本文摘錄自旗標 F038「Windows XP 登錄檔嚴選密技」一書

近來由於 ADSL 十分普及, 加上連線費用都採無限時數上網的月費方式, 因此包括筆者在內, 許多人已經習慣讓電腦持續連線, 保持 Always-online 的狀態。不過此舉卻也增加了電腦被駭客入侵的風險, 而本章的主角『駭客程式』正是不肖之徒的作案工具。

駭客程式運作的原理

駭客程式也稱為後門程式,它通常是由一對 Server 端與 Client 端程式所組成,一般 Server 端會常駐於被害者的電腦提供入侵管道,而 Client 端則負責與 Server 端連絡,也就是駭客實際入侵的工具。這兩者只要缺了一個,駭客們就無法成事。

至於 Server 端程式是如何進入被害人電腦中,想必也令許多曾被駭客入侵的使用者感到莫名奇妙。其實散佈 Server 端的手法,依據駭客本身的功力而有所不同,一般比較常見的有下列 4 種途徑：

◇利用 E-Mail 散佈：將 Server 端程式隱藏於圖片或遊戲程式中,然後利用 E-Mail 附加檔案發送出去,收件者只要開啟圖片或啟動遊戲,後門程式就會開始運作。

◇暗藏於免費軟體供人下載：有些不肖的軟體下載網站,常會將 Server 端程式整合於一些常見、好用的工具程式中 (如：WinZip、Winamp),然後供網友免費下載。使用者只要執行這些動過手腳的程式,連帶就會將後門程式安裝到系統中。

◇透過網頁技術：為方便網站和瀏覽者間的互動, 目前有許多網路技術都可以將資料寫入使用者的電腦中,如：ActiveX、Java 等。一些深諳程式設計的高手,便會利用這種技術來散播server 端程式, 使用者只要瀏覽網頁就會遭殃。

◇使用軟體漏洞：最後一種方式是最難防範的, 就是利用軟體或作業系統先天設計不良所產生的安全性漏洞,來入侵被害者的電腦。有心人士會利用這種漏洞, 誘騙軟體或系統主動執行駭客程式, 便可在使用者電腦安插隱秘的後門, 以供日後入侵之用。此種散佈管道唯一的防範方法, 就是隨時注意軟體設計公司是否有釋出修補程式, 並確實依照說明將修補程式安裝到電腦上,以防堵無孔不入的駭客。

駭客程式常駐足的機碼

看到這裡您可能還是一頭霧水, 『駭客入侵和登錄檔有什麼關係？』

前面說過, Server 端與 Client 端兩者都是駭客入侵必備的工具, 不過即使駭客想盡辦法將 Server 端程式植入被害者的電腦中, 如果 Server 端程式未被執行, 整個入侵行動還是無法進行。那要如何確保 Server 端在植入電腦後會被執行, 甚至在重新開機後也繼續運作？答案就是利用登錄檔。

一般電腦在開機之時, 有不少程式會自行啟動, 甚至常駐於系統中, 這都是系統根據登錄檔中的內容來執行的結果。而駭客們只要將後門程式偷偷加入這個啟動清單中, 日後 Server 端程式就會不斷在被害人的電腦中反覆執行。

駭客程式最常駐足的登錄檔機碼多半都是位於 " HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼
CurrentVersion" 或 " HKEY_LOCAL_MACHINE＼SOFTWARE
＼Microsoft＼Windows＼CurrentVersion" 兩個機碼之下, 詳細的位置如下表所示：

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run

雖然目前網路上有流傳不少清除後門程式的工具軟體 (如：Trojan Remover、Iparmor ), 都可以有效對付這些不速之客。不過一般人往往是等到電腦被明顯破壞、或是資料遺失了, 才會發覺電腦被入侵, 然後才思考補救之道。

其實如果平時能多留意上述說明的這些機碼位置, 看看系統中是否有莫名的程式會在開機之時自行啟動；如果查覺到不對勁, 可以先移除可疑的登錄值, 或是利用一些工具清除駭客程式, 就可收到防患未然的效果。

NetSpy 程式的清除實例

接著我們便以一個網路上知名的駭客程式 － NetSpy 為例, 說明如何靠著查找登錄檔, 找出駭客作亂的根源,並進一步將之清除殆盡。

NetSpy 是由大陸玩家所設計的程式, 它的操作簡單、功能單純, 即使不具網路基本概念也能輕鬆使用, 因此深受不少功力不深的駭客玩家們喜愛。目前該軟體雖然已經逐漸轉型為正當的遠端監控程式, 但是舊版程式在網路上仍廣被流傳。

由於 NetSpy 檔案小、佔用的系統資源也不高, 即使電腦不幸被植入 Server 端程式, 一般人往往也無法察覺。不過和其他駭客程式相同, NetSpy 也會在登錄檔中寫入登錄值, 以確保被害人每次開機時 Server 端程式都會運作, 因此您只要一一清查前面提及駭客程式時常駐足的機碼, 很容易就可以把它揪出來：

1. 執行「Regedit」

2. 假設在" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Winodws\CurrentVersion\Run "機碼下發現 " Netspy "。

3. 選取" Netspy "按" Delete "鍵將其刪除。

PS.提醒您，不要任意更改其他的機碼，以免造成系統毀損如果在機碼中找不到 Netspy 表示電腦中沒有被此駭客程式入侵。

詳細的操作畫面請參考：F038 Windows XP 登錄檔嚴選密技

5. 重新開機後，執行「開始 / 搜尋」找出" NetSpy.exe "後，將其刪除即可。

刪除 NetSpy 的 Server 端程式後, 駭客就無法再輕易入侵您的電腦, 為求慎重起見, 您也可以再以 Trojan Remover 等後門程式清除工具, 徹底清查系統上是否還有其他可疑的程式在活動。