03網(wǎng)絡(luò)攻擊與防范資料

第3章網(wǎng)絡(luò)攻擊與防范本章內(nèi)容網(wǎng)絡(luò)攻擊概述

3.1信息收集

3.2控制或破壞目標(biāo)系統(tǒng)3.3網(wǎng)絡(luò)后門(mén)技術(shù)

3.4引導(dǎo)案例:目前，網(wǎng)上一些利用“網(wǎng)絡(luò)釣魚(yú)”手法，如建立假冒網(wǎng)站或發(fā)送含有欺詐信息的電子郵件，盜取網(wǎng)上銀行、網(wǎng)上證券或其他電子商務(wù)用戶(hù)的帳戶(hù)密碼，從而竊取用戶(hù)資金,諸如此類(lèi)的違法犯罪活動(dòng)不斷增多。如何識(shí)別網(wǎng)絡(luò)釣魚(yú)網(wǎng)站和網(wǎng)絡(luò)上潛在的威逼？本章將全面提示網(wǎng)絡(luò)攻擊和網(wǎng)站假冒釣魚(yú)技術(shù)的真面目。日志清除技術(shù)3.5網(wǎng)絡(luò)攻擊概述3.1目前網(wǎng)絡(luò)安全領(lǐng)域爭(zhēng)論趨勢(shì)越來(lái)越留意攻防結(jié)合，追求動(dòng)態(tài)安全。形成了兩個(gè)不同的角度和方向:攻擊技術(shù)和防范技術(shù),兩者相輔相成，互為補(bǔ)充。爭(zhēng)論黑客常用的攻擊手段和工具必定為防范技術(shù)供給啟發(fā)和新的思路,利用這些攻擊手段和工具對(duì)網(wǎng)絡(luò)進(jìn)展模擬攻擊,也可以找出目標(biāo)網(wǎng)絡(luò)的漏洞和弱點(diǎn)。3.1.1信息系統(tǒng)的弱點(diǎn)和面臨的威逼信息系統(tǒng)的弱點(diǎn)和漏洞通常指各種操作系統(tǒng)和應(yīng)用軟件由于設(shè)計(jì)的疏忽、配置不當(dāng)或編碼的缺陷造成系統(tǒng)存在可以被黑客利用的“后門(mén)”或“入口”。沒(méi)有確定安全的系統(tǒng)，任何系統(tǒng)都存在漏洞，黑客在攻擊一個(gè)目標(biāo)系統(tǒng)時(shí)，通常先承受各種手段去探測(cè)目標(biāo)系統(tǒng)可能存在的漏洞。假設(shè)操作系統(tǒng)存在漏洞或弱點(diǎn)，往往特殊危急，大局部黑客攻擊都利用了網(wǎng)絡(luò)操作系統(tǒng)的漏洞，如IIS漏洞、UNICODE漏洞、輸入法漏洞等。1.物理威逼偷竊、廢物搜尋、間諜行為和身份識(shí)別錯(cuò)誤。〔1〕偷竊。包括偷竊設(shè)備、偷竊信息和偷竊效勞等內(nèi)容。〔2〕廢物搜尋。在廢物或垃圾箱中搜尋所需要的信息?！?〕間諜行為。為了獵取有價(jià)值的機(jī)密，承受不道德的手段獵取信息的行為?！?〕身份識(shí)別錯(cuò)誤。非法建立文件或記錄，企圖把他們作為有效的、正式生產(chǎn)的文件或記錄?？诹钊μ?，口令破解，算法考慮不周和編輯口令。〔1〕口令圈套。是網(wǎng)絡(luò)安全的一種陰謀，與冒名頂替有關(guān)?！?〕口令破解。就像是猜測(cè)自行車(chē)密碼鎖的數(shù)字組合一樣，在該領(lǐng)域中已形成很多能提高成功率的技巧?！?〕算法考慮不周。在一些攻擊入侵案例中，入侵者承受超長(zhǎng)的字符串破壞了口令算法?！?〕編輯口令。需要依靠操作系統(tǒng)漏洞。2.身份鑒別威逼〔1〕竊聽(tīng)。對(duì)通信過(guò)程進(jìn)展竊聽(tīng)可到達(dá)收集信息的目的，這種電子竊聽(tīng)的竊聽(tīng)設(shè)備不需要確定安裝在電纜上，可以通過(guò)檢測(cè)從連線(xiàn)上放射出來(lái)的電磁輻射就能拾取所要的信號(hào)?！?〕撥號(hào)進(jìn)入。就像是猜測(cè)自行車(chē)密碼鎖的數(shù)字組合一樣，在該領(lǐng)域中已形成很多能提高成功率的技巧。〔3〕冒名頂替。通過(guò)使用被人的密碼和賬號(hào)，獲得對(duì)網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用力氣。3.線(xiàn)纜連接造成的威逼有害程序造成的威逼包括三個(gè)方面：病毒、代碼炸彈和特洛伊木馬。〔1〕病毒一種把自己的拷貝附著于機(jī)器上另一程序上的一段代碼。通過(guò)這種方式，病毒可以進(jìn)展自我復(fù)制，并隨著它所附著的程序在機(jī)器間傳播。〔2〕代碼炸彈一種具有殺傷力的代碼，其原理是一旦到達(dá)設(shè)定的時(shí)間或者條件，代碼炸彈就被觸發(fā)并開(kāi)頭產(chǎn)生破壞性的操作。〔3〕特洛伊木馬這種程序一旦被裝到機(jī)器上，便可按編制者的意圖行事。能夠摧毀數(shù)據(jù)，有時(shí)候偽裝成系統(tǒng)已有的程序創(chuàng)立新的用戶(hù)名和口令。4.有害程序造成的威逼在軟件方面有兩種選擇：一是使用成熟的工具，如Sniffer，X-Scan軟件；二是自己編制程序，如用C、C++等語(yǔ)言編程。編程時(shí)必需生疏兩方面學(xué)問(wèn)；一是兩大主流的操作系統(tǒng)〔UNIX和WINDOWS〕；二是網(wǎng)絡(luò)協(xié)議：TCP、IP、UDP、SMTP、POP、FTP。3.1.2網(wǎng)絡(luò)攻擊的方法及步驟黑客攻擊五部曲1〕隱蔽IP：入侵“肉雞“；做多級(jí)跳“Sock”代理。2〕信息收集：通過(guò)各種途徑對(duì)所要攻擊的目標(biāo)進(jìn)展多方面了解，掃描是信息收集的主要方法，其目的就是利用各種工具在目標(biāo)IP地址或地址段的主機(jī)上查找漏洞。3〕把握或破壞目標(biāo)系統(tǒng)：獵取系統(tǒng)把握權(quán)，到達(dá)攻擊目的。4〕種植后門(mén)：在已經(jīng)攻破的計(jì)算機(jī)上種植一些供自己訪問(wèn)的后門(mén)。5〕在網(wǎng)絡(luò)中隱身。在入侵完畢后需要去除登錄日志及其他相關(guān)日志。信息收集3.2入侵者在攻擊目標(biāo)系統(tǒng)前都會(huì)想方設(shè)法收集盡可能多的信息。無(wú)論目標(biāo)網(wǎng)絡(luò)規(guī)模有多大，安全指數(shù)有多高，只要是人設(shè)計(jì)的網(wǎng)絡(luò)就必定缺陷。事實(shí)上入侵者獲得的信息越多，他們覺(jué)察的缺陷就越多，入侵的可能性就越大。老練的黑客往往花費(fèi)很多時(shí)間，信息收集、篩選、分析、再收集、在篩選、再分析?！皼](méi)有無(wú)用的信息”。常用的信息收集方法：社交工程、DNS查詢(xún)、搜尋引擎搜尋、掃描等。3.2.1社交工程社交工程其實(shí)是一種詐術(shù)，主要通過(guò)人工或網(wǎng)絡(luò)間接獵取攻擊對(duì)象的信息資料〔被攻擊者的個(gè)人資料，所在單位的主要狀況，網(wǎng)絡(luò)使用狀況，可能需要的網(wǎng)絡(luò)拓?fù)鋱D〕。一個(gè)好的社交工程師不要太高的學(xué)歷和技術(shù)水平，只要有把握人心理的力氣。1、端口掃描原理把沒(méi)有開(kāi)啟端口號(hào)的計(jì)算機(jī)看做是一個(gè)密封的房間，密封的房間固然不行能承受外界的訪問(wèn)，當(dāng)系統(tǒng)開(kāi)啟了一個(gè)可以讓外界訪問(wèn)的程序后它自然需要在房間上開(kāi)一個(gè)窗口來(lái)承受來(lái)自外界的訪問(wèn)，這個(gè)窗口就是端口，端口號(hào)是具有網(wǎng)絡(luò)功能的應(yīng)用軟件的標(biāo)識(shí)號(hào)。在端口掃描過(guò)程中，入侵者嘗試與目標(biāo)主機(jī)的某些端口建立連接，假設(shè)有回復(fù)，則說(shuō)明該端口開(kāi)放，即為“活動(dòng)端口”。掃描主機(jī)自動(dòng)向目標(biāo)計(jì)算機(jī)的指定端口發(fā)送SYN數(shù)據(jù)段，表示發(fā)送建立連接懇求。3.2.2端口掃描技術(shù)〔1〕全TCP連接。使用三次握手與目標(biāo)計(jì)算機(jī)建立標(biāo)準(zhǔn)的TCP連接?！?〕半翻開(kāi)式掃描〔SYN掃描〕?！?〕FIN掃描。端口掃描的三種方式2.PortScan端口掃描使用工具軟件PortScan、X-port、SuperScan可以得到對(duì)方計(jì)算機(jī)都開(kāi)放了哪些端口。1.漏洞掃描原理依據(jù)工作模式，漏洞掃描器分為主機(jī)和網(wǎng)絡(luò)漏洞掃描器。網(wǎng)絡(luò)漏洞掃描器通過(guò)遠(yuǎn)程檢測(cè)目標(biāo)主機(jī)TCP/IP不同端口的效勞，記錄目標(biāo)賜予的應(yīng)答來(lái)搜集目標(biāo)主機(jī)上的各種信息，然后與系統(tǒng)的漏洞庫(kù)進(jìn)展匹配，假設(shè)滿(mǎn)足匹配條件，則認(rèn)為安全漏洞存在，或者通過(guò)模擬黑客的攻擊手法對(duì)目標(biāo)主機(jī)進(jìn)展攻擊，假設(shè)模擬攻擊成功，則認(rèn)為安全漏洞存在。3.2.3漏洞掃描主機(jī)漏洞掃描器則通過(guò)在主機(jī)本地的代理程序?qū)ο到y(tǒng)配置、注冊(cè)表、系統(tǒng)日志、文件系統(tǒng)或數(shù)據(jù)庫(kù)活動(dòng)進(jìn)展監(jiān)視掃描，搜集他們的信息，然后與系統(tǒng)的漏洞庫(kù)進(jìn)展比較，假設(shè)滿(mǎn)足匹配條件，則認(rèn)為安全漏洞存在。在匹配原理上，目前漏洞掃描器大都承受基于規(guī)章的匹配技術(shù)。漏洞掃描器通常以三種形式消逝：?jiǎn)我坏膾呙柢浖?、基于C/S模式或B/S模式、其他安全產(chǎn)品組件。2.X-Scan漏洞掃描是一個(gè)完全免費(fèi)的軟件，由安全焦點(diǎn)在2023年公布?！?〕系統(tǒng)要求〔2〕功能介紹承受多線(xiàn)程方式對(duì)指定IP地址段或單機(jī)進(jìn)展安全漏洞檢測(cè)，支持插件功能。掃描的主要內(nèi)容包括：遠(yuǎn)程效勞類(lèi)型、操作系統(tǒng)類(lèi)型和版本、各種弱口令漏洞、后門(mén)、應(yīng)用效勞漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕效勞漏洞等等。X-Scan掃描結(jié)果保存在/log/名目中，index_*.htm為掃描結(jié)果索引文件。X-Scan主界面如圖。可以選擇菜單欄設(shè)置下的菜單項(xiàng)“掃描參數(shù)”，掃描參數(shù)的設(shè)置如圖。下面需要確定掃描主機(jī)的IP地址或者IP地址段，選擇菜單欄設(shè)置下的菜單項(xiàng)“掃描參數(shù)”，如圖設(shè)置完畢后，進(jìn)展漏洞掃描，單擊工具欄上的圖標(biāo)“開(kāi)頭”，掃描結(jié)果如圖。1.網(wǎng)絡(luò)監(jiān)聽(tīng)的技術(shù)原理要讓一臺(tái)主機(jī)實(shí)現(xiàn)監(jiān)聽(tīng)，捕獲在整個(gè)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，可將網(wǎng)卡置于混雜模式，全部的數(shù)據(jù)偵都將被網(wǎng)卡接收并交給上層協(xié)議軟件處理分析。在通常的網(wǎng)絡(luò)環(huán)境下，用戶(hù)的全部信息都是以明文傳輸。網(wǎng)絡(luò)監(jiān)聽(tīng)常常需要監(jiān)聽(tīng)主機(jī)保存大量捕獲到的信息并進(jìn)展大量的整理工作，因此，正在進(jìn)監(jiān)聽(tīng)的機(jī)器對(duì)用戶(hù)的懇求響應(yīng)很慢。要防監(jiān)聽(tīng)，最終使用交換式網(wǎng)絡(luò)或者將傳輸?shù)臄?shù)據(jù)進(jìn)展加密。3.2.4網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)2.Sniffer軟件配置方法如下：〔1〕在進(jìn)展流量捕獲前首先選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)，位置：File/SelectSettings，如圖(2)報(bào)文捕獲功能可以在報(bào)文捕獲面板中進(jìn)展(3)捕獲過(guò)程中，可以通過(guò)查看如圖面板來(lái)查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率?！?〕設(shè)置捕獲條件。有兩種條件，如圖：鏈路層捕獲：按源MAC和目的MAC地址進(jìn)展捕獲，輸入方式為十六進(jìn)制連續(xù)輸入IP層捕獲：按源IP和目的IP進(jìn)展捕獲。輸入方式為點(diǎn)間隔方式，如：。假設(shè)選擇IP層捕獲條件則ARP等報(bào)文將被過(guò)濾掉。如圖。在捕獲偵長(zhǎng)度條件下，可以捕獲等于、小于、大于某個(gè)值的報(bào)文。在錯(cuò)誤偵是否捕獲欄，可以選擇當(dāng)網(wǎng)絡(luò)上消逝某種錯(cuò)誤時(shí)是否捕獲。單擊保存過(guò)濾規(guī)章條件按鈕“Profiles”，可以將當(dāng)前設(shè)置的過(guò)濾規(guī)章進(jìn)展保存，在捕獲主面板中，可以選擇保存的捕獲條件。〔5〕報(bào)文捕獲。在圖的Address下拉列表中，選擇抓包的類(lèi)型為IP。如圖?！?〕報(bào)文捕獲查看。Sniffer軟件供給了強(qiáng)大的分析力氣和解碼功能。對(duì)于捕獲報(bào)文供給了一個(gè)專(zhuān)家分析系統(tǒng)進(jìn)展分析，還有解碼選項(xiàng)及圖形和表格的統(tǒng)計(jì)信息。對(duì)于某項(xiàng)統(tǒng)計(jì)分析，可以雙擊此條件記錄來(lái)查看具體統(tǒng)計(jì)信息且對(duì)于每一項(xiàng)都可以通過(guò)查看幫助來(lái)了解產(chǎn)生的緣由。圖所示為對(duì)捕獲報(bào)文進(jìn)展解碼的顯示，通常分為三局部。通過(guò)前面所描述的各種信息收集和分析技術(shù)，找到目標(biāo)系統(tǒng)的漏洞或弱點(diǎn)后，就可以有針對(duì)性地對(duì)目標(biāo)系統(tǒng)進(jìn)展各種攻擊，對(duì)目標(biāo)系統(tǒng)進(jìn)展攻擊最常見(jiàn)的手段是破解對(duì)方的治理員張?zhí)柣蚶@過(guò)目標(biāo)系統(tǒng)的安全機(jī)制進(jìn)入并把握目標(biāo)系統(tǒng)或讓目標(biāo)系統(tǒng)無(wú)法供給正常的效勞?？刂苹蚱茐哪繕?biāo)系統(tǒng)3.33.3.1密碼破譯技術(shù)1.獵取治理員密碼用戶(hù)登錄以后，全部的用戶(hù)信息都存儲(chǔ)在系統(tǒng)的“winlogon.exe”進(jìn)程中，如以以下圖?？梢岳迷摮绦?qū)?dāng)前登錄用戶(hù)的密碼破解出來(lái)。使用FindPass等工具可以對(duì)該進(jìn)程進(jìn)展解碼，然后將當(dāng)前用戶(hù)的密碼顯示出來(lái)。將FindPass.exe復(fù)制到C盤(pán)根名目，執(zhí)行該程序，將得到當(dāng)前用戶(hù)的登錄名和密碼。窮舉測(cè)試是黑客試圖利用計(jì)算機(jī)去測(cè)試全部可能的口令而破解系統(tǒng)密碼的一種攻擊方式。字典文件為暴力破的解供給了一條捷徑，程序首先通過(guò)掃描得到系統(tǒng)的用戶(hù)，然后利用字典中每一個(gè)密碼來(lái)登錄系統(tǒng)。一個(gè)字典文件本身就是一個(gè)標(biāo)準(zhǔn)的文本文件，其中的每一行就代表一個(gè)可能的密碼。2.窮舉測(cè)試此外，可以先用GetNTUser測(cè)試出目標(biāo)系統(tǒng)中的全部的用戶(hù)，然后設(shè)置好字典文件就可以對(duì)某一用戶(hù)的口令進(jìn)展破解，如圖。現(xiàn)在可以進(jìn)展窮舉測(cè)試的軟件很多，利用它們不僅可以破解操作系統(tǒng)的口令，同時(shí)也可以對(duì)一般軟件系統(tǒng)進(jìn)展口令破解。SMB〔SessionMessageBlock，會(huì)話(huà)消息塊協(xié)議〕又叫做NetBIOS或LanManger協(xié)議，用于不同計(jì)算機(jī)之間文件、打印機(jī)、串口和通信的共享和用于windows平臺(tái)上供給磁盤(pán)和打印機(jī)的共享。3.3.2SMB致命攻擊下面介紹如何利用SMB協(xié)議讓對(duì)方操作系統(tǒng)重新啟動(dòng)或藍(lán)屏。使用的工具軟件是SMBdieV1.0(對(duì)打了SP3\SP4補(bǔ)丁的計(jì)算機(jī)照舊有效,要完整防止攻擊,計(jì)算機(jī)必需打SMB補(bǔ)丁)。攻擊的需要兩個(gè)參數(shù)：對(duì)方的IP地址和機(jī)器名。軟件界面如以以下圖。然后單擊按鈕“Kill”，對(duì)方計(jì)算機(jī)馬上重啟或藍(lán)屏，目標(biāo)系統(tǒng)立刻崩潰。緩沖區(qū)溢出是一種特殊普遍、危急的漏洞，在各種操作系統(tǒng)和應(yīng)用軟件中廣泛存在，利用緩沖區(qū)溢出攻擊可以導(dǎo)致程序運(yùn)行失敗、重新啟動(dòng)等后果。更為嚴(yán)峻是可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)展各種非法操作。3.3.3緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊原理voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}格式化字符串參數(shù)個(gè)數(shù)不固定造成訪問(wèn)越界數(shù)據(jù)intmain(void){inti=1,j=2,k=3;charbuf[]=“test“;printf(“%s%d%d%d\n“,buf,i,j,k);〔printf(“%s%d%d%d\n“,buf,i,j);〕return0;}利用%n格式符寫(xiě)入跳轉(zhuǎn)地址intmain(void){intnum;inti=1,j=2,k=3;printf(“%d%d%d%n\n“,i,j,k,&num);printf(“%d\n“,num);return0;}利用Windows效勞器效勞存在緩沖區(qū)溢出漏洞，遠(yuǎn)程得到有治理員權(quán)限的shell，成功執(zhí)行列出和刪除文件。利用微軟的特定版本的操作系統(tǒng)具有的漏洞進(jìn)展緩沖區(qū)溢出攻擊的，針對(duì)操作系統(tǒng)的這種攻擊是影響范圍最廣、危害程度最大的一類(lèi)攻擊。操作系統(tǒng)由于其簡(jiǎn)潔性和普遍性，國(guó)際上的相關(guān)組織會(huì)定期公布操作系統(tǒng)的相關(guān)漏洞及解決方法，所以預(yù)防此類(lèi)漏洞的方法是要準(zhǔn)時(shí)升級(jí)操作系統(tǒng)的版本，為操作系統(tǒng)打補(bǔ)丁。SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)展攻擊的常用手段之一。由于程序員的水平及閱歷問(wèn)題，很多程序員沒(méi)有推斷用戶(hù)輸入數(shù)據(jù)的合法性，從而存在隱患。用戶(hù)可以提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼，依據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。3.3.4SQL注入攻擊一個(gè)經(jīng)典的SQL注入漏洞首先看一段登錄驗(yàn)證代碼：<%onerrorresumenextifRequest(“name“)<>““andRequest(“psw“)<>““then DataName=“DB.db“ adm=Trim(Request(“name”))/*獵取用戶(hù)名，沒(méi)有經(jīng)過(guò)過(guò)濾*/psw=Trim(Request(“psw“)) setconn=server.CreateObject(“adodb.connection“) connstr=“Provider=Microsoft.jet.oledb.4.0;datasource=“&server.MapPath(DataName) conn.openconnstr setrs=conn.execute(“select*from[ADM]whereadm=‘”&adm&“’andpsw=‘”&psw&“’”)/*把獵取的用戶(hù)名密碼帶入SQL語(yǔ)句中查詢(xún)*/ ifnot(rs.bofandrs.eof)then Response.Write(“登錄成功!“) Response.end endifendif%>初看沒(méi)有什么問(wèn)題，應(yīng)當(dāng)輸入正確的用戶(hù)名密碼才能進(jìn)入得到治理授權(quán)，但是實(shí)際上我們?cè)谟脩?hù)名和密碼那里都填入‘OR’‘=’,一樣會(huì)成功登陸到治理頁(yè)面。為什么呢？我們把填入的‘OR’‘=’帶入查詢(xún)語(yǔ)句來(lái)看才覺(jué)察原來(lái)整個(gè)語(yǔ)句已經(jīng)被構(gòu)造成了：select*fromadminwhereadmin=””O(jiān)R””=””andpassword=””O(jiān)R””=”‘意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時(shí)候整個(gè)查詢(xún)語(yǔ)句就為真。很明顯空等于空，所以語(yǔ)句為真，我們也就滿(mǎn)足了程序的限制條件獲得了治理授權(quán)。這個(gè)漏洞的成因很簡(jiǎn)潔，利用也很簡(jiǎn)潔，但是卻道出了SQL注入技術(shù)的精華所在。那應(yīng)當(dāng)如何來(lái)修補(bǔ)漏洞呢？其實(shí)只需要過(guò)濾掉其中的特殊字符就可以解決問(wèn)題了，這里我們就過(guò)濾掉其中的“‘”，即是把程序接收參數(shù)的兩行改為：

adm=replace(Trim(Request(“name”)),“”“,““)psw=replace(Trim(Request(“psw“)),“”“,““)下面以某個(gè)網(wǎng)站的登錄驗(yàn)證的SQL查詢(xún)代碼為例介紹SQL注入的過(guò)程。該網(wǎng)站由于程序員的疏忽無(wú)視了對(duì)輸入的用戶(hù)名和密碼的長(zhǎng)度的限制和特殊字符串的過(guò)濾。假設(shè)開(kāi)發(fā)該網(wǎng)站的程序員所寫(xiě)的登錄驗(yàn)證的SQL語(yǔ)句為:“SELECT*FROMusersWHERE(name=‘”+userName+”’)and(pw=‘”+passWord+”’);”在該網(wǎng)站登錄的用戶(hù)名和密碼處輸入如下惡意SQL代碼：’ORl=l;在單擊“登錄”按鈕后，會(huì)成功登錄該網(wǎng)站，攻擊成功！為什么僅輸入幾個(gè)奇異的字符就可以成功入侵一個(gè)網(wǎng)站呢？事實(shí)上，在輸入惡意攻擊代碼后，該網(wǎng)站的用戶(hù)身份驗(yàn)證的SQL語(yǔ)句被填為“SELECT*FROMusersWHERE(name=”O(jiān)Rl=l)and(pw=”O(jiān)Rl=l);”也就是實(shí)際上運(yùn)行的SQL命令會(huì)變成下面這樣的：“SELECT*FROMusers；“因此到達(dá)無(wú)帳號(hào)密碼，也可登錄網(wǎng)站。所以SQL注入攻擊被俗稱(chēng)為黑客的填空玩耍。目前有很多特地針對(duì)此項(xiàng)技術(shù)的漏洞掃描軟件和攻擊軟件。SQL注入攻擊的防范與突破目前比較常用的方法有以下四種：(1)在效勞端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)展檢查；(2)封裝客戶(hù)端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯(cuò)信息第一種應(yīng)當(dāng)是最根本的方法，在效勞端處理數(shù)據(jù)之前就進(jìn)展嚴(yán)格的檢查，覺(jué)察非法就不提交給效勞器端處理，返回錯(cuò)誤信息。下面給出一個(gè)網(wǎng)絡(luò)上比較通用的防注腳本。MicrosoftSQLServer2023桌面默認(rèn)配置時(shí)用戶(hù)名是sa，密碼為空，假設(shè)數(shù)據(jù)庫(kù)治理員沒(méi)有準(zhǔn)時(shí)更改默認(rèn)配置或配置時(shí)過(guò)于簡(jiǎn)潔，該漏洞會(huì)被惡意利用。例如，通過(guò)瑞士軍刀等掃描工具，查找到開(kāi)有1433端口的主機(jī)，假設(shè)該主機(jī)承受的是系統(tǒng)默認(rèn)的配置或者數(shù)據(jù)庫(kù)登錄的口令密碼過(guò)于簡(jiǎn)潔則可以成功入侵。通過(guò)sa和空口令，利用相應(yīng)工具獲得了對(duì)方治理員級(jí)權(quán)限的shell，并使用這個(gè)shell上傳、運(yùn)行了文件，說(shuō)明已經(jīng)獲得了對(duì)該機(jī)器的把握權(quán)。該攻擊利用了對(duì)方系統(tǒng)默認(rèn)用戶(hù)假設(shè)口令的漏洞，并且該用戶(hù)具有最高的權(quán)限，使得攻擊者可以通過(guò)該漏洞輕易獲得系統(tǒng)的最高把握權(quán)。3.3.5MicrosoftSQLServer2023假設(shè)口令攻擊世界上第一個(gè)DoS攻擊：1988年11月發(fā)生的Morris蠕蟲(chóng)大事。導(dǎo)致了5000多臺(tái)主機(jī)癱瘓。1999年秋天，CMU大學(xué)的CERT中心公布消逝一種新的攻擊：DDoS。2023年，世界上著名的電子商務(wù)網(wǎng)站：Yahoo、eBay、Amazon、CNN等都遭到了分布式拒絕效勞攻擊。3.3.6拒絕效勞攻擊拒絕效勞攻擊(DoS)：就是利用網(wǎng)絡(luò)協(xié)議本身的漏洞以及操作系統(tǒng)或應(yīng)用程序軟件實(shí)現(xiàn)的漏洞對(duì)計(jì)算機(jī)發(fā)動(dòng)攻擊，使計(jì)算機(jī)無(wú)法正常對(duì)外供給效勞。除了利用各種漏洞進(jìn)展攻擊，拒絕效勞攻擊也可以利用合法的效勞懇求來(lái)占用過(guò)多的效勞資源，使效勞過(guò)載，從而無(wú)法響應(yīng)其他用戶(hù)的合法懇求。這些效勞資源包括網(wǎng)絡(luò)帶寬、系統(tǒng)文件空間、CPU處理力氣、內(nèi)存空間、連接的進(jìn)程數(shù)。目的：使目標(biāo)主機(jī)無(wú)法供給正常的效勞或是使目標(biāo)主機(jī)崩潰。而其他類(lèi)型攻擊的目的都是為了獵取其把握權(quán)。拒絕效勞攻擊是一種廣泛存在的系統(tǒng)攻擊，這種攻擊的目的是使目標(biāo)主機(jī)停頓網(wǎng)絡(luò)效勞，而其他攻擊的目的往往是欲獵取主機(jī)的把握權(quán)。這種攻擊的危急性在于它可以在沒(méi)有獲得主機(jī)的任何權(quán)限的狀況下進(jìn)展，只要主機(jī)連接在網(wǎng)絡(luò)上就可能受到攻擊。攻擊簡(jiǎn)潔、簡(jiǎn)潔到達(dá)目的、難于防止和追查困難1.DDos攻擊方式〔1〕SYN/ACKFlood攻擊。是最有效的經(jīng)典DDos方法，通殺各種系統(tǒng)的網(wǎng)絡(luò)效勞?！?〕TCP全連接攻擊。是為了繞過(guò)常規(guī)防火墻的檢查而設(shè)計(jì)的?！?〕CC攻擊。實(shí)質(zhì)是針對(duì)ASP、PHP、JSP等腳本程序，并調(diào)用MSSQLSERVER、MYSQLSERVER、ORACLE等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的。特征是和效勞器建立正常的TCP連接，并不斷地向腳本程序提交查詢(xún)、列表等大量消耗數(shù)據(jù)庫(kù)資源的調(diào)用，典型的以小搏大的攻擊方法。1.IP哄騙攻擊原理IP哄騙是在效勞器不存在任何漏洞的狀況下，通過(guò)利用TCP/IP協(xié)議本身存在的一些缺陷進(jìn)展攻擊的方法。3.3.7哄騙攻擊IP哄騙攻擊的實(shí)例假設(shè)同一網(wǎng)段內(nèi)有兩臺(tái)主機(jī)A、B，另一網(wǎng)段內(nèi)有主機(jī)X。B授予A某些特權(quán)，X為獲得與A一樣的特權(quán)，所做的哄騙攻擊如下：首先，X冒充A，向主機(jī)B發(fā)送一個(gè)帶有隨機(jī)序列號(hào)的SYN包。主機(jī)B響應(yīng)，回送一個(gè)應(yīng)答包給A，該應(yīng)答號(hào)等于原序列號(hào)加1。假設(shè)此時(shí)主機(jī)A已被主機(jī)X利用拒絕效勞攻擊“漂移了”，導(dǎo)致主機(jī)A效勞失效，結(jié)果是主機(jī)A沒(méi)有收到主機(jī)B發(fā)來(lái)的包。主機(jī)X利用TCP三次握手的漏洞，主動(dòng)向主機(jī)B發(fā)送一個(gè)冒充主機(jī)A的應(yīng)答包，其序列號(hào)等于主機(jī)B向主機(jī)A發(fā)送的序列號(hào)加1。此時(shí)主機(jī)X并不能檢測(cè)到主機(jī)B的數(shù)據(jù)包〔由于不在同一個(gè)網(wǎng)段〕，只有利用TCP挨次號(hào)估算法來(lái)猜測(cè)應(yīng)答包的挨次號(hào)并將其發(fā)送給目標(biāo)主機(jī)B。假設(shè)序列號(hào)正確的話(huà)，B則認(rèn)為收到的ACK來(lái)自?xún)?nèi)部主機(jī)A。此時(shí)X即獲得了主機(jī)A在B上所享有的特權(quán)，并開(kāi)頭對(duì)這些效勞實(shí)施攻擊。2.ARP哄騙攻擊原理ARP〔AddressResolutionProtocol，地址解析協(xié)議〕是一個(gè)位于TCP/IP協(xié)議棧中的底層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。ARP協(xié)議的根本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢(xún)目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)展。ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP哄騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)堵塞，攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中不斷或中間人攻擊。ARP攻擊主要存在于局域網(wǎng)中，局域網(wǎng)中假設(shè)有一臺(tái)主機(jī)感染了ARP木馬，則感染該ARP木馬的機(jī)器將會(huì)試圖通過(guò)“ARP哄騙”手段截獲網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)的通信信息，并因此造成網(wǎng)絡(luò)內(nèi)其他主機(jī)的通信故障。ARP攻擊的實(shí)例〔1〕選擇要攻擊的主機(jī)?！?〕選擇治理方式。〔3〕確認(rèn)無(wú)誤后單擊“開(kāi)頭”按鈕，瞬間被攻擊的主機(jī)就顯示IP地址沖突。如P57圖3-43所示。假設(shè)要對(duì)局域網(wǎng)的網(wǎng)關(guān)進(jìn)展攻擊的話(huà)，則會(huì)影響整個(gè)網(wǎng)絡(luò)上的主機(jī)。此外，“網(wǎng)絡(luò)執(zhí)法官”軟件主要功能是治理和維護(hù)網(wǎng)絡(luò)，而不是惡意破壞，讀者確定要留神使用，不要對(duì)正常上網(wǎng)的主機(jī)產(chǎn)生破壞。為了保持對(duì)就入侵的主機(jī)長(zhǎng)期的把握,需要在主機(jī)上建立網(wǎng)絡(luò)后門(mén),以后可以直接通過(guò)后門(mén)入侵系統(tǒng)，可以通過(guò)建立效勞端口和克隆治理員帳戶(hù)來(lái)實(shí)現(xiàn)。只要能不通過(guò)正常登錄進(jìn)入系統(tǒng)的途徑都稱(chēng)之為網(wǎng)絡(luò)后門(mén)。后門(mén)的好壞取決于被治理員覺(jué)察的概率，只要是不簡(jiǎn)潔被覺(jué)察的后門(mén)都是好后門(mén)。留后門(mén)的原理和選間諜是一樣的，就是讓治理員看了感覺(jué)沒(méi)有任何特殊的。網(wǎng)絡(luò)后門(mén)技術(shù)3.43.4.1后門(mén)技術(shù)1、遠(yuǎn)程啟動(dòng)Telnet效勞利用主機(jī)上的該效勞，有治理員密碼就可以登錄到對(duì)方的命令行，進(jìn)而操作對(duì)方的文件系統(tǒng)。假設(shè)該效勞關(guān)閉，就不能登錄了〔Windows2023Server的該效勞是關(guān)閉的〕?？梢栽谶\(yùn)行窗口中輸入tlntadmn.exe命令啟動(dòng)本地Telnet效勞。在啟動(dòng)的DOS窗口中輸入4，就可以啟動(dòng)本地Telnet效勞了。利用工具RTCS.vbe可以遠(yuǎn)程開(kāi)啟對(duì)方的Telnet效勞，命令語(yǔ)法為：“cscriptRTCS.vbex.x.x.xadministrator123456123”，入侵到對(duì)方主機(jī)并得到治理員口令后，就可以對(duì)主機(jī)進(jìn)展長(zhǎng)期入侵了，但是一個(gè)好的治理員會(huì)每隔半個(gè)月就會(huì)修改一次密碼，這樣入侵就不起作用了。利用軟件Win2kPass.exe記錄修改的新密碼〔在Winnt\temp名目下的Config.ini文件或后綴名為ini的其他文件中〕。該軟件有“自殺“功能，就是當(dāng)執(zhí)行完畢后，自動(dòng)刪除自己。2、記錄治理員口令修改正程３、建立Web效勞和Telnet效勞使用工具軟件wnc.exe可以在對(duì)方的主機(jī)上開(kāi)啟兩個(gè)效勞：Web效勞〔808端口〕和Telnet效勞〔707端口〕。執(zhí)行完畢后，利用命令“netstat-an”來(lái)查看開(kāi)啟的這兩個(gè)端口。效勞端口開(kāi)啟成功后，可以連接該目標(biāo)主機(jī)供給的這兩個(gè)效勞了，如測(cè)試Web效勞的808端口，在掃瞄器地址欄中輸入://x.x.x.x:808，消逝主機(jī)的盤(pán)符列表，即可以到Winnt\temp名目下查看對(duì)方密碼修改記錄文件。終端效勞是WINDOWS操作系統(tǒng)自帶的，可以遠(yuǎn)程通過(guò)圖形界面操縱效勞器。在默認(rèn)的狀況下終端效勞的端口號(hào)是3389。如圖。3.4.2遠(yuǎn)程把握技術(shù)效勞默認(rèn)的端口是3389，可以利用命令“nettat-an”來(lái)查看該端口是否開(kāi)放。如以以下圖。治理員為了遠(yuǎn)程操作便利，效勞器上的該效勞一般都是開(kāi)啟的。這就給黑客們供給一條可遠(yuǎn)程圖形化操作主機(jī)的途徑。利用該效勞，目前使用的有兩種方法連接到對(duì)方主機(jī)：1〕使用Windows2023的遠(yuǎn)程桌面連接工具。2〕使用WindowsXP的遠(yuǎn)程桌面連接工具。木馬來(lái)自于特洛伊木馬(TrojanHorse)。特洛伊木馬是指黑客用來(lái)遠(yuǎn)程把握目標(biāo)計(jì)算機(jī)的特殊程序。但凡非法駐留在目標(biāo)計(jì)算機(jī)里并執(zhí)行預(yù)定的操作，竊取目標(biāo)的私有信息，都屬特洛伊木馬。工作方式：多數(shù)為C/S模式，效勞器端安裝在目標(biāo)機(jī)里，監(jiān)聽(tīng)等待攻擊者發(fā)出的指令；客戶(hù)端是用來(lái)把握目標(biāo)機(jī)器的局部，放在攻擊者機(jī)器上。木馬“PasswdSender”(口令郵差)可以不需要客戶(hù)端。3.4.2木馬技術(shù)木馬的偽裝：冒充圖象文件或玩耍程序；捆綁程序哄騙；將木馬程序與正常文件捆綁為一個(gè)程序；偽裝成應(yīng)用程序擴(kuò)展組件；木馬名字為dll或ocx類(lèi)型文件，掛在一個(gè)知名的軟件中。后兩種方式的哄騙性更大。木馬的特點(diǎn)隱蔽性強(qiáng)：木馬有很強(qiáng)的隱蔽性,在Windows中,假設(shè)某個(gè)程序消逝特殊,用正常的手段不能退出的時(shí)候,實(shí)行的方法是按“Ctrl＋Alt＋Del”鍵,跳出一個(gè)窗口,找到需要終止的程序,然后關(guān)閉它。早期的木馬會(huì)在按“Ctrl＋Alt＋Del”顯露出來(lái),現(xiàn)在大多數(shù)木馬已經(jīng)看不到了。所以只能承受內(nèi)存工具來(lái)看內(nèi)存中是否存在木馬。功能特殊：通常的木馬的功能都是特殊特殊的，除了一般的文件操作以外，還有些木馬具有搜尋cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器人的IP地址、進(jìn)展鍵盤(pán)記錄、遠(yuǎn)程注冊(cè)表的操作、以及鎖定鼠標(biāo)等功能,上面所講的遠(yuǎn)程把握軟件的功能固然不會(huì)有的，究竟遠(yuǎn)程把握軟件是用來(lái)把握遠(yuǎn)程機(jī)器，便利自己操作而已，而不是用來(lái)黑對(duì)方的機(jī)器的。潛伏力氣強(qiáng)：外表上的木馬被覺(jué)察并刪除以后,后備的木馬在確定的條件下會(huì)跳出來(lái)。Glacier(冰河)有兩個(gè)效勞器程序，掛在注冊(cè)表的啟動(dòng)組中的是C:\Windows\System\Kernel32.exe,當(dāng)電腦啟動(dòng)時(shí)裝入內(nèi)存,這是外表上的木馬;另一個(gè)是:\Windows\System\Sysexplr.exe,也在注冊(cè)表中,它修改了文本文件的關(guān)聯(lián),當(dāng)點(diǎn)擊文本文件的時(shí)候,它就啟動(dòng)了,它會(huì)檢查Kernel32.exe是不是存在。當(dāng)Kernel32.exe被刪除以后,假設(shè)點(diǎn)擊了文本文件,那么這個(gè)文本文件照樣運(yùn)行,而Sysexplr.exe被啟動(dòng)了。Sysexplr.exe會(huì)再生成一個(gè)Kernel32.exe。特洛伊木馬啟動(dòng)方式自動(dòng)啟動(dòng)：木馬一般會(huì)存在三個(gè)地方:注冊(cè)表、win.ini、system.ini，由于電腦啟動(dòng)的時(shí)候，需要裝載這三個(gè)文件。在autoexec.bat、config.sys、啟動(dòng)組中易被覺(jué)察。捆綁方式啟動(dòng)：木馬phAse1.0版本和NetBus1.53版本就可以以捆綁方式裝到目標(biāo)電腦上,它可以捆綁到啟動(dòng)程序或一般常用程序上。捆綁方式是一種手動(dòng)的安裝方式。非捆綁方式的木馬由于會(huì)在注冊(cè)表等位置留下痕跡,所以,很簡(jiǎn)潔被覺(jué)察,而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬有很強(qiáng)的隱蔽性。修改文件關(guān)聯(lián)。如用木馬取代notepad.exe來(lái)翻開(kāi)txt文件。木馬效勞器存放位置及文件名木馬的效勞器程序文件一般位置是在c:\windows和c:\windows\system中,由于windows的一些系統(tǒng)文件在這兩個(gè)位置。木馬的文件名總是盡量和windows的系統(tǒng)文件接近,比方木馬SubSeven1.7版本的效勞器文件名是c:\windows\KERNEL16.DL,而windows由一個(gè)系統(tǒng)文件是c:\windows\KERNEL32.DLL,刪除KERNEL32.DLL會(huì)讓機(jī)器癱瘓。常見(jiàn)的簡(jiǎn)潔的木馬有NetBus遠(yuǎn)程把握、“冰河”木馬、PCAnyWhere遠(yuǎn)程把握等。這里介紹一種最常見(jiàn)的木馬程序“冰河”。冰河是國(guó)產(chǎn)的遠(yuǎn)程監(jiān)控軟件，可以運(yùn)行在Windows環(huán)境下。功能可以與木馬BO2023相媲美。冰河的主要功能：1．自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可完全模擬鍵盤(pán)及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤(pán)及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)；2．記錄各種口令信息：包括開(kāi)機(jī)口令、屏?？诹睢⒏鞣N共享資源口令及絕大多數(shù)在對(duì)話(huà)框中消逝過(guò)的口令信息，且1.2以上的版本中允許用戶(hù)對(duì)該功能自行擴(kuò)大，2.0以上版本還同時(shí)供給了擊鍵記錄功能；3．獵取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶(hù)、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示區(qū)分率、物理及規(guī)律磁盤(pán)信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制；5．遠(yuǎn)程文件操作：包括創(chuàng)立、上傳、下載、復(fù)制、刪除文件或名目、文件壓縮、快速掃瞄文本文件、遠(yuǎn)程翻開(kāi)文件〔供給了四中不同的翻開(kāi)方式——正常方式、最大化、最小化和隱蔽方式〕等多項(xiàng)文件操作功能；6．注冊(cè)表操作：包括對(duì)主鍵的掃瞄、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫(xiě)等全部注冊(cè)表操作功能；7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息；8．點(diǎn)對(duì)點(diǎn)通訊：以談天室形式同被控端進(jìn)展在線(xiàn)交談。冰河的主要組成文件冰河2.2正式版共有4個(gè)文件，它們是：G-client.exe 冰河客戶(hù)端程序G-server.exe 效勞器端程序Readme.txt 自述文件Operate.ini 配置文件冰河的主要功能:連接效勞器五、特洛伊木馬首先是連接目標(biāo)效勞器，從菜單中選擇文件添加主機(jī)。填寫(xiě)內(nèi)容：a)

顯示名稱(chēng)：顯示在程序中的名稱(chēng)，只用于便利記憶。b)

主機(jī)地址：填入IP地址或域名。c)

訪問(wèn)口令：配置效勞器程序時(shí)輸入的口令。d)監(jiān)聽(tīng)端口：配置效勞器程序是確定的端口號(hào)冰河的主要命令口令類(lèi)命令1〕系統(tǒng)信息及口令可以獲得包括系統(tǒng)信息〔計(jì)算機(jī)名、用戶(hù)名等〕，開(kāi)機(jī)口令，緩存口令及其它口令在內(nèi)的資料。2〕歷史口令可以獲得目標(biāo)機(jī)器從啟動(dòng)開(kāi)頭的歷史口令。3〕擊鍵記錄記錄目標(biāo)機(jī)器上的擊鍵。把握類(lèi)命令1〕捕獲屏幕：得到目標(biāo)機(jī)器當(dāng)前的屏幕圖象。屏幕把握。冰河除了把目標(biāo)機(jī)器的屏幕圖象顯示到你的屏幕上之外，你還可以把它看作一個(gè)真正的屏幕。假設(shè)屏幕上顯示對(duì)方開(kāi)著一個(gè)IE窗口，你就可以點(diǎn)擊它的關(guān)閉按鈕，那么它在目標(biāo)機(jī)器上就真被關(guān)閉了。2〕發(fā)送消息向目標(biāo)計(jì)算機(jī)發(fā)送消息。目標(biāo)計(jì)算時(shí)機(jī)彈出一個(gè)消息框，這個(gè)消息框的類(lèi)型和內(nèi)容都可以由你來(lái)設(shè)置3)把握目標(biāo)主機(jī)的進(jìn)程：點(diǎn)擊查看進(jìn)程按鈕,就可以在按鈕上方的列表框中看到目標(biāo)機(jī)器上的全部進(jìn)程。假設(shè)要終止某個(gè)進(jìn)程，先選中它，再執(zhí)行完畢進(jìn)程命令。4)窗口把握：對(duì)目標(biāo)計(jì)算機(jī)上的程序窗口進(jìn)展遠(yuǎn)程把握。5〕系統(tǒng)把握：遠(yuǎn)程關(guān)機(jī)、重起計(jì)算機(jī)，重新加載冰河，卸載冰河。6)鼠標(biāo)把握任憑鎖定目標(biāo)計(jì)算機(jī)上的鼠標(biāo)，使其動(dòng)彈不得。在你玩夠之后，你也可以再解除鎖定。7)其它把握網(wǎng)絡(luò)類(lèi)命令1)創(chuàng)立共享在目標(biāo)機(jī)器上創(chuàng)立新的共享。共享名稱(chēng)及共享路徑。2)刪除共享在目標(biāo)機(jī)器上刪除指定的共享。3)網(wǎng)絡(luò)信息：包括共享信息和連接信息。共享信息用來(lái)查看目標(biāo)計(jì)算機(jī)上的共享資源。連接信息用來(lái)顯示目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)連接狀況：包括與其連接的計(jì)算機(jī)名、用戶(hù)名、通訊協(xié)議、當(dāng)前狀態(tài)等。文件類(lèi)命令與文件治理器中的功能類(lèi)似。1)

文本掃瞄2)

文件查找3)

文件壓縮4)

文件復(fù)制5)

文件刪除6)

文件翻開(kāi)7)

名目增刪8)

名目復(fù)制、注冊(cè)表讀寫(xiě)如何應(yīng)付木馬1.使用殺毒軟件。2.提高防范意識(shí),不翻開(kāi)生疏人信中的附件，不任憑下載軟件。3.認(rèn)真閱讀readme.txt。很多人出于爭(zhēng)論目的下載了一些特洛伊木馬程序的軟件包,往往錯(cuò)誤地執(zhí)行了效勞器端程序4.在刪除木馬之前,重要的一項(xiàng)工作是備份,需要備份注冊(cè)表,備份你認(rèn)為是木馬的文件。如何應(yīng)付木馬1〕端口掃描2〕查看連接：netstat–a命令上述兩種方法對(duì)驅(qū)動(dòng)程序/動(dòng)態(tài)