防範 PC 電腦病毒(二)

版權宣告：以下文中所提到的商標 , 均屬於各合法註冊公司所有

轉載須知：若您同意保留這篇文章的完整性則歡迎您自由轉載，且不必來信告知

發佈日期：公元 2000 年 06 月 / Written by lmi <少女殺手>

目的：告訴電腦初學者 What and About 特洛伊木馬程式 < 初級篇 >

一、什麼是特洛伊木馬程式 ?

請參考 - 防範 PC 電腦病毒(一)
於 史萊姆的第一個家 / 教學文件區

二、意圖不軌的入侵者 => Hacker or Cracker ?

駭客，是不是一些喜歡攻擊並破壞別人電腦的人。( 至少很多人是這樣認為 )，如果我們只是會玩一些入侵程式的話，並不能算駭客 [Hacker]，而只是 Cracker 。( 有的人是這麼說的 ) 。 Hacker 跟 Cracker 都是會入侵系統的人，若要說他們的差別 .... 我只能說 Hacker 是比較好的人而 Cracker 是壞人。Why ?? 因為真正的 Hacker 雖會入侵系統，但他們只是為了証明自己有能力入侵 or 實驗自己的理論、想法是否正確。而 Cracker 是為了入侵主機偷資料 or 進行破壞 ( 我說的不一定完全正確 , 不過大概是這樣，而且大多數的 Cracker 的技術通常比 Hacker 差，比如用特洛伊木馬程式或是轟炸程式之類的工具攻擊別人 PC 的人應該只算 Cracker ) 。那為什麼我們都叫意圖不軌的入侵者為Hacker ?? ( 這就是我們對 Hacker 的誤解吧~ 我們都把 Hacker 跟 Cracker 混為一談了) 要當一個 Hacker 對電腦系統、程式、許多原理都要有一定的程度，所以要讀很多書，懂很多的知識，那是要學很久的喔!! 不是兩、三天就會的。當然，我也學不會。

三、Windows 並不是唯一的作業系統 ( OS- Operating System )。

在目前 ( 公元 2000 年 )，Microsoft 的作業系統 ( Windows ) 是台灣最多人使用的系統，對初學者而言，所接觸的系統多為 Windows，然而， Windows 並不是唯一的作業系統，還有其它可以在個人電腦 ( PC - Personal Computer ) 上使用的作業系統，例如：Linux，FreeBSD … ，包括 MAC 電腦也是很有名的。而伺服器主機除了有 Windows 也有 UNIX 系統及其它的系統。

// Sorry , 以上 (二) ~ (三) 的名詞對初學者而言可能太難了，您看不懂也無所謂，不重要。

四、BO、NETBUS、SubSeven、NetSPY、BirdSPY 等特洛伊木馬程式。

(一) BO：我覺得 BO 是最常見的特洛伊木馬程式，它主要有兩個程式，一個是當作 Server，一個是當作 Client 。大多的特洛伊木馬程式都是這樣，我還沒見過例外 (目前 [ 公元 2000 年] 最新的 BO 版本是 BO2000 )。
[ 已被掃毒程式列為病毒 ]

(二) Netbus：之前版本的 Netbus 跟 BO 是差不多的，不過現在新版本的 Netbus 已經逐漸轉向遠端控制程式發展了，也就是不再暗地的控制別人的電腦，而是必須在其它電腦使用人的同意之下才有可能進行遠端控制，不過 ... 掃毒程式目前 [ 公元 2000 年] 依然將它列為病毒。
[ 已被掃毒程式列為病毒 ]

(三) SubSeven、NetSPY 也都是特洛伊木馬程式，而且特洛伊木馬程式不止這幾個而以，包括已知的，未知的 …，只有被發現的特洛伊木馬程式會被掃毒程式列為病毒，而不會受到感染。
[ 已被掃毒程式列為病毒 ]

(四) BirdSPY：這是一位由 Birdman 寫的國產特洛伊木馬程式，他的破壞力與 BO 是差不多的。在 BirdSPY 2.0 版本之前，它的性質與一般的特洛伊木馬大同小異，都是屬於利用網路暗地入侵他人的電腦的特洛伊木馬。不過在 BirdSPY 3.0 版本則比較驅向遠端控制程式發展 [ ex. PC_anywhere ]，跟 Netbus 一樣逐漸轉型，適合網路管理員作遠端的管理，依然有點特洛伊木馬程式的性質。
關於 BirdSPY 3.0 的相關文件 : [ 按此下載 ] 大小: 453 KB
取得 BirdSPY 3.0 相關程式：鳥人的家

五、想破壞我的電腦的人是誰 ? ( netstant -n )

誰這樣可惡，想破壞我的電腦 ? 通常入侵 PC 的人很有可能是我們自己的朋友，或者是得罪的人，但如果可以讓我們把這個人給揪出來不知有多好，win98 好像就可以抓到這個人的資料喔~~
( 我實在不太想說這個，因為這樣以後我就不可以玩了，因為會被發現了 ~_~ .... 不過算了，知道的人也很多，倒不如就讓大家都知道，反正真正的高手也還是有他的方法，這只會對功力不好的 Cracker 造成困擾，也就是說，知道這些小東東對大部分安份守己的人還是有一點好處的 ^^ )

A、取得對方的 IP：

進入 MS-DOS 模式，打入 NETSTAT -N，然後會出現如下的結果：

Active Connections

( 註： xxx.xxx.xxx.xxx 代表 IP 的格式 , ex：123.123.123.123，Port 也不一定是 1234，反正是數字 )

B、取得對方的電腦名稱：

進入 MS-DOS 模式，打入 NETSTAT ，然後會出現如下的結果：

Active Connections

( 註：Computer_name 是對方的電腦名稱，名稱不一定，Port 也不一定是 1234，反正是數字 )

上面的 Foreign Address 即是目前跟你有連線的電腦，如果那個人正在控制你的電腦，你不要連到任何的 Web、BBS、FTP，只要不要連到網路其它的機器，剩下的 IP 就是那個控制你電腦的那個人的電腦 IP [ 假使他已經連到你的電腦並進行控制 ]

其它的 NETSTAT 參數：
進入 MS-DOS 模式，打入 NETSTAT / ? 即可查詢。

六、防治的工作 - 世界上並沒有破不了的鎖，但我們不因此而不用鎖。

有人說世界上沒有破不了的系統，但是如果因此而不做任何的保護，那豈不是敞開大門歡迎別人進來呢 ? 保讙我們個人電腦 PC 免於被入侵的方法無異是需要一套好的防毒程式 [ 並經常更新病毒碼 ]，最重要的是不要輕易執行不明的 E-mail 附件。可是 Birdman 作了一個偵測的程式，如果特洛伊木馬程式企圖進入你的電腦，這個程式會告訴你， 讓愛自己電腦冒險的人兒有點保障。

偵測特洛伊木馬程式 [ Trojan ] BirdGuard：[ 來自 鳥人的家 ]

[ 就是下面這個程式 ]

[ 在執行了特洛伊木馬後，這個程式會發現，並攔截下來問我怎麼作 ]

由此下載 BirdGuard-V0.4 [ 大小: 30 KB ]

[ Birdman 是位喜愛寫程式的人，如果大家他的其它作品有興趣可以到他的網站看看，鳥人的家 ]

七、如何移除特洛伊木馬程式 ?

這篇文章到此就告段落了，只討論如何預防特洛伊木馬程式，並不討論如何移除，[ 只是初級篇不宜太深入 ^^ 其實是我懶惰，以後有空在來個進階篇 ] 其實常見的特洛伊木馬程式都是掃毒程式可以移除掉的 [ ex. BO 2000 ， SubSeven ]，有些特洛伊木馬程式則要自己移除一些特定的檔案即可 [ ex. BirdSPY、NetSPY ]，其實在 BBS 上都會有人知道解除方法，所以不要來問我啦~~ [ 我很差，而且我還得用功讀書呢 ? ]

以上資料僅供參考

源於 史萊姆的第一個家 / 教學文件區