防治BO黑客软件对策的探讨研究.pdfVIP

第14次全国计算从安全苦术交流会 弟5y-4全技下 1999.7 防治BO黑客软件对策的探讨 朱巨军 卜飞一誉州市公安局 摘要:本文通过对BACKORIFICE黑客软件性能的 存储器使用情况、已安装的磁盘及这些设备的相关信 分析，阐述可能带夫的危害性，针对该软件的特性，探讨 息，获取用户的上网口令、Web和局域网访问n令，以及 了防治BO黑客软件管理和技术的对策 并提出了一种 其操作系统密藏的任何日令;利用BO网络控制功能，可 针对利用RO黑客救件进行肆意破坏的黑客的反侦查技 攻击与被BO感染计算机联网的其它计算机，也就是说， 术方案 在局域网叮,-甚至在广域网，}，，只要有一台计算机被BO 感染，整个网络可能成为被黑客攻击的目标;利用BO注 一、BACKORIFICE黑客软件运行机制及可能发生 册表功能，可查阅、创建、删除和修改系统注册表，利用 的危害性 Netscape浏览器可上载控制程序或下载对方文件，如将 BACKORIFICE黑客软件是 一种针对 WIN- 拔号控制程序植人被攻击的机器中，甚至用直接拔号方 DOW595/98操作系统，而且以TCP/IP协议联网的机器 式控制被攻G的机器;利用BO过程控制功能，可以运行 的黑客 工具 (简称 BO),主要 由四个 义件 :被攻击的计算机中的任何 一个程序，也可运行植人一个 BOSF;RVE.EXE,BOGULEXE,BOCLIENT.EXE,B0- 程序，如CIII病毒等，这样被控制的机器可能产生的后 CONFIG.EXE组成，它是属于客户机/服务器应用程 果不堪设想 序 开发者美其名F9WINDOWS远程管理工具”BO可 二、防范BO黑客软件的对策 通过网 [_下载、电子邮件、盗版光盘、人为投放等途经传 我们己经分析了BO软件的实质及传输的途径，如 播，可以直接安装，也口]以极其隐蔽地粘贴在其他应川 果我们在管理上切断传输途径，在技术F.，针对BO特 程序中，被间接安装，一L「激活，就可以自动安装，创建 性，采取相应措施，就能避免我们的微机被BO感染或者 Windll.DLI文件，然后删除自安装程序，埋名隐性，潜伏 被黑客远程控制，根据我们近几个月的工作实践，我们 在机器中，此时的Windwn;95/98表面T.看不到仟何变 认为对BO的防治对策，可采取以下一种或多种措施。 化(这种设计与计算机病毒类似)，而实际}_黑客工具}， 2.，加强管理工作，是有效防治BO黑客软件的有 的BOSERVE.EXF:服务程序已悄悄地运行，机器 17连 效方法。 入基于TCP/IP的网络中，如Interne，网络 {‘‘网」泊勺任 2..11黑客可以通过局域网中，任何与互联网直接 何一台PC机就可以使川BOGLI.EXE图形界而的客户 联网，受HO感染S.作站进人局域网、因此要求局域网中 端程序 (或者BOCLIENT.EXE文本型客户端程序)，对 的工作站不得作为国际互联网直接上网机 这台被感染BO的机器进行远程控制和操作，它听能达 2.I一2对局域网和重要系统，应设计防火墙系统才 到的功能非常强大和实用 甚至于连普通的防火墙和代 能与国际互联网相连，技术L必须采取相应的安全措 理服务器也难以有效抵档 施 fil用BO的SWEEP或者PINGIIOST命令可搜寻ail 2.1.3各类密码要定期更换，在操作中不能图省事， 世界上任何一台被以)感染的 而月正在士网的计算机 将密码保留在机器中，BO正是利用Windwos95/98操 的IP地址;利用B()系统控制功能可获取洋细的汁算机 作系统这一特性，获取对方的密码 系统信息，包括当前用户名、CPU内型、Windows版本、 2.1.4加强对重要文件、重要数据的管理工作 在上 144 第 14次全国计算机安全学术交流会