几种典型的木马 BO( Back orifice后门):由旧金山的黑客组 织 Cult of dead cow开发。对微软的讽刺 组成: Boconfig. exe, Boserve. exe, Boclient Bogue. exe, freeze.ee压缩 Melt. exe解压。 功能:搜集信息,执行系统命令,重新设置 系统,重定向网络的CS的应用程序。 破坏作用:泄露目标机上的口令,磁盘信息, 文件信息,传输文件,修改注册表,删改 文件,捕捉屏幕信息,锁死机器
11 几种典型的木马 ◼ BO(Back Orifice后门):由旧金山的黑客组 织Cult of Dead Cow开发。对微软的讽刺。 组成:Boconfig.exe,Boserve.exe,Boclient, Bogui.exe, freeze.exe压缩,Melt.exe解压。 功能:搜集信息,执行系统命令,重新设置 系统,重定向网络的C/S的应用程序。 破坏作用:泄露目标机上的口令,磁盘信息, 文件信息,传输文件,修改注册表,删改 文件,捕捉屏幕信息,锁死机器
几种典型的木马 Bo的手工清除: regedit HKEY_LOCAL_MACHINE SoftWare \Microsoft Windows CurrentVersion\ Runservices →>删除键值为“ee”的项目→退出 regedit,删 除 Windows ( System下的“eXe”→机器重启。 如果BO服务器已经由 Boconfig. exe重新配置,则 BO服务器可能已不再是“空格eXe”,并产生文件 WINDLL DLL
12 几种典型的木马 BO的手工清除: regedit → HKEY_LOCAL_MACHINE\SoftWare \Microsoft\Windows\CurrentVersion\Runservices →删除键值为“ .exe”的项目→退出regedit ,删 除Windows\System下的“ .exe”→机器重启。 如果BO服务器已经由Boconfig.exe重新配置,则 BO服务器可能已不再是“空格.exe” ,并产生文件 WINDLL.DLL
五、特洛伊木马 冰河的客户端界面 冷冰河v22[ DARKSUN-专版 文件编辑[E设置[]帮助 跑跑马里望身黑省台 当前连接: Localhost 端口:F88访问口令: 应用[s] 国文件管理器|命令控制台 中易我的电脑 文件名称 文件大小字节)最后更新时间 Localhost 主机 ' LocalHost已确定 文件管理器:有关文件的操作 命令控制台:向目标计算机发送命令。 13
13 冰河的客户端界面 五、特洛伊木马 文件管理器:有关文件的操作 命令控制台:向目标计算机发送命令
五、特洛伊木马 冰河的主要功能 冰河是国产的远程监控软件,可以运行在 Windows环境 下。功能可以与木马BO2000相媲美。 1.自动跟踪目标机屏幕变化,同时可完全模拟键盘及 鼠标输入,即在同步被控端屏幕变化的同时,监控端的 切键盘及鼠标操作将反映在被控端屏幕(局域网适用 记录各种口令信息:包括开机口令、屏保口令、各 种共享资源口令及绝大多数在对话框中出现过的口令信 息,且1.2以上的版本中允许用户对该功能自行扩充, 2.0以上版本还同时提供了击键记录功能;
14 冰河的主要功能 五、特洛伊木马 冰河是国产的远程监控软件,可以运行在Windows环境 下。功能可以与木马BO2000相媲美。 1.自动跟踪目标机屏幕变化,同时可完全模拟键盘及 鼠标输入,即在同步被控端屏幕变化的同时,监控端的 一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2.记录各种口令信息:包括开机口令、屏保口令、各 种共享资源口令及绝大多数在对话框中出现过的口令信 息,且1.2以上的版本中允许用户对该功能自行扩充, 2.0以上版本还同时提供了击键记录功能;
五、特洛伊木马 3.获取系统信息:包括计算机名、注册公司、当前 用户、系统路径、操作系统版本、当前显示分辨率 物理及逻辑磁盘信息等多项系统数据 4.限制系统功能:包括远程关机、远程重启计算机 锁定鼠标、锁定系统热键及锁定注册表等多项功能限 制 5.远程文件操作:包括创建、上传、下载、复制、 删除文件或目录、文件压缩、快速浏览文本文件、远 程打开文件(提供了四中不同的打开方式——正常方 式、最大化、最小化和隐藏方式)等多项文件操作功 能
15 五、特洛伊木马 3.获取系统信息:包括计算机名、注册公司、当前 用户、系统路径、操作系统版本、当前显示分辨率、 物理及逻辑磁盘信息等多项系统数据; 4.限制系统功能:包括远程关机、远程重启计算机、 锁定鼠标、锁定系统热键及锁定注册表等多项功能限 制; 5.远程文件操作:包括创建、上传、下载、复制、 删除文件或目录、文件压缩、快速浏览文本文件、远 程打开文件(提供了四中不同的打开方式——正常方 式、最大化、最小化和隐藏方式)等多项文件操作功 能;