黑客攻防――蘑菇课堂课件

好好奇奇型型：许多少年黑客往往是这方面的代表，他们年龄不大，社会经验少，思想性格还不很成熟，缺乏社会约束力，在充分自由的网络环境中无法辨别自己行为的正确性，凭一时的兴趣、好奇潜入一些不该进入的网站，甚至获取了高度机密的资料，更有甚者对网站或网络造成破坏，而他们的内心实际上却是非常的单纯，不是好奇就是好玩而已。功功利利型型：指那些想在网络上一举成名者，他们专门选择一些比较著名的网站进行攻击，制造混乱，惟恐天下不乱，以便自己名扬天下。对于功利型黑客可以区分为求名与求利两种，求利又可分为利己与利人两种。前一种为了自己的某种利益，比如盗取银行账号与密码，窃取不义之财；后一种为某种利益，受他人指使，或为某种政治目的对别的网站进行攻击。黑客的分类黑客的分类仇仇恨恨型型：这类人往往处于嫉妒心理或是因某网站对自己的利益造成某种损害或威胁而采取的攻击行动，造成别的网站无法访问或瘫痪。恶作剧型：这类黑客的数量也许是最多的，也是最常见的。喜爱进入他人的电脑和网站中，或增加一些内容，如加入一则笑话以娱乐人或自娱；或者进入他人网址，将他人主页上的资料、信息做些更改。政治型：由于某种政治利益的需要，一些国家和政府利用黑客侵入他人的网络，窃取国家和军事机密信息。黑客的分类黑客的分类制造矛盾型：这种网络黑客不法进入他人网站后，或修改他人的电子函件，或修改他人的商业合同，或修改生产厂家的商品生产日期，或修改他人的订货数量、品种，从而使他人产生各种各样的矛盾或纠纷。甚至于还有些网络黑客破坏他人的商业交易，并借此机会了解双方商谈之协议价格，从而趁机渔利。杀手型：杀手型：这种网络黑客就一点也不客气了。他们非法进入他人网站后，或者将他人的重要文件、资料全部删除，或者涂改、删除他人的重要电子函件（如商品订货单），或者将病毒载入他人网络网站中，使其网络无法正常运行。他们每到一处，都搞得鸡犬不宁，引起一场灾难。黑客的分类黑客的分类黑客精神黑客精神要成为一名好的黑客，需要具备四种基本素质：要成为一名好的黑客，需要具备四种基本素质：“Free”Free”精神、精神、探索与创新精神、反传统精神和合作精神。探索与创新精神、反传统精神和合作精神。1 1、“Free”(Free”(自由、免费自由、免费)的精神：的精神：需要在网络上和本国以及国际上一些高手进行广泛的交流，并有一种奉献精神，将自己的心得和编写的工具和其他黑客共享。2 2、探索与创新的精神：、探索与创新的精神：所有的黑客都是喜欢探索软件程序奥秘的人。他们探索程序与系统的漏洞，在发现问题的同时会提出解决问题的方法。3 3、反传统的精神：、反传统的精神：找出系统漏洞，并策划相关的手段利用该漏洞进行攻击，这是黑客永恒的工作主题，而所有的系统在没有发现漏洞之前，都号称是安全的。4 4、合作的精神：、合作的精神：成功的一次入侵和攻击，在目前的形式下，单靠一个人的力量已经没有办法完成了，通常需要数人，数百人的通力协作才能完成任务，互联网提供了不同国家黑客交流合作的平台。黑客十二则条守黑客十二则条守 任何职业都有相关的职业道德，一名黑客同样有职业道德，任何职业都有相关的职业道德，一名黑客同样有职业道德，一些守则是必须遵守的，不让会给自己招来麻烦。一些守则是必须遵守的，不让会给自己招来麻烦。1 1、不要恶意破坏任何的系统，这样做只会给你带来麻烦。、不要恶意破坏任何的系统，这样做只会给你带来麻烦。2 2、不要破坏别人的软件和资料。、不要破坏别人的软件和资料。3 3、不要修改任何系统文件，如果是因为进入系统的需要而、不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在目的达到后将他改回原状。修改了系统文件，请在目的达到后将他改回原状。4 4、不要轻易的将你要黑的或者黑过的站点告诉你不信任的、不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。朋友。5 5、在发表黑客文章时不要用你的真实名字。、在发表黑客文章时不要用你的真实名字。黑客十二则条守黑客十二则条守 6 6、正在入侵的时候，不要随意离开你的电脑。、正在入侵的时候，不要随意离开你的电脑。7 7、不要入侵或破坏政府机关的主机。、不要入侵或破坏政府机关的主机。8 8、将你的笔记放在安全的地方。、将你的笔记放在安全的地方。9 9、已侵入的电脑中的账号不得清除或修改。、已侵入的电脑中的账号不得清除或修改。1010、可以为隐藏自己的侵入而作一些修改，但要尽量保持原、可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开。系统的安全性，不能因为得到系统的控制权而将门户大开。1111、不要做一些无聊、单调并且愚蠢的重复性工作。、不要做一些无聊、单调并且愚蠢的重复性工作。1212、做真正的黑客，读遍所有有关系统安全或系统漏洞的文、做真正的黑客，读遍所有有关系统安全或系统漏洞的文档。档。黑客的行为发展趋势黑客的行为发展趋势 1黑客组织化2黑客技术的工具化、智能化（1 1）黑客开发的工具。）黑客开发的工具。（2 2）很多网络安全工具可以当作黑客工具来使用，）很多网络安全工具可以当作黑客工具来使用，同样是扫描器，网络管理员可以用它来检查系统漏同样是扫描器，网络管理员可以用它来检查系统漏洞，防患于未然，黑客也可以用它来寻找攻击入口，洞，防患于未然，黑客也可以用它来寻找攻击入口，为实施攻击做好准备，另外还有很多常用的网络工为实施攻击做好准备，另外还有很多常用的网络工具也能当作黑客工具来用，如具也能当作黑客工具来用，如TelnetTelnet、FtpFtp等等。等等。主要表现在以下主要表现在以下3 3个方面。个方面。（1 1）反检测技术）反检测技术攻击者采用了能够隐藏攻击工具的技术，这使得安全专家通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。（2 2）动态行为）动态行为以前的攻击工具按照预定的单一步骤发起进攻，现在的自动攻击工具能够按照不同的方法更改它们的特征，如随机选择预定的决策路径，或者通过入侵者直接控制。（3 3）攻击工具的模块化）攻击工具的模块化黑客的行为发展趋势黑客的行为发展趋势 3.2 常见的网络攻击常见的网络攻击1.1.黑客攻击的主要原因黑客攻击的主要原因 漏洞漏洞 漏洞又称缺陷。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可使攻击者能够在未授权的情况下访问或破坏系统。造成漏洞的原因分析如下：1）计算机网络协议本身的缺陷。2）系统开发的缺陷。3）系统配置不当。4）系统安全管理中的问题。2.2.黑客入侵通道黑客入侵通道 端口端口 计算机通过端口实现与外部通信的连接，黑客攻击是将计算机通过端口实现与外部通信的连接，黑客攻击是将系统和网络设置中的各种端口作为系统和网络设置中的各种端口作为入侵通道入侵通道。这里所指的端口。这里所指的端口是逻辑意义上的端口，是是逻辑意义上的端口，是指网络中面向连接服务和无连接服务指网络中面向连接服务和无连接服务的通信协议端口（的通信协议端口（Protocol portProtocol port），），是一种抽象的软件结构，是一种抽象的软件结构，包括一些数据结构和包括一些数据结构和I/OI/O（输入（输入/输出）缓冲区。输出）缓冲区。端口号：端口号：端口通过端口号标记（只有整数），范围：端口通过端口号标记（只有整数），范围：065535（216-1）目的端口号：目的端口号：用来通知传输层协议将数据送给哪个软件来处用来通知传输层协议将数据送给哪个软件来处 理。理。源端口号：源端口号：一般是由操作系统自己动态生成的一个从一般是由操作系统自己动态生成的一个从1024 65535的号码。的号码。3.2 常见的网络攻击常见的网络攻击 3.3.端口分类端口分类 按端口号分布可分为按端口号分布可分为三段三段：1）公认端口公认端口(01023)，又称常用端口，为已经公认定义或，又称常用端口，为已经公认定义或 为将要公为将要公认定义的软件保留的。这些端口紧密绑定一些服务且明确表示了某种服认定义的软件保留的。这些端口紧密绑定一些服务且明确表示了某种服务协议。如务协议。如80端口表示端口表示HTTP协议。协议。2）注册端口注册端口(102449151)，又称保留端口，又称保留端口,这些端口松散绑定一些这些端口松散绑定一些服务。服务。3）动态动态/私有端口（私有端口（4915265535)。理论上不应为服务器分配这些端。理论上不应为服务器分配这些端口。口。按协议类型将端口划分为按协议类型将端口划分为TCP和和UDP端口：端口：1）TCP端口是指传输控制协议端口，需要在客户端和服务器之间建立端口是指传输控制协议端口，需要在客户端和服务器之间建立连接，提供可靠的数据传输。如连接，提供可靠的数据传输。如Telnet服务的服务的23端口。端口。2）UDP端口是指用户数据包协议端口，不需要在客户端和服务器之间端口是指用户数据包协议端口，不需要在客户端和服务器之间建立连接。常见的端口有建立连接。常见的端口有DNS服务的服务的53端口。端口。3.2 常见的网络攻击常见的网络攻击3.2.1 攻击的目的攻击的目的黑客攻击目的黑客攻击目的：为了得到：为了得到物质物质利益，为了满足利益，为了满足精神精神需求。需求。1.1.获取保密信息获取保密信息2.2.破坏网络信息的完整性破坏网络信息的完整性3.3.攻击网络的可用性攻击网络的可用性4.4.改变网络运行的可控性改变网络运行的可控性5.5.逃避责任逃避责任3.2.2 攻击分类攻击分类1.1.口令窃取口令窃取2.2.缺陷和后门缺陷和后门3.3.鉴别失败鉴别失败4.4.协议失败协议失败5.5.信息泄露信息泄露6.6.欺骗攻击欺骗攻击7.7.拒绝服务拒绝服务3.2.3 留后门与痕迹的防范方法留后门与痕迹的防范方法1.1.留后门的防范留后门的防范2.2.清痕迹防范清痕迹防范n彻底删除文件n删除文件记录n隐藏文档内容n清除临时文件n清除网页访问历史纪录黑客攻击流程图黑客攻击流程图 黑客攻击的步骤黑客攻击的步骤 黑客攻击步骤变幻莫测，但其整个攻击过程有一定规律，一黑客攻击步骤变幻莫测，但其整个攻击过程有一定规律，一般可分为般可分为“攻击五部曲攻击五部曲”。黑客攻击的步骤黑客攻击的步骤隐藏隐藏IP踩点扫描踩点扫描黑客利用程序的漏洞进入系统后安黑客利用程序的漏洞进入系统后安装后门程序，以便日后可以不被察装后门程序，以便日后可以不被察觉地再次进入系统。觉地再次进入系统。就是隐藏黑客的就是隐藏黑客的位置位置，以免被发现。，以免被发现。主要是通过各种途径对所要攻击的目标进行主要是通过各种途径对所要攻击的目标进行多方了解，确保信息准确，确定攻击时间和多方了解，确保信息准确，确定攻击时间和地点。地点。获得特权获得特权种植后门种植后门隐身退出隐身退出即获得管理权限。即获得管理权限。黑客一旦确认自己是安全的，就开始黑客一旦确认自己是安全的，就开始侵袭网络，为了避免被发现，黑客在侵袭网络，为了避免被发现，黑客在入侵完毕后会及时清除登录日志以入侵完毕后会及时清除登录日志以 及其他相关日志，隐身退出。及其他相关日志，隐身退出。1 1特洛伊木马特洛伊木马 特洛伊木马特洛伊木马（Trojan horseTrojan horse）将）将隐藏在正常程序中的隐藏在正常程序中的一段恶意代码一段恶意代码称作特洛伊木马。称作特洛伊木马。木马系统组成：木马系统组成：由硬件部分、软件部分和具体连接由硬件部分、软件部分和具体连接部分组成。一般的部分组成。一般的木马程序都包括客户端和服务端两个程木马程序都包括客户端和服务端两个程序序，客户端用于远程控制植入木马，服务器端即是木马程，客户端用于远程控制植入木马，服务器端即是木马程序。序。木马特点：木马特点：伪装成一个实用工具、可爱的游戏，诱伪装成一个实用工具、可爱的游戏，诱使用户将其安装在使用户将其安装在PCPC或者服务器上；侵入用户电脑并进行或者服务器上；侵入用户电脑并进行破坏；没有复制能力；一般木马执行文件非常小，如果把破坏；没有复制能力；一般木马执行文件非常小，如果把木马捆绑到其他正常文件上，你很难发现；木马可以和最木马捆绑到其他正常文件上，你很难发现；木马可以和最新病毒、漏洞利用工具一起使用，几乎可以躲过各大杀毒新病毒、漏洞利用工具一起使用，几乎可以躲过各大杀毒软件。软件。3.3 特洛伊木马攻防特洛伊木马攻防n2 2特洛伊木马攻击过程特洛伊木马攻击过程 木马攻击的基本过程分为木马攻击的基本过程分为6 6个步骤：个步骤：配置配置木马传播木马传播木马运行木马运行木马泄露信息泄露信息建立连接建立连接远程控制远程控制3.3 特洛伊木马攻防特洛伊木马攻防3.3.特洛伊木马程序的防范对策特洛伊木马程序的防范对策 提高防范意识提高防范意识，在打开或下载文件之前，一定要确，在打开或下载文件之前，一定要确认文件的来源是否可靠；阅读认文件的来源是否可靠；阅读readme.txtreadme.txt，并注意，并注意readme.exereadme.exe；使用杀毒软件；使用杀毒软件；发现有不正常现象出现立即发现有不正常现象出现立即挂断挂断；监测系统文件和注册表的变化；备份文件和注册表。监测系统文件和注册表的变化；备份文件和注册表。特别需要注意特别需要注意不要轻易运行来历不明软件或从网上下不要轻易运行来历不明软件或从网上下载的软件（即使通过了一般反病毒软件的检查）；不要轻载的软件（即使通过了一般反病毒软件的检查）；不要轻易相信熟人发来的易相信熟人发来的E-MailE-Mail不会有黑客程序；不要在聊天室不会有黑客程序；不要在聊天室内公开自己的内公开自己的E-Mail E-Mail 地址，对来历不明的地址，对来历不明的E-Mail E-Mail 应立即应立即清除；不要随便下载软件，特别是不可靠的清除；不要随便下载软件，特别是不可靠的FTP FTP 站点；不站点；不要将重要密码和资料存放在上网的计算机中，以免被破坏要将重要密码和资料存放在上网的计算机中，以免被破坏或窃取。或窃取。3.3 特洛伊木马攻防特洛伊木马攻防木马实质上是一种网络病毒，通常作为黑客的主要攻击工具。木马主要目标是窃取计算机和网络上的数据，当然也会破坏计算机文件，木马一旦激活，则后缀为dll、in、exe的文件就是木马攻击的对象，将会给你的计算机和网络以致命的攻击。木马程序不同于一般的病毒程序，通常并不象病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主，还可以对电脑进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、突发性和攻击性。由于木马具有很强的隐蔽性，用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。3.3 木马攻击与分析木马攻击与分析现在网络上流行的木马基本上都采用的是C/S结构（客户端/服务端）。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。也可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入，由于微软的浏览器在执行Script脚本时存在一些漏洞。若要使用木马控制对方的电脑，首先需要在对方的电脑中种植并运行服务端程序，然后再运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。黑客是如何种植木马的黑客是如何种植木马的木马特性木马特性n在任务栏中隐藏在任务栏中隐藏n在任务管理器中隐藏在任务管理器中隐藏n端口端口n隐藏通信隐藏通信n隐藏加载方式隐藏加载方式n最新隐身技术最新隐身技术n具有自动运行性具有自动运行性n具有未公开并且可能产生危险后果功能的程序具有未公开并且可能产生危险后果功能的程序n具备自动恢复功能具备自动恢复功能n能自动打开特别的端口能自动打开特别的端口n功能的特殊性功能的特殊性3.3.3 木马的分类木马的分类1.1.远程控制型远程控制型2.2.密码发送型密码发送型3.3.键盘记录型键盘记录型4.4.DosDos攻击型攻击型5.5.代理木马型代理木马型6.6.FTPFTP木马木马7.7.程序杀手木马程序杀手木马8.8.反弹端口型木马反弹端口型木马9.9.破坏性质的木马破坏性质的木马3.4 木马的攻击防护技术木马的攻击防护技术-种植木马种植木马将服务端程序植入别人的电脑，常见的方法有，通过系统或者软件的漏洞入侵别人的电脑并把木马的服务端程序植入其电脑中；或者通过Email夹带，把服务端作为附件寄给对方；或者把服务端进行伪装后放到自己的共享文件夹，通过P2P软件让网友在毫无防范中下载并运行服务端程序。一种较为简单的E-Mail夹带，以大家经常会看到的Flash动画为例，建立一个文件夹命名为“好看的动画”，在该文件夹里边再建立文件夹“动画.files”，将木马服务端软件放到该文件夹中并假设文件名称为“abc.exe”，再在该文件夹内建立flash文件，在flash文件的第1帧输入文字“您的播放插件不全，单击下边的按钮，再单击“打开”按钮安装插件”，新建一个按钮组件，将其拖到舞台中，打开动作面板，在里边输入“on(press)getURL(动画.)；”，表示当单击该按钮时执行“abc”文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.html”，将刚才制作的动画放到该网页中。平常你下载的网站通常就是一个“.html”文件和一个结尾为“.files”的文件夹，这样构造的原因也是用来迷惑打开者，毕竟没有几个人会去翻“.files”文件夹。现在我们就可以撰写一封新邮件了，将文件夹“好看的动画”压缩成一个文件，放到邮件的附件中，再编写一个诱人的主题。只要对方深信不疑的运行它，并重新启动系统，服务端就种植成功了。成功的给别人植入木马服务端后，就需要耐心等待服务端上线。由于“黑洞2004”采用了反连接技术，所以服务端上线后会自动和客户端进行连接，这时，我们就可以用客户端对服务端进行远程控制。在“黑洞2004”下面的列表中，随便选择一台已经上线的电脑，然后通过界面上的命令按钮就可以对这台电脑进行控制。下面就介绍这些命令按钮的意义和功能。文文件件管管理理：服务端上线以后，你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹，并且支持断点传输。进程程管管理理：查看、刷新、关闭对方的进程，如果发现有杀毒软件或者防火墙，就可以关闭相应的进程，达到保护服务器端程序的目的。窗窗口口管管理理：管理服务端电脑的程序窗口，可以使对方窗口中的程序最大化、最小化、正常关闭等操作，这样就比进程管理更灵活。也可以搞很多恶作剧，比如让对方的某个窗口不停的最大化和最小化。视频监控控和和语音音监听听：如果远程服务端电脑安装有USB摄像头，那么可以通过它来获取图像，并可直接保存为MediaPlay；可以直接播放的Mpeg文件；若对方有麦克风，还可以听到他们的谈话。除了上面介绍的这些功能以外，还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能，操作都非常简单。使用木马使用木马(1)木马的自身保护就像前面提到的，“黑洞2004”在生成服务端的时候，用户可以更换图标，并使用软件UPX对服务端自动进行压缩隐藏。(2)捆绑服务端用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起，达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、ExeBundle等。(3)制作自己的服务端上面提到的这些方法虽然能一时瞒过杀毒软件，但最终还是不能逃脱杀毒软件的查杀，所以若能对现有的木马进行伪装，让杀毒软件无法辨别，则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如Step1中的UPX就是这样一款压缩软件，但默认该软件是按照自身的设置对服务端压缩的，因此得出的结果都相同，很难长时间躲过杀毒软件的检测；而自己对服务端进行压缩，就可以选择不同的选项，压缩出与众不同的服务端来，使杀毒软件很难判断。下面以“冰河”木马为例，简要介绍木马脱壳（解压）、加壳（压缩）的过程。木马的隐藏技术木马的隐藏技术（1）查看开放端口当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的，这样我们就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。例如冰河使用的监听端口是7626，BackOrifice2000使用的监听端口是54320等。假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是中了木马。使用Windows本身自带的netstat命令检测C：netstat-an使用windows2000下的命令行工具fportc：softwareFport.exe使用图形化界面工具ActivePorts这个工具可以监视到电脑所有打开的TCP/IP/UDP端口，还可以显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于WindowsNT/2000/XP平台。木马的检测技术木马的检测技术（2）查看win.ini和system.ini系统配置文件查看win.ini和system.ini文件是否有被修改的地方。例如有的木马通过修改win.ini文件中windows节的“load=，run=”语句进行自动加载。此外可以修改system.ini中的boot节，实 现 木 马 加 载。例 如“妖 之 吻”病 毒，将“Shell=Explorer.exe”（Windows系统的图形界面命令解释器）修改成“Shell=yzw.exe”，在电脑每次启动后就自动运行程序yzw.exe。修 改 的 方 法 是 将“shell=yzw.exe”还 原 为“shell=explorer.exe”就可以了。木马的检测技术木马的检测技术（3）如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处，在Windows资源管理器里的位置是“C：windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserShellFoldersHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerUserShellFoldersHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders检查是否有可疑的启动程序，便很容易查到是否中了木马。在 Windows系 统 下，还 可 以 直 接 运 行 Msconfig命 令 查 看 启 动 程 序 和system.ini、win.ini、autoexec.bat等文件。查看启动程序查看启动程序（4）木马即使再狡猾，它也是一个应用程序，需要进程来执行。可以通过查看系统进程来推断木马是否存在。在Windows NT/XP系统下，按下“Ctrl+Alt+Del”，进入任务管理器，就可看到系统正在运行的全部进程。在Windows下，可以通过Prcview和winproc工具来查看进程。查看进程时，要求你要对系统非常熟悉，对每个系统运行的进程要知道它是做什么用的，这样，若有木马进程正在运行，就很容易看出来哪个是木马程序的活动进程了。查看系统进程查看系统进程（5）木马一旦被加载，一般都会对注册表进行修改。一般来说，木马在注册表中实现加载文件一般是在以下位置：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices查看注册表查看注册表6）上面介绍的是手工检测木马的方法，此外，我们还可以通过各种杀毒软件、防火墙软件和各种木马查杀工具等检测木马。各种杀毒软件主要有：KV3000，Kill3000、瑞星等，防火墙软件主要有国外的Lockdown，国内的天网、金山网镖等，各种木马查杀工具主要有：TheCleaner、木马克星、木马终结者等。使用检测软件使用检测软件检测到电脑中了木马后，就要根据木马的特征来进行清除。查看是否有可疑的启动程序、可疑的进程存在，是否修改了win.ini、system.ini系统配置文件和注册表。如果存在可疑的程序和进程，就按照特定的方法进行清除。（1）删除可疑的启动程序查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，如果存在木马，则除了要查出木马文件并删除外，还要将木马自动启动程序删除。例如Hack.Rbot病毒、后门就会拷贝自身到一些固定的Windows自启动项中：WINDOWSAllUsersStartMenuProgramsStartUpWINNTProfilesAllUsersStartMenuProgramsStartupWINDOWSStartMenuProgramsStartupDocumentsandSettingsAllUsersStartMenuProgramsStartup查看一下这些目录，如果有可疑的启动程序，则将之删除。普通木马的清除技术普通木马的清除技术（2）恢复win.ini和system.ini系统配置文件的原始配置许多病毒会将win.ini和system.ini系统配置文件修改，使之能在系统启动时加载和运行木马程序。例如电脑中了“妖之吻”病毒后，病毒会将system.ini中 的 boot节 的“Shell=Explorer.exe”字 段 修 改 成“Shell=yzw.exe”，清除木马的方法是把system.ini给恢复原始配置，即“Shell=yzw.exe”修改回“Shell=Explorer.exe”，再删除掉病毒文件即可。TROJ_BADTRANS.A病毒，也会更改win.ini以便在下一次重新开机时执行木马程序。主要是将win.ini中的windows节的“Run=”字段修改成“Run=C：%WINDIR%INETD.EXE”字段。执行清除的步骤如下：l 打开win.ini文本文件，将字段“RUN=C：%WINDIR%INETD.EXE”中等号后面的字符删除，仅保留“RUN=”。l 将被TROJ_BADTRANS.A病毒感染的文件删除。普通木马的清除技术普通木马的清除技术（3）停止可疑的系统进程木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序，在对木马进行清除时，当然首先要停掉木马程序的系统进程。例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外，还在进程中运行wuamgrd.exe程序，修改了注册表，以便病毒可随机自启动。若看到有木马程序在进程中运行，则需要马上杀掉该进程，并进行下一步操作，修改注册表和清除木马文件。普通木马的清除技术普通木马的清除技术（4）修改注册表查看注册表，将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门，向注册表的以下地方：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun添加了键值MicrosoftUpdate=wuamgrd.exe，以便病毒可随机自启动。这就需要我们进入注册表，将这个键值给删除。在这里介绍如何清除Hack.Rbot病毒。l 停止wuamgrd.exe进程，这是一个木马程序；l 将Hack.Rbot拷贝到Windows启动项中的启动文件删除；l 将Hack.Rbot添加到注册表中的键值“MicrosoftUpdate”=“wuamgrd.exe”删除；l 手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。普通木马的清除技术普通木马的清除技术(5)使用杀毒软件和木马查杀工具进行木马查杀常用的杀毒软件包括KV3000、瑞星、诺顿等，这些软件对木马的查杀是比较有效的，但是要注意时刻更新病毒库，而且对于一些木马查杀不彻底，在系统重新启动后还会自动加载。此外，你还可以使用TheCleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。这里推荐一款工具Anti-TrojanShield，这是一款享誉欧洲的专业木马侦测、拦截及清除软件。可以在http：/网站下载。普通木马的清除技术普通木马的清除技术(2)木马冰河是用C+Builder写的，清除自己计算机里的服务器端，清除过程如下：l 运行Regedit.exe，打开注册表；l 选择目录至：HKEY_LOCAL_MACHINESoftwreMicrosoftWindowsCurrentVersionRunServicesRUN l 查找并删除“C：WindowsSystem”文件夹下的“kernel32.exe”和“Sysexplr.exe”两个键值；l 关闭Regedit，重新启动计算机；l 删除“C：WindowsSystemkernel32.exe”和“C：WindowsSystemSysexplr.exe”两个文件；l 再次重新启动计算机。3.4.1常见木马常见木马-冰河木马冰河木马清除冰河服务端清除冰河服务端对于你给别人种的服务器端的，记得玩完以后给人家清除掉！对于你给别人种的服务器端的，记得玩完以后给人家清除掉！方法一：方法一：俗话说，解铃还需系铃人。中了冰河，就用它的俗话说，解铃还需系铃人。中了冰河，就用它的控制端来卸载服务端。具体方法：控制端来卸载服务端。具体方法：1 1、启动、启动“冰河冰河”的控制端程序。的控制端程序。2 2、选择、选择“文件文件”-“-“添加主机添加主机”，或者直接点击快接按钮，或者直接点击快接按钮栏的第一个图标栏的第一个图标 。3 3、弹出的对话框中，、弹出的对话框中，“远程主机远程主机”一项，填写自己的一项，填写自己的IPIP。4 4、连接服务端，然后，点击、连接服务端，然后，点击“命令控制台命令控制台”标签。标签。5 5、选择、选择“控制类命令控制类命令”-“-“系统控制系统控制”，在右面的窗口下，在右面的窗口下方，你会发现四个按钮。点击方，你会发现四个按钮。点击“自动卸载自动卸载”，就将冰河的，就将冰河的服务器端清除了。服务器端清除了。n3.13.1以下版本的万能注册码：（使用其他版本冰河时，填在右以下版本的万能注册码：（使用其他版本冰河时，填在右上访问口令里，应用后，连接）上访问口令里，应用后，连接）n2.22.2版：版：Can you speak chinese?Can you speak chinese?n2.22.2版：版：n3.03.0版：版：yzkzeroyzkzeron3.03.0版：版：n3.03.0版：版：yzkzero!yzkzero!n3.1-netbug3.1-netbug版密码版密码:123456!:123456!n2.22.2杀手专版：杀手专版：n2.22.2杀手专版：杀手专版：dzq2000!dzq2000!仅供参考仅供参考监听端口监听端口76267626可更换（范围在可更换（范围在102432768102432768之间）；之间）；清除冰河服务端清除冰河服务端随着网络的普及，硬件和软件的高速发展，网络安全显得日益重要。对于网络中比较流行的木马程序，传播时间比较快，影响比较严重，因此对于木马的防范就更不能疏忽。我们在检测清除木马的同时，还要注意对木马的预防，做到防范于未然。(1)不要随意打开来历不明的邮件 现在许多木马都是通过邮件来传播的，当你收到来历不明的邮件时，请不要打开，应尽快删除。并加强邮件监控系统，拒收垃圾邮件。(2)不要随意下载来历不明的软件 最好是在一些知名的网站下载软件，不要下载和运行那些来历不明的软件。在安装软件的同时最好用杀毒软件查看有没有病毒，之后才进行安装木马的防范技术木马的防范技术 (3)及时修补漏洞和关闭可疑的端口 一般木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。(4)尽量少用共享文件夹 如果必须使用共享文件夹，则最好设置账号和密码保护。注意千万不要将系统目录设置成共享，最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态，这是非常危险的。(5)运行实时监控程序 在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检查。(6)经常升级系统和更新病毒库 经常关注厂商网站的安全公告，这些网站通常都会及时的将漏洞、木马和更新公布出来，并第一时间发布补丁和新的病毒库等。木马的防范技术木马的防范技术一、端口扫描攻防一、端口扫描攻防 端口扫描端口扫描是管理员发现系统的安全漏洞，加强系统的安全是管理员发现系统的安全漏洞，加强系统的安全管理，提高系统安全性能的有效方法。但是，端口扫描也成为管理，提高系统安全性能的有效方法。但是，端口扫描也成为黑客发现获得主机信息的一种最佳手段。黑客发现获得主机信息的一种最佳手段。n1.1.端口扫描及扫描器端口扫描及扫描器 （1 1）端口扫描。端口扫描。使用端口扫描工具（程序）检查目标主机在哪使用端口扫描工具（程序）检查目标主机在哪些端口可以建立些端口可以建立TCP TCP 连接，如果可以建立连接，则说明主机在连接，如果可以建立连接，则说明主机在那个那个端口被监听端口被监听。（2 2）扫描器扫描器。扫描器也称扫描工具或扫描软件，是一种自动检。扫描器也称扫描工具或扫描软件，是一种自动检测远程或本地主机安全性弱点的程序。测远程或本地主机安全性弱点的程序。常用的黑客攻防技术常用的黑客攻防技术2.2.端口扫描方式端口扫描方式 端口扫描的方式有端口扫描的方式有手工命令行方式和扫描器扫描方式手工命令行方式和扫描器扫描方式。手工扫描手工扫描，需要熟悉各种命令，对命令执行后的输出进，需要熟悉各种命令，对命令执行后的输出进行分析。如，行分析。如，PingPing命令、命令、TracertTracert命令、命令、rusersrusers和和fingerfinger命令（后两个是命令（后两个是UnixUnix命令）。命令）。扫描器扫描扫描器扫描，许多扫描软件都有分析数据的功能。如，许多扫描软件都有分析数据的功能。如，SuperScanSuperScan、Angry IP ScannerAngry IP Scanner、X-ScanX-Scan、SAINT SAINT(Security Administrators Integrated Network Tool(Security Administrators Integrated Network Tool，安全管理员集成网络工具，安全管理员集成网络工具)、NmapNmap、TCP connect TCP connect、TCP SYN TCP SYN 等等常用的黑客攻防技术常用的黑客攻防技术二、二、网络监听攻防网络监听攻防 几种方法几种方法可以帮助可以帮助检测或预防网络监听检测或预防网络监听。如。如对于怀疑运行监听程序的机器，可以使用正确的对于怀疑运行监听程序的机器，可以使用正确的IPIP地址和错误的物理地址地址和错误的物理地址pingping，运行监听程序的，运行监听程序的机器会有响应；从逻辑或物理上对网络分段；运机器会有响应；从逻辑或物理上对网络分段；运用用VLAN(VLAN(虚拟局域网虚拟局域网)技术，将以太网通信变为点技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵到点通信，可以防止大部分基于网络监听的入侵等。等。使用软件监听使用软件监听。如：。如：SnifferSniffer软件等软件等 常用的黑客攻防技术常用的黑客攻防技术三、三、密码破解攻防密码破解攻防 1.1.密码破解攻击的方法密码破解攻击的方法 （1 1）通过网络监听非法得到用户口令）通过网络监听非法得到用户口令 （2 2）利用）利用WebWeb页面欺骗页面欺骗 （3 3）强行破解用户口令）强行破解用户口令 （4 4）密码分析的攻击）密码分析的攻击 （5)5)放置木马程序放置木马程序 常用的黑客攻防技术常用的黑客攻防技术四、缓冲区溢出攻防网络监听攻防四、缓冲区溢出攻防网络监听攻防1.1.缓冲区溢出缓冲区溢出 缓冲区溢出缓冲区溢出是指当计算机向缓冲区内填充数据时，超过了是指当计算机向缓冲区内填充数据时，超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。缓冲区本身的容量，溢出的数据覆盖在合法数据上。缓冲区溢出的原理缓冲区溢出的原理。简单地说，缓冲区溢出的原因是由于。简单地说，缓冲区溢出的原因是由于字符串处理函数字符串处理函数(gets,strcpy(gets,strcpy等等)没有对数组的越界加以监视没有对数组的越界加以监视和限制，结果覆盖了老的堆栈数据。和限制，结果覆盖了老的堆栈数据。2.2.缓冲区溢出攻击缓冲区溢出攻击 3 3缓冲区溢出攻击的防范方法缓冲区溢出攻击的防范方法 1 1）编写程序中应该时刻注意的问题。编写程序中应该时刻注意的问题。2 2）改进编译器。改进编译器。3 3）利用人工智能的方法检查输入字段。利用人工智能的方法检查输入字段。4 4）程序指针完整性检查。程序指针完整性检查。常用的黑客攻防技术常用的黑客攻防技术五、拒绝服务攻防五、拒绝服务攻防1.1.拒绝服务攻击拒绝服务攻击 拒绝服务拒绝服务是指通过反复向某个是指通过反复向某个WebWeb站点的设备发送过多的站点的设备发送过多的信息请求信息请求,堵塞该站点上的系统，导致无法完成应有的网络服务。堵塞该站点上的系统，导致无法完成应有的网络服务。拒绝服务按入侵方式可分拒绝服务按入侵方式可分：资源消耗型、配置修改型、物：资源消耗型、配置修改型、物理破坏型以及服务利用型。理破坏型以及服务利用型。拒绝服务攻击拒绝服务攻击（Denial of ServiceDenial of Service，简称，简称DoSDoS），是指黑），是指黑客利用合理的服务请求来占用过多的服务资源，使合法用户无客利用合理的服务请求来占用过多的服务资源，使合法用户无法得到服务的响应，直至瘫痪而停止提供正常的网络服务的攻法得到服务的响应，直至瘫痪而停止提供正常的网络服务的攻击方式。击方式。常用的黑客攻防技术常用的黑客攻防技术分布式拒绝服务攻击分布式拒绝服务攻击（Distributed Denial of Distributed Denial of ServiceService，DDoS)DDoS)，是在传统的，是在传统的DoSDoS攻击基础之上产攻击基础之上产生的一类攻击方式，是指借助于客户生的一类攻击方式，是指借助于客户/服务器技术，服务器技术，将多个计算机联合起来作为攻击平台，对一个或将多个计算机联合起来作为攻击平台，对一个或多个目标发动多个目标发动DoSDoS攻击。攻击。DDoSDDoS攻击的类型攻击的类型。带宽型攻击和应用型攻击。带宽型攻击和应用型攻击。DDoSDDoS攻击的方式攻击的方式。通过使网络过载来干扰甚。通过使网络过载来干扰甚至阻断正常的网络通讯；通过向服务器提交大量至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务请求，使服务器超负荷；阻断某一用户访问服务器；阻断某服务与特定系统或个人的通讯器；阻断某服务与特定系统或个人的通讯常用的黑客攻防技术常用的黑客攻防技术2.2.常见的拒绝服务攻击常见的拒绝服务攻击 1 1）FloodingFlooding攻击。攻击。2 2）SYN floodSYN flood攻击。攻击。3 3）LAND attackLAND attack攻击。攻击。4 4）ICMP floods ICMP floods 是通过向设置不当的路由器发送广播信是通过向设置不当的路由器发送广播信息占息占 用系统资源的做法。用系统资源的做法。5 5）Application level floods Application level floods 主要是针对应用软件层的。主要是针对应用软件层的。4.3 常用的黑客攻防技术常用的黑客攻防技术六、其他攻防技术六、其他攻防技术1.WWW1.WWW的欺骗技术的欺骗技术 WWWWWW的欺骗的欺骗是指黑客篡改访问站点页面内容或将用户要浏览的网是指黑客篡改访问站点页面内容或将用户要浏览的网页页URLURL改写为指向黑客自己的服务器。改写为指向黑客自己的服务器。“网络钓鱼网络钓鱼”（PhishingPhishing）是指利用欺骗性很强、伪造的）是指利用欺骗性很强、伪造的WebWeb站点站点来进行诈骗活动，目的在于钓取用户的账户资料，假冒受害者进行欺来进行诈骗活动，目的在于钓取用户的账户资料，假冒受害者进行欺诈性金融交易，从而获得经济利益。可以被用作网络钓鱼的攻击技术诈性金融交易，从而获得经济利益。可以被用作网络钓鱼的攻击技术有：有：URLURL编码结合钓鱼技术，编码结合钓鱼技术，WebWeb漏洞结合钓鱼技术，伪造漏洞结合钓鱼技术，伪造EmailEmail地址结地址结合钓鱼技术，浏览器漏洞结合钓鱼技术。合钓鱼技术，浏览器漏洞结合钓鱼技术。防范攻击可以分为两个方面防范攻击可以分为两个方面：其一，对钓鱼攻击利用的资源进行：其一，对钓鱼攻击利用的资源进行限制。如限制。如WebWeb漏洞是漏洞是Web Web 服务提供商可以直接修补的；邮件服务商可以服务提供商可以直接修补的；邮件服务商可以使用域名反向解析邮件发送服务器提醒用户是否收到匿名邮件使用域名反向解析邮件发送服务器提醒用户是否收到匿名邮件.；其二，；其二，及时修补漏洞。如浏览器漏洞，大家就必须打上补丁，防御攻击者直及时修补漏洞。如浏览器漏洞，大家就必须打上补丁，防御攻击者直接使用客户端软件漏洞发起钓鱼攻击。各安全软件厂商也可以提供修接使用客户端软件漏洞发起钓鱼攻击。各安全软件厂商也可以提供修补客户端软件漏洞的功能。补客户端软件漏洞的功能。常用的黑客攻防技术常用的黑客攻防技术2.2.电子邮件攻击电子邮件攻击 电子邮件欺骗是电子邮件欺骗是攻击方式之一，攻击方式之一，攻击者佯称攻击者佯称自己为系统管理员，给用户发送邮件要求用户修自己为系统管理员，给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木改口令或在貌似正常的附件中加载病毒或其他木马程序，这类欺骗只要用户提高警惕，一般危害马程序，这类欺骗只要用户提高警惕，一般危害性不是太大。性不是太大。防范电子邮件攻击的方法：防范电子邮件攻击的方法：1)1)解除电子邮件炸弹。解除电子邮件炸弹。2)2)拒收某用户信件方法。拒收某用户信件方法。3 3通过一个节点来攻击其他节点通过一个节点来攻击其他节点 4 4利用缺省帐号进行攻击利用缺省帐号进行攻击 常用的黑客攻防技术常用的黑客攻防技术一、一、防范攻击的策略防范攻击的策略 在在主观上重视主观上重视，客观上客观上积极采取积极采取措施措施。制定规章制度。制定规章制度和管理制度，普及网络安全教育，使用户需要掌握网络安和管理制度，普及网络安全教育，使用户需要掌握网络安全知识和有关的安全策略。全知识和有关的安全策略。在管理上在管理上应当明确安全对象，应当明确安全对象，设置强有力的安全保障体系，按照安全等级保护条例对网设置强有力的安全保障体系，按照安全等级保护条例对网络实施保护与监督。认真制定有针对性的防攻措施，采用络实施保护与监督。认真制定有针对性的防攻措施，采用科学的方法和行之有效的技术手段，有的放矢，在网络中科学的方法和行之有效的技术手段，有的放矢，在网络中层层设防，使每一层都成为一道关卡，从而让攻击者无隙层层设防，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。可钻、无计可使。在技术上在技术上要注重研发新方法，同时还必要注重研发新方法，同时还必须做到未雨稠缪，预防为主，将重要的数据备份（如主机须做到未雨稠缪，预防为主，将重要的数据备份（如主机系统日志）、关闭不用的主机服务端口、终止可疑进程和系统日志）、关闭不用的主机服务端口、终止可疑进程和避免使用危险进程、查询防火墙日志详细记录、修改防火避免使用危险进程、查询防火墙日志详细记录、修改防火墙安全策略等等。墙安全策略等等。防范攻击的策略和措施防范攻击的策略和措施二、防范攻击的措施二、防范攻击的措施1 1）提高安全防范意识。）提高安全防范意识。2 2）及时下载、安装系统补丁程序。）及时下载、安装系统补丁程序。3 3）尽量避免从）尽量避免从InternetInternet下载不知名的软件、游戏程序。下载不知名的软件、游戏程序。4 4）不要随意打开来历不明的电子邮件及文件，不要随便运行不熟悉的人给用户）不要随意打开来历不明的电子邮件及文件，不要随便运行不熟悉的人给用户的程序。的程序。5 5）不随便运行黑客程序，不少这类程序运行时会发出用户的个人信息。）不随便运行黑客程序，不少这类程序运行时会发出用户的个人信息。6 6）在支持）在支持HTMLHTML的的BBSBBS上，如发现提交警告，先看源代码，可能是骗取密码的陷阱上，如发现提交警告，先看源代码，可能是骗取密码的陷阱7 7）设置安全密码。使用字母数字混排，常用的密码设置不同，重要密码最好经）设置安全密码。使用字母数字混排，常用的密码设置不同，重要密码最好经常更换。常更换。8 8）使用防病毒、防黑客等防火墙软件，以阻档外部网络的侵入。）使用防病毒、防黑客等防火墙软件，以阻档外部网络的侵入。9 9）隐藏自已的）隐藏自已的IPIP地址。地址。10)10)切实做好端口防范。安装端口监视程序，另一方面将不用的一些端口关闭。切实做好端口防范。安装端口监视程序，另一方面将不用的一些端口关闭。11)11)加强加强IEIE浏览器对网页的安全防护。浏览器对网页的安全防护。12)12)上网前备份注册表。上网前备份注册表。1313）加强管理。）加强管理。防范攻击的策略和措施防范攻击的策略和措施3.4.2 木马的加壳与脱壳木马的加壳与脱壳n加壳（加密）加壳（加密）n加密壳和压缩壳n脱壳（解密）脱壳（解密）p经常不断地学习,你就什么都知道。你知道得越多,你就越有力量pStudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe写在最后感谢聆听不足之处请大家批评指导Please Criticize And Guide The Shortcomin