1.1版
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ ˇ只有我们知道了什么是完美的计算机病毒ˇ才可以造就完美的防毒软件。轮回ˇ魔高一尺ˇ道高一丈。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 病毒的定义是ˇ对的ˇ我将之定义为对于一定的环境ˇ能够寄生ˇ快速繁殖ˇ能够通过变异和杂交ˇ能够通过系统漏洞获得一定的系统控制权的智能体。信息和精神最后都映射为物质ˇ只有透过信息和精神才能接触到物质ˇ病毒的本质是物质性的。这种物质性ˇ决定其能够吸取古往今来的人类在实践中积累和阐发的一切真理ˇ从柏拉图到ˇ在的计算机网络和人工智能ˇ从古代的集市到ˇ代的复杂经济体ˇ从刀枪ˇ见到全方位的战争等中所有反映这个宇宙最壮观ˇ最微妙的部分ˇ都应该整合到病毒的制造和进化中。生物界的病毒是最古老ˇ最有活力的ˇ计算机界的病毒ˇ对于计算机网络这么大的一个比特生态圈来说ˇ进化还刚刚开始ˇ应该比特生态圈还处于原始期。从这个角度讲ˇ将生物界的生态学的概念和ˇ关理论迁移到比特生态圈中ˇ是完全可行的ˇ而且可能成为一个流派的指导思ˇ。同时ˇ参考生物界的原理ˇ参考分子生物学的修正后的中心法则ˇ将有助于吸收上帝的思ˇˇ造就完美的病毒ˇ当然ˇ它必然是残缺的。但是ˇ残缺的东西ˇ必须通过系统的方法进行制造ˇ必须在一定的价值观ˇ世界观ˇ必须在一定的哲学理念和理论体系的指导下进行。这个领域不否认天才ˇ但天才归根结底也是理论的一部分ˇ只不过他能比常人更好的ˇ在更高的层次上ˇ甚至在自发的层次上接触和实践了真理。他是真理的催生者ˇ但是ˇ不创造任何真理。他是天使ˇ但不是上帝。病毒的发展如果能够在理论上纳入发展大的轨道ˇ形成元素周期表的预测和设计结构ˇ那么将大大加速进化的速度。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 完美的病毒ˇ其产生的过程ˇ必须作为一个工程来做。一个成功的工程则是艺术和科技的完美的结合ˇ在精心设计的时候也必须开放的。必须先设计ˇ后施工。
完美的病毒ˇ应该是具有网络繁衍能力的ˇ应该是融合社交工程学的ˇ应该是融合人工智能思ˇ和技术。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 完美的病毒ˇ应该是分布式存在的ˇ应该有母子结构ˇ比如核心病毒可以释放vbs格式的子病毒。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 完美的病毒ˇ应该是可以杂交的ˇ也就是说不同来源的病毒甚至可以交换遗传信息。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 完美的病毒ˇ应该从完备系统的进化走ˇ破缺系统ˇ这样ˇ病毒之间才可以组合ˇ协同ˇ病毒界的力量才能够在大系统的层次上得到提升。应该借鉴生态学的理论和思ˇ。
完美的病毒ˇ应该是在宿主内广泛存在的ˇ侵染的范围是深广的ˇ应该侵入系统的防护部分ˇ也即免疫部分。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 病毒的机制组成包括ˇ
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 感染机制ˇ包括欺骗和融入宿主ˇ侵入核心和普通文件的机制。对ˇ可以是文件类ˇ包括可执行文件ˇ.exeˇ.dllˇˇ脚本文件ˇ.vbs等ˇˇ文档文件ˇ.doc等ˇˇ引导区域ˇ引导目录ˇ杀毒软件等。可以开发一种病毒ˇ专门侵染杀毒软件ˇ利用其非同一般的功能ˇ使其识别病毒的功能发生混乱ˇ删除系统文件。采取的方式ˇ包括补丁ˇ内嵌ˇ融合ˇ宏ˇ脚本。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 传播机制ˇ包括邮件ˇ可以自带邮件引擎ˇ或者俘获邮件服务器ˇ或者绕开验证程序ˇ或者运用社交工程学ˇ由于网络资源的开放性ˇ非严谨性ˇ这方面的可能性是很大的ˇ温床到处都是ˇˇ或者进行隐秘的网络攻击ˇ侵入主机ˇ利用其作为宿主ˇ进行传播ˇ或者作为正常软件的附件ˇ或者侵入网页。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 功能机制ˇ包括网络监听和局域网攻击ˇ种植木马ˇ利用宿主进行传播ˇ获取资料和系统控制权ˇ破坏对方机器ˇ影ˇ系统运行ˇ恶作剧等。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 进化机制ˇ包括病毒之间的交流ˇ融合ˇ杂交和再生ˇ自身变异和进化ˇ子母病毒ˇ开放式接口和后门。能够通过网络学习。能够自行变成ˇ具有人工智能。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 存在机制ˇ网络分布式存在ˇ注册为系统进程ˇ或者隐藏在别的进程中ˇ采用融合和分割技术ˇ侵染必要的系统文件。
 ˇ ˇ ˇ ˇ ˇ ˇ ˇ 加密机制ˇ对自身加密。
操作系统知识
1、操作系统的种类----如果你觉得是废话可以跳过
(1)、window 操作系统是由微软推出的操作系统ˇ这个就不用多说了。
(2)、Linux 尺系统将来会处于领导地位ˇ介绍:
1991年4月ˇ芬兰人Linux Benedict Torvalds根据可以在低档机上使用的MINIX(--一种编程
工具ˇ可以不基于任何操作系统)设计了 一个系统核心Linux 0.01ˇ但没有使用任何MINIX或UNIX的源代码。通过USENETˇ就是新闻组ˇ宣布这是一个免费的系统ˇ主要在x86电脑上使用ˇ希望大家一起来将它完善ˇ并将源代码放到了芬兰的FTP站点上代人免费下载。本来他ˇ把这个系统称为freaxˇ可是FTP的工作人员认为这是Linux的MINIXˇ就用Linux这个子目录来存放ˇ于是它就成了
“Linux”。这时的Linux只有核心程序ˇ还不能称做是完整的系统ˇ由于它代码公开人们可以很容易的修改他ˇ至此经过人们的不断修改他越来越完善。值得一提的是很多国家重要机构的操作系统都是有Linux改进而来ˇ如ˇchina rat linux。
(3)、UNIX1965年时ˇ贝尔实验室(Bell Labs)加入一ˇ由奇异电子(General Electric)和麻省理工
学院(MIT)合作的计画ˇ该计画要建立一套多使用者、多任务、多层次(multi-user、multi-processor、multi-level)的MULTICS操作系统ˇ此操作系统也经过多此的修改ˇ--此操作系统主要用于大型服务器。
(4)、HP-UX 惠普公司出品ˇ用的很少ˇ就不多说了
(5)、Mac OS X 著名的苹果操作系统。
(6)、Solaris SUN公司开发ˇ原形基于BSD Unixˇ值得一题的是SUN公司没有因为Solaris系统出名ˇ而是java大红。
(7)、FreeBSD 开发者 Nate WilliamsˇRod GrimesˇJordan Hubbard。这操作系统在国外用得很多ˇ主要是服务器系统ˇ这个我也不太了解(不好意思)。
(8)、Novell 由德国的SUSE公司开发ˇ在早期的网络服务使用平凡ˇˇ在基本淘汰。
///操作系统另类
嵌入式操作系统.ˇRTOSˇ说明ˇ简称微型操作系统ˇ它的体积很小ˇ功能ˇ对简单ˇ但非常适合放入ˇ机床、手机、PDA、等独立微型的计算系统ˇ。
(9)、uClinux是一种优秀的嵌入式Linux版本。uclinux是一个源码开放的操作系统ˇ面ˇ没有MMUˇMemory Management Unitˇ的硬件平台。同标准Linuxˇ比ˇ它集成了标准Linux操作系统的稳定性、强大网络功能和出色的文件系ˇ它是完全免费的。
(10)、uC/OS II 开发商 Micrium。
(11)、 VxWorks 开发商 WindRiver。
(12)、PalmOS 开发商 PalmSourceˇIncˇ手机用得比较多。
(13)、WindowsCE 开发商 Microsoft 它是微软针对个人电脑以外的电脑产品所研发的嵌入式操作系统ˇ而CE则为Customer Embedded的缩写。
黑客基础知识
计算机要与外界进行通信ˇ必须通过一些端口。别人要ˇ入侵和控制我们的电脑ˇ也要从某些端口连接进来。某日笔者查看了一位朋友的系统ˇ吃惊地发ˇ开放了139、445、3389、4899等重要端口ˇ要知道这些端口都可以为黑客入侵提供便利ˇ尤其是4899ˇ可能是入侵者安装的后门工具Radmin打开的ˇ他可以通过这个端口取得系统的完全控制权。
如果暂时没有找到打开某端口的服务或者停止该ˇ服务可能会影ˇ计算机的正常使用ˇ或则通过软硬件防火墙关闭指定的端口ˇ也可以屏蔽指定IP。
服务器操作系统的远程管理问题:
ˇ在很多人都喜欢在自己的机器上安装远程管理软件ˇ如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面ˇ这确实方便了远程管理维护和办公ˇ但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题ˇ一旦入侵者通过某种途径得到了*.CIF文件ˇ他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。 而Radmin则主要是空口令问题ˇ因为Radmin默认为空口令ˇ所以大多数人安装了Radmin之后ˇ都忽略了口令安全设置ˇ因此ˇ任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器ˇ并做一切他ˇ做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门ˇ当然是在他通过一定的手段拿到了一个可以访问的账号之后ˇ可以通过IIS的一些漏洞ˇ远程建立系统帐户ˇ并且提高自己的权ˇ。
病毒基础知识
ˇ按照计算机病毒攻击的系统分类
ˇ1ˇ攻击DOS系统的病毒。这类病毒出ˇ最早、最多ˇ变种也最多ˇ目前我国出ˇ的计算机病毒基本上都是这类病毒ˇ此类病毒占病毒总数的99ˇ。
ˇ2ˇ攻击Windows系统的病毒。由于Windows的图形用户界面ˇGUIˇ和多任务操作系统深受用户的欢迎ˇ Windows正逐渐取代DOSˇ从而成为病毒攻击的主要对ˇ。
目前发ˇ的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。
ˇ3ˇ攻击UNIX系统的病毒。当前ˇUNIX系统应用非常广泛ˇ并且许多大型的操作系统均采用 UNIX作为其主要的操作系统ˇ所以UNIX病毒的出ˇˇ对人类的信息处理也是一个严重的威胁。
ˇ4ˇ攻击OS/2系统的病毒。世界上已经发ˇ第一个攻击OS/2系统的病毒ˇ它虽然简单ˇ但也是一个不ˇ之兆。
2ˇ按照病毒的攻击机型分类
ˇ1ˇ攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
ˇ2ˇ攻击小型机的计算机病毒。小型机的应用范围是极为广泛的ˇ它既可以作为网络的一个节点机ˇ 也可以作为小的计算机网络的主机。起初ˇ人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰ˇ但自1988年11月份Internet网络受到worm程序的攻击后ˇ使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
ˇ3ˇ攻击工作站的计算机病毒。近几年ˇ计算机工作站有了较大的进展ˇ并且应用范围也有了较大的发展ˇ 所以我们不难ˇˇˇ攻击计算机工作站的病毒的出ˇ也是对信息系统的一大威胁。
3ˇ按照计算机病毒的链结方式分类
由于计算机病毒本身必须有一个攻击对ˇ以实ˇ对计算机系统的攻击ˇ计算机病毒所攻击的对ˇ是计算机系统可执行的部分。
ˇ1ˇ源码型病毒
该病毒攻击高级语言编写的程序ˇ该病毒在高级语言所编写的程序编译前插入到原程序中ˇ经编译成为合法程序的一部分。
ˇ2ˇ嵌入型病毒
这种病毒是将自身嵌入到ˇ有程序中ˇ把计算机病毒的主体程序与其攻击的对ˇ以插入的方式链接。这种计算机病毒是难以编写的ˇ一旦侵入程序体后也较难ˇ除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术ˇ将给当前的反病毒技术带来严峻的挑战。
ˇ3ˇ外壳型病毒
外壳型病毒将其自身包围在主程序的四周ˇ对原来的程序不作修改。这种病毒最为常见ˇ易于编写ˇ也易于发ˇˇ一般测试文件的大小即可知。
ˇ4ˇ操作系统型病毒
这种病毒用它自己的程序意图加入或取代部分操作系统进行工作ˇ具有很强的破坏力ˇ可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时ˇ用自己的逻辑部分取代操作系统的合法程序模块ˇ根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等ˇ对操作系统进行破坏。
4。按照计算机病毒的破坏情况分类
按照计算机病毒的破坏情况可分两类ˇ
ˇ1ˇ良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表ˇ其存在ˇ只是不停地进行扩散ˇ从一台计算机传染到另一台ˇ并不破坏计算机内的数据。
有些人对这类计算机病毒的传染不以为然ˇ认为这只是恶作剧ˇ没什么关系。其实良性、恶性都是ˇ对而言的。良性病毒取得系统控制权后ˇ会导致整个系统运行效率降低ˇ系统可用内存总数减少ˇ使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权ˇ 时时导致整个系统死锁ˇ给正常操作带来麻烦。有时系统内还会出ˇ几种病毒交叉感染的ˇˇˇ一个文件不停地反复被几种病毒所感染。
例如原来只有10KB的文件变成约90KBˇ就是被几种病毒反复感染了数十次。这不仅ˇ耗掉大量宝贵的磁盘存储空间ˇ而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
ˇ2ˇ恶性计算机病毒
恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作ˇ在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的ˇ如米开朗基罗病毒。当米氏病毒发作时ˇ硬盘的前17个扇区将被彻底破坏ˇ使整个硬盘上的数据无法被恢复ˇ造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的ˇ这是其本性之一。因此这类恶性病毒是很危ˇ的ˇ应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否ˇ或至少发出警报提醒用户注意。
5ˇ按照计算机病毒的寄生部位或传染对ˇ分类
传染性是计算机病毒的本质属性ˇ根据寄生部位或传染对ˇ分类ˇ也即根据计算机病毒传染方式进行分类ˇ有以下几种ˇ
ˇ1ˇ磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录ˇ而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件ˇ因此ˇ这种病毒在运行的一开始ˇ如系统启动ˇ就能获得控制权ˇ其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息ˇ如果对磁盘上被移走的正常引导记录不进行保护ˇ则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多ˇ例如ˇ“大麻”和“小球”病毒就是这类病毒。
ˇ2ˇ操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境ˇ它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常ˇ这类病毒作为操作系统的一部分ˇ只要计算机开始工作ˇ病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出ˇ的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在ˇ“黑色星期五”即为此类病毒。
ˇ3ˇ可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中ˇ一旦程序被执行ˇ病毒也就被激活ˇ病毒程序首先被执行ˇ并将自身驻留内存ˇ然后设置触发条件ˇ进行传染。
对于以上三种病毒的分类ˇ实际上可以归纳为两大类ˇ一类是引导扇区型传染的计算机病毒ˇ另一类是可执行文件型传染的计算机病毒。
6ˇ按照计算机病毒激活的时间分类
按照计算机病毒激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作ˇ而随机病毒一般不是由时钟来激活的。
7ˇ按照传播媒介分类
按照计算机病毒的传播媒介来分类ˇ可分为单机病毒和网络病毒。
ˇ1ˇ单机病毒
单机病毒的载体是磁盘ˇ常见的是病毒从软盘传人硬盘ˇ感染系统ˇ然后再传染其他软盘ˇ软盘又传染其他系统。
ˇ2ˇ网络病毒
网络病毒的传播媒介不再是移动式载体ˇ而是网络通道ˇ这种病毒的传染能力更强ˇ破坏力更大。
8ˇ按照寄生方式和传染途径分类
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类ˇ一是引导型病毒ˇ
二是文件型病毒ˇ它们再按其传染途径又可分为驻留内存型和不驻留内存型ˇ驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写ˇ即一般所说的“感染”ˇ磁盘上的引导扇区ˇBOOT SECTORˇ的内容ˇ 软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表ˇFATˇ。如果用已感染病毒的软盘来启动的话ˇ则会感染硬盘。
引导型病毒是一种在ROM BIOS之后ˇ系统引导时出ˇ的病毒ˇ它先于操作系统ˇ依托的环境是BIOS中断服务程序。
引导型病毒是利用操作系统的引导模块放在某个固定的位置ˇ并且控制权的转交方式是以物理地址为依据ˇ而不是以操作系统引导区的内容为依据ˇ因而病毒占据该物理位置即可获得控制权ˇ而将真正的引导区内容搬家转移或替换ˇ待病毒程序被执行后ˇ将控制权交给真正的引导区内容ˇ使得这个带病毒的系统看似正常运转ˇ而病毒己隐藏在系统中伺机传染、发作。
有的病毒会潜伏一段时间ˇ 等到它所设置的日期时才发作。 有的则会在发作时在屏幕上ˇ示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件ˇ不然就是ˇ示特定的图形ˇ再不然就是放一段音乐给您听……。病毒发作后ˇ不是摧毁分区表ˇ导致无法启动ˇ就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠ˇ不会破坏硬盘数据ˇ只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中ˇ差别只在于内存中的位置。ˇ所谓“常驻”ˇ是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻ˇ以提高效率ˇ。
引导型病毒按其寄生对ˇ的不同又可分为两类ˇ即MBRˇ主引导区ˇ病毒ˇ BRˇ引导区ˇ病毒。 MBR病毒也称为分区病毒ˇ将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻ˇStonedˇ、2708等。 BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区ˇ即0面0道第1个扇区ˇ。典型的病毒有Brain、 小球病毒等。
顾名思义ˇ文件型病毒主要以感染文件扩展名为 、.EXE和ˇOVL等可执行程序为主。它的安装必须借助于病毒的载体程序ˇ即要运行病毒的载体程序ˇ方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓ˇ甚至完全无法执行。有些文件遭感染后ˇ一执行就会遭到删除。大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长ˇ但用户不一定能用DIR命令列出其感染病毒前的长度。 也有部分病毒是直接改写“受害文件”的程序码ˇ因此感染病毒后文件的长度仍然维持不变。
感染病毒的文件被执行后ˇ病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒ˇ会在每次进行感染的时候ˇ针对其新宿主的状况而编写新的病毒码ˇ然后才进行感染ˇ因此ˇ这种病毒没有固定的病毒码—以扫描病毒码的方式来检测病毒的查毒软件ˇ遇上这种病毒可就一点用都没有了。但反病毒软件随着病毒技术的发展而发展ˇ针对这种病毒ˇ在也有了有效手段。
大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的ˇ若不进行汇编、链接则无法传染扩散。嵌入型病毒是嵌入在程序的中间ˇ它只能针对某个具体程序ˇ如dBASE病毒。 这两类病毒受环境ˇ制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒ˇ这类病毒寄生在宿主程序的前面或后面ˇ并修改程序的第一个执行指令ˇ使病毒先于宿主程序执行ˇ这样随着宿主程序的使用而传染扩散。
文件外壳型病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。
混合型病毒综合系统型和文件型病毒的特性ˇ它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透过这两种方式来感染ˇ更增加了病毒的传染性以及存活率。不管以哪种方式传染ˇ只要中毒就会经开机或执行程序而感染其他的磁盘或文件ˇ此种病毒也是最难杀灭的。
引导型病毒ˇ对文件型病毒来讲ˇ破坏性较大ˇ但为数较少ˇ直到90年代中期ˇ文件型病毒还是最流行的病毒。但近几年情形有所变化ˇ宏病毒后来居上ˇ据美国国家计算机安全协会统计ˇ这位“后起之秀”已占目前全部病毒数量的80ˇ以上。另外ˇ宏病毒还可衍生出各种变形变种病毒ˇ这种“父生子子生孙”的传播方式实在让许多系统防不胜防ˇ这也使宏病毒成为威胁计算机系统的“第一杀手”。
随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及ˇ病毒家族又出ˇ一种新成员ˇ这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档ˇ宏病毒就会被激活ˇ转移到计算机上ˇ并驻留在Normal模板上。从此以后ˇ所有自动保存的文档都会“感染”上这种宏病毒ˇ而且如果其他用户打开了感染病毒的文档ˇ宏病毒又会转移到他的计算机上。
黑客基本入侵手段:
随着黑客活动的日益猖獗ˇ信息安全问题越来越多地被各级政府和网络管理部门提到重要议事日程上来。黑客攻击网络的手段十分丰富ˇ令人防不胜防。分析和研究黑客活动的手段和采用的技术ˇ对我们加强网络安全建议、防止网络犯罪有很好的借鉴作用。本文简要介绍了黑客攻击网络的一般过程以及常用的网络攻击工具。
远程攻击的一般过程
1.收集被攻击方的有关信息ˇ分析被攻击方可能存在的漏洞
黑客首先要确定攻击的目标。在获取目标机及其所在的网络类型后ˇ还需进一步获取有关信息ˇ如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等ˇ根据这些信息进行分析ˇ可得到有关被攻击方系统中可能存在的漏洞。如运行一个host命令ˇ可以获得目标网络中有关机器的IP地址信息ˇ还可识别出目标机的操作系统类型。利用WHOIS查询ˇ可了解技术管理人员的名字信息。运行一些Usernet和Web查询可了解有关技术人员是否经常上Usernetˇ等等。
收集有关技术人员的信息是很重要的。系统管理员的职责是维护站点的安全。当他们遇到问题时ˇ有些人会迫不及待地将问题发到Usernet上或邮件列表上寻求解答。而这些邮件中往往有他们的组织结构、网络拓扑和所面临的问题等信息。另外ˇ若一个系统管理员经常在安全邮件列表或论坛中讨论各种安全技术和问题ˇ就说明他有丰富的经验和知识ˇ对安全有深入的了解ˇ并作好了抵御攻击的准备。反之ˇ若一个系统管理员提出的问题是初级的ˇ甚至没有理解某些安全概念ˇ则说明此人经验不丰富。
每个操作系统都有自己的一套漏洞ˇ有些是已知的ˇ有些则需要仔细研究才能发ˇ。而管理员不可能不停地阅读每个平台的安全报告ˇ因此极有可能对某个系统的安全特性掌握的不够。
通过对上述信息的分析ˇ就可以得到对方计算机网络可能存在的漏洞。
2.建立模拟环境ˇ进行模拟攻击ˇ测试对方可能的反应
根据第一步所获得的信息ˇ建立模拟环境ˇ然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志ˇ可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。
3.利用适当的工具进行扫描
收集或编写适当的工具ˇ并在对操作系统分析的基础上ˇ对工具进行评估ˇ判断有哪些漏洞和区域没有覆盖到。然后在尽可能短的时间内对目标进行扫描。完成扫描后ˇ可对所获数据进行分析ˇ发ˇ安全漏洞ˇ如FTP漏洞、NFS输出到未授权程序中、不受ˇ制的X服务器访问、不受ˇ制的调制解调器、Sendmail的漏洞、NIS口令文件访问等。
4.实施攻击
根据己知的漏洞ˇ实施攻击。通过猜测程序可对截获的用户帐号和口令进行破译ˇ利用破译程序可对截获的系统密码文件进行破译ˇ利用网络和系统本身的薄弱环节和安全漏洞可实施电子引诱(如安放特洛伊木马)等等。黑客们或者修改网页进行恶作剧ˇ或破坏系统程序或放病毒使系统ˇ入瘫痪ˇ或窃取政治、军事、商业秘密ˇ或进行电子邮件骚扰或转移资金账户ˇ窃取金钱等等。
常用工具介绍
扫描器
在Internet安全领域ˇ扫描器是最出名的破解工具。所谓扫描器ˇ实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通TCP/IP端口和服务ˇ并记录目标机的回答ˇ以此获得关于目标机的信息。理解和分析这些信息ˇ就可能发ˇ破坏目标机安全性的关键因素。常用的扫描器有很多ˇ有些可以在Internet上免费得到ˇ下面做一简要介绍。
NSS(网络安全扫描器)ˇ是用Perl语言编写的ˇ可执行Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost等常规检查。
Strobe(超级优化TCP端口检测程序)ˇ是一个TCP端口扫描器ˇ可以记录指定机器的所有开放端口ˇ快速识别指定机器上正在运行什么服务ˇ提示什么服务可以被攻击。
SATAN
(安全管理员的网络分析工具)ˇ用于扫描远程主机ˇ发ˇ漏洞。包括ˇFTPD的漏洞和可写的FTP目录、NFS漏洞、NIS漏洞、RSH漏洞、Sendmail、X服务器漏洞等。
Jakalˇ是一个秘密扫描器ˇ它启动但并不完成与目标主机的SYN/ACK过程ˇ因此可以扫描一个区域而不留下任何痕迹ˇ能够避开端口扫描探测器的探测追踪。
IdengTCPscan:是一个更加专业化的扫描器ˇ能够识别指定TCP端口进程的使用者ˇ即能够测出该进程的UIDˇ
CONNECTˇ用于扫描TFTP服务器子网。
FSPScan:用于扫描FSP服务器。
XSCANˇ扫描具有X服务器漏洞的子网或主机。
SAFESuite:是快速、先进、全面的UNIX网络安全扫描器。可以对指定网络执行各种不同的攻击ˇ探测网络环境中特定的安全漏洞ˇ包括ˇSendmail、TFP、NNTP、Telnet、
RPC、NFS等。
扫描器还在不断发展变化ˇ每当发ˇ新的漏洞ˇ检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具ˇ也是维护网络安全的重要工具。系统管理人员必须学会使用扫描器。
口令入侵
所谓的口令入侵ˇ是指破解口令或屏蔽口令保护。但实际上ˇ真正的加密口令是很难逆ˇ破解的。黑客们常用的口令入侵工具所采用的技术是仿真对比ˇ利用与原口令程序ˇ同的方法ˇ通过对比分析ˇ用不同的加密口令去匹配原口令。
Internet上大多数服务器运行的是UNIX或类UNIX操作系统。在UNIX平台上ˇ用户登录ID和口令都存放在etc/passwd中。UNIX以数据加密标准DES为基础ˇ以ID为密钥ˇ对口令进行加密。而加密算法Crypt(3)是公开的。虽然加密算法分开ˇ但目前还没有能够逆ˇ破解其加密信息的方法。
黑客们破解口令的过程大致如下ˇ首先将大量字表中的单词用一定规则进行变换ˇ再用加密算法进行加密。看是否与/etc/passwd文件中加密口令ˇ匹配者ˇ若有ˇ则口令很可能被破解。单词变换的规则一般有ˇ大小写交替使用ˇ把单词正ˇ、反ˇ拼写后ˇ接在一起(如cannac)ˇ在每个单词的开头和/或结尾加上数字1等等。同时ˇ在Internet上有许多字表可用。如果用户选择口令不恰当ˇ口令落入了字表库ˇ黑客们获得了/etc/passwd文件ˇ基本上就等于完成了口令破解任务。
特洛依木马(trojan horse)
所谓特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出ˇˇ可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能ˇ这些功能可以泄漏一些系统的私有信息ˇ或者控制该系统。
特洛依程序表面上是无害的、有用的程序ˇ但实际上潜伏着很大的危ˇ性。如在Wuarchive FTP daemon(ftpd)2.2版中发ˇ有特洛依程序ˇ该特洛依程序允许任何用户(本地的和远端的)以root帐户登录UNIX。这样的特洛依程序可以导致整个系统被侵入ˇ因为首先它很难被发ˇ。在它被发ˇ之前ˇ可能已经存在几个星期甚至几个月了。其次在这段时间内ˇ具备了root权ˇ的入侵者ˇ可以将系统按照他的需要进行修改。这样即使这个特洛依程序被发ˇ了ˇ在系统中也留下了系统管理员可能没有注意到的漏洞。
网络嗅探器(Sniffer)
Sniffer用来截获网络上传输的信息ˇ用在以太网或其它共ˇ传输介质的网络上。放置Snifferˇ可使网络接口处于广播状态ˇ从而截获网上传输的信息。利用Sniffer可截获口令、秘密的和专有的信息ˇ用来攻击ˇ邻的网络。Sniffer的威胁还在于被攻击方无法发ˇ。Sniffer是被动的程序ˇ本身在网络上不留下任何痕迹。 常用的Sniffer有ˇGobbler、ETHLOAD、Netman、Esniff.c、Linux Sniffer.c、NitWitc等等。
破坏系统
常见的破坏装置有邮件炸弹和病毒等。其中邮件炸弹的危害性较小ˇ而病毒的危害性则很大。
邮件炸弹是指不停地将无用信息传送给攻击方ˇ填满对方的邮件信ˇˇ使其无法接收有用信息。另外ˇ邮件炸弹也可以导致邮件服务器的拒绝服务。常用的Eˇmail炸弹有ˇUpYours、KaBoom、Avalanche、Unabomber、eXtreme Mail、Homicide、Bombtrack、FlameThrower等。
病毒程序与特洛依程序有明ˇ的不同。特洛依程序是静态的程序ˇ存在于另一个无害的被信任的程序之中。特洛依程序会执行一些未经授权的功能ˇ如把口令文件传递给攻击者ˇ或给他提供一个后门。攻击者通过这个后门可以进入那台主机ˇ并获得控制系统的权力。
病毒程序则具有自我复制的功能ˇ它的目的就是感染计算机。在任何时候病毒程序都是清醒的ˇ监视着系统的活动。一旦系统的活动满足了一定的条件ˇ病毒就活跃起来ˇ把自己复制到那个活动的程序中去。
黑客基本术语简介ˇ
什么是TCP/IP
是一种网络通信协议ˇ他规范了网络上所有的通信设备ˇ尤其是一个主机与另一个主机之间的数据往来格式以及传送方式.ˇTCP/IP是INTERNET的基础协议ˇ也是一种电脑数据打包和寻址的标准方法.在数据传诵中ˇ可以形ˇ地理解为两个信封ˇTCP和IP就ˇ是信封ˇ要传递的信息被划为若干段ˇ每一段塞入一个TCP信封ˇ并在该信封面上记录有分段号的信息ˇ再将TCP信封塞入IP大信封ˇ发送上网.
什么是路由器
路由器应该是在网络上使用最高的设备之一了ˇ它的主要作用就是路由选路ˇ将IP数据包正确的送到目的地ˇ因此也叫IP路由器.
什么是蜜罐
好比是情报收集系统.蜜罐好ˇ是故意让人攻击的目标ˇ引诱黑客来攻击ˇ所有攻击者入侵后ˇ你就可以知道他是如何得逞的ˇ随时了解针对你的服务器发动的最新的攻击和漏洞.还可以通过窃听黑客之间的联系ˇ收集黑客所用的种种工具ˇ并且掌握他们的社交网络.
什么是拒绝服务攻击
DOS是DENIAL OF SERVICE的简称ˇ即拒绝服务ˇ造成DOS的攻击行为被称为DOS攻击ˇ其目的是使计算机或网络无法正常服务ˇ最常见的DOS攻击有计算机网络宽带攻击和连通性攻击ˇ连通性攻击指用大量的连接请求冲击计算机ˇ使得所有可用的操作系统资源被ˇ耗ˇ最终计算机无法再处理合法用户的请求.
什么是脚本注入攻击(SQL INJECTION)
所谓脚本注入攻击者把SQL命令插入到WEB表单的输入域或也面请求的查学字符串ˇ欺骗服务器执行恶意的SQL命令ˇ在某些表单中ˇ用户输入的内容直接用来构造动态的SQL命令ˇ或作为存储过程的输入参数ˇ这类表单特别容易受到SQL注入式攻击.
什么是防火墙?它是如何确保网络安全的
使用防火墙ˇFirewallˇ是一种确保网络安全的方法。防火墙是指设置在不同网络ˇ如可信任的企业内部网和不可信的公共网ˇ或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口ˇ能根据企业的安全政策控制ˇ允许、拒绝、监测ˇ出入网络的信息流ˇ且本身具有较强的抗攻击能力。它是提供信息安全服务ˇ实ˇ网络和信息安全的基础设施。
什么是后门?为什么会存在后门ˇ
后门ˇBack Doorˇ是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段ˇ程序员常会在软件内创建后门以便可以修改程序中的缺ˇ。如果后门被其他人知道ˇ或是在发布软件之前没有删除ˇ那么它就成了安全隐患。
什么叫入侵检测
入侵检测是防火墙的合理补充ˇ帮助系统对付网络攻击ˇ扩展系统管理员的安全管理能力ˇ包括安全审计、监视、进攻识别和ˇ应ˇˇ提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息ˇ并分析这些信息ˇ检查网络中是否有违反安全策略的行为和遭到袭击的迹ˇ
什么叫数据包监测ˇ它有什么作用
数据包监测可以被认为是一根窃听电话ˇ在计算机网络中的等价物。当某人在“监听”网络时ˇ他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页ˇ这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据ˇ而数据包监测工具就允许某人截获数据并且查看它。
在这里值得一题的是ˇ美国的落山基级骇动力潜艇就有几艘专们用于海底电缆的数据监听。特别是太平洋。
什么是NIDS
NIDS是Network Intrusion Detection System的缩写ˇ即网络入侵检测系统ˇ主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种ˇ一种是在目标主机上运行以监测其本身的通信信息ˇ另一种是在一台单独的机器上运行以监测所有网络设备的通信信息ˇ比如Hub、路由器。
什么叫SYN包
TCP连接的第一个包ˇ非常小的一种数据包。SYN攻击包括大量此类的包ˇ由于这些包看上去来自实际不存在的站点ˇ因此无法有效进行处理。
加密技术是指什么
加密技术是最常用的安全保密手段ˇ利用技术手段把重要的数据变为乱码ˇ加密ˇ传送ˇ到达目的地后再用ˇ同或不同的手段还原ˇ解密ˇ。
加密技术包括两个元素ˇ算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字ˇ密钥ˇ结合ˇ产生不可理解的密文的步骤ˇ密钥是用来对数据进行编码和解密的一种算法。在安全保密中ˇ可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
局域网内部的ARP攻击是指什么
ARP协议的基本功能就是通过目标设备的IP地址ˇ查询目标设备的MAC地址ˇ以保证通信的进行。
基于ARP协议的这一工作特性ˇ黑客ˇ对方计算机不断发送有欺诈性质的ARP数据包ˇ数据包内包含有与当前设备重复的Mac地址ˇ使对方在回应报文时ˇ由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下ˇ受到ARP攻击的计算机会出ˇ两种ˇˇ:
1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2.计算机不能正常上网ˇ出ˇ网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的ˇ所以防火墙会误以为是正常的请求数据包ˇ不予拦截。因此普通的防火墙很难抵挡这种攻击。
什么叫欺骗攻击?它有哪些攻击方式
网络欺骗的技术主要有:HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗ˇ通过指定路由ˇ以假冒身份与其他主机进行合法通信或发送假报文ˇ使受攻击主机出ˇ错误动作ˇ、地址欺骗ˇ包括伪造源地址和伪造中间站点ˇ等。
嗅探
计算机网络的共ˇ通讯道的ˇ支持每对通讯计算机独占通道的交换机/集ˇ器仍然过于昂贵ˇ共ˇ意为着计算机能够接收到发送给其他计算机的信息ˇ捕获在网络中传输的数据信息就称为嗅探.
木马
全称为特洛伊木马(Trojan Horse)ˇ是根据希腊神话传说中一次战争而得名。麦尼劳斯派兵讨伐特洛伊国王ˇ他们假装打败ˇ然后留下一个大木马ˇ而木马里却藏着最强悍的勇士ˇ最后等晚上时间一到ˇ木马里的勇士就冲出来把敌人打败了。这就是后来的”木马计”ˇ而黑客中的木马有点后门的意思ˇ就是把预谋的功能隐藏在公开的功能里ˇ掩饰真正的企图。
肉鸡
已经被攻击了ˇ对其具有控制权的主机。
跳板
一个具有辅助作用的机器ˇ利用这个主机作为一个间接工具ˇ来入侵其他主机ˇ一般和肉鸡连用。
弱口令
所谓弱口令也就是指密码与用户名ˇ同ˇ密码为空的用户名与密码组合ˇ也包括那些密码强度不够ˇ容易被猜解的组合ˇ一般专业认识不会犯这种错误。
权ˇ
计算机用户对于文件及目录的建立ˇ修改ˇ删除以及对于某些服务的访问ˇ程序的执行ˇ是以权ˇ的形式来严格区分的.被赋予了ˇ应的权ˇˇ就可以进行ˇ应的操作ˇ否则就不可以.
溢出
程序在处理我们提交给它的数据时ˇ有的时候忘了检查数据的大小与合法性ˇ那么这些数据可能会超过属于自己的地盘ˇ覆盖到其它数据的盘.如果这些超长数据被精心的策划构造的话ˇ可能会被黑客去执行任意命令.打个比喻来说ˇwindows系统是一个人ˇ会一杯一杯喝我们给它准备的水ˇ其中有一个杯子太小了ˇ我们倒入了大量的水它就会溢出到别的杯子里去ˇ而溢出到别的杯子里的东西我们事先可以设计好ˇ而系统并不知道ˇ这以为这本来就是那个杯子里的东西ˇ于是我们可以完成一定的任务.
端口
要网络上ˇ知道一台电脑的ip地址ˇ只是ˇ当于知道了它的居住地址ˇ要和它进行通信ˇ我们还要知道它开了哪些端口ˇ比如说我们到一家医院ˇ挂号要到1号窗口ˇ划价要到2号窗口ˇ取药要到3号窗口.那么与计算机的通信也是一样的ˇ要上qqˇ你得登陆到腾讯服务器的8000端口ˇ要浏览x档案的论坛ˇ你得与其80端口进行联系ˇ要ftp登陆空间ˇ传输文件ˇ我们又得服务器的21端口连接了.可以说ˇ端口就是一种数据的传输通道ˇ用于接收某些数据ˇ然后传给ˇ应的服务ˇ而电脑将这些数据处理后ˇ再将ˇ应的回复通过端口传给对方.
ip地址
internet上的电脑有许多ˇ为了让他们能够ˇ互识别ˇinternet上的每一台主机都分配有一个唯一的32位地址ˇ该地址称为ip地址ˇ也称作网际地址ˇip地址由4个数值部分组成ˇ每个数值部分可取值0-255ˇ各部分之间用一个‘.‘分开.
ARP
地址解析协议(Address Resolution Protocol)
此协议将网络地址映射到硬件地址。
RARP
反ˇ地址解析协议(Reverse Address Resolution Protocol)
此协议将硬件地址映射到网络地址
UDP
用户数据报协议(User Datagram Protocol)
这是提供给用户进程的无连接协议ˇ用于传送数据而不执行正确性检查。
FTP
文件传输协议(File Transfer Protocol)
允许用户以文件操作的方式ˇ文件的增、删、改、查、传送等ˇ与另一主机ˇ互通信。
**TP
简单邮件传送协议(Simple Mail Transfer Protocol)
**TP协议为系统之间传送电子邮件。
TELNET
终端协议(Telnet Terminal Procotol)
允许用户以虚终端方式访问远程主机
HTTP
超文本传输协议(Hypertext Transfer Procotol)
TFTP
简单文件传输协议(Trivial File Transfer Protocol)
Shell
Shell就是系统于用户的交换式界面。简单来说ˇ就是系统与用户的一个沟通环境ˇ我们平时用到的DOS就是一个Shell(Win2K或cmd.exe)。
Root
Unix里最高权ˇ的用户ˇ也就是超级管理员。
Admin
WindowsNT/2K/XP里最高权ˇ的用户ˇ也就是超级管理员。
Rootshell
通过一个溢出程序ˇ在主机溢出一个具有Root权ˇ的Shell。
Exploit
溢出程序。Exploit里通常包含一些Shellcode。
Shellcode
溢出攻击要调用的函数ˇ溢出后要一个交换式界面进行操作。所以说就有了Shellcode。
Acces Control list(ACL)
访问控制列表。
Address Resolution Protocol(ARP)
地址解析协议。
Administrator account
管理员帐号。
ARPANET
阿帕网(Internet的简称)。
access token
访问令牌。
adaptive speed leveling
自适应速度等级调整。
algorithm
算法alias别名。
anlpasswd
一种与PASSWD+ˇ似的代理密码检查器。
applicatlons
应用程序异步传递模式。
accout lockout
帐号封锁。
accout policies
记帐策略。
accounts
帐号。
adapter
适配器。
WAP攻击
黑客们在网络上疯狂肆虐之后ˇ又将“触角”伸ˇ了WAPˇ无ˇ应用协议的英文简写ˇˇ继而WAP成为了他们的又一个攻击目标。“WAP攻击”主要是指攻击WAP服务器ˇ使启用了WAP服务的手机无法接收正常信息。由于目前WAP无ˇ网络的安全机制并非ˇ当严密ˇ因而这一领域将受到越来越多黑客的“染指”。ˇ在ˇ我们使用的手机绝大部分都已支持WAP上网ˇ而手机的WAP功能则需要专门的WAP服务器来支持ˇ若是黑客们发ˇ了WAP服务器的安全漏洞ˇ就可以编制出针对该WAP服务器的病毒ˇ并对其进行攻击ˇ从而影ˇ到WAP服务器的正常工作ˇ使WAP手机无法接收到正常的网络信息。
ICMP协议
ICMPˇ全称是Internet Control Message Protocolˇ即Internet控制ˇ息协议ˇ用于在IP主机、路由器之间传递控制ˇ息ˇ包括网络通不通、主机是否可达、路由是否可用等网络本身的ˇ息。例如ˇ我们在检测网络通不通时常会使用Ping命令ˇPing执行操作的过程就是ICMP协议工作的过程。“ICMP协议”对于网络安全有着极其重要的意义ˇ其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。例如ˇ曾经轰动一时的海信主页被黑事件就是以ICMP攻击为主的。由于操作系统规定ICMP数据包最大尺寸不超过64KBˇ因而如果ˇ目标主机发送超过64KB上ˇ的数据包ˇ该主机就会出ˇ内存分配错误ˇ进而导致系统耗费大量的资源处理ˇ疲于奔命ˇ最终瘫痪、死机。
时间戳
“时间戳”是个听起来有些玄乎但实际上ˇ当通俗易懂的名词ˇ我们查看系统中的文件属性ˇ其中ˇ示的创建、修改、访问时间就是该文件的时间戳。对于大多数一般用户而言ˇ通过修改“时间戳”也许只是为了方便管理文件等原因而掩饰文件操作记录。但对于应用数字时间戳技术的用户就并非这么“简单”了ˇ这里的“时间戳”ˇtime-stampˇ是一个经加密后形成的凭证文档ˇ是数字签名技术的一种变种应用。在电子商务交易文件中ˇ利用数字时间戳服务ˇDTSˇdigita1 time stamp serviceˇ能够对提供电子文件的日期和时间信息进行安全保护ˇ以防止被商业对手等有不良企图的人伪造和串改的关键性内容。
MySQL数据库
我们在黑客文章中常会看到针对“MySQL数据库”的攻击ˇ但很多朋友却对其不大了解。“MySQL数据库”之所以应用范围如此广泛ˇ是由于它是一款免费的开放源代码的多用户、多ˇ程的跨平台关系型数据库系统ˇ也可称得上是目前运行速度最快的SQL语言数据库。“MySQL数据库”提供了面ˇC、C++、Java等编程语言的编程接口ˇ尤其是它与PHP的组合更是黄金搭档。“MySQL数据库”采用的是客户机/服务器结构的形式ˇ它由一个服务器守护程序Mysqld和很多不同的客户程序和库组成。但若是配置不当ˇ“MySQL数据库”就可能会受到攻击ˇ例如若是设置本地用户拥有对库文件读权ˇˇ那么入侵者只要获取“MySQL数据库”的目录ˇ将其复制本机数据目录下就能访问进而窃取数据库内容。
MD5验证
MD5ˇ全称是message-digest algorithm 5ˇ的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”为一种保密的格式。它的典型应用是对一段信息ˇmessageˇ产生信息摘要ˇmessage-digestˇˇ以防止被篡改。通俗地说MD5码就是个验证码ˇ就ˇ我们的个人身份证一样ˇ每个人的都是不一样的。MD5码是每个文件的唯一校验码ˇMD5不区分大小写ˇ但由于MD5码有128位之多ˇ所以任意信息之间具有ˇ同MD5码的可能性非常之低ˇ通常被认为是不可能的ˇˇ凭借此特性常被用于密码的加密存储、数字签名及文件完整性验证等功能。通过MD5验证即可检查文件的正确性ˇ例如可以校验出下载文件中是否被捆绑有其它第三方软件或木马、后门ˇ若是校验结果不正确就说明原文件已被人擅自串改ˇ。
上传漏洞
这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗ˇ利用上传漏洞可以直接得到WEBSHELLˇ危害等级超级高ˇˇ在的入侵中上传漏洞也是常见的漏洞。
怎样利用ˇ在网站的地址栏中网址后加上/upfile.asp如果ˇ示“上传格式不正确[重新上传]”这样的字样就是有上传漏洞了ˇ找个可以上传的工具直接可以得到WEBSHELL。
工具介绍ˇ上传工具ˇ老兵的上传工具、DOMAIN3.5ˇ这两个软件都可以达到上传的目的ˇ用NC也可以提交。
WEBSHELL是什么:其实WEBSHELL并不什么深奥的东西ˇ是个WEB的权ˇˇ可以管理WEBˇ修改主页内容等权ˇˇ但是并没有什么特别高的权ˇˇ(这个看管理员的设置了)一般修改别人主页大多都需要这个权ˇˇ接触过WEB木马的朋友可能知道ˇ比如老兵的站长助手就是WEB木马ˇ海阳2006也是WEB木马ˇ。我们上传漏洞最终传的就是这个东西ˇ有时碰到权ˇ设置不好的服务器可以通过WEBSHELL得到最高权ˇ。
暴库
这个漏洞ˇ在很少见了ˇ但是还有许多站点有这个漏洞可以利用ˇ暴库就是提交字符得到数据库文件ˇ得到了数据库文件我们就直接有了站点的前台或者后台的权ˇ了。
暴库方法ˇ比如一个站的地址为 http://www.xxx/dispbbs.asp?boardID=7&ID=161ˇ我门就可以把/dispbbs中间的/换成%5cˇ如果有漏洞直接得到数据库的绝对路径ˇ用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://www.xxx/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径ˇ注意ˇ这里的/也要换成%5cˇ。
为什么换成%5cˇ因为在ASCII码里/等于%5cˇ有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了ˇ为什么我暴出的数据库文件是以。ASP结尾
的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。
注入漏洞
这个漏洞是ˇ在应用最广泛ˇ杀伤力也很大的漏洞ˇ可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的ˇ可以得到管理员的帐号密码等ˇ关资料。
怎样利用ˇ我先介绍下怎样找漏洞比如这个网址 http://www.xxx/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看
如果ˇ示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞ˇ知道了站点
有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具ˇ在工具比较多ˇNBSI、NDSI、啊D、DOMAIN等ˇˇ都可以用来猜解帐号密码ˇ因为是菜鸟接触ˇ我还是建议大家用工具ˇ手工比较烦琐。
旁注
我们入侵某站时可能这个站坚固的无懈可击ˇ我们可以找下和这个站同一服务器的站点ˇ然后在利用这个站点用提权ˇ嗅探等方法来入侵我们要入侵的站点。打个形ˇ的比喻ˇ比
如你和我一个楼ˇ我家很安全ˇ而你家呢ˇ却漏洞百出ˇˇ在有个贼ˇ入侵我家ˇ他对我家做了监视ˇ也就是扫描ˇˇ发ˇ没有什么可以利用的东西ˇ那么这个贼发ˇ你家和我家
一个楼ˇ你家很容易就进去了ˇ他可以先进入你家ˇ然后通过你家得到整个楼的钥匙ˇ系统权ˇˇˇ这样就自然得到我的钥匙了ˇ就可以进入我的家ˇ网站ˇ。
工具介绍ˇ还是名小子的DOMIAN3.5不错的东西ˇ可以检测注入ˇ可以旁注ˇ还可以上传!
COOKIE诈骗
许多人不知道什么是COOKIEˇCOOKIE是你上网时由网站所为你发送的值记录了你的一些资料ˇ比如IPˇ姓名什么的。
怎样诈骗呢ˇ如果我们ˇ在已经知道了XX站管理员的站号和MD5密码了ˇ但是破解不出来密码ˇMD5是加密后的一个16位的密码ˇ。我们就可以用COOKIE诈骗来实ˇˇ把自己的ID修
改成管理员的ˇMD5密码也修改成他的ˇ有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的ˇ系统以为你就是管理员了。
防火墙系统。
IDS入侵检测---ˇ在一般有成品软件卖58xs8.com