黑客常用兵器之木马篇（上）5 x( X' [$ Q3 p" V4 t# L

+ r) _) J0 r! G0 {+ E
8 X3 v# o6 M5 v1 K0 U( z“我知道远程控制是种武器，在十八般兵器中名列第七，木马呢?”
# S& o, l2 @2 J　　“木马也是种武器，也是远程控制。”
; |. C$ L3 j$ h) K0 ]" x4 [　　“既然是远程控制，为什么要叫做木马？”
4 Z; N& y% x( J! [　　“因为这个远程控制，无论控制了什么都会造成离别。如果它钩住你的E-Mail，你的E-Mail就要和你离别；如果它钩住你的QQ，你的QQ就要和你离别。”
' ^0 W5 `3 J6 m; ?+ k　　“如果它钩住我的机器，我就和整个网络离别了?” " t* p# Y2 b5 x7 t$ t( `
　　“是的。”
, B/ c, r" k/ d9 N# V　　“你为什么要用如此残酷的武器?”
7 i# J# y  h4 c　　“因为我不愿被人强迫与我所爱的人离别。” & K7 M/ J2 i" ]2 s& u. }. P& N
　　“我明白你的意思了。”
; f# ]+ L& E; E. d$ I　　“你真的明白?” % ~0 v5 q  @' S) p% X: ]$ C
　　“你用木马，只不过为了要相聚。”
3 a2 d3 Q' E- l) k　　“是的。”

　一 * {% z4 e/ X$ B2 ~

+ R1 ^# i+ T& I　　在众多的黑客武器中特洛伊木马（Trojan horse）这种攻击性武器无论是菜鸟级的黑客爱好，还时研究网络安全的高手，都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具，木马的威力要比其他的黑客工具大得多。 $ g, F2 \& K# o* C0 d4 L

: J8 f% j0 d, |( u8 k3 g　　“木马既然如此有效，为何在Hacker兵器谱中排名靠后？” 5 |- ^7 u$ P9 `0 v& p

3 @. p  C% Z, H% n　　“因为使用木马往往不是很光明正大。”
6 d/ B$ F. O( T. o- q# [+ M' m
$ O  D1 a) n$ x# Y/ F% A8 K( k3 Y　　“哦？为何？”
5 u- q' V4 U3 l: K5 i
* _+ E0 N3 M& x8 P8 A7 a. T　　“在使用木马的人群中菜鸟黑客居多，他们往往接触网络不久，对黑客技术很感兴趣，很想向众人和朋友显示一番，但是去驾驭技术不高，不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现，多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了，他们通常会在得到一个服务器权限的时候植入自己编写的木马，以便将来随时方便进出这台服务器。” 2 \% X9 I$ m$ G) h$ K( ^* G5 D

4 R* ?7 X, @- r9 g! s! k　　“但如此一来木马的名声不就随之降低了吗？” + t* f( [8 m: i6 Q8 X5 r' ^
8 y0 t; U/ ?: i
　　“是的，所以现在的黑客高手都耻于用木马，更耻于黑个人的计算机。”
  P9 @1 c: Q2 c% T; s( P4 J2 d/ D. V8 H
　　“不过木马在很多人的眼中仍然是一等一的绝好兵器。” 1 V* s1 `6 l. n3 y9 p& M% R0 S! c
在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的，但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品，BO2000的这个功能无疑对Windows NT来说是致命的，就Windows NT本身而言，由于硬盘采取了NTSF的加密，普通的木马，包括冰河也无法控制，当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。 " J6 `5 |1 W/ a8 V+ L
, p5 ?" J* b9 B* I1 Q" h
　　而正因为如此BO2000才深得黑客高手的喜爱，因为他们感兴趣的也只有服务器，也只有Web Server才能够提起他们的胃口，那是一种来自深层感官的刺激。
2 y' b0 l0 `; C, g* G3 m, a; p: l
　　通常情况下木马大致可分为两个部分：服务器端程序和客户端程序。服务器端通常就是被控制端，也是我们传统概念上的木马了。

二
2 E9 H' K) A: A# f1 Y& R/ T7 \  G3 w, Z# x6 z+ n5 b' t
　　“你说BO2000好，但是绝大多数的杀毒招数都能够沟将其制服，而且我感觉他在使用上不如我手里的冰河锐利，况且我也不想黑什么服务器。我认为，个人电脑中隐藏有更大的宝藏，而且个人电脑脆弱的我能够利用任何一种方法摧毁它。 " b( ?  w: T9 D% r) i) g3 x$ m7 f
. o2 W: D) c* o9 E
　　“你说的很对，冰河确实锐利，而且称霸中华江湖一年之久，也可谓武林中少见的好兵刃，但是兵器虽然锋利，但兵器在打造的时候却留下来一个致命的缺点，这也是木马冰河为何在武林衰败的原因。” ) }7 g' s* e7 h! D7 {: S5 X! y) R
1 F# _( O5 T- `( y; H9 L0 M' S
　　“这是一个什么样的弱点那？竟然如此致命？”
$ `& \" Z2 ]  k7 \/ y* p6 }. ?( L5 e, ]. [' E* s( b# k. w
　　“呵呵，说白了也很简单，冰河的作者在打造冰河2.X版本时就给它留下了一个后门，这个后门其实就是一个万能密码，只要拥有此密码，即便你中的冰河加了密码保护，到时候仍然行同虚设。”
, ]* A4 q/ P; P% c
0 n3 `! J. s$ B& \# p9 O　　“什么！真有此事？想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用，如此这般，他们的机子岂不暴露无遗？” 6 k- U+ A5 x3 j
6 U* ]5 v( e6 K2 }$ E6 z
　　“呵呵，在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么，多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手，致命的一招。冰河的作者当然也不例外，而且由于作者钟爱许美静，所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。” 0 }! F0 b: t, K$ C. L) V
2 @; _) [2 w- S- X& X. D
　　“噢？万能密码？” $ z* ~& Y, J( M) y: V
9 P7 w, A; Z- v9 X7 \
　　“通常黑客在植入冰河这种木马的时候，为了维护自己的领地通常的要为自己的猎物加一个密码，只有输入正确的密码你才能够正常的控制对方的计算机，但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码，就像万能钥匙一样。冰河各版本的通用密码：
9 ?% E  n2 X, @' C7 F2 x
- M+ E; Y' H' u- e" s　　2.2版：Can you speak Chinese?
5 f$ s7 V) a/ h$ f$ L# [3 K　　2.2版：05181977 & s/ r. _9 C; y7 r
　　3.0版：yzkzero! % N9 }  H1 T" O- O8 v9 G- z
　　4.0版：05181977
8 ]/ w1 j8 X8 L# a　　3.0版：yzkzero.51.net * a' L9 J7 \& u- k6 b
　　3.0版：yzkzero! 7 u2 M) F- ?8 Z) C0 L+ ~7 z
　　3.1-netbug版密码: 123456!@
8 t: _# P1 X, F　　2.2杀手专版：05181977 ; \# ]* C5 Z+ {* c, X8 \. c/ O3 }
　　2.2杀手专版：dzq20000! ( t6 W0 Z3 h& h& n$ j3 j" j  W+ M

- }6 X+ D  c7 |3 c5 J: \你可以试试看，是不是很轻松的就能够进入任何一台有冰河服务器端的电脑？” ' |0 g# |2 u- z1 G' R* j: N- q4 D
% }4 P/ k% V! P, v3 f7 N* x
　　“真的进入了，果然有此事情，怪不得现在很多人都不再使用冰河。” ; x, x8 h5 y/ c

+ F- o; A8 R: e4 _& `- e. [　　“此外冰河还存在着两个严重的漏洞：
# H- |4 ?9 \8 _' a8 V. I1 z9 V6 h6 d0 `) K% V
　　漏洞一：不需要密码远程运行本地文件漏洞。 & V: ?8 y! j7 h' B

1 m5 M) T8 d$ p' D　　具体的操作方法如下：我们选择使用相应的冰河客户端，2.2版以上服务端用2.2版客户端，1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client，进入文件管理器，展开“我的电脑”选中任一个本地文件按右键弹出选择菜单，选择“远程打开”这时会报告口令错误，但是文件一样能上传并运行。
& J) C9 `0 v+ O2 H
4 h, a6 j1 x6 u5 Y. U2 J5 n+ J　　任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了，如果你高兴的话，还可以上传病毒和其它的木马。
. C% @# ~1 i8 I9 O- L* y( r& c; P% q  i5 s. O0 b. u
　　漏洞二：不需要密码就能用发送信息命令发送信息，不是用冰河信使，而是用控制类命令的发发送信息命令。” 8 L  }+ L3 X  u9 o2 G
( W8 o0 z" m2 H4 P$ \
　　“当然这的确是一个原因，但更主要的是现在的多数杀毒软件都能克制冰河。”

　　木马通常会在三个地方做手脚：注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件，绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马，木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上，启动是不确定的，这要看目标电脑主人了，如果他不运行，木马就不会进入内存。捆绑方式是一种手动的安装方式，一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹，所以，很容易被发现，而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等，位置的多变使木马有很强的隐蔽性。 6 O/ w6 {; h) Y' R2 ]$ H
& V# Z) g2 i, |8 a
　　“在众多木马中，大多数都会将自己隐藏在Windows系统下面，通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。”   m( C8 o+ }( f# H" ^  q5 n  B

3 f, Z( x7 E0 K- B: h7 Y0 B0 }3 C　　“众多的目录中为何选择这两个目录？”
9 d! l& c2 R4 @2 R1 q1 l( `; @+ K5 m  g" j
　　“呵呵，当然是为了便于隐蔽。通常这几个目录为计算机的系统目录，其中的文件数量多而繁杂，很不容易辨别哪些是良性程序哪些是恶性程序，即便高手往往也会有失误删除的情况。而且，即便放置在系统目录下，就多数为重要的文件，这些文件的误删除往往会直接导致系统严重的瘫痪。” : i- e  c; H0 H8 q  l
, V; I0 b" z4 L9 u
　　“原来如此。” 1 ~! M* V: w8 I  n, O+ |
4 _! r5 ~, N3 q% q/ y: q
　　“前辈，木马冰河是否也做了这些手脚？” 8 q$ ^- v. j$ B& ~) i) N+ B2 V2 }
1 I$ _6 L+ M& \6 ?5 O, [
　　“这是自然，木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先，冰河会在你的注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 键值中加上了\kernl32.exe(是系统目录)，
% ?4 w. A- ~$ r6 i# Q
, F! n. H3 ~  o. s- k3 ]  v　　§c:\改动前的RUN下
/ V& ~- V4 E/ i: O! J　　默认=""
$ J3 |! l" C, R! G( ^3 F　　§c:\改动后的RUN下 + X# m' ~8 ~* W; l1 O2 N9 A1 r
　　默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
; w) D6 Z2 S, x　　§c:\改动前RunServices下 , D: Z1 y( y4 X5 v5 l9 i6 I% e- S
　　默认="" 6 `- Q* w0 ~' e7 w9 i/ w$ N
　　§c:\改动后RunServices下 ) M' z) D) `" M/ y) T  f
　　默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
* W0 b3 S+ M0 P# P　　§c:\改动前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： 6 B4 }5 r. i* |
　　默认="Notepad.exe %1"
5 f' C9 W; x5 |　　§c:\改动后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： # i" A; s3 Y0 t1 X
　　默认="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1" ( B& R5 @2 E4 t9 C
9 P' s# k5 S' }  t
可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe，而且冰河服务器端的编制是加密的，没法简单的通过改注册表得到或换掉。另外值得一提的是，即便你删除了这个键值，也并非平安大吉，冰河还会随时出来给你捣乱，主要因为冰河的服务端也会在c:\windows目录下生成一个叫 sysexplr.exe文件，当然这个目录会随你windows的安装目录变化而变化。   U/ M$ O3 r4 c
　
% J- f+ f2 t5 x! \　　“这个文件名好像超级解霸啊，冰河竟然如此狠毒。”
* K2 m' W6 o/ H& H2 ~
; b  d9 }0 G  z　　“哈哈哈哈，你说的很对，也很聪明，这个文件的确很像超级解霸，但是这还是不够称得上为阴险，最为阴险的是这个文件是与文本文件相关联的，只要你打开文本，sysexplr.exe程序就会重新生成一个krnel32.exe，此时你的电脑还是被冰河控制著。而且如果你失误将sysexplr.exe程序破坏，你计算机的文本文件将无法打开。”
( \6 A7 l# O" X! T+ n  S, v
- O/ K) l/ m5 v2 X; g& P　　木马都会很注意自己的端口，多达六万多中的端口很容易让我们迷失其中，如果你留意的话就会发现，通常情况下木马端口一般都在1000以上，并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口，况且用时占用这些端口可能会造成系统不正常，木马也就会很容易暴露；此外使用大的端口也会让你比较难发现隐藏其中的木马，如果使用远程扫描端口的方式查找木马，端口数越大，需要扫描的时间也就越多，故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。

　四
' n0 C) V2 l3 O8 f: l( f! V
' h8 q2 }; U) x/ T* T" U　　“既然木马如此的阴险，那么前辈有何可知木马的方法啊？” 3 U0 e* E7 {" Z, U! @" I- I1 d

5 u1 w" p: X( U7 V7 C7 }3 T　　“现在的木马虽然阴险，但终究逃不过几个道理。平时出名的木马，杀毒软件就多数能够对付。但是现在木马种类繁多，有很多杀毒软件对付不了的。但是，只要我们谨记一下几个方法，就能够手到擒来。” $ {0 D1 g0 _- u
  J* K7 E  r/ u5 }% s
　　“首先，我们可以选择端口扫描来进行判断，因为木马在被植入计算机后会打开计算机的端口，我们可以根据端口列表对计算机的端口进行分析。此外，查看连接也是一种好办法，而且在本地机上通过netstat -a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，而且可以直观地发现与我们计算机连接的有哪些IP地址。当然，如果你对系统很熟悉的话，也可以通过检查注册表来进行木马的杀除，但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法，就拿冰河来说……”
/ v) @  L  B- j+ L
, I8 j' B( g2 u: o4 d1 ?　　“这个我知道前辈，木马冰河的特征文件一定是G_Server.exe。”
" j' D9 r" g$ X6 n$ W: m0 B
% J( @  z$ D* y) f" ?# E　　“那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sysexlpr.exe。”
; [4 V# Z! V) J1 g; v9 g* a- N+ Q  `- ^) T# X3 N; }
　　“太狠毒了，一个跟系统内核文件一样，一个又像超级解霸。那么前辈我们把这两个文件删除掉，这冰河岂不就消失了。” ; o1 m' [" u- c/ D* E
/ n) _# _2 R0 g# h
　　“的确，你要是在DOS模式下删除了他们，冰河就被破坏掉了，但是你的计算机随之会无法打开文本文件，因为你删除的sysexplr.exe文件是和文本文件关联的，你还必须把文本文件跟notepad关联上。修改注册表太危险，你可以在Windows资源管理器中选择查看菜单的文件夹选项，再选择文件类型进行编辑。不过最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文件，再选择打开方式，选中〖始终用该程序打开〗，然后找到notepad一项，选择打开就可以了。”
, i8 s" c3 G& y( @& G
' r* E( G0 t$ t* L3 h$ r  C　　“哈哈，按照前辈这么说来，我们只要抓住了这特征，天下的木马也奈何不了我们了。”