网络神偷下载,“(网络神偷Trojan.Nethief.46)”病毒:警惕程度★★★,木马病毒,通(tōng)过网(wǎng)络传播(bō),依(yī)赖系统: WIN9X/NT/2000/XP。病(bìng)毒会将自己拷贝到系统目录下命名(míng)为:Iexplorer.exe,然后在注(zhù)册(cè)表的自启动项中(zhōng)添加“Internet Explorer”的病毒(dú)键值。运行时(shí)会每隔一分(fèn)钟就连接一次病毒网站,并与病毒作者进行(háng)沟通(tōng),企(qǐ)图控制(zhì)用(yòng)户(hù)的(de)电脑,给用(yòng)户带来损失。
网(wǎng)络(luò)神偷是一个专业级的远程(chéng)文件访问工具,具有以下(xià)特点:
1.针对磁盘文件系统:本软件针对远程文件访问,而不(bú)是远程控制,力求“专而精(jīng)”。并(bìng)高度模枋 Windows 资源管理器,简单(dān)易用,我(wǒ)们(men)的(de)目标是使访问远(yuǎn)程驱动器就象访问本地的(de)一样方便。
2.强大的文件操作功能:可对本(běn)地及远程驱动器进行:新(xīn)建文件、新建文件夹、查找文件(jiàn)、剪切(qiē)、复(fù)制、粘(zhān)贴(包括:本地文件操作、上传(chuán)、下载、同远(yuǎn)程主(zhǔ)机的(de)文件复制与移动)、本地运行、远(yuǎn)程运行、重命(mìng)名、删除、查看、修改驱动器属性、修改(gǎi)文件(jiàn)属性(xìng)等操作(zuò),支持(chí)断点(diǎn)续传(chuán),并且所有操(cāo)作均支持多选及文件夹(jiá)操作(zuò)。
3.运(yùn)用了“反(fǎn)弹端口原理”与“HTTP 隧道技术”: “反弹端口原(yuán)理”:
由服务端主动(dòng)连(lián)接客户端(duān),因此在互联网上可以(yǐ)访问到局域(yù)网(wǎng)里通过 NAT 代理(lǐ)(透明代理)上网的电脑,并且可以穿过防火墙(包括:包过滤型及代理(lǐ)型防火墙(qiáng))。
概论(lùn)
此类软件被统称为远程控制类软件(或黑客软(ruǎn)件、木马软件),它们均为(wéi) C/S 结构 (Client/Server,客户机/服务器)。软件分为客户端与服务端两部分,客(kè)户端即为控制 端(duān)(由控制者使用),服务端(duān)为被控制端(由被(bèi)控制者使用),依据服务端运行时是否会显 示明显(xiǎn)的(de)运行标志(即(jí)对(duì)方是否知道(dào)它运行(háng)有服务(wù)端),可分(fèn)为正邪两派,邪派就是(shì)传说中的(de)黑客软件(jiàn)、特洛伊木(mù)马程序,是各大杀毒软件的首要(yào)目标。
同类软件原理
服务(wù)端运行后,会(huì)在本机打开一(yī)个网络端(duān)口(kǒu)监听客(kè)户端(duān)的连接(时刻等待着(zhe)客户端的连接),连(lián)接建立后,客(kè)户端可用这个通道向服务端发送命令并接收返回数据,即可实现远程(chéng)访问。
本(běn)软件(jiàn)原理
a.“反弹端口原理”简介: 如果对方装(zhuāng)有防火墙,客户端发往(wǎng)服务端的(de)连接(jiē)首(shǒu)先会被服务端主机(jī)上的防(fáng)火墙拦截,使服务端程序不(bú)能收(shōu)到连接(jiē),软件(jiàn)不能正(zhèng)常工作(zuò)。同样,局(jú)域网内通过代理上网的电脑,因为(wéi)是多台共用代理服(fú)务器的(de)IP地址,而本机没有独立的互(hù)联网的IP地址(只有局域网的IP地址),所以(yǐ)也不能正常使用。就是说(shuō)传统型的同类软件不能访问装有防火墙和在局域(yù)网内部(bù)的服务(wù)端主机。 但(dàn)往往是(shì)道高一尺、魔(mó)高一丈,不(bú)知哪(nǎ)位高人分析了防火(huǒ)墙的特(tè)性后发(fā)现:防火墙(qiáng)对于连入(rù)的连接往(wǎng)往会进行非常严格的过滤,但是(shì)对于连出的连接却(què)疏于防(fáng)范。于是,
与(yǔ)一(yī)般(bān)的软件相反,反弹端口型软件的(de)服务端(被(bèi)控制端)主动连接客户端(控制端),为(wéi) 了隐蔽起见(jiàn),客户端的监听端口一般开(kāi)在80(提(tí)供HTTP服务(wù)的(de)端口),这样,即使用户使 用端口扫描软件检查自己的(de)端口,发现(xiàn)的也(yě)是类似 TCP UserIP:1026 ControllerIP: 80 ESTABLISHED 的情况,稍微(wēi)疏忽一(yī)点你(nǐ)就会以为是自己在浏览网页(防火墙也(yě)会这么
认为的)。看到这里,有人会(huì)问:既(jì)然不能直接与服(fú)务端(duān)通信(xìn),那如何告(gào)诉服务端何时(shí)开始连接自己呢?答案是:通(tōng)过主页空间上的文件实现的,当客户端想与服务端建立连接时,它首先登录(lù)到FTP服务器,写主页空间上面的一(yī)个文件,并打开(kāi)端口监听,等待 服务端的连接,服务(wù)端定期用HTTP协议读(dú)取这个文件的内容,当发现是客户端让自己开 始连(lián)接时,就(jiù)主动连接,如此就(jiù)可完成连接(jiē)工作。 本软件用的就是这种“反(fǎn)弹端口”原理,可(kě)以(yǐ)穿过防火(huǒ)墙(qiáng),甚至还能访问局域网内部的电脑。据作者所知(zhī),在同类软件中(zhōng),本软件是唯一使用这种方法(fǎ)的,祝贺(hè)你!你幸(xìng)运的选择了它。
b.“HTTP 隧(suì)道技术”简介(jiè):简单的来说,就是把所有要传送的数据全部封装到(dào) HTTP 协(xié)议(yì)里进行传送(sòng),就可以
通过 HTTP、SOCKS4/5 代理,而且(qiě)也(yě)不会有什么防火墙会拦截(jié)。我(wǒ)们(men)都知道其它木马只能访问拨号上网的服务(wù)端(duān),而因为网络神偷使用了“反弹端口(kǒu)原(yuán)理”所以它不(bú)仅能访问拨号上网的服务端,更可以(yǐ)访问局域(yù)网里通过 NAT 代理(透(tòu)明代理)上网的服务端。而(ér)使用“HTTP 隧道技术”以后,它甚至(zhì)可以访问到(dào)局域网里(lǐ)通过 HTTP、SOCKS4/5 代理(lǐ)上网的服务端。这样, 就几乎支持了所有的上网方式(shì),也就是说“只要能浏览网页的(de)电(diàn)脑,网络(luò)神偷(tōu)都能访问!”。
服务端支持以下上(shàng)网方式:
拨号(hào)上网
ISDN
ADSL
DDN
Cable Modem
NAT透明代(dài)理(lǐ)
HTTP的GET型代(dài)理(lǐ)
HTTP的(de)CONNECT型(xíng)代理
SOCKS4 代理
SOCKS4A 代理
SOCKS5 代理
在上述上网方式下,均可正(zhèng)常工作。
上线通知原理
互联网如此之大,覆盖全球,我们(men)如何标识(shí)并找(zhǎo)到(dào)上面的任(rèn)何一台电脑(nǎo)呢?答案是:IP地(dì)址,每(měi)台连网电脑都会被(bèi)分配一个IP地址,这个IP地址是(shì)全球唯一的,就象你家的门牌号码,别人可以(yǐ)根据这个找到你。同样,IP地(dì)址分配是有规律的,可以根据IP地址分配表查(chá)出相应的地理位(wèi)置(本软件内置IP地址分配表)。现在大多数互联网(wǎng)用户是拨号上网的,拨号上网的IP地址是(shì)由ISP(互联网接入服务(wù)提供商,例(lì)如163、169)动态分配的。两台(tái)电脑想要连接就必须要知(zhī)道对方的IP地址(zhǐ),就(jiù)象想去你(nǐ)家串门就必(bì)须知道你的住址。因此,服(fú)务端(duān)如何(hé)把(bǎ)自己的IP地址告诉(sù)客户端就成了一个(gè)大问题,也就是服务(wù)端上线通知(zhī)。 现在最(zuì)常用的方法是(shì)Email通知,即服务端上网后(hòu),发(fā)送自己的(de)IP地址(zhǐ)到事先指定的邮(yóu)箱,客户端使(shǐ)用(yòng)者只要去收(shōu)信就行了。这种方面虽然最常用,但有很大(dà)不足,首先 Email的实(shí)时性得不(bú)到保证,时慢时快,这与(yǔ)发信服务器的(de)线路质量有很大关系。其次(cì),现在越来越多的(de)发信服务器设了(le)“发(fā)信认证”功(gōng)能,发信(xìn)也要邮箱(xiāng)的密码(原来只有收信才(cái)要),这就给服务端发(fā)信增加了困(kùn)难,服务端不带密码无(wú)法(fǎ)发送,带密(mì)码则有可
能(néng)被(bèi)别(bié)人破出来。本软件用的是另一种更先进的方法:UDP通知(zhī),客户端(duān)上网(wǎng)后,会将(jiāng)自己的IP地址写到主页空间的(de)指(zhǐ)定文(wén)件(jiàn)里,服务(wù)端定期(qī)读取这个文件的(de)内容,就可得到客户端的(de)IP地址,并将自己的一些其它信息(主机名、IP地址、上线时间等等)用UDP协议发送给(gěi)客户端。客户端接收后,将(jiāng)数据(jù)解释并(bìng)显示在“服务端在线(xiàn)列表”里,服(fú)务端(duān) 情况一目了然。可能(néng)有人会担心:主(zhǔ)页空间上(shàng)的文件谁都可以访问(就(jiù)象浏(liú)览网页),自(zì)己的IP地址会不会让别人看(kàn)到?这个问题作者当然已经想到(dào),所有可能被别人看到(dào)的数据(包括主页空间上的(de))都已(yǐ)经加密(mì)了(le),就算(suàn)别人拿到了也(yě)没用。而(ér)且数据加密(mì)密码(mǎ)是由用(yòng)户自行(háng)设置的,就连(lián)软件作者也无法破解。 网络(luò)神偷还(hái)有运用了“HTTP 隧道技(jì)术”的服务端上线(xiàn)通(tōng)知功(gōng)能,即如果服(fú)务端是 通过(guò) HTTP、SOCKS4/5 代理上网的,无(wú)法再使用 UDP 上线通知方法,它(tā)就会自动使用 “HTTP 隧(suì)道技术”的上线通知方法:先用“HTTP 隧道技术”与客户(hù)端建立一条 TCP 连接,以后每(měi)分钟再(zài)通过此(cǐ)连接向客户端发(fā)送上线通知数据(jù)。(“HTTP 隧道”主机的图 标与普通主机(jī)不同,图标前面增(zēng)加了一个金黄色(sè)的小管道)
把所有要传(chuán)送的数(shù)据全部封装(zhuāng)到(dào) HTTP 协议里进行传送(sòng),因(yīn)此在互(hù)联网上可以访问(wèn)到(dào)局域(yù)网里通过 HTTP、SOCKS4/5 代理上网的电(diàn)脑,而且(qiě)也(yě)不会有什么(me)防火墙(qiáng)会拦截。
所以,本软件支持所(suǒ)有的上网方式,既“只要能浏览网页(yè)的电脑,网络神偷都(dōu)能访问!”。本(běn)软件可以访问(wèn)以下上网方式的电脑:拨号上网、ISDN、ADSL、DDN、Cable Modem、NAT 透明(míng)代理、HTTP 的 GET 型(xíng)代(dài)理、HTTP 的 CONNECT 型(xíng)代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理。
4.先进的(de)服务端上线通知功能:服(fú)务端通过(guò) UDP 协议(yì)发消息给客户端,在“服务端在线(xiàn)列表”里(lǐ)可以看到服务端的(de)主机名、互联网的IP地(dì)址、局(jú)域网的IP地(dì)址、地址位置、上线时间、在(zài)线时长,所有信息一目了然,实(shí)时性高(gāo)、安全可靠,是 Email 通知方式所不(bú)能比的。而且还有运用了“HTTP 隧道(dào)技术”的服务端上线通(tōng)知功能。
5.所有公开的数据均用(yòng) RSA 数(shù)据(jù)加密(mì)。
注:软件使用前,使用者需提供一个主页空间(jiān)供(gòng)它使用(yòng),主页空(kōng)间申(shēn)请方法请看 Readme.txt。
