火龍果黑客與病毒防范技術(shù)

黑客攻擊與防范

-------誰能書閣下，

白首太玄經(jīng)。

let’sgo!本章結(jié)構(gòu)引言黑客的概念和行為第一節(jié)網(wǎng)絡(luò)系統(tǒng)的缺陷與漏洞第二節(jié)黑客當(dāng)中的7種人第三節(jié)

黑客攻擊的3個階段第四節(jié)黑客攻擊常用方法第五節(jié)黑客攻擊的一般步驟及防范措施重點：黑客的概念和攻擊步驟及防范措施難點：黑客攻擊常用方法黑用戶：聽說你會制造“病毒”？！

黑客：嗯。

用戶：你可以控制別人的電腦？！

黑客：一般是的。用戶：那你可以黑掉那些網(wǎng)站嗎？

黑客：當(dāng)然，沒聽到人家叫我“黑客”嗎？

用戶：……哦~~~我還以為那是因為你長得很黑……

“咣~~”黑客的名稱的由來bug用戶：黑客大哥，你是怎么進來的??？

黑客：利用你系統(tǒng)的bug。

用戶：我知道了，當(dāng)初我就說，不要用在潮濕的地方用電腦，他們都不聽，你看現(xiàn)在都有蟲子了吧．明天我拿出去曬曬，就不招蟲子了.你就進不來了。

黑客：我倒！

網(wǎng)絡(luò)系統(tǒng)的缺陷與漏洞已經(jīng)成為黑客能突破網(wǎng)絡(luò)防護進入網(wǎng)絡(luò)的主要手段?？睾诳停何铱刂屏四愕碾娔X。

用戶：怎么控制的？

黑客：用木馬。

用戶：……在哪里？我沒看不見。

黑客：打開你的任務(wù)管理器。

用戶：……任務(wù)管理器在哪？

黑客：你的電腦下面??！

用戶：“我的電腦”里面沒有啊。

黑客：算了當(dāng)我什么也沒做過。黑客往往用木馬程序?qū)χ鳈C進行攻擊。防用戶：你怎么總是在我電腦里隨便進進出出。

黑客：你可以裝防火墻。

用戶：裝防火墻，你就不能進入了嗎？

黑客：不啊，我只是想增加點趣味性，這樣控制你的電腦讓我覺得很白癡。在內(nèi)部網(wǎng)與外部網(wǎng)之間放置防火墻是有效的防范黑客攻擊的方法，但是不是救命稻草。trick用戶：你給我出來?。。。?/p>

黑客：怎么啦？！

用戶：你是不是用我的ID去論壇玩了？?。?/p>

黑客：……不好意思，忘了告訴你了，不過，我沒干壞事，就瞎編了個帖子，我保證下次在再不玩拉。

用戶：那不行！??！

黑客：你還要怎么樣？

用戶：你發(fā)的帖子得精華了，我第一次得精華，好開心哦，你必須再給我編一個。

黑客：倒！paradox黑客：嘿嘿，剛才我做了一件很有趣的事。

用戶：什么事？

黑客：我到來論壇上去頂帖了。

用戶：這很平常啊。

黑客：我見帖就頂，盡情罵樓主是豬，好解氣！

用戶：哇塞，太過癮了，我可從來不敢，會被封殺的！

黑客：已經(jīng)被封殺了。

用戶：這還有趣？！

黑客：是啊，因為我用的是你的ID。利黑客：嗨~~~我來了！

用戶：好幾天不見你，被我的防火墻擋住啦？

黑客：哈哈，笑話，上你的電腦比上我自己的還容易，不是想我了吧。

用戶：我是想請你幫一個忙。

黑客：什么事？

用戶：你能不能進入電力系統(tǒng)修改一點數(shù)據(jù)。

黑客：……你想干嘛！！

用戶：求求你，幫我把我家這個月的電費消了吧……

黑客：去死??！毒黑客：你死哪去了？??！

用戶：……出去玩了幾天啊，找我干嘛？

黑客：我要找點東西。

用戶：在我這兒找什么東西？

黑客：病毒，找一條前幾年的老病毒，只有你的機子上病毒保存的最全啦。port用戶：黑客，你怎么又進來了，我已經(jīng)把端口都堵上了。

黑客：

你知道端口了啊，不簡單，你是怎么堵的啊。

用戶：我用海綿把我機器上所有的口都堵上了，那不是端口嗎？

黑客：這也行啊，你機器有什么不良反映嗎？

用戶：除了機箱熱點，自動從起了兩回，其它就沒有了。

黑客：我覺得也是。

黑客（hacker）黑客（hacker）最初指“技術(shù)高超的有強制力的程序員”，現(xiàn)在則指一批掌握計算機知識和技能，能破解加密程序，竊取或破壞信息并以此作為業(yè)余愛好或半職業(yè)、職業(yè)手段的人。十步殺一人，千里不留行。

事了拂衣去，深藏身與名。第一節(jié)網(wǎng)絡(luò)系統(tǒng)的缺陷與漏洞利用網(wǎng)絡(luò)設(shè)計的缺陷是黑客能突破網(wǎng)絡(luò)防護進入網(wǎng)絡(luò)的主要手段之一。1、物理結(jié)構(gòu)設(shè)計缺陷廣播式、點對點，易竊聽和劫獲。2、協(xié)議設(shè)計缺陷竊聽和欺騙；不安全的應(yīng)用服務(wù)；缺乏安全策略；配置的復(fù)雜性。3、網(wǎng)絡(luò)漏洞是指網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)存在的缺陷給網(wǎng)絡(luò)帶來的不安全因素。產(chǎn)生的主要原因是設(shè)計網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)時考慮不周到。漏洞等級C類：允許拒絕服務(wù)的漏洞。它不會破壞數(shù)據(jù)和使數(shù)據(jù)泄密，是不太重要的漏洞。存在于操作系統(tǒng)中。主要類型：

UDP攻擊、TCP/SYN攻擊、ICMP/PING攻擊、ICMP/SMURF攻擊、TARGA3攻擊（IP堆棧突破）。B類：允許本地用戶非法訪問的漏洞。允許本地用戶獲得增加的未授權(quán)的訪問。有較大可能檢查出入侵者。存在于應(yīng)用程序中，如：Sendmail、編程造成緩沖區(qū)溢出。A類：允許過程用戶未經(jīng)授權(quán)訪問的漏洞。威脅最大的一種漏洞。由于較差的系統(tǒng)管理或設(shè)置錯誤造成的。利用了腳本程序。第二節(jié)黑客當(dāng)中的7種人1．惡作劇型2．制造矛盾型3．乘機漁利的信息修改型4．致對方于死地的病毒攻擊型5.有偷窺愛好的竊密型6.商業(yè)間諜型7.想復(fù)仇的事后報復(fù)型第三節(jié)

黑客攻擊的3個階段

1．確定目標(biāo)

2．搜集與攻擊目標(biāo)相關(guān)的信息，并找出系統(tǒng)的安全漏洞

3．實施攻擊第四節(jié)黑客攻擊常用方法

一、網(wǎng)絡(luò)監(jiān)聽

所謂網(wǎng)絡(luò)監(jiān)聽就是獲取在網(wǎng)絡(luò)上傳輸?shù)男畔ⅰＭǔ?，這種信息并不是特定發(fā)給自己計算機的。一般情況下，系統(tǒng)管理員為了有效地管理網(wǎng)絡(luò)、診斷網(wǎng)絡(luò)問題而進行網(wǎng)絡(luò)監(jiān)聽。然而，黑客為了達到其不可告人的目的，也進行網(wǎng)絡(luò)監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽的危害：1、接收網(wǎng)絡(luò)所有數(shù)據(jù)報文，造成數(shù)據(jù)丟失，網(wǎng)絡(luò)不暢。2、由于許多數(shù)據(jù)以名文方式傳輸，如FTP、Web等服務(wù)，很容易竊取用戶名和密碼。3、采用被動方式，不與其它主機交換信息，因而對監(jiān)聽者的追蹤十分困難。網(wǎng)絡(luò)監(jiān)聽：Sniffer(嗅探器)

1、Sniffer工作原理將本地網(wǎng)絡(luò)接口卡設(shè)置成promiscuous(混雜)模式（指網(wǎng)絡(luò)上的所有設(shè)備都對總線上傳送的數(shù)據(jù)進行偵聽，并不僅僅是它們自己的數(shù)據(jù)），該接口卡將會接收所有在網(wǎng)絡(luò)中傳輸?shù)膸?，無論該幀是廣播的還是發(fā)向某一指定地址，這就形成了監(jiān)聽，如果某主機被設(shè)置成這種模式，它就成了一個Sniffer。Sniffer通常運行在路由器上或有路由功能的主機上。通常Sniffer程序只看一個數(shù)據(jù)包的前200—300個字節(jié)的數(shù)據(jù)，就能發(fā)現(xiàn)口令和用戶名等重要數(shù)據(jù)。2、如何發(fā)現(xiàn)一個Sniffer網(wǎng)絡(luò)監(jiān)聽采用被動形式，它不與主機交換信息，也不修改密碼，因而追蹤十分困難。主要辦法是查看計算機上運行的所有程序。（1）Windows系統(tǒng)下，按Ctrl+Alt+Del在任務(wù)列表中查看。（2）在系統(tǒng)中搜索，查找可疑文件。（3）利用工具，查看是否工作在Promiscuous模式。從而發(fā)現(xiàn)Sniffer。如Antisniff。3、怎樣防止被Sniffer

（1）采用SSH加密。（2）使用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。Sniffer往往是攻擊者在侵入系統(tǒng)后使用的，用來收集有用的信息。因此防止系統(tǒng)被突破是關(guān)鍵。管理員要定期對所管理的網(wǎng)絡(luò)進行安全測試，防止出現(xiàn)安全隱患。同時要控制擁有相當(dāng)權(quán)限的用戶的數(shù)量。切記，許多攻擊者往往來自網(wǎng)絡(luò)的內(nèi)部。二、端口掃描端口掃描是利用某種程序自動依次檢測目標(biāo)計算機上的所有端口，根據(jù)端口的響應(yīng)情況判斷端口上的運行服務(wù)。端口掃描方法：手工掃描和軟件掃描。通過端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。手工掃描1、Ping命令：診斷TCP/IP網(wǎng)絡(luò)。格式：pinghostname高級使用：

ping–fhostname給目標(biāo)主機發(fā)送大量數(shù)據(jù)，從而使目標(biāo)主機忙于回應(yīng)。

如：ping–l655102、Tracert命令跟蹤一個消息從一臺計算機到另一臺計算機所走的路徑。格式：tracerthostname3、Host命令UNIX命令，查詢計算機信息（域名、操作系統(tǒng)、計算機名、服務(wù)程序等）。使用端口軟件掃描1、什么是掃描器檢測網(wǎng)絡(luò)系統(tǒng)所采用的自動檢測程序被稱為掃描器，即掃描器是一種自動檢測遠(yuǎn)程或本地主機安全性弱點的程序。掃描器可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本。從而了解安全問題。2、掃描器工作原理通過選用TCP/IP不同的端口服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法，可以搜集很多關(guān)于目標(biāo)主機的各種有用信息。如：匿名登錄、可寫的FTP目錄、TELNET登錄.....。3、掃描器的功能非攻擊軟件，可發(fā)現(xiàn)弱點，從而為攻擊打下基礎(chǔ)。4、掃描器分類按對象分：本地掃描器、遠(yuǎn)程掃描器按目的分：端口掃描器(nmap、portscan等)、漏洞掃描器使用端口掃描的目的是要得到目標(biāo)計算機的操作系統(tǒng)、服務(wù)和應(yīng)用程序的情況。5、預(yù)防端口掃描預(yù)防比較困難可將固定端口（如HTTP的80）改為其它端口號。使用欺騙軟件。口令認(rèn)證是計算機網(wǎng)絡(luò)安全的主要組成部分之一，也是黑客攻擊的目標(biāo)之一。1、口令破解的方法先用掃描工具（如finger）找出網(wǎng)絡(luò)中主機上的用戶帳號，然后采用字典窮舉法生成大量的隨機密碼。然后利用這些密碼登錄用戶的系統(tǒng)。如果密碼不對，就使用下一個隨機密碼，直到密碼被查出為止。另一種方法是利用系統(tǒng)的漏洞獲取系統(tǒng)安全帳號文件，采用口令破解器進行破解。三、口令破解2、口令破解器是一個程序。通過嘗試一個個的單詞，用知道的加密算法來加密這些單詞，直到發(fā)現(xiàn)一個單詞經(jīng)過加密后的結(jié)果與要解密的數(shù)據(jù)一樣，就認(rèn)為這個單詞就是要找的密碼。從理論上講，任何密碼都是可以破解的，只是時間的問題。注冊碼的破解：一是修改安裝程序。利用Soft-ICE等軟件，設(shè)置中斷，跳過判斷。二是算法嘗試。4、防止口令破解封鎖帳戶入侵者（設(shè)置用戶登錄次數(shù)）。加強對各網(wǎng)絡(luò)系統(tǒng)的安全帳戶文件管理。（sam文件）選擇好的安全密碼。驗證碼危險的口令：1、口令=用戶名2、用戶名的變換形式3、生日口令4、常用英文單詞5、使用5位以下字符安全的口令：1、8位以上長度2、含大小寫、數(shù)字、控制符3、不要太常見4、不應(yīng)是自己的名字或一部分或加數(shù)字。5、不用電話號碼、生日、英文單詞（+數(shù)字）6、不用身份證號的一部分7、不要將口令寫下或存于計算機中8、不要在不同系統(tǒng)上使用同一口令9、在輸入口令時應(yīng)確認(rèn)旁邊無人對于Windows操作系統(tǒng)，還應(yīng)做到：1、采用NTFS的文件管理系統(tǒng);2、正確設(shè)置系統(tǒng)文件夾的權(quán)限，務(wù)必使只有Administrators組的用戶才能訪問;3、取消普通用戶訪問注冊表的權(quán)限。

再安全的密碼也不是無懈可擊的，只有安全的密碼配上1_3個月更換一次的安全制度才是比較安全的。

特洛伊木馬來自于希臘神話，是一個包含在一個合法程序中的非法的程序。這里指的是一種黑客程序，它一般有兩個程序，一個是服務(wù)器端程序，一個是控制器端程序。如果用戶的電腦安裝了服務(wù)器端程序，那么黑客就可以使用控制器端程序進入用戶的電腦，通過命令服務(wù)器端程序達到控制用戶電腦的目的。四、特洛伊木馬1、什么叫特洛伊木馬特洛伊木馬是一個程序，它駐留在目標(biāo)計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數(shù)據(jù)識別后，對目標(biāo)計算機執(zhí)行特定的操作。木馬，其實質(zhì)只是一個通過端口進行通信的網(wǎng)絡(luò)客戶/服務(wù)程序?；靖拍?網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺主機提供服務(wù)(服務(wù)器)，另一臺主機接受服務(wù)(客戶機)。作為服務(wù)器的主機一般會打開一個默認(rèn)的端口并進行監(jiān)聽(Listen),如果有客戶機向服務(wù)器的這一端口提出連接請求(ConnectRequest),服務(wù)器上的相應(yīng)程序就會自動運行，來應(yīng)答客戶機的請求，這個程序稱為守護進程(UNIX的術(shù)語,不過已經(jīng)被移植到了MS系統(tǒng)上)。對于特洛伊木馬，被控制端就成為一臺服務(wù)器，控制端則是一臺客戶機，G_server.exe是守護進程,G_client是客戶端應(yīng)用程序。2、感染特洛伊木馬的現(xiàn)象死機、重啟，長時間讀寫硬盤、搜索軟盤。速度越來越慢，資源占用多。任務(wù)表中有可疑的文件在運行。3、特洛伊木馬的工作原理第一步木馬服務(wù)端程序的植入攻擊者要通過木馬攻擊用戶的系統(tǒng)，一般他所要作的第一步就是要把木馬的服務(wù)器端程序植入用戶的電腦里面。植入的方法有：①下載的軟件②通過交互腳本③通過系統(tǒng)漏洞木馬也可以通過Script、ActiveX及Asp、Cgi交互腳本的方式植入，由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞，攻擊者可以利用這些漏洞傳播病毒和木馬，甚至直接對瀏覽者電腦進行文件操作等控制。如果攻擊者有辦法把木馬執(zhí)行文件上載到攻擊主機的一個可執(zhí)行WWW目錄夾里面，他可以通過編制Cgi程序在攻擊主機上執(zhí)行木馬目錄。木馬還可以利用系統(tǒng)的一些漏洞進行植入，如微軟著名的IIS服務(wù)器溢出漏洞，通過一個IISHACK攻擊程序即把IIS服務(wù)器崩潰，并且同時在攻擊服務(wù)器執(zhí)行遠(yuǎn)程木馬執(zhí)行文件。第二步木馬將入侵主機信息發(fā)送給攻擊者

木馬在被植入攻擊主機后，他一般會通過一定的方式把入侵主機的信息，如主機的IP地址、木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者就可以與木馬里應(yīng)外合控制受攻擊主機。第三步木馬程序啟動并發(fā)揮作用

黑客通常都是和用戶的電腦中木馬程序聯(lián)系，當(dāng)木馬程序在用戶的電腦中存在的時候，黑客就可以通過控制器端的軟件來命令木馬做事。這些命令是在網(wǎng)絡(luò)上傳遞的，必須要遵守TCP/IP協(xié)議。TCP/IP協(xié)議規(guī)定電腦的端口有256X256=65536個，從0到65535號端口，木馬可以打開一個或者幾個端口，黑客使用的控制器端軟件就是通過木馬的端口進入用戶的電腦的。特洛伊木馬要能發(fā)揮作用必須具備三個因素：①木馬需要一種啟動方式，一般在注冊表啟動組中；②木馬需要在內(nèi)存中才能發(fā)揮作用；③木馬會打開特別的端口，以便黑客通過這個端口和木馬聯(lián)系。

木馬程序會想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄中隱藏自己，這是最基本的只要把Form的Visible屬性設(shè)為False、ShowInTaskBar設(shè)為False，程序運行時就不會出現(xiàn)在任務(wù)欄中了。在任務(wù)管理器中隱形：將程序設(shè)為“系統(tǒng)服務(wù)”可以偽裝自己。當(dāng)然它也會悄無聲息地啟動，木馬會在每次用戶啟動時自動裝載服務(wù)端，Windows系統(tǒng)啟動時自動加載應(yīng)用程序的方法，“木馬”都會用上，如：啟動組、win.ini、system.ini、注冊表等等都是“木馬”藏身的好地方。木馬程序的存在形式基于Windows的木馬程序一般采用啟動時自動加載應(yīng)用程序的方法，主要包括：（1）Win.ini：“run=”、“l(fā)oad=”項目中的程序名;（2）system.ini：“shell=Explorer.exe”項后的程序名（3）注冊表：“Run”項中的程序在win.ini文件中，在[WINDOWS]下面，“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑，一般情況下，它們的等號后面什么都沒有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上“木馬”了。當(dāng)然你也得看清楚，因為好多“木馬”，如“AOLTrojan木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會發(fā)現(xiàn)它不是真正的系統(tǒng)啟動文件。在system.ini文件中，在[BOOT]下面有個“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟著的那個程序就是“木馬”程序，就是說你已經(jīng)中“木馬”了。目前,除了上面介紹的隱身技術(shù)外,更新、更隱蔽的方法已經(jīng)出現(xiàn)，那就是-驅(qū)動程序及動態(tài)鏈接庫技術(shù)。驅(qū)動程序及動態(tài)鏈接庫技術(shù)和一般的木馬不同，它基本上擺脫了原有的木馬模式-監(jiān)聽端口，而采用替代系統(tǒng)功能的方法（改寫驅(qū)動程序或動態(tài)鏈接庫）。這樣做的結(jié)果是：系統(tǒng)中沒有增加新的文件（所以不能用掃描的方法查殺）、不需要打開新的端口（所以不能用端口監(jiān)視的方法查殺）、沒有新的進程（所以使用進程查看的方法發(fā)現(xiàn)不了它，也不能用kill進程的方法終止它的運行）。在正常運行時木馬幾乎沒有任何的癥狀,而一旦木馬的控制端向被控端發(fā)出特定的信息后,隱藏的程序就立即開始運作。隱藏方式

(1)修改圖標(biāo)當(dāng)你在E－mail的附件中看到如圖2所示的圖標(biāo)時，是否會認(rèn)為這是個文本文件呢？但是我不得不告訴你，這也有可能是個木馬程序，現(xiàn)在已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML，TXT，ZIP等各種文件的圖標(biāo)，這有相當(dāng)大的迷惑性，但是目前提供這種功能的木馬還不多見，并且這種偽裝也不是無懈可擊的，所以不必整天提心吊膽，疑神疑鬼的。隱藏方式

(2)捆綁文件這種偽裝手段是將木馬捆綁到一個安裝程序上，當(dāng)安裝程序運行時，木馬在用戶毫無察覺情況下，偷偷地進入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件（即EXE，COM一類的文件）。隱藏方式

(3)出錯顯示有一定木馬知識的人都知道，如果打開一個文件，沒有任何反應(yīng)，這很可能就是個木馬程序，木馬的設(shè)計者也意識到了這個缺陷，所以已經(jīng)有木馬提供了一個叫做出錯顯示的功能。當(dāng)服務(wù)端用戶打開木馬程序時，會彈出一個錯誤提示框（這當(dāng)然是假的），錯誤內(nèi)容可自由定義，大多會定制成一些諸如“文件已破壞，無法打開！”之類的信息，當(dāng)服務(wù)端用戶信以為真時，木馬卻悄悄侵入了你的系統(tǒng)。隱藏方式

(4)定制端口很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來了方便，只要查一下特定的端口就知道感染了什么木馬，所以現(xiàn)在很多木馬都加入了定制端口的功能，控制端用戶可以在1024~65535之間任選一個端口作為木馬端口（一般不選1024以下的端口），這樣就給判斷所感染木馬類型帶來了麻煩。隱藏方式

(5)

自我銷毀

這項功能是為了彌補木馬的一個缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬會將自己拷貝到Windows系統(tǒng)文件中，一般來說原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的（捆綁文件的木馬除外），那么只要在近來收到的信件和下載的軟件中找到原木馬文件，然后根據(jù)原木馬的大小系統(tǒng)文件夾找相同大小的文件，判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動銷毀，這樣服務(wù)端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難刪除木馬了。

隱藏方式

(6)木馬更名

安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章，按圖索驥在系統(tǒng)文件夾查找特定的文件，就可以知道中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。隱蔽性隱藏程序，與正常程序綁定，假冒圖片、系統(tǒng)等文件。功能特殊性搜索口令、設(shè)置口令、記錄鍵盤、操作遠(yuǎn)程注冊表以及顛倒屏幕、鎖定鼠標(biāo)等功能。4、特洛伊木馬的特點遠(yuǎn)程訪問型

可遠(yuǎn)程訪問被攻擊者的硬盤。密碼發(fā)送型

將各種密碼通過電子郵件發(fā)送到攻擊者手中。鍵盤記錄型

記錄受害者的鍵盤輸入。毀壞型

刪除文件。FTP型

打開目標(biāo)計算機的21端口，取得上傳下載權(quán)限。5、特洛伊木馬的分類可獲得最高優(yōu)先權(quán)：“系統(tǒng)管理員”級。做任何能做的事?？筛`取國家機密及個人隱私，投放惡性病毒。獲取、修改、刪除計算機中的任何信息、文件及重要資料?？晒襞c計算機聯(lián)網(wǎng)的其它計算機。6、特洛伊木馬的危害性不要隨便從網(wǎng)點上下載軟件;不要隨便運行別人給的軟件;尤其要認(rèn)真檢查E-mail。刪除木馬最簡單的方法是安裝殺毒軟件，現(xiàn)在很多殺毒軟件都能刪除多種木馬。但是由于木馬的種類和花樣越來越多，所以手動刪除還是最好的辦法。木馬在啟動后會被加載到注冊表的啟動組中，它會先進入內(nèi)存，然后打開端口。所以在查找木馬時要先使用TCPVIEW，而后開始查找開放的可疑端口。7、木馬的預(yù)防與清除BackOrificeBO2000NetBus8、幾種著名的特洛伊木馬特洛伊木馬防御原理知道了木馬的攻擊原理和隱身方法，我們就可以采取措施進行防御了。

1.端口掃描

2.查看連接

3.檢查注冊表

4.查找文件1.端口掃描端口掃描是檢查遠(yuǎn)程機器有無木馬的最好辦法,端口掃描的原理非常簡單,掃描程序嘗試連接某個端口,如果成功,則說明端口開放,如果失敗或超過某個特定的時間(超時),則說明端口關(guān)閉。但對于驅(qū)動程序/動態(tài)鏈接木馬,掃描端口是不起作用的。2.查看連接查看連接和端口掃描的原理基本相同，不過是在本地機上通過netstat-a（或某個第三方程序）查看所有的TCP/UDP連接，查看連接要比端口掃描快，但同樣是無法查出驅(qū)動程序/動態(tài)鏈接木馬,而且僅僅能在本地使用。3.檢查注冊表上面在討論木馬的啟動方式時已經(jīng)提到，木馬可以通過注冊表啟動（好像現(xiàn)在大部分的木馬都是通過注冊表啟動的，至少也把注冊表作為一個自我保護的方式），那么，我們同樣可以通過檢查注冊表來發(fā)現(xiàn)冰河在注冊表里留下的痕跡。4.查找文件查找木馬特定的文件也是一個常用的方法，木馬的一個特征文件是kernl32.exe,另一個是sysexlpr.exe，只要刪除了這兩個文件,木馬就已經(jīng)不起作用了。如果你只是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本文件打不開了,sysexplr.exe是和文本文件關(guān)聯(lián)的,你還必須把文本文件跟notepad關(guān)聯(lián)上。另外，對于驅(qū)動程序/動態(tài)鏈接庫木馬，有一種方法可以試試，使用Windows的“系統(tǒng)文件檢查器”，通過“開始菜單”-“程序”-“附件”-“系統(tǒng)工具”-“系統(tǒng)信息”-“工具”可以運行“系統(tǒng)文件檢查器”,用“系統(tǒng)文件檢查器”可檢測操作系統(tǒng)文件的完整性，如果這些文件損壞，檢查器可以將其還原，檢查器還可以從安裝盤中解壓縮已壓縮的文件（如驅(qū)動程序）。如果你的驅(qū)動程序或動態(tài)鏈接庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的文件可以保證你的系統(tǒng)安全和穩(wěn)定。緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方。在程序試圖將數(shù)據(jù)放到計算機內(nèi)存中的某一位置，但沒有足夠空間時會發(fā)生緩沖區(qū)溢出。緩沖區(qū)溢出是一種系統(tǒng)攻擊手段，通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達到攻擊的目的。程序員可以通過謹(jǐn)慎的編程技巧消除緩沖區(qū)溢出問題。五、緩沖區(qū)溢出及其攻擊第五節(jié)黑客攻擊的一般步驟及防范措施入侵級別1級：郵件炸彈、簡單服務(wù)拒絕2級：本地用戶獲得非授權(quán)讀訪問3級、本地用戶獲得非授權(quán)寫權(quán)限、遠(yuǎn)程用戶獲得非授權(quán)的帳號4級：遠(yuǎn)程用戶獲得特權(quán)文件的讀權(quán)限5級：遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限6級：遠(yuǎn)程用戶擁有了根（root）權(quán)限（黑客已攻克系統(tǒng)）。黑客攻擊系統(tǒng)的步驟1、收集目標(biāo)計算機的信息2、尋找目標(biāo)計算機的漏洞和選擇合適的入侵方法3、留下“后門”4、清除入侵記錄黑客攻擊一般過程端口掃描httpftptelnetsmtp黑客攻擊一般過程口令暴力攻擊用戶名:john口令:john1234黑客攻擊一般過程用john登錄服務(wù)器利用漏洞獲得超級用戶權(quán)限留后門隱藏用戶更改主頁信息典型的網(wǎng)絡(luò)攻擊示意圖選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門新建帳號獲取超級用戶權(quán)限攻擊其它主機獲取或修改信息從事其它非法活動掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令，從而發(fā)現(xiàn)突破口。對付黑客入侵的措施進行評估：入侵者只獲得訪問權(quán)（一個登錄名和口令）入侵者獲得訪問權(quán)，并毀壞、侵蝕或改變數(shù)據(jù)入侵者獲得訪問權(quán)，并捕獲系統(tǒng)一部分或整個系統(tǒng)控制權(quán)，拒絕擁有特權(quán)的用戶的訪問入侵者沒有獲得訪問權(quán)，而是用不良的程序，引起網(wǎng)絡(luò)持久性或暫時性的運行失敗、重新啟動、掛起或其他無法操作的狀態(tài)。根據(jù)以上不同程度采取相應(yīng)措施防范1、了解黑客入侵后的特征有時突然死機，然后又重新啟動。在無任何操作時，卻拼命讀寫硬盤;無故對軟驅(qū)進行搜索。沒有運行大程序，而系統(tǒng)的速度越來越慢。用Netstat命令查看計算機網(wǎng)絡(luò)狀況，發(fā)現(xiàn)有非法端口打開，并有人連接用戶。關(guān)閉所有的上網(wǎng)軟件，卻發(fā)現(xiàn)用戶網(wǎng)絡(luò)連接燈仍然閃爍。Win2000/NT中，新增了額外的管理員帳號和用