功能描述: NetSpy从功能上讲是一个基于TCP/IP协议的简单文件传送软件,它分为服务器软件和客户端软件两部分。
服务器软件运行在远程计算机上,服务器软件只有一个可执行文件netspy.exe, 不需要安装,也不需要特别的运行库,就可以在Windows 95/98/NT系列操作系统中运行。服务器软件实质上就是一个“特洛伊木马”程序,使用者通过一定手段(如E-mail、聊天室等)引诱你执行,执行后在你的系统上留下使用者自由侵入你的计算机的连接出入口)。
客户端软件安装于使用者自己的计算机上,通过客户端,使用者可以对远端的计算机发布命令和进行文件操作。
一旦在远程计算机上驻留成功,该计算机相当于一台没有权限控制的增强型FTP服务器。通过NetSpy,黑客可以自由地、神不知鬼不觉地下载或上传该计算机上的任何文件,并可以执行一些特殊的操作。
要想自由存取远程计算机上的文件,必须先在该目标计算机上安装NetSpy,即设法让远程计算机用户运行一次NetSpy.exe(当然你可以修改执行文件名),NetSpy会自动注册到系统里,并在以后开机时自动执行。
在远程计算机上成功安装后如下图所示。
检查是否已经被感染
安装完毕后,攻击者就可以通过网络存取此远程计算机上的资源了。这时,只要在其他任何一台计算机上执行netmonitor.exe程序,在“计算机”菜单里选择“添加”命令,如下图;
添加计算机
从弹出的对话框中输入被攻击目标计算机的IP地址或域名地址,如下图。
IP地址对话框
输入完毕后单击“确定”按钮就可以连接到远程目标计算机上进行操作了。如下图。
远程管理界面
一般的文件操作与Windows9X的资源管理器类似。除了普通的文件操作外,NetSpy还可以执行一些特殊的操作,如关闭远程计算机,向远程计算机上发送信息,执行在远程计算机上的程序、观察远程计算机的屏幕图形、管理远程计算机的进程、向远程计算机上传文件等。
注意:当执行远程计算机上的文件时,并不限于.EXE可执行文件,对于WORD文档等已经在系统内注册过的文件类型,也可以执行,其效果和直接在远程计算机上用鼠标双击此文件一样。
Netspy的主要功能如下:
文件操作:允许对远程计算机进行上传文件、下传文件、建立目录、删除目录,文件和目录改名等操作。
进程操作:可以对远程计算机上的活动进程进行列表和强行终止操作。
进程列表
查看屏幕:可以查看远程计算机的屏幕信息。使用者可以自由设定查看的屏幕图像分辨率和压缩质量,通过使用较低的分辨率和压缩质量,可以在慢速连接上获得较快的传输速度。
远程计算机屏幕信息
发送信息:可以向远程计算机发送简短的信息。
发送信息窗口
关闭计算机:可以关闭远程计算机。单击“工具”菜单下面的“关闭计算机”命令,可以强行关闭远程计算机。
远程执行:可以在远程计算机上执行打开文件操作和命令。
密码验证:设置密码后,只有正确输入密码,才能对远程计算机进行操作。
加密传输:一旦设置密码后,所有传输的数据自动加密,防止被窥探器截获敏感信息,加密算法目前采用64位DES算法。
远程设置:允许通过网络设置远程计算机的端口和密码。设置的目的是让他成为自己专用。设置方法如为:在远程计算机上执行Netspy.exe,执行后屏幕的右下角任务拦出现一个人头图标任务,用鼠标右键单击该图标,从弹出的菜单中选择“设置”项,第一次设置在“输入密码”对话框中不用输入密码,直接按“确定”,进入“设置”对话框,输入连接入口(端口号)和密码,按“确定”按钮即可。设置过程如下图所示。
设置过程
断点续传:文件传输过程中,可以进行断点续传,节省传输时间。
远程压缩:可以对选顶的一组文件和目录进行打包压缩,再下载到本地,压缩包与winzip兼容,支持子目录搜索和压缩级别设定。压缩工作在远程计算机完成,不占用网络时间,可以大大加快下载速度。
系统信息:可以获得远程计算机的一些基本信息,包括:CPU类型和数量,操作系统版本,系统内存数量,计算机名及登录用户名等。(单击“工具”菜单下的“系统信息”项)
防范措施:
·安装Lockdown2000防火墙程序:该防火墙程序上期已经介绍,它能自动监视网络通信端口,并自动记录登录到你的计算机上的远程计算机的IP地址、登录时间、登录状态等信息,同时还可以限制登录和强行断开登录等等。安装完毕后自动运行,同时在设置选项里,将Disconnect断开连接设置为Disconnect no one(不断开任何连接),不能把连接堵死,要留下连接入口让远程攻击者登录,一切安置完毕后就只等着对方自投罗网了。
Netspy.exe文件运行后,立即拷贝一个副本到Windows安装目录的system目录下(如图1),并在注册表中加入下列键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netspy(如图9)
查看注册表信息
该键值就是使netspy.exe在每次启动Windows时都被执行的原因。要检查当前的系统中是否有netspy.exe在运行,只需查看Windows安装目录下是否有netspy.exe,以及打开注册表编辑器,查看在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面是否有Netspy键值即可。
要清除NetSpy,先把注册表里面那个键值删除,再删除Windows\system目录下的备份文件。
也可以单击任务拦里的Netspy图标,在弹出菜单里选择“卸载”就可以将Netspy从本机卸载。或者也可以运行Netspy Remover卸载。Netspy Remover 可以从Netspy站点下载