 |
 |
spc4956
青銅驢友
. 積分: 272
. 文章: 209
. 收花: 2611 支
. 送花: 0 支
. 比例: 0
. 在線: 277 小時
. 瀏覽: 2050 頁
. 註冊: 6759 天
. 失蹤: 860 天
|
|
|
 |
|
 |
|
| #1 : 2009-3-6 10:22 PM
只看本作者
|
 送花
(0)
 送出中...
|
|
|
本文摘錄自旗標 F038「Windows XP 登錄檔嚴選密技」一書
近來由於 ADSL 十分普及, 加上連線費用都採無限時數上網的月費方式, 因此包括筆者在內, 許多人已經習慣讓電腦持續連線, 保持 Always-online 的狀態。不過此舉卻也增加了電腦被駭客入侵的風險, 而本章的主角『駭客程式』正是不肖之徒的作案工具。
駭客程式運作的原理
駭客程式也稱為後門程式,它通常是由一對 Server 端與 Client 端程式所組成,一般 Server 端會常駐於被害者的電腦提供入侵管道,而 Client 端則負責與 Server 端連絡,也就是駭客實際入侵的工具。這兩者只要缺了一個,駭客們就無法成事。
至於 Server 端程式是如何進入被害人電腦中,想必也令許多曾被駭客入侵的使用者感到莫名奇妙。其實散佈 Server 端的手法,依據駭客本身的功力而有所不同,一般比較常見的有下列 4 種途徑:
◇利用 E-Mail 散佈:將 Server 端程式隱藏於圖片或遊戲程式中,然後利用 E-Mail 附加檔案發送出去,收件者只要開啟圖片或啟動遊戲,後門程式就會開始運作。
◇暗藏於免費軟體供人下載:有些不肖的軟體下載網站,常會將 Server 端程式整合於一些常見、好用的工具程式中 (如:WinZip、Winamp),然後供網友免費下載。使用者只要執行這些動過手腳的程式,連帶就會將後門程式安裝到系統中。
◇透過網頁技術:為方便網站和瀏覽者間的互動, 目前有許多網路技術都可以將資料寫入使用者的電腦中,如:ActiveX、Java 等。一些深諳程式設計的高手,便會利用這種技術來散播server 端程式, 使用者只要瀏覽網頁就會遭殃。
◇使用軟體漏洞:最後一種方式是最難防範的, 就是利用軟體或作業系統先天設計不良所產生的安全性漏洞,來入侵被害者的電腦。有心人士會利用這種漏洞, 誘騙軟體或系統主動執行駭客程式, 便可在使用者電腦安插隱秘的後門, 以供日後入侵之用。此種散佈管道唯一的防範方法, 就是隨時注意軟體設計公司是否有釋出修補程式, 並確實依照說明將修補程式安裝到電腦上,以防堵無孔不入的駭客。
駭客程式常駐足的機碼
看到這裡您可能還是一頭霧水, 『駭客入侵和登錄檔有什麼關係?』
前面說過, Server 端與 Client 端兩者都是駭客入侵必備的工具, 不過即使駭客想盡辦法將 Server 端程式植入被害者的電腦中, 如果 Server 端程式未被執行, 整個入侵行動還是無法進行。那要如何確保 Server 端在植入電腦後會被執行, 甚至在重新開機後也繼續運作?答案就是利用登錄檔。
一般電腦在開機之時, 有不少程式會自行啟動, 甚至常駐於系統中, 這都是系統根據登錄檔中的內容來執行的結果。而駭客們只要將後門程式偷偷加入這個啟動清單中, 日後 Server 端程式就會不斷在被害人的電腦中反覆執行。
駭客程式最常駐足的登錄檔機碼多半都是位於 " HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion" 或 " HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion" 兩個機碼之下, 詳細的位置如下表所示:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
雖然目前網路上有流傳不少清除後門程式的工具軟體 (如:Trojan Remover、Iparmor ), 都可以有效對付這些不速之客。不過一般人往往是等到電腦被明顯破壞、或是資料遺失了, 才會發覺電腦被入侵, 然後才思考補救之道。
其實如果平時能多留意上述說明的這些機碼位置, 看看系統中是否有莫名的程式會在開機之時自行啟動;如果查覺到不對勁, 可以先移除可疑的登錄值, 或是利用一些工具清除駭客程式, 就可收到防患未然的效果。
NetSpy 程式的清除實例
接著我們便以一個網路上知名的駭客程式 - NetSpy 為例, 說明如何靠著查找登錄檔, 找出駭客作亂的根源,並進一步將之清除殆盡。
NetSpy 是由大陸玩家所設計的程式, 它的操作簡單、功能單純, 即使不具網路基本概念也能輕鬆使用, 因此深受不少功力不深的駭客玩家們喜愛。目前該軟體雖然已經逐漸轉型為正當的遠端監控程式, 但是舊版程式在網路上仍廣被流傳。
由於 NetSpy 檔案小、佔用的系統資源也不高, 即使電腦不幸被植入 Server 端程式, 一般人往往也無法察覺。不過和其他駭客程式相同, NetSpy 也會在登錄檔中寫入登錄值, 以確保被害人每次開機時 Server 端程式都會運作, 因此您只要一一清查前面提及駭客程式時常駐足的機碼, 很容易就可以把它揪出來:
1. 執行「Regedit」
2. 假設在" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Winodws\CurrentVersion\Run "機碼下發現 " Netspy "。
3. 選取" Netspy "按" Delete "鍵將其刪除。
PS.提醒您,不要任意更改其他的機碼,以免造成系統毀損如果在機碼中找不到 Netspy 表示電腦中沒有被此駭客程式入侵。
詳細的操作畫面請參考:F038 Windows XP 登錄檔嚴選密技
5. 重新開機後,執行「開始 / 搜尋」找出" NetSpy.exe "後,將其刪除即可。
刪除 NetSpy 的 Server 端程式後, 駭客就無法再輕易入侵您的電腦, 為求慎重起見, 您也可以再以 Trojan Remover 等後門程式清除工具, 徹底清查系統上是否還有其他可疑的程式在活動。
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
|
|
