善恶一念间

Author: 吕颜超 Date: 1999年 第49期 25版


  远程控制使管理人员在异地通过计算机网络(WAN),将目标计算机的桌面环境显示到自己的计算机上,通过本地对远程计算机进行操作,就如同在本地计算机上操作一样。对于网络管理员、技术服务人员来说,远程控制提供了一种便捷、高效的手段。但是由于这种软件的特殊性,可能带来很多意想不到的结果。
  基本原理和结构:远程控制软件实际上是一种客户机/服务器程序,服务器程序安放在被控制的计算机端,客户机程序安装在控制端。它的原理很简单:在本机直接启动运行的程序拥有与使用者(客户端)相同的权限。因此如果能够启动服务器端的服务器程序,就可以使用相应的客户端程序直接控制主机了。也就是说客户端就好比一个超级用户,可以直接控制计算机。Windows98本身就支持远程控制管理功能,例如MODEM唤醒、启动等功能;Windows NT也支持远程操作。这些都为远程控制软件的产生提供了优越的条件。
  远程控制软件的运行过程:在客户端和服务器端都安装成功之后,客户端在网络上搜寻已经安装了服务器的远程计算机,之后客户端就发出指令获得服务器端的主机信息,包括主机的IP地址等,然后根据客户端的连接指令,两台PC建立起连接。之后,就可以通过网络的互连协议TCP/IP进行远端控制,实现上述的种种功能。
  远程控制软件所存在的问题:远程控制软件可以为我们的网络管理工作做很多工作,以保证网络和计算机操作系统的安全。这类程序的监听功能,也是为了保证网络的安全而设计的,但是如果使用不当的话,就会出现很多问题。为了达到远程控制的目的,就必须将这些软件隐蔽起来,例如有的远程控制软件为了不让用户发现而被删除,就采用了一些办法使自己隐藏起来,使远程控制程序本身附着在某些Windows程序上,以增强驻留系统的可靠性。
  然而,正是由于这种功能,才使远程控制软件变得可怕起来。首先安装远程控制软件的服务器端的时候,必须对Windows等操作系统的注册表进行修改,以便当Windows一启动的时候,控制软件就启动,以达到随时控制的目的。而文件型计算机病毒也正是利用这种原理进行破坏:文件型病毒也是寄生在某些特定的文件中,如典型的Jerusalem(黑色星期五)、Sunday、Cascade等文件型病毒,就是寄生在扩展名为COM、EXE、OVL的可执行文件中来达到寄生的目的。所以,在编写具有寄生功能的远程控制软件时,如果没有充分考虑激发程序运行的条件和程序运行当中的容错性的时候,很可能就会出很大的问题。如果编写远程控制程序的唯一目的是为了盗窃人家计算机上的隐私,这时候远程控制软件就不再是软件而是恶性的黑客程序了。所以,善恶只有一步之遥。比如有名的远程控制软件YAI就是一个例子,它就是没有处理好软件的安全问题,差一点就成了第二个CIH了;在计算机界很有名的“特洛伊木马”BO就是这样的一个后门程序。
  被用于黑客软件的远程控制软件:
  1.闻名世界的远程控制程序BO。
  2.引起广大用户反响的国内软件YAI:YAI是一个标准的远程控制软件,其强大的功能使得一个网络管理员几乎可以对整个网络进行任何管理,然而由于设计缺陷造成了极大的误解。(附作者主页:http://personal.gz168.net/cloudy,注:可以到作者的主页下载YAICleaner来彻底清除YAI。)
  3.当作黑客软件典型的网络监视软件S-term:虽然表面上看来是一个用来上BBS的软件,但是S-term还具有网络监视的功能,它能对一个网络进行监视和攻击,如果利用这个功能攻击其它计算机,它就是个十足的黑客软件了。如果你使用该软件后出现“物理地址与ff.ff.ff.ff冲突”的提示的话,就说明你被人攻击了。
  (笔者信箱:jack.lv@263.net个人主页:http://antweb.yeah.net)