《防治bo黑客软件对策的探讨》由会员分享,可在线阅读,更多相关《防治bo黑客软件对策的探讨(3页珍藏版)》请在金锄头文库上搜索。
1、第14次全国计算从安全苦术交流会弟5y-4全技下1999.7防治BO黑客软件对策的探讨朱巨军卜飞一誉州市公安局摘要:本文通过对BACKORIFICE黑客软件性能的分析,阐述可能带夫的危害性,针对该软件的特性,探讨了防治BO黑客软件管理和技术的对策并提出了一种针对利用RO黑客救件进行肆意破坏的黑客的反侦查技术方案一、BACKORIFICE黑客软件运行机制及可能发生的危害性BACKORIFICE黑客软件是一种针对WIN-DOW59598操作系统,而且以TCPIP协议联网的机器的黑客工具(简称BO)主要由四个义件:BOSFRVE.BOGULBOCLIENT.B0-CONFIG.组成,它是属于客户机服
2、务器应用程序开发者美其名F9WINDOWS远程管理工具”BO可通过网_下载、电子邮件、盗版光盘、人为投放等途经传播,可以直接安装,也口以极其隐蔽地粘贴在其他应川程序中,被间接安装,一L激活,就可以自动安装,创建Windll.DLI文件,然后删除自安装程序,埋名隐性,潜伏在机器中,此时的Windwn9598表面T.看不到仟何变化(这种设计与计算机病毒类似),而实际_黑客工具,的BOSERVE.EXF:服务程序已悄悄地运行,机器17连入基于TCPIP的网络中,如Interne,网络网泊勺任何一台PC机就可以使川BOGLI.图形界而的客户端程序(或者BOCLIENT.文本型客户端程序),对这台被感染
3、BO的机器进行远程控制和操作,它听能达到的功能非常强大和实用甚至于连普通的防火墙和代理服务器也难以有效抵档fil用BO的SWEEP或者PINGIIOST命令可搜寻ail世界上任何一台被以)感染的而月正在士网的计算机的IP地址利用B()系统控制功能可获取洋细的汁算机系统信息,包括当前用户名、CPU内型、Windows版本、存储器使用情况、已安装的磁盘及这些设备的相关信息,获取用户的上网口令、Web和局域网访问n令,以及其操作系统密藏的任何日令利用BO网络控制功能,可攻击与被BO感染计算机联网的其它计算机,也就是说,在局域网叮-甚至在广域网,只要有一台计算机被BO感染,整个网络可能成为被黑客攻击的
4、目标利用BO注册表功能,可查阅、创建、删除和修改系统注册表,利用Netscape浏览器可上载控制程序或下载对方文件,如将拔号控制程序植人被攻击的机器中,甚至用直接拔号方式控制被攻G的机器利用BO过程控制功能,可以运行被攻击的计算机中的任何一个程序,也可运行植人一个程序,如CIII病毒等,这样被控制的机器可能产生的后果不堪设想二、防范BO黑客软件的对策我们己经分析了BO软件的实质及传输的途径,如果我们在管理上切断传输途径,在技术F.,针对BO特性,采取相应措施,就能避免我们的微机被BO感染或者被黑客远程控制,根据我们近几个月的工作实践,我们认为对BO的防治对策,可采取以下一种或多种措施。2.,加
5、强管理工作,是有效防治BO黑客软件的有效方法。2.1.1黑客可以通过局域网中,任何与互联网直接联网,受HO感染S.作站进人局域网、因此要求局域网中的工作站不得作为国际互联网直接上网机2.I一2对局域网和重要系统,应设计防火墙系统才能与国际互联网相连,技术L必须采取相应的安全措施2.1.3各类密码要定期更换,在操作中不能图省事,将密码保留在机器中,BO正是利用Windwos9598操作系统这一特性,获取对方的密码2.1.4加强对重要文件、重要数据的管理工作在上144第14次全国计算机安全学术交流会第5章u今1t.1999.7网机上不放这些内容,如上网机要处理这些数据,应在不上网的时候处理,处理完
6、后及时将数据放在软盘或尤盘等介质中,不允许放在机器硬盘中对拥有重要数据、重要文件机器,应在物理上与国际互联网断开以防内部被人投放BO导致泄密2.1.5建立详细的上网登记,EMAIL收发内容登记,应用软件安装登记等制度配合操作系统、应用软件中的日志登记,如MODEM收发日志登记,叫以让技术人员全面综合分析系统的数据运行情况,以防BO黑客软件的攻击2.1.6定期对机器和系统进行病毒扫描。现在市场上许多反病毒软件都能发现BO软件这是因为BO杭人系统后,会在硬盘上形成一些文件,并修改系统注册表。杀毒盘能发现BO软件这些特征,删除B()相关文件,并将注册表修改到正常状态,这种清理方一法,现在是很成熟的,
7、也是反病毒软件用来清除BO的基本方法但是这种力一法也有其缺陷,因为在4两次检查过程中,我们的系统如果不具备其他保护措施.以)仍有可能植人我们的系统中。我们可以对系统进行频繁扫描L作,如每次下载软件后或较短时问内工作次,但问题在于这些反病毒软件需要人为的启动和运行,需要独占系统资源,这将影响我们正常工作,降低我们的上作效率2.2采取技术措施,切实防范B()黑客软件。12.1利用操作系统多任务、多线程的工作机制,实时地、连续地进行防护12.1.1利用金辰公司KILL98软件。该软件在系统加载时,会自动将实时防BO机制加载到系统中,相当于给操作系统打了一个防RO补丁对系统资源实施全面控制,时刻监护着
8、异常、非法操作的发生当我们收到一份带有BO软件的电子邮件(含在附件中),并准备将附件作“另存”和“执行”处理时,KILL98实时防护墙首先对附件中的数据进行反BO反病毒反黑客处理.确认其中不含有任何病毒和黑客工具代码后,再完成相应的操作反之,则报警。这个过程无需用户千预,如同一只电子警犬,效果良好2.2.1.2利用反特洛伊木马等反黑客程序进行有效防护、BO黑客软件中SERVER部分实际是驻留在用户计算机r.的一种特洛伊木马程序,现在有许多针对各种特洛伊木马的程序,它们运行机制如同KILL98还有种专门iq计为反BO的软件程序BS120.,长度43637字节,安装U后时4I监视机7ei-行_2_
9、2.2手动操作对BO的蛛丝马迹进行全面清除根据美国一家计算机互联网安全公司X一FORCE对”0软件的评定,认为它只是一个“后门程序”(uAcKDO(川)所谓“后门程序”就是指程序隐藏在目标系统中,并允许某些黑客任意l方问汁算机Ij的资源,而小必获得通常人们访问资源所必须拥有的授权或者安全认证由I黑客程序T隐藏在目标系统中,我们可以采取以下方法-2.2.2.1(找WI-NDLL.DLL义件_BOSERVE.被安装后,在WINDOWS的SYSIFAI子目录下有WINDLLDLL文件厂用IXINDOWS9598中启动一寻找、文件或义件夹一键入WINDLL.DLL在硬盘中全面搜寻WINDLL.DU文件
10、一旦发现有WINDLLDILL文件,那么这台机器很有可能被B。感染2.2.2.2对注册丧数据库进行搜移.用WIN-DOWS9598的REGEDIT.释1y.或者其它可打开、编辑注册表数据库的程序查看在WINDOWS9598的注册表中的HKEYI刀CAI卫ACIIINEOFTWARE%MI-CROSOFTWINDOSWSCURRENTVERSIUNRUNRUNONCERUNSERVICESI0中有任何可疑的执行文件、诸如.Ex厂的文件名贬BO配置以后就可能不是此文件名)对应HKEY少SERDEFAUIASObRV.AREtM-CFOSOFLWINDOWSCURRENTVERSIONRUNI,是否
11、有什么司疑的执行文件如果发现这些文件则删除2.2.2.3备份注册表,适时对注册表恢复安装。由于BO可A过各种伪装的途径进八系统,它的安装定要修改注朋表,并且黑客也可通过客户端程序远程修改注册表,因此,用户可在WINDOWS98的MS一DOS下,用(:WINDOWSCOMMANDSC.ANREGRESTORE命令对注册表进行恢复uI采用人为方式保存一些CAB压缩文件、以备恢复使用也可利用ftEGCLEAN等工具软件备份注册表文件.然后,再恢复2.2.2.4以毒攻毒法川BO软件本身进行必要的设置,达到防护的目的_在BO软件中,有一个B000N-FIG.文件,允许在BO服务器安装前.配置一些可选项在
12、DOS状态下输人“BOCONFIG.BOSEIikV.以卜要输入的分别是:了43第14次全闰计算权安全学术交觅会第5章安全技术1999.7(1)在CWINDOWSSYSTEM中的文件名,设rl为缺省值乡在注册表中的名字、i$置为缺省位(孚你想改的端LA号改变缺省值31337为其它值如555端LI确定使用的密码,如1233然后安装BO软件,这样看上去机器被BO感染,但实际上黑客要愁向你窥探因端11和密码对小卜.则小能达到EJ的,对BOSERVE.文件是否设置过,n选用文本编辑软件,如记事板打开BOSERE.显示,如果最后一行为“8888(880348888C8D8I18I8P8T8X88d8h8
13、18那么BO服务器是缺省配置,根据这一特性,我们末区分130服务器是否配M过2-2.2.5端la关闭法BO黑客软件缺省安装后使用31337端G1与外界保持联系。我们知道许多PCPIP程序可以通过INTERNEC启动,这此程序大多是而向客户服务器的程序,当接收到一个连接请求时,池便启动一个服务,与请求客户服务的机器通讯耳个应用程序被赋子一个唯一的地址,这个地址就是端目,如ETP应if程序被绑定(BIND)到21u.TELNET被邺定A23门.而BO的远端控制服务缺省安装被绑定在31337端1-1我们可以使用一此7_具软件直接的关闭313勿端日,就可以防止普通田)的黑客的侵人当味对有门标、人为投入
14、的BO软件,这个方法没J月,因为BO服务器很可能已经被配置过,端臼不是缺省值三、一种基于BO特性的反侦查方案BO是通过31337默认端n来交流和寻找被HO感染的机器BO的客户端和服务之间的通信使用FH户数据包协议(THEUSERDATACR.AMPROTOCOL一LDP).全部的数据发送都是加密的,其加密的方式是先把日令生成两个字ili的码,然后用这个码作为密钥,所有客户清求包的头八个字节都使用相同的字符串“!QWTt.我们打片31337端U,采用一些数据包截取分析解码软件,或者白行编写个程序来监控31337端口,一旦发现有人向该端u发送TCPUDP数据包,我们就截取这些包,根据ISS资料,他们用PENTIUM一133机器,在几秒钟之内,就能截取BO客户端发送的数据包,并破译其密码从数据包中我们可以截取发自何处IP的信息.以便获取准在INTERNET上用BO扫描,对恶意破坏者,我们就可以通过该端口向其发送一些信息,一是便J几现场取证,另一方面也可以反过来,攻击黑客的机器。为了防止其它端tu被BO黑客利用.我们讨可能被设置的端Ll进行动态扫描用UDI,数据包中的前八个字节作为特征串,进行判定是否遭受BO黑客软件的侵袭,一旦发现,立即锁定端C1,并截取这些数据包进行解密分析,然后通过该端口向黑客发送信息,从而达到反侦查的目的746
