文章內(nèi)容

個(gè)人電腦安全之防黑

發(fā)布時(shí)間: 2012/6/23 18:13:57

你在網(wǎng)絡(luò)上沖浪，別人和你聊天，你發(fā)電子郵件，必須要有共同的協(xié)議，這個(gè)協(xié)議就是TCP/IP協(xié)議，任何網(wǎng)絡(luò)軟件的通訊都基于TCP/IP協(xié)議。如果把互聯(lián)網(wǎng)比作公路網(wǎng)，電腦就是路邊的房屋，房屋要有門(mén)你才可以進(jìn)出，TCP/IP協(xié)議規(guī)定，電腦可以有256乘以256扇門(mén)，即從0到65535號(hào)“門(mén)”，TCP/IP協(xié)議把它叫作“端口”。當(dāng)你發(fā)電子郵件的時(shí)候，E-mail軟件把信件送到了郵件服務(wù)器的25號(hào)端口，當(dāng)你收信的時(shí)候，E-mail軟件是從郵件服務(wù)器的110號(hào)端口這扇門(mén)進(jìn)去取信的，你現(xiàn)在看到的我寫(xiě)的東西，是進(jìn)入服務(wù)器的80端口。新安裝好的個(gè)人電腦打開(kāi)的端口號(hào)是139端口，你上網(wǎng)的時(shí)候，就是通過(guò)這個(gè)端口與外界聯(lián)系的。黑客不是神仙，他也是--- 通過(guò)端口進(jìn)入你的電腦
　　通過(guò)端口進(jìn)入你的電腦
　　黑客是怎么樣進(jìn)入你的電腦的呢？當(dāng)然也是基于TCP/IP協(xié)議通過(guò)某個(gè)端口進(jìn)入你的個(gè)人電腦的。如果你的電腦設(shè)置了共享目錄，那么黑客就可以通過(guò)139端口進(jìn)入你的電腦，注意！WINDOWS有個(gè)缺陷，就算你的共享目錄設(shè)置了多少長(zhǎng)的密碼，幾秒鐘時(shí)間就可以進(jìn)入你的電腦，所以，你最好不要設(shè)置共享目錄，不允許別人瀏覽你的電腦上的資料。除了139端口以外，如果沒(méi)有別的端口是開(kāi)放的，黑客就不能入侵你的個(gè)人電腦。那么黑客是怎么樣才會(huì)進(jìn)到你的電腦中來(lái)的呢？答案是通過(guò)特洛伊木馬進(jìn)入你的電腦。如果你不小心運(yùn)行了特洛伊木馬，你的電腦的某個(gè)端口就會(huì)開(kāi)放，黑客就通過(guò)這個(gè)端口進(jìn)入你的電腦。舉個(gè)例子，有一種典型的木馬軟件，叫做netspy.exe。如果你不小心運(yùn)行了netspy.exe，那么它就會(huì)告訴WINDOWS，以后每次開(kāi)電腦的時(shí)候都要運(yùn)行它，然后，netspy.exe又在你的電腦上開(kāi)了一扇“門(mén)”，“門(mén)”的編號(hào)是7306端口，如果黑客知道你的7306端口是開(kāi)放的話，就可以用軟件偷偷進(jìn)入到你的電腦中來(lái)了。特洛伊木馬本身就是為了入侵個(gè)人電腦而做的，藏在電腦中和工作的時(shí)候是很隱蔽的，它的運(yùn)行和黑客的入侵，不會(huì)在電腦的屏幕上顯示出任何痕跡。WINDOWS本身沒(méi)有監(jiān)視網(wǎng)絡(luò)的軟件，所以不借助軟件，是不知道特洛伊木馬的存在和黑客的入侵。
　　如何發(fā)現(xiàn)自己電腦中的木馬
　　再以netspy.exe為例，現(xiàn)在知道netspy.exe打開(kāi)了電腦的7306端口，要想知道自己的電腦是不是中netspy.exe，只要敲敲7306這扇“門(mén)”就可以了。你先打開(kāi)C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打開(kāi)瀏覽器，在瀏覽器的地址欄中輸入http://XX.XX.XX.XX:7306/，如果瀏覽器告訴你連接不上，說(shuō)明你的電腦的7306端口沒(méi)有開(kāi)放，如果瀏覽器能連接上，并且在瀏覽器中跳出一排英文字，說(shuō)的netspy.exe的版本，那么你的電腦中了netspy.exe木馬了。這是最簡(jiǎn)單最直接的辦法，但是需要你知道各種木馬所開(kāi)放的端口，奇奇已知下列端口是木馬開(kāi)放的：7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木馬端口，也還是不能完全防范這些木馬的，我們需要----查找木馬
　　進(jìn)一步查找木馬
　　奇奇曾經(jīng)做了一個(gè)試驗(yàn)：我知道netspy.exe開(kāi)放的是7306端口，于是我用工具把它的端口修改了，經(jīng)過(guò)修改的木馬開(kāi)放的是7777端口了，你現(xiàn)在再用老辦法是找不到netspy.exe木馬了。于是我們可以用掃描自己的電腦的辦法看看電腦有多少端口開(kāi)放著，并且再分析這些開(kāi)放的端口。
　　前面講了電腦的端口是從0到65535為止，其中139端口是正常的，首先找個(gè)端口掃描器，奇奇推薦“代理獵手”，你上網(wǎng)以后，找到自己的IP地址，現(xiàn)在請(qǐng)關(guān)閉正在運(yùn)行的網(wǎng)絡(luò)軟件，因?yàn)榭赡荛_(kāi)放的端口會(huì)被誤認(rèn)為是木馬的端口，然后讓代理獵手對(duì)0到65535端口掃描，如果除了139端口以外還有其他的端口開(kāi)放，那么很可能是木馬造成的。
　　排除了139端口以外的端口，你可以進(jìn)一步分析了，用瀏覽器進(jìn)入這個(gè)端口看看，它會(huì)做出什么樣的反映，你可以根據(jù)情況再判斷了。
　　掃描這么多端口是不是很累，需要半個(gè)多小時(shí)傻等了，現(xiàn)在好了，我漢化了一個(gè)線程監(jiān)視器，Tcpview.exe可以看電腦有什么端口是開(kāi)放的，除了139端口以外，還有別的端口開(kāi)放，你就可以分析了，如果判定自己的電腦中了木馬，那么，你就得----刪除木馬
　　在硬盤(pán)上刪除木馬
　　最簡(jiǎn)單的辦法當(dāng)然是用殺毒軟件刪除木馬了，Netvrv病毒防護(hù)墻可以幫你刪除netspy.exe和bo.exe木馬，但是不能刪除netbus木馬。
　　下面就netbus木馬為例講講刪除的經(jīng)過(guò)。
　　簡(jiǎn)單介紹一下netbus木馬，netbus木馬的客戶端有兩種，開(kāi)放的都是12345端口，一種以Mring.exe為代表（472,576字節(jié)），一種以SysEdit.exe為代表（494,592字節(jié)）。
　　Mring.exe一旦被運(yùn)行以后，Mring.exe就告訴WINDOWS，每次啟動(dòng)就將它運(yùn)行，WINDOWS將它放在了注冊(cè)表中，你可以打開(kāi)C:\WINDOWS\REGEDIT.EXE進(jìn)入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后刪除這個(gè)健值，你再到WINDOWS中找到Mring.exe刪除。注意了，Mring.exe可能會(huì)被黑客改變名字，字節(jié)長(zhǎng)度也被改變了，但是在注冊(cè)表中的位置不會(huì)改變，你可以到注冊(cè)表的這個(gè)位置去找。
　　另外，你可以找包含有“netbus”字符的可執(zhí)行文件，再看字節(jié)的長(zhǎng)度，我查過(guò)了，WINDOWS和其他的一些應(yīng)用軟件沒(méi)有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的變種。
　　SysEdit.exe被運(yùn)行以后，并不加到WINDOWS的注冊(cè)表中，也不會(huì)自動(dòng)掛到其他程序中，于是有人認(rèn)為這是傻瓜木馬，奇奇倒認(rèn)為這是最最可惡、最最陰險(xiǎn)的木馬。別的木馬被加到了注冊(cè)表中，你就有痕跡可查了，就連專家們認(rèn)為最最兇惡的BO木馬也可以輕而易舉地被我們從注冊(cè)表中刪除。
　　而SysEdit.exe要是掛在其他的軟件中，只要你不碰這個(gè)軟件，SysEdit.exe也就不發(fā)作，一旦運(yùn)行了被安裝SysEdit.exe的程序，SysEdit.exe也同時(shí)啟動(dòng)了。奇奇在自己的電腦中做了這樣一個(gè)實(shí)驗(yàn)，將SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆綁起來(lái)，Abcwin.exe是智能ABC輸入法，當(dāng)我開(kāi)啟電腦到上網(wǎng)，只要沒(méi)有打開(kāi)智能ABC輸入法打字聊天，SysEdit.exe也就沒(méi)有被運(yùn)行，你就不能進(jìn)入我的12345端口，如果我什么時(shí)候想打字了，一旦啟動(dòng)智能ABC輸入法（Abcwin.exe），那么捆綁在Abcwin.exe上的SysEdit.exe也同時(shí)被運(yùn)行了，我的12345端口被打開(kāi)，別人就可以黑到我的電腦中來(lái)了。同樣道理，SysEdit.exe可以被捆綁到網(wǎng)絡(luò)傳呼機(jī)、信箱工具等網(wǎng)絡(luò)工具上，甚至可以捆綁到撥號(hào)工具上，電腦中的幾百的程序中，你知道會(huì)在什么地方發(fā)現(xiàn)它嗎？所以我說(shuō)這是最最陰險(xiǎn)的木馬，讓人防不勝防。
　　有的時(shí)候知道自己中了netbus木馬，特別是SysEdit.exe，能發(fā)現(xiàn)12345端口被開(kāi)放，并且可以用netbus客戶端軟件進(jìn)入自己的電腦，卻不知道木馬在什么地方。這時(shí)候，你可以檢視內(nèi)存，請(qǐng)打開(kāi)C:\WINDOWS\DRWATSON.EXE，然后對(duì)內(nèi)存拍照，查看“高級(jí)視圖”中的“任務(wù)”標(biāo)簽，“程序”欄中列出的就是正在運(yùn)行的程序，要是發(fā)現(xiàn)可疑的程序，再看“路徑”欄，找到這個(gè)程序，分析它，你就知道是不是木馬了。SysEdit.exe雖然可以隱藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中還是暴露了。
　　好了，來(lái)回顧一下，要知道自己的電腦中有沒(méi)有木馬，只要看看有沒(méi)有可疑端口被開(kāi)放，用代理獵手、Tcpview.exe都可以知道。要查找木馬，一是可以到注冊(cè)表的指定位置去找，二是可以查找包含相應(yīng)的可執(zhí)行程序，比如，被開(kāi)放的端口是7306，就找包含“netspy”的可執(zhí)行程序，三是檢視內(nèi)存，看有沒(méi)有可以的程序在內(nèi)存中。
　　你的電腦上的木馬，來(lái)源有兩種，一種是你自己不小心，運(yùn)行了包含有木馬的程序，另一種情況是，“網(wǎng)友”送給你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再運(yùn)行，安裝容易排除難呀。
　　排除了木馬以后，你就可以監(jiān)視端口，---- 等待黑客的來(lái)臨
　　悄悄等待黑客的來(lái)臨
　　介紹兩個(gè)軟件，首先是NukeNabber，它是端口監(jiān)視器，你告訴NukeNabber需要監(jiān)視7306端口，如果有人接觸這個(gè)端口，就馬上報(bào)警。在別人看來(lái)，你的電腦的7306端口是開(kāi)放的，但是7306不是由netspy控制了，當(dāng)NukeNabber發(fā)現(xiàn)有人接觸7306端口或者試圖進(jìn)入你的7306端口，馬上報(bào)警，你可以在NukeNabber上面看到黑客對(duì)你做了些什么，黑客的IP地址是哪里，然后，你就可以反過(guò)來(lái)攻擊黑客了。當(dāng)NukeNabber監(jiān)視139的時(shí)候，你就可以知道誰(shuí)在用IP炸彈炸你。另外提一下，如果NukeNabber告訴你不能監(jiān)視7306端口，說(shuō)這個(gè)端口已經(jīng)被占用了，那么說(shuō)明你的電腦中存在netspy了。第二個(gè)軟件就是Tcpview.exe，這個(gè)軟件是線程監(jiān)視器，你可以用它來(lái)查看有多少端口是開(kāi)放的，誰(shuí)在和你通訊，對(duì)方的IP地址和端口分別是什么。