黑客攻防技术内幕-入侵者攻击方法(2)

5.1.2  后门程序

后门程序是入侵者普便使用的程序，后门程序又称为：特洛伊木马(Trojan Horse)。

“特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前，在一次希腊战争中，麦尼劳斯派兵讨伐特洛伊，但逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神，攻击数天后仍然无功，遂留下木马拔营而去。城中得到解围的消息，又得到“木马”这个奇异的战利品，全城饮酒狂欢。到午夜时，全城军民尽入梦乡，藏匿于木马中的将士打开密门游绳而下，开启城门四处纵火，城外伏兵涌入，焚屠特洛伊城。后来称这只大木马为“特洛伊木马”，所以也就有了电脑里的特洛伊木马。

特洛伊木马有以下的特点：

●      主程序有两个，一个是服务端，另一个是控制端。

●      服务端需要在主机执行，程序体积十分细小，执行时不会占用太多资源，第一次执行后就会自动登录在系统激活区，之后每次在 Windows 加载时自动执行。

●      一般特洛伊木马程序都是隐蔽的进程，执行时很难停止它的活动。

●      当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在接受命令后，则会执行相应的任务。

在许多人眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病毒的特性。(包括：转播，感染文件等。)

特洛伊木马是指一个程序表面上在执行一个任务，实际上却在执行另一个任务。入侵者的特洛伊木马程序事先已经以某种方式潜入受害的机器中，并在适当的时候激活，潜伏在后台监视系统的运行。它同一般程序一样能实现任何软件的任何功能。例如，拷贝、删除文件、格式化硬盘，甚至发电子邮件。典型的特洛伊木马是窃取别人在网络上的账号和口令，它有时在用户合法登录前伪造一个登录现场，提示用户输入账号和口令，然后将账号和口令保存至一个文件中，显示登录错误，退出特洛伊木马程序。用户还以为自己输错了，再试一次时，已经是正常的登录了，用户也就不会有怀疑。其实，特洛伊木马已完成了任务。更为恶性的特洛伊木马则会对系统进行全面破坏。
    特洛伊木马最大的缺陷在于，必须先想方设法将木马程序植入到用户的机器中去。这也是为什么建议普通用户不要轻易地执行电子邮件中附带程序的原因之一，因为特洛伊木马可能就在你的鼠标单击之间悄然潜入到了你的系统之中。接下来我们将详细介绍一些常用木马的使用，了解一下入侵者是如何控制受害计算机的。

● 冰河

冰河是一款优秀的国产木马，目前在国内比较流行，可以说冰河是国产木马的代表。冰河的作者是黄鑫，黄鑫开发到2.2版本后，就停止了对冰河的继承开发，现在网上流传的冰河其他版本，都在是原有基础上进行改编的。

功能：记录各种口令信息，包括开机口令、屏保口令、共享资源口令等，随着版本的升高，它所能够记录的口令信息会增加；获取系统信息主要包括计算机名、当前用户、系统路径、操作系统版本、物理及逻辑磁盘信息等多项系统数据；远程文件操作可以创建、上传、下载、复制、删除文件；文件压缩、远程打开文件等多种文件操作功能；限制系统有远程关机、远程重启机器、锁定鼠标、热键等功能；发送信息就是向被控端发送短信息；注册表操作，包括对主键的浏览、增删、复制等操作；点到点通信就是以聊天室的形式同被控制端进行在线交谈。

运行平台：运行于Windows 98、Windwos ME、Windows NT、Windows 2000、Windows XP

大小：客户端程序为522KB

      服务端程序为331KB

冰河客户端界面如图5-7所示。

图5-7  【冰河】运行界面

使用方法：

测试版本：冰河v6.0

测试系统：Windows 98

测试计算机：192.168.100.20

(1) 在计算机192.168.100.20上运行冰河服务端程序。

(2) 又击运行冰河客户端程序。

(3) 单击【文件】→【添加主机】命令，在【主机地址】文本框中输入192.168.100.20，单击【确定】按钮，如图5-8所示。

图5-8  添加主机

(4) 单击【文件管理器】中的目标机，如192.168.100.20，就可以对其硬盘文件进行复制、粘贴、删除等操作，如图5-9所示。

图5-9  对目标机文件进行操作

(5) 控制对方屏幕，可以像操作本机计算机一样，操作对方的计算机，如图5-10所示。

图5-10  控制屏幕

注：

如果要卸载计算机服务端，可选择客户端设置中的【命令控制台】的【控制类命令\系统控制\自动卸载】命令即可。

冰河还有很多的实用功能，在这里就不详细介绍了。

技巧：

冰河各种版本万能密码：

2.2版：Can you speak Chinese?

2.2版：05181977

3.0版：yzkzero!

4.0版：05181977

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq20000!

● 广外女生

广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一款优秀的远程控制程序。

功能：文件管理方面，有上传、下载、删除、改名、设置属性、建立文件夹和运行指定文件等功能；注册表操作方面，全面模拟Windows的注册表编辑器，让远程注册表编辑工作有如在本机上操作一样方便；屏幕控制方面，可以自定义图片的质量来减少传输的时间，在局域网或高网速的地方还可以全屏操作对方的鼠标及键盘，就像操纵自己的计算机一样；远程任务管理方面，可以直观地浏览对方窗体，随意杀掉对方窗体或其中的控件；其他功能还有邮件IP通知等。

运行平台：运行于Windows 98、Windows SE、Windwos ME、Windows NT、Windows 2000或已经安装Winsock2.0的Windows95/97上。

大小：客户端程序为419KB

      服务端程序为117KB

广外女生客户端界面如图5-11所示。

图5-11  广外女生客户端界面

使用方法：

测试版本：广外女生1.53B

测试系统：Windows 98

测试计算机：192.168.100.17