病毒第8章黑客攻擊技術(shù)課件

第4章黑客攻擊技術(shù)第4章黑客攻擊技術(shù)1概述本章來(lái)介紹黑客攻擊的一般流程與技術(shù)。這些知識(shí)是信息安全防護(hù)技術(shù)的基礎(chǔ)，因?yàn)橹挥兄懒藙e人怎樣攻擊自己的，才能更好地、有針對(duì)性地進(jìn)行防護(hù)。本章攻擊的方法與技術(shù)包括常見(jiàn)的密碼破解攻擊、緩沖區(qū)溢出攻擊、欺騙攻擊、DoS/DDoS攻擊、CGI攻擊、SQL注入攻擊、網(wǎng)絡(luò)蠕蟲(chóng)和社會(huì)工程攻擊等。概述本章來(lái)介紹黑客攻擊的一般流程與技術(shù)。2目錄4.1攻擊的一般流程4.2攻擊的方法與技術(shù)目錄4.1攻擊的一般流程34.1攻擊的一般流程黑客攻擊一般有六個(gè)步驟，即：踩點(diǎn)—>掃描—>入侵—>獲取權(quán)限—>提升權(quán)限—>清除日志信息。1.踩點(diǎn)：主要是獲取對(duì)方的IP，域名服務(wù)器信息，還有管理員的個(gè)人信息以及公司的信息。IP域名服務(wù)器信息可以通過(guò)工具掃描獲取。比如通過(guò)這兩個(gè)網(wǎng)站可以查詢到一個(gè)服務(wù)器上有哪些網(wǎng)站，就是這個(gè)服務(wù)器上綁定了哪些域名。4.1攻擊的一般流程黑客攻擊一般有六個(gè)步驟，即：踩點(diǎn)—>掃44.1攻擊的一般流程例如：可以在DOS環(huán)境下輸入命令：c:\>telnetwww.*.*.cn80，如圖2.1所示。這時(shí)出現(xiàn)如圖2.2所示屏幕：4.1攻擊的一般流程例如：可以在DOS環(huán)境下輸入命令：c:54.1攻擊的一般流程2.掃描：針對(duì)某個(gè)網(wǎng)址的后臺(tái)地址，則可以用注入工具掃描。另外，這只是對(duì)網(wǎng)址進(jìn)行掃描，還可以用工具對(duì)一些常見(jiàn)的漏洞和端口進(jìn)行掃描。關(guān)于掃描的方法，前一章已經(jīng)介紹過(guò)了，這里就不再贅述。3.入侵：這個(gè)階段主要是看通過(guò)什么樣的渠道進(jìn)行入侵了。根據(jù)前面搜集到的信息，是采用Web網(wǎng)址入侵，還是服務(wù)器漏洞入侵，還是通過(guò)社會(huì)工程學(xué)原理進(jìn)行欺騙攻擊，這需要根據(jù)具體的情況來(lái)定。4.1攻擊的一般流程2.掃描：針對(duì)某個(gè)網(wǎng)址的后臺(tái)地址，則64.1攻擊的一般流程4.獲取權(quán)限：我們?nèi)肭之?dāng)然一部分目的是為了獲取權(quán)限。通過(guò)Web入侵能利用系統(tǒng)的漏洞獲取管理員后臺(tái)密碼，然后登錄后臺(tái)。這樣就可以上傳一個(gè)網(wǎng)頁(yè)木馬，如ASP木馬、php木馬等。根據(jù)服務(wù)器的設(shè)置不同，得到的木馬的權(quán)限也不一樣，所以還要提升權(quán)限。4.1攻擊的一般流程4.獲取權(quán)限：我們?nèi)肭之?dāng)然一部分目的74.1攻擊的一般流程5.提升權(quán)限：提升權(quán)限，將普通用戶的權(quán)限提升為更高一點(diǎn)的權(quán)限，比如管理員權(quán)限。這樣才有權(quán)限去做其他的事情。提權(quán)可以采用系統(tǒng)服務(wù)的方法，社會(huì)工程學(xué)的方法，一般都是采用的第三方軟件的方法。

6.清除日志：當(dāng)入侵之后，當(dāng)然不想留下蛛絲馬跡。日志主要有系統(tǒng)日志，IIS日志和第三方軟件的日志，比如系統(tǒng)裝了入侵檢測(cè)系統(tǒng)，就會(huì)有這個(gè)日志。要?jiǎng)h除記錄，一般是采用攻擊刪除。當(dāng)然對(duì)于一些特殊記錄，則需要手工刪除了。不然使用工具統(tǒng)統(tǒng)刪除了，管理員也會(huì)懷疑的。4.1攻擊的一般流程5.提升權(quán)限：提升權(quán)限，將84.2攻擊的方法與技術(shù)

網(wǎng)上的攻擊方式很多，這里介紹7種常用的攻擊方法與技術(shù)，包括密碼破解攻擊、緩沖區(qū)溢出攻擊、欺騙攻擊、DoS/DDoS攻擊、SQL注入攻擊、網(wǎng)絡(luò)蠕蟲(chóng)和社會(huì)工程攻擊等。4.2.1密碼破解攻擊 密碼破解不一定涉及復(fù)雜的工具。它可能與找一張寫(xiě)有密碼的貼紙一樣簡(jiǎn)單，而這張紙就貼在顯示器上或者藏在鍵盤(pán)底下。另一種蠻力技術(shù)稱為“垃圾搜尋（dumpsterdiving）”，它基本上就是一個(gè)攻擊者把垃圾搜尋一遍以找出可能含有密碼的廢棄文檔。4.2攻擊的方法與技術(shù) 網(wǎng)上的攻擊方式很多，這里介紹7種常94.2攻擊的方法與技術(shù)1.字典攻擊（Dictionaryattack）到目前為止，一個(gè)簡(jiǎn)單的字典攻擊是闖入機(jī)器的最快方法。字典文件（一個(gè)充滿字典文字的文本文件）被裝入破解應(yīng)用程序（如L0phtCrack），它是根據(jù)由應(yīng)用程序定位的用戶帳戶運(yùn)行的。因?yàn)榇蠖鄶?shù)密碼通常是簡(jiǎn)單的，所以運(yùn)行字典攻擊通常足以實(shí)現(xiàn)目的了。4.2攻擊的方法與技術(shù)1.字典攻擊（Dictionary104.2攻擊的方法與技術(shù)2.混合攻擊（Hybridattack）另一個(gè)眾所周知的攻擊形式是混合攻擊?；旌瞎魧?shù)字和符號(hào)添加到文件名以成功破解密碼。許多人只通過(guò)在當(dāng)前密碼后加一個(gè)數(shù)字來(lái)更改密碼。其模式通常采用這一形式：第一月的密碼是“cat”；第二個(gè)月的密碼是“cat1”；第三個(gè)月的密碼是“cat2”，依次類推。4.2攻擊的方法與技術(shù)2.混合攻擊（Hybridatt114.2攻擊的方法與技術(shù)3.暴力攻擊（Bruteforceattack）暴力攻擊是最全面的攻擊形式，雖然它通常需要很長(zhǎng)的時(shí)間工作，這取決于密碼的復(fù)雜程度。根據(jù)密碼的復(fù)雜程度，某些暴力攻擊可能花費(fèi)一個(gè)星期的時(shí)間。在暴力攻擊中還可以使用LC5等工具。4.2攻擊的方法與技術(shù)3.暴力攻擊（Bruteforc124.2攻擊的方法與技術(shù)4.專業(yè)工具最常用的工具之有：(1)系統(tǒng)帳號(hào)破解工具LC5，如圖2.3所示。4.2攻擊的方法與技術(shù)4.專業(yè)工具134.2攻擊的方法與技術(shù)(2)Word文件密碼破解工具WordPasswordRecoveryMaster,如圖2.4所示。4.2攻擊的方法與技術(shù)(2)Word文件密碼破解工具Wo144.2攻擊的方法與技術(shù)(3)郵箱口令破解工具：黑雨，如圖2.5所示。4.2攻擊的方法與技術(shù)(3)郵箱口令破解工具：黑雨，如圖154.2攻擊的方法與技術(shù) (4)RAR壓縮文件破解工具：InteloreRARPasswordRecovery，如圖2.6所示。4.2攻擊的方法與技術(shù) (4)RAR壓縮文件破解工具：I164.2攻擊的方法與技術(shù) (5)PowerPoint文件破解工具：Powerpoint-Password-Recovery.exe，如圖2.7所示。4.2攻擊的方法與技術(shù) (5)PowerPoint文174.2攻擊的方法與技術(shù)4.2.2緩沖區(qū)溢出攻擊緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)當(dāng)機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。緩沖區(qū)溢出攻擊有多種英文名稱：bufferoverflow。第一個(gè)緩沖區(qū)溢出攻擊--Morris蠕蟲(chóng)，它曾造成了全世界6000多臺(tái)網(wǎng)絡(luò)服務(wù)器癱瘓。4.2攻擊的方法與技術(shù)4.2.2緩沖區(qū)溢出攻擊184.2攻擊的方法與技術(shù)緩沖區(qū)溢出攻擊的原理主要是通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒(méi)有仔細(xì)檢查用戶輸入的參數(shù)。例如下面程序：voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}4.2攻擊的方法與技術(shù)緩沖區(qū)溢出攻擊的原理主要是通過(guò)往程序194.2攻擊的方法與技術(shù)4.2.3欺騙攻擊1.源IP地址欺騙攻擊許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的前提。4.2攻擊的方法與技術(shù)4.2.3欺騙攻擊204.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊

1.DoS攻擊拒絕服務(wù)(DoS,DenialofService)攻擊是目前黑客廣泛使用的一種攻擊手段。最常見(jiàn)的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。4.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊214.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊(1)SYNFlood:該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYNACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒(méi)有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。4.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊224.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊(2)Smurf：該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求（如ICMP回應(yīng)請(qǐng)求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。Smurf攻擊原理如圖2.9所示。4.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊234.2攻擊的方法與技術(shù)2.DDoS攻擊 分布式拒絕服務(wù)DDoS(DistributedDenialofService)攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高時(shí)，它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了，目標(biāo)對(duì)惡意攻擊包的"消化能力"加強(qiáng)了不少，例如DoS攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但被攻擊主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來(lái)攻擊就不會(huì)產(chǎn)生什么效果。4.2攻擊的方法與技術(shù)2.DDoS攻擊244.2攻擊的方法與技術(shù)圖2.10為典型的DDoS攻擊工具CCv2.1，它是一個(gè)強(qiáng)大的應(yīng)用層的DDoS攻擊工具。4.2攻擊的方法與技術(shù)圖2.10為典型的DDoS攻擊工具C254.2攻擊的方法與技術(shù)4.2攻擊的方法與技術(shù)264.2攻擊的方法與技術(shù)3.針對(duì)DoS/DDoS攻擊的防范針對(duì)DoS/DDoS攻擊的防范主要采取如下一些方法：(1)確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。研究發(fā)現(xiàn)幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁。

(2)確保管理員對(duì)所有主機(jī)進(jìn)行檢查，而不僅針對(duì)關(guān)鍵主機(jī)。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在運(yùn)行什么？誰(shuí)在使用主機(jī)？哪些人可以訪問(wèn)主機(jī)？不然，即使黑客侵犯了系統(tǒng)，也很難查明。(3)確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫(kù)中刪除未使用的服務(wù)如FTP或NFS。Wu-Ftpd等守護(hù)程序存在一些已知的漏洞，黑客通過(guò)根攻擊就能獲得訪問(wèn)特權(quán)系統(tǒng)的權(quán)限，并能訪問(wèn)其他系統(tǒng)甚至是受防火墻保護(hù)的系統(tǒng)。4.2攻擊的方法與技術(shù)3.針對(duì)DoS/DDoS攻擊的防范274.2攻擊的方法與技術(shù)

(4)限制在防火墻外與網(wǎng)絡(luò)文件共享。這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無(wú)異將陷入癱瘓。

(5)確保手頭有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。

4.2攻擊的方法與技術(shù) (4)限制在防火墻外與網(wǎng)絡(luò)文件共284.2攻擊的方法與技術(shù)(6)在防火墻上運(yùn)行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當(dāng)造成的，使DoS/DDoS攻擊成功率很高，所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。

(7)檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更，幾乎可以肯定：相關(guān)的主機(jī)安全受到了危脅。

(8)利用DDoS設(shè)備提供商的設(shè)備。 目前沒(méi)有哪個(gè)網(wǎng)絡(luò)可以免受DDoS攻擊，但如果采取上述幾項(xiàng)措施，能起到一定的預(yù)防作用。4.2攻擊的方法與技術(shù)(6)在防火墻上運(yùn)行端口映294.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊隨著B(niǎo)/S模式應(yīng)用開(kāi)發(fā)的發(fā)展，使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。SQL注入是從正常的WWW端口訪問(wèn)，而且表面看起來(lái)跟一般的Web頁(yè)面訪問(wèn)沒(méi)什么區(qū)別，所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒(méi)查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)。但是，SQL注入的手法相當(dāng)靈活，在注入的時(shí)候會(huì)碰到很多意外的情況。能不能根據(jù)具體情況進(jìn)行分析，構(gòu)造巧妙的SQL語(yǔ)句，從而成功獲取想要的數(shù)據(jù)。據(jù)統(tǒng)計(jì)，網(wǎng)站用ASP+Access或SQLServer的占70%以上，PHP+MySQ占L20%，其他的不足10%。4.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊304.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊

4.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊314.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊

4.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊324.2攻擊的方法與技術(shù)4.2.6網(wǎng)絡(luò)蠕蟲(chóng)

蠕蟲(chóng)(Worm)病毒和一般的病毒有著很大的區(qū)別。對(duì)于蠕蟲(chóng)，現(xiàn)在還沒(méi)有一個(gè)成套的理論體系。一般認(rèn)為：蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。目前危害比較大的蠕蟲(chóng)病毒主要通過(guò)三種途徑傳播：系統(tǒng)漏洞、聊天軟件和電子郵件。4.2攻擊的方法與技術(shù)4.2.6網(wǎng)絡(luò)蠕蟲(chóng)33目錄5.1木馬攻擊5.2網(wǎng)絡(luò)后門(mén)5.3清除攻擊痕跡目錄5.1木馬攻擊345.1木馬攻擊5.1.1木馬的概述 特洛伊木馬簡(jiǎn)稱木馬，英文叫做“Trojanhouse”，其5.1木馬攻擊5.1.1木馬的概述355.1木馬攻擊木馬一般有兩個(gè)程序，一個(gè)是客戶端，另一個(gè)是服務(wù)器端。如果要給別人計(jì)算機(jī)上種木馬，則受害者一方運(yùn)行的是服務(wù)器端程序，而自己使用的是客戶端來(lái)控制受害者機(jī)器的。5.1木馬攻擊木馬一般有兩個(gè)程序，一個(gè)是客戶端，365.1木馬攻擊木馬的傳播方式主要有兩種:一種是通過(guò)E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。5.1木馬攻擊木馬的傳播方式主要有兩種:一種是通過(guò)375.1木馬攻擊1.密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會(huì)在每次的Windows重啟時(shí)，而且它們大多數(shù)使用25端口發(fā)送E--mail。2.鍵盤(pán)記錄型木馬鍵盤(pán)記錄型木馬非常簡(jiǎn)單的，它們只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一件事。5.1木馬攻擊1.密碼發(fā)送型木馬385.1木馬攻擊3.毀壞型木馬毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡(jiǎn)單，并且很容易被使用。它們可以自動(dòng)地刪除用戶計(jì)算機(jī)上的所有的.DLL、INI或EXE文件。4.FTP型木馬FTP型木馬打開(kāi)用戶計(jì)算機(jī)的21端口（FTP所使用的默認(rèn)端口），使每一個(gè)人都可以用一個(gè)FTP客戶端程序來(lái)不用密碼連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載。5.1木馬攻擊3.毀壞型木馬395.1木馬攻擊木馬常用的欺騙方法如下：1.捆綁欺騙：如把木馬服務(wù)端和某個(gè)游戲捆綁成一個(gè)文件在郵件中發(fā)給別人。2.危險(xiǎn)下載點(diǎn)：攻破一些下載站點(diǎn)后，下載幾個(gè)下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載；或直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載。3.文件夾慣性點(diǎn)擊：把木馬文件偽裝成文件夾圖標(biāo)后，放在一個(gè)文件夾中，然后在外面再套三四個(gè)空文件夾。5.1木馬攻擊木馬常用的欺騙方法如下：405.1木馬攻擊木馬常用的欺騙方法如下：4.zip偽裝：將一個(gè)木馬和一個(gè)損壞的zip包捆綁在一起，然后指定捆綁后的文件為zip圖標(biāo)。5.網(wǎng)頁(yè)木馬法：有的網(wǎng)頁(yè)是自帶木馬的，只要打開(kāi)該網(wǎng)頁(yè)，立刻就會(huì)安裝上木馬。 常見(jiàn)的木馬很多，Windows下有Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等。UNIX下有Rhost++、Login后門(mén)、rootkit等。5.1木馬攻擊木馬常用的欺騙方法如下：415.1.3木馬例子下面以Windows下的冰河木馬為例子，介紹木馬的原理。冰河實(shí)際上是一個(gè)小小的服務(wù)器程序（安裝在要入侵的機(jī)器中），這個(gè)小小的服務(wù)端程序功能十分強(qiáng)大，通過(guò)客戶端（安裝在入侵者的機(jī)器中）的各種命令來(lái)控制服務(wù)端的機(jī)器，并可以輕松的獲得服務(wù)端機(jī)器的各種系統(tǒng)信息。1999年上半年，一個(gè)名叫黃鑫的人寫(xiě)出了冰河木馬軟件。冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，有人說(shuō)在國(guó)內(nèi)沒(méi)用過(guò)冰河的人等于沒(méi)用過(guò)木馬，可見(jiàn)冰河木馬的重要性。5.1.3木馬例子下面以Windows下的冰河木425.1.3木馬例子冰河木馬的服務(wù)器端程序名為G_Server.exe，客戶端程序名為G_Client.exe。冰河木馬目的是遠(yuǎn)程訪問(wèn)、控制。冰河的開(kāi)放端口7626據(jù)傳為其生日號(hào)。2.2版本后均非黃鑫制作。如圖5.2所示為冰河不同版本的圖標(biāo)。5.1.3木馬例子冰河木馬的服務(wù)器端程序名為G_S435.1.3木馬例子冰河木馬的功能如下：1．自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤(pán)及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤(pán)及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)。

2．記錄各種口令信息：包括開(kāi)機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過(guò)的口令信息，且1.2以上的版本中允許用戶對(duì)該功能自行擴(kuò)充，2.0以上版本還同時(shí)提供了擊鍵記錄功能。

3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤(pán)信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。5.1.3木馬例子冰河木馬的功能如下：445.1.3木馬例子4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。

5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開(kāi)文件（提供了四中不同的打開(kāi)方式——正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能。

6．注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫(xiě)等所有注冊(cè)表操作功能。

7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息。8．點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。5.1.3木馬例子4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)455.1.3木馬例子 下面來(lái)看看冰河木馬的使用。首選可以采用一些端口掃描工具如X-way、Superscan、X-Scan等掃描一個(gè)網(wǎng)段內(nèi)的所有主機(jī)，看看這些主機(jī)有哪些7626端口是開(kāi)放的。如圖5.3所示為使用X-way掃描一個(gè)網(wǎng)段中的7626端口。5.1.3木馬例子465.1.3木馬例子5.1.3木馬例子475.1.3木馬例子X(jué)-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)了6臺(tái)機(jī)器的7626端口是開(kāi)放的，這表明這6臺(tái)機(jī)器可能都有冰河木馬。5.1.3木馬例子X(jué)-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)485.1.3木馬例子如圖5.5所示，為冰河的主界面，可以看到它可以完成屏幕抓圖、控制、修改服務(wù)器配置、冰河信使等功能。5.1.3木馬例子如圖5.5所示，為冰河的主界面，可495.1.3木馬例子如圖5.6所示為通過(guò)冰河可以得到對(duì)方機(jī)器的一些密碼。5.1.3木馬例子如圖5.6所示為通過(guò)冰河可以得到對(duì)505.1.3木馬例子如圖5.7所示為受害者的一些信息可以通過(guò)郵件發(fā)送給控制方。5.1.3木馬例子如圖5.7所示為受害者的一些信息515.1.3木馬例子如圖5.8所示，為受害者機(jī)器采用netstat–an命令看到的7626端口是開(kāi)放的5.1.3木馬例子如圖5.8所示，為受害者機(jī)器采用n525.1.3木馬例子5.1.4木馬的防范防治木馬的危害，應(yīng)該采取以下措施：第1，安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)。第2，把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)。第3，可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。第4，如果使用IE瀏覽器，應(yīng)該安裝卡卡安全助手、360安全衛(wèi)士等防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。5.1.3木馬例子5.1.4木馬的防范535.1.3木馬例子5.1.4木馬的防范5.1.3木馬例子5.1.4木馬的防范545.1.3木馬例子5.1.4木馬的防范 選中“Internet協(xié)議(TCP/IP)”點(diǎn)擊“屬性”。出現(xiàn)如圖5.12所示的界面。5.1.3木馬例子5.1.4木馬的防范555.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范565.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范575.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范585.2網(wǎng)絡(luò)后門(mén)1.后門(mén)介紹早期的電腦黑客，在成功獲得遠(yuǎn)程系統(tǒng)的控制權(quán)后，希望能有一種技術(shù)使得他們?cè)谌我獾臅r(shí)間都可以再次進(jìn)入遠(yuǎn)程系統(tǒng)，于是后門(mén)程序就出現(xiàn)了。 后門(mén)是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法。在軟件的開(kāi)發(fā)階段，程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門(mén)程序以便可以修改程序設(shè)計(jì)中的缺陷。但是，如果這些后門(mén)被其他人知道，或是在發(fā)布軟件之前沒(méi)有刪除后門(mén)程序，那么它就存在安全隱患，容易被黑客當(dāng)成漏洞進(jìn)行攻擊。傳統(tǒng)意義上的后門(mén)程序往往只是能夠讓黑客獲得一個(gè)SHELL，通過(guò)這個(gè)SHELL進(jìn)而進(jìn)行一些遠(yuǎn)程控制操作。5.2網(wǎng)絡(luò)后門(mén)1.后門(mén)介紹595.2網(wǎng)絡(luò)后門(mén)2.后門(mén)實(shí)例全球著名黑客米特尼克在15歲的時(shí)候，闖入了“北美空中防務(wù)指揮系統(tǒng)”的計(jì)算機(jī)主機(jī)內(nèi)，他和另外一些朋友翻遍了美國(guó)指向前蘇聯(lián)及其盟國(guó)的所有核彈頭的數(shù)據(jù)資料，然后又悄無(wú)聲息地溜了出來(lái)，這就是黑客歷史上利用“后門(mén)”進(jìn)行入侵的一次經(jīng)典之作。如圖5.16所示為黑客米特尼克。5.2網(wǎng)絡(luò)后門(mén)2.后門(mén)實(shí)例605.2網(wǎng)絡(luò)后門(mén)2.后門(mén)實(shí)例全球著名黑客米特尼克在15歲的時(shí)候，5.2網(wǎng)絡(luò)后門(mén)2.后門(mén)實(shí)例615.2網(wǎng)絡(luò)后門(mén)3.后門(mén)的防御方法后門(mén)的防范相對(duì)于木馬來(lái)說(shuō)，更加的困難，因?yàn)橄到y(tǒng)本身就包括遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助這些可以進(jìn)行遠(yuǎn)程維護(hù)的后門(mén)，所以對(duì)用戶來(lái)講更加的困難。(1)首先對(duì)使用的操作系統(tǒng)以及軟件要有充分的了解，確定它們之中是否存在后門(mén)。如果存在的話就需要及時(shí)關(guān)閉，以免這些后門(mén)被黑客所利用，比如系統(tǒng)的遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助等。(2)關(guān)閉系統(tǒng)中不必要的服務(wù)，這些服務(wù)中有相當(dāng)一部分對(duì)于個(gè)人用戶來(lái)說(shuō)不但沒(méi)有作用，而且安全方面也存在很大的隱患，比如RemoteRegistry、TerminalServices等，這樣同樣可以防范系統(tǒng)服務(wù)被黑客利用。5.2網(wǎng)絡(luò)后門(mén)3.后門(mén)的防御方法625.2網(wǎng)絡(luò)后門(mén) (3)安裝網(wǎng)絡(luò)防火墻，這樣可以有效地對(duì)黑客發(fā)出的連接命令進(jìn)行攔截。即使是自己的系統(tǒng)被黑客安裝了后門(mén)程序，也能阻止黑客的進(jìn)一步控制操作。

(4)安裝最新版本的殺毒軟件，并且將病毒庫(kù)升級(jí)到最新的版本。另外再安裝一個(gè)注冊(cè)表監(jiān)控程序，可以隨時(shí)對(duì)注冊(cè)表的變化進(jìn)行監(jiān)控，有效地防范后門(mén)的入侵。5.2網(wǎng)絡(luò)后門(mén) (3)安裝網(wǎng)絡(luò)防火墻，這樣可以有效地對(duì)黑635.3清除攻擊痕跡

操作系統(tǒng)日志是對(duì)操作系統(tǒng)中的操作或活動(dòng)進(jìn)行的記錄，不管是用戶對(duì)計(jì)算機(jī)的操作還是應(yīng)用程序的運(yùn)行情況都能全面記錄下來(lái)。黑客在非法入侵電腦以后所有行動(dòng)的過(guò)程也會(huì)被日志記錄在案。所以黑客在攻擊之后，如果刪除這些日志記錄，就顯得很重要了。雖然一個(gè)日志的存在不能提供完全的可記錄性，但日志能使系統(tǒng)管理員和安全官員做到：1.發(fā)現(xiàn)試圖攻擊系統(tǒng)安全的重復(fù)舉動(dòng)（例如：一個(gè)攻擊者試圖冒充administrator或root登錄）。2.跟蹤那些想要越權(quán)的用戶（例如：那些使用sudo命令作為root執(zhí)行命令的用戶）。3.跟蹤異常的使用模式（例如：有人在工作時(shí)間以外的時(shí)間登錄計(jì)算機(jī)）。4.實(shí)時(shí)跟蹤侵入者。5.3清除攻擊痕跡 操作系統(tǒng)日志是對(duì)操作系統(tǒng)中的操作或活動(dòng)645.3清除攻擊痕跡5.3.1Windows下清除攻擊痕跡

Windows下的日志信息可以在“控制面板”->“管理工具”->“事件查看器”當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的安全日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。5.3清除攻擊痕跡5.3.1Windows下清除攻擊痕跡655.3清除攻擊痕跡這三種日志文件的存放位置分別如下：1.安全日志文件默認(rèn)位置：%systemroot%\system32\config\SecEvent.EVT。2.系統(tǒng)日志文件默認(rèn)位置：%systemroot%\system32\config\SysEvent.EVT。3.應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。5.3清除攻擊痕跡這三種日志文件的存放位置分別如下：665.3清除攻擊痕跡這三種日志文件的存放位置分別如下：5.3清除攻擊痕跡這三種日志文件的存放位置分別如下：67返回ThanksForAttendance!致謝返回ThanksForAttendance!致謝686.2典型的病毒分析這其中U盤(pán)中的病毒是見(jiàn)到的最多的，在本節(jié)重點(diǎn)介紹。U盤(pán)是目前使用最為廣泛的移動(dòng)存儲(chǔ)器，它有體積小、重量輕、容量大攜帶方便等優(yōu)點(diǎn)。但是目前U盤(pán)也是傳播病毒的主要途徑之一，有人統(tǒng)計(jì)發(fā)現(xiàn)U盤(pán)有病毒的比例高達(dá)90%。具2008年1月2日，國(guó)內(nèi)最大的計(jì)算機(jī)反病毒軟件廠商之一江民科技發(fā)布了2007年年度病毒疫情報(bào)告以及十大病毒排行，如表6.1所示。其中U盤(pán)病毒高位居第一位。6.2典型的病毒分析這其中U盤(pán)中的病毒是見(jiàn)到的最696.2典型的病毒分析6.2典型的病毒分析706.2典型的病毒分析6.2.1U盤(pán)“runauto..”文件夾病毒及清除方法1.“runauto..”文件夾病毒經(jīng)常在計(jì)算機(jī)硬盤(pán)里會(huì)發(fā)現(xiàn)名為“runauto..”的一個(gè)文件夾，在正常模式或安全模式下都無(wú)法刪除，粉碎也不可以。如圖所示為runauto..文件夾。6.2典型的病毒分析6.2.1U盤(pán)“runauto..”716.2典型的病毒分析2.病毒清除方法假設(shè)這個(gè)文件夾，在C盤(pán)，則刪除辦法是：在桌面點(diǎn)擊“開(kāi)始”→“運(yùn)行”，輸入“cmd”，再輸入“C:”輸入“rd/s/qrunauto...\”。就可以了，如圖所示為刪除runauto..文件夾的方法。6.2典型的病毒分析2.病毒清除方法726.2典型的病毒分析6.2.2U盤(pán)autorun.inf文件病毒及清除方法1.autorun.inf文件病毒目前幾乎所有U盤(pán)類的病毒的最大特征都是利用autorun.inf這個(gè)來(lái)侵入的，而事實(shí)上autorun.inf相當(dāng)于一個(gè)傳染途徑，經(jīng)過(guò)這個(gè)途徑入侵的病毒，理論上是“任何”病毒。6.2典型的病毒分析6.2.2U盤(pán)autorun.inf736.2典型的病毒分析 autorun.inf這個(gè)文件是很早就存在的，在WinXP以前的其他windows系統(tǒng)（如Win98，2000等），需要讓光盤(pán)、U盤(pán)插入到機(jī)器自動(dòng)運(yùn)行的話，就要靠autorun.inf。這個(gè)文件是保存在驅(qū)動(dòng)器的根目錄下的，是一個(gè)隱藏的系統(tǒng)文件。它保存著一些簡(jiǎn)單的命令，告訴系統(tǒng)這個(gè)新插入的光盤(pán)或硬件應(yīng)該自動(dòng)啟動(dòng)什么程序，也可以告訴系統(tǒng)讓系統(tǒng)將它的盤(pán)符圖標(biāo)改成某個(gè)路徑下的icon。所以，這本身是一個(gè)常規(guī)且合理的文件和技術(shù)。6.2典型的病毒分析 autorun.inf這個(gè)文件是很早746.2典型的病毒分析一種是假回收站方式：病毒通常在U盤(pán)中建立一個(gè)“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站了，而事實(shí)上，回收站的名稱是“Recycled”，而且兩者的圖標(biāo)是不同的如圖所示。6.2典型的病毒分析一種是假回收站方式：病毒通常在U756.2典型的病毒分析6.2典型的病毒分析766.2典型的病毒分析6.2典型的病毒分析776.2典型的病毒分析

2.病毒清除方法對(duì)于autorun.inf病毒的解決方案如下：(1)如果發(fā)現(xiàn)U盤(pán)有autorun.inf，且不是你自己創(chuàng)建生成的，請(qǐng)刪除它，并且盡快查毒。(2)如果有貌似回收站、瑞星文件等文件，而你又能通過(guò)對(duì)比硬盤(pán)上的回收站名稱、正版的瑞星名稱，同時(shí)確認(rèn)該內(nèi)容不是你創(chuàng)建生成的，請(qǐng)刪除它。(3)一般建議插入U(xiǎn)盤(pán)時(shí)，不要雙擊U盤(pán)，用右鍵點(diǎn)擊U盤(pán)，選擇“資源管理器”來(lái)打開(kāi)U盤(pán)。6.2典型的病毒分析2.病毒清除方法786.2典型的病毒分析6.2.3U盤(pán)RavMonE.exe病毒及清除方法1.病毒描述經(jīng)常有人發(fā)現(xiàn)自己的U盤(pán)有病毒，殺毒軟件報(bào)出一個(gè)RavMonE.exe病毒文件，這個(gè)也是經(jīng)典的一個(gè)U盤(pán)病毒。如圖所示為RavMonE.exe病毒運(yùn)行后出現(xiàn)在進(jìn)程里。6.2典型的病毒分析6.2.3U盤(pán)RavMonE.exe796.2典型的病毒分析2.解決方法(1)打開(kāi)任務(wù)管理器（ctrl+alt+del或者任務(wù)欄右鍵點(diǎn)擊也可），終止所有RavmonE.exe進(jìn)程。(2)進(jìn)入病毒目錄，刪除其中的ravmone.exe。(3)打開(kāi)系統(tǒng)注冊(cè)表依次點(diǎn)開(kāi)HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右邊可以看到一項(xiàng)數(shù)值是c:\windows\ravmone.exe的，把他刪除掉。(3)完成后，重新啟動(dòng)計(jì)算機(jī)，病毒就被清除了。6.2典型的病毒分析2.解決方法806.2典型的病毒分析6.2.4“熊貓燒香”病毒

2006年底，中國(guó)互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種，這種病毒將感染的所有程序文件改成熊貓舉著三根香的模樣，如圖所示。它還具有盜取用戶游戲賬號(hào)、ＱＱ賬號(hào)等功能。截至案發(fā)為止，已有上百萬(wàn)個(gè)人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，引起社會(huì)各界高度關(guān)注，被稱為2006年中國(guó)大陸地區(qū)的“毒王”。6.2典型的病毒分析6.2.4“熊貓燒香”病毒816.2典型的病毒分析據(jù)警方調(diào)查，“熊貓燒香”病毒的制作者為湖北省武漢市的李俊，如圖所示，另外雷磊等五名犯罪嫌疑人通過(guò)改寫(xiě)、傳播“熊貓燒香”等病毒，構(gòu)建“僵尸網(wǎng)絡(luò)”，通過(guò)盜竊各種游戲和QQ賬號(hào)等方式非法牟利。目前，6名犯罪嫌疑人已被刑事拘留。圖“熊貓燒香”病毒的制作者李俊6.2典型的病毒分析據(jù)警方調(diào)查，“熊貓燒香”病毒的制作者為826.2典型的病毒分析6.2.5QQ與MSN病毒目前，網(wǎng)上利用QQ、MSN等聊天工具，進(jìn)行病毒傳播時(shí)有發(fā)生，如圖所示為通過(guò)QQ自動(dòng)傳播的病毒。如圖所示為通過(guò)MSN傳播的網(wǎng)頁(yè)病毒。另外還有黑客給QQ、MSN上加木馬，以盜取QQ、MSN的密碼等信息。6.2典型的病毒分析6.2.5QQ與MSN病毒836.2典型的病毒分析6.2典型的病毒分析846.2典型的病毒分析 2.QQ、MSN病毒防治方法 對(duì)于QQ和MSN病毒的防治，可以采用專殺工具。例如，對(duì)于QQ病毒可以下載QQkav專殺工具，進(jìn)行查殺。它的主界面如圖所示。6.2典型的病毒分析 2.QQ、MSN病毒防治方法85返回ThanksForAttendance!致謝返回ThanksForAttendance!致謝86第4章黑客攻擊技術(shù)第4章黑客攻擊技術(shù)87概述本章來(lái)介紹黑客攻擊的一般流程與技術(shù)。這些知識(shí)是信息安全防護(hù)技術(shù)的基礎(chǔ)，因?yàn)橹挥兄懒藙e人怎樣攻擊自己的，才能更好地、有針對(duì)性地進(jìn)行防護(hù)。本章攻擊的方法與技術(shù)包括常見(jiàn)的密碼破解攻擊、緩沖區(qū)溢出攻擊、欺騙攻擊、DoS/DDoS攻擊、CGI攻擊、SQL注入攻擊、網(wǎng)絡(luò)蠕蟲(chóng)和社會(huì)工程攻擊等。概述本章來(lái)介紹黑客攻擊的一般流程與技術(shù)。88目錄4.1攻擊的一般流程4.2攻擊的方法與技術(shù)目錄4.1攻擊的一般流程894.1攻擊的一般流程黑客攻擊一般有六個(gè)步驟，即：踩點(diǎn)—>掃描—>入侵—>獲取權(quán)限—>提升權(quán)限—>清除日志信息。1.踩點(diǎn)：主要是獲取對(duì)方的IP，域名服務(wù)器信息，還有管理員的個(gè)人信息以及公司的信息。IP域名服務(wù)器信息可以通過(guò)工具掃描獲取。比如通過(guò)這兩個(gè)網(wǎng)站可以查詢到一個(gè)服務(wù)器上有哪些網(wǎng)站，就是這個(gè)服務(wù)器上綁定了哪些域名。4.1攻擊的一般流程黑客攻擊一般有六個(gè)步驟，即：踩點(diǎn)—>掃904.1攻擊的一般流程例如：可以在DOS環(huán)境下輸入命令：c:\>telnetwww.*.*.cn80，如圖2.1所示。這時(shí)出現(xiàn)如圖2.2所示屏幕：4.1攻擊的一般流程例如：可以在DOS環(huán)境下輸入命令：c:914.1攻擊的一般流程2.掃描：針對(duì)某個(gè)網(wǎng)址的后臺(tái)地址，則可以用注入工具掃描。另外，這只是對(duì)網(wǎng)址進(jìn)行掃描，還可以用工具對(duì)一些常見(jiàn)的漏洞和端口進(jìn)行掃描。關(guān)于掃描的方法，前一章已經(jīng)介紹過(guò)了，這里就不再贅述。3.入侵：這個(gè)階段主要是看通過(guò)什么樣的渠道進(jìn)行入侵了。根據(jù)前面搜集到的信息，是采用Web網(wǎng)址入侵，還是服務(wù)器漏洞入侵，還是通過(guò)社會(huì)工程學(xué)原理進(jìn)行欺騙攻擊，這需要根據(jù)具體的情況來(lái)定。4.1攻擊的一般流程2.掃描：針對(duì)某個(gè)網(wǎng)址的后臺(tái)地址，則924.1攻擊的一般流程4.獲取權(quán)限：我們?nèi)肭之?dāng)然一部分目的是為了獲取權(quán)限。通過(guò)Web入侵能利用系統(tǒng)的漏洞獲取管理員后臺(tái)密碼，然后登錄后臺(tái)。這樣就可以上傳一個(gè)網(wǎng)頁(yè)木馬，如ASP木馬、php木馬等。根據(jù)服務(wù)器的設(shè)置不同，得到的木馬的權(quán)限也不一樣，所以還要提升權(quán)限。4.1攻擊的一般流程4.獲取權(quán)限：我們?nèi)肭之?dāng)然一部分目的934.1攻擊的一般流程5.提升權(quán)限：提升權(quán)限，將普通用戶的權(quán)限提升為更高一點(diǎn)的權(quán)限，比如管理員權(quán)限。這樣才有權(quán)限去做其他的事情。提權(quán)可以采用系統(tǒng)服務(wù)的方法，社會(huì)工程學(xué)的方法，一般都是采用的第三方軟件的方法。

6.清除日志：當(dāng)入侵之后，當(dāng)然不想留下蛛絲馬跡。日志主要有系統(tǒng)日志，IIS日志和第三方軟件的日志，比如系統(tǒng)裝了入侵檢測(cè)系統(tǒng)，就會(huì)有這個(gè)日志。要?jiǎng)h除記錄，一般是采用攻擊刪除。當(dāng)然對(duì)于一些特殊記錄，則需要手工刪除了。不然使用工具統(tǒng)統(tǒng)刪除了，管理員也會(huì)懷疑的。4.1攻擊的一般流程5.提升權(quán)限：提升權(quán)限，將944.2攻擊的方法與技術(shù)

網(wǎng)上的攻擊方式很多，這里介紹7種常用的攻擊方法與技術(shù)，包括密碼破解攻擊、緩沖區(qū)溢出攻擊、欺騙攻擊、DoS/DDoS攻擊、SQL注入攻擊、網(wǎng)絡(luò)蠕蟲(chóng)和社會(huì)工程攻擊等。4.2.1密碼破解攻擊 密碼破解不一定涉及復(fù)雜的工具。它可能與找一張寫(xiě)有密碼的貼紙一樣簡(jiǎn)單，而這張紙就貼在顯示器上或者藏在鍵盤(pán)底下。另一種蠻力技術(shù)稱為“垃圾搜尋（dumpsterdiving）”，它基本上就是一個(gè)攻擊者把垃圾搜尋一遍以找出可能含有密碼的廢棄文檔。4.2攻擊的方法與技術(shù) 網(wǎng)上的攻擊方式很多，這里介紹7種常954.2攻擊的方法與技術(shù)1.字典攻擊（Dictionaryattack）到目前為止，一個(gè)簡(jiǎn)單的字典攻擊是闖入機(jī)器的最快方法。字典文件（一個(gè)充滿字典文字的文本文件）被裝入破解應(yīng)用程序（如L0phtCrack），它是根據(jù)由應(yīng)用程序定位的用戶帳戶運(yùn)行的。因?yàn)榇蠖鄶?shù)密碼通常是簡(jiǎn)單的，所以運(yùn)行字典攻擊通常足以實(shí)現(xiàn)目的了。4.2攻擊的方法與技術(shù)1.字典攻擊（Dictionary964.2攻擊的方法與技術(shù)2.混合攻擊（Hybridattack）另一個(gè)眾所周知的攻擊形式是混合攻擊?；旌瞎魧?shù)字和符號(hào)添加到文件名以成功破解密碼。許多人只通過(guò)在當(dāng)前密碼后加一個(gè)數(shù)字來(lái)更改密碼。其模式通常采用這一形式：第一月的密碼是“cat”；第二個(gè)月的密碼是“cat1”；第三個(gè)月的密碼是“cat2”，依次類推。4.2攻擊的方法與技術(shù)2.混合攻擊（Hybridatt974.2攻擊的方法與技術(shù)3.暴力攻擊（Bruteforceattack）暴力攻擊是最全面的攻擊形式，雖然它通常需要很長(zhǎng)的時(shí)間工作，這取決于密碼的復(fù)雜程度。根據(jù)密碼的復(fù)雜程度，某些暴力攻擊可能花費(fèi)一個(gè)星期的時(shí)間。在暴力攻擊中還可以使用LC5等工具。4.2攻擊的方法與技術(shù)3.暴力攻擊（Bruteforc984.2攻擊的方法與技術(shù)4.專業(yè)工具最常用的工具之有：(1)系統(tǒng)帳號(hào)破解工具LC5，如圖2.3所示。4.2攻擊的方法與技術(shù)4.專業(yè)工具994.2攻擊的方法與技術(shù)(2)Word文件密碼破解工具WordPasswordRecoveryMaster,如圖2.4所示。4.2攻擊的方法與技術(shù)(2)Word文件密碼破解工具Wo1004.2攻擊的方法與技術(shù)(3)郵箱口令破解工具：黑雨，如圖2.5所示。4.2攻擊的方法與技術(shù)(3)郵箱口令破解工具：黑雨，如圖1014.2攻擊的方法與技術(shù) (4)RAR壓縮文件破解工具：InteloreRARPasswordRecovery，如圖2.6所示。4.2攻擊的方法與技術(shù) (4)RAR壓縮文件破解工具：I1024.2攻擊的方法與技術(shù) (5)PowerPoint文件破解工具：Powerpoint-Password-Recovery.exe，如圖2.7所示。4.2攻擊的方法與技術(shù) (5)PowerPoint文1034.2攻擊的方法與技術(shù)4.2.2緩沖區(qū)溢出攻擊緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)當(dāng)機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。緩沖區(qū)溢出攻擊有多種英文名稱：bufferoverflow。第一個(gè)緩沖區(qū)溢出攻擊--Morris蠕蟲(chóng)，它曾造成了全世界6000多臺(tái)網(wǎng)絡(luò)服務(wù)器癱瘓。4.2攻擊的方法與技術(shù)4.2.2緩沖區(qū)溢出攻擊1044.2攻擊的方法與技術(shù)緩沖區(qū)溢出攻擊的原理主要是通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒(méi)有仔細(xì)檢查用戶輸入的參數(shù)。例如下面程序：voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}4.2攻擊的方法與技術(shù)緩沖區(qū)溢出攻擊的原理主要是通過(guò)往程序1054.2攻擊的方法與技術(shù)4.2.3欺騙攻擊1.源IP地址欺騙攻擊許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的前提。4.2攻擊的方法與技術(shù)4.2.3欺騙攻擊1064.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊

1.DoS攻擊拒絕服務(wù)(DoS,DenialofService)攻擊是目前黑客廣泛使用的一種攻擊手段。最常見(jiàn)的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。4.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊1074.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊(1)SYNFlood:該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYNACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒(méi)有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。4.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊1084.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊(2)Smurf：該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求（如ICMP回應(yīng)請(qǐng)求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。Smurf攻擊原理如圖2.9所示。4.2攻擊的方法與技術(shù)4.2.4DoS/DDoS攻擊1094.2攻擊的方法與技術(shù)2.DDoS攻擊 分布式拒絕服務(wù)DDoS(DistributedDenialofService)攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高時(shí)，它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了，目標(biāo)對(duì)惡意攻擊包的"消化能力"加強(qiáng)了不少，例如DoS攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但被攻擊主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來(lái)攻擊就不會(huì)產(chǎn)生什么效果。4.2攻擊的方法與技術(shù)2.DDoS攻擊1104.2攻擊的方法與技術(shù)圖2.10為典型的DDoS攻擊工具CCv2.1，它是一個(gè)強(qiáng)大的應(yīng)用層的DDoS攻擊工具。4.2攻擊的方法與技術(shù)圖2.10為典型的DDoS攻擊工具C1114.2攻擊的方法與技術(shù)4.2攻擊的方法與技術(shù)1124.2攻擊的方法與技術(shù)3.針對(duì)DoS/DDoS攻擊的防范針對(duì)DoS/DDoS攻擊的防范主要采取如下一些方法：(1)確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。研究發(fā)現(xiàn)幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁。

(2)確保管理員對(duì)所有主機(jī)進(jìn)行檢查，而不僅針對(duì)關(guān)鍵主機(jī)。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在運(yùn)行什么？誰(shuí)在使用主機(jī)？哪些人可以訪問(wèn)主機(jī)？不然，即使黑客侵犯了系統(tǒng)，也很難查明。(3)確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫(kù)中刪除未使用的服務(wù)如FTP或NFS。Wu-Ftpd等守護(hù)程序存在一些已知的漏洞，黑客通過(guò)根攻擊就能獲得訪問(wèn)特權(quán)系統(tǒng)的權(quán)限，并能訪問(wèn)其他系統(tǒng)甚至是受防火墻保護(hù)的系統(tǒng)。4.2攻擊的方法與技術(shù)3.針對(duì)DoS/DDoS攻擊的防范1134.2攻擊的方法與技術(shù)

(4)限制在防火墻外與網(wǎng)絡(luò)文件共享。這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無(wú)異將陷入癱瘓。

(5)確保手頭有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。

4.2攻擊的方法與技術(shù) (4)限制在防火墻外與網(wǎng)絡(luò)文件共1144.2攻擊的方法與技術(shù)(6)在防火墻上運(yùn)行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當(dāng)造成的，使DoS/DDoS攻擊成功率很高，所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。

(7)檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更，幾乎可以肯定：相關(guān)的主機(jī)安全受到了危脅。

(8)利用DDoS設(shè)備提供商的設(shè)備。 目前沒(méi)有哪個(gè)網(wǎng)絡(luò)可以免受DDoS攻擊，但如果采取上述幾項(xiàng)措施，能起到一定的預(yù)防作用。4.2攻擊的方法與技術(shù)(6)在防火墻上運(yùn)行端口映1154.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊隨著B(niǎo)/S模式應(yīng)用開(kāi)發(fā)的發(fā)展，使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。SQL注入是從正常的WWW端口訪問(wèn)，而且表面看起來(lái)跟一般的Web頁(yè)面訪問(wèn)沒(méi)什么區(qū)別，所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒(méi)查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)。但是，SQL注入的手法相當(dāng)靈活，在注入的時(shí)候會(huì)碰到很多意外的情況。能不能根據(jù)具體情況進(jìn)行分析，構(gòu)造巧妙的SQL語(yǔ)句，從而成功獲取想要的數(shù)據(jù)。據(jù)統(tǒng)計(jì)，網(wǎng)站用ASP+Access或SQLServer的占70%以上，PHP+MySQ占L20%，其他的不足10%。4.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊1164.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊

4.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊1174.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊

4.2攻擊的方法與技術(shù)4.2.5SQL注入攻擊1184.2攻擊的方法與技術(shù)4.2.6網(wǎng)絡(luò)蠕蟲(chóng)

蠕蟲(chóng)(Worm)病毒和一般的病毒有著很大的區(qū)別。對(duì)于蠕蟲(chóng)，現(xiàn)在還沒(méi)有一個(gè)成套的理論體系。一般認(rèn)為：蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。目前危害比較大的蠕蟲(chóng)病毒主要通過(guò)三種途徑傳播：系統(tǒng)漏洞、聊天軟件和電子郵件。4.2攻擊的方法與技術(shù)4.2.6網(wǎng)絡(luò)蠕蟲(chóng)119目錄5.1木馬攻擊5.2網(wǎng)絡(luò)后門(mén)5.3清除攻擊痕跡目錄5.1木馬攻擊1205.1木馬攻擊5.1.1木馬的概述 特洛伊木馬簡(jiǎn)稱木馬，英文叫做“Trojanhouse”，其5.1木馬攻擊5.1.1木馬的概述1215.1木馬攻擊木馬一般有兩個(gè)程序，一個(gè)是客戶端，另一個(gè)是服務(wù)器端。如果要給別人計(jì)算機(jī)上種木馬，則受害者一方運(yùn)行的是服務(wù)器端程序，而自己使用的是客戶端來(lái)控制受害者機(jī)器的。5.1木馬攻擊木馬一般有兩個(gè)程序，一個(gè)是客戶端，1225.1木馬攻擊木馬的傳播方式主要有兩種:一種是通過(guò)E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。5.1木馬攻擊木馬的傳播方式主要有兩種:一種是通過(guò)1235.1木馬攻擊1.密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會(huì)在每次的Windows重啟時(shí)，而且它們大多數(shù)使用25端口發(fā)送E--mail。2.鍵盤(pán)記錄型木馬鍵盤(pán)記錄型木馬非常簡(jiǎn)單的，它們只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一件事。5.1木馬攻擊1.密碼發(fā)送型木馬1245.1木馬攻擊3.毀壞型木馬毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡(jiǎn)單，并且很容易被使用。它們可以自動(dòng)地刪除用戶計(jì)算機(jī)上的所有的.DLL、INI或EXE文件。4.FTP型木馬FTP型木馬打開(kāi)用戶計(jì)算機(jī)的21端口（FTP所使用的默認(rèn)端口），使每一個(gè)人都可以用一個(gè)FTP客戶端程序來(lái)不用密碼連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載。5.1木馬攻擊3.毀壞型木馬1255.1木馬攻擊木馬常用的欺騙方法如下：1.捆綁欺騙：如把木馬服務(wù)端和某個(gè)游戲捆綁成一個(gè)文件在郵件中發(fā)給別人。2.危險(xiǎn)下載點(diǎn)：攻破一些下載站點(diǎn)后，下載幾個(gè)下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載；或直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載。3.文件夾慣性點(diǎn)擊：把木馬文件偽裝成文件夾圖標(biāo)后，放在一個(gè)文件夾中，然后在外面再套三四個(gè)空文件夾。5.1木馬攻擊木馬常用的欺騙方法如下：1265.1木馬攻擊木馬常用的欺騙方法如下：4.zip偽裝：將一個(gè)木馬和一個(gè)損壞的zip包捆綁在一起，然后指定捆綁后的文件為zip圖標(biāo)。5.網(wǎng)頁(yè)木馬法：有的網(wǎng)頁(yè)是自帶木馬的，只要打開(kāi)該網(wǎng)頁(yè)，立刻就會(huì)安裝上木馬。 常見(jiàn)的木馬很多，Windows下有Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等。UNIX下有Rhost++、Login后門(mén)、rootkit等。5.1木馬攻擊木馬常用的欺騙方法如下：1275.1.3木馬例子下面以Windows下的冰河木馬為例子，介紹木馬的原理。冰河實(shí)際上是一個(gè)小小的服務(wù)器程序（安裝在要入侵的機(jī)器中），這個(gè)小小的服務(wù)端程序功能十分強(qiáng)大，通過(guò)客戶端（安裝在入侵者的機(jī)器中）的各種命令來(lái)控制服務(wù)端的機(jī)器，并可以輕松的獲得服務(wù)端機(jī)器的各種系統(tǒng)信息。1999年上半年，一個(gè)名叫黃鑫的人寫(xiě)出了冰河木馬軟件。冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，有人說(shuō)在國(guó)內(nèi)沒(méi)用過(guò)冰河的人等于沒(méi)用過(guò)木馬，可見(jiàn)冰河木馬的重要性。5.1.3木馬例子下面以Windows下的冰河木1285.1.3木馬例子冰河木馬的服務(wù)器端程序名為G_Server.exe，客戶端程序名為G_Client.exe。冰河木馬目的是遠(yuǎn)程訪問(wèn)、控制。冰河的開(kāi)放端口7626據(jù)傳為其生日號(hào)。2.2版本后均非黃鑫制作。如圖5.2所示為冰河不同版本的圖標(biāo)。5.1.3木馬例子冰河木馬的服務(wù)器端程序名為G_S1295.1.3木馬例子冰河木馬的功能如下：1．自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤(pán)及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤(pán)及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)。

2．記錄各種口令信息：包括開(kāi)機(jī)口令、屏?？诹?、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過(guò)的口令信息，且1.2以上的版本中允許用戶對(duì)該功能自行擴(kuò)充，2.0以上版本還同時(shí)提供了擊鍵記錄功能。

3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤(pán)信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。5.1.3木馬例子冰河木馬的功能如下：1305.1.3木馬例子4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。

5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開(kāi)文件（提供了四中不同的打開(kāi)方式——正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能。

6．注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫(xiě)等所有注冊(cè)表操作功能。

7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息。8．點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。5.1.3木馬例子4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)1315.1.3木馬例子 下面來(lái)看看冰河木馬的使用。首選可以采用一些端口掃描工具如X-way、Superscan、X-Scan等掃描一個(gè)網(wǎng)段內(nèi)的所有主機(jī)，看看這些主機(jī)有哪些7626端口是開(kāi)放的。如圖5.3所示為使用X-way掃描一個(gè)網(wǎng)段中的7626端口。5.1.3木馬例子1325.1.3木馬例子5.1.3木馬例子1335.1.3木馬例子X(jué)-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)了6臺(tái)機(jī)器的7626端口是開(kāi)放的，這表明這6臺(tái)機(jī)器可能都有冰河木馬。5.1.3木馬例子X(jué)-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)1345.1.3木馬例子如圖5.5所示，為冰河的主界面，可以看到它可以完成屏幕抓圖、控制、修改服務(wù)器配置、冰河信使等功能。5.1.3木馬例子如圖5.5所示，為冰河的主界面，可1355.1.3木馬例子如圖5.6所示為通過(guò)冰河可以得到對(duì)方機(jī)器的一些密碼。5.1.3木馬例子如圖5.6所示為通過(guò)冰河可以得到對(duì)1365.1.3木馬例子如圖5.7所示為受害者的一些信息可以通過(guò)郵件發(fā)送給控制方。5.1.3木馬例子如圖5.7所示為受害者的一些信息1375.1.3木馬例子如圖5.8所示，為受害者機(jī)器采用netstat–an命令看到的7626端口是開(kāi)放的5.1.3木馬例子如圖5.8所示，為受害者機(jī)器采用n1385.1.3木馬例子5.1.4木馬的防范防治木馬的危害，應(yīng)該采取以下措施：第1，安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)。第2，把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)。第3，可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。第4，如果使用IE瀏覽器，應(yīng)該安裝卡卡安全助手、360安全衛(wèi)士等防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。5.1.3木馬例子5.1.4木馬的防范1395.1.3木馬例子5.1.4木馬的防范5.1.3木馬例子5.1.4木馬的防范1405.1.3木馬例子5.1.4木馬的防范 選中“Internet協(xié)議(TCP/IP)”點(diǎn)擊“屬性”。出現(xiàn)如圖5.12所示的界面。5.1.3木馬例子5.1.4木馬的防范1415.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范1425.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范1435.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范1445.2網(wǎng)絡(luò)后門(mén)1.后門(mén)介紹早期的電腦黑客，在成功獲得遠(yuǎn)程系統(tǒng)的控制權(quán)后，希望能有一種技術(shù)使得他們?cè)谌我獾臅r(shí)間都可以再次進(jìn)入遠(yuǎn)程系統(tǒng)，于是后門(mén)程序就出現(xiàn)了。 后門(mén)是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法。在軟件的開(kāi)發(fā)階段，程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門(mén)程序以便可以修改程序設(shè)計(jì)中的缺陷。但是，如果這些后門(mén)被其他人知道，或是在發(fā)布軟件之前沒(méi)有刪除后門(mén)程序，那么它就存在安全隱患，容易被黑客當(dāng)成漏洞進(jìn)行攻擊。傳統(tǒng)意義上的后門(mén)程序往往只是能夠讓黑客獲得一個(gè)SHELL，通過(guò)這個(gè)SHELL進(jìn)而進(jìn)行一些遠(yuǎn)程控制操作。5.2網(wǎng)絡(luò)后門(mén)1.后門(mén)介紹1455.2網(wǎng)絡(luò)后門(mén)2.后門(mén)實(shí)例全球著名黑客米特尼克在15歲的時(shí)候，闖入了“北美空中防務(wù)指揮系統(tǒng)”的計(jì)算機(jī)主機(jī)內(nèi)，他和另外一些朋友翻遍了美國(guó)指向前蘇聯(lián)及其盟國(guó)的所有核彈頭的數(shù)據(jù)資料，然后又悄無(wú)聲息地溜了出來(lái)，這就是黑客歷史上利用“后門(mén)”進(jìn)行入侵的一次經(jīng)典之作。如圖5.16所示為黑客米特尼克。5.2網(wǎng)絡(luò)后門(mén)2.后門(mén)實(shí)例1465.2網(wǎng)絡(luò)后門(mén)2.后門(mén)實(shí)例全球著名黑客米特尼克在15歲的時(shí)候，5.2網(wǎng)絡(luò)后門(mén)2.后門(mén)實(shí)例1475.2網(wǎng)絡(luò)后門(mén)3.后門(mén)的防御方法后門(mén)的防范相對(duì)于木馬來(lái)說(shuō)，更加的困難，因?yàn)橄到y(tǒng)本身就包括遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助這些可以進(jìn)行遠(yuǎn)程維護(hù)的后門(mén)，所以對(duì)用戶來(lái)講更加的困難。(1)首先對(duì)使用的操作系統(tǒng)以及軟件要有充分的了解，確定它們之中是否存在后門(mén)。如果存在的話就需要及時(shí)關(guān)閉，以免這些后門(mén)被黑客所利用，比如系統(tǒng)的遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助等。(2)關(guān)閉系統(tǒng)中不必要的服務(wù)，這些服務(wù)中有相當(dāng)一部分對(duì)于個(gè)人用戶來(lái)說(shuō)不但沒(méi)有作用，而且安全方面也存在很大的隱患，比如RemoteRegistry、TerminalServices等，這樣同樣可以防范系統(tǒng)服務(wù)被黑客利用。5.2網(wǎng)絡(luò)后門(mén)3.后門(mén)的防御方法1485.2網(wǎng)絡(luò)后門(mén) (3)安裝網(wǎng)絡(luò)防火墻，這樣可以有效地對(duì)黑客發(fā)出的連接命令進(jìn)行攔截。即使是自己的系統(tǒng)被黑客安裝了后門(mén)程序，也能阻止黑客的進(jìn)一步控制操作。

(4)安裝最新版本的殺毒軟件，并且將病毒庫(kù)升級(jí)到最新的版本。另外再安裝一個(gè)注冊(cè)表監(jiān)控程序，可以隨時(shí)對(duì)注冊(cè)表的變化進(jìn)行監(jiān)控，有效地防范后門(mén)的入侵。5.2網(wǎng)絡(luò)后門(mén) (3)安裝網(wǎng)絡(luò)防火墻，這樣可以有效地對(duì)黑1495.3清除攻擊痕跡

操作系統(tǒng)日志是對(duì)操作系統(tǒng)中的操作或活動(dòng)進(jìn)行的記錄，不管是用戶對(duì)計(jì)算機(jī)的操作還是應(yīng)用程序的運(yùn)行情況都能全面記錄下來(lái)。黑客在非法入侵電腦以后所有行動(dòng)的過(guò)程也會(huì)被日志記錄在案。所以黑客在攻擊之后，如果刪除這些日志記錄，就顯得很重要了。雖然一個(gè)日志的存在不能提供完全的可記錄性，但日志能使系統(tǒng)管理員和安全官員做到：1.發(fā)現(xiàn)試圖攻擊系統(tǒng)安全的重復(fù)舉動(dòng)（例如：一個(gè)攻擊者試圖冒充administrator或root登錄）。2.跟蹤那些想要越權(quán)的用戶（例如：那些使用sudo命令作為root執(zhí)行命令的用戶）。3.跟蹤異常的使用模式（例如：有人在工作時(shí)間以外的時(shí)間登錄計(jì)算機(jī)）。4.實(shí)時(shí)跟蹤侵入者。5.3清除攻擊痕跡 操作系統(tǒng)日志是對(duì)操作系統(tǒng)中的操作或活動(dòng)1505.3清除攻擊痕跡5.3.1Windows下清除攻擊痕跡

Windows下的日志信息可以在“控制面板”->“管理工具”->“事件查看器”當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的安全日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。5.3清除攻擊痕跡5.3.1Windows下清除攻擊痕跡1515.3清除攻擊痕跡這三種日志文件的存放位置分別如下：1.安全日志文件默認(rèn)位置：%systemroot%\system32\config\SecEvent.EVT。2.系統(tǒng)日志文件默認(rèn)位置：%systemroot%\system32\config\SysEvent.EVT。3.應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。5.3清除攻擊痕跡這三種日志文件的存放位置分別如下：1525.3清除攻擊痕跡這三種日志文件的存放位置分別如下：5.3清除攻擊痕跡這三種日