信息犯罪与计算机取证 第三章计算机入侵.

Presentation on theme: "信息犯罪与计算机取证 第三章计算机入侵."— Presentation transcript:

1 信息犯罪与计算机取证 第三章计算机入侵

2 本章重点内容： 计算机入侵、安全扫描的概念、特点、 方法，主要攻击手段、攻击方法，针对 攻击的相应的防护手段，针对木马、病 毒、蠕虫的预防和防护等。

3 本章学习要求： 通过本章学习，掌握计算机入侵的特点 和方法。掌握不同的攻击手段，掌握木 马、病毒、蠕虫的特点、预防和防护； 掌握计算机安全扫描的步骤和流程作。 了解黑客攻击的最新手段和发展趋势， 了解反计算机入侵的最新技术，以及木 马、病毒、蠕虫的发展趋势。

4 背景 所谓计算机入侵是指黑客利用相关的工 具通过对目标系统或目标网络，首先进 行一系列的信息搜集、调查，找到目标 系统的脆弱点，然后根据其漏洞或存在 弱点实施相对应的攻击，待攻击成功后， 一般都实施后门安装、木马嵌入等操作， 以待下一次直接实施攻击，最后擦除相 关的日志记录或审计信息，消除攻击痕 迹。

5 3.1 入侵类型 最常见的计算机入侵攻击类型： 拒绝服务（DOS）攻击；电子邮件入侵； 即时消息入侵；口令破解入侵；木马入 侵；缓冲区溢出入侵；身份认证入侵； SQL 注入入侵；Web跨站攻击。

6 3.1.1 拒绝服务攻击 1．拒绝服务威胁 （1）导致像带宽，路由器和系统等一 些重要的基础资源的严重浪费。
（2）合法的用户不能获得提供的重要 服务。 （3）客户在具体信息时，或是完全断 线，或是网速很慢。

7 （4）顾客、客户、合作伙伴和媒体代 表不能访问你的网站时，可能会影响公 司的公共形象。
（5）由于DOS攻击可能临时的造成大 多数服务的瘫痪，它们导致了开发、通 信、研究及其他工作的混乱。 （6）可以导致数据的丢失，时间以及 资源的浪费，此外，可能会导致普遍的 使用不便和客户不满。

8 2．拒绝服务的步骤 最简单的DOS攻击主要包括以下两步： 攻击者→发送恶意\大量的代码→被攻 击者
被攻击者→不能及时地处理恶意代码→ 系统崩溃

9 （1）攻击者使用数据报生成软件产生 大量的恶意数据，这些数据包接着通过 特定的协议组被发送到被攻击者的电脑 中。
（2）由于被攻击者的网络或电脑不能 处理这些恶意数据，电脑会崩溃，中止 运行或重新启动。被攻击者出现这种情 况，主要是由于TCP/IP协议组中的数据 缺乏有效的验证。

10 3．Ping of Death（死亡之ping）
Ping of death是一种传统的DOS攻击形式。 因为它的实施非常简单，因而产生了大面 积的破坏。 Ping of Death 的工作原理是建立在网络的 输入验证漏洞基础上的，被发送的数据包 的尺寸没有检查。 攻击者将产生超过最大上限（65536字节） 的数据包，发送给被攻击者。被攻击的机 器不知道如何处理这个数据包，从而造成 了系统的死机、运行中止或重新启动。

11 4．Teardrop（泪珠攻击） Teardrop攻击是一种至今还危害Internet 上数千个系统的DOS攻击。
这个攻击是建立在TCP/IP协议栈漏洞， Internet上一些易受攻击的系统受到远 程攻击，导致系统的中止、重新启动和 死机。

12 5．SYN 泛洪 SYN泛洪通常是Internet上危险的DOS 攻击之一。
这种DOS攻击不仅被广泛地用于瘫痪目 标网络，而且有时是攻击者成功实施IP 地址欺骗的前奏。

13 6．Land 攻击 Land攻击也是另一种危险的DOS攻击， 在Internet上这个攻击有一定的基础。
这种类型的DOS攻击利用了存在于某些 特定实现的TCP/IP协议的漏洞，响应这 些易受攻击的网络不能处理这些特定的 数据包。

14 工作原理主要如下： 攻击者→来自于目标系统的伪造的SYN 包→目标

15 7．Smurf 攻击 Smurf 攻击是利用ICMP协议强迫目标电 脑重新启动或死机的DOS攻击。
步骤 1: 客户机→ICMP echo请求→主机 步骤 2: 主机→ICMP echo 应答→客户机 （如果活跃）

16 8．UDP 泛洪 当两个UDP服务相互连接（常用的是 chargen端口与echo端口的互换），产 生了大量的输出数据，这个会导致DOS 攻击。

17 9．混合 DOS 攻击 Internet上的许多的系统管理员都使用 很多的对策，近来，出现了混合形式的 DOS攻击，在这种攻击中，攻击者联合 两种或多种类型的攻击，形成了混合 DOS攻击。

18 一些混合DOS攻击的例子： （1）Teardrop 哄骗DOS 攻击 （2）重叠land攻击 （3）混合的 SMURF 攻击

19 10．基于应用的特定DOS 攻击 在Internet上有许多的特定的DOS攻击。 通过发送大量的恶意代码可以使大量的 应用程序、后台程序和软件死机或运行 缓慢。 这些基于应用特定的DOS攻击和应用系 统中存在的缺陷有千丝万缕的关系。

20 11．分布式拒绝服务攻击 由于通常的DOS攻击不足，后来发展为 分布式DOS攻击或D-DOS攻击。

21 （2）攻击者接着闯入这个安全不健全 的诱骗网络，控制所有的系统（在本例 中100）。在完成这步之后，攻击者接 着在每个系统上安装分布式DOS工具或 代理体，作为诱骗网络的一部分。

22 3.1.2 电子邮件入侵 1．电子邮件威胁 （1）几乎没有几家公司使用加密的电 子邮件。
（2）几乎所有基于ISP或者网络的正规 电子邮件系统都依靠外部的未经认证的 系统来发送从出发地到目的地的邮件。 （3）对攻击者来说，给受害者发送匿 名垃圾邮件非常容易。

23 （4）大多数雇员使用主流电子邮件客户 端程序来收发邮件，诸如Outlook Express、 Microsoft Outlook、Eudora Pro等等。电子 邮件的流行也导致了病毒的大量孳生。
（5）另一个电子邮件客户端的常见问题 是：当用户在进行身份确认时，其用户名 和密码一起以明文的形式送至邮件服务器， 这样，攻击者很容易使用sniffer软件窃取 密码并进行恶意犯罪。 （6）伪造电子邮件已成为普遍的严重问 题。。

24 （7）攻击者通常针对人或者计算机两 个方面，利用电子邮件可进行社会工程 学攻击。他们通过社会工程学攻击等来 获取更多信息。
（8）大多在线电子邮件供应商对入侵 式非法攻击束手无策，诸如DOS攻击、 缓存器溢出等等一系列行为。 （9）用户最头痛的要属垃圾邮件了。

25 2．电子邮件攻击种类 比较常见的攻击如下： （1）骚扰邮件； （2）伪造邮件； （3）垃圾邮件； （4）假冒邮件。

26 3.1.3 即时消息入侵 1．即时消息入侵原因 （1）现今主要即时消息软件对发送的 消息内容不进行加密。。
（2）多数IM系统中的消息都在不安全 的因特网上传送。 （3）一些IM系统使用Javascript、Jscript、 VBScript等脚本语言，这些新功能提高 了用户的聊天质量，但同时也带来了安 全隐患。

27 2．即时消息入侵手段 （1）许多IM系统难以识别攻击者伪装 成他人的诈骗技术。 （2）多数IM软件的密码容易被破解。
（3）IM系统存在安全隐患，容易受到 诸如DOS和缓冲区溢出攻击。 （4）由于即时消息软件日益受欢迎， 而其安全性问题又不被重视，故成为病 毒生成和传播的最佳途径。 （5）IM系统为破坏分子大大地简化了 社会工程学攻击过程。

28 3.1.4 口令破解入侵 1．口令猜测 口令猜测可能是在互联网上流行的一种 最普通的口令破解技术。 攻击者通常使用的口令是：
（1）例如elizabeth0302，爱人的姓名+生日 /电话号码。 （2）例如mqh2405，被攻击者的姓名+生 日/电话号码。

29 2．默认口令 相当数量的本地和在线应用程序在软件 开发期间内，已经被注册上默认口令。 禁止使用全部的默认口令是十分必要 的。

30 3．字典攻击 基于字典的攻击是一种通过不断的试验 来命中口令的破解技术，这种口令攻击 技术，被攻击者大量的使用，攻击者使 用自动化的工具，可以试验字典中所有 的单词。 这种技术最大的不足是需要消耗系统大 量的资源，速度相对较慢。

31 4．暴力口令攻击 破解工具会试验所有可能的按键组合 （键盘上的按键），一旦与口令正确匹 配，工具将口令显示在屏幕上，这种通 过不同的排列组合试验来破解被攻击者 口令的方法，能够破解所有的口令。 但是，由于口令可能的排列组合的规模 太大，暴力口令攻击有时会消耗太长的 时间。

32 表 3-1 常用口令破解工具 应用程序 口令破解工具 下载网址 Zip 文件 Advanced ZIP Password Recovery
即时通信（Messengers） Advanced Instant Messenger Password Recovery Windows 登陆口令 L0phtcrack 电子邮件客户程序 Advanced Mailbox Password Recovery PDF 文件 Advanced PDF Password Recovery 微软Office 口令 Office Key 所有的Windows 口令 Advanced Windows Password Recovery IE口令 Internet Explorer Password Recovery File Maker Pro 文件 File Maker Key Web 口令 WebBrute

33 3.1.5 远程控制入侵 1．网络游戏远程控制 网络游戏木马通常采用记录用户键盘输 入、Hook游戏进程API函数等方法获取 用户的密码和帐号。

34 2．网银木马远程控制 网银木马是针对网上交易系统编写的木 马病毒，其目的是盗取用户的卡号、密 码，甚至安全证书。
此类木马种类数量虽然比不上网游木马， 但它的危害更加直接，受害用户的损失 更加惨重。

35 3．即时通讯软件远程控制 （1）发送消息型。 （2）盗号型。 （3）传播自身型。

36 4．网页点击类远程控制 网页点击类木马会恶意模拟用户点击广 告等动作，在短时间内可以产生数以万 计的点击量。病毒作者的编写目的一般 是为了赚取高额的广告推广费用。 此类病毒的技术简单，一般只是向服务 器发送HTTP GET请求，

37 5．下载类木马远程控制 这种木马程序的体积一般很小，其功能 是从网络上下载其他病毒程序或安装广 告软件。
例如：“灰鸽子”、“黑洞”等，传播时都 单独编写一个小巧的下载型木马，用户 中毒后会把后门主程序下载到本机运行。

38 6．代理类木马远程控制 用户感染代理类木马后，会在本机开启 HTTP、SOCKS等代理服务功能。
黑客把受感染计算机作为跳板，以被感 染用户的身份进行黑客活动，达到隐藏 自己的目的。

39 3.1.6 缓冲区溢出入侵 所有的缓冲区溢出攻击都归因于内存管 理的混乱， 其主要分为以下4个类型： 堆栈溢出； 格式串溢出； 堆溢出；
整型溢出。

40 3.1.7 身份认证入侵 每个黑客的恶意攻击行为都不想被捕获。 最好的策略就是攻击者利用身份盗取或 身份劫持。
身份劫持攻击不但确保了攻击者不被抓 获，同时也把指责推强加于无辜人头上， 并未留下任何可供追查的痕迹。

41 1．代理服务器 是黑客所采用的最为通用的方法来隐藏 或伪装其身份或Internet上的IP地址。全 球的计算机罪犯利用代理服务器匿名地 对目标计算机进行恶意攻击。 相反，大多数普通Internet用户也通过 代理服务器连接，试图隐藏其真实的IP 地址，以防止恶意侵犯。

42 2．代理跃迁 只要用户在与实际的目标系统建立连接 前连入或激活多个不同的代理服务器就 会用到代理跃迁技术。
例如：在一次典型的代理跃迁攻击中， 建立了以下的连接关系： 用户→代理1→代理2→代理3→代理4→ 代理5→最终目标

43 3．IP哄骗 IP欺诈是在黑客欺骗或诱骗目标系统过 程中的一个过程，以使目标系统相信黑 客所发的数据包源于真实的系统。

44 4．(源)伪路由攻击 TCP/IP报头里面, 有一个可以指定source routing的选项,他允许指定当你的数据 包发送到对方后,对方返回数据给你要 通过的路由表。这个给数据包发送,程 序通讯等带来很大的方便。

45 但是这个中间存在很大的安全隐患, 因 为可以指定任意路由, 那么数据包发送 者可以自己定义数据包头来伪装成内部 主机,或者信任主机,和目标机器建立信 任连接。
这个过程称为伪路由攻击或者是源路由 攻击。

46 3.1.8 SQL注入入侵 SQL注入入侵是一种形式的输入校验攻 击，攻击者使用特殊的SQL查询或命令 对目标系统实施恶意活动。
一般情况下，攻击者需要找出在线的表 格（如登录提示，搜索查询，客户预 订，反馈表格等），这些表格允许用户 向远程的服务器提交数据。而且，任何 提及的动态页面或ASP，PHP，CGI和其 他的一些脚本都是攻击者可以利用的潜 在目标。

47 3.1.9 Web跨站攻击 又叫CSS (Cross Site Script) ，跨站脚 本攻击。
它指的是恶意攻击者往Web页面里插入 恶意html代码，当用户浏览该页之时， 嵌入其中Web里面的html代码会被执行， 从而达到恶意用户的特殊目的。

48 CSS属于被动式的攻击，因为其被动且 不好利用，所以许多人常忽略其危害性。

49 Web跨站攻击可分为两类： 一类是来自内部的攻击，主要指的是利 用程序自身的漏洞，构造跨站语句。 另一类则是来来自外部的攻击，主要指 的自己构造CSS跨站漏洞网页或者寻找 非目标机以外的有跨站漏洞的网页。

50 3.2 入侵扫描 很多入侵服务器的行为都是从扫描服务 器端口开始的
。这些入侵者通常会利用一些工具，首 先判断服务器是否存在，进而探测其开 放的端口和存在的漏洞，然后根据扫描 结果采取相应的攻击手段实施攻击。

51 3.2.1 端口概念及分类 1．端口概念： 在网络技术中，端口（Port）大致有两 种意思：
一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于 连接其他网络设备的接口，如RJ-45端 口、SC端口等等。

52 二是逻辑意义上的端口，一般是指 TCP/IP协议中的端口，端口号的范围从 0到65535，比如用于浏览网页服务的80 端口，用于FTP服务的21端口等等。

53 2．端口分类： （1）按端口号分布划分 ① 知名端口（Well-Known Ports） ② 动态端口（Dynamic Ports）

54 （2）按协议类型划分 ① TCP端口 ② UDP端口

55 3．端口有关操作： （1）查看端口 （2）关闭/开启端口 注意：
在Windows 98中没有“服务”选项，可以 使用防火墙的规则设置功能来关闭/开 启端口。

56 3.2.2 端口扫描工具使用 1．X－Scan扫描器 X-Scan扫描器采用多线程方式对指定IP 地址段(或单机)进行安全漏洞检测，支 持插件功能。

57 图3-1 X-Scan扫描器界面

58 （1） X-Scan扫描器设置 该软件为绿色软件，无需安装。打开X- Scan，可以看到非常简洁的GUI界面。 菜单栏如图3-1所示。

59 图3-2 “扫描参数”界面

60 （2）X-Scan扫描器扫描及结果分析 点击开始按钮，X-Scan就可以开始扫描。 如图3-3所示。

61 图3-3 “扫描进程”

62 扫描完毕后，将会使用你选择的扫描报 告形式予以报告。
如下图所示。

63 图3-4 扫描报告－1　　

64 图3-5 扫描报告－2

65 针对各个安全问题，X-Scan都给出了相 关的解决方案。
如图3-6所示，我们就很容易的发现 ftp(21/tcp)在本地的安全级别不高，恶 意人员可能通过该漏洞入侵到服务器中。

66 图3-6 扫描报告－3

67 本地计算机存在诸多的TCP安全问题。 如图3-7所示可以发现，很多基于TCP 的端口存在安全问题。
端口21、443、1080、8080等是本次扫 描反映出来的问题，具体的信息可以参 照以上查看扫描报告。

68 图3-7 扫描结果分析

69 2． 流光扫描器的使用 流光扫描器具体操作步骤如下： 流光软件整个菜单界面，如图3-8所示。

70 图3-8 “流光”界面

71 点击文件菜单，选择高级扫描向导，弹 出如图3-9所示。
依次点击下一步。

72 图3-9“高级扫描向导”设置界面

73 图3-10“高级扫描向导”PORTS界面

74 图3-11“高级扫描向导”PLUGINS界面

75 最后给出保存扫描报告的的地方，如图 3-12所示。点击完成。
开始扫描，如图3-13所示。

76 图3-12 “保存扫描报告”界面

77 图3-13 扫描界面

78 图3-14 扫描结果

79 3.2.3 地址扫描与欺骗 IP欺骗技术就是伪造某台主机的IP地址 的技术。

80 1．ipconfig （1）具体功能 该命令用于显示所有当前的 TCP/IP 网 络配置值、刷新动态主机配置协议 (DHCP) 和域名系统 (DNS) 设置。 使用不带参数的Ipconfig 可以显示所有 适配器的 IP 地址、子网掩码、默认网 关。

81 （2）语法详解 Ipconfig [/all] [/renew [adapter] [/release [adapter] [/flushdns] [/displaydns] [/registerdns] [/showclassid adapter] [/setclassid adapter [classID]。 具体参数见图3-15所示

82 图3-15 ipconfig命令详解

83 （3）参数说明 /all 显示所有适配器的完整 TCP/IP 配置 信息，见图3-16。 在没有该参数的情况下 IPCONFIG 只显 示 IP 地址、子网掩码和各个适配器的 默认网关值。适配器可以代表物理接口 ( 例如安装的网络适配器 ) 或逻辑接口 ( 例如拨号连接 ) 。

84 /renew [adapter] 更新所有适配器 ( 如果 未指定适配器 ) ，或特定适配器 ( 如果 包含了 adapter 参数 ) 的 DHCP 配置。
该参数仅在具有配置为自动获取 IP 地 址的网卡的计算机上可用。 要指定适配器名称，键入使用不带参数 的 IPCONFIG 命令显示的适配器名称， 见图3-17。

85 图3-17 Ipconfig/renew命令

86 图3-16 Ipconfig/all命令

87 /release [adapter] 发送 DHCPRELEASE 消息到 DHCP 服务器。
以释放所有适配器 ( 如果未指定适配 器 ) 或特定适配器 ( 如果包含了 adapter 参数 ) 的当前 DHCP 配置并丢弃 IP 地 址配置，见图3-18。

88 图3-18 Ipconfig/release 命令

89 2．ARP ARP是一个重要的TCP/IP协议，并且用 于确定对应IP地址的网卡物理地址。
此外，使用arp命令，也可以用人工方 式输入静态的网卡物理/IP地址对，使用 这种方式为缺省网关和本地服务器等常 用主机进行这项作，有助于减少网络上 的信息量。

90 图3-19 Arp命令参数

91 arp -a或arp -g--用于查看高速缓存中的 所有项目,常见图3-20。
-a和-g参数的结果是一样的，多年来-g 一直是UNIX平台上用来显示ARP高速 缓存中所有项目的选项，而Windows用 的是arp -a（-a可被视为all，即全部的意 思），但它也可以接受比较传统的-g选 项。

92 图3-20 arp –a命令参数

93 arp -s IP 物理地址: 向ARP高速缓存中ip 地址与网卡的物理地址进行静态绑定。
该项目在计算机引导过程中将保持有效 状态，或者在出现错误时，人工配置的 物理地址将自动更新该项目，见图3-21。

94 图3-21 arp –s命令参数

95 3．Nslookup 是查询一台机器的IP地址和其对应的域 名。它通常需要一台域名服务器来提供 域名服务。如果用户已经设置好域名服 务器，就可以用这个命令查看不同主机 的IP地址对应的域名。 命令格式为1：Nslookup [域名]如图3- 22所示。

96 图3-22 Nslookup＋ip地址指令

97 命令格式为2：Nslookup [IP地址]如图3- 23所示。

98 图3-23 Nslookup＋域名指令

99 4． ARP欺骗及其防御 （1）ARP欺骗 地址解析协议欺骗 (简称：ARP欺骗)的 恶意木马程序的入侵破坏，严重影响了 局域网中用户计算机系统的正常运行。

100 （2）ARP预防 ① 不要把你的网络安全信任关系建立在IP 基础上或MAC基础上，（rarp同样存在欺 骗的问题），理想的关系应该建立在 IP+MAC基础上。 ② 设置静态的MAC-->IP对应表，不要让 主机刷新你设定好的转换表。 ③ 除非很有必要，否则停止使用ARP， 将ARP做为永久条目保存在对应表中。 ④ 使用ARP服务器。通过该服务器查找 自己的ARP转换表来响应其他机器的ARP 广播。确保这台ARP服务器不被黑。 　　　

101 ⑤ 使用"proxy"代理IP的传输。 ⑥ 使用硬件屏蔽主机。设置好你的路 由，确保IP地址能到达合法的路径。 （静态配置路由ARP条目），注意，使 用交换集线器和网桥无法阻止ARP欺骗。

102 ⑦ 管理员定期用响应的IP包中获得一个 rarp请求，然后检查ARP响应的真实性。 ⑧ 管理员定期轮询，检查主机上的ARP 缓存。 ⑨ 使用防火墙连续监控网络。注意有使 用SNMP的情况下，ARP的欺骗有可能导 致陷阱包丢失。

103 ⑩ 利用一些arp防御工具进行安全检测 和防御。
图3-24是ARP扫描检测程序Active ARP 1.0的主界面；绿色环保好用。

104 图3-24 Active ARP 1.0的主界面

105 3.2.4 木马的传播与扫描 1．木马传播方式 一种是通过 ,控制端将木马程序 以附件的形式夹在邮件中发送出去, 收 信人只要打开附件系统就会感染木马; 另一种是软件下载，一些非正规的网站 以提供软件下载为名义， 将木马捆绑 在软件安装程序上，下载后，只要一运 行这些程序，木马就会自动安装。

106 2．木马的伪装位置 (1) 修改图标 已经有木马可以将木马服务端程序的图 标改成HTML,TXT, ZIP等各种文件的图 标,这有相当大的迷惑性。 但是目前提供这种功能的木马还不多见, 并且这种伪装也不是无懈可击的。

107 (2) 捆绑文件 这种伪装手段是将木马捆绑到一个安装 程序上,当安装程序运行时，木马在用 户毫无察觉的情况下，偷偷的进入了系 统。
至于被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。

108 (3) 出错显示 已经有木马提供了一个叫做出错显示的 功能。当服务端用户打开木马程序时， 会弹出一个错误提示框。
错误内容可自由定义，大多会定制成一 些诸如“文件已破坏，无法打开的！” 之类的信息，当服务端用户信以为真时, 木马却悄悄侵入了系统。

109 (4) 定制端口 很多老式的木马端口都是固定的,这给 判断是否感染了木马带来了方便，只要 查一下特定的端口就知道感染了什么木 马。
现在很多新式的木马都加入了定制端口 的功能，控制端用户可以在 之间任选一个端口作为木马端口 (一般不选1024以下的端口)，这样就给 判断所感染木马类型带来了麻烦。

110 (5) 自我销毁 这项功能是为了弥补木马的一个缺陷。
是指安装完木马后，原木马文件将自动 销毁，这样服务端用户就很难找到木马 的来源，在没有查杀木马的工具帮助下， 就很难删除木马了。

111 (6) 木马更名 安装到系统文件夹中的木马的文件名一 般是固定的，那么只要根据一些查杀木 马的文章，按图索骥在系统文件夹查找 特定的文件,就可以断定中了什么木马。 所以现在有很多木马都允许控制端用户 自由定制安装后的木马文件名，这样很 难判断所感染的木马类型了。

112 3．木马位置扫描 服务端用户运行木马或捆绑木马的程序 后，木马就会自动进行安装。
首先将自身拷贝到WINDOWS的系统 文件夹中(C:\WINDOWS或 C:\WINDOWS\SYSTEM目录下)。 然后在注册表、启动组、和非启动组中 设置好木马的触发条件，这样木马的安 装就完成了。安装后就可以启动木马了。

113 （1）注册表：打开 HKEY_LOCAL_MACHINESoftwareMicr osoftWindowsCurrentVersion下的五个 以Run 和RunServices主键,在其中寻找可 能是启动木马的键值。 （2）WIN.INI：C:WINDOWS目录下 有一个配置文件win.ini，用文本方式打 开，在[windows]字段中有启动命令 load=和run=，在一般情况下是空白 的，如果有启动程序，可能是木马。

114 （3）SYSTEM. INI:C:WINDOWS目录下 有个配置文件system
（3）SYSTEM.INI:C:WINDOWS目录下 有个配置文件system.ini，用文本方式打 开，在[386Enh],[mic]， [drivers32]中有 命令行,在其中寻找木马的启动命令。 （4）Autoexec.bat和Config.sys:在C盘根 目录下的这两个文件也可以启动木马。 但这种加载方式一般都需要控制端用户 与服务端建立连接后，将已添加木马启 动命令的同名文件上传到服务端覆盖这 两个文件才行。

115 （5）*.INI：即应用程序的启动配置文 件，控制端利用这些文件能启动程序的 特点，将制作好的带有木马 启动命令 的同名文件上传到服务端覆盖这同名文 件，这样就可以达到启动木马的目的了。

116 （6）注册表：打开 HKEY_CLASSES_ROOT文件类型 \shellopencommand主键，查看其键值。举 个例子：国产木马“冰河”就是修改 HKEY_CLASSES_ROOT xtfileshellopencommand下的键值，将 “C :\WINDOWS\NOTEPAD.EXE %1”改为 “C:\WINDOWS\SYSTEMS\YXXXPLR.EXE %1”，这时你双 击一个TXT文件后，原本 应用NOTEPAD打开文件的，现在却变成 启动木马程序了。

117 （7）捆绑文件：实现这种触发条件首 先要控制端和服务端已通过木马建立连 接，然后控制端用户用工具软件将木马 文件和某一应用程序捆绑在一起，然后 上传到服务端覆盖原文件，这样即使木 马被删除了，只要运行捆绑了木马的应 用程序，木马又会被安装上去了。 （8）启动菜单：在“开始->程序->启 动”选项下也可能有木马的触发条件。

118 3.2.5 网络监听与扫描 1．网络监听技术 是提供给网络安全管理人员进行管理的 工具，可以用来监视网络的状态、数据 流动情况以及网络上传输的信息等。 网络监听可以在网上的任何一个位置实 施，如局域网中的一台主机、网关上或 远程网的调制解调器之间等。     

119 2．检测并防范网络监听 （1）对可能存在的网络监听的检测
 2．检测并防范网络监听 （1）对可能存在的网络监听的检测     ① 对于怀疑运行监听程序的机器， 用正确的IP地址和错误的物理地址 ping，运行监听程序的机器会有响应。 这是因为正常的机器不接收错误的物理 地址，处理监听状态的机器能接收，但 如果他的IPstack不再次反向检查的话， 就会响应。    

120 ② 向网上发大量不存在的物理地址的 包，由于监听程序要分析和处理大量的 数据包会占用很多的CPU资源，这将导 致性能下降。通过比较前后该机器性能 加以判断。这种方法难度比较大。
③ 使用反监听工具如antisniffer等进行 检测

121 （2）对网络监听的防范措施 ① 从逻辑或物理上对网络分段 ② 以交换式集线器代替共享式集线器 ③ 使用加密技术 ④ 划分VLAN

122 3.3 入侵攻击 3.3.1 Rootkit攻击 1．Rootkit攻击原理 攻击操作系统最隐秘破坏力最强的方式非 Rootkit攻击莫属。

123 2．Rootkit攻击趋势 （1） Rootkit不仅通过木马的形式，还 可以通过恶意软件的形式进行传播。 （2）嵌入式Windows Rootkit成为主流。 多年来，有71%的Rootkit活动是针对 Windows的，基于Windows的Rootkit将 成为未来的主流。 （3）在合法和非法的软件中都发现有 Rootkit攻击。

124 3.3.2 技术攻击 1．技术攻击目标 例如，下面的一段HTML代码可能就是一个 SQL注入攻击的目标，因为，它允许用户提交 数据，也可以获得一个ASP文件的引用。 <form action="scripts/login.asp" method="post" name="LoginForm"> <input type="text" name="username" value="username"></input> <input type="password" name="password" value="password"></input> </form>

125 一旦易受攻击的SQL服务器被发现了， 可以利用不同的注入攻击显示非法的纪 录，对于远程目标系统，绕过安全部件 或实施恶意命令。

126 2．攻击敏感记录 大多数的网站依赖某种类型的用户交互， 或是输入表格的形式，或输入查询。
在Internet上有大量的系统容易受到攻 击。攻击者通常能够获得敏感的用户信 息，账户信息和其他重要的数据。

127 3．绕开安全特征攻击 借助SQL注入攻击可以十分容易的绕开 登录提示符，一个了解SQL基本工作原 理的攻击者能够利用以上的例子来实施 输入校验攻击。

128 3.3.3 协议攻击 1．死亡之ping协议攻击分析 来自于这个攻击通常使用Ping工具，这 个工具内建在几乎所有的单机版的Unix 和Windows机器中。 因此，攻击者在攻击时，不需要下载和 安装任何的第三方的工具。

129 2．Teardrop协议攻击分析 在正常情况下，每一个TCP/IP连接，在 源系统一端，数据被分为几个更小的数 据包，在目标系统数据会重新组合。 然而，不幸的是，在目标系统的组合过 程中有一个小小的漏洞。

130 例如，在正常情况下，源系统需要传输 大约3 000个字节的数据，系统不会直 接将数据整体传输到目标电脑，而是在 源电脑端将3 000字节的数据首先分解 为更小的字节块，并将这些更小的字节 块传输出去：

131 每一个数据块携带一定的范围内的数据， 每一个字节块支持的数据范围是在字节 块中的TCP头部的位移字段中定义的， 数据包到达目标电脑，按照位移字段的 值（和顺序字段），数据会重新组合。

132 此外，当这些更小的字节块按照位移字 段重新组合时，并没有检查和确认。这 意味着通过简单的修改位移字段，确实 可以强迫远程目标电脑按照一定的方式 重新组合数据包。这个位移就是 Teardrop 实施DOS攻击的关键。 攻击者通过给目标系统发送一系列在位 移字段有重叠值的数据包实施攻击。

133 3．SYN 泛洪协议攻击分析 步骤 1: 攻击者→伪造的SYN 数据包→ 目标系统 步骤 2: 目标系统→SYN/ACK 数据包→ 伪造地址
步骤 3: 无应答

134 按照TCP/IP协议规定，在一定的时间间 隔之后，如果系统没有响应，一个连接 就会超时，会被自动的丢弃。同样的规 定也适用于SYN泛洪攻击，在特定的连 接超时之后，系统会自动的丢弃连接释 放一定数量的内存。

135 因此，由于SYN攻击，攻击者以超过队 列丢弃的速度发送伪造连接请求到目标 系统，目标电脑的内存不断地被消耗。 SYN泛洪攻击实施容易，却相当的危险， 同时很难防范。

136 4．分布式拒绝服务协议攻击分析 （1）分布式攻击的危害
① 分布式DOS攻击使得被攻击者更加 难以追踪攻击者的身份，由于攻击来自 于诱骗的网络，因此被攻击者相信诱骗 的网络是攻击者。换言之，分布式DOS 攻击允许隐藏自己的身份。 ② 与传统的DOS攻击相比，更加有效、 快速和危险。

137 ③ 由于攻击者已经完全控制诱骗网络， 他实际上可以利用销毁日志文件的所有 记录（操作系统、应用程序和shell）。
④ 系统管理员反击分布式DOS攻击没 有特别的对策。因此，防护网络受到如 此大规模的攻击是十分困难的。 ⑤ 某些DOS攻击只对特定的操作系统 有效，然而，大多数的分布式DOS攻击 会影响所有的平台，造成更严重的问题。

138 图3-25 DoS攻击原理图

139 DDoS（是一种分布、协作的大规模攻 击方式，主要瞄准比较大的站点，像商 业公司，搜索引擎和政府部门的站点。 与之不同的是DDoS攻击是利用一批受 控制的机器向一台机器发起攻击，这样 来势迅猛的攻击令人难以防备，因此具 有较大的破坏性。 DDoS的攻击原理如图3-26所示。

140 图3-26 DDoS攻击原理图

141 （2）攻击角色分析 ① 攻击者：攻击者所用的计算机是攻 击主控台，可以是网络上的任何一台主 机，甚至可以是一个活动的便携机。攻 击者操纵整个攻击过程，它向主控端发 送攻击命令。

142 ② 主控端：主控端是攻击者非法侵入 并控制的一些主机，这些主机还分别控 制大量的代理主机。主控端主机的上面 安装了特定的程序，因此它们可以接受 攻击者发来的特殊指令，并且可以把这 些命令发送到代理主机上。

143 ③ 代理端：代理端同样也是攻击者侵 入并控制的一批主机，它们上面运行攻 击器程序，接受和运行主控端发来的命 令。代理端主机是攻击的执行者，真正 向受害者主机发送攻击。

144 3.3.4 应用攻击 1． 局域网嗅探利用 局域网同一网段之内都属于广播通信机 制，因此对于局域网内的所有信息都可 以进行监听和嗅探。
下面我们展示如何利用工具截获局域网 内的MSN的聊天记录。 （1）软件的安装

145 图3-27 安装MSN Sniffer

146 图 安装WinPcap

147 （2）运行MSN Sniffer 如下如所示：

148 图3-29 MSN Sniffer 主界面

149 （3）设置 点击菜单栏里的“Config”，选择 “Select Adapter”，在弹出的窗口中选 择一块网卡（网卡的选择视具体情况而 定），完成后点“OK”即可。

150 图3-30 配置MSN Sniffer

151 （4）MSN聊天信息的嗅探 点击工具栏上的开始按钮即可进行嗅探。
嗅探一开始会先在左边的空白栏里显 示当前局域网内正在运行MSN 的账号， 过不了多久，在右边的具体信息栏里就 会出现嗅探到的MSN聊天内容，同时还 可以得知当前MSN用户的IP地址、端口、 昵称等信息，每一条的信息都十分详尽。

152 2． 邮件炸弹 邮件炸弹是一种技巧，攻击者利用它将 大量无意义的邮件强行发送到受害人邮 箱。
大量的垃圾邮件（也称之为邮件爆炸） 不仅会导致网络拥塞，同时耗尽用户邮 箱空间并阻止了合法邮件的接收。

153 绝大多数的邮件账户，一旦邮件空间超 过使用限制，即使是合法邮件也不能再 接收而被退回。同时，大量的垃圾邮件 使得用户很难读取邮件。

154 3． 浏览器劫持 “浏览器劫持”（Browser Hijack）是 一种不同于普通病毒木马感染途径的网 络攻击手段。
它的渗透途径很多，目前最常见的方式 有通过BHO、DLL插件、Hook技术、 Winsock LSP等载体达到对用户的浏览 器进行篡改的目的。

155 3.4 黑客追踪 3.4.1 黑客行为特征 黑客对网络的攻击方式是多种多样的， 一般来讲，攻击总是利用“系统设置的 缺陷”，“操作系统的安全漏洞”或 “通信协议的安全漏洞”来进行的。

156 到目前为止，已发现的攻击方式超过 2000种，其中对绝大部分黑客攻击手段 已有相应的解决方法，这些攻击可以分 为以下六类特征:
1．拒绝服务攻击 一般情况下，拒绝服务攻击是通过使被 攻击对象(通常是工作站或重要服务器) 的系统关键资源过载，从而使被攻击对 象停止部分或全部服务。

157 2．非授权访问尝试 　　是攻击者对被保护文件进行读、写 或执行的尝试，也包括为获得被保护访 问权限所做的尝试。 3．预探测攻击 　　在连续的非授权访问尝试过程中， 攻击者为了获得网络内部的信息及网络 周围的信息，通常使用这种攻击尝试， 典型示例包括SATAN扫描、端口扫描和 IP半途扫描等。

158 4．可疑活动: 　　是通常定义的“标准”网络通信范 畴之外的活动，也能指网络上不希望有 的活动。 例如：IP Unknown Protocol和Duplicate IP Address事件等，主要是指网络发生 错误，由arp攻击、dns攻击或其他互联 网基础设施受到攻击的表现。

159 5．协议解码 　　协议解码可用于以上所有一种非期 望的方法中，网络或安全管理员需要进 行解码工作，并获得相应的结果，解码 后的协议信息可能表明期望的活动。 例如：FTU User和Port mapper Proxy等解码方式，即通过协议解码可 以判断操作者的行为意图。

160 　6．系统代理攻击 这种攻击通常是针对单个主机发起的， 而并非整个网络，通过Real Secure系统 代理能对他们进行监视。 还有一般表 现出的网络或主机使用性能下降或不能 正常工作都有可能是黑客攻击的特征表 现。

161 3.4.2 黑客入侵调查 黑客入侵调查主要是根据某些迹象或日 志、记录等来对黑客入侵行为进行分辨 和确认。这些功能是有入侵检测系统来 完成的。 入侵检测系统（Intrusion Detective System）作为安全检测的最后一道防线， 能够用于检测出各种形式的入侵行为， 是安全防御体系的一个重要组成部分。

162 1．入侵检测 （1）基于主机的入侵检测系统：其输入 数据来源于系统的审计日志，一般只能检 测该主机上发生的入侵；
（2）基于网络的入侵检测系统：其输入 数据来源于网络的信息流，能够检测该网 段上发生的网络入侵； （3）采用上述两种数据来源的分布式的 入侵检测系统：能够同时分析来自主机系 统审计日志和网络数据流的入侵检测系统， 一般为分布式结构，有多个部件组成。

163 2．入侵检测方法分类 （1）采用异常检测的入侵检测系统； （2）采用滥用检测的入侵检测系统； （3）采用两种混合的检测的入侵检测 系统。

164 3.4.3 黑客追踪和反击 1．蜜罐、蜜网 蜜罐好比是情报收集系统。蜜罐好像是 故意让人攻击的目标，引诱黑客前来攻 击。
蜜罐好比是情报收集系统。蜜罐好像是 故意让人攻击的目标，引诱黑客前来攻 击。　 蜜网是指集成了其他安全技术的蜜罐， 从而形成了蜜网。

165 2．蜜罐的类型 （1）实系统蜜罐 实系统蜜罐是最真实的蜜罐，它运行着 真实的系统，并且带着真实可入侵的漏 洞，属于最危险的漏洞，但是它记录下 的入侵信息往往是最真实的。

166 （2）伪系统蜜罐 　伪系统蜜罐也是建立在真实系统基础 上的，但是它最大的特点就是“平台与 漏洞非对称性”。

167 3．蜜罐的作用 （1）迷惑入侵者，保护服务器 （2）抵御入侵者，加固服务器 （3）诱捕网络罪犯

168 3.5 木马、病毒和蠕虫 3.5.1 木马 用木马这种黑客工具进行网络入侵，从 过程上看大致可分为六步：

169 1．配置木马 (1)木马伪装：木马配置程序为了在服 务端尽可能的好的隐藏木马，会采用多 种伪装手段，如修改图标 ，捆绑文件， 定制端口，自我销毁等。 (2)信息反馈：木马配置程序将就信息 反馈的方式或地址进行设置，如设置信 息反馈的邮件地址，IRC号，ICO号等 等。

170 2．传播木马 木马的传播和伪装方式在本章3.3.2中已 做阐述，此处不再赘述。

171 3．运行木马 服务端用户运行木马或捆绑木马的程序 后，木马就会自动进行安装。首先将自 身拷贝到WINDOWS的系统文件夹中 (C:\WINDOWS或 C:\WINDOWS\SYSTEM目录下)。 然后在注册表、启动组、非启动组中设 置好木马的触发条件，这样木马的安装 就完成了。安装后就可以启动木马了。

172 4．信息泄露 一般来说，设计成熟的木马都有一个信 息反馈机制。所谓信息反馈机制是指木 马成功安装后会收集 一些服务端的软 硬件信息，并通过 、IRC或ICO 的方式告知控制端用户。

173 5．建立连接 一个木马连接的建立首先必须满足两个 条件：一是 服务端已安装了木马程序； 二是控制端，服务端都要在线 。在此 基础上控制端可以通过木马端口与服 务端建立连接。

174 6．远程控制 木马连接建立后，控制端端口和木马端 口之间将会出现一条通道。
控制端上的控制端程序可藉这条通道与 服务端上的木马程序取得联系,并通过 木马程序对服务端进行远程控制。

175 (1) 窃取密码 (2) 文件操作 (3) 修改注册表 (4) 系统操作

176 3.5.2 病毒 1．定义 计算机病毒是一种能够通过修改自身来 或复制自身而传染其他程序和文件的程 序，这是关于病毒的一个比较古老也比 较经典的定义。

177 从技术角度来说，病毒必须具有三个基 本特性，首先是能够自我复制，其次是 能够感染其它程序，最后破坏性。一般 当一个程序具有了这三种特性就可以视 为具备了病毒的特征。

178 2．病毒的基本构成 病毒的结构体系主要由三部分机制组成： 感染、触发、作用。 感染机制对病毒最为重要也是必须具备 的机制。

179 3．病毒分类 计算机病毒的类型大约分为： 引导区病毒 文件型病毒 复合型病毒 宏病毒 特洛伊/特洛伊木马。

180 3.5.3 蠕虫 1．定义 蠕虫病毒是一种常见的计算机病毒。它 是利用网络进行复制和传播，传染途径 是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境 下，病毒发作时会在屏幕上出现一条类 似虫子的东西，胡乱吞吃屏幕上的字母 并将其改形。

181 2．蠕虫的危害及特点 （1）利用操作系统和应用程序的漏洞 主动进行攻击 （2）传播方式多样 （3）病毒制作技术新
（4）与黑客技术相结合，潜在的威胁 和损失更大 （5）对个人用户产生直接威胁的蠕虫 病毒

182 3．蠕虫传播 　对于个人用户而言，威胁大的蠕虫病 毒采取的传播方式： 电子邮件（ ） 恶意网页。

183 3.5.4 预防和响应 1．对新购置的计算机系统用检测病毒软 件检查已知病毒，用人工检测方法检查未 知病毒，并经过实验，证实没有病毒传染 和破坏迹象再实际用。 2．新购置的硬盘或出厂时已格式化好的 软盘中都可能有病毒。 3．新购置的计算机软件也要进行病毒检 测。 4．在保证使盘无病毒的情况下，能用硬 盘引导启动的，尽量不要用软盘去启动。

184 5．假如计算机的CMOS设置中具有不 可从软盘启动而直接从硬盘引导系统的 功能，请立即启用这项功能，即便是在 一定要从干净软盘启动的情形之下（如 查毒、杀毒），也要在之后立刻再设置 回不从软驱引导启动。 6．定期与不定期地进行磁盘文件备份 工作，确保每一过程和细节的准确、可 靠，在万一系统崩溃时最大限度地恢复 系统原样，减少可能的损失。

185 7．确认手头常备一张真正“干净”的引 导盘，在使用所能获得的最新最好的反 病毒软件检测证明无毒之后，将其写保 护，尽可能做几个备份，在以后准备 查、杀病毒或相应场合时用这张干净引 导盘启动计算机。

186 8．在别人的机器上使用过自己的已打 开了写保护签的软盘，再在自己的机器 上使用，就应进行病毒检测。
9．对于软盘，要尽可能将数据和程序 分别存放，装程序的软盘要贴有写保护 签。

187 10．用BOOTSAFE等实用程序或用 DEBUG编程提取分区表等方法做好分 区表、DOS引导扇区等的备份工作，在 进行系统维护和修复工作时可作为参考。
11．对于多人共用一台计算机的环境， 例如实验室这种情况，应建立登记上机 制度，做到使问题能尽早发现，有病毒 能及时追查、清除，不致扩散。

188 12．确认工作用计算机或家用计算机设 置了使用权限及专人使用的保护机制， 禁止来历不明的人和软件进入您的系统。
13．在引人和使用任何新的系统和应用 软件之前，使用可能获得的最新、最好 的反毒软件检测之。

189 14．选择使用公认质量最好、升级服务 最及时、对新病毒响应和跟踪最迅速有 效的反病毒产品，定期维护和检测您的 计算机系统及软盘等。
15．永远不要使用任何解密版的反毒软 件，盗版者不可能全面照顾因为解密而 可能产生的任何后果，更无法保证被破 坏了原软件完整性检测的盗版软件自身 的干净和无毒，他们无需担负任何责任 和风险。

190 16．使用一套公认最好的驻留式防毒产品， 以便在进行磁盘及文件类操作时有效、及 时地控制和阻断可能发生的病毒入侵、感 染行为，尤其是上网的计算机更应安装具 有实时防病毒功能的防病毒软件或防病毒 卡。
17．如果不仅使用Windows3.x 、Win95等 操作环境及应用程序，选择一个同时具备 DOS及Windows的32位反毒软件产品套件 将有助于提供更为可靠有效的安全保护。

191 18．著名公司的著名产品在不知不觉中 成为病毒的传播媒体，这种先例以前有 过，以后也不敢断定再不会发生。
19．在确认当前系统环境无毒的情况下 制作、格式化空白盘，然后将其写保护 并妥善保护，在以后使用时将数据拷贝、 转存完毕后，务必重新置回写保护状态。

192 20．不管安装和使用了什么软件，正版的 或是免费的、共享的，始终应制作和保留 一套（或以上）软盘或其他方式的“硬”备 份，以防系统在遭受彻底崩溃和硬盘数据 的永久性损失时而可能导致的任何无法挽 回的局面。 21．仔细研究所使用的反病毒软件的各项 功能，不同模块，各担负什么样的职责， 都有哪些应用组合，不同的运行命令行 （或选项设置）参数具有怎样不同的查杀 效果等，最大限度地发挥该反病毒工具的 作用。

193 22．及时、可靠升级反病毒产品。 23．一定要学习和掌握一些必备的相关 知识，如果是企业和单位里工作的计算 机用户，更需要总结和烙守一套合理有 效的防范策略。 24．当怀疑面临病毒入侵的危机时，向 最好、最容易联系的反病毒产品的厂家 求助，切勿因为犹豫、迟疑和盲动而遭 受无可挽回的损失。

194 25．作为一个单位组织，建议专门安排 一台独立的计算机供检测病毒，给无法 确认是否被病毒感染的新软件操作使用， 或者检查磁盘是否带毒等。
26．建立严密的病毒监视体系，及早发 现病毒，及时杀灭。

195 思考与练习 计算机入侵有哪些种类？每种入侵各有什么特点？ 拒绝服务攻击的本质是什么？为什么有那么多拒绝服务攻击类 型？
计算机安全扫描有哪些常用工具？ 计算机扫描如何分类？ 什么是木马、病毒和蠕虫？各有什么特点？他们之间有何区别？ 木马可以分为哪些种类？举例说明你较为熟悉的木马。 密码有哪些破解方式？有哪些预防的方法？ 对1-2种计算机入侵的原理予以阐述？如何反击计算机入侵？ 对于计算机入侵有没有彻底的防御方法？结合实例阐述。 结合互联网信息查询，针对1-2种黑客攻击手段，下载其黑客 攻击工具并提出特定黑客此类攻击的防护方案，分析其攻击原 理、流程，阐述并实践防御的措施和步骤，完成一个较为完整 的系统防御方案。