gistry ( 레지스터 편집 )
(10) Multimedia ( 서버의 화면 캡춰,음악 파(11) 일 실행 )
(10) File/Directory ( 파일의 리스트, view , 복사, 찾기 , move 기능 )
(11) Compression ( 파일의 압축, 해제 기능)
(12) DNS ( 도메인 ip 변환, 역변환 기능)
(13) Server Control ( 서버 셧다운,restart, 플러그인 Load, List,Remove ..)
(14) Legacy Buttplugs ( Buttplug 시작,List,Stop 기능 )
6. 백오리피스 2000 작동 예
* 서버의 현재 화면을 bmp 파일로 만들어 저장시켜 볼수 있다.
* 서버의 시스템 사양을 알 수 있다.
* 파일의 복사,이동,삭제,열람 등을 할 수 있다.
* 클라이언트에서 서버에 문자열 박스를 보냅니다.
* 서버에 문자열 박스가 뜨게 됩니다.
* 웹 데몬을 띄워서 파일을 받거나 업로드 시킴
* 넷스케이프로 접속을 한 모습
7. 과거 백오리피스와 다른 점
구성
백오리피스(98.7.)
백오리피스 2000 (99.7)
비고
암호화통신
해쉬 방식
XOR , 3DES 암호화
　
작동OS
Windows 95,98
Windows 95,98,NT
　
인터페이스
커맨드 + GUI
GUI
　
구성설계
조작하기 힘들고, 대부분 Default 로 설정된 것을 이용
대부분의 설정을 GUI 방식으로 여러가지 Default 설정을 바꿀수 있어 많은 변수가 발생
　
8. 백오리피스 제거
Windows 95,98 레지스터에 등록된 값 제거
( 레지스터의 HLU/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices 에 등록된 값에 UMGR32.EXE 파일이 있을 때, 이를 삭제한다. )
재부팅후 윈도우 시스템 디렉토리에 있는 UMGR32.EXE 파일을 지운다.
( c:\ del c:\windows\system\umgr32.exe )
# 이것은 디폴트 설정(UMGR32.EXE)일 경우에 해당되며 서버 설정 시 이름을 어떻게 만드냐에 따라 바뀔 수 있다.
# 다음 그림은 디폴트 설정을 바꾸는 장면이다.
Windows NT
서비스 리스트목록을 살펴보아 "Remote Administration Service" 라는 이름의 서비스가 돌고 있으면 이것은 백오리피스 2000 이 설치된 것이다.
( 서비스 리스트에서 지운다. 혹은 해당포트를 파이어월 차원에서 막는다. )
# 이것은 디폴트 설정( Remote Administration Service )일 경우에 해당되며 서버 설정 시 이름을 어떻게 만드냐에 따라 바뀔 수 있다.
# 다음은 디폴트 설정을 바꾸는 장면이다.
9. 백 오리피스 2000 의 탐지
백 오리피스는 기본적인 구성이 서버와 클라이언트 모듈로 되어있고, 이들 구성은 서로 통신을 하여 원하는 목적을 이룰 수 있다. 그런데 이런 특성을 이용하여 네트웍상에 돌아다니는 패킷을 검사해 백오리피스에서만 나타나는 특별한 패킷만을 걸러낸다면, 아주 효과적인 탐지가 가능하다. 이런 기능을 가진 프로그램이 바로 SUWI(수위아저씨) 프로그램이다. 특히 수위 아저씨 프로그램은 하나의 세그먼트로 구성된 네트웍 전체를 검사하고 탐지할 수 있으므로 하나의 프로그램으로 수십, 수백대의 컴퓨터를 검사하고 탐지할 수가 있는 것이다.
10. 결론
백 오리피스 2000은 단순한 바이러스나 트로이로 보기에는 곤란하고, 해킹툴이라고 보는 것이 합당하다. 특히 서버와 클라이언트로 구성된 프로그램이므로 서버의 컴퓨터에 포트를 열어야 하기 때문에 이를 파이어월 차원에서 막을 수 있는 방법이 있다.
파이어월을 사용하지 않는 작은 규모의 네트웍에서는 "수위 아저씨" 프로그램을 이용하여 전체 네트웍에 연결된 컴퓨터들의 백오리피스 2000을 탐지할 수 있다. 이렇게 탐지된 컴퓨터는 하우리의 "바이로봇"이나 안철수랩의 "V3"를 이용하여 치료함으로써 백오리피스 2000의 위험지대에서 벗어날 수 있다.
* 백오리피스 1.20 NoBo 방어툴 *
NOBO 사용법
NOBO는 백오리피스로 누군가 나의 컴에 들어 오려 할때 그것을 막아 주는 해킹툴 입니다..
일단..
NOBO.exe 를 실행 시키시면..
아무것도 창이 뜨지 않으실껍니다..
하지만 작업표시줄 오른쪽 아래를 보시면..
빨간색 부적이 있는 것을 발견하실수 있으실껍니다..
누군가 백오리피스로 나의 컴에 들어 오려 할때..
이 NOBO 가 동작 합니다..
자동으로 창이 뜨고..
들어 오려고 시도 했던 사람의 IP 를 보여 줍니다..
이 부분에서 다들 놀라 시는데..
그 사람이 들어 오지 못했다는 말이니깐 걱정 마시길..
그러나 NOBO의 사용을 추천하지 않습니다..
정말로 백오리피스에 대한 지식이 없는 분들이나 NOBO 를 쓰십니다만..
NOBO 를 써서 나온 IP 를 보고 열받아 하면서..
다른 해커 사이트에 가서 누가 이 사람좀 해킹해 달라고 하시는 분들..
정말 웃깁니다..
이 글을 읽는 분들은 그런 분들이 없으 시겠죠..?
냠..
절대로 NOBO 를 실행 시키지 마시길 바랍니다..
혹시 내 컴에 백오리피스가 깔린것 같지만..
찾아 지지가 않고 어떻게 찾는 지도 아직 모르시는 분들에게는..
강추천 합니다..
그외에..
컴에 백오리피스가 깔리지 않은 것이 확실한데도..
보안을 생각 하시면서 NOBO 를 띄어 놓는 멍청한 행위는 하지 마시길 빕니다..
NOBO 를 띄었을 경우..
내 컴에 들어 오려고 했던 사람의 IP 주소를 알수있습니다..
하지만 거의 대부분 NOBO 에 나오는 사람들은..
백오리피스 기능중..
감염된것을 찾아 주는 기능..(sweep) 기능을 사용하신 분일 것입니다..
나 하나만을 노린 것이 아니고 백오리피스 감염자를 노린것 입니다..
멋모르시고 날 해킹하려 한다고 두려워 하면서..
이상한 행동을 하시지 마세요..
또 내가 NOBO 를 사용해서 나에게 들어 오려는 사람의 IP 를 알았다고 좋아 하시지 마시길..
내가 상대편의 IP 를 알고 있듯이 상대편도 나의 IP 를 알수 있습니다..
..
그리구 이 툴은 절대 다른 트로이는 방어 안 됩니다...ㅡㅡ;;