友情提示：如果本网页打开太慢或显示不完整，请尝试鼠标右键“刷新”本网页！阅读过程发现任何错误请告诉我们，谢谢！！报告错误

反黑风暴-第20部分

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！

1。“冰河”木马

“冰河”木马属于BackDoor一类的黑客软件，实际上是一个小小的服务器程序（安装在要入侵的机器中），这个小小的服务端程序功能十分强大，通过客户端（安装在入侵者的机器中）的各种命令来控制服务端的机器，并可以轻松的获得服务端机器的各种系统信息。

“冰河”木马的服务端程序通常情况下会被植入一个有趣的游戏中、一个应用程序里或伪装成一幅图片，伪装的十分巧妙，让人难以分辨。当用户不小心运行它们或打开这个图片时，就会运行这个木马程序。一旦计算机中了这个木马，就会被它控制。

“冰河”木马主要具有如下几种功能：

●远程文件操作：包括创建、删除、上传、下载、复制文件或目录、文件压缩、快速浏览文本文件、远程打开文件（包括以正常、最大化、最小化和隐藏四种方式打开）等多项文件操作功能。

●记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。冰河木马2。0以上版本还提供了击键记录功能。

●发送信息：以四种常用图标向被控端发送简短信息。

●点对点通讯：以聊天室形式与被控端进行在线交谈。

●限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

●自动跟踪目标机屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕中，这个功能适用于局域网用户。

●获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

●注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

“冰河”木马在计算机中运行后，在C：Windowssystem目录下会自动生成Kernel32。exe和Sysexplr。exe两个文件。其服务器端程序为G…server。exe，客户端程序为G…client。exe，默认连接端口为7626。在每次启动计算机后，Kernel32。exe都会自动加载并运行，而Sysexplr。exe文件自动和*。文件关联，即使删除Kernel32。exe，但只要运行了*。文件，Sysexplr。exe又会被再次激活，进而又生成Kernel32。exe。对这种木马进行查杀可采用如下方法进行操作。

首先，删除C：Windowssystem目录下的Kernel32。exe和Sysexplr。exe文件。由于“冰河”木马运行后，往往会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun创建键值C：/windows/system/Kernel32。exe，因此，还需要用户删除该键值。再展开注册表中的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices项，删除键值C：/windows/system/Kernel32。exe。

再将注册表HKEY_CLASSES_ROOT/file/shell/open/mand项下的键值C：/windows/system/Sysexplr。exe％1修改为C：/windows/notepad。exe％1，即可恢复文件关联功能。最后，将本机上的杀毒软件升级到最新版本，对整个系统进行全面杀毒。

2．“AV终结者”病毒

“AV终结者”名称中的“AV”是“反病毒”（Anti…Virus）的缩写，它是一种反击杀毒软件，破坏系统安全模式、植入木马下载器的病毒，指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”病毒主要是通过U盘、移动硬盘的自动播放功能传播，它最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。

当这种病毒在本机上运行后，会在本地磁盘和移动磁盘中复制病毒文件和anuorun。inf文件，当用户双击盘符时就会激活病毒，即使是重装系统也是无法将病毒彻底清除的。

计算机感染这种病毒，通常会出现如下几种常见的现象：

●不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

●禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

●绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

●在本地硬盘、U盘或移动硬盘生成autorun。inf和相应的病毒程序文件，然后通过自动播放功能进行传播。很多用户格式化系统分区后重装系统，当访问其他磁盘时，系统就会立即再次中毒。

●破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

当计算机中了“AV终结者”病毒，用户可以利用“AV终结者”专杀工具进行查杀。具体的操作步骤如下：

步骤01在工作正常的计算机（非中“AV终结者”病毒的计算机）上下载“AV终结者”专杀工具，并禁止自动播放功能，避免插入的U盘和移动硬盘感染病毒。

步骤02单击【开始】按钮，在弹出的面板中选择【运行】菜单项，在弹出的【运行】对话框中输入“gpedit。msc”，即可打开【组策略】窗口。在窗口的左侧依次展开“计算机配置”→“管理模板”→“系统”选项，在窗口的右侧选择“关闭自动播放”选项并右键单击，在弹出的快捷菜单中选择【属性】菜单项。

步骤03打开【关闭自动播放属性】对话框，在其中选中“已禁用”单选按钮，单击【确定】按钮。

步骤04将“AV终结者”专杀工具从工作正常的计算机中拷贝到中毒的计算机中，并运行该软件。在其主窗口中单击【禁用自动播放】按钮，禁止自动播放功能。

步骤05单击【开始扫描】按钮，即可对计算机中的病毒进行查杀，修复被破坏的系统配置。查杀结束后，不要立即重新启动计算机，先将计算机中安装的杀毒软件的病毒库升级到最新版本，然后进行全盘扫描，查杀“AV终结者”下载的其他病毒后，再重新启动计算机。

3。“股票盗贼”病毒

“股票盗贼”病毒主要以偷盗用户的账号和密码为目的，它会记录下用户的操作信息，把账户密码信息发送给指定电子邮箱，这一切都在用户完全不知情的状况下发生。目前，这种主要针对银行、网络游戏、即时通讯工具的木马病毒对网络安全已造成严重威胁。要清除这种病毒，可利用“金山毒霸肉鸡检测器——金山系统急救箱”工具进行查杀。

具体的操作步骤如下：

步骤01从网上下载“金山毒霸肉鸡检测器——金山系统急救箱”工具，双击其安装图标，即可打开【欢迎使用系统急救箱安装向导】对话框。

步骤02单击【下一步】按钮，即可弹出【选择目标位置】对话框，在其中设置系统急救箱的安装位置。

步骤03单击【下一步】按钮，即可弹出【选择额外任务】对话框。若要安装“金山网盾”软件，可选中其中的“金山网盾”复选项；若要在桌面上创建图标和快速启动图标，可选中“创建桌面图标”和“创建快速启动图标”复选项。

步骤04单击【下一步】按钮，即可弹出【准备安装】对话框。

步骤05单击【安装】按钮，即可打开【安装中】对话框，在其中可按照用户的设置安装软件。安装初步完成后，即可弹出【信息】对话框。

步骤06仔细阅读【信息】对话框中的内容后，单击【下一步】按钮，即可弹出【完成系统急救箱安装向导】对话框。

步骤07单击【完成】按钮，即可弹出【金山系统急救箱…315特别版】窗口，并自动对系统进行各项检测。

步骤08在检测完毕后，即可在【金山系统急救箱…315特别版】窗口中显示出“检测报告”和“诊断结果”。其中提示用户系统中存在有风险的加载项，这台计算机可能是肉鸡。

步骤09单击【详细》》】按钮，即可查看检测的详细结果，其中列出了存在风险的启动项。

步骤10若要清除存在风险的启动项，可选中项目前的复选框，单击【立即清除】按钮，即可进行查杀。此时，即可弹出【提示信息】对话框。单击【是】按钮，重新启动计算机，即可完成病毒的查杀。

木马和病毒能够在用户毫无防备的情况下侵入电脑，盗取用户的账号、密码等私人信息。因此，也要防备这些无形的“杀手”，以免信息泄漏。在社会工程学的入侵中，木马不只局限于传统的黑客攻击，而是呈多样化的。心怀恶意的人可能会在公司账务部门的计算机中植入木马，以达到获取个人利用，甚至于商业窃密的目的。

9。2。2从数据包中嗅探秘密

对于网络管理员来说，嗅探器是一个不可多得的监视网络状态的工具，但黑客常常利用它们作为网络监听的攻击工具，来窃听计算机程序在网络上发送和接收到的数据。目前的嗅探技术从传统形式发展到利用ARP缓存欺骗，并能成为内网数据传输的“中间人”，即过滤内网不同端口间的数据包。

下面以ARP欺骗利器——zxarps。exe为例，从隐私角度利用嗅探截获目标主机的网页浏览记录，即80端口的HTTP协议数据包。zxarps。exe程序大小仅有几百K，且需要在CMD环境下使用。这个基于ARP欺骗的小工具，可以在网页插马，进行DNS欺骗等。但使用这个工具前必须先安装WinpCap驱动才能运行，并正常使用。

使用zxarps。exe截获目标主机的网页浏览记录的操作步骤如下：

步骤01从网上下载zxarps。exe，并安装好WinpCap驱动后，在命令提示符下运行zxarps。exe，即可看到帮助信息。其中白色方框中的四条信息分别表示网卡信息、本机IP地址、MAC地址和网关地址。

步骤02在命令提示符下输入命令“xzarps。exeidx0…ip192。168。0。1…192。168。0。12…port80…save_hsni。log”，在运行后，zxarps。exe即可扫描设置的IP地址范围内活动的主机，嗅探的数据包越多，生成的文件就越大。

【提示】

命令“xzarps。exe…idx0…ip192。168。0。1…192。168。0。12port80save_hsni。log”中的各个参数的含义分别为：…idx0表示要使用索引号为0的网卡；…ip192。16

8。0。1…192。168。0。12指定要嗅探的内网IP地址范围；…port80表示嗅探80端口传输的数据，即HTTP协议服务的网页浏览；…save_hsni。log表示将嗅探到的数据保存到sin。log文件中。

步骤03过一段时间后，打开sni。log文本文档，可以看到截获的IP数据包记录。从截获的IP地址为192。168。0。9的数据包中可以发现，该用户正在浏览的网页地址是//blackskyer。spaces。live。/。

步骤04在IE浏览器的地址栏中输入这个网址，即可打开这个网站，可以看到这是一个博客网站。

从上面的例子中可以看出，利用嗅探工具可以从网络传输的数据包中挖掘出用户的信息，泄露用户的隐私。而且，嗅探程序是不可能被检测出来的，因为嗅探程序是一种被动的接收程序，属于被动触发的，它只会收集数据包，而不发送出任何数据，但是当它安装在一台正常的局域网内的计算机上的时候会产生一些数据流。

因此，为了防止黑客利用嗅探技术截获用户的重要信息，用户应采取一些有效地措施抵御嗅探器的攻击。

9。2。3很难查杀的间谍软件

间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它通过记录击键动作以及捕获电子邮件和即时消息就可以完成这一任务。

因为间谍软件可以在敏感信息被加密（以便对其进行传输）前将其捕获，因此，它能够绕过防火墙、安全连接和VPN这样的安全措施。用户计算机中的间谍软件都不是用户主动安装的，下面介绍几种可能导致用户不小心安装间谍软件的形式。

1．软件捆绑

软件捆绑方式是间谍软件采用得较多的一种，它通常和某实用软件放在一起，当用户在安装这款实用软件时，间谍软件便悄悄进行自动安装。

2．浏览网站

当用户在浏览一些不健康网站或一些黑客站点时，单击其中某些链接后，便会自动在你的浏览器或系统中安装上间谍程序。安装后，当用户在上网时，这些间谍程序即可使你的浏览器不定时地访问其站点，或者截获你的私人信息并发送给他人。

3．邮件发送

由于电子邮件的方便、快捷性，也成了间谍软件关注的目标。现在网络上的一些间谍公司，通过向对方发送一张含有该公司间谍程序的贺卡，对方阅读后可轻松监控其网上行踪。

一旦用户的电脑上安装间谍软件后，一个任意的升级与指令即可致使大量的用户电脑成为一台僵尸电脑，受人控制的傀儡电脑。因此，用户在日常使用中，要注意防范间谍软件。

从一般用户能做到的方法，要避免间谍软件的侵入，先得从间谍软件寄生的三种途径入手：不去不健康站点浏览；不到非正规站点下载软件；不收阅陌生人发送的邮件。还可以安装防火墙对自己的系统进行监控预防，不定期地利用最新版本的反间谍软件进行搜索、查杀。

第三章　专家课堂（常见问题与解答）

点拨1：如何清除对话框中“打开”下拉列表中的记录？

解答：用户可以在【运行】对话框中的“打开”下拉列表文本框中输入一些命令来快速地执行相应的操作，比如输入“cmd”命令，可以快速地打开【命令提示符】窗口。和其他Windows中的功能一样，【运行】对话框中的这个“打开”下拉列表文本框也可以将用户使用过的一些命令、访问过的一些磁盘路径以及IP地址记录下来，当用户下次输入相同的命令或路径时，它即可将这些用户曾经输入过的信息显示在下拉列表中。

这些记录虽然能够方便用户的操作，但也有可能将用户的一些隐私泄露出去，因此，也需要及时地清理。具体操作方法如下：

步骤01打开【注册表编辑器】窗口，在窗口的左侧依次展开“HKEY_CURRENT_USERSoftwareMircrosoftWindowsCurrentVersionExplorerRunMRU”项，在右侧的窗格中即可看到该注册表项包含的子键。

步骤02删除除“（默认）”以外的全部子键并关闭【注册表编辑器】窗口，重新启动计算机。当再次打开【运行】对话框时，即可发现“打开”下拉列表文本框中已经没有记录了。

点拨2：如何清除表单和密码记录

解答：默认情况下，IE浏览器具有“自动完成”功能，也很容易使用户的隐私泄露出去。为保护用户信息安全也应及时清除自动完成历史记录。具体的操作步骤如下：

步骤1：打开【Inter选项】对话框，选择【内容】选项卡，单击其中的【自动完成】按钮。

步骤2：打开【自动完成设置】对话框，单击【清除表单】按钮，即可清除表单记录；单击【清除密码】按钮，即可清除IE缓存中的密码记录。

第一章　Cookies欺骗

“Cookies”是保存在用户计算机中，用于记录用户在网页访问过程中输入、保存的一些数据的信息文件，用户可以打开并修改它。Cookies发起的攻击主要分成两种，一种是Cookies欺骗攻击，另一种是基于Cookies的注入攻击。利用Cookies欺骗攻击可以轻而易举地获得管理权限，进而盗取用户的重要信息。

10。1。1认识Cookies欺骗

Cookies是当用户浏览某网站时，由Web服务器置于硬盘上的一个非常小的文本文件，它可以记录浏览者访问一个特定站点的信息，如用户ID、密码、浏览过的网页、停留的时间等信息。当用户再次来到该网站时，网站通过读取Cookies，获得用户的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者不用输入ID、密码就直接登录等。

由于Cookies是用户浏览的网站传输到用户计算机硬盘中的文本文件或内存中的数据，因此，它在硬盘中存放的位置与使用的操作系统和浏览器密切相关。在WindowsNT/2000/XP的计算机中，Cookies文件存放在C：/DocumentsandSettings/用户名/Cookies文件夹中。

储存在Cookies中的大部分信息都是普通信息，如每一次的击键信息和被访站点的地址等。但是许多Web站点使用Cookies来储存针对私人的数据，如注册口令、用户名、信用卡编号等。

这样，当用户被恶意攻击者攻击时，恶意攻击者在获得用户的Cookies文件后会实施信息分析，找出其中有用的信息，再通过相应手段破解后即可获得用户的身份或某些高级权限，然后利用用户的登录信息实施欺骗登录了，从而成功获得它们想要得到的信息，其危害的程度自然就不言而喻了。

10。1。2Cookies欺骗的原理

当计算机被cookies欺骗攻击后，很多管理员都不明白自己的系统是怎么被攻击入侵的。因为cookies文件中虽然记录着用户的账户ID、密码之类的信息，但在网络中传递的时�

返回目录上一页下一页回到顶部赞（0）踩（0）

未阅读完？加入书签已便下次继续阅读！

温馨提示：温看小说的同时发表评论，说出自己的看法和其它小伙伴们分享也不错哦！发表书评还可以获得积分和经验奖励，认真写原创书评被采纳为精评可以获得大量金币、积分和经验奖励哦！

①如若读者发现《反黑风暴》txt最新章节更新过慢，或发现错误，请告知管理员。
②反黑风暴属转载作品，小说章节由网友自主发布!
③小说:反黑风暴内容和评论仅代表原作者和网友们的个人观点，与本站八万小说网立场无关!
④本站所有小说均为免费阅读和下载，仅供网友学习交流之用，喜欢《反黑风暴全本》请购买正式版!
⑤反黑风暴的版权归原作者或其合法拥有者所有。如无意侵犯了您的权益，请联系我们，我们将对您的反馈及时进行处理!
八万小说网（www.8wbook.com）
关于版权声明：本站所有小说由网友自主上传，小说版权归其合法所有者所有，如无意侵犯了您的权益，请联系本站E-mail：qi70_com@163.com