《通信網(wǎng)安全與保密》課件第8章

第8章通信網(wǎng)絡(luò)安全工具8.1病毒清除工具8.2系統(tǒng)掃描工具8.3安全審計與入侵檢測工具8.4小結(jié)習題8.1病毒清除工具

KV3000和瑞星殺毒軟件是具有代表性的病毒清除工具。對這兩種工具做簡單介紹。8.1.1KV3000

1．KV3000的基本功能

KV3000是一套系列殺毒軟件，可分為DOS版和Windows版，該軟件保存在兩張磁盤和一張光盤上。KV3000具有預防、瀏覽和消除病毒的功能，并具有獨特的開放式系統(tǒng)

KVW3000(KV3000W)可完成對外來軟盤、光盤和因特網(wǎng)的病毒及其黑客的實時監(jiān)測，可實時監(jiān)測最常見的Zip、ARJ、RAR、CAB、LZH等十多種壓縮文件中的病毒，并且識別多種可執(zhí)行程序的壓縮格式，如PKLITE、LZEXE、WWPACK、ASPACK、UPX等。也可以實時監(jiān)測或搜尋到電子信箱中夾帶在E-mail中的病毒，可以支持FoxMail、OutLook和Netscape等常見的E-mail軟件生成的郵件格式，阻止網(wǎng)上病毒進入。

KV3000能夠按照用戶意愿主動在軟盤上保存硬盤正常的引導區(qū)信息，用以恢復被病毒破壞后的硬盤。KV3000還能直觀地查看硬盤物理扇區(qū)主引導和Boot引導信息是否正常，這樣用戶就能一個不漏地查出所有主引導區(qū)病毒。國際上有數(shù)千種引導區(qū)病毒，它們可感染任何系統(tǒng)的引導區(qū)，用KV3000可以直觀地看到這些病毒的原代碼。

KV3000具有自我檢查、自我修復、自我解除感染自身的病毒的功能，以保自身的清潔和完整。KV3000的測試、修復和重建硬盤分區(qū)表的功能，使丟失了分區(qū)表的硬盤幾秒鐘內(nèi)就可起死回生，使硬盤上被封閉的重要數(shù)據(jù)可自由存取。這對存有大量信息的硬盤來說，尤為重要。

2．KV3000功能鍵

KV3000運行時采用全屏幕的顯示方式。運行KV3000時，KV3000自動地將當前磁盤下的病毒特征庫文件Virus.dat讀入內(nèi)存。顯示界面后，按任意鍵進入KV3000主界面。這時可以根據(jù)需要選擇功能鍵F1～F10或鍵入要掃描或殺毒的盤符路徑。

KV3000各功能鍵的作用如下：

(1)?F1：用KV3000第一套查毒方式，即使用病毒特征庫(Virus.dat)和掃描過濾法對引導區(qū)和所有的文件進行全代碼掃描搜索病毒。此方法的靈敏性和準確性極高，但速度稍慢。

(2)?F2：用KV3000的第二套查毒方式，即用程序內(nèi)部封閉的另一套掃描方法，快速對引導區(qū)和所有文件中的病毒進行掃描。此方法速度較快。

(3)?F3：快速清除已知名稱的病毒。該方法是啟動KV3000后的默認狀態(tài)。

(4)?F4：對引導區(qū)和.com、.exe文件進行全代碼掃描搜索病毒，適應(yīng)搜索網(wǎng)絡(luò)服務(wù)器。

(5)?F5：對某一個目錄內(nèi)全部文件中的病毒進行掃描或清除。

(6)?F6：可查看不歸DOS管理的硬盤隱含扇區(qū)，查看硬盤0面0柱1扇區(qū)主引導記錄及分區(qū)表，可在硬盤隱含扇區(qū)內(nèi)查找被移走的主引導記錄及分區(qū)表，并可將主引導記錄及分區(qū)表向A盤備份保存。備份后，可用KV3000/Hdpt.dat的格式再恢復到硬盤0面0柱1扇區(qū)主引導區(qū)中。?此方法應(yīng)先用KV3000/B的格式將當前0面0道1扇區(qū)主引導區(qū)備份到軟盤上，以防不測。

(7)?F7：可查看硬盤主引導區(qū)、Boot區(qū)、FAT1、FAT2、R00T等扇區(qū)。

(8)?F8：可進行病毒演示，且不會感染上病毒。

(9)?F9：顯示版本號和簡易說明等。

(10)?F10：自動測試和快速修復硬盤分區(qū)表。

(11)?Esc：任何狀態(tài)下，按下此鍵可返回、終止或退出當前狀態(tài)。

按Enter鍵或者空格鍵可恢復到主畫面。

3．硬盤主引導信息保護保存正確的硬盤主引導信息的命令格式為KV3000/B。建議用戶對重要的機器一定要使用這種命令。這種命令向A盤備份一個無病毒的硬盤主引導信息，其文件名為Hdpt.dat。用戶可以在軟盤的標簽上寫明機器型號、硬盤容量、分區(qū)大小，然后長期保存，以便在硬盤主引導信息被病毒破壞或主引導記錄被破壞的情況下，恢復正確的硬盤主引導信息，使其正常啟動，但是這種信息不能恢復到別的硬盤中。

4．清除所有引導型病毒

清除所有引導型病毒的命令格式為KV3000/K。這種命令能安全清除所有引導型病毒，并在軟盤上保存硬盤的主引導信息。

在使用這種命令之前，應(yīng)先用KV3000系統(tǒng)軟盤啟動機器(冷啟動機器)。

在使用這種命令清除硬盤主引導區(qū)病毒之前，先在A驅(qū)動器中放一個軟盤，以便將硬盤有毒或不正常的主引導信息備份在軟盤上，其文件名為Hdpt.vir。這種做法是預防原硬盤的主引導信息中有某種加鎖的密碼，當使用KV3000/K命令將其清除而不能正常工作時，再用以下格式將A盤中的原硬盤主引導信息(Hdpt.vir文件)原樣恢復到硬盤上。

5．恢復當前硬盤的主引導信息

恢復當前硬盤的主引導信息的命令格式為KV3000/Hdpt.vir。這種命令是用KV3000/K命令將暫存在軟盤上的不正常的主引導信息Hdpt.vir文件的內(nèi)容，原樣恢復到硬盤的主引導區(qū)。

用外部病毒特征庫Virus.dat或Virus-1.dat檢測病毒的命令格式為KV3000Virus.dat或KV3000Virus-1.dat。

在使用這種命令時，Virus.dat文件必須在當前盤中。若使用命令格式KV3000C:Virus-1.dat時，應(yīng)將Virus-1.dat文件復制在C盤中。

如果用戶自行擴展的病毒特征碼數(shù)據(jù)文件不是Virus.dat，而是其它名字，可以將該用戶文件復制到C盤中(或當前盤中)，再使用命令:A:\＞KV3000C:\路徑\XXXXXXXX.XXX。例如:KV3000C:\KV3000\Virus-x.dat。

6．實時監(jiān)測病毒

將KV3000光盤放入光驅(qū)中，KV3000密鑰盤A放在軟驅(qū)中，光盤自動運行，選擇安裝KVW3000組件后，出現(xiàn)安裝界面，然后根據(jù)安裝程序的提示進行安裝。安裝完KVW3000后，將在Windows“開始”菜單上生成程序組，桌面上生成KVW3000的快捷方式。如果選擇系統(tǒng)啟動時直接運行“實時監(jiān)視器”的話，在Windows桌面的右下角，任務(wù)欄的右邊出現(xiàn)一個紅色的K字圖標，它表示KVW3000正運行于“實時監(jiān)視器”活動的狀態(tài)，實時監(jiān)視系統(tǒng)的每一個操作。直接運行KVW3000，就出現(xiàn)KVW3000的主畫面。

掃描程序左邊的按鈕是功能按鈕，右邊是具體的設(shè)置、命令信息顯示。最下邊是信息顯示，是各個按鈕、文字和區(qū)域的詳細解釋?，F(xiàn)將功能按鈕解釋如下。

1)掃描信息

掃描信息窗口顯示已經(jīng)掃描的信息統(tǒng)計，中間有上次的掃描目標，如果經(jīng)常掃描某一個目錄，比如存放下載文件的目錄，這時就可以直接按右邊的查毒、殺毒按鈕進行相應(yīng)的操作，也可以選擇一個指定的文件夾進行查、殺病毒的操作。

查、殺病毒時，信息窗口中將出現(xiàn)統(tǒng)計結(jié)果。窗口下方顯示正在檢查的文件。同時，右邊相應(yīng)的按鈕會變換成“停止查毒”或“停止殺毒”，按停止按鈕可以中斷殺毒，并返回到“選擇目標”欄目中。

2)掃描目標

在這里，可以方便地選擇要掃描的目標。選擇的目標被分為“我的電腦”、“常用文件夾”、“特殊文件夾”、“掃描歷史”4類。

在“我的電腦”中，可以選擇整個電腦、我的文檔、網(wǎng)絡(luò)鄰居、所有本地硬盤、特定的硬盤和光盤等?！俺Ｓ梦募A”可以選擇我的文檔等；“特殊文件夾”可以選擇Windows文件夾、系統(tǒng)文件夾和程序文件夾；“掃描歷史”中存放以前掃描過的設(shè)置，方便重新掃描。

3)掃描模式設(shè)置

在查毒和殺病毒的時候存在著時間長短和掃描是否徹底之間的矛盾，這些可以通過調(diào)節(jié)掃描模式設(shè)置中的一些選項來解決。

在掃描模式設(shè)置中，用戶可以設(shè)置查看和改變代碼分析方式、檢查壓縮包、檢查E-mail附件、檢查自解壓程序和智能掃描方式等選項。其中，智能掃描方式可以通過識別文件類型，忽略一些不會感染病毒的文件，達到加快病毒掃描速度的效果。

4)輔助功能

輔助功能包括安全防護、掃描計劃、關(guān)機掃描以及日志和實時監(jiān)視的控制等。其中，安全防護就是備份或恢復主引導扇區(qū)和邏輯C盤的引導扇區(qū)。當系統(tǒng)遭到災難性的破壞時，可以恢復備份前的主引導扇區(qū)和邏輯C盤的引導扇區(qū)，從而對硬盤數(shù)據(jù)的安全起到一定的防護作用。掃描計劃可以規(guī)定時間對“我的電腦”進行全面掃描，可以選擇每天、每周中的某一天或每月的某一天掃描。

5)智能升級

智能升級就是通過因特網(wǎng)直接連接到公司網(wǎng)站上，檢查病毒庫和程序是否更新，并只下載更新的那一部分，而沒有更新的就不會下載。智能升級可以使升級方便、快捷。智能升級可以支持代理服務(wù)器升級，這也就意味著無論是自己撥號上網(wǎng)，還是多人共享上網(wǎng)，都可以享受智能升級代理的方便快捷。

6)技術(shù)支持

單擊“創(chuàng)建報告”按鈕，就會在桌面上創(chuàng)建一個包含有關(guān)機器配置、軟件安裝情況、KVW3000本身的情況等信息的報告，報告的文件名稱是KVReport.txt。用戶可以在該文件中詳細描述問題出現(xiàn)的經(jīng)過以及現(xiàn)象，然后單擊“病毒上報”按鈕，將本文件作為附件發(fā)給公司。如果還有其它問題，可單擊相應(yīng)的反應(yīng)該問題的功能按鈕。

7．Word宏病毒的清除

KV3000能查出已知名和以后出現(xiàn)的絕大多數(shù)未知名Word(Normal.dot)中的宏病毒。清除Word宏病毒有以下兩種方法：

(1)執(zhí)行KVW3000.exe文件，用戶可任選某一子目錄進行清除，查出病毒后，為了安全起見，系統(tǒng)會先自動備份一個有毒的原文件，將其擴展名改為.KV，然后再將原文件中的病毒清除。

(2)用干凈的Windows系統(tǒng)軟盤引導機器，運行KV3000，出現(xiàn)主菜單后，按下盤符鍵，系統(tǒng)可將宏病毒自動清除，恢復word文件的正常狀態(tài)。8.1.2瑞星殺毒軟件

1．瑞星殺毒軟件的基本功能

“瑞星殺毒軟件”是針對流行于國內(nèi)外危害較大的計算機病毒和有害程序研制的反病毒安全工具，用于對已知病毒、黑客程序的查找，實時監(jiān)控和清除恢復被病毒感染的文件或系統(tǒng)，維護計算機系統(tǒng)的安全。它能清除感染DOS、Windows和Office等系統(tǒng)和應(yīng)用程序的病毒以及危害計算機安全的各種有害程序。瑞星殺毒軟件世紀版、標準版和OEM版均包括DOS版、Windows版兩個殺毒程序，但提供的功能不同，其中世紀版還包括實時監(jiān)控程序(防火墻)。

2．DOS版使用方法

1)快速殺毒

(1)將標準版、OEM版原盤或世紀版1號盤插入A驅(qū)動器。

(2)打開計算機電源，啟動計算機。

(3)計算機啟動后會自動進入瑞星殺毒軟件DOS版界面。

(4)用鼠標(或按字母鍵D)選擇“Drive”菜單。

(5)用鼠標(或光標鍵

、

)選擇需要檢測的磁盤或分區(qū)，如“Drive＜C:＞”。

(6)用鼠標(或按字母鍵C)選擇“Clean”菜單。

(7)用鼠標(或光標，或直接按F6)選擇“Allfiles＜F6＞”，可立即開始清除病毒。

(8)用鼠標點擊屏幕下方的Exit可以退出，也可按ESC鍵退出。

2)功能菜單

(1)“Scan”檢測病毒菜單：用于檢查用戶指定的計算機系統(tǒng)或文件是否含有病毒。

①StandardExecutables＜F2＞：檢測指定磁盤或路徑下的程序文件(如擴展名是?.com、.exe、.doc和.xls等的文件)是否感染病毒。②AllFiles＜F3＞：檢測指定磁盤或路徑下的所有文件是否感染病毒，同時檢測Office文件是否感染未知宏病毒。檢測結(jié)束后顯示報告，內(nèi)容包括共檢測了多少文件，發(fā)現(xiàn)多少個文件被病毒感染。

(2)“Clean”清除病毒菜單：清除指定的系統(tǒng)或文件中所感染的病毒。

①StandardExecutables＜F5＞：檢測指定磁盤或路徑下的程序文件(如擴展名是.com、.exe、.doc和.xls等的文件），發(fā)現(xiàn)病毒后立即清除。

②AllFiles＜F6＞：檢測指定路徑下的所有文件，發(fā)現(xiàn)病毒后立即清除。請注意，在查找或清除病毒的過程中，如出現(xiàn)信息“Erroropening［文件名］”，則表示此文件正被調(diào)用或已被破壞。當出現(xiàn)這種情況時，可用以下三種方法之一進行處理:第一種方法是用瑞星殺毒軟件重新啟動計算機，然后再查毒；第二種方法是如果該文件在服務(wù)器上，稍后再查；第三種方法是用Scandisk修復磁盤文件后再查。③Driver：指定檢測目標選項,用于選擇磁盤、分區(qū)或指定路徑與文件?！叭鹦菤⒍拒浖弊詣訖z測用戶的計算機所配置的所有軟盤、硬盤、光驅(qū)、網(wǎng)上鄰居和服務(wù)器等，并在用戶選中“Driver”項后顯示出來。

④UserSpecified：當不需要對整個軟盤、硬盤和光盤等進行處理時，只是要檢測某一子目錄中的文件，用戶可以選擇該項并輸入要處理的路徑或文件名。

(3)“Tools”工具菜單：用于保存和恢復用戶計算機硬盤引導扇區(qū)(Boot區(qū))的信息，修復被CIH等病毒破壞的硬盤數(shù)據(jù)。

①BackapBootInformation：用于保存硬盤引導信息，需要用戶指定保存信息的位置(路徑和文件名)，防止計算機由于某種原因(病毒破壞、突然掉電或操作錯誤等)，造成Boot區(qū)信息丟失而使硬盤不能啟動、不能讀取硬盤文件與數(shù)據(jù)。用戶需要先選中保存硬盤引導信息的選項，將硬盤的Boot區(qū)信息保存在任意指定的軟盤上，需要時，選中“RestoreBootInformation”選項即可恢復。②RestoreBootInformation：用于恢復硬盤引導信息項，需要用戶指定保存信息的位置(路徑和文件名)。需要注意兩個問題，第一，硬盤引導信息最好保存在軟盤上，以防該信息因硬盤不能引導而失去作用；第二，不同計算機的Boot區(qū)信息是不一樣的，在保存時一定要注意這一點。如果是將多臺計算機的Boot區(qū)信息保存在一張軟盤上，就需要對不同的計算機分別起名。如果是每一臺計算機用一張軟盤來保存，也需要在軟盤標簽上做好標記，不能混用，否則將造成混亂，無法恢復。③RecoveryToolaboutCIH：用于修復被CIH病毒破壞的硬盤數(shù)據(jù)。本功能適用于以下三種情況。

第一種情況是可以修復。如果出現(xiàn)紅色提示框，報告用戶硬盤的分區(qū)信息和文件分配表（FAT）的類型，用戶首先確認該提示信息是否正確。然后，再根據(jù)“RecoveryPartitionTable？(Y/N)”的提示信息選擇是否進行修復。如果選擇“Y”，則瑞星殺毒軟件將自動恢復硬盤的分區(qū)信息；如果選擇“N”，則瑞星殺毒軟件將返回主菜單。恢復硬盤分區(qū)工作結(jié)束后，瑞星殺毒軟件將提示“RecoveryDriveC:(Y/N)”，詢問用戶是否繼續(xù)恢復C盤中的文件如果選擇“Y”，則瑞星殺毒軟件將自動恢復C盤中的文件；如果選擇“N”，則瑞星殺毒軟件將返回主菜單。在恢復硬盤分區(qū)后，可以重新啟動機器，此時已經(jīng)可以看到完全恢復的D、E等擴展邏輯分區(qū)。在恢復硬盤分區(qū)后，再進一步恢復C盤的文件后，重新啟動機器，則不僅可以找到擴展的邏輯分區(qū)，而且可以看到C盤上恢復的文件目錄，這些目錄名為“MSING.XXX”（XXX為0-99的數(shù)字編號）。這時擴展分區(qū)已恢復正常，將C盤中各個目錄中的重要文件進行備份。第二種情況是不需要修復。如果出現(xiàn)“Theharddiskisok，needn’trecover！Enter=retuntomainmenu”信息，則表示硬盤系統(tǒng)是好的，不需要修復。

第三種情況是無法恢復。如果出現(xiàn)“Theharddiskcan’tberecovered，Enter=returntomainmenu”信息，則表示邏輯盤數(shù)據(jù)使用本功能無法恢復。

3．命令行工作方式的使用方法

命令行工作方式的使用方法如下：

(1)啟動計算機后將瑞星殺毒軟件原盤插入軟盤驅(qū)動器。

(2)按如下格式進行操作:

[路徑1]RAV[路徑2][文件名]/A/C格式說明：[路徑1]指瑞星殺毒軟件(Ray.exe)所在的位置(包括驅(qū)動器號和目錄)，[路徑2]指需要檢測的系統(tǒng)或文件所在位置(包括驅(qū)動器號和目錄)，[文件名]指需要處理的文件名，“/A”指明查殺指定目錄中的所有文件，無此參數(shù)則只查殺程序文件(*.exe、*.com、*.doc等)，“/C”參數(shù)指明對所查到的病毒立即清除，無此參數(shù)則只查而不清除病毒。例如：RAVA:B:C:連續(xù)檢測A、B、C三個磁盤的引導區(qū)和可執(zhí)行文件；RAVC:\windows/A檢測C盤Windows目錄下的所有文件；RAVA:\dos/C檢測A盤DOS目錄下的程序文件，發(fā)現(xiàn)病毒立即清除。

4．引導型病毒提取程序

引導型病毒提取程序適用于當計算機硬盤或軟盤引導區(qū)可能被病毒感染，而已有的殺毒軟件不能檢測出，或檢測出又不能清除的情況。使用方法如下：

(1)用瑞星殺毒軟件原盤或其它干凈系統(tǒng)盤啟動計算機。

(2)將Getboot.exe復制到一張軟盤上。

(3)將該盤插入軟驅(qū)。

(4)按如下格式運行Gethoot.exe。

GETBoot［drive］

格式說明：［drive］指要提取信息的磁盤驅(qū)動器名。例如：GETBootA：提取A驅(qū)動器軟盤引導區(qū)的信息到Boot.dmp；GETBootC：提取硬盤引導區(qū)的信息到Boot.dmp和Mb.dmp兩個文件。

5．Windows版的使用方法

1)安裝

(1)啟動計算機并進入Windows。

(2)運行瑞星殺毒軟件原盤中的Setup.exe。

(3)瑞星殺毒軟件默認安裝到“C:\瑞星殺毒軟件”目錄中，讀者可以自己更改目錄。

(4)安裝程序會在Windows桌面和程序文件表中分別建立快捷方式。

2)設(shè)置

根據(jù)需要或使用習慣，可以在進入“瑞星殺毒軟件”界面后，對如下選項進行設(shè)置:

(1)選擇“檢測所有文件”還是“僅查程序文件”。

(2)選擇是否檢測查毒位置下的子文件夾。

(3)選擇是否檢測壓縮文件。

(4)選擇殺毒前是否備份原文件。

設(shè)置完成后，可以選擇菜單“設(shè)置”中的“保存當前設(shè)置”，在下次啟動時將按本次設(shè)置啟動。如需返回默認設(shè)置，請選擇菜單“設(shè)置”中的“恢復默認設(shè)置”即可。

3)檢測和清除病毒

檢測和清除病毒的操作步驟如下:

(1)雙擊桌面上的“瑞星殺毒軟件”圖標或選擇程序文件夾中的“瑞星殺毒軟件”，即進入運行界面。

(2)通過選擇查毒位置，或點擊“瀏覽”按鈕確定要檢測的磁盤或文件夾。

(3)單擊“查毒”按鈕，則開始檢測，單擊“殺毒”按鈕，則開始檢測相應(yīng)的系統(tǒng)或文件，發(fā)現(xiàn)病毒立即清除，檢測過程中可隨時單擊“終止”按鈕停止檢測。檢測過程中，帶病毒的文件或系統(tǒng)的名稱、所在文件夾和病毒名稱將依次顯示在“查毒結(jié)果”欄內(nèi)。

(4)檢測結(jié)束后，檢測結(jié)果將自動保存到殺毒軟件工作目錄的指定文本文件中，文件名為“瑞星查毒結(jié)果.TXT”。

(5)如果檢測其它文件，重復第(2)、(3)步即可。

請注意，在清除病毒的過程中，如果出現(xiàn)“請用瑞星原盤引導計算機清除病毒”，表示該文件正在運行或被使用。根據(jù)提示，使用“瑞星殺毒軟件”原盤啟動計算機后，運行“DOS版”殺毒軟件清除。

4)啟動定時查殺病毒功能

(1)單擊“選擇預約時間”按鈕。

(2)根據(jù)需要，選擇“每小時”、“每日”、“每周”、“每月”等不同的掃描頻率。

(3)單擊“選擇掃描項”，可指定需要定時檢測的磁盤或目錄。

當系統(tǒng)時鐘到達所選定的時間時，瑞星殺毒軟件將自動啟動，并開始在后臺掃描預先指定的磁盤或目錄。如果發(fā)現(xiàn)病毒，查毒界面會自動跳出，用戶可以看到查毒情況，查毒完畢可自動將查毒結(jié)果保存到瑞星殺毒軟件所在目錄下的“定時查殺結(jié)果.TXT”文件中，供用戶隨時查閱，如果未發(fā)現(xiàn)病毒，軟件將自動關(guān)閉退出

5)啟動實時監(jiān)控(防火墻)

單擊界面上的“啟動實時監(jiān)控程序”按鈕，即可啟動“瑞星實時監(jiān)控(防火墻)”，如果已經(jīng)啟動，則將設(shè)置界面調(diào)出。

6)訪問瑞星因特網(wǎng)主頁或瑞星BBS

如果主機連接到因特網(wǎng)，則通過選擇“訪問瑞星主頁”、“訪問瑞星BBS”按鈕，即可實現(xiàn)對瑞星因特網(wǎng)主頁或瑞星BBS的訪問，以獲取最新升級程序和各種信息。

6．實時監(jiān)控“防火墻”

運行“世紀版”四號盤中的Setup.exe，安裝過程中，系統(tǒng)會自動安裝“實時監(jiān)控(防火墻)”?？梢詫Ψ阑饓Φ娜缦马椖窟M行設(shè)置:

(1)監(jiān)控目標(軟盤、本地硬盤、網(wǎng)上鄰居和光盤)。

(2)監(jiān)控文件類型(所有文件、程序文件和壓縮文件)。

(3)發(fā)現(xiàn)病毒后的處理方法(自動清除病毒、自動禁止使用帶毒文件、自動刪除帶毒文件、詢問用戶如何處理)。

(4)清除病毒時是否備份原文件。

(5)啟動Windows時是否自動運行。

退出和卸載實時監(jiān)控程序的操作步驟如下:

(1)用鼠標右鍵單擊窗口右下角瑞星病毒實時監(jiān)控(防火墻)雨傘標志，選擇“退出”。

(2)用鼠標左鍵單擊窗口右下角瑞星病毒實時監(jiān)控(防火墻)雨傘標志，在彈出的窗口中撤銷“啟動Windows時是否自動運行”，并按“退出”按鈕即可卸載。8.2系統(tǒng)掃描工具

掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過掃描TCP端口，并記錄反饋信息，可以不留痕跡地發(fā)現(xiàn)遠程服務(wù)器各種TCP端口的分配、提供的服務(wù)以及它們的軟件版本。這就能讓我們間接地或直觀地了解遠程主機所存在的安全問題。真正的掃描器是TCP端口掃描器，可以選通TCP/IP端口和服務(wù)，例如Telnet或FTP，并記錄目標的應(yīng)答。而其它所謂的掃描器僅僅是Unix網(wǎng)絡(luò)的應(yīng)用程序，這些程序一般用于觀察某一服務(wù)是否正在一臺遠程機器上正常工作，它們不是真正的掃描器，但也可以用于收集目標主機的信息，例如，rusers和host命令就是這類程序。使用掃描器的一般步驟是：尋找一臺機器或一個網(wǎng)絡(luò)；一旦發(fā)現(xiàn)一臺機器，可以找出機器上正在運行的服務(wù)；測試哪些服務(wù)具有安全漏洞。它通過選用遠程TCP/IP不同的端口服務(wù)，并記錄目標給予的應(yīng)答，可以搜集到很多關(guān)于目標主機的各種有用的信息，比如，是否能用匿名登錄，是否提供某種服務(wù)，是否有可寫的FTP目錄，是否能用Telenet，http是用root還是nobady在運行等等，以此發(fā)現(xiàn)目標主機的內(nèi)在弱點，而這些弱點可能是破壞目標主機的關(guān)鍵因素。掃描器主要是通過比較已知的弱點數(shù)據(jù)庫數(shù)據(jù)與系統(tǒng)配置的數(shù)據(jù)，探測系統(tǒng)或網(wǎng)絡(luò)中的缺陷。大多數(shù)掃描器還可以設(shè)置希望掃描的具體內(nèi)容以及掃描時間。可擴展性是用戶希望掃描器具有的另一個重要特征，用戶希望能夠加入自己的掃描程序，查看所關(guān)心的特定站點的應(yīng)用缺陷。一般掃描器應(yīng)當基于系統(tǒng)管理的通用分類中提供的可選的集中報告，如果運行兩個或三個系統(tǒng)，在每個節(jié)點運行一個本地掃描器，并閱讀從每個節(jié)點來的報告，這也許是可以忍受的。若節(jié)點有幾十個甚至更多，系統(tǒng)則希望在中心服務(wù)器上統(tǒng)一報告，其它性能，比如將節(jié)點分成掃描組、靈活的輸出報告格式以及定制的掃描選項等，對大型環(huán)境是非常有用的。使用掃描器其實很簡單。如果不需要任何定制，那么默認情況下，掃描器查找脆弱性的預先設(shè)置列表，并向用戶報告結(jié)果。通常情況下，這些結(jié)果被存在文件中，以便稍后能回來查看這些結(jié)果。掃描器通過檢查對象的屬性，如文件的屬性和允許權(quán)限，或通過仿效黑客，來掃描缺陷。為了扮作黑客，掃描器運行各種腳本，試圖發(fā)現(xiàn)目標節(jié)點上的弱點。為了防止系統(tǒng)和網(wǎng)絡(luò)超載，應(yīng)當仔細考慮要掃描什么及何時進行掃描。否則，也許會使整個節(jié)點變得緩慢，因為服務(wù)器正忙于處理大量模擬的SYN洪流攻擊。對于整個系統(tǒng)的安全檢測，由于網(wǎng)絡(luò)資源的不同，掃描的對象也不盡相同，所應(yīng)用的掃描手段也有很大的差異，其主要分類是服務(wù)掃描、直接漏洞攻擊掃描、端口掃描以及嘗試性掃描。從使用的方式上，掃描器可分為運行于自己節(jié)點之上的本地掃描器和運行于整個網(wǎng)絡(luò)上的遠程掃描器。前者的操作是執(zhí)行從內(nèi)部發(fā)起的自我檢查，后者則是從外部發(fā)起，通過網(wǎng)絡(luò)探測目標節(jié)點而查出其薄弱環(huán)節(jié)。兩者的作用是相輔相成、相互補充的，在系統(tǒng)環(huán)境中對它們應(yīng)加以綜合利用。脆弱性掃描器與網(wǎng)絡(luò)監(jiān)控器完全不同。脆弱性掃描器并不在事件出現(xiàn)時實時地查看網(wǎng)絡(luò)傳輸，而是定期地運行，查找系統(tǒng)本身已經(jīng)存在的問題，檢查系統(tǒng)的運行狀態(tài)和相關(guān)配置，即發(fā)現(xiàn)系統(tǒng)有可能會導致攻擊的各種應(yīng)用脆弱性和系統(tǒng)漏洞。掃描器檢查系統(tǒng)漏洞的目的，或者在入侵發(fā)生前組織預防，或者在入侵發(fā)生后加以證實。內(nèi)部掃描的一個潛在優(yōu)點是對資源的平均占用要比實時監(jiān)測少。查找實時發(fā)生入侵的產(chǎn)品，實際上處理的是黑客具體的攻擊行為，而不是脆弱性，當實時入侵檢測IDS運行于系統(tǒng)上時，不處理配置問題，不是尋找以后會被黑客利用的弱點，而是要能夠抓住正在進行攻擊的黑客。IDS軟件實際上是運行于網(wǎng)絡(luò)上的管理系統(tǒng)，透過網(wǎng)絡(luò)掃描目標節(jié)點。由于掃描器是定期運行的，因此不是事件一出現(xiàn)就能馬上檢查出來，而脆弱性被引入系統(tǒng)后，掃描器會在下一次被激活時檢查出這個漏洞。8.2.1nmap

1．nmap簡介

nmap允許系統(tǒng)管理員查看一個大的網(wǎng)絡(luò)系統(tǒng)有哪些主機以及其上運行何種服務(wù)。它支持多種協(xié)議的掃描，如UDP、TCPconnect()、TCPSYN、FTPproxy(bounceattack)、Reverse-ident、ICMP(pingsweep)、FIN、ACKsweep、XmasTree、SYNsweep和Null掃描等。nmap提供了一些實用功能，例如通過TCP/IP來判斷操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的Ping偵測下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口描述。對非root用戶來說，nmap的正式版可以做很多重要的事情。不幸的是，部分關(guān)鍵的核心功能需要root權(quán)限，所以盡量以root身份運行nmap。

運行nmap后通常會得到一個關(guān)于被掃描機器的一個實用的端口列表。nmap總是顯示該服務(wù)的服務(wù)名稱、端口號、狀態(tài)以及協(xié)議，狀態(tài)有oppen、filtered和unfilered三種。open指的是目標機器將會在該端口接受連接請求；filtered指的是有防火墻、過濾裝置或者其它的網(wǎng)絡(luò)防護設(shè)備，它們在這個端口阻擋nmap進一步查明端口是否開放；至于unfiltered，則只有在大多數(shù)的掃描端口都處在filtered狀態(tài)下才會出現(xiàn)。根據(jù)選項的使用，nmap還可以報告遠程主機下面的特性、使用的操作系統(tǒng)、TCP連續(xù)性、在各端口上綁定的應(yīng)用程序用戶的用戶名、DNS名、主機是否是個smurf地址以及一些其它功能?？梢詮?nmap／獲得最新版本的nmap。

2．命令格式

nmap在shell的命令行方式下運行，運行格式如下：

nmap［掃描類型］［選項］<主機或網(wǎng)絡(luò)＃1…［＃N］>

3．掃描類型

1)?-sT

TCPconnect掃描：這是對TCP的最基本形式的偵測。在該操作方式下，該connect對目標主機上的端口進行試探，如果該端口被監(jiān)聽，則連接成功，否則這個端口無法到達。這個技術(shù)的優(yōu)點是無須任何特殊權(quán)限，在大多數(shù)的Unix系統(tǒng)下，這個命令可以被任何人自由地使用。但是這種形式的探測很容易被目標主機察覺并記錄下來。因為服務(wù)器接受了一個連接，但它卻馬上斷開，于是其記錄會顯示出一連串的連接及錯誤信息。

2)?-sS

TCPSYN掃描：這類技術(shù)通常涉及一種“半開”式的掃描，因為不打開完整的TCP連接，發(fā)送一個SYN信息包就像要打開一個真正的連接一樣，而且在等待對方的應(yīng)答。一個SYN/ACK會表明該端口是開放監(jiān)聽的，一個RST則代表該端口未被監(jiān)聽。如果SYN/ACK的應(yīng)答返回，則會馬上發(fā)送一個RST包來中斷這個連接。這種掃描的最大優(yōu)點是只有極少的站點會對它做出記錄，但是需要有root權(quán)限來定制這些SYN包。

3)?-sF-sX-sN

StealthFIN、XmasTree或者Null掃描模式：有時甚至SYN掃描都不夠隱蔽，一些防火墻及信息包過濾裝置會在重要端口守護，SYN包在此時會被截獲，一些應(yīng)用軟件如Synlogger以及Courtney對偵測這種類型的掃描都是行家。所以，在另一方面要有更進一步的掃描，才能在不遇到麻煩的情況下通過它們。這是因為關(guān)閉的端口會對發(fā)送的探測信息包返回一個RST，而打開的端口則對其忽略不理。所以FIN掃描使用空的FIN信息包作為探針，Xmastree使用FIN、URG、PUSH標記，Null掃描則不用任何標記。因為微軟在他們的產(chǎn)品中沒有采納這一標準，所以這一掃描在Windows下不能工作。從積極方面來講，這其實也是一個區(qū)分兩種平臺的辦法。如果這次掃描發(fā)現(xiàn)了打開的端口，則可以確認這臺機器不是運行在Windows平臺下。如果?-sF、-sX、-sN的掃描顯示所有端口都是關(guān)閉的，但是一個SYN掃描卻顯示有打開端口，則可以大致推斷它是Windows平臺。這只是一個簡單應(yīng)用，因為現(xiàn)在nmap已經(jīng)有了更徹底的操作系統(tǒng)判別方法，它的原理與其類似。

4)?-sP

Ping掃描：有時僅希望了解網(wǎng)絡(luò)上有哪些主機是開放的，nmap可以通過對指定的IP地址發(fā)送ICMP的echorequest信息包來做到這一點，有應(yīng)答的主機就是開放的。但是，有些站點比如對echorequest包設(shè)置了障礙。因此，nmap還要發(fā)送一個TCPACK包到80端口(默認)，如果獲得了RST返回，則機器是開放的。第3種方法是發(fā)送一個SYN信息包并等待RST或SYN/ACK響應(yīng)。作為非root的用戶，可以使用常用的connect模式。對root來說，默認的nmap同時使用ICMP和ACK的方法掃描，當然也可以改變-P選項。最好先ping一下用戶，只有有應(yīng)答的主機才有必要掃描，對于不想探測任何的實際端口掃描，而只想大面積地搜索一下活動的主機，可以使用此選項。

5)-sU

UDP掃描：這一方法可用來確定哪個UDP端口在主機端開放。這一技術(shù)是以發(fā)送零字節(jié)的UDP信息包到目標機器的各個端口，如果我們收到一個ICMP端口無法到達的應(yīng)答，那么該端口是關(guān)閉的，否則我們可以認為它是敞開的。有些人或許會認為UDP掃描是無意義的，nmap通常會以最近的Solarisrcpbind漏洞來提醒他們。Rpcbind會隱藏在一個非正式的UDP端口32770口以上，因此對111進行防火墻過濾是無關(guān)緊要的。但是在查找30000以上的端口是否處于監(jiān)聽狀態(tài)時，用UDP掃描可以做到這一點。UDP掃描在目標主機上按照RFC1812建議，ICMP錯誤信息的傳送速率非常緩慢，要耗費相當長的時間。

6)?-sR

RPC掃描：這一方法是結(jié)合nmap多種掃描的一種模式，它取得所有的TCP/UDP開放端口，并且用SunRPC程序NULL命令來試圖確定是否是RPC端口，如果是的話，再確定其上運行什么程序，何種版本。這樣，不管目標主機是躲在防火墻后還是由TCPwrappers防護，它都能取得效果近似于rpcinfo-p的信息。

7)?-b

FTP跳躍攻擊：FTP協(xié)議的一個有趣的特點是它支持代理FTP連接，換句話說，可以從連接到一個FTP服務(wù)器，并且要求目標主機發(fā)送文件到因特網(wǎng)的“任何地方”。開發(fā)該程序的目的是為了通過一個代理FTP服務(wù)器查看TCP端口，這樣可以連接一個在防火墻后的FTP服務(wù)器，然后掃描它，查看堵塞的端口。如果FTP服務(wù)器允許讀甚至寫進某些目錄(比如/incoming)，則可以向發(fā)現(xiàn)打開的端口發(fā)送任意信息。要想通過“-b”選項來使主機成為代理，使用標準的ual格式，其形式是usemame:passworu＠server:port。

4．選項

這些選項并非是必需的，但是非常實用。

(1)?-P0：在掃描前不Ping主機，這是用來掃描那些不允許ICMPecho請求(或應(yīng)答)的主機的。

(2)?-PT：用TCP的ping來確定主機是否打開。作為替代發(fā)送ICMPecho請求包并且等待應(yīng)答的方式，我們可以向目標網(wǎng)絡(luò)(或者單機)大量發(fā)送TCPACK包并等待它的應(yīng)答，打開的主機會返回一個RST。這一參數(shù)可以讓我們在ping信息包阻塞時仍能高效率地掃描一個網(wǎng)絡(luò)。對于非root用戶，用connect，以如下格式設(shè)置目標探針：-PT＜portnumber＞，默認的端口是80，因為這一端口往往未被過濾。

(3)?-PS：這一選項是root用戶使用的，能用SYN包替代ACK包，打開的主機會有一個RST應(yīng)答。

(4)?-PI：這一選項是使用一個真正的ping包。它找到開放的主機并且將該子網(wǎng)中的廣播地址全部搜尋，該廣播地址是能夠到達目的地，并且能正確解析IP包的。當它受到大量的DoS(denialofservice)攻擊時，我們就能找到它。

(5)?-PB：默認的ping形式，它用于ACK(-PT)與ICMP(-PI)并行攻擊，以這一形式可以通過防火墻或包過濾。

(6)?-O：經(jīng)由TCP/IP獲取“指紋”來判別主機的OS類型，換句話說，就是用一連串的信息包探測出所掃描的主機位于操作系統(tǒng)有關(guān)堆棧信息，并區(qū)分其精細差別，以此判別操作系統(tǒng)。它用搜集到的信息建立一個“指紋”，用來同已知的操作系統(tǒng)的指印相比較，這樣判定操作系統(tǒng)就有了依據(jù)。

7)?-I：這是用ident掃描方式的參數(shù)，ident協(xié)議允許通過TCP連接得到擁有進程的用戶名，即使這個連接不是由該進程發(fā)起的。所以，可以通過ident連接到一個http端口并找出該進程是否由root運行，但這只能在“全開”的對目標端口的TCP連接中使用。使用-I參數(shù)時，遠程主機的identd守護進程在開放的端口接受連接質(zhì)詢，很明顯，如果主機不運行identd，那它就無法正常工作。

(8)?-f：這個參數(shù)配置以細小的IP碎片包實現(xiàn)SYN、FIN、XMAS或NULL掃描請求。這個想法是把TCP包頭分別放在幾個不同的信息包中，使包過濾器難以運作。但是要注意，部分程序可能會對這些小信息包處理錯誤。比方說，sniffersegmentation在接收第一個36字節(jié)的信息碎片時就出現(xiàn)了麻煩，之后又來了個24字節(jié)的信息碎片。當包過濾器和能將IP碎片排列的防火墻沒有獲得此順序時，一些網(wǎng)絡(luò)系統(tǒng)反映的結(jié)果是沒有找到目標，并且

放棄。

這個參數(shù)不是在任何系統(tǒng)上都能很好地工作的，它在Linux、FreeBSD以及OpenBSD下是正常的，當然也有一些人說它能在部分不同的Unix環(huán)境下工作。

(9)?-v：詳細模式。這是被強烈推薦的選項，因為它能給我們帶來想要的更多信息?？梢灾貜褪褂盟?，以獲得更大的效果。

(10)?-h：這是一個快捷的幫助選項，可以在屏幕上顯示nmap的參數(shù)使用方法。

(11)?-o：用來指定一個放置掃描結(jié)果的文件參數(shù)，這個結(jié)果是易于閱讀的。

(12)?-m：這也是存放掃描結(jié)果的參數(shù)，但它是存放機器可解析結(jié)果的，可以用?-m帶“-”將其輸出到標準輸出里。在這種形式下，正常的輸出被禁止，需要查看一些錯誤信息來了解情況。

(13)?-i：從指定文件而不是從命令行讀取數(shù)據(jù)。該文件可以存放一個主機或網(wǎng)絡(luò)的列表，中間用空格、TAB鍵或者換行來分隔。如果希望從標準輸入設(shè)備讀取，比如在管道符的末端，就要將連字符(-)用于文件名?？梢詮哪繕艘?guī)格里找到更多關(guān)于這一文件的書寫資料。

(14)?-p：這一參數(shù)可以指定希望掃描的端口，例如，“-p23”則只會對主機的23端口進行探測，默認掃描是從1到1024端口，或者也可以用nmap帶的servicesfile里的端口

列表。

(15)?-F：快速掃描模式。只選擇nmap提供的服務(wù)列表中列出的端口，而不是選擇所有65535個端口，這樣會明顯提高掃描速度。

(16)?-D：這是一種帶有誘騙模式的掃描，在遠程主機的連接記錄里會記下所有指定的誘騙性的地址。這樣，數(shù)據(jù)存儲器會顯示有一些端口掃描從某個IP發(fā)起，然而無法辨別哪個是真正的IP而哪個是用來作為掩護的，這可以擊敗一些通過路由進行跟蹤的行為，所以它是一項隱藏IP的實用技術(shù)。用逗號分隔各個欺騙地址，可以隨意地將“ME”放進任意一個希望顯示真實IP的地方，如果將“ME”放在第6位甚至最后，有些端口掃描記錄器可能根本就不會顯示你的IP，如果不用“ME”的話，nmap會將它隨機放置。請注意，用來誘騙的主機必須是開放的，因為要從一堆實際上沒有用的IP地址里判別出哪個是真正的入侵者是相當容易的。我們還可能要用IP地址來代替名字，這樣誘騙主機的nameserverlogs里才不會記錄下你曾經(jīng)來過。還應(yīng)該注意，有些端口掃描探測器會拒絕到達主機端口的掃描。這樣，無意中就會導致掃描的主機與“誘騙主機”連接的丟失。這樣可能會帶來一個很大的問題，如果這個“誘騙主機”是一個網(wǎng)絡(luò)上的網(wǎng)關(guān)或者是本地的機器，其連接一樣會斷開。所以最好小心使用這個參數(shù)。這種誘騙可以用在最初的ping掃描與實際端口狀態(tài)掃描中，它還可以用于遠程OS的判別。當然，寫入太多的誘騙地址是沒什么用處的，那只能減緩掃描速度以及降低一些精確度，而且一些指令處理系統(tǒng)還可能會過濾掉欺騙包。

(17)?-S：在某些環(huán)境下，nmap可能無法確定你的源地址，這種情況下nmap會有提示，這時我們就要用-S帶IP地址來標注。另一種使用的可能性是用來欺騙目標，使它認為某人在掃描它。

(18)?-e：告訴nmap哪個界面要發(fā)送或接收。nmap能夠自動探測它，如果無法做到，也會有提示信息。

(19)?-g：在掃描中設(shè)定源端口號。許多防火墻或包過濾器除了它們允許的DNS(53)或FTP-DATA(20)的包之外，其余數(shù)據(jù)包一概過濾，顯然這是很輕率的做法，因為入侵者能夠輕易地編輯一個來自FTP或DNS源端口的數(shù)據(jù)包。比如，如果無法從一個主機的host:port通過TCPISN取得信息，那么通過-g命令，nmap會改變源端口再次嘗試。需要了解的是，使用這個選項可能會有延遲，因為有時需要在源端口號中存儲有用信息。

(20)?-M：設(shè)定用來并行進行TCPconnect掃描的最大的sockets數(shù)目。這對將掃描適度減緩是相當有效的，它可以避免遠程主機崩潰。

(21)?-T：這是一個可以用來方便地表達nmap時間策略優(yōu)先權(quán)的參數(shù)設(shè)置。它有5個可使用的參數(shù)，分別表示5種使用模式。Paranoid模式用極慢的速度來掃描，以避免被數(shù)字記錄系統(tǒng)記錄。它使掃描連續(xù)而不是并發(fā)，并且通常至少等待5分鐘才發(fā)送一個信息包。Sneaky模式是每15秒發(fā)送一個信息包。Polite模式是用來減輕網(wǎng)絡(luò)負載的，它連續(xù)發(fā)送探針，并在兩個包的間隙等待0.4秒。Normal模式是nmap的常規(guī)用法，是盡其所能地快速掃描，除非主機或端口連接丟失。Aggressive模式是對每臺主機設(shè)定5分鐘的超時時間，并且等待每個探針應(yīng)答不超過1.25秒。Insane模式是適應(yīng)非?？斓木W(wǎng)絡(luò)，它的設(shè)定為75秒，并且只等待應(yīng)答0.3秒，它允許對一個很快的網(wǎng)絡(luò)系統(tǒng)進行掃描。

5．目標說明

所有不帶參數(shù)的選項都會被視為nmap的目標主機描述。最簡單的實例是僅在命令行列出單一的主機名或lP地址。如果希望掃描一個IP地址的子網(wǎng)，可以在主機名和IP地址中加入“/mask”。mask必須是在0(掃描整個網(wǎng)絡(luò))和32(特定的單一主機)之間。用24則表明掃描一個C類地址，而16則是掃描B類地址。

nmap還有一些更有用的符號說明方式，可以讓我們用list/ranges來為每個元素指定IP地址。比如，我們要掃描B類網(wǎng)址128.210.*.*，則可以用128.210.*.*或128.210.0～255.0～255甚至是128.210.1～50,51～255.1，2，3，4，5～255來表示。當然也可以用mask來表示/16，所有這些都是等價的。

我們可以用其它方法將整個網(wǎng)絡(luò)“分割”，比如，可以用“*.*.5.6～7”來掃描所有以.5.6或.5.7結(jié)束的IP地址。

6．使用實例

下面是一些運用nmap的掃描實例。

(1)?nmap-v對上所有的保留TCP端口進行掃描，-v表示用詳細模式。

(2)?nmap-sS-O/24開始一次SYN的半開掃描，針對的目標是所在的C類子網(wǎng)，它還試圖確定在其上運行的是什么系統(tǒng)。這需要root權(quán)限，因為用到了半開掃描以及系統(tǒng)偵測。

(3)?nmap-sX-p22，53，110，143，4564128.210.*.1～127發(fā)送一個XmasTree掃描到B類128.210所在子網(wǎng)的一半范圍內(nèi)，我們將檢測系統(tǒng)是否運行sshd、DNS、pop3d、imapd或者端口4564。要注意由于微軟TCP堆棧的不完善，Xmas掃描將不能在其平臺上運行成功，同樣的問題可能存在于Cisco、IRIX、HP/UX和BSDI中。

(4)?nmap-v-p80‘*.*.2.3-5’定位一個網(wǎng)絡(luò)域(將整個網(wǎng)絡(luò)分隔成許多小部分)再進行掃描的方式，這里掃描的目標是所有以?.2.3、.2.4或?.2.5結(jié)束的IP地址。如果是root，也可以用?-sS。同樣可以從127開始搜尋更多的機器，可以用“127-222”替代前面的星號。

(5)?host-1|cut’-d’-f4|./nmap–v-i-進行DNS帶轉(zhuǎn)換，來尋找進入的主機，并且將IP地址送至nmap。這個命令是在GNU/Linux平臺下運行的，在不同的操作系統(tǒng)上可能需要用不同的選項參數(shù)。8.2.2JohntheRipper

JohntheRipper的中文意思是John的撕裂工具。實際上它是一個工具軟件，用于在已知密文的情況下嘗試破解出明文的破解密碼。目前的最新版本是John1.6版，主要支持對DES、MD兩種加密方式的密文進行破解工作。John提供了幾種不同的破解方式，方便滿足使用者的不同需求，甚至還可以用自定義方式，以加速程序的運行。它也提供了保存解密中間結(jié)果，隨后繼續(xù)運行的功能。早期John在Unix環(huán)境下運行，現(xiàn)在已可以工作于多種不同的機型以及多種不同的操作系統(tǒng)之下，目前已經(jīng)測試過能夠正常運行的操作系統(tǒng)有Linuxx86、FreeBSDX86、Solaris2.xSPARC、OSF/1Alpha、DOS、WinNT/Win95。John的crypt函數(shù)在簡單解密模式下進行了最佳化，這可以讓John在破解的時候運行得比其它的破解工具快，這個函數(shù)同時應(yīng)用了組合語言及C語言所寫出來的程序代碼。從John1.5開始，已經(jīng)針對Intel的MMX處理器，對DES子程序進行了特別優(yōu)化工作，速度可提高30％左右。

在站點/security/John，使用者可以了解John的最新動態(tài)。

1．基本功能

JohntheRipper是目前比較好的破解密碼工具，在解密過程中會自動定時存盤，使用者可以用Ctrl+C強迫中斷解密過程，下次還可以使用John-restore命令，從中斷的地方繼續(xù)進行下去。任何時候使用者都可以按下Enter來觀看目前整個解密的進行情況。如果使用者按了兩下Ctrl+C來中斷的話，則John就會直接中斷，而不會將目前的解密進度保存起來。這個解密進度每十分鐘也會自動保存，以避免使用者的機器在解密過程中意外停機而功虧一簣。所有已經(jīng)被破解的密碼會被保存在當前目錄下的John.pot文件中，SHADOW中所有密文相同的用戶會被歸成一類，John不重復運行使用者已經(jīng)破解過的賬號，這樣John就不會進行無謂的重復勞動。如果使用者想要看已經(jīng)破解過的密碼，則可以在命令行中使用-show這個功能。在John的設(shè)計中，關(guān)鍵的密碼生成條件被放在John.ini文件中，使用者可以自行修改設(shè)置。它不僅支持單詞類型的變化，而且支持使用者編寫C程序限制密碼的取值方式。唯一的遺憾是，在自動產(chǎn)生密碼的遍歷解密方法中不支持-rules選項。不過還有其它方法可以克服。John支持的破解方式主要有以下幾種：

(1)有規(guī)則及無規(guī)則的字典文件解密模式。

(2)“SingleCrack”，用最簡單的信息來進行解密工作，速度最快。

(3)增強破解模式，嘗試所有可能的字元組合。

(4)外部破解模式，可以由使用者定義自己的破解模式。

2．使用方法

John所提供的是經(jīng)過壓縮的程序，使用者應(yīng)具有解壓縮的程序，并在機器上建一個目錄，把這些文件都拷貝到該目錄下，再將需要的文件解壓縮。如果使用Unix環(huán)境，在使用者使用這個壓縮文件以前，需要先執(zhí)行chmod+xJohn指令。

如果使用者需要編譯(Compile)源代碼，只要進入其解壓這些文件的目錄，在系統(tǒng)提示符下輸入make，就會看到一份支持各種系統(tǒng)的列表，選擇所使用的系統(tǒng)即可。如果所應(yīng)用的系統(tǒng)沒有在該列表上，可輸入makegeneric。使用者應(yīng)確定所使用的是GCC和GNUmake。如果所用的系統(tǒng)沒有設(shè)定路徑，則還需要輸入包含路徑的執(zhí)行指令，例如/bin/make等。假設(shè)使用者已經(jīng)取得了某個SHADOW文件，并且被存為SHADOW.TXT文件名，以PC的DOS環(huán)境為例，在硬盤中建一個新的目錄，如HACK，進入這個目錄，將John在此目錄中解開，將SHADOW.TXT同樣拷入此目錄，這樣我們就完成了解密的準備工作。一般包括以下由簡至繁三個步驟:

(1)先解密簡單用戶：John-singleshadow.txt。

(2)再解密一般用戶：John-wordfile:password.lst-rulesshadow.txt。

(3)最后解密其它用戶：John-i:allshadow.txt。具體地說，第一步主要是針對簡單用戶而進行的，原理是根據(jù)用戶的名稱，加上常見的變化規(guī)律而猜測密碼。所謂簡單用戶，是指這樣一類用戶，如果此用戶叫fool，則他的密碼可能是fool123，fool1，loof，loof123，lofo，…，這樣的用戶可在一分鐘內(nèi)被猜測出其賬戶的密碼。第二步是使用字典文件來進行解密，將人們常用密碼的單詞收集成一個字典文件，由John程序采用遍歷的方法加以比較。例如，人們常用hello、supperman、cooler、123456等作為自己的密碼。而-rules參數(shù)則在此基礎(chǔ)上再加上些變化，如字典中有單詞cool，則John還會嘗試使用cooler、CoOl、Cool等單詞變化進行解密。一般根據(jù)SHADOW中的用戶多少、使用者的字典大小及使用者的機器速度，解密時間從幾小時到幾天不等。第三步是純粹的碰運氣解法，主要原理是遍歷所有可能的密鑰空間。John會嘗試以95個字母(因為從鍵盤上只能輸入95種可能的鍵值)進行1～8(8個字母是密碼的最長值，所有密碼中8位以后的部分均不會被使用，目前的DES加密體系就是這樣的)個長度的所有組合，這是很漫長的過程。我們計算一下，以僅攻擊一個用戶為例，一臺MMX微機(攻擊速度18000次/秒)，假設(shè)遍歷50％的密碼空間，需要的時間為11811.5年。幸運的是，John可以進行自動預設(shè)取值，所以這樣破解密碼還是可能的，一般的經(jīng)驗是20個小時可能破解一個，當然，也可能什么都破解不出來。

3．命令行參數(shù)

命令行方式的基本格式為：John[-功能選項][密碼文件名]。

所有的功能選項均對大小寫不敏感，而且也不需要全部輸入，只要輸入的字符串保證不與其它參數(shù)沖突即可，如restore參數(shù)只要輸入-res即可。具體參數(shù)如下：

(1)?-pwfile:＜file＞[，..]，用于指定存放密文的文件名。使用者可以輸入多個文件名，期間用“，”分隔，也可以使用“*”或者“？”,這兩個通配符引用一批文件。還可以不使用此參數(shù)，將文件名放在命令行的最后作為必選參數(shù)。

(2)?-wordfile:＜字典文件名＞-stdin，指定用于解密用的字典文件名。使用者也可以使用STDIO來輸入，就是在鍵盤中輸入。

-rules在解密過程中使用單詞規(guī)則變化功能。比如嘗試cool單詞的其它可能，有COOLER、Cool等，詳細規(guī)則定義在John.ini文件中的[List.Rules:Wordlist]部分。

(3)?-incremental:＜模式名稱＞=使用遍歷模式，就是組合密碼的所有可能情況，＜模式名稱＞就是在這里要指定的＜mode＞名稱，由John.ini文件中的［Incremental:model］部分定義，[Incremental:All]為內(nèi)定。

-single使用單一模式進行解密，主要是根據(jù)用戶名產(chǎn)生變化來猜測解密，可以消滅簡單用戶。其組合規(guī)則在John.ini文件中的[List.Rules:Single]定義。

(4)?-external:＜模式名稱＞，使用自定義的擴展解密模式，使用者可以在John.ini的[List.External:mode]中定義自己需要的密碼組合方式。John也在INI文件中給出了幾個示例。

(5)?-restore:＜文件名＞=繼續(xù)上次的破解工作，John被中斷后，當前的解密進度情況被存放在RESTORE文件中，使用者可以拷貝這個文件到一個新的文件中。如果參數(shù)后不帶文件名，則John默認使用RESTORE文件。

(6)?-makechars:＜文件名＞，制作一個字符表，使用者所指定的文件如果存在，則將會被覆蓋。John嘗試使用內(nèi)在規(guī)則在相應(yīng)的密鑰空間中生成一個最有可能擊中的密碼組合，它會參考在John.pot文件中已經(jīng)存在的密鑰。

-show顯示已經(jīng)破解出的密碼，因為John.pot文件中并不包含用戶名，同時使用者應(yīng)該輸入相應(yīng)的包含密碼的文件名，John會輸出已經(jīng)被解密的用戶連同密碼的詳細表格。

-test測試當前機器運行John的解密速度，需要1分鐘，它會提出在當前的情況下解密的各種可能情況相應(yīng)的解密速度，比如同時解密100個用戶時的平均速度、使用遍歷法解密模式時解密的速度。salts指用戶個數(shù)，如果給出的對于100個用戶解密的平均速度為18000次/秒，那么表明同時對100個用戶解密，解密的速度為每個180次/秒。因為絕大多數(shù)的時間被用于密鑰比較過程，所以應(yīng)該對用戶進行挑選。

(7)?-users:＜login、uid＞[，..]只破解某類型的用戶或者屬于某個組的用戶。如果得到的PASSWD文件沒有包含密文，那么在得到SHADOW后應(yīng)該進行組合，John的附帶程序UNSHADOW.EXE可以完成這一過程，當然，使用者也可以手工做。能夠進入CSH的用戶都是解密的首選對象，也可以讓UID=0的Root級別的用戶入選。

(8)?-shells:[！]＜shell＞[，..]和上面的參數(shù)一樣，這一選項可以選擇對所有可以使用shell的用戶進行解密，對其它用戶不予理睬。“！”表示排除某些類型的用戶。

9)?-salts:[！]＜count＞只選擇解密用戶大于＜count＞的賬號，可以使使用者得到選擇的權(quán)力。-lamesalts指定用戶中密碼所使用的明文。

(10)?-timeout:＜分鐘＞指定解密持續(xù)的最長時間是幾分鐘，到時間John自動停止運行。

-list在解密過程中在屏幕上列出所有正在嘗試使用的密碼，建議不要使用，它會將大部分時間浪費在顯示上，極大地降低解密速度。它一般只適用于重定向輸出到文件后，檢驗使用者所設(shè)定的某些模式是否正常。

-beep-quiet當解密出密碼時是否要讓PC機喇叭叫一下，以提醒使用者。

-noname.nohash不使用內(nèi)存來保存“用戶名”等內(nèi)容。

-des-md5指定使用的解密方式是解DES還是MD5，對于解密DES密碼，不用理會這一選項。John并不能在同一個解密過程中同時使用兩種不同的密碼加密方式，如果所用的密碼文件是兩種，就要分開來運行。

4．解密模式

1)簡單解密模式

簡單解密模式的主要原理是根據(jù)用戶名猜測其可能的密碼，當然，這是要計算機而不是人去執(zhí)行解密程序，所以需要人為定義相應(yīng)的模式規(guī)則。其規(guī)則的定義在John.ini中的[List.Rules:Single]部分。一般在這種模式下，一次解密多個密碼文件，要比分開來運行更快些。而且先使用規(guī)則的一部分，再使用另一部分解密會有較好的效果。下面選取前幾行做一個解釋，假設(shè)有一個用戶名為fool:[List.Rules:Single]

＃Singlecrackmodrules，extendedCracksyntax

:［:cl］

＞6x06

＞7lx07

＞6/？ulx06在John.ini中起始為＃的行為注釋行，程序在遇到此行時自動跳過。

“:[:cl]”行表示使用用戶名自身作為密碼進行嘗試，即fool，而“:[:cl]”在保持原字母不變的前提下，“c”首先強制第一個字母大寫，“l(fā)”表示其余字母均變?yōu)樾?，即Fool，也就是說此行導致John嘗試使用fool和Fool兩個單詞進行解密。

“＞6x06”表示當用戶名大于6個字符的時候，從第0個算起，截斷至第5個，則共保留下6個字母，其余丟棄不用。例如：用戶名為foolers，則會產(chǎn)生被嘗試的密碼為fooler?！埃?1x07”和上面相同，此行對于＞7的用戶名，截斷至7個字母，而且使用“1”強制使用小寫字母。

“＞6/？ulx06”表示對于長度＞6的用戶名，截斷至6個，強制小寫；“/？u”則表示只有在用戶名中包含小寫字母“u”時才有效，否則跳過整條規(guī)則，不進行嘗試。例如對于“foolers”，此規(guī)則不起作用，因為“foolers”中不包含小寫字母“u”。

2)字典解密模式

字典解密模式需要用戶指定一個字典文件，John讀取用戶給定的字典文件中的單詞，嘗試進行解密。此模式的原理是：用戶經(jīng)常使用像hello、superman、computer、…之類的有意義的單詞作為自己的密碼。John自己帶了一個字典，文件名為password.lst，里面包含了一些常被用來作為密碼的單詞，如12345、abcl23、passwd、123456、newPass、Internet、newuser等等。當然，John所帶的字典文件比較小，如果使用者覺得不夠用，可以到FTP://coast.cs./pub/dict里找?guī)资椎拇笞值湮募?。使用方法很簡單，假設(shè)字典文件名為password.lst，shadow為shadow.txt，則命令為John-word:password.lstshadow.txt。同singlemode一樣，使用字典解密模式時，也可以使用規(guī)則，具體規(guī)則的定義在John.ini中的[List.Rules:Wordlist]部分。字典文件中的單詞不能有所重復，因為John并不會刪除重復并將字典文件進行排序，所以重復會占用更多的內(nèi)存，最好能將一些常用的單詞放在字典文件的開頭，當然最好能夠按字母的排列方式來排序，因為每一個單詞跟先前的那個單詞的差別小一點的話，John會運行得稍微快一些。另外，超過8個字符的單詞，John會自動處理，而且對同一個密碼只嘗試一次，盡管早期的DES編碼方法有8個字符的限制，用戶不必將超過8個字符的單詞切成8個字符。

3)增強模式

增強模式是John功能最強大的解密模式，它可以嘗試所有可能的字母組合來當做密碼。要使用這種解密模式，使用者需要指定及定義該模式的參數(shù)，如密碼長度的限制及字符頻率表等。這些參數(shù)必須寫入到j(luò)ohn.ini中的［Incremental:＜mode＞＝這一段內(nèi)，＜mode＞可以任意命名，它用于執(zhí)行John時在命令行中指定的名稱。

4)擴充模式

在使用John的時候，使用者可以定義一些擴充的破解模式。只要在john.ini中建立一個[List.External:＜mode＞］，＜mode＞就是所指定的模式名稱。這一節(jié)中必須包含一些John嘗試產(chǎn)生的字典的功能，必須包含一些使用C語言寫的函數(shù)，當使用者在命令行中使用該模式的時候，John會自動編譯及使用這些程序，產(chǎn)生虛擬機碼。

5．John.ini

John.ini中的每一行均由“條件指令”+“規(guī)則指令”組成。

1)條件指令

位于起始部分的“條件指令”如表8.1所示。表8.1條件指令

2)一些用于字母變化的命令

sxy字母替換，將某單詞中的所有為“x”的字母替換成字母“y”。

s？cy用字母“y”來替換單詞中的所有包含于“c字母組”中的字母。有關(guān)字母組的命令如表8.2所示。表8.2字?母?組?命?令字母組的定義如表8.3所示。表8.3字?母?組?定?義組名可以用大小寫的區(qū)別來表示“邏輯非”的關(guān)系，小寫表示肯定，大寫表示否定。例如，用？d可以表示“所有數(shù)字”，而大寫？D就表示“所有非數(shù)字”。

3)一些附加的指令

表8.4列出了一些附加的指令。

4)批處理規(guī)則

使用者可以通過“[]”來使用一批字符，如“[0-9]”則表示“0～9”這10個數(shù)字，使用者也可以混合使字母列表加批量的格式，如“[aeiou0-9]”則表示包括所有的元音字母加“0～9”10個數(shù)字。簡單的例子還有“[AZ]”，“[a-Z]”，“[A-Z0-9]”。比方說，我們加入一行，“l(fā)$[0-9]”，則表示強制使用小寫字母，并且在每個字母后面加入“0～9”這10個數(shù)字，即如果用戶名為fool，則John嘗試使用fool0，fool1，fool2，…，fool9進行解密。表8.4附加指令

6．使用舉例

(1)?John-singlepasswd.1passwd.2

使用簡單解密模式，一次破解名為passwd.1和passwd.2的兩個文件。

(2)?John-show-users:0passwd.*

檢查所有密碼文件中，已破解的root(uid0)賬號。

(3)?John-w:words.lst-rulespassword.1

使用字典文件模式，同時打開規(guī)則破解模式進行破解。

(4)?John-w:words.lst-rules-salts:2passwd.*

John-w:words.lst-rules-salts:!2passwd.*

將密碼文件分開兩部分并且分別進行破解。

(5)?John-i:alphapassd.1

使用增強模式，破解所有從a到zzzzzzzz8個字符內(nèi)的字母組合。

(6)?John-makechars:custom.