给你几个服务器人挺多的挺热闹的。
DODS.CN
僵尸暴动[普通]1# IP地址: 218.93.192.12:27015
僵尸暴动[普通]2# IP地址: 218.93.192.12:27016
僵尸暴动[专家]1# IP地址: 218.93.192.12:27017
僵尸暴动[专家]2# IP地址: 218.93.192.12:27018
僵尸RPG[终极] IP地址: 218.93.192.12:27019
混战服RPG IP地址: 218.93.192.12:27021
僵尸乐园
1# 222.56.16.117:27015 ZM僵尸服
2# 222.56.16.117:27016 ZM逃跑图(only Ze)
3# 222.56.16.117:27017 僵尸攻防服
4# 222.56.16.77:27015 混战服
5# 124.227.193.39:27015 娱乐服
9# 222.56.16.76:27015 越狱+娱乐
10# 222.56.16.76:27016 僵尸暴动RPG
11# 222.56.16.76:27017 足球服
12# 222.56.16.77:27017 跳跃服
电信 222.73.85.97:27016 ZM逃跑F
电信 222.73.85.97:27015 僵尸感染F
电信 222.73.85.97:27017 混战F
电信 222.73.85.97:27333 越狱F
电信 222.73.85.97:27222 躲避弹
1、无盘简介什么是无盘网络?简言之,就是一个网络中的所有工作上都不安装硬盘,而全部通过网络服务器来启动,这样的网络就是无盘网络,这些工作站被称为无盘工作站。没有接触过无盘网络的人可能会很快对这样的网络产生应趣,每台工作站省掉一个硬盘,一套三四十台机器的网络省掉的钱就相当可观,这可能是每个刚接触无盘网络的人的第一印象。的确,省钱是无盘网络的一大优点,而实际上无盘网络的最主要优点却并不是省钱,而是"管理和维护"。负责网络管理的管理员们对"管理和维护"应该有比较深的认识,网络管理员的主要工作就是要保证一个网络能正常运行。一个普通的有盘网络,例如一个网络教室,如果网络中的工作站出了什么问题,开不了机、上不了网,或者网络中的软件需要升级,把Offce97升级为Office2000,这时网络管理员就要忙起来了,他要负责把每台机器都调整好,安装上新的软件,甚至每台机器的硬盘都要重新格式化、分区、安装好系统等。也许过不了多久,系统又被学生不小心破坏掉,于是又是繁琐的安装、调试等,麻烦不说,还要耽误工作、影响用户的正常使用。
因此,一种新的网络结构:无盘网络出现了。无盘网络的本意一个是为了降低工作站的成本,但主要却是为了管理和维护的方便。试想,如果把工作站要用到的操作系统的文件和软件文件都放到服务器上,系统的管理和维护都在服务器上完成,软件升级只需要配置一次,网络中的所有计算机就都能用上新软件,这对网络管理员来说的确是福音。但事实上情况并没有那么简单,微软最初推出的传统无盘Window95己经使人们对"无盘网络"失去了信心,无盘网络配置的繁琐比之有盘网络配置更加麻烦、结构的不合理导致传统无盘网络系统不稳定、软件运行不正常甚至很多软件无法运行,这些使无盘技术几乎己经走到了尽头,正是在这个时候,无盘Windows98、Windows2000终端网络系统应运而生了。
应用范围
无盘网络系统可以应用在网络教室,企业内部局域网、网吧、酒店、点歌娱乐行业及一切无盘网络的组建和改造。
1、 适用于学校无盘网络教室的组建或改造
2、 适用于大中小型公司、企事业单位、营业厅等办公室
3、 适用于游戏吧及Internet 网吧
4、 适用于酒店、KTV歌厅等以VCD 为主的网络
无盘的好处:
省银子每个工作站都不用硬盘,节约大量资金。但这不是无盘的主要优点。
易管理工作站10秒自动还原,由于无硬盘,所以不怕随意关机或人为破坏。
速度快12秒进WIN98, 这是有盘无法想像的。服务器用高速磁盘阵列,加上大内存,大缓存,高速CPU,所以响应速度极高,使普通工作站性能大幅提升。
内容丰富每个工作站都共享240G或更多节目,比有盘多6倍。2000多首MP3,1000多集电影,上1000个游戏,足以让每个网民乐不思蜀,网吧财源滚滚。
安全性好独一无二的超级保护功能足以让有盘工作站相形见拙,不怕恶意攻击和破坏,实现无人值守及零维护,再也不用整天手忙脚乱地Ghost硬盘了。
游戏升级快升级服务器游戏相当于同时升级几百台工作站的游戏。
安装快速简单原有网络原封不动,100台改无盘只要3个小时左右
2、 [推荐]BXP3.0无盘系统安装指南 【字体:小 大】
BXP3.0无盘系统安装指南
作者:寂寞de情郎 文章来源:黄瓜军团 点击数:738 更新时间:2005-4-2
无盘Windows XP的安装软件为Venturcom出品的BXP,目前的最高版为BXP3.0,它是Boot-NIC的升级版本,其工作原理及安装方法与Boot-NIC有很多相似的地方,本文将简述无盘Windows XP的安装过程,对于与Boot-NIC不同之处,本文将作详细说明。
1 BXP 3.0概述
1.1 BXP 3.0简介
BXP支持可远程引导的基于网络的虚拟磁盘,使工作站无盘启动到Windows 2000或Windows XP,它不需要特殊硬件设备 , 也不需要专用BIOS系统,就可以使用无盘工作站拥有类似于IP/iSCSI的适配器,并要连接服务器的虚拟磁盘映象,生成一个虚拟的本地硬盘,从而使无盘工作站完全象有盘站一样工作。
BXP是利用服务器的硬盘空间,通过网络存储虚拟映射的纯软件的无盘解决方案,与传统的无盘网络大不相同。所有的处理都在工作站系统上完成,服务器只提供启动和存取服务,也就是说在无盘工作站运行软件时,所消耗的资源(主要指CPU和内存资源)都是工作站自身提供的,这点与Windows 2000 终端是完全不同的,也正是由于这个因素,使得无盘Windows XP对工作站的要求较高,因为本身Windows XP对系统硬件的要求就比较高。
BXP的工作原理与Boot-NIC基本类似,它们都是基于网络存储,为了实现从网络上远程引导, BXP工作站端大多使用了 PXE(预置执行环境)的引导技术。 PXE技术不仅可以用于前面介绍的无盘Windows 98系统,还可以用于较新的一些无盘软件,目前已成为是一种定义网络客户如何自动地下载启动映象和结构参数的开放工业规格。 BXP 使用 PXE 下载一个带引导程序映象文件,然后装载Windows 2000 或Windows XP操作系统。 较新的网卡基本上都支持PXE。
BXP服务器由一些服务和管理模块所组成,主要的服务包括:输入/输出 (IO) 服务和登录服务,这些服务和模块我们将在后续章节中作详细的介绍。。
一个工作站系统被分配一个位于BXP服务器相关目录下的虚拟磁盘文件,IO 服务负责处理从BXP客户机传送过来的的IO请求,并负责存取这些虚拟磁盘映象文件,对于较大型的无盘网络,可以适当增设一些IO服务器,以分担数据流量,提高运行速度。登录服务用于验证工作站帐号, 且提供此帐号的工作站分配的虚拟磁盘的系统数据。
1.2 较Boot-NIC的改进之处
BXP为Boot-NIC的升级版本,在系统功能、性能及稳定性方面都有所提高。
Ø Ø BXP无盘工作站支持Windows XP操作系统和Windows 2000操作系统,而Boot-NIC只能支持Windows 2000 操作系统。
Ø Ø BXP的虚拟磁盘最大限制为8GB,Boot-NIC最大只能支持2GB。
Ø Ø 在工作站/虚拟磁盘的使用模式增加了服务器缓冲方式。
1.3 对系统的要求
Ø Ø BXP对服务器的要求
操作系统: Windows XP 、 Windows 2000 Professional、 Windows 2000 Server、或 Windows 2000 Advanced server.。
Service Packs: 安装最新的升级补丁,对于Windows 2000,应用安装Service packs 2 或以上的版本。可以到微软的网站去下载更新补丁(http:// windowsupdate.microsoft.com)。
磁盘空间: BXP 服务器应有有充足的硬盘空间,以保证虚拟磁盘映象文件的存放。
服务器有固定的IP地址。
安装IE4或以上版本的浏览器。
安装DHCP或BOOTP服务器,可以为工作站提供IP地址。
Ø Ø BXP 客户
工作站的硬件配置应用超过Windows XP的最低要求,最好能高于推荐的配置。
每个工作站的网卡,必须安装PXE或BOOTP芯片。
共享一个虚拟磁盘文件的多台工作站的硬件配置应用完全相同。
1.4 工作站/虚拟磁盘的使用模式
根据虚拟磁盘文件是否能被多个工作站共享可分为专用模式和共享模式,根据缓冲方式又可分为:无缓冲方式、内存缓冲方式和服务器缓冲方式。由上述两种方式可以组合成五种工作站/虚拟磁盘的使用模式,以下将分别介绍。
1.无缓冲专用映象模式
这种工作模式为系统的默认模式。 在这种模式下,每个BXP工作站分配一个专用的虚拟磁盘,如图1所示。客户可以任意修改系统的数据,并可以得到保存。
优点:
每个工作站独立地使用自己的磁盘映象,且可以保存文件。
工作站的可以使用不同的硬件 (若要使用一样的虚拟磁盘映象,则硬件配置要求是相同的)。
缺点:
增加网络负荷。
每个工作站要使用独立的磁盘映象,所以占用服务器硬盘空间很大。
2.带内存缓冲的专用映象模式
在这一模式下,每一个工作站分配一个专用虚拟磁盘,结构示意如图2所示。若用户向虚拟磁盘写内容或修改虚拟磁盘的内容, 那么写入的内容将自动保存到工作站内存中,而客户所看到结果是写入了磁盘中,当工作站重新启动的时候,虚拟磁盘的所有变化被全部消失,就象在有盘工作站上安装了还原卡的效果一样。
优点:
虚拟磁盘可以通过重新启动来恢复最初的状态,抗病毒和防黑客能力强,对公共机房来说可以使用软件的维护量大大降低。另外,由于缓冲区在工作站本机内存中,所以运行速度较快。
缺点:
无法保存客户数据。
工作站的部分内存将会被当作工作站磁盘隐藏使用,因此在这种使用模式下,系统的工作站的内存要求较高,在运行一些较大型软件时,系统常会因缓冲内存不够,而无法正常运行。
3.带服务器缓冲的专用映象模式
这种模式从操作无盘站的客户角度来看,完全等同于“带内存缓冲的专用映象模式”,它们之间的区别在于缓冲区的位置不是工作站的内存而是服务服务器的一个文件,这个文件用于暂存工作站的所作的数据修改,当BXP工作站重新启动时, 暂存在服务器的这个临时文件将被删除。
优点:
虚拟磁盘可以通过重新启动恢复初始状态,对公共机房来说可以使用软件的维护量降低,由于缓冲区设置中服务器上,所以对无盘工作站的内存容量的要求较低,且在运行大型软件时不会出现内存不够的现象。
缺点:
客户无法保存数据。
由于缓冲区与工作站间有较大的数据流量,使用网络的负荷加大。
4.带内存缓冲的共享映象模式
在这一使用模式中,多个的无盘工作站同时使用相同的虚拟磁盘映象。为使共享磁盘映象不被破坏,映象文件的使用必须采用缓冲方式,在这种使用模式下缓冲区设置在工作站本机的内存中,缓冲的大小可以在服务器上指定,工作站在修改虚拟磁盘时,被透明地传入BXP IO 服务器的缓冲区中作暂时的储藏。当BXP工作站重新启动时, 暂存的文件在服务器上将被自动清除。
优点:
软件的维护量小,虚拟映象文件被多个工作站共享使用,大大地节省了服务器硬盘空间。
缺点:
客户无法将数据保存到虚拟磁盘中。
缓冲区要占用部分工作站本机内存。
5.带服务器缓冲的共享映象模式
在这一使用模式中,多个的无盘工作站同时使用相同的虚拟磁盘映象。为使共享磁盘映象不被破坏,映象文件的使用必须采用缓冲方式,在这种使用模式下缓冲区设置在服务器的特定目录中, 工作站在修改虚拟磁盘时,被透明地传入BXP IO 服务器的缓冲区中作暂时的储藏。当BXP工作站重新启动时, 暂存的文件在服务器上将被自动清除
优点:
软件的维护量小,虚拟映象文件被多个工作站共享使用,大大地节省了服务器硬盘空间。缓冲区要不占用工作站本机内存。
缺点:
客户无法将数据保存到虚拟磁盘中。
网络负荷较重。
3 BXP服务器的安装
安装BXP之前必确定以下两点:
Ø Ø 确定服务器的网络协议已安装配置,本实例中,添加了TCP/IP、NetBOIS和IPX等协议,设置服务器的IP地址为198.168.0.1。
Ø Ø 若在安装Windows 2000 Server时没有安装DHCP服务,则应在“控制面板”→“添加/删除程序”中添加DHCP服务组件,并设置其作用域,本实例设置作用域的范围为198.168.0.20~198.168.0.100。若准备使用BXP提供的DHCP服务器,则在Windows 2000 Server中不用添加DHCP服务。若使Windows XP等不带DHCP服务的操作系统,则只能使用BXP自带的DHCP组件。
具体安装过程:
BXP 3.0 破解版使用说明
a. 把服务器的名字改为“DONGAN”,需重启;这一步可以放在第7步前;
b. 安装Windows 2000 Server/Server 2003 自带的DHCP服务程序,
运行“PxeReg60.exe”或“DHCP60 for xp.exe”,为DHCP服务
添加设置60选项;添加作用域并启用;如果你的系统是Windows
2000/XP 专业版,那这一步省略,但在安装BXP 3.0时必须选择
BXP系统自带的DHCP代理程序;
c. 将“BXP_CR.EXE”和“BXP_RS.EXE”两个文件拷贝到桌面上;
d. 安装BXP 3.0,到了输入注册信息的时候,按取消;
e. 在“服务”里,将与BXP系统有关的服务的启动类型改为“手动”,
然后重启计算机;
f. 运行桌面上的“BXP_CR.EXE”,覆盖system32\Mylicense.dll文件;
执行这一步时,要保证BXP的相关服务都没有启动,而且系统启动后
没有运行过其他程序,尤其不能打开“我的电脑”之类的目录,否
则就会覆盖不了system32\Mylicense.dll文件;
g. 打开“我的电脑”,用右键单击“My Licenses”,选择
“Import License”导入DongAn.vlf文件,注册成功;
执行这一步时,必须保证计算机名为“DONGAN”;
h. 你喜欢的话,可以将服务器的名字改回你想要的名称,重启计算机;
i. 运行桌面上的“BXP_RS.EXE”,可恢复原许可,执行这一步时,要保证BXP的相关服务都没有启动,而且系统启动后没有运行过其他程序,尤其不能打开“我的电脑”之类的目录,否则就会覆盖不了system32\Mylicense.dll文件;可以不执行这一步;
1.双击BXP的自解压安装文件,开始安装。出现一个“Welcome”的欢迎安装界面。
2.若需要查阅BXP的英文安装文档,则可以单击“View”按钮;若不需查阅则单击“Install”按钮开始安装。
3.在阅读产品授权协议书并表示同意之后,便可以继续安装,后面的几个步骤可以按默认值设置,当出现“Setup Type”时选择第一项,即“Full Server”,
4 配置BXP服务器组件
配置BXP服务器组件包括以下几个内容:
Ø Ø 配置BXP相关的服务
Ø Ø 配置DHCP服务(在使用BXP3.0自带DHCP情况下)
Ø Ø 建立并管理BXP客户登录
4.1 配置BXP相关的服务
在配置一个BXP服务器之前,必须确定以下服务组件已正确安装在服务器:
Ø Ø 3Com BOOTP 服务 或3Com PXE 服务
Ø Ø BXP TFTP 服务
Ø Ø BXP IO 服务
Ø Ø BXP LOGIN服务
4.1.1.引导方式的选择
BXP工作站的引导方式有两种,一种为PXE方式,另一种为BOOTP方式;PXE是通过DHCP服务动态地为工作站分配IP地址
在PXE的网络结构DHCP服务器和BXP服务器可以作到一台计算机上。
在BOOTP 引导方式下,工作站的IP地址是固定的,每个工作站必须在服务器上手动地指定。
无盘系统采用何种启动方式,取决于不同的应用环境,在小型的较单一的网络中建立使用PXE方式,对于较大型的网络,尤其是多种网络混合组网时,应用采用BOOTP方式。以下的设置以PXE为例进行说明。
4.1.2.配置PXE服务
在服务器上,打开“控制面板”,双击“3 COM PXE”图标。如果出现警告信息,说明 PXE服务还没有启动,单击“是”按钮,若已安装Windows 2000 自带的DHCP,系统将提示已安装DHCP,将禁用BXP内置的DHCP,单击“确定”,此时出现“3COM PXE”对话框。在“Options”标签中的Data files框中,输入BOOTPTAB文件及其正确的路径,也可以单“Browse”找到此文件,由于事先已安装了Windows 2000自带的DHCP,所以“Proxy DHCP”为不可用状态,单击“Network Adapters”标签,在服务器IP地址列表中,选中要绑定的IP地址,本例为198.168.0.1,单击“OK”按钮,完成PXE服务器设置。
3.配置 Venturcom TFTP 服务
打开服务器的“控制面板”,双击“Venturcom TFTP Service”图标,出现“TFTP Settings”对话框,单击“TFTP Option”标签,在“Transmit (GET) directory”框中为启动引导文件 Vldrmi13.bin所在路径,若在在安装期间是以默认的路径安装的BXP,则此文件的路径为 C:\ Program Files\Venturcom\BXP\ Tftpboot),设置好后单击“TFTP Network”标签,将TFTP服务绑定到相关的IP地址上,本例为198.168.0.1,单击“确定”按钮,结束BXP的TFTP的设置。
4.配置 BXP IO 服务
在服务器上,建立一个用来存放所有的虚拟磁盘映象文件的文件夹,例如:D:\VLD,请确定此文件夹所在的磁盘有足够的硬盘空间。单击“开始”菜单→选择“程序”→ Venturcom BXP→ “BXP IO Service Preferences”,出现“BXP IO Service Preferences”对话框,单击“Virtual disks directory”框后面的“Browse”按钮,在弹出的“Select Directory”对话框中选择我们在前面建立的用以存放虚拟磁盘映象文件的文件夹D:\VLD,在“IP Settings”的列表中,选中“198.168.0.1”,其它选项可以按默认值设置,完成后如图15所示。最后,单击“OK”按钮,完成配置 BXP IO 服务的配置。
5.配置BXP LOGIN服务
在服务器上,单击“开始”菜单→选择“程序”→ Venturcom BXP→ BXP Login Service Preferences,出现“Login Service Preferences” 对话框,检查数据库路径是否正确定(默认情况下在C:\ Program 文件\Venturcom\BXP\ VLD.MDB),单击“Browse”按钮可以选择一个不同的数据库。在“IP Settings”列表中绑定“198.168.0.1”,其它的选项可以按默认值进行设置,完成后如图16所示。
单击“OK”按钮,完成登录服务的配置。
如使用BXP3.0自带DHCP,则需使用“开始”—>程序-->bxp的Bxp Configuration Wizard进行设置,配置完毕后在控制面板中的服务里启动DHCPdNT 服务
默认租约是120天,最大也是120天,举例如下:
subnet 10.0.0.0 子网
netmask 255.0.0.0 0 子网掩码
option routers 10.0.0.2 网关
range 10.0.0.20 IP分配范围
range 10.0.0.120
4.2 启动BXP相关的服务
打开服务器“控制面板”,双击“管理工具”图标,打开管理工具窗口,双击“服务”图标,出现“服务”对话框,按以下顺序启动各项服务并将它们设置为自动运行。
Ø Ø 3Com BOOTP 或 3Com PXE
Ø Ø BXP TFTP Service
Ø Ø BXP Adaptive Boot Server (此服务无需配置)
Ø Ø BXP IO Service
Ø Ø BXP Login Service
Ø Ø BXP Write Cache I/O Server (此服务无需配置)
4.3 配置DHCP服务
如果使用Windows 2000 系统的自带的DHCP,那么配置DHCP服务的方法与PXE无盘Windows 98完全相同,详细情况请参见本丛书基础篇的第7章相关内容。若服务器采用Windows 2000 Workstion 或Windows XP等不带DHCP的操作系统,则可以设置BXP的DHCP,以完成PXE的启动过程。
5 配置BXP管理程序
5.1 管理程序概述
BXP 管理程序有管理IO服务器、工作站帐号、虚拟磁盘和配置启动文件路径等功能。使用管理程序对数据的修改都被储存在BXP数据库中(VLD.MDB)。
单击“开始”菜单→程序→ Venturcom BXP→BXP Administrator就可以打开BXP管理程序,当BXP的各项服务器都启动时,
由于还没有建立工作站帐号、虚拟磁盘,及没有添加IO服务器,所以在列表中只有一个登录服务器的图标,在后继章节设置完成后,就会出现在列表中。
5.2 管理程序的使用
1. 1. 配置自引导文件
单击“开始”菜单→程序→ Venturcom BXP→BXP Administrator就可以打开BXP管理程序。单击“Tools”菜单,选择“Configure Bootstrap”命令,在“Path”框中,输入引导文件及其路径,也可以单击“Browse”按钮,在“打开”窗口中找到此文件,默认情况下引导文件为:C:\ Program Files\Venturcom\BXP\ TFTPBoot\VLDBMI13.BIN。其它选项均按默认值设置
木马入侵的工作原理在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步,下面我们就按这六步来详细阐述木马的攻击原理。
(一)配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等。
(二)传播木马
1、传播方式:木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
2、伪装方式:鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。主要有以下6个方面:
(1)修改图标:当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(2)捆绑文件:这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(3)出错显示:有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
(4)定制端口:很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
(5)自我销毁: 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
(6)木马更名:安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,在系统文件夹查找特定的文件。就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
(三)运行木马: 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了。
(1)由触发条件激活木马。触发条件是指启动木马的条件,大致出现在下面八个地方:
第一、注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run和RunServices主键,在其中寻找可能是启动木马的键值。
第二、WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
第三、SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic],[drivers32]中有命令行,在其中寻找木马的启动命令。
第四、Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
第五*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
第六、注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”,这时你双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明的是不光是TXT文件,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以试着去找一下。
第七、捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
第八、启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
(2)木马运行过程。木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
①1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口的。
②1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口。
③4000端口:这是OICQ的通讯端口。
④6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
(四)信息泄露:一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。
(五)建立连接: 一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。
假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。我们重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只要扫描IP地址段中7626端口开放的主机就行了,假设B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后,开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了。
(六)远程控制:木马连接建立后,控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,这是多么吓人的事。
tt
四、黑客是如何骗取你执行木马的
如今大多数上网的朋友警惕性都很高,想骗取他们执行木马是件很困难的事,因为木马出现这么久,木马两个字听得人们耳朵都长出了老茧,可说是谈“马”色变,即使不是电脑高手都知道,一见到是exe 文件便不会轻易“招惹”它,因而中标的机会也就相对减少了。对于此,黑客们是不会甘于寂寞的,在黑客的世界里挑战与刺激才是他们趋之若婺的。
1、冒充为图像文件
首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。
只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。为什么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是.exe,而木马程序的扩展名基本上又必定是.exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了。
还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即修改文件图标。修改文件图标的方法如下:
1)比如到http://www.download.com 下载一个名为IconForge 的软件,再进行安装。
2)执行程序,按下File >Open
3) 在File Type 选择exe 类
4)在File >Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作,也可以在网上找找) 。
5)然后按下File >Save 便可以了。
如此这般最后得出的,便是看似jpg 或其他图片格式的木马了,很多人就会不经意间执行了它。
2、合并程序欺骗
通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时文件损坏了而不再理会它。
如果有更小心的用户,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件,以后只需执行这个合拼文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼,由于执行合拼文件时 wrap.exe会正常执行,受害者在不知情中,背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。让我们来看一下它是如何运作的:
以往有不少可以把两个程序合拼的软件为黑客所使用,但其中大多都已被各大防毒软件列作病毒了,而且它们有两个突出的问题存在,这问题就是:
(1)合拼后的文件体积过大
(2)只能合拼两个执行文件
正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软件,那就是Joiner 了。此软件不但把软件合拼后的体积减少,而且可以待使用者执行后立马就能收到一个icq 的信息,告诉你对方已中招及对方的IP ,更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼,用起来相当方便。
首先把Joiner 解压,然后执行Joiner ,在程序的画面里,有“First executable : ”及“ Second File : ”两项,这两行的右方都有一个文件夹图标,分别各自选择想合拼的文件。
下面还有一个Enable ICQ notification 的空格,如果选取后,当对方执行了文件时,便会收到对方的一个ICQ Web Messgaer ,里面会有对方的ip ,当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后,合拼后的文件会比较大。
最后便按下“Join” ,在Joiner 的文件夹里,便会出现一个Result.exe 的文件,文件可更改名称,因而这种“混合体”的隐蔽性是不言而喻的。
3、以Z-file 伪装加密程序
Z-file 伪装加密软件是台湾华顺科技的产品,其经过将文件压缩加密之后,再以 bmp图像文件格式显示出来(扩展名是 bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马,甚至病毒!当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑),只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程序的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。
4、伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中,例如 OICQ 。由于OICQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件是否多了。而当受害者打开OICQ时,这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开OICQ时木马程序就会同步运行 ,相较一般特洛伊木马可说是“踏雪无痕”。更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支新木马来,所以即使杀是毒软件也拿它没有丝毫办法。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)