黑客常用兵器之木馬篇（上）

“我知道遠程控制是種武器，在十八般兵器中名列第七，木馬呢?” 
　　“木馬也是種武器，也是遠程控制。” 
　　“既然是遠程控制，為什么要叫做木馬？” 
　　“因為這個遠程控制，無論控制了什么都會造成離別。如果它鉤住你的E-Mail，你的E-Mail就要和你離別；如果它鉤住你的QQ，你的QQ就要和你離別。” 
　　“如果它鉤住我的機器，我就和整個網絡離別了?” 
　　“是的。” 
　　“你為什么要用如此殘酷的武器?” 
　　“因為我不愿被人強迫與我所愛的人離別。” 
　　“我明白你的意思了。” 
　　“你真的明白?” 
　　“你用木馬，只不過為了要相聚。” 
　　“是的。” 

　　一 

　　在眾多的黑客武器中特洛伊木馬（Trojan horse）這種攻擊性武器無論是菜鳥級的黑客愛好，還時研究網絡安全的高手，都視為最愛。雖然有的時候高手將木馬視為卑鄙的手段。但是作為最為有效的攻擊工具，木馬的威力要比其他的黑客工具大得多。 

　　“木馬既然如此有效，為何在Hacker兵器譜中排名靠后？” 

　　“因為使用木馬往往不是很光明正大。” 

　　“哦？為何？” 

　　“在使用木馬的人群中菜鳥黑客居多，他們往往接觸網絡不久，對黑客技術很感興趣，很想向眾人和朋友顯示一番，但是去駕馭技術不高，不能采取別的方法攻擊。于是木馬這種半自動的傻瓜式且非常有效的攻擊軟件成為了他們的最愛。而且隨著國產化的木馬不斷的出現，多數黑客的入門攻擊幾乎無一例外都是使用木馬。當然對于那些黑客老手來說他們也并不是不使用木馬了，他們通常會在得到一個服務器權限的時候植入自己編寫的木馬，以便將來隨時方便進出這臺服務器。” 

　　“但如此一來木馬的名聲不就隨之降低了嗎？” 

　　“是的，所以現在的黑客高手都恥于用木馬，更恥于黑個人的計算機。” 

　　“不過木馬在很多人的眼中仍然是一等一的絕好兵器。” 
在眾多的木馬之中Cult of Dead Cow開發的Back Orific2000應該算是名氣比較大的一個。這款軟件是在Back Orific2.1的基礎之上開發的，但是他最大的改動就是增加了對Windows NT服務器系列的支持。作為微軟的高端產品，BO2000的這個功能無疑對Windows NT來說是致命的，就Windows NT本身而言，由于硬盤采取了NTSF的加密，普通的木馬，包括冰河也無法控制，當然要想要讓多數木馬無法對Windows NT發揮作用最好將Windows NT轉化為NTSF的格式下才會比較好用一些。 

　　而正因為如此BO2000才深得黑客高手的喜愛，因為他們感興趣的也只有服務器，也只有Web Server才能夠提起他們的胃口，那是一種來自深層感官的刺激。 

　　通常情況下木馬大致可分為兩個部分：服務器端程序和客戶端程序。服務器端通常就是被控制端，也是我們傳統概念上的木馬了。 

　　二 

　　“你說BO2000好，但是絕大多數的殺毒招數都能夠溝將其制服，而且我感覺他在使用上不如我手里的冰河銳利，況且我也不想黑什么服務器。我認為，個人電腦中隱藏有更大的寶藏，而且個人電腦脆弱的我能夠利用任何一種方法摧毀它。 

　　“你說的很對，冰河確實銳利，而且稱霸中華江湖一年之久，也可謂武林中少見的好兵刃，但是兵器雖然鋒利，但兵器在打造的時候卻留下來一個致命的缺點，這也是木馬冰河為何在武林衰敗的原因。” 

　　“這是一個什么樣的弱點那？竟然如此致命？” 

　　“呵呵，說白了也很簡單，冰河的作者在打造冰河2.X版本時就給它留下了一個后門，這個后門其實就是一個萬能密碼，只要擁有此密碼，即便你中的冰河加了密碼保護，到時候仍然行同虛設。” 

　　“什么！真有此事？想我許多朋友還因為冰河好用把它當作了一個免費的遠程控制程序來用，如此這般，他們的機子豈不暴露無遺？” 

　　“呵呵，在黑客中瞞天過海、借花獻佛這些陰險的招數都不算什么，多數木馬軟件的作者為了擴大自己的勢力范圍和爭取主動權都會留一手，致命的一招。冰河的作者當然也不例外，而且由于作者鐘愛許美靜，所以每一個冰河中都包含許美靜的歌詞。當然作者為自己以后行事方便也留了幾個萬能密碼。” 

　　“噢？萬能密碼？” 

　　“通常黑客在植入冰河這種木馬的時候，為了維護自己的領地通常的要為自己的獵物加一個密碼，只有輸入正確的密碼你才能夠正常的控制對方的計算機，但是冰河的打造者為了方便自己的使用在冰河中加入了一個萬能的密碼，就像萬能鑰匙一樣。冰河各版本的通用密碼： 

　　2.2版：Can you speak Chinese? 
　　2.2版：05181977 
　　3.0版：yzkzero! 
　　4.0版：05181977 
　　3.0版：yzkzero.51.net 
　　3.0版：yzkzero! 
　　3.1-netbug版密碼: 123456!@ 
　　2.2殺手專版：05181977 
　　2.2殺手專版：dzq20000! 

你可以試試看，是不是很輕松的就能夠進入任何一臺有冰河服務器端的電腦？” 

　　“真的進入了，果然有此事情，怪不得現在很多人都不再使用冰河。” 

　　“此外冰河還存在著兩個嚴重的漏洞： 

　　漏洞一：不需要密碼遠程運行本地文件漏洞。 

　　具體的操作方法如下：我們選擇使用相應的冰河客戶端，2.2版以上服務端用2.2版客戶端，1.2版服務端需要使用1.2版客戶端控制。打開客戶端程序G_Client，進入文件管理器，展開“我的電腦”選中任一個本地文件按右鍵彈出選擇菜單，選擇“遠程打開”這時會報告口令錯誤，但是文件一樣能上傳并運行。 

　　任何人都可以利用這個漏洞上傳一個冰河服務端就可以輕松獲得機器的生死權限了，如果你高興的話，還可以上傳病毒和其它的木馬。 

　　漏洞二：不需要密碼就能用發送信息命令發送信息，不是用冰河信使，而是用控制類命令的發發送信息命令。” 

　　“當然這的確是一個原因，但更主要的是現在的多數殺毒軟件都能克制冰河。” 

　　三 

　　木馬通常會在三個地方做手腳：注冊表、win.ini、system.ini。這三個文件都是電腦啟動的時候需要加載到系統的重要文件，絕大部分木馬使用這三種方式進行隨機啟動。當然也有利用捆綁軟件方式啟動的木馬，木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標電腦上，可以捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。如果木馬捆綁到一般的程序上，啟動是不確定的，這要看目標電腦主人了，如果他不運行，木馬就不會進入內存。捆綁方式是一種手動的安裝方式，一般捆綁的是非自動方式啟動的木馬。非捆綁方式的木馬因為會在注冊表等位置留下痕跡，所以，很容易被發現，而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等，位置的多變使木馬有很強的隱蔽性。 

　　“在眾多木馬中，大多數都會將自己隱藏在Windows系統下面，通常為C:\Windows\目錄或者C:\Windows\system\與C:\Windows\system32下隱藏。” 

　　“眾多的目錄中為何選擇這兩個目錄？” 

　　“呵呵，當然是為了便于隱蔽。通常這幾個目錄為計算機的系統目錄，其中的文件數量多而繁雜，很不容易辨別哪些是良性程序哪些是惡性程序，即便高手往往也會有失誤刪除的情況。而且，即便放置在系統目錄下，就多數為重要的文件，這些文件的誤刪除往往會直接導致系統嚴重的癱瘓。” 

　　“原來如此。” 

　　“前輩，木馬冰河是否也做了這些手腳？” 

　　“這是自然，木馬一旦被植入目標計算機中要做的最重要的事就是如何在每次用戶啟動時自動裝載服務端。冰河也是如此了。首先，冰河會在你的注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 鍵值中加上了\kernl32.exe(是系統目錄)， 

　　§c:\改動前的RUN下 
　　默認="" 
　　§c:\改動后的RUN下 
　　默認="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" 
　　§c:\改動前RunServices下 
　　默認="" 
　　§c:\改動后RunServices下 
　　默認="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" 
　　§c:\改動前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： 
　　默認="Notepad.exe %1" 
　　§c:\改動后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： 
　　默認="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1" 

可以看出之所以冰河可以自我恢復主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe，而且冰河服務器端的編制是加密的，沒法簡單的通過改注冊表得到或換掉。另外值得一提的是，即便你刪除了這個鍵值，也并非平安大吉，冰河還會隨時出來給你搗亂，主要因為冰河的服務端也會在c:\windows目錄下生成一個叫 sysexplr.exe文件，當然這個目錄會隨你windows的安裝目錄變化而變化。