Windows 版 (精华区)

发信人: seaman (翩翩少年), 信区: OS
标  题: WINDOWS NT WARDOC中文译本-(14)
发信站: 紫 丁 香 (Tue Aug 17 09:12:57 1999), 转信

    Profile.tfm：Profile.tfm是一个由POP3客户机软件AcornMail生成的文件。在撰写
本文时，AcornMail开始引起internet界的广泛关注。在检测该软件时，我们发现它是一
个很有效的POP3客户机，但其安装并不很好地兼容NTFS。在安装完该软件后，我们开始检
查AcornMail生成的文件，发现Profile.tfm文件保存有用户名/口令。一开始，我们断定
该软件完全正常，因为它确实以加密的形式存储口令。接着，我们意识到profile.tfm的
允许权限被设置为Everyone/完全控制。这样就有了问题，因为任何人都能得到该文件的  
一个拷贝并把这个文件插入他们自己的AcornMail安装程序中。然后，入侵者就能用已存
储的信息来登录。下面是网络监测器中的俘获信息：
00000000 00 01 70 4C 67 80 98 ED A1 00 01 01 08 00 45 00 ..pLg.........E.
00000010 00 4A EA A7 40 00 3D 06 14 88 CF 62 C0 53 D1 36 .J..@.=....b.S.6
00000020 DD 91 00 6E 04 44 F6 1E 84 D6 00 32 51 EB 50 18 ...n.D.....2Q.P.
00000030 22 38 64 9E 00 00 2B 4F 4B 20 50 61 73 73 77 6F "8d...+OK.Passwo
00000040 72 64 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 rd.required.for.
00000050 68 6B 69 72 6B 2E 0D 0A jjohn...
00000000 98 ED A1 00 01 01 00 01 70 4C 67 80 08 00 45 00 ........pLg...E.
00000010 00 36 A4 02 40 00 80 06 18 41 D1 36 DD 91 CF 62 .6..@....A.6...b
00000020 C0 53 04 44 00 6E 00 32 51 EB F6 1E 84 F8 50 18 .S.D.n.2Q.....P.
00000030 21 AC 99 90 00 00 50 41 53 53 20 67 68 6F 73 74 !.....PASS.xerox
00000040 37 33 0D 0A 63..

    如您所看到的，用户名/口令确实是用纯文本传送的。这不是AcornMail的错，但是在
POPvX中已经有问题出现。这个“数据”文件对换/包取样的方法已经由Rhino9小组在大量
的软件上测试过，因此，这一攻击并不局限于AcornMail。
    我们已经对入侵者想要得到的文件（如果获得对您的硬驱的访问权限）进行了探讨，
现在我们就来讨论一下安放特洛伊木马。如果有一种方法能使攻击者获得大量的信息，那
就是安放特洛伊木马。公开的文件共享攻击一般都会为安放特洛伊木马提供方便。在最容
易安放和最广为人知的特洛伊木马中，有一个是捆绑在批处理文件中的PWDUMP实用程序。
如果准备妥当，这个批处理文件就会最小化执行（也被称为聪明的文件，如viruscan.cmd 
），然后再运行PWDUMP实用程序，在运行了它的进程后删除PWDUMP实用程序，并最终删去
文件本身。它一般都不会留下证据，并会在该台机器上生成一个完美的所有用户名/口令
的文本文件。  

--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: vilab.hit.edu.cn]