這篇文章是我試驗的結(jié)果,在那個時候BO很厲害,但是對中國人寫的NetSpy卻很少有人知道。也是icech在1999年的作品。
網(wǎng)絡(luò)“間諜”NetSpy
(發(fā)表在1999.4.27電腦商情報第74版)
在黑客軟件猖獗泛濫的現(xiàn)在,特洛依木馬程序花樣眾多、層出不窮。象大名鼎鼎的BO12、Netbus、Backdoor等等,知己知彼才能百戰(zhàn)不殆!首先,我們要了解它的功能和用法。下面我來介紹一下“網(wǎng)絡(luò)間諜”Netspy。
NetSpy是一個基于TCP/IP的簡單文件傳送軟件,實際上就是一個沒有權(quán)限控制的增強型FTP服務(wù)器。通過NetSpy,黑客可以自由地、神不知鬼不覺地下載和上載目標機器上的任意文件(其實做局域網(wǎng)的FTP工具還是很好的)。并可以執(zhí)行一些特殊的操作。
黑客要想自由存取別的計算機上的軟件,必須先在目標計算機上安裝NetSpy的服務(wù)器,安裝過程很簡單,只要在目標計算機上運行一次NetSpy.exe就行了(這有點象黑客軟件Back Orifice v1.2首先要運行的程序Boserve.exe),NetSpy會自動注冊到系統(tǒng)里,并在以后開機時自動執(zhí)行,這時黑客就取得了目標計算機的最高權(quán)限。安裝完畢后,就可以通過網(wǎng)絡(luò)存取此計算機的資源了。這時,只要在別的計算機上執(zhí)行netmonitor.exe(如圖一:netspy01.jpg),在菜單里選擇添加計算機,輸入目標計算機的IP地址或域名地址,就可以連接到目標計算機上進行操作了。除了普通的文件操作(如新建文件夾、刪除文件、上載和下載文件)外,NetSpy還可以執(zhí)行一些特殊的操作,如關(guān)閉目標計算機,給目標計算機發(fā)信息,以及在目標計算機上執(zhí)行程序等。需要指出的是,當(dāng)執(zhí)行目標計算機上的文件時,并不限于.EXE可執(zhí)行文件,對于WORD文檔等已經(jīng)在系統(tǒng)內(nèi)注冊過的文件類型,也可以執(zhí)行,其效果和直接在目標計算機上用鼠標雙擊此文件一樣。
針對NetSpy,作者還對它的功能作了進一步擴充,目前已經(jīng)完成的有:
1.Process Spy :可以觀察目標計算機上的所有進程,并能夠選擇一些進程關(guān)閉。
使用方法:用netmonitor.exe將procspy.exe上傳到目標計算機,然后執(zhí)行。在主機運行promon.exe程序,你就可以在對話框里看到目標計算機正在運行的程序進程。(如圖二:netspy02.jpg)
2.Screen Spy: 可以通過瀏覽器觀察目標計算機屏幕圖形。
使用方法與Process Spy類似,把xspy.exe上傳到目標計算機。在主機上打開瀏覽器,輸入URL地址:http://xxx.xxx.xxx.xx:7308(輸入的為目標計算機的IP地址),端口值為7308。這樣在瀏覽器上通過不斷刷新就能觀察到目標計算機屏幕圖形。
現(xiàn)在很多殺毒軟件都在大殺特殺BO、NETBUS、HAPPY99這類臭名卓著的黑客軟件,卻沒注意到Netspy,本文是為了使網(wǎng)友們提高一下警覺性,因為Netspy是一個操作簡單,更重要的是--它是我所見到的唯一一個中文黑客軟件,任何一個能上網(wǎng)的人都能通過Netspy來控制你的計算機,雖然它的功能沒有BO或NETBUS那么強大,但作為一種特洛依木馬程序的一種,還是值得我們注意的!那么如何防止特洛依木馬的危害呢?首先,就是不要輕易運行不明程序,以免引火上身。但是如果被黑客在計算機里種了“蠱”該怎么辦呢?Netspy.exe不會象BO那樣智能,運行后可以自動分解,你可以在windows/system的目錄下找到它。當(dāng)你要刪除它時,它會告訴你系統(tǒng)正在使用,不能被刪除。那么,你應(yīng)該運行regedit.exe,然后查找netspy,在注冊表里將它刪除,然后重新啟動計算機之后千萬不要忘了改計算機的密碼呦!
|
