注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

黑客日记系列03:为了她,突破教室的封锁线  

2008-04-19 18:27:42|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

攻防博弈

Miaodeyu@vip.sian.com

 

为了她,突破教室的封锁线

博弈主题:校园网络安全

本期黑客:Deyu

个人专长:木马使用

技术难度:★★★☆☆

重点知识:分析与关闭计算机驻留程序虚拟机利用

 

现如今的学校课堂几乎已经完全脱离了黑板+粉笔的老式组合,电脑越来越多的出现在学校的教学中,电子教学为老师和学生都提供了崭新的课堂体验,然而电子教室中使用的大多数课堂管理软件,远远没有网吧中类似的管理软件的保护性能强大,这也为教室的安全留下了隐患……

3月18日  天气:黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋阵雨

 

这几天温度变化得很快,十分钟前,天空还是淡黄色的,但转眼间一阵阵细雨飘落,天气骤然冷了许多,一切都变得阴冷无比,仿佛被笼罩在一个巨大的冷气房中。窗外所有的景色都被细雨润上了一层鲜活的颜色,铺天盖地的。我一直坐在教室里,发呆盯着电脑屏幕上的画面,一边想着她。

其实,教室中每个人脸上都挂着麻木的表情,这种无聊的计算机基础课,连老师都懒得出现,课代表将已经准备好的录像通过一个叫做红蜘蛛多媒体网络教室的软件播放在每一个同学的电脑屏幕上。在这个人人都上网的时代,我真不知道看一个如何操作Windows98配置Outlook收发邮件的课堂教学录像有什么意义。我现在脑海中全是她,她今天没有课,她现在一定在网上,或许开着MSN,也许在等我吧。

我重启电脑,避开了烦人的教学录像,登陆MSN,她果然在线。我慌忙打开浏览器进入Google模式,网聊的好处就是,有Google人人都是玉树才子,有PS位位都是玉女佳人。这一次我的手比脑快,先说了一堆貌似关怀的温情话。见鬼,谁把我MSN关闭了?屏幕上弹出了一个对话框:小雨同学,好好看教程!原来那个带牙套的女课代表在利用课堂管理软件看我的屏幕,并强行终止了我的MSN。我绝对将这种不尊重隐私行为视为对我的宣战!好吧,就让她看看我是如何熟练的操作Windows的,我决定关闭这个讨厌的课堂管理软件!

 

被保护的进程

 

相对于很多局限性极大的网吧管理程序,红蜘蛛多媒体网络教室似乎没有屏蔽限制太多的操作,至少我可以系统盘中看到它的身影,而且根据系统盘程序文件家中搜寻到的程序名“RSagent.exe”和“ePointer.exe”,我很快在Windows的任务管理器中发现了这两个程序的进程。通常一个程序开启两个或者多个进程的程序,是为了实现多个进程之间可以互为监视,当其中一个进程被强行关闭后,另外一个进程可以再一次将被关闭的进程开启。现在很多人称这种技术为进程守护,不过这种进程守护和Linux中的进程守护并不是一个概念,在Windows系统中,这种进程之间互为监控的方式或许称为影子进程更为贴切一些。

首先我尝试着在任务管理器中强行关闭RSagent.exe,结果正如我当初设想的那样,RSagent.exe虽然短暂的被关闭了,但是很快又被重新启动了,显然是另外的监控进程在作祟。看来必须要同时将这两个进程一起关闭掉,才能够达到目的。我想起在WindowsXp中有一个tskill的命令可以强行关闭进程,如果写一个BAT批处理文件连续使用tskill命令同时关闭这两个进程,或许是个不错的方法。

我迅速打开记事本,写入tskill RSagent.exe回车tskillePointer.exe,这两个命令,然后保存为BAT格式文件运行。这两个进程的确在随后关闭了,但是关闭后很快又一次复原运行了,看来又一次失败了,问题究竟出在何处?

 

分辨不明的服务

 

我在脑海中快速的回想了一下,回忆到作为监控的影子进程,往往会将程序注册为Windows中的Services服务来达到监控和防止被强行关闭的目的。我点击打开“开始”菜单中的“运行”命令窗口,输入运行命令“services.msc”,进入系统服务列表界面,可能实在是我愚笨,在密密麻麻的服务中我并没有找到特别可疑的服务。

正当我无从下手的时候,突然看到了桌面上的“360安全卫士”,最近它添加了一项软件管理功能,或许可以利用这款现在安装率极高的安全软件将这只“红蜘蛛”杀死。我立刻点击打开360软件管理,进入界面后,点击“正在运行软件”,在这个选项中,系统中所有运行的软件被以开发公司的方式分门别类的罗列出来,页面最下方“公司未知”程序中,突然出现了四个未知运行程序。(图1)“rscheck.exe”和“checkrs.exe”这两个程序是做什么用的?难道它们才是真正保护前面那两个进程的幕后黑手吗?

 

 

为了证实我的判断,我打开360安全卫士的主程序,点击进入“高级”选项中的“系统服务状态”列表,果然看到了这两个程序在以系统服务的形式运行。完整的服务说明和名称让人短时间内从几十项系统服务中查找到它非常不容易。我试着点击“详细信息”中的“停止”按键终止这两项服务,但是程序立刻提示“服务无法终止”,看来就是这两个服务在作怪了。(图2)

 

虽然这只红蜘蛛不允许我停止它关键的服务,但是此时通过“系统服务状态”中的“命令行”,我已经看到了这两个程序所调用的服务路径,结合“系统服务状态”后面的“系统进程状态”,我分别找到rscheck.exe、checkrs.exe、RSagent.exe和ePointer.exe这四个关键进程,将它们全部进行勾选上,最后点击“结束选中进程”后,红蜘蛛那个讨厌的标志终于消失了。(图3)

 

 

安全软件的安全用法

 

关闭这个烦人的软件后,我感觉我做的还不完美,因为强行关闭红蜘蛛后,在老师的监控端,他会突然发现屏幕上少了我这么一个学生。虽然通常情况下不会被发现,但为了完美起见,我决定在下周上课的时候,在我的U盘上准备好Vmware虚拟机的绿色版,在将体积比较小的Windows98安装在里面,这样我虚拟机中配置运行一套一模一样的红蜘蛛多媒体网络教室学生端,即便再一次关闭系统中的红蜘蛛也不会在监控端突然发现少一台机器了。

其实如果老师想防范我关闭课堂管理软件也很简单,他只需要将某些软件的使用权限进行设置就可以屏蔽掉恶意的用户。当然我今天用来关闭课堂管理软件的方法,同样可以用来查杀木马病毒等有害程序,这些步骤几乎一模一样,这其实是对黑客最完美的诠释,亦正亦邪。

 

黑客战书

 

黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋

 

黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋

 

黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋

 

黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋

 

黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋

 

黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋

 

黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋

 

黑客日记系列03:为了她,突破教室的封锁线 - 苗得雨 - 苗得雨:网事争锋 

 

  评论这张
 
阅读(26)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017