《通信網(wǎng)安全與保密》課件第8章

第8章通信網(wǎng)絡(luò)安全工具8.1病毒清除工具8.2系統(tǒng)掃描工具8.3安全審計(jì)與入侵檢測(cè)工具8.4小結(jié)習(xí)題8.1病毒清除工具

KV3000和瑞星殺毒軟件是具有代表性的病毒清除工具。對(duì)這兩種工具做簡單介紹。8.1.1KV3000

1．KV3000的基本功能

KV3000是一套系列殺毒軟件，可分為DOS版和Windows版，該軟件保存在兩張磁盤和一張光盤上。KV3000具有預(yù)防、瀏覽和消除病毒的功能，并具有獨(dú)特的開放式系統(tǒng)

KVW3000(KV3000W)可完成對(duì)外來軟盤、光盤和因特網(wǎng)的病毒及其黑客的實(shí)時(shí)監(jiān)測(cè)，可實(shí)時(shí)監(jiān)測(cè)最常見的Zip、ARJ、RAR、CAB、LZH等十多種壓縮文件中的病毒，并且識(shí)別多種可執(zhí)行程序的壓縮格式，如PKLITE、LZEXE、WWPACK、ASPACK、UPX等。也可以實(shí)時(shí)監(jiān)測(cè)或搜尋到電子信箱中夾帶在E-mail中的病毒，可以支持FoxMail、OutLook和Netscape等常見的E-mail軟件生成的郵件格式，阻止網(wǎng)上病毒進(jìn)入。

KV3000能夠按照用戶意愿主動(dòng)在軟盤上保存硬盤正常的引導(dǎo)區(qū)信息，用以恢復(fù)被病毒破壞后的硬盤。KV3000還能直觀地查看硬盤物理扇區(qū)主引導(dǎo)和Boot引導(dǎo)信息是否正常，這樣用戶就能一個(gè)不漏地查出所有主引導(dǎo)區(qū)病毒。國際上有數(shù)千種引導(dǎo)區(qū)病毒，它們可感染任何系統(tǒng)的引導(dǎo)區(qū)，用KV3000可以直觀地看到這些病毒的原代碼。

KV3000具有自我檢查、自我修復(fù)、自我解除感染自身的病毒的功能，以保自身的清潔和完整。KV3000的測(cè)試、修復(fù)和重建硬盤分區(qū)表的功能，使丟失了分區(qū)表的硬盤幾秒鐘內(nèi)就可起死回生，使硬盤上被封閉的重要數(shù)據(jù)可自由存取。這對(duì)存有大量信息的硬盤來說，尤為重要。

2．KV3000功能鍵

KV3000運(yùn)行時(shí)采用全屏幕的顯示方式。運(yùn)行KV3000時(shí)，KV3000自動(dòng)地將當(dāng)前磁盤下的病毒特征庫文件Virus.dat讀入內(nèi)存。顯示界面后，按任意鍵進(jìn)入KV3000主界面。這時(shí)可以根據(jù)需要選擇功能鍵F1～F10或鍵入要掃描或殺毒的盤符路徑。

KV3000各功能鍵的作用如下：

(1)?F1：用KV3000第一套查毒方式，即使用病毒特征庫(Virus.dat)和掃描過濾法對(duì)引導(dǎo)區(qū)和所有的文件進(jìn)行全代碼掃描搜索病毒。此方法的靈敏性和準(zhǔn)確性極高，但速度稍慢。

(2)?F2：用KV3000的第二套查毒方式，即用程序內(nèi)部封閉的另一套掃描方法，快速對(duì)引導(dǎo)區(qū)和所有文件中的病毒進(jìn)行掃描。此方法速度較快。

(3)?F3：快速清除已知名稱的病毒。該方法是啟動(dòng)KV3000后的默認(rèn)狀態(tài)。

(4)?F4：對(duì)引導(dǎo)區(qū)和.com、.exe文件進(jìn)行全代碼掃描搜索病毒，適應(yīng)搜索網(wǎng)絡(luò)服務(wù)器。

(5)?F5：對(duì)某一個(gè)目錄內(nèi)全部文件中的病毒進(jìn)行掃描或清除。

(6)?F6：可查看不歸DOS管理的硬盤隱含扇區(qū)，查看硬盤0面0柱1扇區(qū)主引導(dǎo)記錄及分區(qū)表，可在硬盤隱含扇區(qū)內(nèi)查找被移走的主引導(dǎo)記錄及分區(qū)表，并可將主引導(dǎo)記錄及分區(qū)表向A盤備份保存。備份后，可用KV3000/Hdpt.dat的格式再恢復(fù)到硬盤0面0柱1扇區(qū)主引導(dǎo)區(qū)中。?此方法應(yīng)先用KV3000/B的格式將當(dāng)前0面0道1扇區(qū)主引導(dǎo)區(qū)備份到軟盤上，以防不測(cè)。

(7)?F7：可查看硬盤主引導(dǎo)區(qū)、Boot區(qū)、FAT1、FAT2、R00T等扇區(qū)。

(8)?F8：可進(jìn)行病毒演示，且不會(huì)感染上病毒。

(9)?F9：顯示版本號(hào)和簡易說明等。

(10)?F10：自動(dòng)測(cè)試和快速修復(fù)硬盤分區(qū)表。

(11)?Esc：任何狀態(tài)下，按下此鍵可返回、終止或退出當(dāng)前狀態(tài)。

按Enter鍵或者空格鍵可恢復(fù)到主畫面。

3．硬盤主引導(dǎo)信息保護(hù)保存正確的硬盤主引導(dǎo)信息的命令格式為KV3000/B。建議用戶對(duì)重要的機(jī)器一定要使用這種命令。這種命令向A盤備份一個(gè)無病毒的硬盤主引導(dǎo)信息，其文件名為Hdpt.dat。用戶可以在軟盤的標(biāo)簽上寫明機(jī)器型號(hào)、硬盤容量、分區(qū)大小，然后長期保存，以便在硬盤主引導(dǎo)信息被病毒破壞或主引導(dǎo)記錄被破壞的情況下，恢復(fù)正確的硬盤主引導(dǎo)信息，使其正常啟動(dòng)，但是這種信息不能恢復(fù)到別的硬盤中。

4．清除所有引導(dǎo)型病毒

清除所有引導(dǎo)型病毒的命令格式為KV3000/K。這種命令能安全清除所有引導(dǎo)型病毒，并在軟盤上保存硬盤的主引導(dǎo)信息。

在使用這種命令之前，應(yīng)先用KV3000系統(tǒng)軟盤啟動(dòng)機(jī)器(冷啟動(dòng)機(jī)器)。

在使用這種命令清除硬盤主引導(dǎo)區(qū)病毒之前，先在A驅(qū)動(dòng)器中放一個(gè)軟盤，以便將硬盤有毒或不正常的主引導(dǎo)信息備份在軟盤上，其文件名為Hdpt.vir。這種做法是預(yù)防原硬盤的主引導(dǎo)信息中有某種加鎖的密碼，當(dāng)使用KV3000/K命令將其清除而不能正常工作時(shí)，再用以下格式將A盤中的原硬盤主引導(dǎo)信息(Hdpt.vir文件)原樣恢復(fù)到硬盤上。

5．恢復(fù)當(dāng)前硬盤的主引導(dǎo)信息

恢復(fù)當(dāng)前硬盤的主引導(dǎo)信息的命令格式為KV3000/Hdpt.vir。這種命令是用KV3000/K命令將暫存在軟盤上的不正常的主引導(dǎo)信息Hdpt.vir文件的內(nèi)容，原樣恢復(fù)到硬盤的主引導(dǎo)區(qū)。

用外部病毒特征庫Virus.dat或Virus-1.dat檢測(cè)病毒的命令格式為KV3000Virus.dat或KV3000Virus-1.dat。

在使用這種命令時(shí)，Virus.dat文件必須在當(dāng)前盤中。若使用命令格式KV3000C:Virus-1.dat時(shí)，應(yīng)將Virus-1.dat文件復(fù)制在C盤中。

如果用戶自行擴(kuò)展的病毒特征碼數(shù)據(jù)文件不是Virus.dat，而是其它名字，可以將該用戶文件復(fù)制到C盤中(或當(dāng)前盤中)，再使用命令:A:\＞KV3000C:\路徑\XXXXXXXX.XXX。例如:KV3000C:\KV3000\Virus-x.dat。

6．實(shí)時(shí)監(jiān)測(cè)病毒

將KV3000光盤放入光驅(qū)中，KV3000密鑰盤A放在軟驅(qū)中，光盤自動(dòng)運(yùn)行，選擇安裝KVW3000組件后，出現(xiàn)安裝界面，然后根據(jù)安裝程序的提示進(jìn)行安裝。安裝完KVW3000后，將在Windows“開始”菜單上生成程序組，桌面上生成KVW3000的快捷方式。如果選擇系統(tǒng)啟動(dòng)時(shí)直接運(yùn)行“實(shí)時(shí)監(jiān)視器”的話，在Windows桌面的右下角，任務(wù)欄的右邊出現(xiàn)一個(gè)紅色的K字圖標(biāo)，它表示KVW3000正運(yùn)行于“實(shí)時(shí)監(jiān)視器”活動(dòng)的狀態(tài)，實(shí)時(shí)監(jiān)視系統(tǒng)的每一個(gè)操作。直接運(yùn)行KVW3000，就出現(xiàn)KVW3000的主畫面。

掃描程序左邊的按鈕是功能按鈕，右邊是具體的設(shè)置、命令信息顯示。最下邊是信息顯示，是各個(gè)按鈕、文字和區(qū)域的詳細(xì)解釋?，F(xiàn)將功能按鈕解釋如下。

1)掃描信息

掃描信息窗口顯示已經(jīng)掃描的信息統(tǒng)計(jì)，中間有上次的掃描目標(biāo)，如果經(jīng)常掃描某一個(gè)目錄，比如存放下載文件的目錄，這時(shí)就可以直接按右邊的查毒、殺毒按鈕進(jìn)行相應(yīng)的操作，也可以選擇一個(gè)指定的文件夾進(jìn)行查、殺病毒的操作。

查、殺病毒時(shí)，信息窗口中將出現(xiàn)統(tǒng)計(jì)結(jié)果。窗口下方顯示正在檢查的文件。同時(shí)，右邊相應(yīng)的按鈕會(huì)變換成“停止查毒”或“停止殺毒”，按停止按鈕可以中斷殺毒，并返回到“選擇目標(biāo)”欄目中。

2)掃描目標(biāo)

在這里，可以方便地選擇要掃描的目標(biāo)。選擇的目標(biāo)被分為“我的電腦”、“常用文件夾”、“特殊文件夾”、“掃描歷史”4類。

在“我的電腦”中，可以選擇整個(gè)電腦、我的文檔、網(wǎng)絡(luò)鄰居、所有本地硬盤、特定的硬盤和光盤等。“常用文件夾”可以選擇我的文檔等；“特殊文件夾”可以選擇Windows文件夾、系統(tǒng)文件夾和程序文件夾；“掃描歷史”中存放以前掃描過的設(shè)置，方便重新掃描。

3)掃描模式設(shè)置

在查毒和殺病毒的時(shí)候存在著時(shí)間長短和掃描是否徹底之間的矛盾，這些可以通過調(diào)節(jié)掃描模式設(shè)置中的一些選項(xiàng)來解決。

在掃描模式設(shè)置中，用戶可以設(shè)置查看和改變代碼分析方式、檢查壓縮包、檢查E-mail附件、檢查自解壓程序和智能掃描方式等選項(xiàng)。其中，智能掃描方式可以通過識(shí)別文件類型，忽略一些不會(huì)感染病毒的文件，達(dá)到加快病毒掃描速度的效果。

4)輔助功能

輔助功能包括安全防護(hù)、掃描計(jì)劃、關(guān)機(jī)掃描以及日志和實(shí)時(shí)監(jiān)視的控制等。其中，安全防護(hù)就是備份或恢復(fù)主引導(dǎo)扇區(qū)和邏輯C盤的引導(dǎo)扇區(qū)。當(dāng)系統(tǒng)遭到災(zāi)難性的破壞時(shí)，可以恢復(fù)備份前的主引導(dǎo)扇區(qū)和邏輯C盤的引導(dǎo)扇區(qū)，從而對(duì)硬盤數(shù)據(jù)的安全起到一定的防護(hù)作用。掃描計(jì)劃可以規(guī)定時(shí)間對(duì)“我的電腦”進(jìn)行全面掃描，可以選擇每天、每周中的某一天或每月的某一天掃描。

5)智能升級(jí)

智能升級(jí)就是通過因特網(wǎng)直接連接到公司網(wǎng)站上，檢查病毒庫和程序是否更新，并只下載更新的那一部分，而沒有更新的就不會(huì)下載。智能升級(jí)可以使升級(jí)方便、快捷。智能升級(jí)可以支持代理服務(wù)器升級(jí)，這也就意味著無論是自己撥號(hào)上網(wǎng)，還是多人共享上網(wǎng)，都可以享受智能升級(jí)代理的方便快捷。

6)技術(shù)支持

單擊“創(chuàng)建報(bào)告”按鈕，就會(huì)在桌面上創(chuàng)建一個(gè)包含有關(guān)機(jī)器配置、軟件安裝情況、KVW3000本身的情況等信息的報(bào)告，報(bào)告的文件名稱是KVReport.txt。用戶可以在該文件中詳細(xì)描述問題出現(xiàn)的經(jīng)過以及現(xiàn)象，然后單擊“病毒上報(bào)”按鈕，將本文件作為附件發(fā)給公司。如果還有其它問題，可單擊相應(yīng)的反應(yīng)該問題的功能按鈕。

7．Word宏病毒的清除

KV3000能查出已知名和以后出現(xiàn)的絕大多數(shù)未知名Word(Normal.dot)中的宏病毒。清除Word宏病毒有以下兩種方法：

(1)執(zhí)行KVW3000.exe文件，用戶可任選某一子目錄進(jìn)行清除，查出病毒后，為了安全起見，系統(tǒng)會(huì)先自動(dòng)備份一個(gè)有毒的原文件，將其擴(kuò)展名改為.KV，然后再將原文件中的病毒清除。

(2)用干凈的Windows系統(tǒng)軟盤引導(dǎo)機(jī)器，運(yùn)行KV3000，出現(xiàn)主菜單后，按下盤符鍵，系統(tǒng)可將宏病毒自動(dòng)清除，恢復(fù)word文件的正常狀態(tài)。8.1.2瑞星殺毒軟件

1．瑞星殺毒軟件的基本功能

“瑞星殺毒軟件”是針對(duì)流行于國內(nèi)外危害較大的計(jì)算機(jī)病毒和有害程序研制的反病毒安全工具，用于對(duì)已知病毒、黑客程序的查找，實(shí)時(shí)監(jiān)控和清除恢復(fù)被病毒感染的文件或系統(tǒng)，維護(hù)計(jì)算機(jī)系統(tǒng)的安全。它能清除感染DOS、Windows和Office等系統(tǒng)和應(yīng)用程序的病毒以及危害計(jì)算機(jī)安全的各種有害程序。瑞星殺毒軟件世紀(jì)版、標(biāo)準(zhǔn)版和OEM版均包括DOS版、Windows版兩個(gè)殺毒程序，但提供的功能不同，其中世紀(jì)版還包括實(shí)時(shí)監(jiān)控程序(防火墻)。

2．DOS版使用方法

1)快速殺毒

(1)將標(biāo)準(zhǔn)版、OEM版原盤或世紀(jì)版1號(hào)盤插入A驅(qū)動(dòng)器。

(2)打開計(jì)算機(jī)電源，啟動(dòng)計(jì)算機(jī)。

(3)計(jì)算機(jī)啟動(dòng)后會(huì)自動(dòng)進(jìn)入瑞星殺毒軟件DOS版界面。

(4)用鼠標(biāo)(或按字母鍵D)選擇“Drive”菜單。

(5)用鼠標(biāo)(或光標(biāo)鍵

、

)選擇需要檢測(cè)的磁盤或分區(qū)，如“Drive＜C:＞”。

(6)用鼠標(biāo)(或按字母鍵C)選擇“Clean”菜單。

(7)用鼠標(biāo)(或光標(biāo)，或直接按F6)選擇“Allfiles＜F6＞”，可立即開始清除病毒。

(8)用鼠標(biāo)點(diǎn)擊屏幕下方的Exit可以退出，也可按ESC鍵退出。

2)功能菜單

(1)“Scan”檢測(cè)病毒菜單：用于檢查用戶指定的計(jì)算機(jī)系統(tǒng)或文件是否含有病毒。

①StandardExecutables＜F2＞：檢測(cè)指定磁盤或路徑下的程序文件(如擴(kuò)展名是?.com、.exe、.doc和.xls等的文件)是否感染病毒。②AllFiles＜F3＞：檢測(cè)指定磁盤或路徑下的所有文件是否感染病毒，同時(shí)檢測(cè)Office文件是否感染未知宏病毒。檢測(cè)結(jié)束后顯示報(bào)告，內(nèi)容包括共檢測(cè)了多少文件，發(fā)現(xiàn)多少個(gè)文件被病毒感染。

(2)“Clean”清除病毒菜單：清除指定的系統(tǒng)或文件中所感染的病毒。

①StandardExecutables＜F5＞：檢測(cè)指定磁盤或路徑下的程序文件(如擴(kuò)展名是.com、.exe、.doc和.xls等的文件），發(fā)現(xiàn)病毒后立即清除。

②AllFiles＜F6＞：檢測(cè)指定路徑下的所有文件，發(fā)現(xiàn)病毒后立即清除。請(qǐng)注意，在查找或清除病毒的過程中，如出現(xiàn)信息“Erroropening［文件名］”，則表示此文件正被調(diào)用或已被破壞。當(dāng)出現(xiàn)這種情況時(shí)，可用以下三種方法之一進(jìn)行處理:第一種方法是用瑞星殺毒軟件重新啟動(dòng)計(jì)算機(jī)，然后再查毒；第二種方法是如果該文件在服務(wù)器上，稍后再查；第三種方法是用Scandisk修復(fù)磁盤文件后再查。③Driver：指定檢測(cè)目標(biāo)選項(xiàng),用于選擇磁盤、分區(qū)或指定路徑與文件?！叭鹦菤⒍拒浖弊詣?dòng)檢測(cè)用戶的計(jì)算機(jī)所配置的所有軟盤、硬盤、光驅(qū)、網(wǎng)上鄰居和服務(wù)器等，并在用戶選中“Driver”項(xiàng)后顯示出來。

④UserSpecified：當(dāng)不需要對(duì)整個(gè)軟盤、硬盤和光盤等進(jìn)行處理時(shí)，只是要檢測(cè)某一子目錄中的文件，用戶可以選擇該項(xiàng)并輸入要處理的路徑或文件名。

(3)“Tools”工具菜單：用于保存和恢復(fù)用戶計(jì)算機(jī)硬盤引導(dǎo)扇區(qū)(Boot區(qū))的信息，修復(fù)被CIH等病毒破壞的硬盤數(shù)據(jù)。

①BackapBootInformation：用于保存硬盤引導(dǎo)信息，需要用戶指定保存信息的位置(路徑和文件名)，防止計(jì)算機(jī)由于某種原因(病毒破壞、突然掉電或操作錯(cuò)誤等)，造成Boot區(qū)信息丟失而使硬盤不能啟動(dòng)、不能讀取硬盤文件與數(shù)據(jù)。用戶需要先選中保存硬盤引導(dǎo)信息的選項(xiàng)，將硬盤的Boot區(qū)信息保存在任意指定的軟盤上，需要時(shí)，選中“RestoreBootInformation”選項(xiàng)即可恢復(fù)。②RestoreBootInformation：用于恢復(fù)硬盤引導(dǎo)信息項(xiàng)，需要用戶指定保存信息的位置(路徑和文件名)。需要注意兩個(gè)問題，第一，硬盤引導(dǎo)信息最好保存在軟盤上，以防該信息因硬盤不能引導(dǎo)而失去作用；第二，不同計(jì)算機(jī)的Boot區(qū)信息是不一樣的，在保存時(shí)一定要注意這一點(diǎn)。如果是將多臺(tái)計(jì)算機(jī)的Boot區(qū)信息保存在一張軟盤上，就需要對(duì)不同的計(jì)算機(jī)分別起名。如果是每一臺(tái)計(jì)算機(jī)用一張軟盤來保存，也需要在軟盤標(biāo)簽上做好標(biāo)記，不能混用，否則將造成混亂，無法恢復(fù)。③RecoveryToolaboutCIH：用于修復(fù)被CIH病毒破壞的硬盤數(shù)據(jù)。本功能適用于以下三種情況。

第一種情況是可以修復(fù)。如果出現(xiàn)紅色提示框，報(bào)告用戶硬盤的分區(qū)信息和文件分配表（FAT）的類型，用戶首先確認(rèn)該提示信息是否正確。然后，再根據(jù)“RecoveryPartitionTable？(Y/N)”的提示信息選擇是否進(jìn)行修復(fù)。如果選擇“Y”，則瑞星殺毒軟件將自動(dòng)恢復(fù)硬盤的分區(qū)信息；如果選擇“N”，則瑞星殺毒軟件將返回主菜單?；謴?fù)硬盤分區(qū)工作結(jié)束后，瑞星殺毒軟件將提示“RecoveryDriveC:(Y/N)”，詢問用戶是否繼續(xù)恢復(fù)C盤中的文件如果選擇“Y”，則瑞星殺毒軟件將自動(dòng)恢復(fù)C盤中的文件；如果選擇“N”，則瑞星殺毒軟件將返回主菜單。在恢復(fù)硬盤分區(qū)后，可以重新啟動(dòng)機(jī)器，此時(shí)已經(jīng)可以看到完全恢復(fù)的D、E等擴(kuò)展邏輯分區(qū)。在恢復(fù)硬盤分區(qū)后，再進(jìn)一步恢復(fù)C盤的文件后，重新啟動(dòng)機(jī)器，則不僅可以找到擴(kuò)展的邏輯分區(qū)，而且可以看到C盤上恢復(fù)的文件目錄，這些目錄名為“MSING.XXX”（XXX為0-99的數(shù)字編號(hào)）。這時(shí)擴(kuò)展分區(qū)已恢復(fù)正常，將C盤中各個(gè)目錄中的重要文件進(jìn)行備份。第二種情況是不需要修復(fù)。如果出現(xiàn)“Theharddiskisok，needn’trecover！Enter=retuntomainmenu”信息，則表示硬盤系統(tǒng)是好的，不需要修復(fù)。

第三種情況是無法恢復(fù)。如果出現(xiàn)“Theharddiskcan’tberecovered，Enter=returntomainmenu”信息，則表示邏輯盤數(shù)據(jù)使用本功能無法恢復(fù)。

3．命令行工作方式的使用方法

命令行工作方式的使用方法如下：

(1)啟動(dòng)計(jì)算機(jī)后將瑞星殺毒軟件原盤插入軟盤驅(qū)動(dòng)器。

(2)按如下格式進(jìn)行操作:

[路徑1]RAV[路徑2][文件名]/A/C格式說明：[路徑1]指瑞星殺毒軟件(Ray.exe)所在的位置(包括驅(qū)動(dòng)器號(hào)和目錄)，[路徑2]指需要檢測(cè)的系統(tǒng)或文件所在位置(包括驅(qū)動(dòng)器號(hào)和目錄)，[文件名]指需要處理的文件名，“/A”指明查殺指定目錄中的所有文件，無此參數(shù)則只查殺程序文件(*.exe、*.com、*.doc等)，“/C”參數(shù)指明對(duì)所查到的病毒立即清除，無此參數(shù)則只查而不清除病毒。例如：RAVA:B:C:連續(xù)檢測(cè)A、B、C三個(gè)磁盤的引導(dǎo)區(qū)和可執(zhí)行文件；RAVC:\windows/A檢測(cè)C盤Windows目錄下的所有文件；RAVA:\dos/C檢測(cè)A盤DOS目錄下的程序文件，發(fā)現(xiàn)病毒立即清除。

4．引導(dǎo)型病毒提取程序

引導(dǎo)型病毒提取程序適用于當(dāng)計(jì)算機(jī)硬盤或軟盤引導(dǎo)區(qū)可能被病毒感染，而已有的殺毒軟件不能檢測(cè)出，或檢測(cè)出又不能清除的情況。使用方法如下：

(1)用瑞星殺毒軟件原盤或其它干凈系統(tǒng)盤啟動(dòng)計(jì)算機(jī)。

(2)將Getboot.exe復(fù)制到一張軟盤上。

(3)將該盤插入軟驅(qū)。

(4)按如下格式運(yùn)行Gethoot.exe。

GETBoot［drive］

格式說明：［drive］指要提取信息的磁盤驅(qū)動(dòng)器名。例如：GETBootA：提取A驅(qū)動(dòng)器軟盤引導(dǎo)區(qū)的信息到Boot.dmp；GETBootC：提取硬盤引導(dǎo)區(qū)的信息到Boot.dmp和Mb.dmp兩個(gè)文件。

5．Windows版的使用方法

1)安裝

(1)啟動(dòng)計(jì)算機(jī)并進(jìn)入Windows。

(2)運(yùn)行瑞星殺毒軟件原盤中的Setup.exe。

(3)瑞星殺毒軟件默認(rèn)安裝到“C:\瑞星殺毒軟件”目錄中，讀者可以自己更改目錄。

(4)安裝程序會(huì)在Windows桌面和程序文件表中分別建立快捷方式。

2)設(shè)置

根據(jù)需要或使用習(xí)慣，可以在進(jìn)入“瑞星殺毒軟件”界面后，對(duì)如下選項(xiàng)進(jìn)行設(shè)置:

(1)選擇“檢測(cè)所有文件”還是“僅查程序文件”。

(2)選擇是否檢測(cè)查毒位置下的子文件夾。

(3)選擇是否檢測(cè)壓縮文件。

(4)選擇殺毒前是否備份原文件。

設(shè)置完成后，可以選擇菜單“設(shè)置”中的“保存當(dāng)前設(shè)置”，在下次啟動(dòng)時(shí)將按本次設(shè)置啟動(dòng)。如需返回默認(rèn)設(shè)置，請(qǐng)選擇菜單“設(shè)置”中的“恢復(fù)默認(rèn)設(shè)置”即可。

3)檢測(cè)和清除病毒

檢測(cè)和清除病毒的操作步驟如下:

(1)雙擊桌面上的“瑞星殺毒軟件”圖標(biāo)或選擇程序文件夾中的“瑞星殺毒軟件”，即進(jìn)入運(yùn)行界面。

(2)通過選擇查毒位置，或點(diǎn)擊“瀏覽”按鈕確定要檢測(cè)的磁盤或文件夾。

(3)單擊“查毒”按鈕，則開始檢測(cè)，單擊“殺毒”按鈕，則開始檢測(cè)相應(yīng)的系統(tǒng)或文件，發(fā)現(xiàn)病毒立即清除，檢測(cè)過程中可隨時(shí)單擊“終止”按鈕停止檢測(cè)。檢測(cè)過程中，帶病毒的文件或系統(tǒng)的名稱、所在文件夾和病毒名稱將依次顯示在“查毒結(jié)果”欄內(nèi)。

(4)檢測(cè)結(jié)束后，檢測(cè)結(jié)果將自動(dòng)保存到殺毒軟件工作目錄的指定文本文件中，文件名為“瑞星查毒結(jié)果.TXT”。

(5)如果檢測(cè)其它文件，重復(fù)第(2)、(3)步即可。

請(qǐng)注意，在清除病毒的過程中，如果出現(xiàn)“請(qǐng)用瑞星原盤引導(dǎo)計(jì)算機(jī)清除病毒”，表示該文件正在運(yùn)行或被使用。根據(jù)提示，使用“瑞星殺毒軟件”原盤啟動(dòng)計(jì)算機(jī)后，運(yùn)行“DOS版”殺毒軟件清除。

4)啟動(dòng)定時(shí)查殺病毒功能

(1)單擊“選擇預(yù)約時(shí)間”按鈕。

(2)根據(jù)需要，選擇“每小時(shí)”、“每日”、“每周”、“每月”等不同的掃描頻率。

(3)單擊“選擇掃描項(xiàng)”，可指定需要定時(shí)檢測(cè)的磁盤或目錄。

當(dāng)系統(tǒng)時(shí)鐘到達(dá)所選定的時(shí)間時(shí)，瑞星殺毒軟件將自動(dòng)啟動(dòng)，并開始在后臺(tái)掃描預(yù)先指定的磁盤或目錄。如果發(fā)現(xiàn)病毒，查毒界面會(huì)自動(dòng)跳出，用戶可以看到查毒情況，查毒完畢可自動(dòng)將查毒結(jié)果保存到瑞星殺毒軟件所在目錄下的“定時(shí)查殺結(jié)果.TXT”文件中，供用戶隨時(shí)查閱，如果未發(fā)現(xiàn)病毒，軟件將自動(dòng)關(guān)閉退出

5)啟動(dòng)實(shí)時(shí)監(jiān)控(防火墻)

單擊界面上的“啟動(dòng)實(shí)時(shí)監(jiān)控程序”按鈕，即可啟動(dòng)“瑞星實(shí)時(shí)監(jiān)控(防火墻)”，如果已經(jīng)啟動(dòng)，則將設(shè)置界面調(diào)出。

6)訪問瑞星因特網(wǎng)主頁或瑞星BBS

如果主機(jī)連接到因特網(wǎng)，則通過選擇“訪問瑞星主頁”、“訪問瑞星BBS”按鈕，即可實(shí)現(xiàn)對(duì)瑞星因特網(wǎng)主頁或瑞星BBS的訪問，以獲取最新升級(jí)程序和各種信息。

6．實(shí)時(shí)監(jiān)控“防火墻”

運(yùn)行“世紀(jì)版”四號(hào)盤中的Setup.exe，安裝過程中，系統(tǒng)會(huì)自動(dòng)安裝“實(shí)時(shí)監(jiān)控(防火墻)”?？梢詫?duì)防火墻的如下項(xiàng)目進(jìn)行設(shè)置:

(1)監(jiān)控目標(biāo)(軟盤、本地硬盤、網(wǎng)上鄰居和光盤)。

(2)監(jiān)控文件類型(所有文件、程序文件和壓縮文件)。

(3)發(fā)現(xiàn)病毒后的處理方法(自動(dòng)清除病毒、自動(dòng)禁止使用帶毒文件、自動(dòng)刪除帶毒文件、詢問用戶如何處理)。

(4)清除病毒時(shí)是否備份原文件。

(5)啟動(dòng)Windows時(shí)是否自動(dòng)運(yùn)行。

退出和卸載實(shí)時(shí)監(jiān)控程序的操作步驟如下:

(1)用鼠標(biāo)右鍵單擊窗口右下角瑞星病毒實(shí)時(shí)監(jiān)控(防火墻)雨傘標(biāo)志，選擇“退出”。

(2)用鼠標(biāo)左鍵單擊窗口右下角瑞星病毒實(shí)時(shí)監(jiān)控(防火墻)雨傘標(biāo)志，在彈出的窗口中撤銷“啟動(dòng)Windows時(shí)是否自動(dòng)運(yùn)行”，并按“退出”按鈕即可卸載。8.2系統(tǒng)掃描工具

掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，通過掃描TCP端口，并記錄反饋信息，可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器各種TCP端口的分配、提供的服務(wù)以及它們的軟件版本。這就能讓我們間接地或直觀地了解遠(yuǎn)程主機(jī)所存在的安全問題。真正的掃描器是TCP端口掃描器，可以選通TCP/IP端口和服務(wù)，例如Telnet或FTP，并記錄目標(biāo)的應(yīng)答。而其它所謂的掃描器僅僅是Unix網(wǎng)絡(luò)的應(yīng)用程序，這些程序一般用于觀察某一服務(wù)是否正在一臺(tái)遠(yuǎn)程機(jī)器上正常工作，它們不是真正的掃描器，但也可以用于收集目標(biāo)主機(jī)的信息，例如，rusers和host命令就是這類程序。使用掃描器的一般步驟是：尋找一臺(tái)機(jī)器或一個(gè)網(wǎng)絡(luò)；一旦發(fā)現(xiàn)一臺(tái)機(jī)器，可以找出機(jī)器上正在運(yùn)行的服務(wù)；測(cè)試哪些服務(wù)具有安全漏洞。它通過選用遠(yuǎn)程TCP/IP不同的端口服務(wù)，并記錄目標(biāo)給予的應(yīng)答，可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息，比如，是否能用匿名登錄，是否提供某種服務(wù)，是否有可寫的FTP目錄，是否能用Telenet，http是用root還是nobady在運(yùn)行等等，以此發(fā)現(xiàn)目標(biāo)主機(jī)的內(nèi)在弱點(diǎn)，而這些弱點(diǎn)可能是破壞目標(biāo)主機(jī)的關(guān)鍵因素。掃描器主要是通過比較已知的弱點(diǎn)數(shù)據(jù)庫數(shù)據(jù)與系統(tǒng)配置的數(shù)據(jù)，探測(cè)系統(tǒng)或網(wǎng)絡(luò)中的缺陷。大多數(shù)掃描器還可以設(shè)置希望掃描的具體內(nèi)容以及掃描時(shí)間?？蓴U(kuò)展性是用戶希望掃描器具有的另一個(gè)重要特征，用戶希望能夠加入自己的掃描程序，查看所關(guān)心的特定站點(diǎn)的應(yīng)用缺陷。一般掃描器應(yīng)當(dāng)基于系統(tǒng)管理的通用分類中提供的可選的集中報(bào)告，如果運(yùn)行兩個(gè)或三個(gè)系統(tǒng)，在每個(gè)節(jié)點(diǎn)運(yùn)行一個(gè)本地掃描器，并閱讀從每個(gè)節(jié)點(diǎn)來的報(bào)告，這也許是可以忍受的。若節(jié)點(diǎn)有幾十個(gè)甚至更多，系統(tǒng)則希望在中心服務(wù)器上統(tǒng)一報(bào)告，其它性能，比如將節(jié)點(diǎn)分成掃描組、靈活的輸出報(bào)告格式以及定制的掃描選項(xiàng)等，對(duì)大型環(huán)境是非常有用的。使用掃描器其實(shí)很簡單。如果不需要任何定制，那么默認(rèn)情況下，掃描器查找脆弱性的預(yù)先設(shè)置列表，并向用戶報(bào)告結(jié)果。通常情況下，這些結(jié)果被存在文件中，以便稍后能回來查看這些結(jié)果。掃描器通過檢查對(duì)象的屬性，如文件的屬性和允許權(quán)限，或通過仿效黑客，來掃描缺陷。為了扮作黑客，掃描器運(yùn)行各種腳本，試圖發(fā)現(xiàn)目標(biāo)節(jié)點(diǎn)上的弱點(diǎn)。為了防止系統(tǒng)和網(wǎng)絡(luò)超載，應(yīng)當(dāng)仔細(xì)考慮要掃描什么及何時(shí)進(jìn)行掃描。否則，也許會(huì)使整個(gè)節(jié)點(diǎn)變得緩慢，因?yàn)榉?wù)器正忙于處理大量模擬的SYN洪流攻擊。對(duì)于整個(gè)系統(tǒng)的安全檢測(cè)，由于網(wǎng)絡(luò)資源的不同，掃描的對(duì)象也不盡相同，所應(yīng)用的掃描手段也有很大的差異，其主要分類是服務(wù)掃描、直接漏洞攻擊掃描、端口掃描以及嘗試性掃描。從使用的方式上，掃描器可分為運(yùn)行于自己節(jié)點(diǎn)之上的本地掃描器和運(yùn)行于整個(gè)網(wǎng)絡(luò)上的遠(yuǎn)程掃描器。前者的操作是執(zhí)行從內(nèi)部發(fā)起的自我檢查，后者則是從外部發(fā)起，通過網(wǎng)絡(luò)探測(cè)目標(biāo)節(jié)點(diǎn)而查出其薄弱環(huán)節(jié)。兩者的作用是相輔相成、相互補(bǔ)充的，在系統(tǒng)環(huán)境中對(duì)它們應(yīng)加以綜合利用。脆弱性掃描器與網(wǎng)絡(luò)監(jiān)控器完全不同。脆弱性掃描器并不在事件出現(xiàn)時(shí)實(shí)時(shí)地查看網(wǎng)絡(luò)傳輸，而是定期地運(yùn)行，查找系統(tǒng)本身已經(jīng)存在的問題，檢查系統(tǒng)的運(yùn)行狀態(tài)和相關(guān)配置，即發(fā)現(xiàn)系統(tǒng)有可能會(huì)導(dǎo)致攻擊的各種應(yīng)用脆弱性和系統(tǒng)漏洞。掃描器檢查系統(tǒng)漏洞的目的，或者在入侵發(fā)生前組織預(yù)防，或者在入侵發(fā)生后加以證實(shí)。內(nèi)部掃描的一個(gè)潛在優(yōu)點(diǎn)是對(duì)資源的平均占用要比實(shí)時(shí)監(jiān)測(cè)少。查找實(shí)時(shí)發(fā)生入侵的產(chǎn)品，實(shí)際上處理的是黑客具體的攻擊行為，而不是脆弱性，當(dāng)實(shí)時(shí)入侵檢測(cè)IDS運(yùn)行于系統(tǒng)上時(shí)，不處理配置問題，不是尋找以后會(huì)被黑客利用的弱點(diǎn)，而是要能夠抓住正在進(jìn)行攻擊的黑客。IDS軟件實(shí)際上是運(yùn)行于網(wǎng)絡(luò)上的管理系統(tǒng)，透過網(wǎng)絡(luò)掃描目標(biāo)節(jié)點(diǎn)。由于掃描器是定期運(yùn)行的，因此不是事件一出現(xiàn)就能馬上檢查出來，而脆弱性被引入系統(tǒng)后，掃描器會(huì)在下一次被激活時(shí)檢查出這個(gè)漏洞。8.2.1nmap

1．nmap簡介

nmap允許系統(tǒng)管理員查看一個(gè)大的網(wǎng)絡(luò)系統(tǒng)有哪些主機(jī)以及其上運(yùn)行何種服務(wù)。它支持多種協(xié)議的掃描，如UDP、TCPconnect()、TCPSYN、FTPproxy(bounceattack)、Reverse-ident、ICMP(pingsweep)、FIN、ACKsweep、XmasTree、SYNsweep和Null掃描等。nmap提供了一些實(shí)用功能，例如通過TCP/IP來判斷操作系統(tǒng)類型、秘密掃描、動(dòng)態(tài)延遲和重發(fā)、平行掃描、通過并行的Ping偵測(cè)下屬的主機(jī)、欺騙掃描、端口過濾探測(cè)、直接的RPC掃描、分布掃描、靈活的目標(biāo)選擇以及端口描述。對(duì)非root用戶來說，nmap的正式版可以做很多重要的事情。不幸的是，部分關(guān)鍵的核心功能需要root權(quán)限，所以盡量以root身份運(yùn)行nmap。

運(yùn)行nmap后通常會(huì)得到一個(gè)關(guān)于被掃描機(jī)器的一個(gè)實(shí)用的端口列表。nmap總是顯示該服務(wù)的服務(wù)名稱、端口號(hào)、狀態(tài)以及協(xié)議，狀態(tài)有oppen、filtered和unfilered三種。open指的是目標(biāo)機(jī)器將會(huì)在該端口接受連接請(qǐng)求；filtered指的是有防火墻、過濾裝置或者其它的網(wǎng)絡(luò)防護(hù)設(shè)備，它們?cè)谶@個(gè)端口阻擋nmap進(jìn)一步查明端口是否開放；至于unfiltered，則只有在大多數(shù)的掃描端口都處在filtered狀態(tài)下才會(huì)出現(xiàn)。根據(jù)選項(xiàng)的使用，nmap還可以報(bào)告遠(yuǎn)程主機(jī)下面的特性、使用的操作系統(tǒng)、TCP連續(xù)性、在各端口上綁定的應(yīng)用程序用戶的用戶名、DNS名、主機(jī)是否是個(gè)smurf地址以及一些其它功能。可以從/nmap／獲得最新版本的nmap。

2．命令格式

nmap在shell的命令行方式下運(yùn)行，運(yùn)行格式如下：

nmap［掃描類型］［選項(xiàng)］<主機(jī)或網(wǎng)絡(luò)＃1…［＃N］>

3．掃描類型

1)?-sT

TCPconnect掃描：這是對(duì)TCP的最基本形式的偵測(cè)。在該操作方式下，該connect對(duì)目標(biāo)主機(jī)上的端口進(jìn)行試探，如果該端口被監(jiān)聽，則連接成功，否則這個(gè)端口無法到達(dá)。這個(gè)技術(shù)的優(yōu)點(diǎn)是無須任何特殊權(quán)限，在大多數(shù)的Unix系統(tǒng)下，這個(gè)命令可以被任何人自由地使用。但是這種形式的探測(cè)很容易被目標(biāo)主機(jī)察覺并記錄下來。因?yàn)榉?wù)器接受了一個(gè)連接，但它卻馬上斷開，于是其記錄會(huì)顯示出一連串的連接及錯(cuò)誤信息。

2)?-sS

TCPSYN掃描：這類技術(shù)通常涉及一種“半開”式的掃描，因?yàn)椴淮蜷_完整的TCP連接，發(fā)送一個(gè)SYN信息包就像要打開一個(gè)真正的連接一樣，而且在等待對(duì)方的應(yīng)答。一個(gè)SYN/ACK會(huì)表明該端口是開放監(jiān)聽的，一個(gè)RST則代表該端口未被監(jiān)聽。如果SYN/ACK的應(yīng)答返回，則會(huì)馬上發(fā)送一個(gè)RST包來中斷這個(gè)連接。這種掃描的最大優(yōu)點(diǎn)是只有極少的站點(diǎn)會(huì)對(duì)它做出記錄，但是需要有root權(quán)限來定制這些SYN包。

3)?-sF-sX-sN

StealthFIN、XmasTree或者Null掃描模式：有時(shí)甚至SYN掃描都不夠隱蔽，一些防火墻及信息包過濾裝置會(huì)在重要端口守護(hù)，SYN包在此時(shí)會(huì)被截獲，一些應(yīng)用軟件如Synlogger以及Courtney對(duì)偵測(cè)這種類型的掃描都是行家。所以，在另一方面要有更進(jìn)一步的掃描，才能在不遇到麻煩的情況下通過它們。這是因?yàn)殛P(guān)閉的端口會(huì)對(duì)發(fā)送的探測(cè)信息包返回一個(gè)RST，而打開的端口則對(duì)其忽略不理。所以FIN掃描使用空的FIN信息包作為探針，Xmastree使用FIN、URG、PUSH標(biāo)記，Null掃描則不用任何標(biāo)記。因?yàn)槲④浽谒麄兊漠a(chǎn)品中沒有采納這一標(biāo)準(zhǔn)，所以這一掃描在Windows下不能工作。從積極方面來講，這其實(shí)也是一個(gè)區(qū)分兩種平臺(tái)的辦法。如果這次掃描發(fā)現(xiàn)了打開的端口，則可以確認(rèn)這臺(tái)機(jī)器不是運(yùn)行在Windows平臺(tái)下。如果?-sF、-sX、-sN的掃描顯示所有端口都是關(guān)閉的，但是一個(gè)SYN掃描卻顯示有打開端口，則可以大致推斷它是Windows平臺(tái)。這只是一個(gè)簡單應(yīng)用，因?yàn)楝F(xiàn)在nmap已經(jīng)有了更徹底的操作系統(tǒng)判別方法，它的原理與其類似。

4)?-sP

Ping掃描：有時(shí)僅希望了解網(wǎng)絡(luò)上有哪些主機(jī)是開放的，nmap可以通過對(duì)指定的IP地址發(fā)送ICMP的echorequest信息包來做到這一點(diǎn)，有應(yīng)答的主機(jī)就是開放的。但是，有些站點(diǎn)比如對(duì)echorequest包設(shè)置了障礙。因此，nmap還要發(fā)送一個(gè)TCPACK包到80端口(默認(rèn))，如果獲得了RST返回，則機(jī)器是開放的。第3種方法是發(fā)送一個(gè)SYN信息包并等待RST或SYN/ACK響應(yīng)。作為非root的用戶，可以使用常用的connect模式。對(duì)root來說，默認(rèn)的nmap同時(shí)使用ICMP和ACK的方法掃描，當(dāng)然也可以改變-P選項(xiàng)。最好先ping一下用戶，只有有應(yīng)答的主機(jī)才有必要掃描，對(duì)于不想探測(cè)任何的實(shí)際端口掃描，而只想大面積地搜索一下活動(dòng)的主機(jī)，可以使用此選項(xiàng)。

5)-sU

UDP掃描：這一方法可用來確定哪個(gè)UDP端口在主機(jī)端開放。這一技術(shù)是以發(fā)送零字節(jié)的UDP信息包到目標(biāo)機(jī)器的各個(gè)端口，如果我們收到一個(gè)ICMP端口無法到達(dá)的應(yīng)答，那么該端口是關(guān)閉的，否則我們可以認(rèn)為它是敞開的。有些人或許會(huì)認(rèn)為UDP掃描是無意義的，nmap通常會(huì)以最近的Solarisrcpbind漏洞來提醒他們。Rpcbind會(huì)隱藏在一個(gè)非正式的UDP端口32770口以上，因此對(duì)111進(jìn)行防火墻過濾是無關(guān)緊要的。但是在查找30000以上的端口是否處于監(jiān)聽狀態(tài)時(shí)，用UDP掃描可以做到這一點(diǎn)。UDP掃描在目標(biāo)主機(jī)上按照RFC1812建議，ICMP錯(cuò)誤信息的傳送速率非常緩慢，要耗費(fèi)相當(dāng)長的時(shí)間。

6)?-sR

RPC掃描：這一方法是結(jié)合nmap多種掃描的一種模式，它取得所有的TCP/UDP開放端口，并且用SunRPC程序NULL命令來試圖確定是否是RPC端口，如果是的話，再確定其上運(yùn)行什么程序，何種版本。這樣，不管目標(biāo)主機(jī)是躲在防火墻后還是由TCPwrappers防護(hù)，它都能取得效果近似于rpcinfo-p的信息。

7)?-b

FTP跳躍攻擊：FTP協(xié)議的一個(gè)有趣的特點(diǎn)是它支持代理FTP連接，換句話說，可以從連接到一個(gè)FTP服務(wù)器，并且要求目標(biāo)主機(jī)發(fā)送文件到因特網(wǎng)的“任何地方”。開發(fā)該程序的目的是為了通過一個(gè)代理FTP服務(wù)器查看TCP端口，這樣可以連接一個(gè)在防火墻后的FTP服務(wù)器，然后掃描它，查看堵塞的端口。如果FTP服務(wù)器允許讀甚至寫進(jìn)某些目錄(比如/incoming)，則可以向發(fā)現(xiàn)打開的端口發(fā)送任意信息。要想通過“-b”選項(xiàng)來使主機(jī)成為代理，使用標(biāo)準(zhǔn)的ual格式，其形式是usemame:passworu＠server:port。

4．選項(xiàng)

這些選項(xiàng)并非是必需的，但是非常實(shí)用。

(1)?-P0：在掃描前不Ping主機(jī)，這是用來掃描那些不允許ICMPecho請(qǐng)求(或應(yīng)答)的主機(jī)的。

(2)?-PT：用TCP的ping來確定主機(jī)是否打開。作為替代發(fā)送ICMPecho請(qǐng)求包并且等待應(yīng)答的方式，我們可以向目標(biāo)網(wǎng)絡(luò)(或者單機(jī))大量發(fā)送TCPACK包并等待它的應(yīng)答，打開的主機(jī)會(huì)返回一個(gè)RST。這一參數(shù)可以讓我們?cè)趐ing信息包阻塞時(shí)仍能高效率地掃描一個(gè)網(wǎng)絡(luò)。對(duì)于非root用戶，用connect，以如下格式設(shè)置目標(biāo)探針：-PT＜portnumber＞，默認(rèn)的端口是80，因?yàn)檫@一端口往往未被過濾。

(3)?-PS：這一選項(xiàng)是root用戶使用的，能用SYN包替代ACK包，打開的主機(jī)會(huì)有一個(gè)RST應(yīng)答。

(4)?-PI：這一選項(xiàng)是使用一個(gè)真正的ping包。它找到開放的主機(jī)并且將該子網(wǎng)中的廣播地址全部搜尋，該廣播地址是能夠到達(dá)目的地，并且能正確解析IP包的。當(dāng)它受到大量的DoS(denialofservice)攻擊時(shí)，我們就能找到它。

(5)?-PB：默認(rèn)的ping形式，它用于ACK(-PT)與ICMP(-PI)并行攻擊，以這一形式可以通過防火墻或包過濾。

(6)?-O：經(jīng)由TCP/IP獲取“指紋”來判別主機(jī)的OS類型，換句話說，就是用一連串的信息包探測(cè)出所掃描的主機(jī)位于操作系統(tǒng)有關(guān)堆棧信息，并區(qū)分其精細(xì)差別，以此判別操作系統(tǒng)。它用搜集到的信息建立一個(gè)“指紋”，用來同已知的操作系統(tǒng)的指印相比較，這樣判定操作系統(tǒng)就有了依據(jù)。

7)?-I：這是用ident掃描方式的參數(shù)，ident協(xié)議允許通過TCP連接得到擁有進(jìn)程的用戶名，即使這個(gè)連接不是由該進(jìn)程發(fā)起的。所以，可以通過ident連接到一個(gè)http端口并找出該進(jìn)程是否由root運(yùn)行，但這只能在“全開”的對(duì)目標(biāo)端口的TCP連接中使用。使用-I參數(shù)時(shí)，遠(yuǎn)程主機(jī)的identd守護(hù)進(jìn)程在開放的端口接受連接質(zhì)詢，很明顯，如果主機(jī)不運(yùn)行identd，那它就無法正常工作。

(8)?-f：這個(gè)參數(shù)配置以細(xì)小的IP碎片包實(shí)現(xiàn)SYN、FIN、XMAS或NULL掃描請(qǐng)求。這個(gè)想法是把TCP包頭分別放在幾個(gè)不同的信息包中，使包過濾器難以運(yùn)作。但是要注意，部分程序可能會(huì)對(duì)這些小信息包處理錯(cuò)誤。比方說，sniffersegmentation在接收第一個(gè)36字節(jié)的信息碎片時(shí)就出現(xiàn)了麻煩，之后又來了個(gè)24字節(jié)的信息碎片。當(dāng)包過濾器和能將IP碎片排列的防火墻沒有獲得此順序時(shí)，一些網(wǎng)絡(luò)系統(tǒng)反映的結(jié)果是沒有找到目標(biāo)，并且

放棄。

這個(gè)參數(shù)不是在任何系統(tǒng)上都能很好地工作的，它在Linux、FreeBSD以及OpenBSD下是正常的，當(dāng)然也有一些人說它能在部分不同的Unix環(huán)境下工作。

(9)?-v：詳細(xì)模式。這是被強(qiáng)烈推薦的選項(xiàng)，因?yàn)樗芙o我們帶來想要的更多信息?？梢灾貜?fù)使用它，以獲得更大的效果。

(10)?-h：這是一個(gè)快捷的幫助選項(xiàng)，可以在屏幕上顯示nmap的參數(shù)使用方法。

(11)?-o：用來指定一個(gè)放置掃描結(jié)果的文件參數(shù)，這個(gè)結(jié)果是易于閱讀的。

(12)?-m：這也是存放掃描結(jié)果的參數(shù)，但它是存放機(jī)器可解析結(jié)果的，可以用?-m帶“-”將其輸出到標(biāo)準(zhǔn)輸出里。在這種形式下，正常的輸出被禁止，需要查看一些錯(cuò)誤信息來了解情況。

(13)?-i：從指定文件而不是從命令行讀取數(shù)據(jù)。該文件可以存放一個(gè)主機(jī)或網(wǎng)絡(luò)的列表，中間用空格、TAB鍵或者換行來分隔。如果希望從標(biāo)準(zhǔn)輸入設(shè)備讀取，比如在管道符的末端，就要將連字符(-)用于文件名?？梢詮哪繕?biāo)規(guī)格里找到更多關(guān)于這一文件的書寫資料。

(14)?-p：這一參數(shù)可以指定希望掃描的端口，例如，“-p23”則只會(huì)對(duì)主機(jī)的23端口進(jìn)行探測(cè)，默認(rèn)掃描是從1到1024端口，或者也可以用nmap帶的servicesfile里的端口

列表。

(15)?-F：快速掃描模式。只選擇nmap提供的服務(wù)列表中列出的端口，而不是選擇所有65535個(gè)端口，這樣會(huì)明顯提高掃描速度。

(16)?-D：這是一種帶有誘騙模式的掃描，在遠(yuǎn)程主機(jī)的連接記錄里會(huì)記下所有指定的誘騙性的地址。這樣，數(shù)據(jù)存儲(chǔ)器會(huì)顯示有一些端口掃描從某個(gè)IP發(fā)起，然而無法辨別哪個(gè)是真正的IP而哪個(gè)是用來作為掩護(hù)的，這可以擊敗一些通過路由進(jìn)行跟蹤的行為，所以它是一項(xiàng)隱藏IP的實(shí)用技術(shù)。用逗號(hào)分隔各個(gè)欺騙地址，可以隨意地將“ME”放進(jìn)任意一個(gè)希望顯示真實(shí)IP的地方，如果將“ME”放在第6位甚至最后，有些端口掃描記錄器可能根本就不會(huì)顯示你的IP，如果不用“ME”的話，nmap會(huì)將它隨機(jī)放置。請(qǐng)注意，用來誘騙的主機(jī)必須是開放的，因?yàn)橐獜囊欢褜?shí)際上沒有用的IP地址里判別出哪個(gè)是真正的入侵者是相當(dāng)容易的。我們還可能要用IP地址來代替名字，這樣誘騙主機(jī)的nameserverlogs里才不會(huì)記錄下你曾經(jīng)來過。還應(yīng)該注意，有些端口掃描探測(cè)器會(huì)拒絕到達(dá)主機(jī)端口的掃描。這樣，無意中就會(huì)導(dǎo)致掃描的主機(jī)與“誘騙主機(jī)”連接的丟失。這樣可能會(huì)帶來一個(gè)很大的問題，如果這個(gè)“誘騙主機(jī)”是一個(gè)網(wǎng)絡(luò)上的網(wǎng)關(guān)或者是本地的機(jī)器，其連接一樣會(huì)斷開。所以最好小心使用這個(gè)參數(shù)。這種誘騙可以用在最初的ping掃描與實(shí)際端口狀態(tài)掃描中，它還可以用于遠(yuǎn)程OS的判別。當(dāng)然，寫入太多的誘騙地址是沒什么用處的，那只能減緩掃描速度以及降低一些精確度，而且一些指令處理系統(tǒng)還可能會(huì)過濾掉欺騙包。

(17)?-S：在某些環(huán)境下，nmap可能無法確定你的源地址，這種情況下nmap會(huì)有提示，這時(shí)我們就要用-S帶IP地址來標(biāo)注。另一種使用的可能性是用來欺騙目標(biāo)，使它認(rèn)為某人在掃描它。

(18)?-e：告訴nmap哪個(gè)界面要發(fā)送或接收。nmap能夠自動(dòng)探測(cè)它，如果無法做到，也會(huì)有提示信息。

(19)?-g：在掃描中設(shè)定源端口號(hào)。許多防火墻或包過濾器除了它們?cè)试S的DNS(53)或FTP-DATA(20)的包之外，其余數(shù)據(jù)包一概過濾，顯然這是很輕率的做法，因?yàn)槿肭终吣軌蜉p易地編輯一個(gè)來自FTP或DNS源端口的數(shù)據(jù)包。比如，如果無法從一個(gè)主機(jī)的host:port通過TCPISN取得信息，那么通過-g命令，nmap會(huì)改變?cè)炊丝谠俅螄L試。需要了解的是，使用這個(gè)選項(xiàng)可能會(huì)有延遲，因?yàn)橛袝r(shí)需要在源端口號(hào)中存儲(chǔ)有用信息。

(20)?-M：設(shè)定用來并行進(jìn)行TCPconnect掃描的最大的sockets數(shù)目。這對(duì)將掃描適度減緩是相當(dāng)有效的，它可以避免遠(yuǎn)程主機(jī)崩潰。

(21)?-T：這是一個(gè)可以用來方便地表達(dá)nmap時(shí)間策略優(yōu)先權(quán)的參數(shù)設(shè)置。它有5個(gè)可使用的參數(shù)，分別表示5種使用模式。Paranoid模式用極慢的速度來掃描，以避免被數(shù)字記錄系統(tǒng)記錄。它使掃描連續(xù)而不是并發(fā)，并且通常至少等待5分鐘才發(fā)送一個(gè)信息包。Sneaky模式是每15秒發(fā)送一個(gè)信息包。Polite模式是用來減輕網(wǎng)絡(luò)負(fù)載的，它連續(xù)發(fā)送探針，并在兩個(gè)包的間隙等待0.4秒。Normal模式是nmap的常規(guī)用法，是盡其所能地快速掃描，除非主機(jī)或端口連接丟失。Aggressive模式是對(duì)每臺(tái)主機(jī)設(shè)定5分鐘的超時(shí)時(shí)間，并且等待每個(gè)探針應(yīng)答不超過1.25秒。Insane模式是適應(yīng)非?？斓木W(wǎng)絡(luò)，它的設(shè)定為75秒，并且只等待應(yīng)答0.3秒，它允許對(duì)一個(gè)很快的網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描。

5．目標(biāo)說明

所有不帶參數(shù)的選項(xiàng)都會(huì)被視為nmap的目標(biāo)主機(jī)描述。最簡單的實(shí)例是僅在命令行列出單一的主機(jī)名或lP地址。如果希望掃描一個(gè)IP地址的子網(wǎng)，可以在主機(jī)名和IP地址中加入“/mask”。mask必須是在0(掃描整個(gè)網(wǎng)絡(luò))和32(特定的單一主機(jī))之間。用24則表明掃描一個(gè)C類地址，而16則是掃描B類地址。

nmap還有一些更有用的符號(hào)說明方式，可以讓我們用list/ranges來為每個(gè)元素指定IP地址。比如，我們要掃描B類網(wǎng)址128.210.*.*，則可以用128.210.*.*或128.210.0～255.0～255甚至是128.210.1～50,51～255.1，2，3，4，5～255來表示。當(dāng)然也可以用mask來表示/16，所有這些都是等價(jià)的。

我們可以用其它方法將整個(gè)網(wǎng)絡(luò)“分割”，比如，可以用“*.*.5.6～7”來掃描所有以.5.6或.5.7結(jié)束的IP地址。

6．使用實(shí)例

下面是一些運(yùn)用nmap的掃描實(shí)例。

(1)?nmap-v對(duì)上所有的保留TCP端口進(jìn)行掃描，-v表示用詳細(xì)模式。

(2)?nmap-sS-O/24開始一次SYN的半開掃描，針對(duì)的目標(biāo)是所在的C類子網(wǎng)，它還試圖確定在其上運(yùn)行的是什么系統(tǒng)。這需要root權(quán)限，因?yàn)橛玫搅税腴_掃描以及系統(tǒng)偵測(cè)。

(3)?nmap-sX-p22，53，110，143，4564128.210.*.1～127發(fā)送一個(gè)XmasTree掃描到B類128.210所在子網(wǎng)的一半范圍內(nèi)，我們將檢測(cè)系統(tǒng)是否運(yùn)行sshd、DNS、pop3d、imapd或者端口4564。要注意由于微軟TCP堆棧的不完善，Xmas掃描將不能在其平臺(tái)上運(yùn)行成功，同樣的問題可能存在于Cisco、IRIX、HP/UX和BSDI中。

(4)?nmap-v-p80‘*.*.2.3-5’定位一個(gè)網(wǎng)絡(luò)域(將整個(gè)網(wǎng)絡(luò)分隔成許多小部分)再進(jìn)行掃描的方式，這里掃描的目標(biāo)是所有以?.2.3、.2.4或?.2.5結(jié)束的IP地址。如果是root，也可以用?-sS。同樣可以從127開始搜尋更多的機(jī)器，可以用“127-222”替代前面的星號(hào)。

(5)?host-1|cut’-d’-f4|./nmap–v-i-進(jìn)行DNS帶轉(zhuǎn)換，來尋找進(jìn)入的主機(jī)，并且將IP地址送至nmap。這個(gè)命令是在GNU/Linux平臺(tái)下運(yùn)行的，在不同的操作系統(tǒng)上可能需要用不同的選項(xiàng)參數(shù)。8.2.2JohntheRipper

JohntheRipper的中文意思是John的撕裂工具。實(shí)際上它是一個(gè)工具軟件，用于在已知密文的情況下嘗試破解出明文的破解密碼。目前的最新版本是John1.6版，主要支持對(duì)DES、MD兩種加密方式的密文進(jìn)行破解工作。John提供了幾種不同的破解方式，方便滿足使用者的不同需求，甚至還可以用自定義方式，以加速程序的運(yùn)行。它也提供了保存解密中間結(jié)果，隨后繼續(xù)運(yùn)行的功能。早期John在Unix環(huán)境下運(yùn)行，現(xiàn)在已可以工作于多種不同的機(jī)型以及多種不同的操作系統(tǒng)之下，目前已經(jīng)測(cè)試過能夠正常運(yùn)行的操作系統(tǒng)有Linuxx86、FreeBSDX86、Solaris2.xSPARC、OSF/1Alpha、DOS、WinNT/Win95。John的crypt函數(shù)在簡單解密模式下進(jìn)行了最佳化，這可以讓John在破解的時(shí)候運(yùn)行得比其它的破解工具快，這個(gè)函數(shù)同時(shí)應(yīng)用了組合語言及C語言所寫出來的程序代碼。從John1.5開始，已經(jīng)針對(duì)Intel的MMX處理器，對(duì)DES子程序進(jìn)行了特別優(yōu)化工作，速度可提高30％左右。

在站點(diǎn)/security/John，使用者可以了解John的最新動(dòng)態(tài)。

1．基本功能

JohntheRipper是目前比較好的破解密碼工具，在解密過程中會(huì)自動(dòng)定時(shí)存盤，使用者可以用Ctrl+C強(qiáng)迫中斷解密過程，下次還可以使用John-restore命令，從中斷的地方繼續(xù)進(jìn)行下去。任何時(shí)候使用者都可以按下Enter來觀看目前整個(gè)解密的進(jìn)行情況。如果使用者按了兩下Ctrl+C來中斷的話，則John就會(huì)直接中斷，而不會(huì)將目前的解密進(jìn)度保存起來。這個(gè)解密進(jìn)度每十分鐘也會(huì)自動(dòng)保存，以避免使用者的機(jī)器在解密過程中意外停機(jī)而功虧一簣。所有已經(jīng)被破解的密碼會(huì)被保存在當(dāng)前目錄下的John.pot文件中，SHADOW中所有密文相同的用戶會(huì)被歸成一類，John不重復(fù)運(yùn)行使用者已經(jīng)破解過的賬號(hào)，這樣John就不會(huì)進(jìn)行無謂的重復(fù)勞動(dòng)。如果使用者想要看已經(jīng)破解過的密碼，則可以在命令行中使用-show這個(gè)功能。在John的設(shè)計(jì)中，關(guān)鍵的密碼生成條件被放在John.ini文件中，使用者可以自行修改設(shè)置。它不僅支持單詞類型的變化，而且支持使用者編寫C程序限制密碼的取值方式。唯一的遺憾是，在自動(dòng)產(chǎn)生密碼的遍歷解密方法中不支持-rules選項(xiàng)。不過還有其它方法可以克服。John支持的破解方式主要有以下幾種：

(1)有規(guī)則及無規(guī)則的字典文件解密模式。

(2)“SingleCrack”，用最簡單的信息來進(jìn)行解密工作，速度最快。

(3)增強(qiáng)破解模式，嘗試所有可能的字元組合。

(4)外部破解模式，可以由使用者定義自己的破解模式。

2．使用方法

John所提供的是經(jīng)過壓縮的程序，使用者應(yīng)具有解壓縮的程序，并在機(jī)器上建一個(gè)目錄，把這些文件都拷貝到該目錄下，再將需要的文件解壓縮。如果使用Unix環(huán)境，在使用者使用這個(gè)壓縮文件以前，需要先執(zhí)行chmod+xJohn指令。

如果使用者需要編譯(Compile)源代碼，只要進(jìn)入其解壓這些文件的目錄，在系統(tǒng)提示符下輸入make，就會(huì)看到一份支持各種系統(tǒng)的列表，選擇所使用的系統(tǒng)即可。如果所應(yīng)用的系統(tǒng)沒有在該列表上，可輸入makegeneric。使用者應(yīng)確定所使用的是GCC和GNUmake。如果所用的系統(tǒng)沒有設(shè)定路徑，則還需要輸入包含路徑的執(zhí)行指令，例如/bin/make等。假設(shè)使用者已經(jīng)取得了某個(gè)SHADOW文件，并且被存為SHADOW.TXT文件名，以PC的DOS環(huán)境為例，在硬盤中建一個(gè)新的目錄，如HACK，進(jìn)入這個(gè)目錄，將John在此目錄中解開，將SHADOW.TXT同樣拷入此目錄，這樣我們就完成了解密的準(zhǔn)備工作。一般包括以下由簡至繁三個(gè)步驟:

(1)先解密簡單用戶：John-singleshadow.txt。

(2)再解密一般用戶：John-wordfile:password.lst-rulesshadow.txt。

(3)最后解密其它用戶：John-i:allshadow.txt。具體地說，第一步主要是針對(duì)簡單用戶而進(jìn)行的，原理是根據(jù)用戶的名稱，加上常見的變化規(guī)律而猜測(cè)密碼。所謂簡單用戶，是指這樣一類用戶，如果此用戶叫fool，則他的密碼可能是fool123，fool1，loof，loof123，lofo，…，這樣的用戶可在一分鐘內(nèi)被猜測(cè)出其賬戶的密碼。第二步是使用字典文件來進(jìn)行解密，將人們常用密碼的單詞收集成一個(gè)字典文件，由John程序采用遍歷的方法加以比較。例如，人們常用hello、supperman、cooler、123456等作為自己的密碼。而-rules參數(shù)則在此基礎(chǔ)上再加上些變化，如字典中有單詞cool，則John還會(huì)嘗試使用cooler、CoOl、Cool等單詞變化進(jìn)行解密。一般根據(jù)SHADOW中的用戶多少、使用者的字典大小及使用者的機(jī)器速度，解密時(shí)間從幾小時(shí)到幾天不等。第三步是純粹的碰運(yùn)氣解法，主要原理是遍歷所有可能的密鑰空間。John會(huì)嘗試以95個(gè)字母(因?yàn)閺逆I盤上只能輸入95種可能的鍵值)進(jìn)行1～8(8個(gè)字母是密碼的最長值，所有密碼中8位以后的部分均不會(huì)被使用，目前的DES加密體系就是這樣的)個(gè)長度的所有組合，這是很漫長的過程。我們計(jì)算一下，以僅攻擊一個(gè)用戶為例，一臺(tái)MMX微機(jī)(攻擊速度18000次/秒)，假設(shè)遍歷50％的密碼空間，需要的時(shí)間為11811.5年。幸運(yùn)的是，John可以進(jìn)行自動(dòng)預(yù)設(shè)取值，所以這樣破解密碼還是可能的，一般的經(jīng)驗(yàn)是20個(gè)小時(shí)可能破解一個(gè)，當(dāng)然，也可能什么都破解不出來。

3．命令行參數(shù)

命令行方式的基本格式為：John[-功能選項(xiàng)][密碼文件名]。

所有的功能選項(xiàng)均對(duì)大小寫不敏感，而且也不需要全部輸入，只要輸入的字符串保證不與其它參數(shù)沖突即可，如restore參數(shù)只要輸入-res即可。具體參數(shù)如下：

(1)?-pwfile:＜file＞[，..]，用于指定存放密文的文件名。使用者可以輸入多個(gè)文件名，期間用“，”分隔，也可以使用“*”或者“？”,這兩個(gè)通配符引用一批文件。還可以不使用此參數(shù)，將文件名放在命令行的最后作為必選參數(shù)。

(2)?-wordfile:＜字典文件名＞-stdin，指定用于解密用的字典文件名。使用者也可以使用STDIO來輸入，就是在鍵盤中輸入。

-rules在解密過程中使用單詞規(guī)則變化功能。比如嘗試cool單詞的其它可能，有COOLER、Cool等，詳細(xì)規(guī)則定義在John.ini文件中的[List.Rules:Wordlist]部分。

(3)?-incremental:＜模式名稱＞=使用遍歷模式，就是組合密碼的所有可能情況，＜模式名稱＞就是在這里要指定的＜mode＞名稱，由John.ini文件中的［Incremental:model］部分定義，[Incremental:All]為內(nèi)定。

-single使用單一模式進(jìn)行解密，主要是根據(jù)用戶名產(chǎn)生變化來猜測(cè)解密，可以消滅簡單用戶。其組合規(guī)則在John.ini文件中的[List.Rules:Single]定義。

(4)?-external:＜模式名稱＞，使用自定義的擴(kuò)展解密模式，使用者可以在John.ini的[List.External:mode]中定義自己需要的密碼組合方式。John也在INI文件中給出了幾個(gè)示例。

(5)?-restore:＜文件名＞=繼續(xù)上次的破解工作，John被中斷后，當(dāng)前的解密進(jìn)度情況被存放在RESTORE文件中，使用者可以拷貝這個(gè)文件到一個(gè)新的文件中。如果參數(shù)后不帶文件名，則John默認(rèn)使用RESTORE文件。

(6)?-makechars:＜文件名＞，制作一個(gè)字符表，使用者所指定的文件如果存在，則將會(huì)被覆蓋。John嘗試使用內(nèi)在規(guī)則在相應(yīng)的密鑰空間中生成一個(gè)最有可能擊中的密碼組合，它會(huì)參考在John.pot文件中已經(jīng)存在的密鑰。

-show顯示已經(jīng)破解出的密碼，因?yàn)镴ohn.pot文件中并不包含用戶名，同時(shí)使用者應(yīng)該輸入相應(yīng)的包含密碼的文件名，John會(huì)輸出已經(jīng)被解密的用戶連同密碼的詳細(xì)表格。

-test測(cè)試當(dāng)前機(jī)器運(yùn)行John的解密速度，需要1分鐘，它會(huì)提出在當(dāng)前的情況下解密的各種可能情況相應(yīng)的解密速度，比如同時(shí)解密100個(gè)用戶時(shí)的平均速度、使用遍歷法解密模式時(shí)解密的速度。salts指用戶個(gè)數(shù)，如果給出的對(duì)于100個(gè)用戶解密的平均速度為18000次/秒，那么表明同時(shí)對(duì)100個(gè)用戶解密，解密的速度為每個(gè)180次/秒。因?yàn)榻^大多數(shù)的時(shí)間被用于密鑰比較過程，所以應(yīng)該對(duì)用戶進(jìn)行挑選。

(7)?-users:＜login、uid＞[，..]只破解某類型的用戶或者屬于某個(gè)組的用戶。如果得到的PASSWD文件沒有包含密文，那么在得到SHADOW后應(yīng)該進(jìn)行組合，John的附帶程序UNSHADOW.EXE可以完成這一過程，當(dāng)然，使用者也可以手工做。能夠進(jìn)入CSH的用戶都是解密的首選對(duì)象，也可以讓UID=0的Root級(jí)別的用戶入選。

(8)?-shells:[！]＜shell＞[，..]和上面的參數(shù)一樣，這一選項(xiàng)可以選擇對(duì)所有可以使用shell的用戶進(jìn)行解密，對(duì)其它用戶不予理睬?！?！”表示排除某些類型的用戶。

9)?-salts:[！]＜count＞只選擇解密用戶大于＜count＞的賬號(hào)，可以使使用者得到選擇的權(quán)力。-lamesalts指定用戶中密碼所使用的明文。

(10)?-timeout:＜分鐘＞指定解密持續(xù)的最長時(shí)間是幾分鐘，到時(shí)間John自動(dòng)停止運(yùn)行。

-list在解密過程中在屏幕上列出所有正在嘗試使用的密碼，建議不要使用，它會(huì)將大部分時(shí)間浪費(fèi)在顯示上，極大地降低解密速度。它一般只適用于重定向輸出到文件后，檢驗(yàn)使用者所設(shè)定的某些模式是否正常。

-beep-quiet當(dāng)解密出密碼時(shí)是否要讓PC機(jī)喇叭叫一下，以提醒使用者。

-noname.nohash不使用內(nèi)存來保存“用戶名”等內(nèi)容。

-des-md5指定使用的解密方式是解DES還是MD5，對(duì)于解密DES密碼，不用理會(huì)這一選項(xiàng)。John并不能在同一個(gè)解密過程中同時(shí)使用兩種不同的密碼加密方式，如果所用的密碼文件是兩種，就要分開來運(yùn)行。

4．解密模式

1)簡單解密模式

簡單解密模式的主要原理是根據(jù)用戶名猜測(cè)其可能的密碼，當(dāng)然，這是要計(jì)算機(jī)而不是人去執(zhí)行解密程序，所以需要人為定義相應(yīng)的模式規(guī)則。其規(guī)則的定義在John.ini中的[List.Rules:Single]部分。一般在這種模式下，一次解密多個(gè)密碼文件，要比分開來運(yùn)行更快些。而且先使用規(guī)則的一部分，再使用另一部分解密會(huì)有較好的效果。下面選取前幾行做一個(gè)解釋，假設(shè)有一個(gè)用戶名為fool:[List.Rules:Single]

＃Singlecrackmodrules，extendedCracksyntax

:［:cl］

＞6x06

＞7lx07

＞6/？ulx06在John.ini中起始為＃的行為注釋行，程序在遇到此行時(shí)自動(dòng)跳過。

“:[:cl]”行表示使用用戶名自身作為密碼進(jìn)行嘗試，即fool，而“:[:cl]”在保持原字母不變的前提下，“c”首先強(qiáng)制第一個(gè)字母大寫，“l(fā)”表示其余字母均變?yōu)樾懀碏ool，也就是說此行導(dǎo)致John嘗試使用fool和Fool兩個(gè)單詞進(jìn)行解密。

“＞6x06”表示當(dāng)用戶名大于6個(gè)字符的時(shí)候，從第0個(gè)算起，截?cái)嘀恋?個(gè)，則共保留下6個(gè)字母，其余丟棄不用。例如：用戶名為foolers，則會(huì)產(chǎn)生被嘗試的密碼為fooler?！埃?1x07”和上面相同，此行對(duì)于＞7的用戶名，截?cái)嘀?個(gè)字母，而且使用“1”強(qiáng)制使用小寫字母。

“＞6/？ulx06”表示對(duì)于長度＞6的用戶名，截?cái)嘀?個(gè)，強(qiáng)制小寫；“/？u”則表示只有在用戶名中包含小寫字母“u”時(shí)才有效，否則跳過整條規(guī)則，不進(jìn)行嘗試。例如對(duì)于“foolers”，此規(guī)則不起作用，因?yàn)椤癴oolers”中不包含小寫字母“u”。

2)字典解密模式

字典解密模式需要用戶指定一個(gè)字典文件，John讀取用戶給定的字典文件中的單詞，嘗試進(jìn)行解密。此模式的原理是：用戶經(jīng)常使用像hello、superman、computer、…之類的有意義的單詞作為自己的密碼。John自己帶了一個(gè)字典，文件名為password.lst，里面包含了一些常被用來作為密碼的單詞，如12345、abcl23、passwd、123456、newPass、Internet、newuser等等。當(dāng)然，John所帶的字典文件比較小，如果使用者覺得不夠用，可以到FTP://coast.cs./pub/dict里找?guī)资椎拇笞值湮募?。使用方法很簡單，假設(shè)字典文件名為password.lst，shadow為shadow.txt，則命令為John-word:password.lstshadow.txt。同singlemode一樣，使用字典解密模式時(shí)，也可以使用規(guī)則，具體規(guī)則的定義在John.ini中的[List.Rules:Wordlist]部分。字典文件中的單詞不能有所重復(fù)，因?yàn)镴ohn并不會(huì)刪除重復(fù)并將字典文件進(jìn)行排序，所以重復(fù)會(huì)占用更多的內(nèi)存，最好能將一些常用的單詞放在字典文件的開頭，當(dāng)然最好能夠按字母的排列方式來排序，因?yàn)槊恳粋€(gè)單詞跟先前的那個(gè)單詞的差別小一點(diǎn)的話，John會(huì)運(yùn)行得稍微快一些。另外，超過8個(gè)字符的單詞，John會(huì)自動(dòng)處理，而且對(duì)同一個(gè)密碼只嘗試一次，盡管早期的DES編碼方法有8個(gè)字符的限制，用戶不必將超過8個(gè)字符的單詞切成8個(gè)字符。

3)增強(qiáng)模式

增強(qiáng)模式是John功能最強(qiáng)大的解密模式，它可以嘗試所有可能的字母組合來當(dāng)做密碼。要使用這種解密模式，使用者需要指定及定義該模式的參數(shù)，如密碼長度的限制及字符頻率表等。這些參數(shù)必須寫入到j(luò)ohn.ini中的［Incremental:＜mode＞＝這一段內(nèi)，＜mode＞可以任意命名，它用于執(zhí)行John時(shí)在命令行中指定的名稱。

4)擴(kuò)充模式

在使用John的時(shí)候，使用者可以定義一些擴(kuò)充的破解模式。只要在john.ini中建立一個(gè)[List.External:＜mode＞］，＜mode＞就是所指定的模式名稱。這一節(jié)中必須包含一些John嘗試產(chǎn)生的字典的功能，必須包含一些使用C語言寫的函數(shù)，當(dāng)使用者在命令行中使用該模式的時(shí)候，John會(huì)自動(dòng)編譯及使用這些程序，產(chǎn)生虛擬機(jī)碼。

5．John.ini

John.ini中的每一行均由“條件指令”+“規(guī)則指令”組成。

1)條件指令

位于起始部分的“條件指令”如表8.1所示。表8.1條件指令

2)一些用于字母變化的命令

sxy字母替換，將某單詞中的所有為“x”的字母替換成字母“y”。

s？cy用字母“y”來替換單詞中的所有包含于“c字母組”中的字母。有關(guān)字母組的命令如表8.2所示。表8.2字?母?組?命?令字母組的定義如表8.3所示。表8.3字?母?組?定?義組名可以用大小寫的區(qū)別來表示“邏輯非”的關(guān)系，小寫表示肯定，大寫表示否定。例如，用？d可以表示“所有數(shù)字”，而大寫？D就表示“所有非數(shù)字”。

3)一些附加的指令

表8.4列出了一些附加的指令。

4)批處理規(guī)則

使用者可以通過“[]”來使用一批字符，如“[0-9]”則表示“0～9”這10個(gè)數(shù)字，使用者也可以混合使字母列表加批量的格式，如“[aeiou0-9]”則表示包括所有的元音字母加“0～9”10個(gè)數(shù)字。簡單的例子還有“[AZ]”，“[a-Z]”，“[A-Z0-9]”。比方說，我們加入一行，“l(fā)$[0-9]”，則表示強(qiáng)制使用小寫字母，并且在每個(gè)字母后面加入“0～9”這10個(gè)數(shù)字，即如果用戶名為fool，則John嘗試使用fool0，fool1，fool2，…，fool9進(jìn)行解密。表8.4附加指令

6．使用舉例

(1)?John-singlepasswd.1passwd.2

使用簡單解密模式，一次破解名為passwd.1和passwd.2的兩個(gè)文件。

(2)?John-show-users:0passwd.*

檢查所有密碼文件中，已破解的root(uid0)賬號(hào)。

(3)?John-w:words.lst-rulespassword.1

使用字典文件模式，同時(shí)打開規(guī)則破解模式進(jìn)行破解。

(4)?John-w:words.lst-rules-salts:2passwd.*

John-w:words.lst-rules-salts:!2passwd.*

將密碼文件分開兩部分并且分別進(jìn)行破解。

(5)?John-i:alphapassd.1

使用增強(qiáng)模式，破解所有從a到zzzzzzzz8個(gè)字符內(nèi)的字母組合。

(6)?John-makechars:custom.