蔡逸竹

介紹

NetBus是一個新近在網絡上出現的、和著名網絡攻擊程序Back Orifice類似的網絡特洛伊木馬程序。它會在被駐留的系統中開一個「後門」，使所有連接到Internet上的人都能神不知鬼不覺地訪問到被駐留機器（如果他有NetBus控制端的話）－－然後控制者可以惡作劇地隨意控制你的鼠標，在你機器上播放聲音文件，或者打開你的光驅等，更危險的當然是刪除你的文件，讓你的機器徹底崩潰－－如果他想那樣做的話。

NetBus比Back Orifice更方便使用也更強大（當然也更危險）－－至少它也同樣能控制NT（Back Orifice不能），這恐怕是以為NT非常安全的人的惡夢了！NetBus的最初版本發佈於1998年3月，近來使用較多的是NetBus 1.60和NetBus 1.70。
　

NetBus的攻擊原理
NetBus由兩部分組成：客戶端程序（netbus.exe）和服務器端程序（通常文件名為：patch.exe）。要想「控制」遠程機器，必須先將服務器端程序安裝到遠程機器上－－這一般是通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序後完成的。這是特洛伊木馬程序的由來，也是此類程序發揮作用的關鍵！因此，不要貿然運行網上下來的程序！這永遠是金玉良言！

特別是NetBus 1.70，它在以前的版本上增加了許多「新功能」，從而使它更具危險性！比如： NetBus 1.60只能使用固定的服務器端TCP/UDP端口：12345，而在1.70版本中則允許任意改變端口號，從而減少了被發現的可能性；重定向功能（Redirection）更使攻擊者可以通過被控制機控制其網絡中的第三台機器，從而偽裝成內部客戶機。這樣，即使路由器拒絕外部地址，只允許內部地址相互通信，攻擊者也依然可以佔領其中一台客戶機並對網中其它機器進行控制。

Hacker 只需叫 目標 執行 Server 載入程式(如果你是高手的話，可以透過 Microsoft 的漏洞經 E-mail 自動係目標電腦中執行)，呢個程式會產生一個叫 KeyHool.dll 的檔案，之後係系統每次啟動時載入記憶體中，只要目標上網，係 ICQ 度看一看 目標的 IP (N/A也可以用 ICQIPSNIFFER 解破)，之後就………

發現並清除NetBus的方法
不過，NetBus儘管厲害，發現並去除它卻並不困難。

通常，NetBus服務器端程序是放在Windows的系統目錄中的，它會在Windows啟動時自動啟動。該程序的文件名是patch.exe，如果該程序通過一個名為whackamole.exe的遊戲安裝潛伏的話，文件名應為explore.exe（注意：不是explorer.exe！）或者簡單地叫game.exe。

同時，你可以檢查Windows系統註冊表，NetBus會在下面路徑中加入其自身的啟動項： "\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" NetBus通過該註冊項實現Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del，在任務列表中是看不到它的存在的。



正確的去除方法如下：
1、運行regedit.exe；
2、找到"\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run"；
3、將patch項刪除（或者explore項）；
4、重新啟動機器後刪除Windows系統目錄下的patch.exe（或者explore.exe）即可。
　

有些木馬程序在種木馬的同時，感染系統文件，所以即使用以上方法去處了木馬，系統文件被運行後，會重新種植木馬。即使是防病毒軟件，也不一定能徹底清除。

NetBus可以說是第二隻流行的特洛依木馬，功能雖然不及BackOrifice，但宅卻有更具親和性的使用介面及更直接的功能，所以受到很多初級駭客的垂青。由於V1.6和V1.7功能相約，所以本次的教學只介紹V1.7的版本。

NetBusV1.6共有二個檔案，分別如下：

-NetBus.exe客戶端程式。
-patch.exe伺服器安裝程式。

NetBusV1.7共有二個檔案，分別如下：

-NetBus.exe客戶端程式。
-999.exe伺服器安裝程式。

（這是預設的檔名，是可以隨意更改的。）

NetBusV1.7伺服器安裝程式

NetBusV1.7的伺服器安裝程式叫999.exe（預設名稱），體積483K。執行後更會自動複製到其他地方。它不會在"工作列"或"關閉程式"中出現，亦不會影響其他程式之操作。

另外，執行後的NetBusV1.7會自動加入在系統的啟動區中，由於會在Windows載入時自動執行，所以就算你找到它，你仍然無法將它刪除（執行中的檔案是不能刪除的）。

NetBusV1.7執行後會複製到地方及名稱

-C:/windows/999.exe

NetBusV1.7在登錄檔中的路徑及名稱

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ruu中，〔999,"C:\windows\999.exe\nomsg〕。

NetBusV1.7的客戶端程式

執行NetBus.exe後，輸入伺服器端的IP及Port，然後按"Connect"，就可以連上。

Scan這個鍵可以掃瞄出在指定的Port中，有那一個IP已安裝了NetBus的伺服器程式，最多可以掃瞄255個Port。據我所測試，這個功能經常不能正常工作。

NetBusV1.7的功能鍵

一、Serveradmin

-伺服器的行政管理。

二、OpenCD-ROM/CloseCD-ROM

-打開/關閉對方的光碟時。

三、Showimage

-顯示圖片。

-按鍵後輸入伺服器中圖片的檔路徑及名稱（例如：C:tet.jpg），再按確定，圖片就會出現在他的桌面，只限jge及bmp檔。

四、Swapmouse/Restoremouse

-使滑鼠的左右鍵功能對掉。

五、Startprogram

-執行程式。

-按鍵後輸入伺服器中的程式路徑及名稱（例如C:\autoexec.bat），再按確定。

六、Msgmanager

-以對話盒方式傳送訊息給對方。

七、Screendump

-抓取伺服器端的螢幕影像，且顯示在客戶端的桌面，若想存檔的話可以按滑鼠右鍵再按save。

八、Getinfo

-伺服器端的電腦資訊。

九、portRedirect

-將來自Port連線或封包的資料改道至其他的IP。

十、Playsound

-播放音樂（只限wav檔）。

-按鍵後輸入伺服器中的聲音檔路徑及名稱（例如：C:/windows/media/TheMicrosoftSound.wav），再按確定，伺服器端就會有音樂播放了。

十一、Exitwindows

-替伺服器端的電腦關機。

十二、Sendtext

-按鍵盤上的鍵（Enter以這個符號"▏"代替）。

十三、Activewnds

-使執行中的視窗在最上面，或強行關閉執行中的視窗。

十四、AppRedirect

-將控制台的I/OPort改道。

十五、Mousepos

-將伺服器端的滑鼠移到指定座標（預設是0，0）。

十六、Listen

-記錄鍵盤的輸入動作，也可以按鍵盤上Alt-Tab/Ctrl-Esc/Tab等鍵。

十七、Soundsystem

-向正在播放的音響系統進行錄音，可錄的音響系統包括wave、synth及CD-audio。

十八、Serversetup

-伺服器的設定。包括有Port及密碼設定。另外還可以設定每當伺服器連上網路時會自動發出電子郵件通知指定的地址（被警察抓了時不要哭）。

十九、Conterolmouse

-控制滑鼠。

二十、GotoURL

-關啟對方的預設瀏覽器及去你你指定的網址。

二十一、Keymanager

-令鍵盤不正常運作。包括有令擊鍵時會發出聲響、讓指定的鍵無效、及讓所有鍵無效等功能。

二十二、Filemanager

-檢視、刪除、上傳、下傳檔案。

刪除NetBusV1.7的方法

一、編輯登錄檔，停止它的自動載入功能

在"開始>執行"的空白處中填上"regedit"，然後按"確定"，就會出現一個"登錄編輯器"。再選擇"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"，在"999,C:\WINDOWS\999.exe"上按滑鼠右鍵選擇"刪除"就可以了。

二、刪除NetBusV1.7程式

先執行上述的程序，然後重新開機，再刪除C:\windows\999.exe。

三、在DOS模式中直接刪除NetBusV1.7

用開機片關機進入DOS模式（不要先進入windows，再進入DOS模式），然後直接刪除，方法如下：

-A:\>c:

-C:\>cdwindows

-C:\windows>del999.exe

（999.exe是NetBusV1.7的預設名稱，檔名是可以隨便更改的。）