计算机病毒的形而上学
1.1版
; ; ; ; ; ; ; ;只有我们知道了什么是完美的计算机病毒才可以造就完美的防毒软件。轮回:魔高一尺道高一丈。
; ; ; ; ; ; ;病毒的定义是相对的我将之定义为对于一定的环境能够寄生快繁殖能够通过变异和杂交能够通过系统漏洞获得一定的系统控制权的智能体。信息和精神最后都映射为物质只有透过信息和精神才能接触到物质病毒的本质是物质性的。这种物质性决定其能够吸取古往今来的人类在实践中积累和阐的一切真理从柏拉图到现在的计算机网络和人工智能从古代的集市到现代的复杂经济体从刀枪相见到全方位的战争等中所有反映这个宇宙最壮观最微妙的部分都应该整合到病毒的制造和进化中。生物界的病毒是最古老最有活力的计算机界的病毒对于计算机网络这么大的一个比特生态圈来说进化还刚刚开始应该比特生态圈还处于原始期。从这个角度讲将生物界的生态学的概念和相关理论迁移到比特生态圈中是完全可行的而且可能成为一个流派的指导思想。同时参考生物界的原理参考分子生物学的修正后的中心法则将有助于吸收上帝的思想造就完美的病毒当然它必然是残缺的。但是残缺的东西必须通过系统的方法进行制造必须在一定的价值观世界观必须在一定的哲学理念和理论体系的指导下进行。这个领域不否认天才但天才归根结底也是理论的一部分只不过他能比常人更好的在更高的层次上甚至在自的层次上接触和实践了真理。他是真理的催生者但是不创造任何真理。他是天使但不是上帝。病毒的展如果能够在理论上纳入展大的轨道形成元素周期表的预测和设计结构那么将大大加进化的度。
; ; ; ; ; ; ;完美的病毒其产生的过程必须作为一个工程来做。一个成功的工程则是艺术和科技的完美的结合在精心设计的时候也必须开放的。必须先设计后施工。
完美的病毒应该是具有网络繁衍能力的应该是融合社交工程学的应该是融合人工智能思想和技术。
; ; ; ; ; ; ;完美的病毒应该是分布式存在的应该有母子结构比如核心病毒可以释放vbs格式的子病毒。
; ; ; ; ; ; ;完美的病毒应该是可以杂交的也就是说不同来源的病毒甚至可以交换遗传信息。
; ; ; ; ; ; ;完美的病毒应该从完备系统的进化走向破缺系统这样病毒之间才可以组合协同病毒界的力量才能够在大系统的层次上得到提升。应该借鉴生态学的理论和思想。
完美的病毒应该是在宿主内广泛存在的侵染的范围是深广的应该侵入系统的防护部分也即免疫部分。
; ; ; ; ; ; ;病毒的机制组成包括:
; ; ; ; ; ; ;感染机制包括欺骗和融入宿主侵入核心和普通文件的机制。对象可以是文件类包括可执行文件(.exe.d11)脚本文件(.vbs等)文档文件(.doc等);引导区域引导目录;杀毒软件等。可以开一种病毒专门侵染杀毒软件利用其非同一般的功能使其识别病毒的功能生混乱删除系统文件。采取的方式包括补丁内嵌融合宏脚本。
; ; ; ; ; ; ;传播机制包括邮件可以自带邮件引擎或者俘获邮件服务器或者绕开验证程序或者运用社交工程学(由于网络资源的开放性非严谨性这方面的可能性是很大的温床到处都是)或者进行隐秘的网络攻击侵入主机利用其作为宿主进行传播或者作为正常软件的附件或者侵入网页。
; ; ; ; ; ; ;功能机制包括网络监听和局域网攻击种植木马利用宿主进行传播获取资料和系统控制权破坏对方机器影响系统运行恶作剧等。
; ; ; ; ; ; ;进化机制包括病毒之间的交流融合杂交和再生自身变异和进化子母病毒开放式接口和后门。能够通过网络学习。能够自行变成具有人工智能。
; ; ; ; ; ; ;存在机制网络分布式存在注册为系统进程或者隐藏在别的进程中采用融合和分割技术侵染必要的系统文件。
; ; ; ; ; ; ;加密机制对自身加密。
操作系统知识
1、操作系统的种类——如果你觉得是废话可以跳过
(1)、indo操作系统是由微软推出的操作系统这个就不用多说了。
(2)、Linux尺系统将来会处于领导地位介绍:
1991年4月芬兰人LinuxBenediInIx(——一种编程
工具可以不基于任何操作系统)设计了一个系统核心Linuxo.o1但没有使用任何mInIx或unIx的源代码。通过useneT(就是新闻组)宣布这是一个免费的系统主要在x86电脑上使用希望大家一起来将它完善并将源代码放到了芬兰的FTp站点上代人免费下载。本来他想把这个系统称为freax可是FTp的工作人员认为这是Linux的mInIx就用Linux这个子目录来存放于是它就成了
“Linux”。这时的Linux只有核心程序还不能称做是完整的系统由于它代码公开人们可以很容易的修改他至此经过人们的不断修改他越来越完善。值得一提的是很多国家重要机构的操作系统都是有Linux改进而来如:netux。
(3)、unIx1965年时贝尔实验室(Be11Labs)加入一项由奇异电子(genera1e1ectric)和麻省理工
学院(mIT)合作的计画;该计画要建立一套多使用者、多任务、多层次(mu1ti-user、mu1ti-pronetu1ti-1eve1)的muLTIcs操作系统(此操作系统也经过多此的修改)——此操作系统主要用于大型服务器。
(4)、Hp-ux惠普公司出品用的很少就不多说了
(5)、macosx著名的苹果操作系统。
(6)、so1arissun公司开原形基于Bsdunix值得一题的是sun公司没有因为so1aris系统出名而是java大红。
(7)、FreeBsd开者natei11iamsRodgrimesJordanHubbard。这操作系统在国外用得很多主要是服务器系统这个我也不太了解(不好意思)。
(8)、nove11由德国的suse公司开在早期的网络服务使用平凡现在基本淘汰。
///操作系统另类
嵌入式操作系统.(RTos说明:简称微型操作系统它的体积很小功能相对简单但非常适合放入机床、手机、pda、等独立微型的计算系统)。
(9)、unetux版本。unetux是一个源码开放的操作系统面向没有mmu(memorymanagementunit)的硬件平台。同标准Linux相比它集成了标准Linux操作系统的稳定性、强大网络功能和出色的文件系它是完全免费的。
(1o)、uneticrium。
(11)、Vorks开商indRiver。
(12)、pa1mos开商www.uu234.comc手机用得比较多。
(13)、indosce开商microsoft它是微软针对个人电脑以外的电脑产品所研的嵌入式操作系统而netbedded的缩写。
黑客基础知识
计算机要与外界进行通信必须通过一些端口。别人要想入侵和控制我们的电脑也要从某些端口连接进来。某日笔者查看了一位朋友的系统吃惊地现开放了139、445、3389、4899等重要端口要知道这些端口都可以为黑客入侵提供便利尤其是4899可能是入侵者安装的后门工具Radmin打开的他可以通过这个端口取得系统的完全控制权。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用或则通过软硬件防火墙关闭指定的端口也可以屏蔽指定Ip。
服务器操作系统的远程管理问题:
现在很多人都喜欢在自己的机器上安装远程管理软件如www.uu234.comdos自带的远程桌面这确实方便了远程管理维护和办公但同时远程管理软件也给我们带来了很多安全隐患。例如pnetyhere1o.o版本及更早的版本存在着口令文件*.cIF容易被解密(解码而非爆破)的问题一旦入侵者通过某种途径得到了*.netyherepd的工具破解出管理员账号和密码。而Radmin则主要是空口令问题因为Radmin默认为空口令所以大多数人安装了Radmin之后都忽略了口令安全设置因此任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器并做一切他想做的事情。
indos系统自带的远程桌面也会给黑客入侵提供方便的大门当然是在他通过一定的手段拿到了一个可以访问的账号之后可以通过IIs的一些漏洞远程建立系统帐户并且提高自己的权限。
病毒基础知识
.按照计算机病毒攻击的系统分类
(1)攻击dos系统的病毒。这类病毒出现最早、最多变种也最多目前我国出现的计算机病毒基本上都是这类病毒此类病毒占病毒总数的99%。
(2)攻击indos系统的病毒。由于indos的图形用户界面(guI)和多任务操作系统深受用户的欢迎indos正逐渐取代dos从而成为病毒攻击的主要对象。
目前现的例破坏计算机硬件的netdos95/98病毒。
(3)攻击unIx系统的病毒。当前unIx系统应用非常广泛并且许多大型的操作系统均采用unIx作为其主要的操作系统所以unIx病毒的出现对人类的信息处理也是一个严重的威胁。
(4)攻击os/2系统的病毒。世界上已经现第一个攻击os/2系统的病毒它虽然简单但也是一个不祥之兆。
2.按照病毒的攻击机型分类
(1)攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
(2)攻击小型机的计算机病毒。小型机的应用范围是极为广泛的它既可以作为网络的一个节点机也可以作为小的计算机网络的主机。起初人们认为计算机病毒只有在微型计算机上才能生而小型机则不会受到病毒的侵扰但自1988年11月份www.uu234.com网络受到orm程序的攻击后使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
(3)攻击工作站的计算机病毒。近几年计算机工作站有了较大的进展并且应用范围也有了较大的展所以我们不难想象攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。
3.按照计算机病毒的链结方式分类
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击计算机病毒所攻击的对象是计算机系统可执行的部分。
(1)源码型病毒
该病毒攻击高级语言编写的程序该病毒在高级语言所编写的程序编译前插入到原程序中经编译成为合法程序的一部分。
(2)嵌入型病毒
这种病毒是将自身嵌入到现有程序中把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的)一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、级病毒技术和隐蔽性病毒技术将给当前的反病毒技术带来严峻的挑战。
(3)外壳型病毒
外壳型病毒将其自身包围在主程序的四周对原来的程序不作修改。这种病毒最为常见易于编写也易于现一般测试文件的大小即可知。
(4)操作系统型病毒
这种病毒用它自己的程序意图加入或取代部分操作系统进行工作具有很强的破坏力可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时用自己的逻辑部分取代操作系统的合法程序模块根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等对操作系统进行破坏。
4。按照计算机病毒的破坏情况分类
按照计算机病毒的破坏情况可分两类:
(1)良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在只是不停地进行扩散从一台计算机传染到另一台并不破坏计算机内的数据。
有些人对这类计算机病毒的传染不以为然认为这只是恶作剧没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后会导致整个系统运行效率降低系统可用内存总数减少使某些应用程序不能运行。它还与操作系统和应用程序争抢cpu的控制权时时导致整个系统死锁给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象一个文件不停地反复被几种病毒所感染。
例如原来只有1okB的文件变成约9okB就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
(2)恶性计算机病毒
恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作在其传染或作时会对系统产生直接的破坏作用。这类病毒是很多的如米开朗基罗病毒。当米氏病毒作时硬盘的前17个扇区将被彻底破坏使整个硬盘上的数据无法被恢复造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的这是其本性之一。因此这类恶性病毒是很危险的应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否或至少出警报提醒用户注意。
5.按照计算机病毒的寄生部位或传染对象分类
传染性是计算机病毒的本质属性根据寄生部位或传染对象分类也即根据计算机病毒传染方式进行分类有以下几种:
(1)磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件因此这种病毒在运行的一开始(如系统启动)就能获得控制权其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息如果对磁盘上被移走的正常引导记录不进行保护则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多例如“大麻”和“小球”病毒就是这类病毒。
(2)操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境它包括。net、。exe等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常这类病毒作为操作系统的一部分只要计算机开始工作病毒就处在随时被触的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在“黑色星期五”即为此类病毒。
(3)可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中一旦程序被执行病毒也就被激活病毒程序先被执行并将自身驻留内存然后设置触条件进行传染。
对于以上三种病毒的分类实际上可以归纳为两大类:一类是引导扇区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。
6.按照计算机病毒激活的时间分类
按照计算机病毒激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才作而随机病毒一般不是由时钟来激活的。
7.按照传播媒介分类
按照计算机病毒的传播媒介来分类可分为单机病毒和网络病毒。
(1)单机病毒
单机病毒的载体是磁盘常见的是病毒从软盘传人硬盘感染系统然后再传染其他软盘软盘又传染其他系统。
(2)网络病毒
网络病毒的传播媒介不再是移动式载体而是网络通道这种病毒的传染能力更强破坏力更大。
8.按照寄生方式和传染途径分类
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类一是引导型病毒
二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BooTsecToR)的内容软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FaT)。如果用已感染病毒的软盘来启动的话则会感染硬盘。
引导型病毒是一种在RomBIos之后系统引导时出现的病毒它先于操作系统依托的环境是BIos中断服务程序。
引导型病毒是利用操作系统的引导模块放在某个固定的位置并且控制权的转交方式是以物理地址为依据而不是以操作系统引导区的内容为依据因而病毒占据该物理位置即可获得控制权而将真正的引导区内容搬家转移或替换待病毒程序被执行后将控制权交给真正的引导区内容使得这个带病毒的系统看似正常运转而病毒己隐藏在系统中伺机传染、作。
有的病毒会潜伏一段时间等到它所设置的日期时才作。有的则会在作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件不然就是显示特定的图形再不然就是放一段音乐给您听……。病毒作后不是摧毁分区表导致无法启动就是直接FoRmaT硬盘。也有一部分引导型病毒的“手段”没有那么狠不会破坏硬盘数据只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中差别只在于内存中的位置。(所谓“常驻”是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻以提高效率)。
引导型病毒按其寄生对象的不同又可分为两类即mBR(主引导区)病毒BR(引导区)病毒。mBR病毒也称为分区病毒将病毒寄生在硬盘分区主引导程序所占据的硬盘o头o柱面第1个扇区中。典型的病毒有大麻(stoned)、27o8等。BR病毒是将病毒寄生在硬盘逻辑o扇区或软盘逻辑o扇区(即o面o道第1个扇区)。典型的病毒有Brain、小球病毒等。
顾名思义文件型病毒主要以感染文件扩展名为.net、.exe和oVL等可执行程序为主。它的安装必须借助于病毒的载体程序即要运行病毒的载体程序方能把文件型病毒引人内存。已感染病毒的文件执行度会减缓甚至完全无法执行。有些文件遭感染后一执行就会遭到删除。大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长但用户不一定能用dIR命令列出其感染病毒前的长度。也有部分病毒是直接改写“受害文件”的程序码因此感染病毒后文件的长度仍然维持不变。
感染病毒的文件被执行后病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒会在每次进行感染的时候针对其新宿主的状况而编写新的病毒码然后才进行感染因此这种病毒没有固定的病毒码—以扫描病毒码的方式来检测病毒的查毒软件遇上这种病毒可就一点用都没有了。但反病毒软件随着病毒技术的展而展针对这种病毒现在也有了有效手段。
大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的若不进行汇编、链接则无法传染扩散。嵌入型病毒是嵌入在程序的中间它只能针对某个具体程序如dBase病毒。这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒这类病毒寄生在宿主程序的前面或后面并修改程序的第一个执行指令使病毒先于宿主程序执行这样随着宿主程序的使用而传染扩散。
文件外壳型病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。
混合型病毒综合系统型和文件型病毒的特性它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透过这两种方式来感染更增加了病毒的传染性以及存活率。不管以哪种方式传染只要中毒就会经开机或执行程序而感染其他的磁盘或文件此种病毒也是最难杀灭的。
引导型病毒相对文件型病毒来讲破坏性较大但为数较少直到9o年代中期文件型病毒还是最流行的病毒。但近几年情形有所变化宏病毒后来居上据美国国家计算机安全协会统计这位“后起之秀”已占目前全部病毒数量的8o%以上。另外宏病毒还可衍生出各种变形变种病毒这种“父生子子生孙”的传播方式实在让许多系统防不胜防这也使宏病毒成为威胁计算机系统的“第一杀手”。
随着微软公司ord字处理软件的广泛使用和计算机网络尤其是www.uu234.com的推广普及病毒家族又出现一种新成员这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档宏病毒就会被激活转移到计算机上并驻留在norma1模板上。从此以后所有自动保存的文档都会“感染”上这种宏病毒而且如果其他用户打开了感染病毒的文档宏病毒又会转移到他的计算机上。
黑客基本入侵手段:
随着黑客活动的日益猖獗信息安全问题越来越多地被各级政府和网络管理部门提到重要议事日程上来。黑客攻击网络的手段十分丰富令人防不胜防。分析和研究黑客活动的手段和采用的技术对我们加强网络安全建议、防止网络犯罪有很好的借鉴作用。本文简要介绍了黑客攻击网络的一般过程以及常用的网络攻击工具。
远程攻击的一般过程
1.收集被攻击方的有关信息分析被攻击方可能存在的漏洞
黑客先要确定攻击的目标。在获取目标机及其所在的网络类型后还需进一步获取有关信息如目标机的Ip地址、操作系统类型和版本、系统管理人员的邮件地址等根据这些信息进行分析可得到有关被攻击方系统中可能存在的漏洞。如运行一个host命令可以获得目标网络中有关机器的Ip地址信息还可识别出目标机的操作系统类型。利用HoIs查询可了解技术管理人员的名字信息。运行一些www.uu234.com和eb查询可了解有关技术人员是否经常上www.uu234.com等等。
收集有关技术人员的信息是很重要的。系统管理员的职责是维护站点的安全。当他们遇到问题时有些人会迫不及待地将问题到www.uu234.com上或邮件列表上寻求解答。而这些邮件中往往有他们的组织结构、网络拓扑和所面临的问题等信息。另外若一个系统管理员经常在安全邮件列表或论坛中讨论各种安全技术和问题就说明他有丰富的经验和知识对安全有深入的了解并作好了抵御攻击的准备。反之若一个系统管理员提出的问题是初级的甚至没有理解某些安全概念则说明此人经验不丰富。
每个操作系统都有自己的一套漏洞有些是已知的有些则需要仔细研究才能现。而管理员不可能不停地阅读每个平台的安全报告因此极有可能对某个系统的安全特性掌握的不够。
通过对上述信息的分析就可以得到对方计算机网络可能存在的漏洞。
2.建立模拟环境进行模拟攻击测试对方可能的反应
根据第一步所获得的信息建立模拟环境然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。
3.利用适当的工具进行扫描
收集或编写适当的工具并在对操作系统分析的基础上对工具进行评估判断有哪些漏洞和区域没有覆盖到。然后在尽可能短的时间内对目标进行扫描。完成扫描后可对所获数据进行分析现安全漏洞如FTp漏洞、nFs输出到未授权程序中、不受限制的x服务器访问、不受限制的调制解调器、sendmai1的漏洞、nIs口令文件访问等。
4.实施攻击
根据己知的漏洞实施攻击。通过猜测程序可对截获的用户帐号和口令进行破译;利用破译程序可对截获的系统密码文件进行破译;利用网络和系统本身的薄弱环节和安全漏洞可实施电子引诱(如安放特洛伊木马)等等。黑客们或者修改网页进行恶作剧或破坏系统程序或放病毒使系统陷入瘫痪或窃取政治、军事、商业秘密;或进行电子邮件骚扰或转移资金账户窃取金钱等等。
常用工具介绍
扫描器
在www.uu234.com安全领域扫描器是最出名的破解工具。所谓扫描器实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通Tcp/Ip端口和服务并记录目标机的回答以此获得关于目标机的信息。理解和分析这些信息就可能现破坏目标机安全性的关键因素。常用的扫描器有很多有些可以在www.uu234.com上免费得到下面做一简要介绍。
nss(网络安全扫描器):是用per1语言编写的可执行sendmai1、匿名FTp、nFs出口、TFTp、Hosts.equiv、xhost等常规检查。
strobe(级优化Tcp端口检测程序):是一个Tcp端口扫描器可以记录指定机器的所有开放端口快识别指定机器上正在运行什么服务提示什么服务可以被攻击。
saTan
(安全管理员的网络分析工具):用于扫描远程主机现漏洞。包括:FTpd的漏洞和可写的FTp目录、nFs漏洞、nIs漏洞、RsH漏洞、sendmai1、x服务器漏洞等。
Jaka1:是一个秘密扫描器它启动但并不完成与目标主机的syn/ack过程因此可以扫描一个区域而不留下任何痕迹能够避开端口扫描探测器的探测追踪。
www.uu234.com:是一个更加专业化的扫描器能够识别指定Tcp端口进程的使用者即能够测出该进程的uId;
&www.uu234.comecT:用于扫描TFTp服务器子网。
www.uu234.com:用于扫描Fsp服务器。
xsnet:扫描具有x服务器漏洞的子网或主机。
saFesuite:是快、先进、全面的unIx网络安全扫描器。可以对指定网络执行各种不同的攻击探测网络环境中特定的安全漏洞包括:sendmai1、TFp、nnTp、Te1net、
RpnetFs等。
扫描器还在不断展变化每当现新的漏洞检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具也是维护网络安全的重要工具。系统管理人员必须学会使用扫描器。
口令入侵
所谓的口令入侵是指破解口令或屏蔽口令保护。但实际上真正的加密口令是很难逆向破解的。黑客们常用的口令入侵工具所采用的技术是仿真对比利用与原口令程序相同的方法通过对比分析用不同的加密口令去匹配原口令。
www.uu234.com上大多数服务器运行的是unIx或类unIx操作系统。在unIx平台上用户登录Id和口令都存放在etnetIx以数据加密标准des为基础以Id为密钥对口令进行加密。而加密算法crypt(3)是公开的。虽然加密算法分开但目前还没有能够逆向破解其加密信息的方法。
黑客们破解口令的过程大致如下:先将大量字表中的单词用一定规则进行变换再用加密算法进行加密。看是否与/etc/pad文件中加密口令相匹配者:若有则口令很可能被破解。单词变换的规则一般有:大小写交替使用;把单词正向、反向拼写后接在一起(如netac);在每个单词的开头和/或结尾加上数字1等等。同时在www.uu234.com上有许多字表可用。如果用户选择口令不恰当口令落入了字表库黑客们获得了/etc/pad文件基本上就等于完成了口令破解任务。
特洛依木马(trojanhorse)
所谓特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出现可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能这些功能可以泄漏一些系统的私有信息或者控制该系统。
特洛依程序表面上是无害的、有用的程序但实际上潜伏着很大的危险性。如在daemon(ftpd)2.2版中现有特洛依程序该特洛依程序允许任何用户(本地的和远端的)以root帐户登录unIx。这样的特洛依程序可以导致整个系统被侵入因为先它很难被现。在它被现之前可能已经存在几个星期甚至几个月了。其次在这段时间内具备了root权限的入侵者可以将系统按照他的需要进行修改。这样即使这个特洛依程序被现了在系统中也留下了系统管理员可能没有注意到的漏洞。
网络嗅探器(sniffer)
sniffer用来截获网络上传输的信息用在以太网或其它共享传输介质的网络上。放置sniffer可使网络接口处于广播状态从而截获网上传输的信息。利用sniffer可截获口令、秘密的和专有的信息用来攻击相邻的网络。sniffer的威胁还在于被攻击方无法现。sniffer是被动的程序本身在网络上不留下任何痕迹。常用的sniffer有:gobb1er、eTHLoad、netman、www.uu234.comititc等等。
破坏系统
常见的破坏装置有邮件炸弹和病毒等。其中邮件炸弹的危害性较小而病毒的危害性则很大。
邮件炸弹是指不停地将无用信息传送给攻击方填满对方的邮件信箱使其无法接收有用信息。另外邮件炸弹也可以导致邮件服务器的拒绝服务。常用的emai1炸弹有:upyours、kaBoom、www.uu234.comemai1、www.uu234.combtrack、F1ameThroer等。
病毒程序与特洛依程序有明显的不同。特洛依程序是静态的程序存在于另一个无害的被信任的程序之中。特洛依程序会执行一些未经授权的功能如把口令文件传递给攻击者或给他提供一个后门。攻击者通过这个后门可以进入那台主机并获得控制系统的权力。
病毒程序则具有自我复制的功能它的目的就是感染计算机。在任何时候病毒程序都是清醒的监视着系统的活动。一旦系统的活动满足了一定的条件病毒就活跃起来把自己复制到那个活动的程序中去。
黑客基本术语简介:
什么是Tcp/Ip
是一种网络通信协议他规范了网络上所有的通信设备尤其是一个主机与另一个主机之间的数据往来格式以及传送方式.TneteT的基础协议也是一种电脑数据打包和寻址的标准方法.在数据传诵中可以形象地理解为两个信封Tcp和Ip就像是信封要传递的信息被划为若干段每一段塞入一个Tcp信封并在该信封面上记录有分段号的信息再将Tcp信封塞入Ip大信封送上网.
什么是路由器
路由器应该是在网络上使用最高的设备之一了它的主要作用就是路由选路将Ip数据包正确的送到目的地因此也叫Ip路由器.
什么是蜜罐
好比是情报收集系统.蜜罐好象是故意让人攻击的目标引诱黑客来攻击所有攻击者入侵后你就可以知道他是如何得逞的随时了解针对你的服务器动的最新的攻击和漏洞.还可以通过窃听黑客之间的联系收集黑客所用的种种工具并且掌握他们的社交网络.
什么是拒绝服务攻击
dos是denIaLoFseRVIce的简称即拒绝服务造成dos的攻击行为被称为dos攻击其目的是使计算机或网络无法正常服务最常见的dos攻击有计算机网络宽带攻击和连通性攻击连通性攻击指用大量的连接请求冲击计算机使得所有可用的操作系统资源被消耗最终计算机无法再处理合法用户的请求.
什么是脚本注入攻击(www.uu234.com)
所谓脚本注入攻击者把sQL命令插入到eB表单的输入域或也面请求的查学字符串欺骗服务器执行恶意的sQL命令在某些表单中用户输入的内容直接用来构造动态的sQL命令或作为存储过程的输入参数这类表单特别容易受到sQL注入式攻击.
什么是防火墙?它是如何确保网络安全的
使用防火墙(Firea11)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流且本身具有较强的抗攻击能力。它是提供信息安全服务实现网络和信息安全的基础设施。
什么是后门?为什么会存在后门?
后门(Backdoor)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开阶段程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道或是在布软件之前没有删除那么它就成了安全隐患。
什么叫入侵检测
入侵检测是防火墙的合理补充帮助系统对付网络攻击扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息并分析这些信息检查网络中是否有违反安全策略的行为和遭到袭击的迹象
什么叫数据包监测它有什么作用
数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机送一封电子邮件或请求下载一个网页这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你送的数据而数据包监测工具就允许某人截获数据并且查看它。
在这里值得一题的是美国的落山基级骇动力潜艇就有几艘专们用于海底电缆的数据监听。特别是太平洋。
什么是nIds
nIds是netwww.uu234.com的缩写即网络入侵检测系统主要用于检测Hacker或netIds的运行方式有两种一种是在目标主机上运行以监测其本身的通信信息另一种是在一台单独的机器上运行以监测所有网络设备的通信信息比如Hub、路由器。
什么叫syn包
Tcp连接的第一个包非常小的一种数据包。syn攻击包括大量此类的包由于这些包看上去来自实际不存在的站点因此无法有效进行处理。
加密技术是指什么
加密技术是最常用的安全保密手段利用技术手段把重要的数据变为乱码(加密)传送到达目的地后再用相同或不同的手段还原(解密)。
加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合产生不可理解的密文的步骤密钥是用来对数据进行编码和解密的一种算法。在安全保密中可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
局域网内部的aRp攻击是指什么
aRp协议的基本功能就是通过目标设备的Ip地址查询目标设备的mac地址以保证通信的进行。
基于aRp协议的这一工作特性黑客向对方计算机不断送有欺诈性质的aRp数据包数据包内包含有与当前设备重复的mac地址使对方在回应报文时由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下受到aRp攻击的计算机会出现两种现象:
1.不断弹出“本机的xxx段硬件地址与网络中的xxx段地址冲突”的对话框。
2.计算机不能正常上网出现网络中断的症状。
因为这种攻击是利用aRp请求报文进行“欺骗”的所以防火墙会误以为是正常的请求数据包不予拦截。因此普通的防火墙很难抵挡这种攻击。
什么叫欺骗攻击?它有哪些攻击方式
网络欺骗的技术主要有:HoneypoT和分布式HoneypoT、欺骗空间技术等。主要方式有:Ip欺骗、aRp欺骗、dns欺骗、eb欺骗、电子邮件欺骗、源路由欺骗(通过指定路由以假冒身份与其他主机进行合法通信或送假报文使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
嗅探
计算机网络的共享通讯道的支持每对通讯计算机独占通道的交换机/集线器仍然过于昂贵共享意为着计算机能够接收到送给其他计算机的信息捕获在网络中传输的数据信息就称为嗅探.
木马
全称为特洛伊木马(TrojanHorse)是根据希腊神话传说中一次战争而得名。麦尼劳斯派兵讨伐特洛伊国王他们假装打败然后留下一个大木马而木马里却藏着最强悍的勇士!最后等晚上时间一到木马里的勇士就冲出来把敌人打败了。这就是后来的”木马计”而黑客中的木马有点后门的意思就是把预谋的功能隐藏在公开的功能里掩饰真正的企图。
肉鸡
已经被攻击了对其具有控制权的主机。
跳板
一个具有辅助作用的机器利用这个主机作为一个间接工具来入侵其他主机一般和肉鸡连用。
弱口令
所谓弱口令也就是指密码与用户名相同密码为空的用户名与密码组合也包括那些密码强度不够容易被猜解的组合一般专业认识不会犯这种错误。
权限
计算机用户对于文件及目录的建立修改删除以及对于某些服务的访问程序的执行是以权限的形式来严格区分的.被赋予了相应的权限就可以进行相应的操作否则就不可以.
溢出
程序在处理我们提交给它的数据时有的时候忘了检查数据的大小与合法性那么这些数据可能会过属于自己的地盘覆盖到其它数据的盘.如果这些长数据被精心的策划构造的话可能会被黑客去执行任意命令.打个比喻来说indos系统是一个人会一杯一杯喝我们给它准备的水其中有一个杯子太小了我们倒入了大量的水它就会溢出到别的杯子里去而溢出到别的杯子里的东西我们事先可以设计好而系统并不知道这以为这本来就是那个杯子里的东西于是我们可以完成一定的任务.
端口
要网络上知道一台电脑的ip地址只是相当于知道了它的居住地址要和它进行通信我们还要知道它开了哪些端口比如说我们到一家医院挂号要到1号窗口划价要到2号窗口取药要到3号窗口.那么与计算机的通信也是一样的要上qq你得登陆到腾讯服务器的8ooo端口要浏览x档案的论坛你得与其8o端口进行联系要ftp登陆空间传输文件我们又得服务器的21端口连接了.可以说端口就是一种数据的传输通道用于接收某些数据然后传给相应的服务而电脑将这些数据处理后再将相应的回复通过端口传给对方.
ip地址
www.uu234.com上的电脑有许多为了让他们能够相互识别www.uu234.com上的每一台主机都分配有一个唯一的32位地址该地址称为ip地址也称作网际地址ip地址由4个数值部分组成每个数值部分可取值o-255各部分之间用一个‘.‘分开.
aRp
地址解析协议(addressReso1utionprotoco1)
此协议将网络地址映射到硬件地址。
RaRp
反向地址解析协议(ReverseaddressReso1utionprotoco1)
此协议将硬件地址映射到网络地址
udp
用户数据报协议(userdatagramprotoco1)
这是提供给用户进程的无连接协议用于传送数据而不执行正确性检查。
FTp
文件传输协议(Fi1eTransferprotoco1)
允许用户以文件操作的方式(文件的增、删、改、查、传送等)与另一主机相互通信。
s*mTp
简单邮件传送协议(simp1emwww.uu234.comTp协议为系统之间传送电子邮件。
TeLneT
终端协议(Te1netTermina1procoto1)
允许用户以虚终端方式访问远程主机
HTTp
文本传输协议(HypertextTransferprocoto1)
TFTp
简单文件传输协议(Trivia1Fi1eTransferprotoco1)
she11
she11就是系统于用户的交换式界面。简单来说就是系统与用户的一个沟通环境我们平时用到的dos就是一个she11(in2k或cmd.exe)。
Root
unix里最高权限的用户也就是级管理员。
admin
indosnT/2k/xp里最高权限的用户也就是级管理员。
Rootshe11
通过一个溢出程序在主机溢出一个具有Root权限的she11。
exp1oit
溢出程序。exp1oit里通常包含一些she11code。
she11code
溢出攻击要调用的函数溢出后要一个交换式界面进行操作。所以说就有了www.uu234.comtro11ist(acL)
访问控制列表。
addressReso1utionprotoco1(aRp)
地址解析协议。
www.uu234.comt
管理员帐号。
www.uu234.com
阿帕网(www.uu234.com的简称)。
anet
访问令牌。
adaptivespeed1eve1ing
自适应度等级调整。
a1gorithm
算法a1ias别名。
an1pad
一种与pad+相似的代理密码检查器。
www.uu234.coms
应用程序异步传递模式。
accout1ockout
帐号封锁。
accoutpo1icies
记帐策略。
anetts
帐号。
adapter
适配器。
>黑客们在网络上疯狂肆虐之后又将“触角”伸向了(无线应用协议的英文简写)继而成为了他们的又一个攻击目标。“攻击”主要是指攻击服务器使启用了服务的手机无法接收正常信息。由于目前无线网络的安全机制并非相当严密因而这一领域将受到越来越多黑客的“染指”。现在我们使用的手机绝大部分都已支持功能则需要专门的服务器来支持若是黑客们现了服务器的安全漏洞就可以编制出针对该服务器的病毒并对其进行攻击从而影响到服务器的正常工作使手机无法接收到正常的网络信息。
www.uu234.comwww.uu234.comet控制消息协议)用于在Ip主机、路由器之间传递控制消息包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。例如我们在检测网络通不通时常会使用ping命令ping执行操作的过程就是Icmp协议工作的过程。“Icmp协议”对于网络安全有着极其重要的意义其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。例如曾经轰动一时的海信主页被黑事件就是以Icmp攻击为主的。由于操作系统规定Icmp数据包最大尺寸不过64kB因而如果向目标主机送过64kB上限的数据包该主机就会出现内存分配错误进而导致系统耗费大量的资源处理疲于奔命最终瘫痪、死机。
时间戳
“时间戳”是个听起来有些玄乎但实际上相当通俗易懂的名词我们查看系统中的文件属性其中显示的创建、修改、访问时间就是该文件的时间戳。对于大多数一般用户而言通过修改“时间戳”也许只是为了方便管理文件等原因而掩饰文件操作记录。但对于应用数字时间戳技术的用户就并非这么“简单”了这里的“时间戳”(time-stamp)是一个经加密后形成的凭证文档是数字签名技术的一种变种应用。在电子商务交易文件中利用数字时间戳服务(dTs:digita1timestampservice)能够对提供电子文件的日期和时间信息进行安全保护以防止被商业对手等有不良企图的人伪造和串改的关键性内容。
mysQL数据库
我们在黑客文章中常会看到针对“mysQL数据库”的攻击但很多朋友却对其不大了解。“mysQL数据库”之所以应用范围如此广泛是由于它是一款免费的开放源代码的多用户、多线程的跨平台关系型数据库系统也可称得上是目前运行度最快的sQL语言数据库。“mysQL数据库”提供了面向c、c++、Java等编程语言的编程接口尤其是它与pHp的组合更是黄金搭档。“mysQL数据库”采用的是客户机/服务器结构的形式它由一个服务器守护程序mysq1d和很多不同的客户程序和库组成。但若是配置不当“mysQL数据库”就可能会受到攻击例如若是设置本地用户拥有对库文件读权限那么入侵者只要获取“mysQL数据库”的目录将其复制本机数据目录下就能访问进而窃取数据库内容。
md5验证
md5(全称是message-digesta1gorithm5)的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”为一种保密的格式。它的典型应用是对一段信息(message)产生信息摘要(message-digest)以防止被篡改。通俗地说md5码就是个验证码就像我们的个人身份证一样每个人的都是不一样的。md5码是每个文件的唯一校验码(md5不区分大小写但由于md5码有128位之多所以任意信息之间具有相同md5码的可能性非常之低通常被认为是不可能的)凭借此特性常被用于密码的加密存储、数字签名及文件完整性验证等功能。通过md5验证即可检查文件的正确性例如可以校验出下载文件中是否被捆绑有其它第三方软件或木马、后门(若是校验结果不正确就说明原文件已被人擅自串改)。
上传漏洞
这个漏洞在dVBBs6.o时代被黑客们利用的最为猖獗利用上传漏洞可以直接得到eBsHeLL危害等级级高现在的入侵中上传漏洞也是常见的漏洞。
怎样利用:在网站的地址栏中网址后加上/upfi1e.asp如果显示“上传格式不正确[重新上传]”这样的字样就是有上传漏洞了找个可以上传的工具直接可以得到eBsHeLL。
工具介绍:上传工具老兵的上传工具、domaIn3.5这两个软件都可以达到上传的目的用nc也可以提交。
eBsHeLL是什么:其实eBsHeLL并不什么深奥的东西是个eB的权限可以管理eB修改主页内容等权限但是并没有什么特别高的权限(这个看管理员的设置了)一般修改别人主页大多都需要这个权限接触过eB木马的朋友可能知道(比如老兵的站长助手就是eB木马海阳2oo6也是eB木马)。我们上传漏洞最终传的就是这个东西有时碰到权限设置不好的服务器可以通过eBsHeLL得到最高权限。
暴库
这个漏洞现在很少见了但是还有许多站点有这个漏洞可以利用暴库就是提交字符得到数据库文件得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法:比如一个站的地址为http://.www.uu234.com/disp.asp?boardId7&Id161我门就可以把net/disp中间的/换成%5c如果有漏洞直接得到数据库的绝对路径用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://.www.uu234.com/后面加上net.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%91du.mdb的为什么下不了?这里需要把#号换成%23就可以下载了为什么我暴出的数据库文件是以。asp结尾
的?我该怎么办?这里可以在下载时把.asp换成.mdB这样就可以下载了如果还下载不了可能作了防下载。
注入漏洞
这个漏洞是现在应用最广泛杀伤力也很大的漏洞可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的可以得到管理员的帐号密码等相关资料。
怎样利用:我先介绍下怎样找漏洞比如这个网址http://.www.uu234.com/disp.asp?boardId7&Id161后面是以Id数字形式结尾的站我们可以手动在后面加上个and11看看
如果显示正常页面再加上个and12来看看如果返回正常页面说明没有漏洞如果返回错误页面说明存在注入漏洞。如果加and11返回错误页面说明也没有漏洞知道了站点
有没有漏洞我门就可以利用了可以手工来猜解也可以用工具现在工具比较多(nBsI、ndsI、啊d、domaIn等)都可以用来猜解帐号密码因为是菜鸟接触我还是建议大家用工具手工比较烦琐。
旁注
我们入侵某站时可能这个站坚固的无懈可击我们可以找下和这个站同一服务器的站点然后在利用这个站点用提权嗅探等方法来入侵我们要入侵的站点。打个形象的比喻比
如你和我一个楼我家很安全而你家呢却漏洞百出现在有个贼想入侵我家他对我家做了监视(也就是扫描)现没有什么可以利用的东西那么这个贼现你家和我家
一个楼你家很容易就进去了他可以先进入你家然后通过你家得到整个楼的钥匙(系统权限)这样就自然得到我的钥匙了就可以进入我的家(网站)。
工具介绍:还是名小子的domIan3.5不错的东西可以检测注入可以旁注还可以上传!
cookIe诈骗
许多人不知道什么是cookIecookIe是你上网时由网站所为你送的值记录了你的一些资料比如Ip姓名什么的。
怎样诈骗呢?如果我们现在已经知道了xx站管理员的站号和md5密码了但是破解不出来密码(md5是加密后的一个91duIe诈骗来实现把自己的Id修
改成管理员的md5密码也修改成他的有工具可以修改cookIe这样就答到了cookIe诈骗的目的系统以为你就是管理员了。
防火墙系统。
Ids入侵检测——现在一般有成品软件卖