中國駭客常用的八種工具 及其防禦方法(轉)

中國駭客常用的八種工具 及其防禦方法(轉)[@more@]　　本文將向您介紹中國駭客常用的八種工具及其防禦方法。需要說明的是，這些只是初級駭客、甚至是不算駭客的“駭客”所使用的工具。在真正的駭客看來這些工具是很初級的，但這些駭客工具對我們普通使用者的殺傷力卻是非常大的，因此有必要介紹一下它們的特點及防禦方法。

　　本文列出了幾種有代表性的駭客工具，我們真正要掌握的當然不是如何使用這些駭客工具，而是透過它們瞭解駭客攻擊手段，掌握防範駭客攻擊的方法，堵住可能出現的各種漏洞。

　　冰河

　　冰河是最優秀的國產木馬程式之一，同時也是被使用最多的一種木馬 。說句心裡話，如果這個軟體做成規規矩矩的商業用遠端控制軟體，絕對不會遜於那個體積龐大、操作複雜的PCanywhere，但可惜的是，它最終變成了駭客常用的工具。

　　冰河的伺服器端(被控端)和客戶端(控制端)都是一個可執行檔案，客戶端的圖示是一把瑞士軍刀，伺服器端則看起來是個沒什麼大不了的微不足道的程式，但就是這個程式，足以讓你的電腦成為別人的掌中之物。某臺電腦執行了伺服器端軟體後，該電腦的7626埠(預設)就對外開放了，如果在客戶端輸入這臺電腦的IP地址，就能完全控制這臺電腦。由於個人電腦每次上網的IP地址都是隨機分配的，所以客戶端軟體有一個“自動搜尋”功能，可以自動掃描某個IP段受感染的電腦，一旦找到，這臺電腦就盡在駭客的掌握之中了。由於冰河程式傳播比較廣泛，所以一般情況下，幾分鐘之內就能找到一個感染了冰河的受害者。

　　防禦措施:首先不要輕易執行來歷不明的軟體，只要伺服器端不被執行，冰河再厲害也是有力使不出，這一點非常重要;其次由於冰河的廣泛流行，使得大多數防毒軟體可以查殺冰河，因此在執行一個新軟體之前用防毒軟體查查是很必要的。但由於該軟體變種很多，防毒軟體如果不及時升級，難免會有遺漏，因此要保證您使用的防毒軟體病毒庫保持最新。 安裝並執行防火牆，如此則能相對安全一些。

　　Wnuke

　　Wnuke可以利用Windows系統的漏洞, 透過TCP/IP協議向遠端機器傳送一段資訊，導致一個OOB錯誤，使之崩潰。現象:電腦螢幕上出現一個藍底白字的提示:“系統出現異常錯誤”，按ESC鍵後又回到原來的狀態，或者當機。它可以攻擊WIN9X、WINNT、WIN2000等系統,並且可以自由設定包的大小和個數，透過連續攻擊導致對方當機。

　　防禦措施:不要輕易點選別人在論壇或聊天室告訴您的網址，那很可能是探測您的IP地址的(如Iphunter就可以做到這一點);用寫字板或其它的編輯軟體建立一個文字檔案，檔名為OOBFIX.REG，內容如下:

　　REGEDIT4

　　[HKEY_LOCAL_MACHINESystemCurrentControlSet ServicesVxDMSTCP]

　　″BSDUrgent″=″0″

　　啟動資源管理器，雙擊該檔案即可;安裝並執行防火牆。

　　Shed

　　Shed是基於NetBIOS的攻擊Windows的軟體。NetBIOS(Network Basic Input Output System，網路基本輸入輸出系統)，是一種應用程式介面(API)，作用是為區域網(LAN)新增特殊功能，幾乎所有的區域網電腦都是在NetBIOS基礎上工作的。在我們的Windows 95、99、或Me中，NetBIOS是和TCP/IP捆綁在一起的,這是十分危險的!但當我們安裝TCP/IP協議時，預設情況下NetBIOS和它的檔案與列印共享功能也一起被裝進了系統。當NetBIOS執行時，你的後門開啟了:因為NetBIOS不光允許區域網內的使用者訪問你的硬碟資源，Internet上的駭客也能!Shed正是利用了這一點。

　　防禦措施:

　　1) 檢查NetBEUI是否出現在配置欄中。開啟控制面版，雙擊“網路”選項，開啟“網路”對話方塊。在“配置”標籤頁中檢查己安裝的網路元件中是否有NetBEUI。如果沒有，點選列表下邊的新增按鈕，選中“網路協議”對話方塊，在製造商列表中選擇微軟，在網路協議列表中選擇NetBEUI。點選確定，根據提示插入安裝盤，安裝NetBEUI。

　　2) 回到“網路”對話方塊，選中“撥號網路介面卡”，點選列表右下方“屬性”按鈕。在開啟的“屬性”對話方塊中選擇“繫結”標籤頁，將除“TCP/IP->網路介面卡”之外的其它專案前核取方塊中的對勾都取消!

　　3) 回到“網路”對話方塊，選中“TCP/IP->撥號網路介面卡”點選列表右下方“屬性”按鈕，不要怕彈出的警告對話方塊，點選“確定”。在“TCP/IP屬性”對話方塊中選擇“繫結”標籤頁，將列表中所有專案前核取方塊中的對勾都取消!點選“確定”，這時Windows會警告你“尚未選擇繫結的驅動器。現在是否選擇驅動器?”點選“否”。之後，系統會提示重新啟動計算機，確認。

　　4) 重新進入“TCP/IP->撥號網路介面卡”的“TCP/IP屬性”對話方塊，選定“NetBIOS”標籤頁，看到“透過TCP/IP啟用NetBIOS”項被清除了吧!連點兩次“取消”退出“網路”對話方塊(不要點“確認”，免得出現什麼意外)。

　　Superscan

　　Superscan是一個功能強大的掃描器，速度奇快，探測臺灣全部回應值小於200MS的IP段僅用6個小時。可以檢視本機IP地址和域名，掃描一個IP段的所有線上主機以及其可探測到的埠號。而且可以儲存和匯入所有已探測的資訊。

　　防禦措施:及時打補丁堵住漏洞。微軟的那些沒完沒了的補丁包是有用的，很多時候，這些補丁能有效堵住漏洞使我們的系統更安全一些。儘管補丁包出現總會晚於漏洞的出現，但作為亡羊補牢的措施還是有必要的。

　　ExeBind

　　ExeBind可以將指定的駭客程式捆綁到任何一個廣為傳播的熱門軟體上，使宿主程式執行時，寄生程式(駭客程式)也在後臺被執行。當您再次上網時，您已經在不知不覺中被控制住了。您說這個檔案捆綁專家恐怖不?而且它支援多重捆綁。實際上是透過多次分割檔案，多次從父程式中呼叫子程式來實現的。現象:幾乎無，危害:NetSpy、HDFILL、BO 2000常透過這種形式在Internet上寄生傳播。如果有一天您收到一個不相識的人發來的不錯的程式，請仔細檢查一下，因為沒準它是用ExeBind捆綁了木馬程式!

　　防禦措施:不要執行來歷不明的軟體，不要從不可靠的小站點上下載軟體，任何新下載的程式在首次執行前，都要用最新的防毒軟體和查殺木馬軟體檢查後才能使用。另外，最好能知道一些常用軟體的檔案大小，一旦發現檔案大小有變化尤其是有明顯增大表現，這時就該請出我們的防毒軟體和查殺木馬軟體了。

　　郵箱終結者

　　郵箱終結者類似的郵箱炸彈很多，它們的原理基本一致，最根本的目標就是漲破您的郵箱，使您無法正常收發E-mail。

　　防禦措施:要注意自己的網上言行，不要得罪人;不要輕易留下您的E-mail信箱地址，特別是較重要的E-mail信箱更不能隨意讓別人知道，以免給“有心人”機會;申請較大的郵箱，然後啟用郵箱過濾功能，一般的網站都有這種服務。對付這類炸彈只能如此消極防禦了，誰有更好的辦法說出來大家學學?

　　流光

　　流光這是國人小榕的作品，當我首次使用這個軟體時，我被它深深地震住了。這個軟體能讓一個剛剛會用滑鼠的人成為專業級駭客，它可以探測POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP、IPC$ 上的各種漏洞，並針對各種漏洞設計了不同的破解方案，能夠在有漏洞的系統上輕易得到被探測的使用者密碼。流光對WIN9X、WINNT、WIN2000上的漏洞都可以探測，使它成為許多駭客手中的必備工具之一，一些資深駭客也對它青睞有加。

　　防禦措施:由於它綜合了多種掃描探測方式，所以很難防備，對付它必須及時打好各種補丁，同時還要使用防火牆。透過合理的設定規則就可以把有害的資料包擋在你的機器之外。如果您不熟悉網路，最好不要調整它。如果您熟悉網路，就可以非常靈活的設計合適自己使用的規則。

　　溯雪

　　溯雪還是小榕的作品。該軟體利用asp、cgi對免費信箱、論壇、聊天室進行密碼探測的軟體。密碼探測主要是透過猜測生日的方法來實現，成功率可達60%-70%。溯雪的執行原理是透過提取asp、cgi頁面表單，搜尋表單執行後的錯誤標誌，有了錯誤標誌後，再掛上字典檔案來破解信箱密碼。用溯雪來探測信箱密碼真的是很容易，由於許多人對密碼的設定採用了自己的生日或常用英文單詞等較簡單的方式，這給溯雪留下了很大的施展空間。我曾用自己的信箱做過試驗，採用生日作為密碼，溯雪只用了不到3分鐘就成功的破解出了我的密碼!要知道我用的字典很大，若字典再小些，會更快的!

　　防禦措施:首先不要輕易暴露自己的信箱地址和論壇、聊天室的使用者名稱，以免引起“有心人”注意;其次把您的密碼設定複雜一些，不要設定成純數字或純字母，更不能少於7位，否則真的很危險。可以將密碼設定成數字與字母相結合型，並且長度大於7位以上，如設定為這種樣式:g19o79o09d19。這個密碼是英文單詞good和生日1979019的組合，記憶容易，長度又很長，是很難破解的;再次要經常更換密碼，一個密碼使用時間不能太長;最後一點，最好各個信箱密碼都不同，以免被人一破百破。