通俗基础教程
电脑操作教程
电脑怎样拨号上网
如何做个人网页
怎样做局域网
Word教程(文字处理)
图形图象处理入门
经典提高教程
怎样使用代理服务器
如何做无盘工作站
Photoshop教程
Dreamweaver3教程
Flash4&5教程
Firework3教程
Frontpage2000教程
Authware教程
Office2000教程
如何制作动画图片
OICQ&ICQ使用方法

高手学习指南

硬件升级技巧
CGI教程
ASP教程

PHP教程

注册表使用技巧
路由器的设置
网站建设指南
SQL
最近更新:
相关内容

不好乱来???

文/太阳湖

今天从***(未经他本人同意名字暂不公开)处得到“冰河22_黑客软
件”,朋友再三告诫其中有一个名叫“不好乱来”的文档本身是一个黑客
软件,千万不要运行。解压开后,对着它足足看了三根烟的功夫。心里实
在痒痒,你说在网上摸爬滚打了这么多时日,也曾跟朋友一起向别人发起
过攻击,就是没想过自己被黑。要不今天就自己先黑自己一下?……可要
是真被黑了,解不了岂不玩完了……不行,付出再大的代价也要试,总要
看看它到底是个什么东西吧,否则也太窝囊了。干吧!

  于是先拔了网线;备份了注册表;察看了系统盘的总文件个数。它总
要留下痕迹吧?!

  双击-运行-消失。你开始工作了。迅速查找文件总数,多出了两个。
狐狸尾巴显形了。再看注册表,好像多出了一点什么。将其中启动项的文
件一个个分析,找到它看看它的创建日期和其它系统文件创建日期是否一
致,发现一个c:\windows\system\kernel32.exe的嫌疑很大,它的图标是
windows 的旗标,可却是应用文件,创建时间与其它系统文件不一致、而
且在任务栏没显示,系统却提示正在使用(象系统调用文件,但系统调用
文件绝不会是旗标文件)、再看它的创建时间正是压缩包中的文件的创建
时间)、大小也基本吻合,看来就是它了。那还有一个就麻烦点了,在启
动项里没有任何显示,那就只有用创建时间了。搜索……
c:\widnows\system\sysexplr.exe,察看它的属性与kernel32完全一致,
逮到你了。将它们的进程kill、文件删除、启动项删除。

  再来验证一下,运行“不好乱来”,察看……果然它们又出现了,启
动项也多出来了。再将他们都kill。

  通过这一过程我发现本身这种特洛伊木马的攻击并不是很成功的。只
要你做到以下几点,这种攻击就不足为惧:

  1、提高警惕,一旦下载的程序,运行后消失(其实编程的老兄完全
可以编一个小游戏什么的作掩护),它就有问题。

  2、装防病毒、防BO的软件时,一定要装一个很好的进程监测软件(可
能还是它来的实际)

  3、一般来说它总会留下痕迹,比如可以看看压缩包中文间建立的日
期,用这个日期去查找系统盘上的文件。

  4、黑客文件的属性栏的源文件名,大都是没有或是告诉你是什么系
统文件、核心文件之类,而不是你看到的文件名。

  5、再好的黑客软件它也需要启动,必然会写入autoexec.bat或者
win.ini、system.ini、注册表,特别是注册表,要认真查找,要看清楚
启动项到底启动了些什么。有些可能是利用默认项(默认项应为(未设置
数值)几个字),还有可能会新建一个类似于 RunServices等等的键名,
不能只看run一个键名下的键。
关于“不好乱来”的反馈

文/司徒新浪

要知道冰河兄的软件很多网站均有下载,主要用于远程访问,或是局
域网内机器的监测,当然也可用于远端操纵,但在其远端可以远程卸载该
软件,可见太阳湖把这么好一个软件所的神神秘秘,其实用magicset和
windows优化大师均可查出它的存在,并可以进行清除,另外,值得骄傲
的是lockdown的旧版本是无法发现它的存在(大家为冰河鼓掌,快出3.0
吧),该软件可以对客户端进行配置,很容易我就可以把它伪装成诸如超
级解霸自动侍服器或是计划任务、internat.exe等,“高手”还能找到它
吗,该客户端还可与文件进行关联性恢复,就算你这次杀了我,下次你一
打开txt文本或是其它类型文件,我立刻又神不知鬼不觉回来了,你这种
“高手”是不是只能重装系统了呢?

文/小乞儿

太阳湖老兄所写的的确是一种杀除冰河的好方法,但这只是一种默认
的情况。我看了太阳湖老兄的文章后,我也让我的机器再次感染冰河,然
后启动客户端的控制软件,在添加计算机中的IP地址打入 127.0.0.1(自
己机器脱机时的地址)并连接成功。我发现在连接后可以更改冰河所在服
务器端的目录,可以是windows,system,temp目录,并可将 KERNEL32.EXE
改名为任意的文件名,如 abc.exe,这就为查找他造成了麻烦。而且还可
更改它所在的默认注册表启动项,如果一个不小心没有将所有的启动项都
查看清楚,开机后又会出现。经过这样改名后用杀毒软件很难杀掉。还有
它可将TXT文件或EXE关联到sysexplr.exe,造成打不开文件或程序。更可
怕的是连接的默认端口7626都可更改,而一般的防火墙(如天网)防冰河
的端口就是采用7626。不过我又发现可以用冰河自身来卸掉冰河,还是连
接 127.0.0.1,然后使用控制类命令中的系统控制,点击自动卸载冰河就
可以了。不过有一点很重要,如果你的服务器端程序被加上了口令的话就
不能连接成功,你只能慢慢的用太阳湖老兄的方法和上面的方法来清除了。

Win98独家修改秘诀
WIN98实用问题解答
谈在大硬盘上安装NT4
奇妙的Windows2000快捷方式
隐藏目录和文件无处藏身
GHOST使用详解
MemTurbo:腾出你的内存来
查看乱码的火眼金睛
系统文件检查器
一个简单、快捷的屏保制作工具
Backup Magic 使用指南
红箭至强文件分割器
RegistrarLite:注册表编辑器
轻松制作光盘的开始界面
NAV 2000中文版使用评测
高速下载软件的好帮手:小挪移
娇小的系统监察软件:Infobar
让windows飞起来
硬盘分区”小超人”DiskMan
电脑清理软件—System Mechanic
不好乱来??
 
 
上一页
下一页
 
教程站
收集整理
服务大家



月光软件源码下载编程文档电脑教程网站优化网址导航网络文学游戏天地生活休闲写作范文安妮宝贝站内搜索
电脑技术编程开发网络专区谈天说地情感世界游戏元素分类游戏热门游戏体育运动手机专区业余爱好影视沙龙
音乐天地数码广场教育园地科学大观古今纵横谈股论金人文艺术医学保健动漫图酷二手专区地方风情各行各业

月光软件站·版权所有