警惕黑客软件Back Orifice 谢勇 1998年 第32期 19版   8月8日,电脑报网站和网易电子刊物出现如下消息:   黑客推出入侵Windows工具Back Orifice   一个黑客群体日前发布了入侵Windows的程序Back Orifice。该程序可以使用户经由TCP/IP网络进入并控制远程Windows微机。Back Orifice是在日前于美国拉斯维加斯召开的黑客年会DefCon VI上发布的,不少与会者带着面具以防他人认出自己。据说它是由一位自称是Sir Dystic的20多岁的程序员开发的。此人属1984年成立的黑客群体The Cult of the Dead Cow的成员。   看到此则消息,我们很感兴趣。因为早就听说黑客组织即将推出针对Windows95的攻击软件,而微软的安全部官员一直对此消息表示不屑一顾。此次实物推出,怎么也要弄来看看。 #1  一、试用情况   经过我们试用证实,此软件并非人们想象的那么厉害。但是在被攻击者完全不知情的情况下,却也具有相当的危害性。 1.Back Orifice的构成:   bo.txt 软件说明   plugin.txt plugin编程文档   boserve.exe Orifice自安装服务器程序   bogui.exe 图形界面的客户端控制程序   boclient.exe 文本方式的客户端控制程序   boconfig.exe 对Boserver.exe安装方式进行设置、指定文件名、监听端口、控制口令等   melt.exe 解压被freeze压缩的文件的程序   freeze.exe 压缩可以被melt解压的文件的程序   2.侵入方式:先运行Boconfig.exe对Boserver.exe进行设置,然后将Boserver.exe发送给要攻击的计算机(比如通过电子邮件等)。对方运行Boserver.exe后,Boserver自动安装到Windows中,并立刻销毁Boserver.exe,此时你的系统已经为远方的系统侵入者留下了方便的后门。以后当你的Windows启动连入网络后,此程序就会秘密监视网络的消息,一旦发现远方的控制指令,就会秘密地予以回应,可以让远方的控制者掌握对机器的完全控制权。此后在你不知情的情况下,远方的侵入者可以随时在因特网上无限制地访问你的计算机,就如同访问他桌上另一台机器一样方便。   这种侵入方式,让我们不由得回想起荷马史诗中的特洛伊木马的故事。所以这种侵入可以说成是一种特洛伊木马程序。它虽没有原来宣称的那么可怕(当初宣称是运行Back Orifice后可以随意攻击网络上其他运行Windows的计算机),但是你也不能掉以轻心。 特洛伊木马程序在计算机安全的防卫中占有一席之地。因为早在UNIX时代,这种“木马程序”就已屡见不鲜。最著名的一个用来骗取其他用户口令的程序就是如此做的:它先将原有的Login程序改名,然后将自己改名成Login。当用户准备登录系统时,他会运行Login(当然此时他运行的已不再是原有的Login,而是假的Login)。此时假的Login就会像原有的Login做地那样,询问用户具体的用户名(Username)和口令(Password),然后它将这些获取的资料通过邮件命令发送给攻击者,然后将自己改名,将真实的Login改名回来。再把用户登录给出的资料传送给真正的Login,让它完成用户真正的登录过程。此程序然后会销毁自己,整个过程神不知,鬼不觉。   不过根据X-Force组织对Back Orifice的评定,认为它只能算一个“后门程序”(Backdoor)。所谓“后门程序”,就是此程序隐藏于目标系统中,并允许某些访问者可以任意访问计算机中的资源,而不必获得通常人们访问资源时必须拥有的授权或者安全认证(我认为X-Force组织的评定更为确切一些)。   3.实验过程:在事先向网友Staryang说明后,我向他发送了Boserver,在确定他已运行后,我开始运行Bogui.exe(如后图),在输入对方的IP地址后,我首先使用程序中的Ping Host功能确定Bogui是否可以正常联络对方的计算机。回应很快返回了,说明联系一切正常。   查看了一下Bogui的内置功能,发现它提供大约45种功能,可以对对方的计算机进行控制。比较令人担心的功能有:可查看对方安装的软件,并可以增加和删除;可查看对方的硬盘,并可以任意增加目录和删除文件;可以对对方的任意文件进行查找、冻结、查看内容以及删除和拷贝;可以打开和关闭对方浏览WWW的功能,并记录对方所有的键盘输入内容;可以遥控对方的多媒体播放、捕捉等功能;可查看对方当前运行的程序并可以任意终止其中的任意程序;可任意修改对方的注册表、查看对方的系统信息,甚至可以控制对方的系统重启动。   这些功能中,我们简单实验了以下几个:   ·查看对方的硬盘:我输入“c:\*.*”后立刻就看到对方C盘上的所有目录和文件。然后我在对方的C盘的TEMP目录下建立了一个TEMP1目录,经Staryang确认操作成功(为安全计,没有实验删除文件)。   查看对方运行的程序:我选择“Process List”指令后立刻看到对方当前运行的所有程序,并发送指令关闭其中的某个程序,经Staryang确认成功。   其他一些牵涉到可能对系统有伤害的功能(如System Reboot)没有做实验,想来也是可以成功的。   鉴于实验的成功,我们对此Back Orifice产生了极大的戒心。你想,万一你的机器中有了它的存在,就像你的家被人装了暗门,他可以随时随地地窥视你和随意拿走东西,那还有什么安全可言? #1  二、防范和消除的方法   在随后的日子里,我们密切关注网络论坛,搜集如何防范、检查和消除Back Orifice的消息。很快有了如下结果:   1.Boserver.exe的大小为284160字节,你只要小心此大小的网络文件即可。   2.Boserver.exe的运行结果非常特别,就是运行后什么也没有发生,但是原程序却不见了。如果你遇到此种情况,可以90%肯定已经被攻击。   3.查看你的注册表。一般Back Orifice会在注册表的如下项目中添加一个程序文件名:即在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices中添加一个诸如 “ .exe”的文件名。   一般默认的是“ .exe”,别怀疑,就是这个名字。如果你经常备份你的注册表,你完全可以删除现在的注册表,然后从备份中重新生成一个。没有了注册表的入口,Back Orifice将不再发生作用。同时,你也可以在你的Windows/System目录下,查找一个“ .exe”,那就是我们要寻找的Boserver(注意,Boserver并不确保最后安装的文件名就是“.exe",这只是它默认安装的名字,也有可能不是此文件名)。   4.有专门的对付特洛伊木马的程序,使用它即可。我把它放在我的网页上的“推荐工具”部分,供大家下载(http://www.nease.net/~skywolf)。 #1  三、后记   此Back Orifice必须要求对方运行Boserver后方才有效,可是谁会那么呆去主动运行它呢?所以,该程序充其量不过是一个远程控制软件而已, 正如微软的安全公报所说的, 该软件其实要求你先装入Sever 端, 然后再启动 Client 端进行控制。 虽然要将其作为特洛伊木马安装到欲控制的机器上不算很困难, 但毕竟这不是 Win95/98 的 Bug, 而是利用机器所有者的疏忽而已。而且该 Server 不能运行于 NT 之上, 实际上意义也不大, 黑不到什么东西,顶多搞搞恶作剧而已。 但是将其合理利用, 倒也不失为一个好软件(比如你想和某人共享机器里的资源的时候)。^321901a^ #1  (注:特洛伊木马——一个著名的故事,传说古希腊人久攻特洛伊城不下,最后佯装撤退,留下了内部装有勇士的木马。结果特洛伊人高兴地将木马作为战利品拉回城中,半夜时木马中的勇士出来打开城门,与攻城的大部队里应外合攻克了特洛伊城。 #1  木马程序——泛指那些内部包含有为完成特殊任务而编制的代码的程序,而这些特殊代码一般处于隐藏方式,执行时不为人发觉,而其功能完全和程序所标称的功能无关。)