火龙果黑客与病毒防范技术

黑客攻击与防范

-------谁能书阁下，

白首太玄经。

let’sgo!本章结构引言黑客的概念和行为第一节网络系统的缺陷与漏洞第二节黑客当中的7种人第三节

黑客攻击的3个阶段第四节黑客攻击常用方法第五节黑客攻击的一般步骤及防范措施重点：黑客的概念和攻击步骤及防范措施难点：黑客攻击常用方法黑用户：听说你会制造“病毒”？！

黑客：嗯。

用户：你可以控制别人的电脑？！

黑客：一般是的。用户：那你可以黑掉那些网站吗？

黑客：当然，没听到人家叫我“黑客”吗？

用户：……哦~~~我还以为那是因为你长得很黑……

“咣~~”黑客的名称的由来bug用户：黑客大哥，你是怎么进来的啊？

黑客：利用你系统的bug。

用户：我知道了，当初我就说，不要用在潮湿的地方用电脑，他们都不听，你看现在都有虫子了吧．明天我拿出去晒晒，就不招虫子了.你就进不来了。

黑客：我倒！

网络系统的缺陷与漏洞已经成为黑客能突破网络防护进入网络的主要手段。控黑客：我控制了你的电脑。

用户：怎么控制的？

黑客：用木马。

用户：……在哪里？我没看不见。

黑客：打开你的任务管理器。

用户：……任务管理器在哪？

黑客：你的电脑下面！！

用户：“我的电脑”里面没有啊。

黑客：算了当我什么也没做过。黑客往往用木马程序对主机进行攻击。防用户：你怎么总是在我电脑里随便进进出出。

黑客：你可以装防火墙。

用户：装防火墙，你就不能进入了吗？

黑客：不啊，我只是想增加点趣味性，这样控制你的电脑让我觉得很白痴。在内部网与外部网之间放置防火墙是有效的防范黑客攻击的方法，但是不是救命稻草。trick用户：你给我出来！！！！

黑客：怎么啦？！

用户：你是不是用我的ID去论坛玩了？！！

黑客：……不好意思，忘了告诉你了，不过，我没干坏事，就瞎编了个帖子，我保证下次在再不玩拉。

用户：那不行！！！

黑客：你还要怎么样？

用户：你发的帖子得精华了，我第一次得精华，好开心哦，你必须再给我编一个。

黑客：倒！paradox黑客：嘿嘿，刚才我做了一件很有趣的事。

用户：什么事？

黑客：我到来论坛上去顶帖了。

用户：这很平常啊。

黑客：我见帖就顶，尽情骂楼主是猪，好解气！

用户：哇塞，太过瘾了，我可从来不敢，会被封杀的！

黑客：已经被封杀了。

用户：这还有趣？！

黑客：是啊，因为我用的是你的ID。利黑客：嗨~~~我来了！

用户：好几天不见你，被我的防火墙挡住啦？

黑客：哈哈，笑话，上你的电脑比上我自己的还容易，不是想我了吧。

用户：我是想请你帮一个忙。

黑客：什么事？

用户：你能不能进入电力系统修改一点数据。

黑客：……你想干嘛！！

用户：求求你，帮我把我家这个月的电费消了吧……

黑客：去死！！毒黑客：你死哪去了？！！

用户：……出去玩了几天啊，找我干嘛？

黑客：我要找点东西。

用户：在我这儿找什么东西？

黑客：病毒，找一条前几年的老病毒，只有你的机子上病毒保存的最全啦。port用户：黑客，你怎么又进来了，我已经把端口都堵上了。

黑客：

你知道端口了啊，不简单，你是怎么堵的啊。

用户：我用海绵把我机器上所有的口都堵上了，那不是端口吗？

黑客：这也行啊，你机器有什么不良反映吗？

用户：除了机箱热点，自动从起了两回，其它就没有了。

黑客：我觉得也是。

黑客（hacker）黑客（hacker）最初指“技术高超的有强制力的程序员”，现在则指一批掌握计算机知识和技能，能破解加密程序，窃取或破坏信息并以此作为业余爱好或半职业、职业手段的人。十步杀一人，千里不留行。

事了拂衣去，深藏身与名。第一节网络系统的缺陷与漏洞利用网络设计的缺陷是黑客能突破网络防护进入网络的主要手段之一。1、物理结构设计缺陷广播式、点对点，易窃听和劫获。2、协议设计缺陷窃听和欺骗；不安全的应用服务；缺乏安全策略；配置的复杂性。3、网络漏洞是指网络产品或系统存在的缺陷给网络带来的不安全因素。产生的主要原因是设计网络产品或系统时考虑不周到。漏洞等级C类：允许拒绝服务的漏洞。它不会破坏数据和使数据泄密，是不太重要的漏洞。存在于操作系统中。主要类型：

UDP攻击、TCP/SYN攻击、ICMP/PING攻击、ICMP/SMURF攻击、TARGA3攻击（IP堆栈突破）。B类：允许本地用户非法访问的漏洞。允许本地用户获得增加的未授权的访问。有较大可能检查出入侵者。存在于应用程序中，如：Sendmail、编程造成缓冲区溢出。A类：允许过程用户未经授权访问的漏洞。威胁最大的一种漏洞。由于较差的系统管理或设置错误造成的。利用了脚本程序。第二节黑客当中的7种人1．恶作剧型2．制造矛盾型3．乘机渔利的信息修改型4．致对方于死地的病毒攻击型5.有偷窥爱好的窃密型6.商业间谍型7.想复仇的事后报复型第三节

黑客攻击的3个阶段

1．确定目标

2．搜集与攻击目标相关的信息，并找出系统的安全漏洞

3．实施攻击第四节黑客攻击常用方法

一、网络监听

所谓网络监听就是获取在网络上传输的信息。通常，这种信息并不是特定发给自己计算机的。一般情况下，系统管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而，黑客为了达到其不可告人的目的，也进行网络监听。网络监听的危害：1、接收网络所有数据报文，造成数据丢失，网络不畅。2、由于许多数据以名文方式传输，如FTP、Web等服务，很容易窃取用户名和密码。3、采用被动方式，不与其它主机交换信息，因而对监听者的追踪十分困难。网络监听：Sniffer(嗅探器)

1、Sniffer工作原理将本地网络接口卡设置成promiscuous(混杂)模式（指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据），该接口卡将会接收所有在网络中传输的帧，无论该帧是广播的还是发向某一指定地址，这就形成了监听，如果某主机被设置成这种模式，它就成了一个Sniffer。Sniffer通常运行在路由器上或有路由功能的主机上。通常Sniffer程序只看一个数据包的前200—300个字节的数据，就能发现口令和用户名等重要数据。2、如何发现一个Sniffer网络监听采用被动形式，它不与主机交换信息，也不修改密码，因而追踪十分困难。主要办法是查看计算机上运行的所有程序。（1）Windows系统下，按Ctrl+Alt+Del在任务列表中查看。（2）在系统中搜索，查找可疑文件。（3）利用工具，查看是否工作在Promiscuous模式。从而发现Sniffer。如Antisniff。3、怎样防止被Sniffer

（1）采用SSH加密。（2）使用安全的网络拓扑结构。Sniffer往往是攻击者在侵入系统后使用的，用来收集有用的信息。因此防止系统被突破是关键。管理员要定期对所管理的网络进行安全测试，防止出现安全隐患。同时要控制拥有相当权限的用户的数量。切记，许多攻击者往往来自网络的内部。二、端口扫描端口扫描是利用某种程序自动依次检测目标计算机上的所有端口，根据端口的响应情况判断端口上的运行服务。端口扫描方法：手工扫描和软件扫描。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。手工扫描1、Ping命令：诊断TCP/IP网络。格式：pinghostname高级使用：

ping–fhostname给目标主机发送大量数据，从而使目标主机忙于回应。

如：ping–l655102、Tracert命令跟踪一个消息从一台计算机到另一台计算机所走的路径。格式：tracerthostname3、Host命令UNIX命令，查询计算机信息（域名、操作系统、计算机名、服务程序等）。使用端口软件扫描1、什么是扫描器检测网络系统所采用的自动检测程序被称为扫描器，即扫描器是一种自动检测远程或本地主机安全性弱点的程序。扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。从而了解安全问题。2、扫描器工作原理通过选用TCP/IP不同的端口服务，并记录目标给予的回答，通过这种方法，可以搜集很多关于目标主机的各种有用信息。如：匿名登录、可写的FTP目录、TELNET登录.....。3、扫描器的功能非攻击软件，可发现弱点，从而为攻击打下基础。4、扫描器分类按对象分：本地扫描器、远程扫描器按目的分：端口扫描器(nmap、portscan等)、漏洞扫描器使用端口扫描的目的是要得到目标计算机的操作系统、服务和应用程序的情况。5、预防端口扫描预防比较困难可将固定端口（如HTTP的80）改为其它端口号。使用欺骗软件。口令认证是计算机网络安全的主要组成部分之一，也是黑客攻击的目标之一。1、口令破解的方法先用扫描工具（如finger）找出网络中主机上的用户帐号，然后采用字典穷举法生成大量的随机密码。然后利用这些密码登录用户的系统。如果密码不对，就使用下一个随机密码，直到密码被查出为止。另一种方法是利用系统的漏洞获取系统安全帐号文件，采用口令破解器进行破解。三、口令破解2、口令破解器是一个程序。通过尝试一个个的单词，用知道的加密算法来加密这些单词，直到发现一个单词经过加密后的结果与要解密的数据一样，就认为这个单词就是要找的密码。从理论上讲，任何密码都是可以破解的，只是时间的问题。注册码的破解：一是修改安装程序。利用Soft-ICE等软件，设置中断，跳过判断。二是算法尝试。4、防止口令破解封锁帐户入侵者（设置用户登录次数）。加强对各网络系统的安全帐户文件管理。（sam文件）选择好的安全密码。验证码危险的口令：1、口令=用户名2、用户名的变换形式3、生日口令4、常用英文单词5、使用5位以下字符安全的口令：1、8位以上长度2、含大小写、数字、控制符3、不要太常见4、不应是自己的名字或一部分或加数字。5、不用电话号码、生日、英文单词（+数字）6、不用身份证号的一部分7、不要将口令写下或存于计算机中8、不要在不同系统上使用同一口令9、在输入口令时应确认旁边无人对于Windows操作系统，还应做到：1、采用NTFS的文件管理系统;2、正确设置系统文件夹的权限，务必使只有Administrators组的用户才能访问;3、取消普通用户访问注册表的权限。

再安全的密码也不是无懈可击的，只有安全的密码配上1_3个月更换一次的安全制度才是比较安全的。

特洛伊木马来自于希腊神话，是一个包含在一个合法程序中的非法的程序。这里指的是一种黑客程序，它一般有两个程序，一个是服务器端程序，一个是控制器端程序。如果用户的电脑安装了服务器端程序，那么黑客就可以使用控制器端程序进入用户的电脑，通过命令服务器端程序达到控制用户电脑的目的。四、特洛伊木马1、什么叫特洛伊木马特洛伊木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。木马，其实质只是一个通过端口进行通信的网络客户/服务程序。基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(ConnectRequest),服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程,G_client是客户端应用程序。2、感染特洛伊木马的现象死机、重启，长时间读写硬盘、搜索软盘。速度越来越慢，资源占用多。任务表中有可疑的文件在运行。3、特洛伊木马的工作原理第一步木马服务端程序的植入攻击者要通过木马攻击用户的系统，一般他所要作的第一步就是要把木马的服务器端程序植入用户的电脑里面。植入的方法有：①下载的软件②通过交互脚本③通过系统漏洞木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入，由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制Cgi程序在攻击主机上执行木马目录。木马还可以利用系统的一些漏洞进行植入，如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即把IIS服务器崩溃，并且同时在攻击服务器执行远程木马执行文件。第二步木马将入侵主机信息发送给攻击者

木马在被植入攻击主机后，他一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者就可以与木马里应外合控制受攻击主机。第三步木马程序启动并发挥作用

黑客通常都是和用户的电脑中木马程序联系，当木马程序在用户的电脑中存在的时候，黑客就可以通过控制器端的软件来命令木马做事。这些命令是在网络上传递的，必须要遵守TCP/IP协议。TCP/IP协议规定电脑的端口有256X256=65536个，从0到65535号端口，木马可以打开一个或者几个端口，黑客使用的控制器端软件就是通过木马的端口进入用户的电脑的。特洛伊木马要能发挥作用必须具备三个因素：①木马需要一种启动方式，一般在注册表启动组中；②木马需要在内存中才能发挥作用；③木马会打开特别的端口，以便黑客通过这个端口和木马联系。

木马程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以伪装自己。当然它也会悄无声息地启动，木马会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。木马程序的存在形式基于Windows的木马程序一般采用启动时自动加载应用程序的方法，主要包括：（1）Win.ini：“run=”、“load=”项目中的程序名;（2）system.ini：“shell=Explorer.exe”项后的程序名（3）注册表：“Run”项中的程序在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。目前,除了上面介绍的隐身技术外,更新、更隐蔽的方法已经出现，那就是-驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式-监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀）、不需要打开新的端口（所以不能用端口监视的方法查杀）、没有新的进程（所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行）。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作。隐藏方式

(1)修改图标当你在E－mail的附件中看到如图2所示的图标时，是否会认为这是个文本文件呢？但是我不得不告诉你，这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML，TXT，ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。隐藏方式

(2)捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉情况下，偷偷地进入了系统。至于被捆绑的文件一般是可执行文件（即EXE，COM一类的文件）。隐藏方式

(3)出错显示有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了你的系统。隐藏方式

(4)定制端口很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多木马都加入了定制端口的功能，控制端用户可以在1024~65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样就给判断所感染木马类型带来了麻烦。隐藏方式

(5)

自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows系统文件中，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外），那么只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

隐藏方式

(6)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按图索骥在系统文件夹查找特定的文件，就可以知道中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。隐蔽性隐藏程序，与正常程序绑定，假冒图片、系统等文件。功能特殊性搜索口令、设置口令、记录键盘、操作远程注册表以及颠倒屏幕、锁定鼠标等功能。4、特洛伊木马的特点远程访问型

可远程访问被攻击者的硬盘。密码发送型

将各种密码通过电子邮件发送到攻击者手中。键盘记录型

记录受害者的键盘输入。毁坏型

删除文件。FTP型

打开目标计算机的21端口，取得上传下载权限。5、特洛伊木马的分类可获得最高优先权：“系统管理员”级。做任何能做的事。可窃取国家机密及个人隐私，投放恶性病毒。获取、修改、删除计算机中的任何信息、文件及重要资料。可攻击与计算机联网的其它计算机。6、特洛伊木马的危害性不要随便从网点上下载软件;不要随便运行别人给的软件;尤其要认真检查E-mail。删除木马最简单的方法是安装杀毒软件，现在很多杀毒软件都能删除多种木马。但是由于木马的种类和花样越来越多，所以手动删除还是最好的办法。木马在启动后会被加载到注册表的启动组中，它会先进入内存，然后打开端口。所以在查找木马时要先使用TCPVIEW，而后开始查找开放的可疑端口。7、木马的预防与清除BackOrificeBO2000NetBus8、几种著名的特洛伊木马特洛伊木马防御原理知道了木马的攻击原理和隐身方法，我们就可以采取措施进行防御了。

1.端口扫描

2.查看连接

3.检查注册表

4.查找文件1.端口扫描端口扫描是检查远程机器有无木马的最好办法,端口扫描的原理非常简单,扫描程序尝试连接某个端口,如果成功,则说明端口开放,如果失败或超过某个特定的时间(超时),则说明端口关闭。但对于驱动程序/动态链接木马,扫描端口是不起作用的。2.查看连接查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat-a（或某个第三方程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。3.检查注册表上面在讨论木马的启动方式时已经提到，木马可以通过注册表启动（好像现在大部分的木马都是通过注册表启动的，至少也把注册表作为一个自我保护的方式），那么，我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。4.查找文件查找木马特定的文件也是一个常用的方法，木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe，只要删除了这两个文件,木马就已经不起作用了。如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上。另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的“系统文件检查器”，通过“开始菜单”-“程序”-“附件”-“系统工具”-“系统信息”-“工具”可以运行“系统文件检查器”,用“系统文件检查器”可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件（如驱动程序）。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。缓冲区是内存中存放数据的地方。在程序试图将数据放到计算机内存中的某一位置，但没有足够空间时会发生缓冲区溢出。缓冲区溢出是一种系统攻击手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。程序员可以通过谨慎的编程技巧消除缓冲区溢出问题。五、缓冲区溢出及其攻击第五节黑客攻击的一般步骤及防范措施入侵级别1级：邮件炸弹、简单服务拒绝2级：本地用户获得非授权读访问3级、本地用户获得非授权写权限、远程用户获得非授权的帐号4级：远程用户获得特权文件的读权限5级：远程用户获得了特权文件的写权限6级：远程用户拥有了根（root）权限（黑客已攻克系统）。黑客攻击系统的步骤1、收集目标计算机的信息2、寻找目标计算机的漏洞和选择合适的入侵方法3、留下“后门”4、清除入侵记录黑客攻击一般过程端口扫描httpftptelnetsmtp黑客攻击一般过程口令暴力攻击用户名:john口令:john1234黑客攻击一般过程用john登录服务器利用漏洞获得超级用户权限留后门隐藏用户更改主页信息典型的网络攻击示意图选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。对付黑客入侵的措施进行评估：入侵者只获得访问权（一个登录名和口令）入侵者获得访问权，并毁坏、侵蚀或改变数据入侵者获得访问权，并捕获系统一部分或整个系统控制权，拒绝拥有特权的用户的访问入侵者没有获得访问权，而是用不良的程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或其他无法操作的状态。根据以上不同程度采取相应措施防范1、了解黑客入侵后的特征有时突然死机，然后又重新启动。在无任何操作时，却拼命读写硬盘;无故对软驱进行搜索。没有运行大程序，而系统的速度越来越慢。用Netstat命令查看计算机网络状况，发现有非法端口打开，并有人连接用户。关闭所有的上网软件，却发现用户网络连接灯仍然闪烁。Win2000/NT中，新增了额外的管理员帐号和用