黑客知识之各类攻击软件原理与防范

特洛伊木马原理

BO(Back Oriffice)象是一种没有任何权限限制的FTP服务器程序，黑客先使用各种方法诱惑他人使用BO的服务器端程序，一旦得逞便可通过BO客户端程序经由TCP/IP网络进入并控制远程的Windows的微机。

其工作原理：Boserve.exe在对方的电脑中运行后，自动在win里注册并隐藏起来，控制者在对方上网后通过Boconfig.exe(安装设置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(图形界面控制程序)来控制对方。

网上更有一些害人虫将木马程序和其他应用程序结合起来发送给攻击者，只要对方运行了那个程序，木马一样的会驻留到Windwos系统中。

BO本质上属于客户机/服务器应用程序。它通过一个极其简单的图形用户界面和控制面板，可以对感染了BO（即运行了 BO服务器）的机器操作Windows本身具备的所有功能。

这个仅有123K的程序，水平一流，令那些复杂而庞大的商用远程管理 软件相形见绌。而真正可怕的是：BO没有利用系统和软件的任何漏洞或Bug，也没有利用任何微软未公开的内部API，而完全是利用Windows系统的基本设计缺陷。甚至连普通的局域网防火墙和代理服务器也难以有效抵挡。

BO服务器可通过网上下载、电子邮件、盗版光盘、人为投放等途径传播，并且可极其隐藏地粘贴在其他应用程序。一旦激活，就可以自动安装，创建Windll.dll，然后删除自安装程序，埋名隐姓，潜伏在机器中。外人就可通过BO客户机程序，方便地搜索到世界上任何一台被BO感染并上网的计算机IP地址。通过IP地址就可对其轻易实现网络和系统控制功能。

可获取包括网址口令、拨号上网口令、用户口令、磁盘、CPU，软件版本等详细的系统信息；可删除、复制、检查、查看文件；可运行机内任何一个程序；可捕捉屏幕信息；可上传各种文件；可以查阅、创建、删除和修改系统注册表；甚至可以使计算机重新启动或锁死机器。而所有这些功能的实现，只需在菜单中作一选择，轻摁一键，就可轻松完成。 除了BO外，还有很多原理和它差不多的特洛伊木马程序，例如：“NetSpy”、“Netbus”等。

防范

不要随便运行不太了解的人给你的程序，特别是后缀名为exe的可执行程序。特洛伊木马程序很多，它们的安装服务器有Boserve.exe(122k),NETSPY.EXE(127k)，如果你从Email收到或是DOWN了大小和上述文件一样的EXE文件，运行时可要小心了。运行后如果程序突然消失，或者是无任何反应，那你很可能是被攻击了。这时候你的电脑就完全被别人所控制，他可以复制，删除甚至运行你电脑里的文件和程序。这时你只要到注册表里去修改一下就可以消灭它：运行注册表找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

如何防范Back Orifice2000

对于Windows95和Windows98的用户：

检查c:\windows\system目录下是否有UMGR32~1.exe文件，如果有的话请运行Regedit将

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

对于NT的用户：

检查winnt\system32目录下是否有UMGR32~1.exe这个文件，如果有的话请先在任务管理器中对应的进程Kill掉再运行Regedit将路径指向

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service

邮件炸弹原理

E-MAIL炸弹原本泛指一切破坏电子邮箱的办法，一般的电子邮箱的容量在5，6M以下，平时大家收发邮件，传送软件都会觉得容量不够，如果电子邮箱一下子被几百，几千甚至上万封电子邮件所占据，这是电子邮件的总容量就会超过电子邮箱的总容量，以至造成邮箱超负荷而崩溃。“kaboom3”、“upyours4”、“Avalanche v2.8”就是人们常见的几种邮件炸弹。

防范

⒈不要将自己的邮箱地址到处传播，特别是申请上网帐号时ISP送的电子信箱，那可是要按字节收费的哟！去申请几个免费信箱对外使用，随便别人怎么炸，大不了不要了。

⒉最好用POP3收信，你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook，你可以选择“工具”/“收件箱助理”，然后点击“添加”在属性窗口可以设定对各种条件的Email的处理方式。如果我们想让超过1024KB的邮件直接从服务器上删除，根本不下载到计算机上，可以在邮件条件框中将“大于”选中，然后输入1024，接着在“执行下列操作”框中选中“从服务器删除”就行了。