❶ 黑客侵入某個部門的電腦系統是不是一定得通過互聯網
你在網路上沖浪,別人和你聊天,你發電子郵件,必須要有共同的協議,這個協議就是TCP/IP協議,任何網路軟體的通訊都基於TCP/IP協議。如果把互聯網比作公路網,電腦就是路邊的房屋,房屋要有門你才可以進出,TCP/IP協議規定,電腦可以有256乘以256扇門,即從0到65535號「門」,TCP/IP協議把它叫作「埠」。當你發電子郵件的時候,E-mail軟體把信件送到了郵件伺服器的25號埠,當你收信的時候,E-mail軟體是從郵件伺服器的110號埠這扇門進去取信的,你現在看到的我寫的東西,是進入伺服器的80埠。新安裝好的個人電腦打開的埠號是139埠,你上網的時候,就是通過這個埠與外界聯系的。黑客不是神仙,他也是通過埠進入你的電腦.
黑客是怎麼樣進入你的電腦的呢?當然也是基於TCP/IP協議通過某個埠進入你的個人電腦的。如果你的電腦設置了共享目錄,那麼黑客就可以通過139埠進入你的電腦,注意!WINDOWS有個缺陷,就算你的共享目錄設置了多少長的密碼,幾秒鍾時間就可以進入你的電腦,所以,你最好不要設置共享目錄,不允許別人瀏覽你的電腦上的資料。除了139埠以外,如果沒有別的埠是開放的,黑客就不能入侵你的個人電腦。那麼黑客是怎麼樣才會進到你的電腦中來的呢?答案是通過特洛伊木馬進入你的電腦。如果你不小心運行了特洛伊木馬,你的電腦的某個埠就會開放,黑客就通過這個埠進入你的電腦。舉個例子,有一種典型的木馬軟體,叫做netspy.exe。如果你不小心運行了netspy.exe,那麼它就會告訴WINDOWS,以後每次開電腦的時候都要運行它,然後,netspy.exe又在你的電腦上開了一扇「門」,「門」的編號是7306埠,如果黑客知道你的7306埠是開放的話,就可以用軟體偷偷進入到你的電腦中來了。特洛伊木馬本身就是為了入侵個人電腦而做的,藏在電腦中和工作的時候是很隱蔽的,它的運行和黑客的入侵,不會在電腦的屏幕上顯示出任何痕跡。WINDOWS本身沒有監視網路的軟體,所以不藉助軟體,是不知道特洛伊木馬的存在和黑客的入侵。接下來,rylxk11就讓你利用軟體如何發現自己電腦中的木馬
再以netspy.exe為例,現在知道netspy.exe打開了電腦的7306埠,要想知道自己的電腦是不是中netspy.exe,只要敲敲7306這扇「門」就可以了。你先打開C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然後打開瀏覽器,在瀏覽器的地址欄中輸入 http://10.10.10.10:7306/,如果瀏覽器告訴你連接不上,說明你的電腦的7306埠沒有開放,如果瀏覽器能連接上,並且在瀏覽器中跳出一排英文字,說的netspy.exe的版本,那麼你的電腦中了netspy.exe木馬了。這是最簡單最直接的辦法,但是需要你知道各種木馬所開放的埠,rylxk11已知下列埠是木馬開放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木馬埠,也還是不能完全防範這些木馬的,我們需要進一步查找木馬.
rylxk11曾經做了一個試驗:我知道netspy.exe開放的是7306埠,於是我用工具把它的埠修改了,經過修改的木馬開放的是7777埠了,你現在再用老辦法是找不到netspy.exe木馬了。於是我們可以用掃描自己的電腦的辦法看看電腦有多少埠開放著,並且再分析這些開放的埠.
前面講了電腦的埠是從0到65535為止,其中139埠是正常的,首顯灰個埠掃描器,rylxk11推薦「代理獵手」,你上網以後,找到自己的IP地址,現在請關閉正在運行的網路軟體,因為可能開放的埠會被誤認為是木馬的埠,然後讓代理獵手對0到65535埠掃描,如果除了139埠以外還有其他的埠開放,那麼很可能是木馬造成的。
排除了139埠以外的埠,你可以進一步分析了,用瀏覽器進入這個埠看看,它會做出什麼樣的反映,你可以根據情況再判斷了。
掃描這么多埠是不是很累,需要半個多小時傻等了,現在好了Tcpview.exe可以看電腦有什麼埠是開放的,除了139埠以外,還有別的埠開放,你就可以分析了,如果判定自己的電腦中了木馬,那麼,你就得----在硬碟上刪除木馬
最簡單的辦法當然是用殺毒軟體刪除木馬了,Netvrv病毒防護牆可以幫你刪除netspy.exe和bo.exe木馬,但是不能刪除netbus木馬。
下面就netbus木馬為例講講刪除的經過.
簡單介紹一下netbus木馬,netbus木馬的客戶端有兩種,開放的都是12345埠,一種以Mring.exe為代表(472,576位元組),一種以SysEdit.exe為代表(494,592位元組)。
Mring.exe一旦被運行以後,Mring.exe就告訴WINDOWS,每次啟動就將它運行,WINDOWS將它放在了注冊表中,你可以打開C:WINDOWSREGEDIT.EXE進入HKEY_LOCAL_找到Mring.exe然後刪除這個健值,你再到WINDOWS中找到Mring.exe刪除。注意了,Mring.exe可能會被黑客改變名字,位元組長度也被改變了,但是在注冊表中的位置不會改變,你可以到注冊表的這個位置去找。
另外,你可以找包含有「netbus」字元的可執行文件,再看位元組的長度,我查過了,WINDOWS和其他的一些應用軟體沒有包含「netbus」字元的,被你找到的文件多半就是Mring.exe的變種。
SysEdit.exe被運行以後,並不加到WINDOWS的注冊表中,也不會自動掛到其他程序中,於是有人認為這是傻瓜木馬,rylxk11倒認為這是最最可惡、最最陰險的木馬。別的木馬被加到了注冊表中,你就有痕跡可查了,就連專家們認為最最凶惡的BO木馬也可以輕而易舉地被我們從注冊表中刪除。
而SysEdit.exe要是掛在其他的軟體中,只要你不碰這個軟體,SysEdit.exe也就不發作,一旦運行了被安裝SysEdit.exe的程序,SysEdit.exe也同時啟動了。rylxk11在自己的電腦中做了這樣一個實驗,將SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆綁起來,Abcwin.exe是智能ABC輸入法,當我開啟電腦到上網,只要沒有打開智能ABC輸入法打字聊天,SysEdit.exe也就沒有被運行,你就不能進入我的12345埠,如果我什麼時候想打字了,一旦啟動智能ABC輸入法(Abcwin.exe),那麼捆綁在Abcwin.exe上的SysEdit.exe也同時被運行了,我的12345埠被打開,別人就可以黑到我的電腦中來了。同樣道理,SysEdit.exe可以被捆綁到網路傳呼機、信箱工具等網路工具上,甚至可以捆綁到撥號工具上,電腦中的幾百的程序中,你知道會在什麼地方發現它嗎?所以我說這是最最陰險的木馬,讓人防不勝防。
有的時候知道自己中了netbus木馬,特別是SysEdit.exe,能發現12345埠被開放,並且可以用netbus客戶端軟體進入自己的電腦,卻不知道木馬在什麼地方。這時候,你可以檢視內存,請打開C:WINDOWSDRWATSON.EXE,然後對內存拍照,查看「高級視圖」中的「任務」標簽,「程序」欄中列出的就是正在運行的程序,要是發現可疑的程序,再看「路徑」欄,找到這個程序,分析它,你就知道是不是木馬了。SysEdit.exe雖然可以隱藏在其他的程序後面,但C:WINDOWSDRWATSON.EXE中還是暴露了。
好了,來回顧一下,要知道自己的電腦中有沒有木馬,只要看看有沒有可疑埠被開放,用代理獵手、Tcpview.exe都可以知道。要查找木馬,一是可以到注冊表的指定位置去找,二是可以查找包含相應的可執行程序,比如,被開放的埠是7306,就找包含「netspy」的可執行程序,三是檢視內存,看有沒有可以的程序在內存中.
你的電腦上的木馬,來源有兩種,一種是你自己不小心,運行了包含有木馬的程序,另一種情況是,「網友」送給你「好玩」的程序。所以,你以後要小心了,要弄清楚了是什麼程序再運行,安裝容易排除難呀。?nbsp;
排除了木馬以後,你就可以監視埠,悄悄等待黑客的來臨
介紹兩個軟體,首先是NukeNabber,它是埠監視器,你告訴NukeNabber需要監視7306埠,如果有人接觸這個埠,就馬上報警。在別人看來,你的電腦的7306埠是開放的,但是7306不是由netspy控制了,當NukeNabber發現有人接觸7306埠或者試圖進入你的7306埠,馬上報警,你可以在NukeNabber上面看到黑客對你做了些什麼,黑客的IP地址是哪裡,然後,你就可以反過來攻擊黑客了。當NukeNabber監視139的時候,你就可以知道誰在用IP炸彈炸你。另外提一下,如果NukeNabber告訴你不能監視7306埠,說這個埠已經被佔用了,那麼說明你的電腦中存在netspy了。第二個軟體就是Tcpview.exe,這個軟體是線程監視器,你可以用它來查看有多少埠是開放的,誰在和你通訊,對方的IP地址和埠分別是什麼。
最後,注意計算機的異常變化。當你正在聊天的時候,突然滑鼠不聽你指揮了,或者計算機突然重新啟動了,又或者突然出現一個新的窗口等,這些跡象表明你使用的計算機遭到了別人的控制。最好的防範辦法,是下載天網個人防火牆,切斷與網路的連接,天網同時也會自動記錄下入侵者的IP。