IT博客-天网博客

IT博客-天网博客http://www.cnitblog.com/skynet/电脑知识及网络应用！zh-cnMon, 04 May 2026 19:26:41 GMTMon, 04 May 2026 19:26:41 GMT60BACK ORIFICE 初探 http://www.cnitblog.com/skynet/archive/2008/04/10/42200.htmlniuniuniuniuThu, 10 Apr 2008 04:18:00 GMThttp://www.cnitblog.com/skynet/archive/2008/04/10/42200.html 作者：范征宇

　　大家可能都听说过BACK ORIFICE的大名，但是真正了解它的人可能并不多，甚至有一次某个朋友神秘西西的跟我说：“嘿，我昨天中了BACK OFFICE的毒了！”。后来我真还碰到不少BACK OFFICE、BACK
ORIFICE不分的人了。现在我可说清楚了啊，今天我们说的是BACK ORIFICE——那个著名FOR WINDOWS的黑客软件，而不是BACK OFFICE
——微软的服务器操作系统。

　　BACK ORIFICE（以下简称BO）说白了不能算一种真正意义上的病毒，因为它并无自我复制的能力，也不会自我传播。开发BO的黑客组织Cult of the dead cow宣称BO是一种系统管理软件，这确实也没有错，只是作为一种管理软件，它太隐蔽了，所以更多时候BO是被一些心怀叵测的人当作入侵工具来使用。

　　BO最新版本BO2000已经在网上发布，它能更简便地让“系统管理员”完成管理“工作站”的工作。BO被恶意使用时，入侵者和被入侵电脑就是这里所谓的“系统管理员”和“工作站”，而所谓管理，就是执行包括阅读文档、获得密码、删除文件甚至格式化硬盘在内的一切一切。

　　BO可以被装扮成其它软件（比如改个名README。EXE），并从EMAIL里发送，这样就很容易让初学者试着运行它，而运行完毕后（这用不了一秒钟，在用户看来，这个README。EXE似乎没有运行过）， BO不会给出任何提示，但却已偷偷地将自己安装到了用户的计算机内。此后，当用户再次连入Internet，（或局域网）BO的恶意发送者就能开始控制你的计算机了。其中关键问题在与WINDOWS95以上系统本身就被设计成一种网络化的操作系统，并允许通过网络的远程管理，而 BO正是在用户不知不觉中实现了这功能。

　　不想谈太多如何运用BO去袭击别人的电脑，因为这里不是黑客教程，我只想谈谈如何防止BO的入侵，如何检验BO的存在以及被入侵后该怎么办。

　　防止BO说容易确实很容易，只要一句话就行：别运行来路不明的程序。但要做到这点却不简单了，就算笔者也会偶尔忘了这一点。比如某个刚涉及网络不久的同事给我寄来一个EXE文件，我认为同事不会害我，便去运行了，但很可能这同事也不知道此EXE文件就是BO。

　　而检验BO的方法是查看注册表（在开始——》运行中键入regedit ）。查看Local Machion -> Software ->Microsoft -> Windows -> currentversion -> Run。如果BO在你的系统上安装过，则其中肯定会出现BO的注册项。当然更有效的方法是使用升级过的有“特洛依木马”检测功能的杀毒软件来查找，并去除BO。

　　如果您发现BO确实寄生在您的电脑中，那可以去下载一个名字为BODECTECT的程序来去除BO，笔者一时忘记了此程序的下载地址，应该DOWNLOAD。COM这类大型的下载站点都会有。

　　我们下期会继续就BO2000的新功能做进一步介绍，希望有兴趣的朋友也给我们来信一起研究。

niuniu 2008-04-10 12:18 发表评论

]]>