不好乱来???
文/太阳湖
今天从***(未经他本人同意名字暂不公开)处得到“冰河22_黑客软
件”,朋友再三告诫其中有一个名叫“不好乱来”的文档本身是一个黑客
软件,千万不要运行。解压开后,对着它足足看了三根烟的功夫。心里实
在痒痒,你说在网上摸爬滚打了这么多时日,也曾跟朋友一起向别人发起
过攻击,就是没想过自己被黑。要不今天就自己先黑自己一下?……可要
是真被黑了,解不了岂不玩完了……不行,付出再大的代价也要试,总要
看看它到底是个什么东西吧,否则也太窝囊了。干吧!
于是先拔了网线;备份了注册表;察看了系统盘的总文件个数。它总
要留下痕迹吧?!
双击-运行-消失。你开始工作了。迅速查找文件总数,多出了两个。
狐狸尾巴显形了。再看注册表,好像多出了一点什么。将其中启动项的文
件一个个分析,找到它看看它的创建日期和其它系统文件创建日期是否一
致,发现一个c:\windows\system\kernel32.exe的嫌疑很大,它的图标是
windows 的旗标,可却是应用文件,创建时间与其它系统文件不一致、而
且在任务栏没显示,系统却提示正在使用(象系统调用文件,但系统调用
文件绝不会是旗标文件)、再看它的创建时间正是压缩包中的文件的创建
时间)、大小也基本吻合,看来就是它了。那还有一个就麻烦点了,在启
动项里没有任何显示,那就只有用创建时间了。搜索……
c:\widnows\system\sysexplr.exe,察看它的属性与kernel32完全一致,
逮到你了。将它们的进程kill、文件删除、启动项删除。
再来验证一下,运行“不好乱来”,察看……果然它们又出现了,启
动项也多出来了。再将他们都kill。
通过这一过程我发现本身这种特洛伊木马的攻击并不是很成功的。只
要你做到以下几点,这种攻击就不足为惧:
1、提高警惕,一旦下载的程序,运行后消失(其实编程的老兄完全
可以编一个小游戏什么的作掩护),它就有问题。
2、装防病毒、防BO的软件时,一定要装一个很好的进程监测软件(可
能还是它来的实际)
3、一般来说它总会留下痕迹,比如可以看看压缩包中文间建立的日
期,用这个日期去查找系统盘上的文件。
4、黑客文件的属性栏的源文件名,大都是没有或是告诉你是什么系
统文件、核心文件之类,而不是你看到的文件名。
5、再好的黑客软件它也需要启动,必然会写入autoexec.bat或者
win.ini、system.ini、注册表,特别是注册表,要认真查找,要看清楚
启动项到底启动了些什么。有些可能是利用默认项(默认项应为(未设置
数值)几个字),还有可能会新建一个类似于 RunServices等等的键名,
不能只看run一个键名下的键。
关于“不好乱来”的反馈
文/司徒新浪
要知道冰河兄的软件很多网站均有下载,主要用于远程访问,或是局
域网内机器的监测,当然也可用于远端操纵,但在其远端可以远程卸载该
软件,可见太阳湖把这么好一个软件所的神神秘秘,其实用magicset和
windows优化大师均可查出它的存在,并可以进行清除,另外,值得骄傲
的是lockdown的旧版本是无法发现它的存在(大家为冰河鼓掌,快出3.0
吧),该软件可以对客户端进行配置,很容易我就可以把它伪装成诸如超
级解霸自动侍服器或是计划任务、internat.exe等,“高手”还能找到它
吗,该客户端还可与文件进行关联性恢复,就算你这次杀了我,下次你一
打开txt文本或是其它类型文件,我立刻又神不知鬼不觉回来了,你这种
“高手”是不是只能重装系统了呢?
文/小乞儿
太阳湖老兄所写的的确是一种杀除冰河的好方法,但这只是一种默认
的情况。我看了太阳湖老兄的文章后,我也让我的机器再次感染冰河,然
后启动客户端的控制软件,在添加计算机中的IP地址打入 127.0.0.1(自
己机器脱机时的地址)并连接成功。我发现在连接后可以更改冰河所在服
务器端的目录,可以是windows,system,temp目录,并可将 KERNEL32.EXE
改名为任意的文件名,如 abc.exe,这就为查找他造成了麻烦。而且还可
更改它所在的默认注册表启动项,如果一个不小心没有将所有的启动项都
查看清楚,开机后又会出现。经过这样改名后用杀毒软件很难杀掉。还有
它可将TXT文件或EXE关联到sysexplr.exe,造成打不开文件或程序。更可
怕的是连接的默认端口7626都可更改,而一般的防火墙(如天网)防冰河
的端口就是采用7626。不过我又发现可以用冰河自身来卸掉冰河,还是连
接 127.0.0.1,然后使用控制类命令中的系统控制,点击自动卸载冰河就
可以了。不过有一点很重要,如果你的服务器端程序被加上了口令的话就
不能连接成功,你只能慢慢的用太阳湖老兄的方法和上面的方法来清除了。