因此，为了减少WEB2.0应用带来的安全风险，企业可能需要知道某些关键终端或服务器上运行了什么服务，发送了什么信息和文件，以及使用者上班时间到底在做些什么等方面。另外，如果监测到某台终端正在发送危害企业数据安全的行为，为了得到证据，有时还需要完成抓取危险主机的屏幕状态，录制录像和声音等任务。

　　而要完成这样的工作，人们通常想到就是用商业的安全管理软件或硬件来应对，但是，像屏幕和声音录制等任务却不容易实现。其实，除了这种常规的途径外，还可以使用特洛伊木马达到同样的目的。

　　例如，Poison IVY就是WINDOWS系统下一个高级远程管理工具。它采用c/s结构，其客户端可以运行在Windows、linux或UNIX系统上，其服务端的内容依靠我们的设置来决定，不过只能运行在Widnows2000/XP/2003/Vista系统上。

　　Poison IVY的服务端可以非常小，不过，如果需要添加所有的插件，其大小会增长很多，但即使是这样，它的服务端在压缩状态下最大不超过7KB的大小。

　　虽然Poison IVY非常小，但是，它却具有下列所示的主要特性：

　　(1)256位加密连接，可以减少远程管理过程中泄密的风险。

　　(2)完整的文件管理功能。

　　(3)远程注册表管理功能。

　　(4)键盘记录功能。

　　(5)服务管理功能。

　　(6)进程管理功能。

　　(7)远程视频和音频捕捉。

　　(8)WEB摄像头捕捉。

　　(9)密码管理

　　(10)共享服务。

　　(11)第三方插件支持。

　　这些功能还只是Poison IVY所有功能中一部分。在上述这些功能中，像键盘记录功能和WEB摄像头捕捉等功能，通常是人们最担心的。主要是在使用木马为自己工作时，担心这些功能会对被控端带来同样的危害。

　　不过，这种担心是应该的，也是很有必要的。在使用木马为自己工作之前，我们一定要弄清楚它们本身具有的安全性，例如，它们的各种功能是不是可以自由控制，是否可以设置控制的用户及设置密码等。而这些功能，Poison IVY恰巧都具有。

　　其实，具有这样功能的木马还有许多。除Poison IVY之外，还有Back Orifice XP、CIA

　　、Nuclear RAT等木马都具有与它相似的功能，或者其它更多的特色功能，例如穿透防火墙或可加密加壳等。

　　上述这些木马程序，在雪源梅香下载和试用时，都没有被检测到发现木马程序。只是在下载Poison IVY的WI-FI插件时，被迅雷检测到含有木马。但是，由于Poison IVY的这个插件同样是安全的，你完全不要理会这种警报，继续下载就可以。

　　更加难能可贵的是Poison IVY的开发者一直在提供技术和升级服务，而且，开发者的本意，也是将这款软件作为一款优秀远程管理软件在进行开发和推广的。

　　实际上，有许多被人们称为木马的软件，其开发者本意都是好的。只是恰巧这些软件具有许多特殊的功能，而这些功能又恰巧可以帮助攻击者实施攻击活动，由此，当这些工具软件被攻击者用来进行攻击活动后，就像变了一幅面孔一样，从自走向“犯罪”生涯了。

　　就像上面所提到的这些被称为木马的软件，如果将它们用在企业的网络监控和管理上，那么，它们同样能够重新“变节”而成为我们真实的好工具，来为我们完成网络管理过程中一些特殊的任务。由于上面所示的木马程序，它们的功能大致相同，其使用方式也同样相似。因此，下面，雪源梅香只以Poison IVY为例，详细说明怎么去安全使用它们来为我们进行网络管理工作。

　　1、 安装和运行

　　上述的木马程序，大多免去了安装，在下载回来后，只需将压缩包解压后就可以直接使用它们。对于Poison IVY，我们可以去upload/200911250812080683.jpg" onload="return imgzoom(this,550)" />

　　图1 Poison IVY运行后的主界面

　　至于本文其它几个木马的下载地址，Back Orifice XP可以从upload/200911250812106557.jpg" width="407" onload="return imgzoom(this,550)" />

　　图2 poison ivy生成服务端界面

　　(2) 在图2所示界面中，单击“create profile”按钮，在打开的对话框中输入一个名称。此时，左边项目栏中的原本灰色的按钮将被激活，接下来，按其排列顺序完成服务端的其它配置。

　　(3) 单击图2所示界面中的“connection”按钮，将出现如图3所示的设置连接信息的界面。

　　图3 设置连接信息界面

　　poison ivy是一个具有反向连接的木马程序，因此，我们必需在图3所示界面中的DNS/PORT文本框中，输入正确的客户端IP地址和监听服务器端的端口，然后单击“Add”按钮添加设置。

　　为了poison ivy的服务器端只有我们自己能够进行控制和连接，还必需在图3所示界面中的ID文本框中输入建立的用户名，在“GROUP”中输入组名(可选)，然后在“Password”文本框中输入连接密码。在这里，还可以选择“Hide Password”多项选择框，隐藏密码框中显示的内容，密码也以由软件自己随机产生。　(4) 可以通过单击图3所示界面右下角的“NEXT”按钮，进入“Install”配置项，也可以直接单击“Install”按钮进入其配置界面。如图4所示。

　　图4 Install配置界面

　　在Install配置界面，可以指定文件名、安装到系统中的什么位置，以及通过选择“key logger”多项选择框来决定是否记录键盘输入，或通过选择“persistence”来确保当poison ivy服务端进程被停止后，重新启动服务端进程，并防止服务端程序本身被删除。

　　poison ivy的这些特性与其它恶性木马是相同的，在我们使用它的过程中，如果没有特殊要求，例如不想被被监控者看到，就可以使用这些功能，但是，通常情况下，这些功能是可选的。

　　(5) 完成Install配置项的配置后，单击“Advanced”就可以打开如图5所示的高级配置界面。

　　图5 高级配置界面

　　在高级配置界面，主要完成进程注入和注入格式的设置。同样，这些功能都是可选的，如果没有什么特殊的要求，可以在此保持默认设置。

　　现在，poison ivy服务端的配置全部完成，只要再单击“Build”按钮，就可以按照上述的配置生成我们想要的客户端。

　　完成poison ivy服务端的生成工作后，我们还必需为些服务端生成一个新的客户端，主要用来与些服务端配套使用，监听从服务端反向回来的连接。与此同时，为了确保poison ivy客户端能够监听到服务端的反向连接信息，必需确保防火墙开放了客户端监听的端口。

　　要生成poison ivy的客户端，可以通过在其主界面中，选择“File”——“New Client”菜单，打开如图6所示的生成客户端界面。

　　图6 poison ivy生成客户端界面

　　在生成客户端界面的“Listen on Port”下拉框中选择建立服务端时设置的端口号，在“Password”文本框中输入建立服务端时设置的密码，或直接导入软件产生的“KEY”文件，然后单击“Start”按钮就可以开始新的监听服务。

　　当然，要想poison ivy的客户端能够监听到来自与此匹配服务端的连接信息，首长必需确保服务端已经在被监控和管理的系统上运行了。而完成这些工作，可以由我们直接安装，或者通过木马常用的手段进行安装，安装方式可以由你自由选择。至于poison ivy其它更多的功能，还是留给你自己慢慢去发现吧!

　　通过我们的简单配置，一个完全可控的远程监控和管理的木马工具，就可以开始为我们完成各种特殊的任务了。从上述的配置过程中也可以发现，这些木马程序都具有很高的隐蔽性和自我保护的特性。有时，为了防止服务端被删除，这些特性是必需的，而一些商业的远程监控和管理软件有时却没有这些功能。由此可以看去，使用木马来进行远程监控和管理，还真是一种不错的选择。不如，你也试试。

　　那么现在呢?

　　据《BusinessWeek》报道，现在网络攻击变得相当简单，那些攻击如Twitter网站的工具已经变得便宜且易于使用，让更多人可以制造网络灾难。

　　网络信息安全公司Damballa副总Gunter Ollman表示：“门槛的降低，使得几乎所有人都可以进行网络攻击。”

　　以Twitter的状况来说，黑客尝试利用分布式阻断攻击的手法，联合数百台计算机同时联机瘫痪主机，让一位博客噤声。而连带的影响就是，整个Twitter的网站都受牵连而用户无法登入，其它社交网站如Facebook及Live Journal，其联机速度也被拖慢。

　　思科系统首席信息安全研究员Patrick Peterson表示，这次的攻击事件，就像拿手榴弹攻击蚊子。

　　而该攻击事件，也可能是下列情形的征兆：犯罪集团与黑客用计算机病毒感染了成千上万的计算机，将它们成为所谓的僵尸计算机网络，用以发动攻击或散布垃圾信件。然后，犯罪集团就能将这样的僵尸网络出租给有心人，让网络攻击变得像上亚马逊网站买书一样容易，也不需要破解密码或是软件编码。

　　信息安全专家表示，僵尸网络的爆炸性成长，使得地下供货商们面临削价竞争的压力。Ollman指出，以往大概大概只有半打僵尸网络，受挟持的计算机约百万台，但现在僵尸网络成倍数成长，使得租借1万台计算机(一个足以瘫痪Twitter的量)的价格，从每天2000-5000美元，降到只剩200美元。

　　Ollman表示，没有看过如此夸张的价格下滑趋势。

　　这也造成了网络攻击事件的上升，8月10日时，约有1300个分布式阻断攻击，但两年前时的同一天，只有约700个。

　　攻击者的动机千百种，有些是因为政治因素，如这次的Twitter攻击事件，就是要平息对俄国政府的批评。有的是为了要掩饰诈欺，如避免遭窃的银行账户被发现。此外，愤怒的职员也可以瘫痪自家公司网站、商家也可以瘫痪竞争对手的网页。

　　网络攻击要完成，大概只需要1小时。只要在Google以“僵尸网络”做关键词搜索，就可以找到许多论坛。然后下载包括控制台的软件后，选定攻击目标及攻击时间，再透过西联汇款，就大功告成。

　　瞧，是不是变得跟上拍卖网站一样轻松愉快?

　　面对大举来袭的网络攻击，企业增加其计算机网络的承载力，不过信息安全专家认为，在僵尸网络军火日益精良的当下，必须要用更具创意的方法来防范。

　　Peterson说：“你必须尝试用罪犯的思维来思考。”