羊補牢的措施還是有必要的。
ExeBind
ExeBind可以將指定的黑客程序捆綁到任何一個廣為傳播的熱門軟件上,使宿主程序執行時,寄生程序(黑客程序)也在後台被執行。當您再次上網時,,您已經在不知不覺中被控制住了。您說這個文件捆綁專家恐怖不?而且它支持多重捆綁。實際上是通過多次分割文件,多次從父進程中調用子進程來實現的。現象:幾乎無,危害:NetSpy、HDFILL、BO 2000常通過這種形式在Internet上寄生傳播。如果有一天您收到一個不相識的人發來的不錯的程序,請仔細檢查一下,因為沒准它是用ExeBind捆綁了木馬程序!
防御措施:不要執行來歷不明的軟件,不要從不可靠的小站點上下載軟件,任何新下載的程序在首次運行前,都要用最新的殺毒軟件和查殺木馬軟件檢查後才能使用。另外,最好能知道一些常用軟件的文件大小,一旦發現文件大小有變化尤其是有明顯增大表現,這時就該請出我們的殺毒軟件和查殺木馬軟件了。
郵箱終結者
郵箱終結者類似的郵箱炸彈很多,它們的原理基本一致,最根本的目標就是漲破您的郵箱,使您無法正常收發E-mail。
防御措施:要注意自己的網上言行,不要得罪人;不要輕易留下您的E-mail信箱地址,特別是較重要的E-mail信箱更不能隨意讓別人知道,以免給“有心人”機會;申請較大的郵箱,然後啟用郵箱過濾功能,一般的網站都有這種服務。對付這類炸彈只能如此消極防御了,誰有更好的辦法說出來大家學學?
流光
流光這是國人小榕的作品,當我首次使用這個軟件時,我被它深深地震住了。這個軟件能讓一個剛剛會用鼠標的人成為專業級黑客,它可以探測POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP、IPC$ 上的各種漏洞,並針對各種漏洞設計了不同的破解方案,能夠在有漏洞的系統上輕易得到被探測的用戶密碼。流光對WIN9X、WINNT、WIN2000上的漏洞都可以探測,使它成為許多黑客手中的必備工具之一,一些資深黑客也對它青睐有加。
防御措施:由於它綜合了多種掃描探測方式,所以很難防備,對付它必須及時打好各種補丁,同時還要使用防火牆。通過合理的設置規則就可以把有害的數據包擋在你的機器之外。如果您不熟悉網絡,最好不要調整它。如果您熟悉網絡,就可以非常靈活的設計合適自己使用的規則。
溯雪
溯雪還是小榕的作品。該軟件利用asp、cgi對免費信箱、論壇、聊天室進行密碼探測的軟件。密碼探測主要是通過猜測生日的方法來實現,成功率可達60%-70%。溯雪的運行原理是通過提取asp、cgi頁面表單,搜尋表單運行後的錯誤標志,有了錯誤標志後,再掛上字典文件來破解信箱密碼。用溯雪來探測信箱密碼真的是很容易,由於許多人對密碼的設置采用了自己的生日或常用英文單詞等較簡單的方式,這給溯雪留下了很大的施展空間。我曾用自己的信箱做過試驗,采用生日作為密碼,溯雪只用了不到3分鐘就成功的破解出了我的密碼!要知道我用的字典很大,若字典再小些,會更快的!
防御措施:首先不要輕易暴露自己的信箱地址和論壇、聊天室的用戶名,以免引起“有心人”注意;其次把您的密碼設置復雜一些,不要設置成純數字或純字母,更不能少於7位,否則真的很危險。可以將密碼設置成數字與字母相結合型,並且長度大於7位以上,如設置為這種樣式:g19o79o09d19。這個密碼是英文單詞good和生日1979019的組合,記憶容易,長度又很長,是很難破解的;再次要經常更換密碼,一個密碼使用時間不能太長;最後一點,最好各個信箱密碼都不同,以免被人一破百破。