| 词条 | 网络幽灵 |
| 释义 | 百科名片“网络幽灵(I-Worm.Ghost)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统: WIN9X/NT/2000/XP。 定义?“ (网络幽灵远程控制软件I-Worm.Ghost)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统: WIN9X/NT/2000/XP。 病毒会将自己拷贝到系统目录下命名为:Iexplorer.exe,然后在注册表的自启动项中添加“Internet Explorer”的病毒键值。运行时会每隔一分钟就连接一次病毒网站,并与病毒作者进行沟通,企图控制用户的电脑,给用户带来损失 反病毒专家建议?建立良好的安全习惯,不打开可疑邮件和可疑网站;关闭或删除系统中不需要的服务;很多病毒利用漏洞传播,一定要及时给系统打补丁;安装专业的防毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。 删除办法?启动360安全卫士,点系统启动项,在里面找到Iexplorer.exe,点禁止。病毒自己就不会打开了。 特点网络幽灵远程控制软件是一个专业级的远程文件访问工具,具有以下特点: 1.针对磁盘文件系统:本软件针对远程文件访问,而不是远程控制,力求“专而精”。并高度模枋 Windows 资源管理器,简单易用,我们的目标是使访问远程驱动器就象访问本地的一样方便。 2.强大的文件操作功能:可对本地及远程驱动器进行:新建文件、新建文件夹、查找文件、剪切、复制、粘贴(包括:本地文件操作、上传、下载、同远程主机的文件复制与移动)、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等操作,支持断点续传,并且所有操作均支持多选及文件夹操作。 3.运用了“反弹端口原理”与“HTTP 隧道技术”: “反弹端口原理”:由服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑,并且可以穿过防火墙(包括:包过滤型及代理型防火墙)。 “HTTP隧道技术”:把所有要传送的数据全部封装到 HTTP 协议里进行传送,因此在互联网上可以访问到局域网里通过 HTTP、SOCKS4/5 代理上网的电脑,而且也不会有什么防火墙会拦截。 所以,本软件支持所有的上网方式,既“只要能浏览网页的电脑,网络幽灵都能访问!”。本软件可以访问以下上网方式的电脑:拨号上网、ISDN、ADSL、DDN、Cable Modem、NAT 透明代理、HTTP 的 GET 型代理、HTTP 的 CONNECT 型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理。 4.先进的服务端上线通知功能:服务端通过 UDP 协议发消息给客户端,在“服务端在线列表”里可以看到服务端的主机名、互联网的IP地址、局域网的IP地址、地址位置、上线时间、在线时长,所有信息一目了然,实时性高、安全可靠,是 Email 通知方式所不能比的。而且还有运用了“HTTP 隧道技术”的服务端上线通知功能。 5.所有公开的数据均用 RSA 数据加密。 注:软件使用前,使用者需提供一个主页空间供它使用,主页空间申请方法请看 Readme.txt。 软件原理概论此类软件被统称为远程控制类软件(或黑客软件、木马软件),它们均为 C/S 结构 (Client/Server,客户机/服务器)。软件分为客户端与服务端两部分,客户端即为控制 端(由控制者使用),服务端为被控制端(由被控制者使用),依据服务端运行时是否会显 示明显的运行标志(即对方是否知道它运行有服务端),可分为正邪两派,邪派就是传说 中的黑客软件、特洛伊木马程序,是各大杀毒软件的首要目标。 同类软件原理服务端运行后,会在本机打开一个网络端口监听客户端的连接(时刻等待着客户端的连接),连接建立后,客户端可用这个通道向服务端发送命令并接收返回数据,即可实现远程访问。 本软件原理a.“反弹端口原理”简介: 如果对方装有防火墙,客户端发往服务端的连接首先会被服务端主机上的防火墙拦 截,使服务端程序不能收到连接,软件不能正常工作。同样,局域网内通过代理上网的 电脑,因为是多台共用代理服务器的IP地址,而本机没有独立的互联网的IP地址(只有 局域网的IP地址),所以也不能正常使用。就是说传统型的同类软件不能访问装有防火 墙和在局域网内部的服务端主机。 但往往是道高一尺、魔高一丈,不知哪位高人分析了防火墙的特性后发现:防火墙 对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。于是, 与一般的软件相反,反弹端口型软件的服务端(被控制端)主动连接客户端(控制端),为 了隐蔽起见,客户端的监听端口一般开在80(提供HTTP服务的端口),这样,即使用户使 用端口扫描软件检查自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP: 80 ESTABLISHED 的情况,稍微疏忽一点你就会以为是自己在浏览网页(防火墙也会这么 认为的)。看到这里,有人会问:既然不能直接与服务端通信,那如何告诉服务端何时 开始连接自己呢?答案是:通过主页空间上的文件实现的,当客户端想与服务端建立连 接时,它首先登录到FTP服务器,写主页空间上面的一个文件,并打开端口监听,等待 服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开 始连接时,就主动连接,如此就可完成连接工作。 本软件用的就是这种“反弹端口”原理,可以穿过防火墙,甚至还能访问局域网内 部的电脑。据作者所知,在同类软件中,本软件是唯一使用这种方法的,祝贺你!你幸 运的选择了它。 b.“HTTP 隧道技术”简介: 简单的来说,就是把所有要传送的数据全部封装到 HTTP 协议里进行传送,就可以 通过 HTTP、SOCKS4/5 代理,而且也不会有什么防火墙会拦截。 我们都知道其它木马只能访问拨号上网的服务端,而因为网络幽灵使用了“反弹端 口原理”所以它不仅能访问拨号上网的服务端,更可以访问局域网里通过 NAT 代理(透 明代理)上网的服务端。而使用“HTTP 隧道技术”以后,它甚至可以访问到局域网里通 过 HTTP、SOCKS4/5 代理上网的服务端。这样, 网络幽灵远程控制软件就几乎支持了所有的上网方式 ,也就是说“只要能浏览网页的电脑,网络幽灵都能访问!”。 网络幽灵远程控制软件 服务端支持以下上网方式: 拨号上网 ISDN ADSL DDN Cable Modem NAT透明代理 HTTP的GET型代理 HTTP的CONNECT型代理 SOCKS4 代理 SOCKS4A 代理 SOCKS5 代理 在上述上网方式下,均可正常工作。 上线通知原理互联网如此之大,覆盖全球,我们如何标识并找到上面的任何一台电脑呢?答案是 :IP地址,每台连网电脑都会被分配一个IP地址,这个IP地址是全球唯一的,就象你家 的门牌号码,别人可以根据这个找到你。同样,IP地址分配是有规律的,可以根据IP地 址分配表查出相应的地理位置(本软件内置IP地址分配表)。 现在大多数互联网用户是拨号上网的,拨号上网的IP地址是由ISP(互联网接入服务 提供商,例如163、169)动态分配的。两台电脑想要连接就必须要知道对方的IP地址, 就象想去你家串门就必须知道你的住址。因此,服务端如何把自己的IP地址告诉客户端 就成了一个大问题,也就是服务端上线通知。 现在最常用的方法是Email通知,即服务端上网后,发送自己的IP地址到事先指定 的邮箱,客户端使用者只要去收信就行了。这种方面虽然最常用,但有很大不足,首先 Email的实时性得不到保证,时慢时快,这与发信服务器的线路质量有很大关系。其次 ,现在越来越多的发信服务器设了“发信认证”功能,发信也要邮箱的密码(原来只有 收信才要),这就给服务端发信增加了困难,服务端不带密码无法发送,带密码则有可 能被别人破出来。本软件用的是另一种更先进的方法:UDP通知,客户端上网后,会将 自己的IP地址写到主页空间的指定文件里,服务端定期读取这个文件的内容,就可得到 客户端的IP地址,并将自己的一些其它信息(主机名、IP地址、上线时间等等)用UDP协 议发送给客户端。客户端接收后,将数据解释并显示在“服务端在线列表”里,服务端 情况一目了然。可能有人会担心:主页空间上的文件谁都可以访问(就象浏览网页),自 己的IP地址会不会让别人看到?这个问题作者当然已经想到,所有可能被别人看到的数 据(包括主页空间上的)都已经加密了,就算别人拿到了也没用。而且数据加密密码是由 用户自行设置的,就连软件作者也无法破解。 网络幽灵还有运用了“HTTP 隧道技术”的服务端上线通知功能,即如果服务端是 通过 HTTP、SOCKS4/5 代理上网的,无法再使用 UDP 上线通知方法,它就会自动使用 “HTTP 隧道技术”的上线通知方法:先用“HTTP 隧道技术”与客户端建立一条 TCP 连接,以后每分钟再通过此连接向客户端发送上线通知数据。(“HTTP 隧道”主机的图 标与普通主机不同,图标前面增加了一个金黄色的小管道) |
| 随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。