“我知道远程控制是种武器,在十八般兵器中名列第七,木马呢?”
“木马也是种武器,也是远程控制。”
“既然是远程控制,为什么要叫做木马?”
“因为这个远程控制,无论控制了什么都会造成离别。假如他钩住您的E-Mail,您的E-Mail就要和您离别;假如他钩住您的QQ,您的QQ就要和您离别。”
“假如他钩住我的机器,我就和整个网络离别了?”
“是的。”
“您为什么要用如此残酷的武器?”
“因为我不愿被人强迫和我所爱的人离别。”
“我明白您的意思了。”
“您真的明白?”
“您用木马,只但是为了要相聚。”
“是的。”

一 在众多的黑客武器中特洛伊木马(Trojan horse)这种攻击性武器无论是菜鸟级的黑客爱好,还时研究网络安全的高手,都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具,木马的威力要比其他的黑客工具大得多。 “木马既然如此有效,为何在Hacker兵器谱中排名靠后?” “因为使用木马往往不是很光明正大。” “哦?为何?” “在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是去驾驭技术不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且很有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马,以便将来随时方便进出这台服务器。” “但如此一来木马的名声不就随之降低了吗?” “是的,所以现在的黑客高手都耻于用木马,更耻于黑个人的电脑。” “但是木马在很多人的眼中仍然是一等一的绝好兵器。”
[NextPage]
在众多的木马之中Cult of Dead Cow研发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上研发的,但是他最大的改变就是增加了对Windows NT服务器系列的支持。作为微软的高端产品,BO2000的这个功能无疑对Windows NT来说是致命的,就Windows NT本身而言,由于硬盘采取了NTSF的加密,普通的木马,包括冰河也无法控制,当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。 而正因为如此BO2000才深得黑客高手的喜爱,因为他们感兴趣的也只有服务器,也只有Web Server才能够提起他们的胃口,那是一种来自深层感官的刺激。 通常情况下木马大致可分为两个部分:服务器端程式和客户端程式。服务器端通常就是被控制端,也是我们传统概念上的木马了。

二 “您说BO2000好,但是绝大多数的杀毒招数都能够沟将其制服,而且我感觉他在使用上不如我手里的冰河锐利,况且我也不想黑什么服务器。我认为,个人电脑中隐藏有更大的宝藏,而且个人电脑脆弱的我能够利用任何一种方法摧毁他。 “您说的很对,冰河确实锐利,而且称霸中华江湖一年之久,也可谓武林中少见的好兵刃,但是兵器虽然锋利,但兵器在打造的时候却留下来一个致命的缺点,这也是木马冰河为何在武林衰败的原因。” “这是个什么样的弱点那?竟然如此致命?” “呵呵,说白了也很简单,冰河的作者在打造冰河2.X版本时就给他留下了一个后门,这个后门其实就是个万能密码,只要拥有此密码,即便您中的冰河加了密码保护,到时候仍然行同虚设。” “什么!真有此事?想我许多朋友还因为冰河好用把他当作了一个免费的远程控制程式来用,如此这般,他们的机子岂不暴露无遗?” “呵呵,在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么,多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手,致命的一招。冰河的作者当然也不例外,而且由于作者钟爱许美静,所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。” “噢?万能密码?” “通常黑客在植入冰河这种木马的时候,为了维护自己的领地通常的要为自己的猎物加一个密码,只有输入正确的密码您才能够正常的控制对方的电脑,但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码,就像万能钥匙相同。冰河各版本的通用密码: 2.2版:Can you speak Chinese?
2.2版:05181977
3.0版:yzkzero!
4.0版:05181977
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq20000!

[NextPage]
您能够试试看,是不是很轻松的就能够进入任何一台有冰河服务器端的电脑?” “真的进入了,果然有此事情,怪不得现在很多人都不再使用冰河。” “此外冰河还存在着两个严重的漏洞: 漏洞一:无需密码远程运行本地文档漏洞。 具体的操作方法如下:我们选择使用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程式G_Client,进入文档管理器,展开“我的电脑”选中任一个本地文档按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文档相同能上传并运行。 任何人都能够利用这个漏洞上传一个冰河服务端就能够轻松获得机器的生死权限了,假如您高兴的话,还能够上传病毒和其他的木马。 漏洞二:无需密码就能用发送信息命令发送信息,不是用冰河信使,而是用控制类命令的发发送信息命令。” “当然这的确是个原因,但更主要的是现在的多数杀毒软件都能克制冰河。” 三 木马通常会在三个地方做手脚:注册表、win.ini、system.ini。这三个文档都是电脑启动的时候需要加载到系统的重要文档,绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马,木马phAse 1.0版本和NetBus 1.53版本就能够以捆绑方式装到目标电脑上,能够捆绑到启动程式上,也能够捆绑到一般程式的常用程式上。假如木马捆绑到一般的程式上,启动是不确定的,这要看目标电脑主人了,假如他不运行,木马就不会进入内存。捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马能够由黑客自己确定捆绑方式、捆绑位置、捆绑程式等,位置的多变使木马有很强的隐蔽性。 “在众多木马中,大多数都会将自己隐藏在Windows系统下面,通常为C:/Windows/目录或C:/Windows/system/和C:/Windows/system32下隐藏。” “众多的目录中为何选择这两个目录?” “呵呵,当然是为了便于隐蔽。通常这几个目录为电脑的系统目录,其中的文档数量多而繁杂,很不容易辨别哪些是良性程式哪些是恶性程式,即便高手往往也会有失误删除的情况。而且,即便放置在系统目录下,就多数为重要的文档,这些文档的误删除往往会直接导致系统严重的瘫痪。” “原来如此。” “前辈,木马冰河是否也做了这些手脚?” “这是自然,木马一旦被植入目标电脑中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先,冰河会在您的注册表中的HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run和RUNSERVICE 键值中加上了/kernl32.exe(是系统目录), §c:/改变前的RUN下

文章整理:西部数码--专业提供域名注册虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!