本文目录一览:
黑客是什么
据说曾经是个很神秘的词.专门形容计算机高手.在一场”腥风血雨”后,所谓的黑客,慢慢被人知晓.传说中的中国红客联盟与中国黑客联盟及鹰盟十万人,以DDOS(分布式拒绝服务攻击)成功”击跨”了美国重要等机构部门,并且成功的让中国广大媒体无限”崇拜”所谓的红客(其实红客和黑客最大的区别就是没有区别,你们懂得,下面就用黑客统一称呼红客及黑客)。黑客这一群体在所谓的“中美黑客大战”时一战成名,在此之后黑客们的行为就被老老少少所称道,这时黑客这个群体才慢慢的被引起关注。那时黑客一词形容的是:黑客是正义的化身,网络中的高手,并且极其具有爱国意识的计算机高手。此后引起了“黑客热”。许多在现实生活中找不到自我却能因学习“黑客”技术找到自己存在的价值并为其疯狂。推动中国黑客文化发展的不仅仅次于那场中美黑客大战,还有国内抓住商机的“黑客”网站,许多网站中一个名为“华夏黑客联盟”的网站的宣传语就是:推动“黑客”平民化。正因为它们推动了“黑客”平民化的进程,使很多对计算机一窍不通的人也能对所谓的“网络安全”技术有一定的”了解”,中国“黑客”们才能有今天的“名气”。在国外,中国“黑客”是一群极为疯狂的人物,他们可以依靠分布式拒绝服务攻击(DDOS)来瘫痪世界上任何一个国家的计算机中心。为什么?因为我们人比较多。 – -!但在二十一世纪的今天,也就是现在(2011年4月21),所谓的红客与黑客已经成为骂人的词汇。例:你是黑客,你全家都是黑客。红客代表人物:刘庆,DIR溢出创始人,以一张极其丰富的表情的脸及快速跳动的手指,成功忽悠到了全世界数个大国的媒体,并成为中国”红客“代表人物。黑客代表人物:广大新手及骗子,也就是那些自称黑客的家伙以及那些喜欢在IS,YY,AK等众多语音平台还有QQ群中,收徒,讲课的所谓的讲师。这些人有些共同的特点,大家可以通过此来鉴定自己:1.在他们的ID上课时有个制度就是必须改成他们的马甲.2.喜欢收徒弟,钱是第一。3.喜欢打”技术“,动不动问候别人家的女性朋友,不服气就喜欢玩DDOS攻击。4.名字中带黑客一词。例:hacker小东,hacker小西,要不索性名字就写黑客XXX,最可爱的是名字还是繁体还得加上一堆非主流文字。这些是共性,大家可以看看自己玩的圈子有没有类似的人,如果有,远离吧,否则你也会悲剧,因为你能跟这种人玩,你就是个悲剧 – -!以上的他们的行为共性。现在来说说他们的心理共性。装逼很正常,没有人不爱,但是你装到一个境界的话只有两个原因,第一个你特别聪明,第二你特别傻,为什么说聪明呢,因为你知道,只有装出名气了才能忽悠从新手的口袋里忽悠到钱,所以你一直装,而且脸皮特别厚。这种人其实心理已经是扭曲了,其实他们知道自己几斤几两,知道谁是真厉害谁是假的,但是因为生活的压力让他们扭曲的不成人样,不顾人性不顾脸皮,互相忽悠,只要有利益什么都可以。第二种特别傻的,是因为他们在生活中从来没有被认可,再加上对”黑客”技术了解的少,所以他们就一昧的装逼,希望得到别人的认同,当别人特别崇拜他时,他的虚荣心就会得到满足于是就装的更彻底了,但是假如被人揭穿就会爆粗口,这些人的内心是非常脆弱的,大部分是些从没有受到过良好教育及受到不良影响的人。对付第一种人拉黑就好了,跟他扯多余的是没有用的,你招来的只是谩骂,而第二种虽然有救,但是你如果脾气不好,还是别跟他们扯,远离些就好。但是心里不服气怎么办?闭上眼,走人,你要知道一点,现实中无论再怎么牛逼的人物都有人治的了,何况他只是个在网络世界中装逼的呢。好像扯远了,以上只是所谓的”黑客“”红客“光荣史及伪”黑客“们的共性及应对方法。
从与一些朋友的交往中及自身想法体会出以下几点不要做神马黑客的理由。1.选择了”黑客“你就要坚持走下去,半途而废的人永远成不了才,想清楚,把时间花在这里,你也许一辈子无法脱离,因为你将有现实生活恐惧症、宅等一系列行为上问题,你的身体将有各种毛病,例如鼠标手、键盘手、关节、颈椎等等等问题。思想上你无法与现实生活中的人们有共同语言,因为如果你学深了,你会发现你与现实生活格格不入。2.生活中将没有朋友,因为跟大家没有共同话题,在大家眼里你将是个很无趣的人。3.也许你会遭到别人的讨厌,因为有些人的性格注定他喜欢与人交谈,但是由于主要是学”黑客“等早与大家没有共同语言,你只能讲点天花乱坠的东西,让人对你很无奈。4.你的感情将不是很顺利,在感情与计算机,你只能选择一个做你的陪伴者,除非你的女友能理解你。5.你很容易被人误解成电脑高手(维修员),哪家人电脑出了点毛病你都得去修,修不好还得被人鄙视。6.因为大家对”黑客“有很多误解,可能你家长、老师这些关心你却不知道你所做的事情的人对你有误解,假如你的家庭人思想并不是很开放的话你将被误会成一个另类。7.对于工作你只有两种,一种正一种反,正就是被招安或者去一些安全公司工作也许薪水会比较高,但跟反的比你还是差很多的。很多人不知道那些人为什么月入数十万的都有我这边顺便讲解一下。肉鸡:一只一毛,假设某人手上有3个日IP5W的大站,挂马,只要是新网马,一天怎么说也有个10W只,一只1毛,卖给5个人,一共5W,一张DDOS单少则3-4位,多则5位。只要你够牛逼1周10W不成问题,再加上点些广告什么的,钱是哗哗的来。洗号:这个没什么好说的,分游戏。0DAY:这个最深,一些系统级或者一些本地提权远程溢出等,国外黑市6-7位数一个很正常。以上就是流程,最简单的。但是你搞的大,网警也不是吃白饭的。有命赚钱没命花钱就是形容他们。大家都懂得。8.干这行很危险,别说搞安全,除非是授权测试,否则你随意练手都有可能进入法网。在国外只要在电脑里发现黑客软件都可以判你,何况入侵检测呢?9.你的大好时光都将浪费与此,神马浪漫,神马天真都是浮云。10.人总是有极限的,假如你长期在电脑前学习你所谓的”黑客技术“把现实抛弃了,那么最后你也会因现实压力成为上面所说的第一类伪黑客,去做违法的事情,忽悠别人来填饱肚子。我始终相信有始必有终,从哪来终归到哪去,与其在世上干违法的事情,不如多做的好事,信也罢不信也罢,善有善报恶有恶报这是法则,永恒不变,做”黑客“做到最后你连饭都没得吃了,你还学什么呢?看完这些假如你还想是坚定你的想法,就继续往下看吧,看看我说的对不对。1.你已经对生活没有了希望,或者在现实中你已经是个格格不入的人了。2.你学习所谓的”黑客技术“已久,早已没有话题,没有什么朋友,更没有什么知心朋友。3.因为你的高调,对凡事的高调,所以你已经被很多人所鄙视,只有在网络中才能找到归属感。4.暂时不想也没有女友。5.你很乐意被人喜欢,因为你的内心很需要这种荣誉感,被认可的感觉。6.家人或者老师早已不管你,现在你是老大。7.不怕死,迫切需要钱。8.年少自大,认为没人抓的住你。9.你对现实不抱希望,早已放弃,还是比较喜欢网络。10.你没有任何信仰和信念,做事没有分寸,性格很冲动。不知道我说的对吗。呵呵。如果有我上面所说的问题,却不知道该如何解决的朋友,我很忠心的建议你去找找心理医生。不要惊讶,我不是鄙视的意思,假如现在你还认为心理医生是心理有问题的人才去看的话,那你OUT的不是一般严重了,我也不只一次去看过心理医生,我们学校还有开设心理辅导课。所以这没有什么,好的心理医生能帮你校正你的方向,明确自己的目标,释放心理压力,让自己知道该怎么做。其实如果有上面两个或者两个以上的,就要注意了,呵呵。以下是给新手朋友的一些建议:天下虽没有免费的午餐,但真正的黑客精神是共享、自由。跟钱扯上关系的绝对没几毛钱内涵,而且这种人靠不住,属于第一类心里扭曲者。从基础学起把,知其然而不知其所以然根本不叫懂,仅会用工具的属于工具型黑客。但知道原理为了省事才去用工具的才是正道。多交朋友,但对那些只会互相吹捧,互相说什么膜拜你膜拜我的,而从没有从嘴巴里蹦出一句真理的,还是远离吧。不要再自称什么红客黑客了,中国上那些排名前十的黑客到国外特别是些网络技术发达国家,根本排不上前百,国内外的技术差别不是一点点。不要因为一点点东西就骄傲自满。你现在学的,皮毛都不是。!最重要的:记住自己曾失败过,记住自己也曾是新手,不要看不起别人,这样只有两个后果,第一被人鄙视更悲剧的是被人社工了。结束语:做什么都不要做黑客,做黑客的你伤不起啊,有木有!!!慢慢的淡出,常驻九区不听不言不行。曾经有一份真挚的感情放在我的面前,我没有好好的珍惜,却**似的去学黑客。等到失去后,我才后悔莫急!人世间最蛋疼的事莫过于此。如果老天能再给我一次机会的话,我会对很勇敢的说:去***的黑客。如果非要加上一个期限的话,我希望是一万年!黑客神马的都是浮云,如果连感情都放弃了,你还是不要做人了吧。披上一个披风做蝙蝠侠去吧。本文仅献给我曾经所爱的人及所有迷惘的网友
什么叫黑客解释一下
1-1:什么是“黑客”(hacker)
事实上,黑客也就是英文hacker的音译,hacker这个单词源于动词hack,这个词在英语中有“乱砍、劈,砍”之意,还有一个意思是指“受雇于从事艰苦乏味的工作的文人”。hack的一个引申的意思是指“干了一件非常漂亮的事”.在早期的麻省理工学院里,“hacker”有“恶作剧”的意思,尤指那些手法巧妙、技术高明的恶作剧,可见,至少是在早期,黑客这个称谓并无贬义。
“破解不是学习使用一个什么软件,不是按照说明书来操作,它是一种人和人智力的较量,是一种智慧的战争艺术,是一种知识与知识的较量。从本质上讲,学习破解跟学习其他知识一样,都是要下苦功,要靠灵感,要靠自己思考的。”这就是黑客对自己的行为的一种诠释。
1-2:什么是“骇客”(cracker)
骇客是“cracker”的音译,就是“破坏者”的意思。这些人做的事情更多的是破解商业软件、恶意入侵别人的网站并造成损失。
骇客具有与黑客同样的本领,只不过在行事上有些差别而已,这也是人们常常很难分清黑客与骇客的原因之一。
其实,黑客也好、骇客也好,名称只是一种代号而已,应该说他们之间并无绝对的界限,黑客和骇客都是非法入侵者,既然是非法入侵,再去区分什么善意和恶意也没有什么意义,这里要提醒大家的是:无论是善意还是恶意的入侵,都有可能给被入侵者造成一定的损失。
1-3:怎样才算是一名黑客
首先,黑客绝非是自称的,自称为黑客,甚至取了一个与黑客相关的名字,都会遭到真正的黑客的嘲笑。再黑客的圈子里,只有其他的黑客接纳了你,得到其他黑客的认可,你才能算个黑客。
其次,你应该具有一定的创造力,一个仅仅拿着黑客前辈们所编写的黑客软件到处乱试,一旦出现问题却又束手无策的人,绝对称不上是黑客。
此外,一名黑客还应当具又黑客的精神以及黑客的行为,要能够融入黑客们自然形成的黑客文化当中去。当然,最重要的就是:你必须具备黑客所应当有的技能,必须是技术上的行家。并且热衷于解决问题,能无偿地帮助别人。
1-4:黑客行为:
1:(不随便攻击个人用户及站点),作为一个黑客,在找到系统漏洞并侵入的时候,往往都会很小心地避免造成琐事,并且善意地提醒系统管理员,但是在这过程中会有许多因素都是未知的,没有人能肯定最终会是什么结果,因此一个好的黑客是不会随便攻击个人用户及站点的。
2:(多编写一些有用的软件),这些软件都是免费的,但又和一般的共享软件有所不同,因为这些软件的源代码同时也是公开的。
3:(帮助别的黑客测试与调试软件),没有人能写出完全没有一点错误或是不需要改进的完美软件,因而对软件的测试与调试是非常重要的,测试与调试软件甚至会比编写软件更耗费精力,但在黑客的世界中,这或许并算不了什么的,因为在你编写出一个软件后,会有许多其他的黑客热心地帮助你测试与调试。
4:(义务做一些力所能及的事情),黑客们都以探索漏洞与编写程序为乐,但在黑客的圈子里,除了探索漏洞与编写程序外,还有许多其他的杂事,如维护和管理相关的黑客论坛、新闻组以及邮件列表,维持大的软件供应站点,推动RFC和其他技术标准等等,这些事情都需要人来做,但也许并不都是那么令人感到有趣。所以,那些花费大量精力,义务地为网友们整理FAQ、写教程的黑客,以及各黑客站点的站长,在网络上都是令人尊敬的。
5:(洁身自好,不与“骇客”混在一起),真正的黑客总是耻于与“骇客”为伍,黑客不会随意破解商业软件并将其广泛流传,也不会恶意侵入别人的网站并造成损失,黑客的所作所为应当更象是对于网络安全的监督。
1-5:黑客精神
1:(“free”,自由、免费的精神),这是黑客文化的精髓之一,“free”是作为一个黑客所应该具有的态度。作为一个好的黑客,应该主动去发现问题并解决问题,同时还要创造新的东西,相信自由并自愿的互相帮助。黑客们编写的各种黑客软件都是完全免费共享的,甚至连源代码都是公开的,黑客们在帮助你之后,唯一的要求就是在你成长起来以后同样地帮助别人。所以,“free”可以算是黑客的传统精神,也是一个真正的黑客所尽力保持的。
2:(探索与创新的精神),所有的黑客都是喜欢探索软件程序奥秘的人,他们探索着程序与系统的漏洞,并能够从中学到很多知识,在发现问题的同时,他们都会提出解决问题的创新方法。
3:(反传统的精神),反传统的精神在黑客们的身上表现的最明显不过了,不具备这种精神的人,很难想象他会成为一名黑客。而这里的“反传统”主要是指科学技术上的反传统,并不包含任何贬义。黑客们做的最多的事情就是探索与创新,这都需要他们具有反传统的精神,他们的快乐就源于攻破传统的东西。
4:(合作的精神),个人的力量是有限的,黑客们很明白这一点,因此才有了那么多供黑客交流的论坛与新闻组,在技术上保留的人是不可能成为黑客的。
1-5:黑客所必须具备的基本技能:
1:(程序设计基础),毫无疑问,编程是每一个黑客所应该具备的最基本的技能。但是,黑客与程序员又是有所不同的,黑客往往掌握着许多种程序语言的精髓,或者说是弱点与漏洞。并且黑客们是以独立于任何程序语言之上的概括性观念来思考一件程序设计上的问题,汇编语言、C语言都是黑客们应该掌握的。培养这种能力的方法要与常人不同,要多读别人的源代码,好的源代码都是前辈黑客们的作品,同时也要自己试着写程序。
2:(了解并熟悉各种操作系统),Unix之所以如此受到黑客们的重视,并不仅仅因为它最初就是由黑客们编写的,我们知道除了Unix操作系统外还有很多操作系统,但能得到源代码并能任意修改的操作系统只有Unix!更重要的是,Unix是用于网络的操作系统,互连网上有许多主机使用的操作系统都是Unix,至少在目前,互连网还不能没有Unix。因此,许多黑客同时也是一个Unix专家,他们清楚这个操作系统的这个运做过程与基理。除了Unix操作系统外,黑客还必须熟知诸如Liux、Windows、Novell等操作系统,才能使自己做黑客如虎添翼!
3:(全面了解互连网以及网络编程),黑客们所创造出来的东西,在很多领域里都在起着作用,但只有互连网,才是黑客们真正的舞台,作为一名黑客,不懂得使用World Wide Web 与Html是不可思议的,同时,若没有网络编程基础,要做黑客也是苍白无力的。
什么是木马和黑客
Hacker (黑客) , 呵呵~~~~ 我就不用多说什么了,认识我的人都知道.
给你详细讲讲什么叫做木马吧!
木马特洛伊木马(以下简称木马),英文叫做“Trojan horse”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
原 理 篇
基础知识
在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
木马原理
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。
二.传播木马
(1)传播方式:
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式:
鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
(一)修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(二)捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。
(四)定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。
(五)自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。
(六)木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
三.运行木马
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下图:
(1)由触发条件激活木马
触发条件是指启动木马的条件,大致出现在下面八个地方:
1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。
2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。
5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
6.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。
7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
(2)木马运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:
其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。
(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。
(3)4000端口:这是OICQ的通讯端口。
(4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
四.信息泄露:
一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。
从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。
五.建立连接:
这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。
假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。
六.远程控制:
木马连接建立后,控制端端口和木马端口之间将会出现一条通道。
控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
隐形”木马启动方式揭秘
大家所熟知的木马程序一般的启动方式有:加载到“开始”菜单中的“启动”项、记录到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项中,更高级的木马还会注册为系统的“服务”程序,以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。
另一种鲜为人知的启动方式,是在“开始→运行”中执行“Gpedit.msc”。打开“组策略”,可看到“本地计算机策略”中有两个选项:“计算机配置”与“用户配置”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项进行属性设置,选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中输入要自启动的程序的路径,如图所示,单击“确定”按钮就完成了。
添加需要启动的文件面
重新启动计算机,系统在登录时就会自动启动你添加的程序,如果刚才添加的是木马程序,那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的,同样在我们所熟知的注册表项中也是找不到的,所以非常危险。
通过这种方式添加的自启动程序虽然被记录在注册表中,但是不在我们所熟知的注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]项内,而是在册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项。如果你怀疑你的电脑被种了“木马”,可是又找不到它在哪儿,建议你到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项里找找吧,或是进入“组策略”的“在用户登录时运行这些程序”看看有没有启动的程序。
特洛伊木马NetBus v.1.60的中文说明
概 述
此程序是一个遥控管理工具,更是一个在局域网或在全球因特网上同朋友逗乐的软件.
安 装
NetBus包含服务器和客户机部分,服务器必须安装在你想逗乐的人的计算机上.客户机属你掌握,它是控
制目标计算机的好程序.
把NetSever服务器,Patch.exe(可更名),放入目标计算机的任意位置并运行它,缺省时安装在Windows中,
以更开机时自动运行. 把NetSever客户机,装在自己的计算机里.开始NetBus,联结你选择的域名或(IP地
址);如果Patch已在你联结的目标计算机中已运行. 让我们开始逗乐!
注意:你看不到Patch在运行-它Windows开始时自动运行,并隐藏.
Netbus和Patch使用TCP/IP协议.因此,你的地址有域名或IP号.NetBus会用Connect按钮把你和某人联上.
功 能
*弹开/关闭CD-ROM一次或间隔性自动开关.
*显示所选择的图象,如果你没有图像文件的路径,可在Pacth的目录中找.支持BMP和JPG格式.
*交换鼠标按钮-鼠标右键变成鼠标左键的功能.
*开始所选择的应用程序.
*播放所选择的声音文件, 如果你没有声音文件的路径,可在Pacth的目录中找.支持WAV格式.
*点击所选的鼠标坐标,你甚至可你的鼠标在目标计算机中运行.
*在银屏上显示对话框,回答会返回你的计算机中.
*关闭系统,删除用户记录等.
*用缺省网络浏览器,浏览所选择的URL.
*发送键盘输入的信息到目标计算机中的活动应用程序中!
*监视对方的键盘输入的信息,并发回到你的计算机.
*清屏!(连接速度慢时禁用).
*获取目标计算机中的信息.
*上载你的文件到目标计算机中!用此功能,可上载Patch的最新版本.
*增大和减少声音音量.
*记录麦克风的声音,并将声音返回.
*按一次键每次有声音.
*下载和删除目标中的任何文件.你能下载/删除在目标计算机硬盘中所选择的文件.
*键盘禁用功能.
*密码保护管理.
*记录键盘活动
*显示,死机和集中系统中的窗囗.
上述功能一些选项在执行时,(逻辑排异),可能会延迟几秒.
连 接
Connect按钮有个很好的特点,它能扫描NetBus计算机中的IP地址.一旦连接它会停止扫描.IP扫描的
参数是xx.xx.xx.xx+xx,等.
127.0.0.1+15 将扫描IP地址的范围是127.0.0.1到 127.0.0.16
但是木马大多数杀毒软件杀不到,我推荐木马杀客\木马克星.
木马后来会将电脑变成一只"肉鸡",任幕后人控制,只要你连了网,他就可以肆意控制你的主机,只有拔电源才不会被控制.
___________________________________________________________________________________________________________现在网页木马无非有以下几种方式中到你的机器里
1:把木马文件改成BMP文件,然后配合你机器里的DEBUG来还原成EXE,网上存在该木马20%
2:下载一个TXT文件到你机器,然后里面有具体的FTP^-^作,FTP连上他们有木马的机器下载木马,网上存在该木马20%
3:也是最常用的方式,下载一个HTA文件,然后用网页控件解释器来还原木马。该木马在网上存在50%以上
4:采用JS脚本,用VBS脚本来执行木马文件,该型木马偷QQ的比较多,偷传奇的少,大概占10%左右
5:其他方式未知。。。。。。。。。。。。。
现在我们来说防范的方法。。。。。。。。。不要丢金砖
那就是把 windows\system\mshta.exe文件改名,
改成什么自己随便 (s个屁和瘟2000是在system32下)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
还有windows\command\debug.exe和windows\都给改个名字 (或者删除)
一些最新流行的木马 最有效果的防御~~
比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....
假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取) 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马
都很有效果的
经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理 临时文件夹和IE
木马(Trojan)这个名字来源于古希腊传说,它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
防治木马的危害,应该采取以下措施:
第一,安装杀毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
关于黑客
提起黑客,总是那么神秘莫测。在人们眼中,黑客是一群聪明绝顶,精力旺盛的年轻人,一门心思地破译各种密码,以便偷偷地、未经允许地打入政府、企业或他人的计算机系统,窥视他人的隐私。那么,什么是黑客呢?
黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。
另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。
一般认为,黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。正是这些黑客,倡导了一场个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧,例如破解口令(password cracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojan horse)等,都是在这一时期发明的。从事黑客活动的经历,成为后来许多计算机业巨子简历上不可或缺的一部分。例如,苹果公司创始人之一乔布斯就是一个典型的例子。
在60年代,计算机的使用还远未普及,还没有多少存储重要信息的数据库,也谈不上黑客对数据的非法拷贝等问题。到了80、90年代,计算机越来越重要,大型数据库也越来越多,同时,信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为,信息应共享而不应被少数人所垄断,于是将注意力转移到涉及各种机密的信息数据库上。而这时,电脑化空间已私有化,成为个人拥有的财产,社会不能再对黑客行为放任不管,而必须采取行动,利用法律等手段来进行控制。黑客活动受到了空前的打击。
但是,政府和公司的管理者现在越来越多地要求黑客传授给�怯泄氐缒园踩�闹�丁P矶喙�竞驼���挂丫��牒诳臀��羌煅橄低车陌踩�裕�踔粱骨胨�巧杓菩碌谋0补娉獭T诹矫�诳土��⑾滞�肮�旧杓频男庞每ü何锍绦虻娜毕莶⑾蛏探绶⒊龉�嬷�螅��靶拚�巳毕莶⑿�季侔烀��巴�叭毕荽蠼比�钡木喝��切┓⑾趾驼业礁霉�静�分邪踩�┒吹暮诳涂苫?000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。
2,黑客攻击
一些黑客往往回采取一些几种方法,但是我很想说的是,一个优秀的黑客绝不会随便攻击别人的。
1)、获取口令
这又有三种方法:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2)、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3)、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4)、电子邮件攻击
电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5)、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6)、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
7)、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8)、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9)、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。下面为大家介绍4种黑客常用的攻击手段(小编注:密码破解当然也是黑客常用的攻击手段之一)。
后门程序
由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。
信息炸弹
信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。
拒绝服务
又叫分布式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。
网络监听
网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网络监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。
什么是黑客
什么是黑客?
1,黑客的定义 , 提起黑客,总是那么神秘莫测. 提起黑客, 总是那么神秘莫测 . 在人 们眼中,黑客是一群聪明绝顶, 们眼中,黑客是一群聪明绝顶,精力旺 盛的年轻人, 一门心思地破译各种密码, 盛的年轻人, 一门心思地破译各种密码, 以便偷偷地,未经允许地打入政府, 以便偷偷地,未经允许地打入政府,企 业或他人的计算机系统, 业或他人的计算机系统,窥视他人的隐 那么,什么是黑客呢? 私.那么,什么是黑客呢? 黑 客 (hacker) , 源 于 英 语 动 词 hack,意为"劈,砍" 引申为"干了一 ,意为" ,引申为" 件非常漂亮的工作" 件非常漂亮的工作" 在早期麻省理工学 . 院的校园俚语中, 黑客" "恶作剧" 院的校园俚语中, 黑客" " 则有 恶作剧" 之意,尤指手法巧妙, 之意,尤指手法巧妙,技术高明的恶作 在日本《新黑客词典》 剧.在日本《新黑客词典》中,对黑客 的定义是"喜欢探索软件程序奥秘, 的定义是"喜欢探索软件程序奥秘,并 从中增长了其个人才干的人. 从中增长了其个人才干的人.他们不象 绝大多数电脑使用者那样, 绝大多数电脑使用者那样,只规规矩矩 地了解别人指定了解的狭小部分知识. 地了解别人指定了解的狭小部分知识. " 由这些定义中, 由这些定义中,我们还看不出太贬义的 意味. 意味.他们通常具有硬件和软件的高级
1
知识, 知识,并有能力通过创新的方法剖析系 统. 黑客"能使更多的网络趋于完善和 "黑客" 安全,他们以保护网络为目的, 安全,他们以保护网络为目的,而以不 正当侵入为手段找出网络漏洞. 正当侵入为手段找出网络漏洞. 另一种入侵者是那些利用网络漏洞破 坏网络的人. 坏网络的人.他们往往做一些重复的工 如用暴力法破解口令), 作(如用暴力法破解口令 , 如用暴力法破解口令 他们也具备广 泛的电脑知识, 泛的电脑知识,但与黑客不同的是他们 以破坏为目的.这些群体成为"骇客" 以破坏为目的.这些群体成为"骇客" . 当然还有一种人兼于黑客与入侵者之 间. 一般认为,黑客起源于 一般认为,黑客起源于 50 年代麻省理 工学院的实验室中,他们精力充沛, 工学院的实验室中,他们精力充沛,热 衷于解决难题. , 年代, 黑客" 衷于解决难题.60,70 年代, 黑客" " 一词极富褒义, 用于指代那些独立思考, 一词极富褒义, 用于指代那些独立思考, 奉公守法的计算机迷,他们智力超群, 奉公守法的计算机迷,他们智力超群, 对电脑全身心投入, 对电脑全身心投入,从事黑客活动意味 着对计算机的最大潜力进行智力上的自 由探索, 由探索,为电脑技术的发展做出了巨大 贡献.正是这些黑客, 贡献.正是这些黑客,倡导了一场个人 计算机革命, 计算机革命,倡导了现行的计算机开放 式体系结构, 式体系结构,打破了以往计算机技术只
2
掌握在少数人手里的局面, 掌握在少数人手里的局面,开了个人计 算机的先河,提出了" 算机的先河,提出了"计算机为人民所 的观点, 用"的观点,他们是电脑发展史上的英 雄.现在黑客使用的侵入计算机系统的 基 本 技 巧 , 例 如 破 解 口 令 (password cracking), 开天窗 , 开天窗(trapdoor), 走后门 , (backdoor) , 安 放 特 洛 伊 木 马 (Trojan horse)等, 都是在这一时期发明的. 等 都是在这一时期发明的. 从事 黑客活动的经历, 黑客活动的经历,成为后来许多计算机 业巨子简历上不可或缺的一部分. 例如, 业巨子简历上不可或缺的一部分. 例如, 苹果公司创始人之一乔布斯就是一个典 型的例子. 型的例子. 年代, 计算机的使用还远未普及, 在 60 年代, 计算机的使用还远未普及, 还没有多少存储重要信息的数据库, 还没有多少存储重要信息的数据库,也 谈不上黑客对数据的非法拷贝等问题. 谈不上黑客对数据的非法拷贝等问题. 到了 80,90 年代,计算机越来越重要, , 年代,计算机越来越重要, 大型数据库也越来越多,同时, 大型数据库也越来越多,同时,信息越 来越集中在少数人的手里. 来越集中在少数人的手里.这样一场新 时期的"圈地运动" 时期的"圈地运动"引起了黑客们的极 大反感.黑客认为, 大反感.黑客认为,信息应共享而不应 被少数人所垄断, 被少数人所垄断,于是将注意力转移到 涉及各种机密的信息数据库上. 而这时, 涉及各种机密的信息数据库上. 而这时,
3
电脑化空间已私有化, 电脑化空间已私有化,成为个人拥有的 财产, 社会不能再对黑客行为放任不管, 财产, 社会不能再对黑客行为放任不管, 而必须采取行动, 而必须采取行动,利用法律等手段来进 行控制.黑客活动受到了空前的打击. 行控制.黑客活动受到了空前的打击. 但是, 但是 , 政府和公司的管理者现在越来 越多地要求黑客传授给他们有关电脑安 全的知识. 全的知识.许多公司和政府机构已经邀 请黑客为他们检验系统的安全性, 请黑客为他们检验系统的安全性,甚至 还请他们设计新的保安规程. 还请他们设计新的保安规程.在两名黑 客连续发现网景公司设计的信用卡购物 程序的缺陷并向商界发出公告之后, 程序的缺陷并向商界发出公告之后,网 修正了缺陷并宣布举办名为" 景修正了缺陷并宣布举办名为"网景缺 陷大奖赛"的竞赛, 陷大奖赛"的竞赛,那些发现和找到该 公司产品中安全漏洞的黑客可获 1000 美元奖金. 美元奖金.无疑黑客正在对电脑防护技 术的发展作出贡献. 术的发展作出贡献. 2,黑客攻击 , 一 些 黑 客 往 往 回 采 取 一 些 几 种方 但是我很想说的是, 法,但是我很想说的是,一个优秀的黑 客绝不会随便攻击别人的. 客绝不会随便攻击别人的. 1,获取口令 这又有三种方法: 这又有三种方法:一是通过网络监
4
听非法得到用户口令, 听非法得到用户口令,这类方法有一定 的局限性,但危害性极大, 的局限性,但危害性极大,监听者往往 能够获得其所在网段的所有用户账号和 口令,对局域网安全威胁巨大; 口令,对局域网安全威胁巨大;二是在 知道用户的账号后(如电子邮件 如电子邮件@前面 知道用户的账号后 如电子邮件 前面 的部分)利用一些专门软件强行破解用 的部分 利用一些专门软件强行破解用 户口令,这种方法不受网段限制, 户口令,这种方法不受网段限制,但黑 客要有足够的耐心和时间; 客要有足够的耐心和时间;三是在获得 一个服务器上的用户口令文件(此文件 一个服务器上的用户口令文件 此文件 文件)后 成为 Shadow 文件 后,用暴力破解程序 破解用户口令, 破解用户口令,该方法的使用前提是黑 文件. 客获得口令的 Shadow 文件.此方法在 所有方法中危害最大, 所有方法中危害最大,因为它不需要像 第二种方法那样一遍又一遍地尝试登录 服务器, 服务器,而是在本地将加密后的口令与 Shadow 文件中的口令相比较就能非常 容易地破获用户密码, 容易地破获用户密码,尤其对那些弱智 用户(指口令安全系数极低的用户 指口令安全系数极低的用户, 用户 指口令安全系数极低的用户,如某 用户账号为 zys,其口令就是 zys666, , , 666666,或干脆就是 zys 等)更是在短短 , 更是在短短 一两分钟内, 的一两分钟内,甚至几十秒内就可以将 其干掉. 其干掉.
5
2,放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户 的电脑并进行破坏, 的电脑并进行破坏,它常被伪装成工具 程序或者游戏等诱使用户打开带有特洛 伊木马程序的邮件附件或从网上直接下 载,一旦用户打开了这些邮件的附件或 者执行了这些程序之后, 者执行了这些程序之后,它们就会象古 特洛伊人在敌人城外留下的藏满士兵的 木马一样留在自己的电脑中, 木马一样留在自己的电脑中,并在自己 的计算机系统中隐藏一个可以在 windows 启动时悄悄执行的程序.当您 启动时悄悄执行的程序. 连接到因特网上时, 连接到因特网上时,这个程序就会通知 黑客, 地址以及预先设定 黑客, 来报告您的 IP 地址以及预先设定 的端口.黑客在收到这些信息后, 的端口.黑客在收到这些信息后,再利 用这个潜伏在其中的程序, 用这个潜伏在其中的程序,就可以任意 地修改您的计算机的参数设定, 地修改您的计算机的参数设定,复制文 窥视你整个硬盘中的内容等, 件,窥视你整个硬盘中的内容等,从而 达到控制你的计算机的目的 3,WWW 的欺骗技术 在网上用户可以利用 IE 等浏览器 站点的访问, 进行各种各样的 WEB 站点的访问,如 阅读新闻组,咨询产品价格,订阅报纸, 阅读新闻组,咨询产品价格,订阅报纸,
6
电子商务等. 电子商务等.然而一般的用户恐怕不会 想到有这些问题存在: 想到有这些问题存在:正在访问的网页 已经被黑客篡改过, 已经被黑客篡改过,网页上的信息是虚 假的! 假的!例如黑客将用户要浏览的网页的 URL 改写为指向黑客自己的服务器,当 改写为指向黑客自己的服务器, 用户浏览目标网页的时候, 用户浏览目标网页的时候,实际上是向 黑客服务器发出请求 发出请求, 黑客服务器发出请求,那么黑客就可以 达到欺骗的目的了. 达到欺骗的目的了. 4,电子邮件攻击 电 子 邮 件 攻 击 主 要 表 现 为 两 种方 一是电子邮件轰炸和电子邮件" 式:一是电子邮件轰炸和电子邮件"滚 雪球" 也就是通常所说的邮件炸弹, 雪球" 也就是通常所说的邮件炸弹,指 , 的是用伪造的 IP 地址和电子邮件地址 向同一信箱发送数以千计, 向同一信箱发送数以千计,万计甚至无 穷多次的内容相同的垃圾邮件, 穷多次的内容相同的垃圾邮件,致使受 害人邮箱被" 害人邮箱被"炸" 严重者可能会给电子 , 邮件服务器操作系统带来危险, 邮件服务器操作系统带来危险,甚至瘫 二是电子邮件欺骗, 痪;二是电子邮件欺骗,攻击者佯称自 己为系统管理员( 己为系统管理员(邮件地址和系统管理 员完全相同) 员完全相同) 给用户发送邮件要求用户 , 修改口令(口令可能为指定字符串) 修改口令(口令可能为指定字符串)或 在貌似正常的附件中加载病毒或其他木 在貌似正常的附件中加载病毒或其他木
7
马程序(据笔者所知, 马程序(据笔者所知,某些单位的网络 管理员有定期给用户免费发送防火墙升 级程序的义务, 级程序的义务,这为黑客成功地利用该 方法提供了可乘之机) 方法提供了可乘之机) 这类欺骗只要用 , 户提高警惕,一般危害性不是太大. 户提高警惕,一般危害性不是太大. 5,通过一个节点来攻击其他节点 , 黑客在突破一台主机后, 黑客在突破一台主机后,往往以此 主机作为根据地,攻击其他主机(以隐蔽 主机作为根据地,攻击其他主机 以隐蔽 其入侵路径,避免留下蛛丝马迹). 其入侵路径,避免留下蛛丝马迹 .他们 可以使用网络监听方法, 可以使用网络监听方法,尝试攻破同一 网络内的其他主机; 网络内的其他主机; 也可以通过 IP 欺骗 和主机信任关系,攻击其他主机. 和主机信任关系,攻击其他主机.这类 攻击很狡猾, 但由于某些技术很难掌握, 攻击很狡猾, 但由于某些技术很难掌握, 欺骗,因此较少被黑客使用. 如 IP 欺骗,因此较少被黑客使用. 6,网络监听 网络监听是主机的一种工作模式, 网络监听是主机的一种工作模式, 在这种模式下, 在这种模式下,主机可以接受到本网段 在同一条物理通道上传输的所有信息, 在同一条物理通道上传输的所有信息, 而不管这些信息的发送方和接受方是 此时, 谁.此时,如果两台主机进行通信的信 息没有加密, 息没有加密,只要使用某些网络监听工 , 具, 例如 NetXray for windows 95/98/nt,
8
sniffit for linux ,solaries 等就可以轻而 易举地截取包括口令和帐号在内的信息 资料. 资料.虽然网络监听获得的用户帐号和 口令具有一定的局限性, 口令具有一定的局限性,但监听者往往 能够获得其所在网段的所有用户帐号及 口令. 口令. 7,寻找系统漏洞 许多系统都有这样那样的安全漏洞 许多系统都有这样那样的安全漏洞 (Bugs),其中某些是操作系统或应用软 , 件本身具有的, 漏洞, win98 件本身具有的, Sendmail 漏洞, 如 中的共享目录密码验证漏洞和 IE5 漏洞 等,这些漏洞在补丁未被开发出来之前 一般很难防御黑客的破坏, 一般很难防御黑客的破坏,除非你将网 线拔掉; 线拔掉;还有一些漏洞是由于系统管理 员配置错误引起的, 员配置错误引起的,如在网络文件系统 将目录和文件以可写的方式调出, 中,将目录和文件以可写的方式调出, 将未加 Shadow 的用户密码文件以明码 方式存放在某一目录下, 方式存放在某一目录下,这都会给黑客 带来可乘之机,应及时加以修正. 带来可乘之机,应及时加以修正. 8,利用帐号进行攻击 有的黑客会利用操作系统提供的缺 省账户和密码进行攻击, 省账户和密码进行攻击, 例如许多 UNIX
9
等缺省账户(其密 主机都有 FTP 和 Guest 等缺省账户 其密 码和账户名同名),有的甚至没有口令. 码和账户名同名 ,有的甚至没有口令. 黑客用 Unix 操作系统提供的 命令如 Finger 和 Ruser 等收集信息,不断提高 等收集信息, 自己的攻击能力. 自己的攻击能力.这类攻击只要系统管 理员提高警惕, 理员提高警惕,将系统提供的缺省账户 关掉或提醒无口令用户增加口令一般都 能克服. 能克服. 9,偷取特权 利用各种特洛伊木马程序, 利用各种特洛伊木马程序,后门程 序和黑客自己编写的导致缓冲区溢出的 程序进行攻击, 程序进行攻击,前者可使黑客非法获得 对用户机器的完全控制权, 对用户机器的完全控制权,后者可使黑 客获得超级用户的权限, 客获得超级用户的权限,从而拥有对整 个网络的绝对控制权.这种攻击手段, 个网络的绝对控制权.这种攻击手段, 一旦奏效,危害性极大. 一旦奏效,危害性极大.