上网*作1000问(3)

可人儿传说

三、神秘的黑客工具
　　 Internet上为数不少的黑客网站大都提供各种各样的黑客软件，下面就来了解其中的一些“典型”，并了解应对措施。
必须说明，安全防范与攻击破解是相互依存的，我们初步了解黑客软件的攻击原理和手段，是为了更好地进行黑客防范，其中涉及的黑客手段切勿轻易尝试，否则必将受到国家有关的网络安全法规的惩处，一切后果由使用者自负。

　　什么是WinNuke，如何清除？
　　答：WinNuke的工作原理是利用Windows
95的系统漏洞，通过TCP/IP协议向远程机器发送一段可导致OOB错误的信息，使电脑屏幕上出现一个蓝屏及提示：“系统出现异常错误”，按ESC键后又回到原来的状态，或者死机。对策是用写字板或其它的编辑软件建立一个文件名为OOBFIX.REG的文本文件，内容如下：
　　REGEDIT4 [HKEY_LOCAL_MACHINE\System\ CurrentControlSet Services\VxD\MSTCP]
　　“BSDUrgent”=“0”
　　启动资源管理器，双击该文件即可。

　　什么是BO2K？
　　答：BO2K是黑客组织“死牛崇拜”(Cult Dead Cow)所开发的曾经令人闻之色变的黑客程序BO1.2版的最新升级版本。
虽然BO2K可以当作一个简单的监视工具，但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点，使得它在网络环境里成为一个极其危险的工具。
BO2K既可以通过Email发送，也可以手工安装，安装包括两个部分：客户端和服务器端。
利用客户端程序，能够很轻松地对被控制的电脑进行众多的*作：比如重新启动计算机、锁死系统、获取系统口令，搜索、下载和编辑所有软件和文档，运行任何应用程序、记录键盘输入情况（也就是说可以易如反掌地窃取你的网络登录密码）等等。而且，BO2K不仅可以在Windows
NT上顺畅运行，就连刚问世的Windows 2000也不能幸免。 另外，Cult Dead
Cow还在其专为BO2K而设的网站上还提供了一些用于增强BO2K程序功能的插件（Plug-In），其中有一个名为SilkRope2K的插件（158KB），通过它可以非常容易地把BO2K的服务器程序捆绑到任何一个可执行文件上，而这个已经暗藏玄机的可执行文件，除了文件长度变大了130KB左右之外，并无其它任何异样，而这个可执行程序一旦被运行，BO2K服务器程序就会悄然无声地自动安装在对方的电脑之中。就样一来，只要被控制的电脑连上了Internet，哪怕远隔千山万水，黑客都可以像*作自己的电脑一样方便地对对方电脑进行随心所欲的控制。

　　BO2K的组成与工作原理是怎样的？
　　答：虽然BO2K可以当作一个简单的监视工具，但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点，使得它在网络环境里成为一个极其危险的工具。
BO2K包括服务器端的BO2K.exe、BO2Kcfg.exe和用户端的
BO2Kgui.exe、BO3des.dll、BO_peep.dll。其中，两个服务器端的文件一般是通过Email的方式进行传送，BO2K服务器端的程序大小仅为112KB，非常便于在网络上传输；客户端程序解压后的大小约2.07MB左右，功能非常强悍，由于采用了很简明的图形化界面，略通电脑的人都可以很容易地掌握其使用方法。BO2K既可以通过Email发送，也可以手工安装，安装包括两个部分：客户端和服务器端。在服务器端安装BO2K非常简单。只要执行BO2K的服务器端程序，就完成了安装。这个可执行文件名字最初叫做bo2k.exe
，但可能会被改名（比如更容易迷惑人的Readme.exe）。这个可执行文件的名字是在BO2K客户端安装时，或在BO2K设置向导里指定的。
BO2K的设置向导会指导用户进行以下几方面的设置：包括服务端文件名（可执行文件）、网络协议（TCP或UDP）、端口、加密和密码。这个过程完成后，运行bo2kgui.exe（BO2K图形用户界面）,
就可以看见工作区,
工作区包括了服务器的列表（如果你保存了上次的结果）。指定要连接的服务器，开始使用BO。给这个服务器起个名字，输入IP地址和连接的一些信息。指定了服务器后，服务器命令的客户端就出现了。这个窗口里可以使用BO的功能....点个命令，功能就列给你看了，有的命令如文件名和端口还需要设置参数。设置向导允许服务端执行快速安装，使用默认设置，以便立即使用BO2K控制远程机器。通过设置工具手动进行设置，可以管理很多选项，其中很多选项主要是用于防止BO被发现的伪装工作。
设置向导的过程分为以下几个步骤： 1.服务端文件名 、2.网络协议（TCP或UDP） 、3.端口 、4.加密方法(XOR或3DES)
、5.密码/加密钥匙。设置向导执行完后，会列出服务器的设置工具，有BO2K的运行状况，控制BO2K，客户端/服务器的通讯协议和程序的隐藏。

　　BO2K怎样进行自我保护？
　　答：BO2K提供一个图形化的文件浏览方式，可以方便地修改注册表，所有危险之举已经简化到只需鼠标轻轻一点。对于Windows
NT而言，BO2K的危害性就更为巨大：为进行自我保护，BO2K不仅会自动改变自己的进程名称，而且还能自动建立一个自身进程的副本，以备BO2K被删除后还能够“在烈火中永生”。它自己的文件名后面加上一些随机的空格及字母，所以在Windows下无法删除该文件，只能在纯DOS下删掉。也就是说，一旦服务器感染BO2K就必须停机，