computer 版 (精华区)

发信人: neverbw (浪子~~开始新生活), 信区: network
标  题: 黑客 工具大曝光
发信站: 听涛站 (2001年07月23日18:18:12 星期一), 站内信件

你怎样看待黑客及黑客现象？
　崇拜？不齿？还是畏惧？目前国内十分流行使用工具来攻击别人。不过，使用工具的
一般只是初级黑客，甚至不能算作黑客。对于真正的黑客来说，这些工具是很初级的，
但即使这些黑客工具对我们普通用户仍具有很大杀伤力，因此本文将介绍一下它们的特
点及基本防御方法。
名称：冰河
　简介：最优秀的国产木马程序之一，同时也是被使用最多的一种木马。如果这个软件
做成规规矩矩的商业用远程控制软件，绝对不会逊于那个体积庞大、操作复杂的PC Any
where，可惜的是它最终变成了黑客常用的工具。
　冰河的客户端（被控端）和服务器端（控制端）都是一个可执行文件。客户端可以是
一个单独的程序，也可能是绑定在其它程序之上，看起来就是个没什么大不了的普通程
序，但就是这个程序，足以让自己的电脑成为别人的掌中之物。当一台电脑执行了客户
器端软件后，该电脑的7626端口（默认）就对外开放了，如果在控制端输入这台电脑的
IP地址，就能完全控制这台电脑。由于个人电脑基本每次上网的IP地址都是随机分配的
，所以控制端软件有一个“自动搜索”功能，可以自动扫描某个IP段受感染的电脑，一
旦找到，这台电脑就尽在冰河掌握之中了。由于冰河程序传播比较广泛，所以一般情况
下，几分钟之内就能找到一个感染了冰河的受害者。
防御措施：
1.不要轻易运行来历不明的软件，只要服务器端不被运行，冰河再厉害也是有力使不出
，这一点非常重要。
2.由于冰河的广泛流行，目前大多数杀毒软件可以查杀冰河，因此在运行一个新软件之
前用杀毒软件查查是很必要的。由于该软件变种很多，杀毒软件如果不及时升级，难免
会有遗漏，因此要保证你使用的杀毒软件病毒库保持最新。用查杀木马软件如木马克星
之类也可以。
3.安装并运行防火墙，也能带来相对高的安全性。
名称：Wnuke
　简介：它主要利用Windows系统的漏洞，通过TCP/IP协议向远程机器发送一段信息，导
致一个OOB错误，使之崩溃。发作时电脑屏幕上出现一个蓝底白字的提示：“系统出现异
常错误”，按ESC键后又回到原来的状态，或者死机。它可以攻击WIN9X、WINNT、WIN20
00等系统，并且可以自由设置包的大小和个数，通过连续攻击导致对方死机。
防御措施：
1.不要轻易点击别人在论坛或聊天室告诉你的网址，那很可能是探测你IP地址的（如Ip
hunter就可以做到这一点）。
2.用写字板或其它的编辑软件建立一个文本文件，文件名为OOBFIX.REG，内容如下：
REGEDIT4　
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\VxD\MSTCP]
“BSDUrgent”=“0”
启动资源管理器，双击该文件即可。
3.安装并运行防火墙。
名称：Shed
　简介：Shed是基于NetBIOS攻击Windows的软件。NetBIOS（Network Basic Input Out
put System，网络基本输入输出系统）是一种应用程序接口（API），作用是为局域网（
LAN）添加特殊功能，几乎所有的局域网电脑都是在NetBIOS基础上工作的。在我们的Wi
ndows 95、98或Me中，NetBIOS是和TCP/IP捆绑在一起的，这是十分危险的。当我们安装
TCP/IP协议时，默认情况下NetBIOS和它的文件与打印共享功能也一起被装进了系统。当
NetBIOS运行时，后门就打开了，原因是NetBIOS不光允许局域网内的用户访问你的硬盘
资源，Internet上的用户也同样能做到。Shed正是利用了这一点进行攻击。
防御措施：
　1.检查NetBEUI是否出现在配置栏中。打开控制面版，双击“网络”选项，打开“网络
”对话框。在“配置”标签页中检查已安装的网络组件中是否有NetBEUI。如果没有，点
击列表下边的添加按钮，选中“网络协议”对话框，在制造商列表中选择微软，在网络
协议列表中选择NetBEUI。点击确定，根据提示插入安装盘，安装NetBEUI。
　2.回到“网络”对话框，选中“拨号网络适配器”，点击列表右下方“属性”按钮。
在打开的“属性”对话框中选择“绑定”标签页，将除“TCP/IP→网络适配器”之外的
其它项目前复选框中的对勾都取消。
　3.回到“网络”对话框，选中“TCP/IP→拨号网络适配器”，点击列表右下方“属性
”按钮，不要害怕弹出的警告对话框，点击“确定”。在“TCP/IP属性”对话框中选择
“绑定”标签页，将列表中所有项目前复选框中的对勾都取消。点击“确定”，这时Wi
ndows会警告你“尚未选择绑定的驱动器。现在是否选择驱动器？”，点击“否”。之后
，系统会提示重新启动计算机，确认。
　4.重新进入“TCP/IP→拨号网络适配器”的“TCP/IP属性”对话框，选定“NetBIOS”
标签页，看到“通过TCP/IP启用NetBIOS”项被清除了吧。连点两次“取消”，退出“网
络”对话框（不要点“确认”，免得出现意外）。
名称：Superscan
　简介：一个功能强大的扫描器，速度奇快，例如探测中国台湾省范围全部回应值小于
200ms的IP段仅用6个小时；可以查看本机IP地址和域名，扫描一个IP段的所有在线主机
以及其可探测到的端口号；而且可以保存和导入所有已探测的信息。
防御措施：
　及时打补丁堵住漏洞。微软的那些没完没了的补丁包是有用的，很多时候，这些补丁
能有效堵住漏洞使我们的系统更安全一些。尽管补丁包出现总会晚于漏洞的出现，但作
为亡羊补牢的措施还是有必要的。
名称：ExeBind
运行平台：Windows 3.X/95/98/NT/2000
　简介：该小程序将指定的黑客程序捆绑到任何一个广为传播的热门软件上，当宿主程
序执行时，寄生程序也在后台被执行。当再次上网时，被感染程序已经在不知不觉中被
控制住了。而且它支持多重捆绑，实际上是通过多次分割文件，多次从父进程中调用子
进程来实现的。目前很多其类型的病毒和木马程序常通过这种方式在Internet上寄生传
播。
防御措施：
1.不要执行来历不明的软件，不要从不可靠的小站点上下载软件。
2.任何新下载的程序在首次运行前，都要用最新的杀毒软件和查杀木马软件检查后才能
使用。
3.最好能知道一些常用软件的文件大小，一旦发现文件大小有变化尤其是有明显增大表
现，这时使杀毒软件和查杀木马软件进行清除。通常HackerScan就可以查出这个软件。

名称：邮箱终结者
简介：类似的邮箱炸弹很多，它们的原理基本一致，其最根本的目标就是涨破邮箱，使
邮箱无法正常收发E-mail。
防御措施：
1.不要轻易留下你的E-mail信箱地址，特别是较重要的E-mail信箱更不能随意让别人知
道，以免给“有心人”机会。
2.申请较大的邮箱（如中华网88M、新浪网50M），然后启用邮箱过滤功能，一般的网站
都有这种服务。
名称：流光
　简介：小榕的作品。这个软件能让一个刚刚会用鼠标的人成为专业级黑客。它可以探
测POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP、IPC$上的各种漏洞，并针对各种漏洞设
计了不同的破解方案，能够在有漏洞的系统上轻易得到被探测的用户密码。流光对WIN9
X/NT/2000上的漏洞都可以探测，使它成为许多黑客手中的必备工具之一，一些资深黑客
也对它青睐有加。
防御措施：
　由于它综合了多种扫描探测方式，所以很难防备。对付它必须及时打好各种补丁，同
时还要使用防火墙，推荐使用国产个人防火墙。天网是非常好的防火墙软件，可以有效
阻挡各种攻击，有非常灵活的规则设置（规则是一系列的比较条件和一个对数据包的动
作，就是根据数据包的每一个部分与设置的条件比较，当符合条件时，就可以确定对该
包放行或者阻挡）。通过合理的设置规则可以把有害的数据包挡在机器之外。但是如果
不熟悉网络，最好不要调整，可以直接使用天网设置的规则。
名称：溯雪
简介：
　还是小榕的作品。该软件利用asp、cgi对免费信箱、论坛、聊天室进行密码探测。密
码探测主要是通过猜测生日的方法来实现，成功率可达60%-70%。溯雪的运行原理是通过
提取asp、cgi页面表单，搜寻表单运行后的错误标志，有了错误标志后，再挂上字典文
件来破解信箱密码。用溯雪来探测信箱密码很容易，由于许多人对密码的设置采用了自
己的生日或常用英文单词等较简单的方式，这给溯雪留下了很大的施展空间。
防御措施：
1.首先不要轻易暴露自己的信箱地址和论坛、聊天室的用户名，以免引起“有心人”注
意。
2.把你的密码设置得复杂一些，不要设置成纯数字或纯字母。可以将密码设置成数字与
字母相结合型，并且使长度大于7位以上。
3.要经常更换密码，一个密码使用时间不能太长。
写在篇末
　我们真正要掌握的当然不是如何使用这些黑客工具，而是通过它们了解黑客攻击手段
，掌握防范黑客攻击的方法，堵住可能出现的各种漏洞，更加安全地使用计算机和网络
。

--



呜呜！
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]