LockDown2000实战手册

Author: 杜江 Date: 2000年 第12期

  由于计算机网络不断地遭遇非法入侵,重要情报资料被窃取、甚至造成网络系统的瘫痪等,已给各个国家、众多公司和个人造成不同程度的经济损失。特别是去年臭名昭著的黑客组织Cult of the dead cow(死牛的祭拜)在一年一度的黑客年会上公开发布了一个功能强大、危害性极强、使用简单的黑客攻击软件BO 2000,并公布了全部源代码。日前一个名为L0pht黑客组织又推出了Back Orifice 2000黑客软件的插件。这个插件名为BOTOOL,为Back Orifice 2000提供了一个使用更加方便的界面。世界其他黑客组织也在纷纷研制黑客软件的插件。有了这些插件后,就可对被控制计算机执行更多的操作。可以接收被控制计算机的灰度图像、能远程控制键盘及鼠标的操作,一切只有系统管理员才能使用的功能,都可在世界的任何角落实现,方便得几乎如同操纵自己身边的计算机一样。
  网络用户已经意识到,保存在自己计算机的资料已不再安全了,即使没有多少经验的黑客也可以不费吹灰之力轻而易举地通过计算机操作系统的漏洞和固有的安全薄弱环节访问你的资料库。正是由于这些漏洞(即黑客眼里的后门)使得所有的网络用户成为无孔不入的黑客攻击的对象。著名的Harbor Telco网络安全技术公司为此开发了号称是Windows最有效的网络安全防护软件LockDown 2000。该软件自推出后,备受青睐。经试用后,即被其强大的功能所震撼,真可谓道高一尺,魔高一丈。它不仅可以与你区域网络中现有的防火墙一起合作,自己本身也可以成为一个防火墙,防堵并监控来自网络上黑客使用的解密软件,闯入你的计算机。LockDown 2000新的先进的功能可阻挡任何人的入侵,保护你的重要文件免遭他人的偷看和删除。当你连线上网时,LockDown 2000会自动在后台启动,实时查杀364种1300多个黑客程序,如果你喜欢使用ICQ与外界联系,LockDown 2000能够向黑客发送无效的文件包从而使你的计算机免遭黑客的ICQ炸弹的攻击。此外,它还是一个全功能的网络管理软件。
#1  一、LockDown 2000的主要功能
  LockDown 2000是目前世界上针对Windows操作系统最有效、最完善的安全防护软件,它能非常智能化地追踪和识别未经允许的用户。LockDown 2000可以使Internet用户免遭最老练黑客的攻击,阻止任何人闯入你的计算机,保护你的文件不被人偷看或删除。如果你要与他人共享你的资源,只须列出他们的地址,他们就可以访问你的计算机。LockDown 2000的作用就像一道设在你计算机和Internet之间的防火墙,它会自动地为你实时查寻目前世界上的各种黑客程序。
  如果你允许某些人访问你的计算机,LockDown 2000会保存一份完整的记录并简要地报告联接到你计算机的用户的身份。通过反登录,详细地记载他们连接的时间和地址情况,以及十分详细地记录他们在你计算机里到底做了什么事情。
  它的主要功能有:
  1.能够完全关闭远程用户(很有可能这种用户就是黑客)对你计算机系统的访问;
  2.实时监控和记录远程用户在你计算机里的活动情况;
  3.自动追踪所有连接情况,记录黑客的IP地址、域名和计算机名称,从而查出黑客是何方人士;
  4.如果有人已经连接到了你的计算机或正在企图闯入,LockDown 2000会用不同的声音发出警告。如果有人未经你的许可,就连接到你的计算机,它立刻会在屏幕上弹出警告窗口和实时监控窗口;
  5.完全控制Internet或局域网的任何连接情况;
  6.可以自动地任意断开与一个用户或所有用户的连接,这对于资源共享的计算机而言,是非常重要的;
  7.能够记录以前连接到你的计算机的用户资料,能够限制与你计算机连接的数目;
  8.如果你喜欢使用ICQ与外界联系,LockDown 2000能够向黑客发送无效的文件包,从而使你的计算机免遭黑客的ICQ炸弹的攻击;
  9.可以查出和中止偷偷运行在你限制的程序列表中的任何一个程序,这种程序很可能是一种不知名的黑客程序或病毒。
  此外,LockDown 2000还有易于安装、与其它程序不发生任何冲突的特点。
#1  二、LockDown 2000的安装
  LockDown 2000是全功能共享软件,最直接的获取方法就是到它的开发商主页http:∥lockdown2000.com的download页面中去下载。它的最新版本为V3.0,文件大小2.1M。不过,试用期只有10天,笔者目前使用的是注册版,没有时间限制。
  LockDown 2000的安装十分方便,下载后的文件为lockdown2000.exe,直接执行即可开始安装,安装界面如^12040301a^1所示。整个安装过程完全智能化,你只须点击Next和最后的Finish即可顺利完成。
  安装完成后,你就可以看到一个小小的图标出现在Windows的状态栏里了。这表示LockDown 2000正在后台自动运行。首次运行,基本上无须作什么设置,就可直接使用。
  LockDown 2000可随Windows的启动而自动运行,或者从一般的“开始→程序→LockDown 2000”来直接运行。运行后以小图标的形式出现在状态栏里。用鼠标右键点击,就会弹出其漂亮的主界面(如^12040301b^2)。LockDown 2000将强大的功能安排得井井有条,图2上面的大图标代表了它的5大功能,从左到右分别是Scan(黑客程序扫描)、Options(选项设置)、Logs(各种网络记录)、Update(LockDown 2000网上升级向导)和Help(帮助文件)。
#1  三、Scan(黑客程序扫描)
  LockDown 2000的Scan功能可以说是它的精华所在,它提供了三种扫描黑客程序的方式,你可以根据自己的实际需要随心所欲地在其中选择。
  点击主界面的Scan图标即出现如^12040301c^3所示的对话框,它对系统注册表及其相关文件进行扫描,目的是检查系统文件,如WIN.INT、AUTOEXEC.BAT、SYSTEM.INT、CONFIG.SYS、Windows启动文件夹和系统注册表的变化情况。
  1.自动扫描Trojans(特洛伊木马)程序
  如果LockDown 2000发现你的计算机的系统配置文件在上网时突然发生了改变,立即弹出“系统文件改变提示”窗口,并显示发生变化的位置,这种系统文件的改变不一定是黑客程序引起的,它可能是你在上网的同时安装了一个新软件或者是对系统文件的设置进行了改变。但是,如果你执行了一个可疑的文件,那么此时的提示标志着你的系统文件十有八九被黑客的特洛伊木马入侵。
  如果你刚刚运行了一个游戏或打开了一个来历不明的邮件附件(目前,国内的很多业余黑客就是通过这种方式来传播和攻击他人计算机,他们常常在邮件正文编一个美丽动人的谎言,诱使你打开伪装成附件的黑客程序),很可能一个特洛伊木马程序就潜入了你的计算机系统,一旦你上网,该程序会迅速告知远端的黑客,你的麻烦就开始了。有了LockDown 2000在后台监控,就避免了这样的麻烦,它允许你及时了解你的计算机的内部情况,也允许你故意安装一个黑客程序,不过,它会在Windows的系统状态栏的右下角出现一个图标,随时提醒你并监控正在使用黑客程序的一举一动。
  总之,有了这个自动识别功能,你不会在你不知晓的情况下,让一个黑客程序在你的计算机里悄悄运行。
  2.黑客程序人工扫描
  如果想自己动手亲自扫描检查一下是否有黑客程序,仅须在图3的(B)区输入一个盘符号,单击一下(C)就开始扫描各种Trojan,它会以非常低的优先权限占用极小的系统资源开始搜索指定硬盘的所有文件,从而保证了你所运行的其他程序不受到影响。最奇特的地方是如果LockDown 2000发现其它程序须要使用CPU资源,它会让出CPU资源,因此,它不会减慢或干扰你的正常工作。
  3.后台扫描特洛伊木马程序
  当你选中图3中的(D)选择框,LockDown 2000就会在你使用计算机工作的同时,在后台自动默默地为你扫描Trojan程序。这种模式是LockDown 2000的缺省扫描方式,也是最快最方便的方式。这种功能将扫描重要的系统文件目录,如Windows、Windows\System、Windows\Temp以及启动文件夹和系统路径,其扫描的时间间隔可以根据你的需要来设定,(E)区代表扫描的时间间隔长度,单位为秒。一般设定值为60秒,值越小,扫描就越频繁,也就更加安全,但将耗费更多的计算机资源,如果你的计算机配置较低,该值最好取大一些。
  在后台扫描过程中,只有那些已经发生改变的文件才会被检查。
  值得注意的是,如果这一项未选的话,系统启动时无法立即进入扫描状态。
  此外,在图3中的(F)区表示附加扫描路径,你可以在这里添加每当自动扫描功能激活时打算扫描的其它路径,例如,你的下载文件的保存路径。
  (G)区是一个按特洛伊木马名称进行扫描的整个特洛伊木马黑客程序列表,几乎包含了全部1300多种特洛伊木马。
  在图3的(H)区,你可以加入某个特洛伊木马程序,让LockDown 2000不把它当黑客程序对待,忽略扫描。例如你与朋友使用一个特洛伊木马程序来保持远程联接和数据资源共享的话,在此栏填入该特洛伊木马程序名称,LockDown 2000就不会大惊小怪地干扰你们的正常联接了。
#1  四、Options(选项设置)
  LockDown 2000的功能极其强大,几乎涉及到了网络安全防护的方方面面,了解其设置的使用方法是充分发挥其功能的重要的一环。点击Options大图标即出现如^12040301d^4所示的界面。
  1.General(一般设置):
  该设置包括以下几个方面最基本的设置:
  (1)Refresh Rate(刷新速度):刷新速度表示刷新或断开网络连接所用的时间,值越低就越安全。注意,时间单位为毫秒,即1000毫秒=1秒。
  (2)Number Of Connections To Remember:表示保存以前连接的网络用户的数目。
  (3)Launch LockDown On Startup:表示每当启动Windows的时候,就自动开始运行。
  (4)Popup Window On Connection:以弹出窗口的形式表示有人连接到你的计算机上,如果想登录到你的计算机的是你的伙伴,你可以从下拉列表查看当前或以前他连接你计算机的活动记录。
  (5)Log IPC$:是Inter Process Communication(内部过程通信)的简称,用于在两台分布式计算机间进行某种信息的交换。如果他人以前常用局域网与你连接,你可不选该项。
  (6)Sound Configuration:提示声音的设置。当有人企图闯入你的计算机时,有三种警告声音方案可供选择。
  ①当有人与你的计算机连接而你不想让LockDown 2000用声音提示,选择该项。
  ②当有黑客攻击,LockDown 2000就发出尖锐的警报声。这是声音报警的缺省方式。
  ③使用自己感兴趣的声音,选中Custom Sound(定制声音),然后选择你已录制好或想挑选的声音文件。
  (7)Warn When Exiting:退出LockDown 2000时发出提示。
  (8)Default Whois Server:这是为反追踪黑客所使用的第三方服务器,可任选一个该项提供的远程服务器。
  (9)Trace Route New Connection:使用该项功能可以追踪任何企图连接到你计算机的黑客的情况。
  2.Disconnect options(切断连接方式设置):
  如果有人企图通过网络与你连接时,这些人中可能既有你的朋友,也有想打你主意的黑客。当LockDown 2000检测到远程的连接时,你可以根据具体情况来选择:
  (1)Disconnect all:断开所有的远程连接。
  (2)Disconnect list:只断开在你文件列表中的那些远程使用你计算机的用户。
  (3)Disconnect Off:允许任何人连接到你的计算机,当然黑客对此最高兴。
  3.IP Filter:
  对某些黑客常用的Internet服务器进行过滤。
  4.Detection Options(检测设置):
  当选择Options→Detection项时,LockDown 2000有三种检测与你计算机非法连接的方式。
  第一是Detect Trojan Connection Attempts,将侦察是否有人想用特洛伊木马程序强行侵入你的计算机。当它发现你的计算机里有特洛伊木马程序或企图从某黑客端闯入你的计算机,它马上识别和提醒你发现有非法连结,还提示你“找到一个黑客”,并将该黑客的IP地址和其他追踪结果以各种形式向你报告。这样你就可以向黑客所在的ISP(即网络服务提供商)提出抗议,ISP一般会终止对该非法用户的服务。
  第二是ICQ Nuke Protection,如果你在自己的电脑上安装一些具有服务器功能的软件,如ICQ等,它将会透过开“端口”的方式允许其它的机器连结到你的电脑上,并且免费向你提供各种广告资讯,但如果遇到网络黑客的话,这可成了他们入侵到你电脑中窃取你个人资料隐私的最佳途径。当然,要在你上线时同时中止别人连结到你的电脑上可不是件容易的事,不过可用LockDown 2000的这个功能来监视“端口”的一举一动,限制你的电脑可以提供的“端口”的数目,这样黑客也就没有办法在你的电脑上偷偷开个“小门”,窃取你的重要资料了。
  第三是Nuke Protection,功能和第二种相似,也是通过监控“端口”来封杀黑客的企图。虽然它并不如防火墙一般可以做到最完善、有效的阻挡所有的入侵动作,但是它却能够有效防止其它连结到你电脑上的机器使用你未开放的端口,这样,你被黑客入侵的机会也就大大地减少了。如果你喜欢用ICQ,一定要选择该功能,因为它可以监控通过ICQ来窃听你谈话内容的黑客活动。
#1  五、Logs(各种网络记录)
  想知道自己的计算机是否受到黑客的袭击,是否有人对你的计算机感兴趣吗?轻轻点击主界面的Logs大图标,你的计算机在网络上的遭遇便一览无余(如^12040301e^5),这个记录文件是位于LockDown 2000安装目录下的currentdata.log。你可以用Windows附件中的记事本打开这个记录文件,也可以保存为另一个新的文件或者删除文件的部分内容。
#1  六、Update(LockDown 2000网上升级向导)
  主要是为已购买LockDown 2000的用户提供网上升级服务。关于如何升级,在此就不作介绍了。
#1  七、Help(帮助文件)
  LockDown 2000提供了较详细的帮助文档,英语不好的朋友也许会感到头疼,但其大部分关键内容本文几乎都涉及到了,不看也罢了。
#1  八、对黑客全面出击
  LockDown 2000通过对启动文件和系统文件注册表的实时监视来识别闯入你系统的特洛伊木马程序,如果某个程序在运行前要重新启动计算机,它就会提示你是否在每次启动系统时运行该程序,由此你可根据该程序是否是自己已知的进行判断和监控,从而防止黑客程序偷偷加入后随系统启动自动运行。
  在你安装LockDown 2000之前,你也许已经中了特洛伊木马,但在每次启动时你并不知道。黑客程序实质上是一个后门程序,在激活之前必须隐藏在你的系统注册表或配置文件里,这样它才能为黑客的远程操纵提供一个端口。因此,为了确保你的系统干净,请检查Windows自启动区的所有程序,让只有你了解的那些程序随系统启动时运行。
  也许,网友会问:如果已经有黑客闯入了我的计算机,该采取什么行动?我能将黑客绳之以法吗?在大多数情况下,根据美国的法律,闯入计算机的黑客是二级犯罪,然而,你为了提供确凿的证据所花的时间及费用以及计算水平常常妨碍了立案的过程;此外,法庭在一般情况下,对黑客都会网开一面,判罪较轻。当然除非你遇到极其严重的黑客攻击,你不得不诉讼于法庭,你应采取的行动是与为黑客提供Internet服务的ISP(Internet服务商提供商)联系,ISP知晓他们的设备正在被违法犯罪分子利用,会非常重视,常常会立即追查和取消该黑客的账号。
  LockDown 2000的最大优点就在于,在你未受到任何损失之前,提醒追踪和阻挡黑客的攻击,并能识别出黑客和他所使用的ISP和计算机服务器名称。