反黑风暴-第33章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
数,比如在安装QQ时,会生成配置文件来保存QQ的登录信息或聊天记录信息。
当用户在计算机中登录QQ号后,QQ都会自动在安装目录中生成一个以号码为文件名的文件夹,这个文件夹可以在QQ的默认安装目录C:ProgramFilesTencentQQUsersQQ号中找到。这个文件夹中的Msg2。0。db文件就是保存有聊天记录的文件,Msg2。0。db文件解包后有很多文件,聊天记录保存在content。dat文件中,但经过加密的。
解密密钥保存在Matrix。dat文件中,密钥是第一次与好友聊天时候随机生成的,以后就一直用这个密钥加解密content。dat文件中的聊天记录了。如果黑客们利用一些特殊的方法破解这个content。dat文件,就可以窃取用户的聊天记录了。
再来看看迅雷下载软件的下载记录,在迅雷软件默认安装目录C:ProgramFilesThunderProfiles或C:ProgramFilesThunderworkThunderProfiles中可以找到history6。dat文件。这个文件可以泄露用户打开过哪些网站,用记事本打开即可看到曾经的浏览历史了。
9。1。6删除不干净的图片遗留
一般情况下,按照普通方式删除的图片其实仍然留在用户的计算机中。因为当用户使用缩略图方式查看图片时,系统会在当前目录中生成一个隐藏的thumbs。db数据库文件。
这个文件会在WindowsXP版本中存在,它保存了当前目录图片的所有缩略图(也可以说是缓冲文件),它可以方便用户对图片进行预览,图片越多,这个文件可能就越大,这是正常的。由于系统默认不会显示隐藏的文件,因此,大多数人不会注意这个文件。
若想查看这个隐藏的thumbs。db数据库文件,可打开【文件夹选项】对话框,选择【查看】选项卡,取消选中“隐藏受保护的操作系统文件(推荐)”复选项。单击【确定】按钮,即可在当前目录中看到隐藏的thumbs。db文件了。
在WindowsXP系统下,如果不想在系统中生成这种thumbs。db文件,可在【文件夹选项】对话框中选择【查看】选项卡,选中“文件和文件夹”选项区域下的“不缓存缩略图”复选项,就不会产生这种文件了。
但选中“不缓存缩略图”复选项只是对以后的图片不会缓存,已存在的thumb。db文件不会自动删除,需要用户手动删除掉这个文件。这个隐藏的thumbs。db文件中存放了哪些信息?利用“缩略图查看器”工具可查看这个文件中包含的图片信息。从网上下载并运行最新版本的“缩略图查看器”工具,选择【文件】→【打开文件】菜单项,在弹出的【请选择Thumbs。db文件】对话框中找到刚才打开的目录下的thumbs。db文件。
单击【打开】按钮,即可在“缩略图查看器”工具中打开这个文件。可以看出,这个文件中包含了当前目录图片所有的缩略图。以前用户删除的图片也仍然保存在这个文件中,并没有被完全删除。
第二章 来自网络的信息泄漏
网络是一个开放的空间,它在为网民工作生活带来便利的同时,也时刻威胁着网民的个人隐私,比如经常收到莫名其妙的邮件,这些邮件可能隐藏着木马或病毒,当用户不小心打开它的时候,可能就会被这些木马控制,盗取用户的信息。
9。2。1隐藏的各种木马和病毒
一旦计算机不小心被植入木马和病毒,计算机中的一切操作都将被监控,窃取用户电脑中的隐私信息也就不在话下了。为了避免中招,建议大家不要随意打开未经验证的网址和邮件,因为网站和邮件是木马和病毒的主要传播来源。本节将介绍几种常见的木马和病毒及其清除方法,帮助用户认识这些隐藏的木马和病毒,保护用户的信息安全。
远程控制软件是具有隐蔽性入侵的黑客软件,因此,它被形象地称之为木马。
目前的木马主要具备如下几种功能:
●修改注册表:木马在本机上运行后,控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可借这条通道与服务端上的木马程序取得联系,任意修改服务端注册表,包括删除、新建或修改主键、子键、键值。有了这项功能,控制端就可以禁止服务端光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽。
●文件操作:控制端可借由远程控制对服务端上的文件进行各种操作,如更改文件、新建文件、上传或下载文件,及将对方的文件拷贝一份等操作。
●窃取密码:一切以明文的形式(***形式的密码)或缓存在Cache中的密码都能被木马侦测到。很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,从键盘输入的任何字符都被记录下来,所以一旦有木马入侵,密码将很容易被窃取。
●视频监控:打开对方的视频摄像头,远程查看摄像头捕获的画面,与公共场所的视频监控没有区域。
●屏幕监视:能够查看对方的计算机屏幕,对方操作计算机的整个过程,如看电脑、编辑文档、聊天等,攻击者都能看到。
●远程终端:操作系统的命令提示符,方便用指令操作计算机,如新建系统用户、查看网络状态等。
常见的木马和病毒主要有网络公牛木马、网络神偷木马、冰河木马、灰鸽子木马、AV终结者病毒、熊猫烧香病毒和股票盗贼病毒等。这里介绍一下冰河木马、AV终结者病毒和股票盗贼病毒和清除方法。
1。“冰河”木马
“冰河”木马属于BackDoor一类的黑客软件,实际上是一个小小的服务器程序(安装在要入侵的机器中),这个小小的服务端程序功能十分强大,通过客户端(安装在入侵者的机器中)的各种命令来控制服务端的机器,并可以轻松的获得服务端机器的各种系统信息。
“冰河”木马的服务端程序通常情况下会被植入一个有趣的游戏中、一个应用程序里或伪装成一幅图片,伪装的十分巧妙,让人难以分辨。当用户不小心运行它们或打开这个图片时,就会运行这个木马程序。一旦计算机中了这个木马,就会被它控制。
“冰河”木马主要具有如下几种功能:
●远程文件操作:包括创建、删除、上传、下载、复制文件或目录、文件压缩、快速浏览文本文件、远程打开文件(包括以正常、最大化、最小化和隐藏四种方式打开)等多项文件操作功能。
●记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。冰河木马2。0以上版本还提供了击键记录功能。
●发送信息:以四种常用图标向被控端发送简短信息。
●点对点通讯:以聊天室形式与被控端进行在线交谈。
●限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
●自动跟踪目标机屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕中,这个功能适用于局域网用户。
●获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。
●注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
“冰河”木马在计算机中运行后,在C:Windowssystem目录下会自动生成Kernel32。exe和Sysexplr。exe两个文件。其服务器端程序为G…server。exe,客户端程序为G…client。exe,默认连接端口为7626。在每次启动计算机后,Kernel32。exe都会自动加载并运行,而Sysexplr。exe文件自动和*。文件关联,即使删除Kernel32。exe,但只要运行了*。文件,Sysexplr。exe又会被再次激活,进而又生成Kernel32。exe。对这种木马进行查杀可采用如下方法进行操作。
首先,删除C:Windowssystem目录下的Kernel32。exe和Sysexplr。exe文件。由于“冰河”木马运行后,往往会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun创建键值C:/windows/system/Kernel32。exe,因此,还需要用户删除该键值。再展开注册表中的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices项,删除键值C:/windows/system/Kernel32。exe。
再将注册表HKEY_CLASSES_ROOT/file/shell/open/mand项下的键值C:/windows/system/Sysexplr。exe%1修改为C:/windows/notepad。exe%1,即可恢复文件关联功能。最后,将本机上的杀毒软件升级到最新版本,对整个系统进行全面杀毒。
2.“AV终结者”病毒
“AV终结者”名称中的“AV”是“反病毒”(Anti…Virus)的缩写,它是一种反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”病毒主要是通过U盘、移动硬盘的自动播放功能传播,它最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。
当这种病毒在本机上运行后,会在本地磁盘和移动磁盘中复制病毒文件和anuorun。inf文件,当用户双击盘符时就会激活病毒,即使是重装系统也是无法将病毒彻底清除的。
计算机感染这种病毒,通常会出现如下几种常见的现象:
●不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
●禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
●绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
●在本地硬盘、U盘或移动硬盘生成autorun。inf和相应的病毒程序文件,然后通过自动播放功能进行传播。很多用
