回帖：UDP）、端口、加密和密码。这个过程完成后，运行bo2kgui.exe（BO2K图形用户界面）, 就可以看见工作区, 工作区包括了服务器的列表（如果你保存了上次的结果）。指定要连接的服务器，开始使用BO。给这个服务器起个名字，输入IP地址和连接的一些信息。指定了服务器后，服务器命令的客户端就出现了。这个窗口里可以使用BO的功能....点个命令，功能就列给你看了，有的命令如文件名和端口还需要设置参数。设置向导允许服务端执行快速安装，使用默认设置，以便立即使用BO2K控制远程机器。通过设置工具手动进行设置，可以管理很多选项，其中很多选项主要是用于防止BO被发现的伪装工作。


设置向导的过程分为以下几个步骤： 1.服务端文件名 、2.网络协议（TCP或UDP） 、3.端口 、4.加密方法(XOR或3DES) 、5.密码/加密钥匙。设置向导执行完后，会列出服务器的设置工具，有BO2K的运行状况，控制BO2K，客户端/服务器的通讯协议和程序的隐藏。


??BO2K怎样进行自我保护？


??答：BO2K提供一个图形化的文件浏览方式，可以方便地修改注册表，所有危险之举已经简化到只需鼠标轻轻一点。对于Windows NT而言，BO2K的危害性就更为巨大：为进行自我保护，BO2K不仅会自动改变自己的进程名称，而且还能自动建立一个自身进程的副本，以备BO2K被删除后还能够“在烈火中永生”。它自己的文件名后面加上一些随机的空格及字母，所以在Windows下无法删除该文件，只能在纯DOS下删掉。也就是说，一旦服务器感染BO2K就必须停机，才能删除。众所周知，重要的服务器停机会造成多大的损失......BO2k还支持多种网络协议。它可以利用TCP或UDP来传送，还可以用XOR加密算法或更高级的3DES加密算法加密。虽然用3DES算法加密的BO2K也有可能被发现，但现在还没有方法来判断其执行的命令。更为令人担心的是，BO2K可以自由地增加或者去掉网络目录的共享属性，也就是说，一旦BO2K进入公司内部网络服务器，那么整个公司网络上的所有文件就都随时有可能被居心叵测的人所“共享”.


??BO2K具体可以对电脑进行哪些远程控制？


??答：O2K的服务器端程序一旦被激活，你就成为了BO2K的服务器，从此处于黑客的完全控制之下, BO2K里共有70多条命令，这些命令用来在服务器上搜集数据和控制服务器，包括在BO2K服务器的电脑上增加目录、删除文件、查看系统中各种可能存在的口令、修改注册表，遥控BO2K服务器的多媒体播放、捕捉等功能。两台计算机建立连接后，选个命令，加上参数（如果需要的话），按 “Send ommand”（发送命令），就在选择的服务器上执行该命令，服务器的回应也会在回应窗口中显示出来。


黑客可随时启动和锁死系统、猎取密码、获得系统信息；可在你的计算机上出现系统信息框提示，改变HTTP文件服务器访问；可查看、删除、创建网络共享驱动盘和程序；修改注册表；通过远程来拷贝、删除、改变文件名；解压文件；


可使用DNS服务改变主机名和IP地址；可启动和停止BO2K服务系统；加载和卸装有关插件。下面就是BO2K的一些主要的远程控制手段：


??1.搜索动态IP地址


??从BO2K客户机向特定的IP地址发送命令即可对BO2K服务器作。如果BO2K服务器无静态IP地址，BO2K客户机提供命令：在BO2K客户机的图形界面中使用“Ping...”命令，给对方电脑发个数据包看它能否被访问，看其是否已经“中招”；另外还可以设定目标IP如“202.102.87.*”，通过扫描子网列表来查找和监控那些电脑被安装了BO2K服务器、而IP地址又是动态分配的用户的电脑。


??2.系统控制和文件管理


??通过相应的命令，BO2K可以轻松获取和显示包括当前用户、CPU、内存、Window版


本、驱动器（硬盘）容量及未使用空间等内容BO2K服务器上的相关系统信息。另外可以将BO2K服务器上的击键情况和执行输入的窗口名记录下来。


甚至还可以在BO服务器上开一个对话框来与对方进行对话。BO2K还提供诸如对文件进行查找、拷贝、删除等作的一系列命令，可在BO2K服务器的硬盘目录中查找目标文件，并能任意增加目录和删除文件、查看和拷贝文件、更改目录名、删除目录等。BO2K还可以任意修改BO2K服务器的注册表，锁住BO2K服务器的电脑，甚至可以控制BO2K服务器的系统重启动。


??3.音频及视频控制


??通过BO2K客户端可以列出BO2K服务器的视频输入设备。如果存在视频输入设备，既可以将视频和音频信号捕捉成为avi文件，也可以将BO2K服务器屏幕影像捕捉成为位图文件。只要愿意，甚至还可以遥控BO2K服务器的多媒体播放，比如在BO2K服务器上播放一个avi文件等等。


??4.网络控制 BO2K提供了网络连接、出口地址、TCP


文件接收、网络使用等命令，可以查看BO2K服务器上所有的域名、网络接口、服务器等内容，并可列出当前共享名、共享驱动器以及共享目录、权限和密码。通过TCP文件传输，还能将BO2K服务器主机连接到一个特定的IP地址和端口并发送特定文件中的内容，或将所接收到的数据保存到特定文件中。


??5.进程控制


BO2K可以通过Telnet对话来控制基于文本或DOS的应用程序。可以在BO2K服务器列出当前激活的插件和已存在的插件并加以运行。另外还能在BO2K服务器上运行一个程序。也可以查看当前运行的所有程序并发送命令关闭其中的某个程序。


作为一个功能强悍的黑客程序，BO2K的这些功能颇有些令人不寒而栗：因为如果我们的电脑不慎被BO2K侵入，当我们上网的时候自己的电脑就已经毫无秘密可言了，别说拨号上网的口令和系统加密口令了，就连你的屏幕保护口令黑客也知道的一清二楚。


??如何清除BO2K？


??答：BO2K的功能虽然十分强悍,但它的工作原理却很简单。我们知道它发生作用的前提是每次在Windows启动时,同时悄悄地在我们的电脑上启动一个服务器程序，黑客通过我们登录因特网时的IP地址，用配套的客户端程序登录到我们的电脑，从而实现远程控制我们电脑的目的。从原理上讲，BO2K和著名的PC


Anywhere一样，是一套简单的远程登录及控制软件工具。既然我们知道了BO2K进行工作的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,那么对付它的最直接有效的方法，就是从我们Windows的启动配置中将自动执行的黑客服务器程序删除掉。


??对付BO2K的方法如下：首先检查Windows\system下有没有一个名叫UMGR32~1.EXE的文件；如果是NT系统,则在Winnt\system32目录下检查它是否存在，这个文件的存在往往意味着系统已经被BO2K入侵。但这种方法并不是绝对保险,因为BO2K允许入侵者自行改变这个文件名,较可靠的办法还是检查可疑文件的长度,BO2K服务端的文件大小是114688字节, 如果发现某个文件刚好符合这个长度,可使用EDIT打开它,如果发现“Back Orifice”字串,那么该系统已经确实无疑地感染了BO2K。


??BO2K运行时必须修改注册表,因此我们可根据下面的线索通过注册表编辑器使用“查找”检查自己的系统是否被BO2K入侵。被BO2K修改过的注册表应该包含下列特征：


??


??“UMGR32.EXE”=“C:\\WINDOWS\\


??SYSTEM\\UMGR32.EXE”


??发现了BO2K的蛛丝马迹后,Windows9x用户可以在纯DOS(而不是DOS窗口)