computer 版 (精华区)

发信人: neverbw (浪子~汇编汇编，我爱汇编！), 信区: network
标  题: 安全意识更重要：攻破天网的几种方法(1)
发信站: 听涛站 (2001年10月08日19:01:25 星期一), 站内信件

天网是大家常用的防火墙软件，有许多人撰文提议安装天网，一时间天网防火墙成了菜
鸟、高手必备工具。这样做当然好，至少说明了大家的网络安全意识提高了许多。但万
事都有个“度”，超过这个“度”就不好了。现在有许多人对天网的迷信达到了痴迷的
程度，认为安装了天网就高枕无忧了，他们在上网时只是打开天网，至于天网运行得怎
么样就不管了。其实，就在此时你危险了！
一、堡垒往往是从内部被攻破的
　　堡垒往往是从内部被攻破的，这话一点都不假。远在古希腊时代，坚固的城墙没有
保护住特洛伊人的家园，被一个小小的木马所攻破，在今天这个道理依然应验。
1.用黑毒克星或NoSkyNet
　　目前的天网防火墙可谓树大招风，天网也逐渐成为了黑客们攻击的主要对象！针对
它的黑客工具也层出不穷，黑毒克星和NoSkyNet就是其中之一。这两个软件共同的特点
之一就是小巧隐蔽，另一个特点就是它们将天网破坏殆尽后，居然还能让天网防火墙在
任务栏正常显示图标！具有极大的危害性和欺骗性。
　　虽然黑毒克星和NoSkyNet必须被运行它们才有机会破坏天网防火墙，但百密难免一
疏，对于仅几k大小的黑毒克星、NoSkyNet，真的很难保证不会中招（黑客们当然不会那
么傻，他们会把黑毒克星、NoSkyNet改名，如改为系统优化或微软补丁之类的名称，这
样如果你运行了这些“优化补丁”，你的天网就完了！），对付它们只能自己小心了。

2.用黑洞2001
　　黑洞2001是个木马程序，具有出色的多进程监控功能。随着大家安全意识的不断提
高，大多数人都安装了网络防火墙，木马们的生存空间越来越小，为生存计，木马开发
者想出了一个办法，他让木马服务端定时刷新进程，如果发现其中的进程名称与其事先
定义好的相符合，就将这个进程关闭，如果这个被关闭的进程恰巧就是防火墙，那你的
网络大门就完全敞开了，监控端就可为所欲为了。
　　事实上这个功能就是针对防火墙出现的，一切堡垒都是从内部被攻破的在此得到了
充分的体现。其实在黑洞2000中就有了这样的功能，只不过黑洞2000只能关闭天网防火
墙，对其它防火墙没有任何作用。黑洞2001则可以定义长达99个英文字符号，完全可以
将您可能会用到的防火墙都定义到其中，从而可将这些防火墙全部关闭！
对于黑洞2001的多进程监控功能，让我们作一个小测试。首先，在客户端作配置。点击
“修改远程服务器端设置”按钮，再点击其中的“智能监控”标签，出现如图所示画面
(如图1)。
图1
　　在“进程监控”栏中添入“墙，毒，LOCK”，选中“使用进程监控”，然后点击“
修改配置”保存设置。在服务端运行天网防火墙、金山毒霸、Lockdown、PC-Cillin等软
件，一分钟后这些软件被自动关闭！由上可以看出如果你中了黑洞2001，那么你的防火
墙就全成了聋子的耳朵——摆设！
3.利用“反弹端口”型木马
　　国内第一个“反弹端口”型木马“网络神偷”就可以突破天网防线，使天网失效。
“正常”木马是由客户端主动连接服务端的，通俗的说就是下木马方要主动连接中木马
的机子，这样很容易让防火墙发现；而反弹端口型木马与一般的木马相反，反弹端口型
木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立
连接时，由客户端通过 FTP 主页空间告诉服务端：“现在开始连接我吧！”，并进入监
听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口
一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TC
P　服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你
就会以为是自己在浏览网页。（防火墙也会这么认为的，我想大概没有哪个防火墙会不
给用户向外连接80端口吧）。因此这类木马可以突破几乎所有的防火墙（包括代理防火
墙及过滤型防火墙）！

--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]