⑴ 黑暗之魂3 特洛伊護符怎麼獲得
首先那個護符叫洛伊德護符。
然後,在祭祀場有一個老太婆,你只要給他骨灰,就可以花500買。
骨灰在去教堂的傳送點,不上樓梯,左邊山上跳下來有個骨灰。
⑵ 誰知道5種以上紅酒和咖啡的名字。
藍山——產於牙買加的高山上,由於種植上對季節、濕度、溫度都相當內要求,因此產量少,口容感相當香醇,是咖啡中的極品。
巴西——代表品為山多士咖啡,豆子有些苦味而香氣濃郁,常被拿來調配較溫和的咖啡。
摩卡——葉門所產最佳,其次為依索比亞。味道偏酸,甘性特佳,並有巧克力味道。花式咖啡中,摩卡即為加了巧克力的咖啡。
日本炭燒咖啡:純粹的重陪造就了日本炭燒獨特的口味,香淳苦澀,較多的保持了咖啡的原有風味。
苦咖啡:不加糖也不重陪,煮沸的咖啡有著濃郁的香味,但卻最為苦澀。
紅酒:拉菲 拉圖 瑪歌 瑪歌紅亭 瑪歌白亭 侯伯王 木犝 白瑪 柏翠
⑶ 特洛伊木馬病毒
木馬,又名特洛伊木馬(Trojan),其名稱取自古希臘神話的特洛伊木馬記,它是一種基於遠程專控制的黑客屬工具,具有很強的隱蔽性和危害性。為了達到控制服務端主機的目的,木馬往往要採用各種手段達到激活自己、載入運行的目的。讓我們一起來看看木馬常用的激活方式。
在Win.ini中啟動
在Win.ini的[windows]欄位中有啟動命令「load=」和「run=」,在一般情況下「=」後面是空白的,如果後面跟著程序,比如:
run=c:windowsfile.exe
load=c:windowsfile.exe
這個file.exe很可能就是木馬程序!
⑷ 特洛伊木馬
12.5.1 黑客攻擊的常用手段
1.包攻擊。
黑客可利用一些工具產生畸形或碎片數據包,這些數據包不能被計算機正確合成,從而導致系統崩潰。
2.服務型攻擊。
這種攻擊通常是黑客向計算機發送大量經過偽裝的數據包,使計算機疲於響應這些經過偽裝的不可到達客戶的請求,從而使計算機不能響應正常的客戶請求,或使計算機誤以為訪問的主機不可到達,從而達到切斷正常連接的目的。
3.緩沖區溢出攻擊。
這種攻擊是向操作系統或應用程序發送超長字元串,由於程序本身設計的漏洞,未能對其進行有效的檢驗,導致程序在緩沖區溢出時意外出錯甚至退出,使黑客獲得到系統管理員的許可權。
4.口令攻擊。
這種攻擊一般是依據一個包含常用單詞的字典文件、程序進行大量的猜測,直到猜對口令並獲得訪問權為止。它通常使用蠻力攻擊方式。
5.IP 地址和埠掃描。
這種攻擊就是要確定你的IP地址是否可以到達,運行哪種操作系統,運行哪些伺服器程序,是否有後門存在。所以,當發現有人在掃描你的IP地址時,通常就意味著黑客攻擊的開始。
6.對各種軟體漏洞的攻擊。
每當新的操作系統、伺服器程序等軟體發布之後,各種漏洞就會被不斷發現,這些漏洞常常被黑客利用,從而有可能導致計算機泄密、被非法使用,甚至崩潰。
7.特洛伊木馬攻擊。
特洛伊木馬是一種在你不知道的情況下自動執行惡意功能的程序,包括那些表面上執行某個合法功能,而背後卻同時從事非法功能的程序。
12.5.2 特洛伊木馬
特洛伊木馬黑客程序一般有兩個部分組成:一個是伺服器程序,另一個是控制器程序。如果計算機安裝了黑客伺服器程序,那麼,黑客就可以利用自身計算機控制器程序進入你的計算機中,通過達到控制和監視你的計算機的目的。
1.特洛伊木馬的啟動方式
主要手法是載入到注冊表的啟動組中,也有些會捆綁到其它程序上附帶地進入內存,如隨著操作系統的啟動而運行,捆綁的木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等。比如將木馬捆綁到瀏覽器上,上網以後一打開瀏覽器,木馬被附帶啟動了並自動打開木馬埠,黑客就可以進入你的計算機了
2.特洛伊木馬埠
當木馬在計算機中存在的時候,黑客就可以通過控制器程序命令木馬做事情了。這些命令是在網路上傳遞的,需要遵守TCP/IP協議。TCP/IP協議規定計算機的埠有256*256=65536個,從0到65535號埠,木馬打開一個或者幾個埠,黑客所使用的控制器就可以進入木馬打開的埠了。
3.特洛伊木馬的隱藏
木馬為了更好地隱藏自己,通常會將自己的位置放在c:\windows和c:\windows\system等系統目錄中。因為windows的一些系統文件在這兩個位置,如果誤刪了文件,計算機就可能崩潰,不得不重新安裝系統。有的木馬具有很強的潛伏能力,表面上的木馬程序被發現並被刪除已後,後備的木馬在一定的條件下會恢復被刪除的木馬。
4.特洛伊木馬查殺
木馬的查殺可以採用自動和手動兩種方式。最簡單的刪除木馬方法是安裝殺毒軟體,現在很多殺毒軟體能刪除網路最猖獗的木馬。
由於殺毒軟體的升級要慢於木馬的出現,因此學會手工查殺也非常必要。
在刪除木馬之前,重要的一項工作是備份注冊表,防止系統崩潰,備份你認為是木馬的文件;如果不是木馬就可以恢復,如果是木馬就可以對木馬進行分析。
(1)查看注冊表
(2)檢查啟動組
(3)檢查Win.ini、System.ini、Autoexec.bat等文件
(4)使用TCPVIEW、ATM軟體
⑸ 特洛伊之戰(希臘神話)人物分析(急需阿!!!!!!!!)
下面介紹主要人物:(希臘神話人物眾多,至少幾萬位)
在希臘神話中,一切皆從混沌(Chaos)開始。。。
卡俄斯(Khaos/Chaos,):混沌之神。
宇宙之初,只有卡俄斯,他是一個無邊無際、一無所有的空間。隨後誕生了地母神該亞(Gaia)、地獄深淵神塔耳塔洛斯(Tartarus)、黑暗神俄瑞波斯(Erebus)、黑夜女神尼克斯(Nyx)和愛神厄洛斯(Eros)世界由此開始
該亞(Gaia):大地女神,卡俄斯之女。大地的本體,她誕生了天空烏拉諾斯(Ouranos)、海洋彭透斯(Pontus)和山脈烏瑞亞(Ourea)。
接著她又和她兩位兒子生了許多神。和烏拉諾斯生了十二位提坦(Titans)分別代表了世界最初的些事物(曰、月、天、時間、正義、記憶等)和彭透斯生了五個孩子分別代表了不同的海。她算得上是眾神之母(是奧林匹斯神的始祖)。
塔耳塔洛斯(Tartarus):地獄深淵神,卡俄斯之子。五大創世神之一,可以說是地獄冥土的創造者,深淵的本體。
他出生在大地該亞之後,在該亞的下面,後來和該亞生了該亞最小兒子的就是怪物提豐(Typhon)。他是一個無形的深淵,位於世界的最底端,此後他是關押妖魔怪物和一些神坻的地方。宙斯就把一些提坦神關押在塔耳塔洛斯
厄瑞波斯(Erebus):黑暗神,卡俄斯之子。五大創世神之一,塔耳塔洛斯誕生後,在塔耳塔洛斯之處以上(地下/該亞之下)誕生。黑暗的化身與本體,位於大地(該亞)與冥土之間。他和她妹妹黑夜女神尼克斯(Nyx)生了三位古老的神坻,他們是:
太空之神埃忒耳 (Aether)、白晝之神赫莫拉 (Hemera)和冥河的渡神卡戎(Charon)。
尼克斯(Nyx):黑夜女神,卡俄斯之女。五大創世神之一,厄瑞波斯誕生後在大地(該亞)之上誕生。黑夜的化身和本體,她是一位古老而強大的神坻,她不但同他哥哥生了三個孩子外還獨自一人生了一大批神
厄羅斯(Eros):或稱愛洛斯。愛神,卡俄斯之子。五大創世神之一,誕生在黑暗和黑夜之後。愛欲、生育及性慾的化身。是他促生了諸神的生育相愛,他是一切愛欲的化身(包括同姓、異性)
烏拉諾斯(Uranus):天之神。該亞的長子和丈夫,第一任神王。被他兒子推翻。
彭透斯(Pontus):海神,該亞之子和情人,最早的海神。
烏瑞亞(Ourea):山神,該亞諸子。
克洛諾斯(Cronus):該亞與烏拉諾斯的十二個提坦神兒女中最年幼者。天、空間神,推翻父神而成為第二任神王。。
瑞亞(Rhea):十二坦之一,時光女神。克洛諾斯的妻子第二人神後。
俄刻阿諾斯(Oceanus):十二提坦之一,大洋河流之神。生育了地球上所有的河流及三千海洋女神。
泰西斯(Tethys):十二提坦之一,滄海女神;俄刻阿諾斯之妻。
許配利翁(Hyperion):十二提坦之一,光明太陽之神。太陽,月亮和黎明之父。
提亞(Thea):十二提坦之一,寶物、光及視力女神;許配利翁之妻。
摩涅莫緒涅(Mnemosyne):十二提坦之一,詩歌女神(Musa)之一,記憶之神.宙斯第五位妻子九繆斯之母。
伊阿佩托斯(Iapetus):十二提坦之一。阿忒拉斯、普羅米修斯、厄毗米修斯和墨諾提俄斯之父。
克瑞斯(Crius):十二提坦之一,生長之神。
忒彌斯(Themis):十二提坦之一,秩序和正義女神.宙斯第二位妻子時序三女神之母
菲碧(Phoebe):也稱福伯或福碧,十二提坦之一,月之女神勒托與阿斯特瑞亞之母。
克俄斯(Coeus):十二提坦之一,暗與智力之神。菲碧的老公。
墨勒忒(Melete):提坦之一,十二提坦姐妹,詩歌女神(Musa)之一,深思女神。
阿俄伊得(Aoede):提坦之一,十二提坦姐妹,詩歌女神(Musa)之一,歌唱女神
阿忒拉斯(Atlas):普羅米修斯的兄弟。最高大強壯的神之一。因反抗宙斯失敗而被罰頂天。
普羅米修斯(Prometheus):伊阿佩托斯之子。最有智慧的神之一,被稱為「先知者」。人類的創造者和保護者。因觸怒宙斯被鎖在高加索山上,每日有禿鷹啄食其肝臟,然後又長好,周而復始。後被赫拉克剌斯救出。
厄毗米修斯(Epimetheus):普羅米修斯的兄弟。最愚笨的神之一,被稱為「後知者」。因接收了宙斯的禮物——潘多拉為妻,結果從「潘多拉之盒」中飛出了疾病,罪惡等各種災難降臨人間。
⑹ 特洛伊 是什麼東西
「特洛伊木馬」(trojan horse)簡稱「木馬」,據說這個名稱來源於希臘神話《木馬屠城記版》。古希臘有大權軍圍攻特洛伊城,久久無法攻下。於是有人獻計製造一隻高二丈的大木馬,假裝作戰馬神,讓士兵藏匿於巨大的木馬中,大部隊假裝撤退而將木馬擯棄於特洛伊城下。城中得知解圍的消息後,遂將「木馬」作為奇異的戰利品拖入城內,全城飲酒狂歡。到午夜時分,全城軍民盡入夢鄉,匿於木馬中的將士開秘門游繩而下,開啟城門及四處縱火,城外伏兵湧入,部隊里應外合,焚屠特洛伊城。後世稱這只大木馬為「特洛伊木馬」。如今黑客程序借用其名,有「一經潛入,後患無窮」之意。
完整的木馬程序一般由兩個部份組成:一個是伺服器程序,一個是控制器程序。「中了木馬」就是指安裝了木馬的伺服器程序,若你的電腦被安裝了伺服器程序,則擁有控制器程序的人就可以通過網路控制你的電腦、為所欲為,這時你電腦上的各種文件、程序,以及在你電腦上使用的帳號、密碼就無安全可言了。
木馬程序不能算是一種病毒,但越來越多的新版的殺毒軟體,已開始可以查殺一些木馬了,所以也有不少人稱木馬程序為黑客病毒。
⑺ 特洛伊木馬
這很正常!我以前是裝360和卡巴,也是這樣!後來我在「安全模式」下用成功刪掉版文件;你可以試權一下!
在開機黑屏時按F2或F11或F開頭的那些鍵(我記得是F11或F12!)就會有幾個選擇,按「安全模式」,再操作,就行了!
但我還是認為重裝系統比較好!
希成功!
⑻ 特洛伊木馬的損害
對於大多數惡意程序,只要把它們刪除,危險就算過去,威脅也不再存在,但特洛伊木馬有些特殊。特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣,也會刪除或修改文件、格式化硬碟、上傳和下載文件、騷擾用戶、驅逐其他惡意程序,例如,經常可以看到攻擊者霸佔被入侵機器來保存游戲或攻擊工具,用戶所有的磁碟空間幾乎都被侵佔殆盡,但除此之外,特洛伊木馬還有其獨一無二的特點——竊取內容,遠程式控制制——這使得它們成為最危險的惡意軟體。
首先,特洛伊木馬具有捕獲每一個用戶屏幕、每一次鍵擊事件的能力,這意味著攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅動器映射,甚至醫療記錄、銀行帳戶和信用卡、個人通信方面的信息。如果PC帶有一個麥克風,特洛伊木馬能夠竊聽談話內容。如果PC帶有攝像頭,許多特洛伊木馬能夠把它打開,捕獲視頻內容——在惡意代碼的世界中,目前還沒有比特洛伊木馬更威脅用戶隱私的,凡是你在PC前所說、所做的一切,都有可能被記錄。
一些特洛伊木馬帶有包嗅探器,它能夠捕獲和分析流經網卡的每一個數據包。攻擊者可以利用特洛伊木馬竊取的信息設置後門,即使木馬後來被清除了,攻擊者仍可以利用以前留下的後門方便地闖入。
其次,如果一個未經授權的用戶掌握了遠程式控制制宿主機器的能力,宿主機器就變成了強大的攻擊武器。遠程攻擊者不僅擁有了隨意操控PC本身資源的能力,而且還能夠冒充PC合法用戶,例如冒充合法用戶發送郵件、修改文檔,當然還可以利用被侵佔的機器攻擊其他機器。二年前,一個家庭用戶請我幫忙,要我幫他向交易機構證明他並沒有提交一筆看來明顯虧損的股票交易。交易機構確實在該筆交易中記錄了他的PC的IP地址,而且在他的瀏覽器緩沖區中,我也找到了該筆有爭議的交易的痕跡。另外,我還找到了SubSeven(即Backdoor_G)特洛伊木馬的跡象。雖然沒有證據顯示出特洛伊木馬與這筆令他損失慘重的股票交易直接有關,但可以看出交易發生之時特洛伊木馬正處於活動狀態。
⑼ 特洛伊是什麼
特洛伊木馬是指一個程序表面上在執行一個任務,實際上卻在執行另一個任務。黑客專的特洛伊木馬程序事先已經以某屬種方式潛入你的機器,並在適當的時候激活,潛伏在後台監視系統的運行,它同一般程序一樣,能實現任何軟體的任何功能。例如,拷貝、刪除文件、格式化硬碟、甚至發電子郵件。典型的特洛伊木馬是竊取別人在網路上的帳號和口令,它有時在用戶合法的登錄前偽造一登錄現場,提示用戶輸入帳號和口令,然後將帳號和口令保存至一個文件中,顯示登錄錯誤,退出特洛伊木馬程序。用戶還以為自己輸錯了,再試一次時,已經是正常的登錄了,用戶也就不會有懷疑。其實,特洛伊木馬已完成了任務,躲到一邊去了。更為惡性的特洛伊木馬則會對系統進行全面破壞。
特洛伊木馬法最大的缺陷在於,必須先想方設法將木馬程序植入到用戶的機器中去。這也是為什麼建議普通用戶不要輕易地執行電子郵件中附帶的程序的原因之一,因為特洛伊木馬可能就在你的滑鼠點擊之間悄然潛入到了你的系統之中。
⑽ 特洛伊 木馬!
特洛伊木馬是一種惡意程序,它們悄悄地在宿主機器上運行,就在用戶毫無察覺的情況下,讓攻擊者獲得了遠程訪問和控制系統的許可權。一般而言,大多數特洛伊木馬都模仿一些正規的遠程式控制制軟體的功能,如Symantec的pcAnywhere,但特洛伊木馬也有一些明顯的特點,例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在一些游戲或小軟體之中,誘使粗心的用戶在自己的機器上運行。最常見的情況是,上當的用戶要麼從不正規的網站下載和運行了帶惡意代碼的軟體,要麼不小心點擊了帶惡意代碼的郵件附件。
大多數特洛伊木馬包括客戶端和伺服器端兩個部分。攻擊者利用一種稱為綁定程序的工具將伺服器部分綁定到某個合法軟體上,誘使用戶運行合法軟體。只要用戶一運行軟體,特洛伊木馬的伺服器部分就在用戶毫無知覺的情況下完成了安裝過程。通常,特洛伊木馬的伺服器部分都是可以定製的,攻擊者可以定製的項目一般包括:伺服器運行的IP埠號,程序啟動時機,如何發出調用,如何隱身,是否加密。另外,攻擊者還可以設置登錄伺服器的密碼、確定通信方式。
伺服器向攻擊者通知的方式可能是發送一個email,宣告自己當前已成功接管的機器;或者可能是聯系某個隱藏的Internet交流通道,廣播被侵佔機器的IP地址;另外,當特洛伊木馬的伺服器部分啟動之後,它還可以直接與攻擊者機器上運行的客戶程序通過預先定義的埠進行通信。不管特洛伊木馬的伺服器和客戶程序如何建立聯系,有一點是不變的,攻擊者總是利用客戶程序向伺服器程序發送命令,達到操控用戶機器的目的。
特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機器,也可以用廣播方式發布命令,指示所有在他控制之下的特洛伊木馬一起行動,或者向更廣泛的范圍傳播,或者做其他危險的事情。實際上,只要用一個預先定義好的關鍵詞,就可以讓所有被入侵的機器格式化自己的硬碟,或者向另一台主機發起攻擊。攻擊者經常會用特洛伊木馬侵佔大量的機器,然後針對某一要害主機發起分布式拒絕服務攻擊(Denial of Service,即DoS),當受害者覺察到網路要被異乎尋常的通信量淹沒,試圖找出攻擊者時,他只能追蹤到大批懵然不知、同樣也是受害者的DSL或線纜數據機用戶,真正的攻擊者早就溜之大吉。
二、極度危險的惡意程序
對於大多數惡意程序,只要把它們刪除,危險就算過去,威脅也不再存在,但特洛伊木馬有些特殊。特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣,也會刪除或修改文件、格式化硬碟、上傳和下載文件、騷擾用戶、驅逐其他惡意程序,例如,經常可以看到攻擊者霸佔被入侵機器來保存游戲或攻擊工具,用戶所有的磁碟空間幾乎都被侵佔殆盡,但除此之外,特洛伊木馬還有其獨一無二的特點——竊取內容,遠程式控制制——這使得它們成為最危險的惡意軟體。
首先,特洛伊木馬具有捕獲每一個用戶屏幕、每一次鍵擊事件的能力,這意味著攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅動器映射,甚至醫療記錄、銀行帳戶和信用卡、個人通信方面的信息。如果PC帶有一個麥克風,特洛伊木馬能夠竊聽談話內容。如果PC帶有攝像頭,許多特洛伊木馬能夠把它打開,捕獲視頻內容——在惡意代碼的世界中,目前還沒有比特洛伊木馬更威脅用戶隱私的,凡是你在PC前所說、所做的一切,都有可能被記錄。
一些特洛伊木馬帶有包嗅探器,它能夠捕獲和分析流經網卡的每一個數據包。攻擊者可以利用特洛伊木馬竊取的信息設置後門,即使木馬後來被清除了,攻擊者仍可以利用以前留下的後門方便地闖入。
其次,如果一個未經授權的用戶掌握了遠程式控制制宿主機器的能力,宿主機器就變成了強大的攻擊武器。遠程攻擊者不僅擁有了隨意操控PC本身資源的能力,而且還能夠冒充PC合法用戶,例如冒充合法用戶發送郵件、修改文檔,當然還可以利用被侵佔的機器攻擊其他機器。二年前,一個家庭用戶請我幫忙,要我幫他向交易機構證明他並沒有提交一筆看來明顯虧損的股票交易。交易機構確實在該筆交易中記錄了他的PC的IP地址,而且在他的瀏覽器緩沖區中,我也找到了該筆有爭議的交易的痕跡。另外,我還找到了SubSeven(即Backdoor_G)特洛伊木馬的跡象。雖然沒有證據顯示出特洛伊木馬與這筆令他損失慘重的股票交易直接有關,但可以看出交易發生之時特洛伊木馬正處於活動狀態。
三、特洛伊木馬的類型
常見的特洛伊木馬,例如Back Orifice和SubSeven等,都是多用途的攻擊工具包,功能非常全面,包括捕獲屏幕、聲音、視頻內容的功能。這些特洛伊木馬可以當作鍵記錄器、遠程式控制制器、FTP伺服器、HTTP伺服器、Telnet伺服器,還能夠尋找和竊取密碼。攻擊者可以配置特洛伊木馬監聽的埠、運行方式,以及木馬是否通過email、IRC或其他通信手段聯系發起攻擊的人。一些危害大的特洛伊木馬還有一定的反偵測能力,能夠採取各種方式隱藏自身,加密通信,甚至提供了專業級的API供其它攻擊者開發附加的功能。由於功能全面,所以這些特洛伊木馬的體積也往往較大,通常達到100 KB至300 KB,相對而言,要把它們安裝到用戶機器上而不引起任何人注意的難度也較大。
對於功能比較單一的特洛伊木馬,攻擊者會力圖使它保持較小的體積,通常是10 KB到30 KB,以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用,它們把受害用戶的每一個鍵擊事件記錄下來,保存到某個隱藏的文件,這樣攻擊者就可以下載文件分析用戶的操作了。還有一些特洛伊木馬具有FTP、Web或聊天伺服器的功能。通常,這些微型的木馬只用來竊取難以獲得的初始遠程式控制制能力,保障最初入侵行動的安全,以便在不太可能引起注意的適當時機上載和安裝一個功能全面的大型特洛伊木馬。
隨便找一個Internet搜索網站,搜索一下關鍵詞Remote Access Trojan,很快就可以得到數百種特洛伊木馬——種類如此繁多,以至於大多數專門收集特洛伊木馬的Web網站不得不按照字母順序進行排列,每一個字母下有數打甚至一百多個木馬。下面我們就來看看兩種最流行的特洛伊木馬:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow開發了Back Orifice。這個程序很快在特洛伊木馬領域出盡風頭,它不僅有一個可編程的API,還有許多其他新型的功能,令許多正規的遠程式控制制軟體也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)發行,希望能夠吸引一批正規用戶,以此與老牌的遠程式控制制軟體如pcAnywhere展開競爭。
但是,它默認的隱蔽操作模式和明顯帶有攻擊色彩的意圖使得許多用戶不太可能在短時間內接受。攻擊者可以利用BO2K的伺服器配置工具可以配置許多伺服器參數,包括TCP或UDP、埠號、加密類型、秘密激活(在Windows 9x機器上運行得較好,在Windows NT機器上則略遜一籌)、密碼、插件等。
Back Orifice的許多特性給人以深刻的印象,例如鍵擊事件記錄、HTTP文件瀏覽、注冊表編輯、音頻和視頻捕獲、密碼竊取、TCP/IP埠重定向、消息發送、遠程重新啟動、遠程鎖定、數據包加密、文件壓縮,等等。Back Orifice帶有一個軟體開發工具包(SDK),允許通過插件擴展其功能。
默認的bo_peep.dll插件允許攻擊者遠程式控制制機器的鍵盤和滑鼠。就實際應用方面而言,Back Orifice對錯誤的輸入命令非常敏感,經驗不足的新手可能會使它頻繁地崩潰,不過到了經驗豐富的老手那裡,它又會變得馴服而又強悍。
■ SubSeven
SubSeven可能比Back Orifice還要受歡迎,這個特洛伊木馬一直處於各大反病毒軟體廠商的感染統計榜前列。SubSeven可以作為鍵記錄器、包嗅探器使用,還具有埠重定向、注冊表修改、麥克風和攝像頭記錄的功能。圖二顯示了一部分SubSeven的客戶端命令和伺服器配置選項。
SubSeven具有許多令受害者難堪的功能:攻擊者可以遠程交換滑鼠按鍵,關閉/打開Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del組合鍵,注銷用戶,打開和關閉CD-ROM驅動器,關閉和打開監視器,翻轉屏幕顯示,關閉和重新啟動計算機,等等。
SubSeven利用ICQ、IRC、email甚至CGI腳本和攻擊發起人聯系,它能夠隨機地更改伺服器埠,並向攻擊者通知埠的變化。另外,SubSeven還提供了專用的代碼來竊取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保護程序的密碼。
四、檢測和清除特洛伊木馬
如果一個企業網路曾經遭受病毒和Email蠕蟲的肆虐,那麼這個網路很可能也是特洛伊木馬的首選攻擊目標。由於木馬會被綁定程序和攻擊者加密,因此對於常規的反病毒軟體來說,查找木馬要比查找蠕蟲和病毒困難得多。另一方面,特洛伊木馬造成的損害卻可能遠遠高於普通的蠕蟲和病毒。因此,檢測和清除特洛伊木馬是系統管理員的首要任務。
要反擊惡意代碼,最佳的武器是最新的、成熟的病毒掃描工具。掃描工具能夠檢測出大多數特洛伊木馬,並盡可能地使清理過程自動化。許多管理員過分依賴某些專門針對特洛伊木馬的工具來檢測和清除木馬,但某些工具的效果令人懷疑,至少不值得完全信任。不過,Agnitum的Tauscan確實稱得上頂級的掃描軟體,過去幾年的成功已經證明了它的效果。
特洛伊木馬入侵的一個明顯證據是受害機器上意外地打開了某個埠,特別地,如果這個埠正好是特洛伊木馬常用的埠,木馬入侵的證據就更加肯定了。一旦發現有木馬入侵的證據,應當盡快切斷該機器的網路連接,減少攻擊者探測和進一步攻擊的機會。打開任務管理器,關閉所有連接到Internet的程序,例如Email程序、IM程序等,從系統托盤上關閉所有正在運行的程序。注意暫時不要啟動到安全模式,啟動到安全模式通常會阻止特洛伊木馬裝入內存,為檢測木馬帶來困難。
大多數操作系統,當然包括Windows,都帶有檢測IP網路狀態的Netstat工具,它能夠顯示出本地機器上所有活動的監聽埠(包括UDP和TCP)。打開一個命令行窗口,執行「Netstat -a」命令就可以顯示出本地機器上所有打開的IP埠,注意一下是否存在意外打開的埠(當然,這要求對埠的概念和常用程序所用的埠有一定的了解)。
顯示了一次Netstat檢測的例子,檢測結果表明一個Back Orifice使用的埠(即31337)已經被激活,木馬客戶程序使用的是遠程機器(ROGERLAP)上的1216埠。除了已知的木馬常用埠之外,另外還要特別留意未知的FTP伺服器(埠21)和Web伺服器(埠80)。
但是,Netstat命令有一個缺點,它能夠顯示出哪些IP埠已經激活,但卻沒有顯示出哪些程序或文件激活了這些埠。要找出哪個執行文件創建了哪個網路連接,必須使用埠枚舉工具,例如,Winternals Software的TCPView Professional Edition就是一個優秀的埠枚舉工具。Tauscan除了能夠識別特洛伊木馬,也能夠建立程序與埠的聯系。另外,Windows XP的Netstat工具提供了一個新的-o選項,能夠顯示出正在使用埠的程序或服務的進程標識符(PID),有了PID,用任務管理器就可以方便地根據PID找到對應的程序。
如果手頭沒有埠枚舉工具,無法快速找出幕後肇事者的真正身份,請按照下列步驟操作:尋找自動啟動的陌生程序,查找位置包括注冊表、.ini文件、啟動文件夾等。然後將機器重新啟動進入安全模式,可能的話,用Netstat命令確認一下特洛伊木馬尚未裝入內存。接下來,分別運行各個前面找出的有疑問的程序,每次運行一個,分別用Netstat命令檢查新打開的埠。如果某個程序初始化了一個Internet連接,那就要特別小心了。深入研究一下所有可疑的程序,刪除所有不能信任的軟體。
Netstat命令和埠枚舉工具非常適合於檢測一台機器,但如果要檢測的是整個網路,又該怎麼辦?大多數入侵檢測系統(Intrusion Detection System,IDS)都具有在常規通信中捕獲常見特洛伊木馬數據包的能力。FTP和HTTP數據具有可識別的特殊數據結構,特洛伊木馬數據包也一樣。只要正確配置和經常更新IDS,它甚至能夠可靠地檢測出經過加密處理的Back Orifice和SubSeven通信。請參見http://www.snort.org,了解常見的源代碼開放IDS工具。
五、處理遺留問題
檢測和清除了特洛伊木馬之後,另一個重要的問題浮現了:遠程攻擊者是否已經竊取了某些敏感信息?危害程度多大?要給出確切的答案很困難,但你可以通過下列問題確定危害程度。首先,特洛伊木馬存在多長時間了?文件創建日期不一定值得完全信賴,但可資參考。利用Windows資源管理器查看特洛伊木馬執行文件的創建日期和最近訪問日期,如果執行文件的創建日期很早,最近訪問日期卻很近,那麼攻擊者利用該木馬可能已經有相當長的時間了。
其次,攻擊者在入侵機器之後有哪些行動?攻擊者訪問了機密資料庫、發送Email、訪問其他遠程網路或共享目錄了嗎?攻擊者獲取管理員許可權了嗎?仔細檢查被入侵的機器尋找線索,例如文件和程序的訪問日期是否在用戶的辦公時間之外?
在安全要求較低的環境中,大多數用戶可以在清除特洛伊木馬之後恢復正常工作,只要日後努力防止遠程攻擊者再次得逞就可以了。至於安全性要求一般的場合,最好能夠修改一下所有的密碼,以及其他比較敏感的信息(例如信用卡號碼等)。
在安全性要求較高的場合,任何未知的潛在風險都是不可忍受的,必要時應當調整管理員或網路安全的負責人,徹底檢測整個網路,修改所有密碼,在此基礎上再執行後繼風險分析。對於被入侵的機器,重新進行徹底的格式化和安裝。
特洛伊木馬造成的危害可能是非常驚人的,由於它具有遠程式控制制機器以及捕獲屏幕、鍵擊、音頻、視頻的能力,所以其危害程度要遠遠超過普通的病毒和蠕蟲。深入了解特洛伊木馬的運行原理,在此基礎上採取正確的防衛措施,只有這樣才能有效減少特洛伊木馬帶來的危害.