黑客大曝光 安 阳 大 学 @ http://www.linzhou.gov.cn/wl/index.html 安　阳　大　学 @ http://www.linzhou.gov.cn/wl/index.html 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

第4部分 软件攻击 主要内容： 第13章 攻击因特网用户 13.1 因特网客户软件常见的安防漏洞 13.2 社交工程攻击:网上欺诈和身份盗用 第4部分　软件攻击 主要内容： 第13章 攻击因特网用户 13.1 因特网客户软件常见的安防漏洞 13.2 社交工程攻击:网上欺诈和身份盗用 13.3　烦人和害人的灰色软件：间谍软件、广告软件与垃圾邮件 13.4　黑色软件 13.5　最终用户应该注意的物理安防问题 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

第13章 攻击因特网用户 　　“攻击因特网用户”已经发展成为一个日益壮大的“新兴行业”。全世界的黑客软件作者、垃圾邮件制造者以及不同动机的“时髦软件”传播者把人类古老的欺骗技术和复杂先进的IT技术结合在一起向网络社会的居民们发动了一波又一波的攻击，而相当一部分网民根本没有意识到自己心爱的浏览器、电子邮件和个人通信软件正是网络恶棍闯进自己家庭和办公室的大门和窗户。这一章简要介绍最近发现的一些因特网客户软件的重大安防漏洞，然后再讨论网络欺诈、间谍软件和Windows rootkit等问题。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1 因特网客户软件常见安防漏洞 在针对因特网最终用户的各类攻击技术中，软件安防漏洞是最危险的，只是因为他们通常可以让攻击者在受害者毫无察觉的情况下完成他们的罪恶勾当。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.1 因特网客户软件攻击技术简史 因特网最初只是一种静态的文档媒体，而现如今的网上到处都是动态的多媒体内容。在技术领域有这样一句名言：一种技术提供的功能越多或是复杂性越高，它的安全性就越差，这句话正是因特网的真实写照。几年来针对因特网客户端口软件的重大攻事件以及遭到攻击最多，最明显的IT技术如下： 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

Microsoft ActiveX 　　ActiveX是微软公司为了开发可移植性强、可远程调用的软件应用程序而提出的一种程序设计模型。ActiveX程序被称为“控件”，不同的控件可以完成不同的功能。可以把ActiveX控件嵌入一个网页以提供相应的功能，就像我们可以利用OLE技术把Excel电子表格嵌入到Word文档里那样。 　　ActiveX控件的文件后缀名为.ocx最为多见。可以用OBJECT标记把它们嵌入到网页里，当浏览到一个嵌有ActiveX控件的网页时，Internet Explorer浏览器会通过本地系统的注册表去检查你的机器是否已下载过这些控件。如果是，IE将显示这个网页，把制定的ActiveX控件加载到浏览器的内存空间并执行其代码。如果某个ActiveX控件还没有被安装到你的本地机器里，IE将按照OBJECT标记给出的地址去下载和安装ActiveX控件代码，然后检查这段代码的Authenticode（防伪代码）已确定其编写者或来源并执行之。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

ActiveX的安全模型：Authenticode 　　按照上面介绍的这个模型，别有用心的程序员可以编写出能在最终用户的机器上按照他们的想法作任何事情的ActiveX控件。Authenticode验证机制可以在一定程度上阻止这种事情的发生。Authenticode机制允许程序员用几种加密算法来给他们的代码加上“签名”，这个签名可以在有关代码被执行之前由IE和某个第三方加以验证。 　　在1996年，一位名叫Fred McLain的程序员编写出了一个能够让最终用户的系统自动关机的ActiveX控件。并为它申请了一个合法的VeriSign签名，然后把它发布在自己的网站上。展示了上述机制的安防漏洞。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

ActiveX机制中的“可安全地用来编写脚本”漏洞 　　ActiveX重大安全挑战是被人们称为“可安全地编写脚本”的问题。例：只要他们的控件里对“Safe-for-scripting”标志进行置位，程序员就可以绕过正常的Authenticode签名检查步骤。在IE4和它之前的版本里就有两个这样的不安全控件，他们的文件名是Scriptlet.typelib和Eyedog.OCX，它们都对“Safe-for-scripting”标志进行了置位，所以IE在执行他们时根本不会向用户给出任何警告。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

Java 　　类似于ActiveX的情况，Sun Microsystem公司的Java编程模型也是为了开发出可移植性强、可远程调用的软件应用程序而创建的。Java与ActiveX的主要差异是它使用了一个安全的“沙箱”环境来防止犯错误的程序导致诸如缓冲区溢出之类的安防漏洞。理论上讲，恶意代码要想绕过Java语言中的这些安防检查机制是非常困难的。 　　2004年11月，因特网安全问题研究员Jouko Pynnonen在Sun公司的Java插件里发现了一个严重的安防漏洞，攻击者可以利用这个漏洞通过浏览器运行Java插件程序。这个漏洞允许恶意网页关闭Java的安防限制并冲出Java“沙箱”，这等于是完全摧毁了Java平台的安防机制，这意味着攻击者可以通过一个Web浏览器发动跨平台的攻击。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.2 JavaScript和ActiveScriping 　　JavaScript最早叫做“LiveScripting”，他实际上却是由Netscape Communications公司在20世纪90年代中期推出的与Java毫无关系的脚本语言。JavaScript目前仍是当今最为流行的Web客户端脚本设计语言之一。 　　JavaScript既像Pel语言那样容易使用，又像C/C++语言那样功能强大，这是它得以流行至今的主要原因之一。即便是一段最简单的JavaScript代码，也能完成诸如弹出一个窗口或者是几乎全面控制Web浏览器的图形化操作界面之类的工作，所以利用JavaScript脚本去诱骗用户输入敏感消息或浏览恶意站点可以说是轻而易举，正是因为它们的易用性和强大的功能而导致被恶意黑客轻而易举地来干坏事。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.3　不能不防的Cookie 　　HTTP协议是World Wide Web的基础，但它本身并不具备跟踪对同一站前后两次访问行为的能力，网站之所以能记住多个HTTP请求和响应的“状态”，是因为使用了Cookie机制。作为对HTTP基本功能的一个扩展，RFC2109标准草案所描述的Cookie被包含在HTTP请求和响应中的特殊记号，可以让网站在你前后多次的访问活动中记住你都进行了那些操作。Cookie可以是会话型的，这类Cookie临时驻留在机器的内存里，它们会在关闭浏览器或到达他们的失效时间时自动消失；也可以是永久性的，类Cookie以文本文件的形势驻留在硬盘上，通常都集中保存在一个名为“Cookies”的文件夹里。如果能设法弄到Cookie，攻击者就可以冒充你在网上的身份或是窃取到缓存在你Cookie里的敏感信息。 　　一个刁滑的办法是通过诱骗受害用户上当或者利用受害用户的因特网客户软件里的某个安防漏洞侵入受害者的机器，在执行一个客户端脚本来读取Cookie并把他们发送到某个恶意的服务器。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.4　跨站点脚本 　　XSS漏洞多出现在把来自某个用户的输入形式给另一个用户的Web应用程序里。只要能构造出恰到好处的输入，恶意黑客就可以让恶意代码在另一个对此毫无防备的用户的机器上得到执行。 　　攻击还可以通过XXS攻击干出其他一些坏事。例子演示了如何利用JavaScript语言的document.cookie方法去纪录或编辑受害用户的当前会话Cookie，这等于偷走了受害者的网上身份： 　　〈script〉document.write(document.cookie)</script> 　　另一种常见形式是攻击者从一个存在着XSS漏洞的站点直接向某为最终用户发出一封嵌有这类恶意链接的电子邮件，当粗心的用户以为自己在浏览器里看到了一个喜欢的站点并点击那个“好友的”URL地址链接时，嵌在恶意链接中的〈SCRIPT〉标记就会去执行那个恶意的脚本。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.5　跨窗格/域漏洞 　　跨窗格/域漏洞利用的都是客户端软件的那些能够让攻击者访问到各种客户端源资料的种种缺陷而。有一部分这类漏洞只需攻击者在一个恶意网页里增加几行代码或是给受害者发出一封恶意电子邮件就可以让他们的阴谋得逞。这类攻击手段几乎都针对微软的IE浏览器，而IE浏览器之所以会成为众矢之的在很大程度上要归咎于它那无人能比的流行性。 　　IE浏览器成为众矢之的另一个原因是IE的安全模式把本地系统也当做一个域来访问，这意味着恶意的网站管理员不仅可以染指其他站点发送给受害用户的数据，还可以访问到受害用户的本地系统里数据。 　　Georgi经常使用的一个HTML标记是〈IFRAME〉。〈IFRAME〉标记与标准的HTML〈IFRAME〉标记的不同之处在于〈IFRAME〉标记将在正常的无窗格网页里创建出一个浮动的窗格，就好像一幅嵌入图片那样。是一种不太容易引起别人注意的把来自其他网站的内容插入某个网页的办法，用这种办法可访问另一个IE域里的数据。 　　微软的HTML Help Activex(hhctrl.ocx)控件在黑客群体里可以说是无人不知。因为这个控件必须进行一些高级权限级别的操作，所以微软允许它在LMZ里运行，而LMZ域几乎拥有本地计算机上的一切权限。有很多种攻击手段都是利用Hhctrl.ocx去操控本地资源的。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.6　SSL攻击 　　现如今的因特网上，绝大多数电子商务交易都是在Secure Sockets Layer协议的保护下进行的。SSL是一个基于公开密钥加密技术的协议，只要还想参与现代经济活动并通过网络来买卖东西，就必须弄懂这一重要概念。 　　在Slovenia公司的ACROS安防小组在4.73版之前的Netscape Communicator浏览器里发现了一个能够让攻击者无须伪造SSL证书就可以骗过Web浏览器的设计缺陷：在与某个合法网站建立起一条SSL链接之后，Netcape Communicator浏览器的这些版本在后续的SSL会话中将只把接收到的IP地址与该合法网站当初提供的SSL证书中的iP地址而不是IP地址和DNS域名进行比较。这样一来，如果某个恶意网站能够冒名顶替这个合法网站并诱骗Netscape浏览器的这些版本去打开一个与自己的SSL连接，浏览器与那个合法服务器进行的后继SSL会话都将在用户看不到任何与此有关的警告信息的情况下被转接到恶意服务器上。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.7　定时炸弹：让恶意代码自动执行 　　在利用某个软件漏洞初步侵入目标系统之后，攻击者会千方百计地运行各种各样的恶意代码。一种非常简单却又非常有效的“定时炸弹”安防技巧：设法把一个微软Excel文件或经过编译的HTML帮助文件放到某个用户的“启动”文件夹里，等那位用户下次开机或者注销后再次登录时，那个文件就会自动运行。后来人们又一步发展了这些基本的技巧，比如利用ShowHelp（）方法和微软的HTML帮助窗口启动程序在侵入目标系统后马上运行.chm和.htm文件，通过Windows注册表把恶意链接设置为IE浏览器的默认主页。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.8　电子邮件攻击技术 　　电子邮件是因特网用户进入数字世界最迅速的捷径，而嵌在电子邮件里ActiveX和JavaScript等动态内容以及电子邮件携带的文件附件给无数网民带来了丰富的体验和方便。 文件附件 　　能把文件作为自己的附件一同发送给收信人是电子邮件最方便的功能之一。而攻击者可以把可执行内容直接发到收信人的Windows桌面上。 利用电子邮件携带的文件附件干坏事基本原理都大同小异，不同攻击手段之间的主要区别是采用了不同的手法去伪装自己和吸引收信人用鼠标来点击。 MIME 　　Muliti-Purpose Internet Mail Extension是把文件附着在电子邮件消息方面的事实标准，按照MIME规范，系统将把附件文件分割为一组适当大小的数据块，然后再对数据块进行Base64编码。在2000年，著名IE安防专家发现MIME本身存在着一个非常严重的漏洞：如果把可执行文件类型标记为一个不正确的MIME类型，他们就可以在IE浏览器或HTML格式的电子邮件里自动运行。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.9　即时消息 　　即时消息正迅速成为继Web浏览和电子邮件之后的又一种主要的因特网应用。IM的流行不仅是因为它能满足人们都希望进行实时通信的愿望，大多数现代的IM客户端软件向人们提供的实时交换文件和链接的能力也起到了很大的推波助澜作用。 　　一些缺乏道德的人经常通过IM向别人推荐一些来历不明的文件或链接，很多IM新手都会被这种“好意”的推荐弄得不知所措，导致一个简单的处理文件把就把硬盘给格式化了。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.10 微软客户软件的安防漏洞和相关防范措施 微软公司的软件产品一直是各种最终用户攻击活动的重灾区。 13.1.10　微软客户软件的安防漏洞和相关防范措施 　　微软公司的软件产品一直是各种最终用户攻击活动的重灾区。  GDI+JPEG缓冲区溢出漏洞　流行度:9 简单度:9 影响力:9 风险率:9 　　JPEG标准是网上最为流行的图像格式之一，对这种图像格式进行处理的软件进程里存在着一个严重的漏洞，这意味着当浏览了一个不怀好意的网站后，那个恶意的网站不仅悄悄地控制了他们的系统，密切监视着他们的一举一动、收集着诸如银行账号和信用卡消费数据等敏感信息，还有可能干出其他一些更糟糕的事情。因为有位名叫Nick DeBaggis的研究者已经负责任地向微软通报了一个这样的漏洞，而这个漏洞在2004年9月的某一天已经被公开了。这个漏洞是这样的：微软公司的GDI+JPEG处理器在加载JPEG格式的图像文件时没有进行充分的边界检查，而这种失误会导致整数下溢出问题。 　　利用GDI+JPEG漏洞发动攻击很简单——只要受害者去渲染一个由攻击着精心构造出来的恶意JPEG文件，攻击者就能够以受害者的当前用户权限去执行任意命令。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

 IE浏览器的ShowModalDialog跨安全漏洞 流行度:9 简单度:8 影响力:10 风险率:9 　　一个用来浏览网站的编程方法未能很好的控制来自网上的Web内容对本地机器里的内容进行的访问。利用这个漏洞是最近几年来黑客攻击IE浏览器时的经典套路——利用某个软件缺陷去突破微软为IE浏览器里的Web内容设置的围栏，从这个漏洞钻出去进入IE浏览器的“本地计算机安全区”执行某个Web内容——这个安全区的权限一般都很高，简单的说，这是一种权限提升手段，它可以让来自网上的客户端脚本比它们正常获得更高的权限得到执行。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

 IE浏览器的URL资源解析漏洞 流行度:9 简单度:10 影响力:5 风险率:8 　　它是2004年初网上欺诈活动大爆炸的主要角色。这个漏洞的根据是一个被人们称为“资源解析”的问题。 　　在按照“http://user@domain”格式输入URL地址的时候，只要在“@”字符的前面插入一个非打印字符，IE浏览器就无法把它正确显示在地址栏里。这就使得恶意黑客可以构造出这样的URL字符串：他在IE浏览器的地址栏里看上去是一个用户熟知的合法地址，但实际上却只想另外一个与显示出来的地址完全无关的站点。比如说，假使黑客构造出来的恶意输入是“http://www.microsoft.com%01@evilsite.net/passwordstesler.cgi”,这个URL地址在IE浏览器的地址栏里只能看到“%”字符前面的东西，即“http://www.microsoft.com” 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

 IE浏览器的HelpControl本地执行漏洞 流行度:9 简单度:10 影响力:8 风险率:9 　　这个漏洞准确地是一个老漏洞上的新攻击手段，这种攻击手段利用了IE浏览器的一个编程缺陷，这个缺陷使得Internet安全区与LMZ安全区之间的访问限制不过严格。在本地机器上打开位于C:\WINDOWS\PCHealth\HelpCtr\System\blurbs\tools.htm　的一个Web页面，这个页面是HTML帮助窗口的一个组件，它打开在LMZ安全区里。接下来，攻击代码会代开第2个窗口，它负责把一些可执行的Javascript代码注射到在LMZ安全区里打开的第1个窗口里去，被注射到LMZ安全区里的那些Javascript代码将以当前用户的权限级别执行，他们会把一些可执行内容下载到“ALL Users”启动文件夹里。这样一来，等下一个用户登录的时候，那个.hta文件就将自动运行。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.11　为什么不使用非微软客户软件 　　这是彻底摆脱数不胜数的微软因特网客户端软件安防漏洞的终极办法。世界上最好的安防专家和最坏的恶意黑客时刻都在寻找着微软产品里的致命漏洞，他们之间的区别只是有一方是为了保护、而另一方是为了伤害这个世界数量最多的用户群体。 　　一般来说，像微软那样拥有庞大资源的组织至少应该在产品质量方面有一定的竞争力，非正式的研究也证明了这一焦点：IE浏览器的质量远远超过其他同类产品。 　　在要不要放弃IE问题上还有一个重要的因素：IE浏览器都有那些替代品？IE浏览器的市场占有率是95%，回顾IE发展历史上的重大安防事件就会发现，大部分问题都与这个安全模型的具体实现有关，这个模型本身并没有多少过错，即时你不再使用IE，想把它的核心功能从操作系统里剔出去也不是件容易的事情。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.1.12 非微软因特网客户端软件 非微软浏览器也存在着诸如缓冲区溢出之类的“通用”漏洞，这类问题可以说是现代软件天生的致命缺陷。 13.1.12　非微软因特网客户端软件 　　非微软浏览器也存在着诸如缓冲区溢出之类的“通用”漏洞，这类问题可以说是现代软件天生的致命缺陷。  Libpng缓冲区溢出漏洞 流行度:9 简单度:9 影响力:9 风险率:9 　　Libpng缓冲区溢出以及另外几个漏洞是在2004年8月被发现的。Libpng是一个用来处理PNG图像的函数库，它在因特网客户端软件里得到广泛的使用，在一个这样的网络图像显示例程里发现的漏洞对恶意黑客来说无疑是一座金山。这个漏洞能够可靠地让攻击者获得执行任意代码的权限，进而彻底攻陷受害者的系统。 　　和前面讨论过的“GDI+JPEG漏洞”情况类似，运行这个攻击代码很简单。他将输出一个恶意的PNG图像文件，当有漏洞的软件渲染这幅图像时，隐藏在图像里的恶意代码就会在7000号端口上打开一个监听器。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

非浏览器客户软件 　　凡是受到广泛欢迎的软件都会成为黑客们的攻击目标。Real NetPlayer软件里的漏洞并不比微软的Winows Media Player播放器少多少。两家公司的漏洞清单都有在这类清单里最常见的东西：因恶意的多媒体文件或批复文件而导致的缓冲区溢出、对脚本行为控制得不够严格等。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

3.1.13　在线服务 　　到目前为止，讨论重点一直是各种客户端软件，也就是那些通常需要有用户本人打开包装盒再安装到他们自己机器里去的东西。网上丰富多彩的内容大都是由各种各样的软件服务提供的，这些服务是攻击者和用户之间的又一个信息安防战场，在这个战场上，作为攻击者的恶意黑客和作为防护者的广大用户争取夺得制高地就是各种各样的在线服务，而这些在线服务提供的代码和功能都保存在网上某个地方的服务起里。 几家著名在线服务也存在有问题： Hotmail 　　Hotmail最初只是一家在因特网上提供免费电子邮件的小公司，但步步领先的技术和经营理念已使它发展壮大为当今用户基础最为雄厚的在线服务之一。最近发生的几次病毒蔓延事件借以诱惑受害用户点击恶意链接的手法几乎如出一辙：那些文件名要么带有某种色情暗示，要么就是“How to hack Hotmail”。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

Passport 　　另一类最常见的Hotmail攻击手段瞄准的是如何骗过他的用户身份验证机制，也就是微软的Passport服务。比较低级的这类攻击手段是所谓“摘取低处的果子”，即利用种种“社交工程”技术去诱骗用户自己的口令字，这类手法尽管相当古老，也没有什么真正的技术含量，但却一直非常流行和有效。 AOL 　　AOL在线服务会把数据保存在由别人负责管理的计算机里，而那些人而未必会像本人那样关心数据的安危。在2004年6月,AOL公司的一名24见岁的雇员把9200万名AOL用户的个人数据以52000美元的价格偷偷卖给了美国拉斯唯加斯的一名“垃圾客”。eBay 和 PayPal 　　因为有了eBay（以及他的合作伙伴PayPal）这样的在线交易系统。攻击者在窃取到一个合法的网上身份后立刻能给受害者造成经济损失。在网络环境里，千万不要介入数字化财产的全部加在一起也承受不住其风险的交易，不管它有多么诱人。就目前而言，在线服务的安全性要比客户端软件的情况稍微好一些。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.2 社交工程攻击：网上欺诈和身份盗用 以从在线用户身上谋取经济利益为目的 无效或伪冒的源地址 13.2 　社交工程攻击：网上欺诈和身份盗用 　　“社交工程”时的首选媒介一般是电话，但攻击者选择通过电子邮件消息、电视会议或者其它人类现代交流手段来从事“社交工程”活动的情况也越来越多。 　　“社交工程”攻击最近几年来的科技色彩越来越浓重，反网络欺诈工作组给这个词下的定义是：网络欺诈攻击利用伪冒的电子邮件或是欺骗性的网站诱骗被攻击者说出其信用卡号码、帐户的用户名和口令字、社会保险号码等个人财物数据，是一种破坏信息安全的行为。 网络欺诈技术： 　　APWG网站收集整理的网络欺诈手段可以说是最新、最全的（详见http://www.anti-phishing.org/phishing_archive.html）。这类欺诈手段的基本要素包括： 以从在线用户身上谋取经济利益为目的 无效或伪冒的源地址 盗用人们熟悉的品牌标识以免受害者怀疑其真实身份 呼吁受害者立刻按照指示采取行动 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.3 烦人和害人的灰色软件：间谍软件、广告软件与垃圾邮件 13.3　烦人和害人的灰色软件：间谍软件、广告软件与垃圾邮件 　　灰色软件大致可以划为为间谍软件(spyware)、广告软件（adware）和垃圾邮件（spam）等三大类别。灰色软件不会为破坏而破坏，他们侵入系统是为了别的目的，通常都与经济利益有关，例如销售在线广告等。 　　间谍软件是指那些对用户操作行为和习惯进行监控的软件，它们常见的用途是是把用户的行为模式记录下来并报告给各种各样的网络调查公司，而那些网络调查公司又会把这些信息转手贩卖给各种各样的广告商或在线服务提供商。 　　广告软件泛指那些会在用户日常使用计算机时未经许可地插播各种广告宣传内容的软件。 　　垃圾邮件泛指导所有不请自来的商业电子邮件。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

灰色软件的常种植技术： 　　自启动扩展点　把一个可执行文件拷贝到硬盘，然后利用某个自启动扩展点(autostart extensibility point, ASEP)让这个文件在用户开机或登录时自动执行。至少有99%的恶意软件把ASEP做为它们的藏身之地。在Windows XP系统上执行msconfig命令，可以查看到ASEP的情况。 　　Web浏览器的功能扩展模块　其隐蔽程度比自启动扩展点要更胜一筹，在各种Web浏览器功能扩展机制中，internet Explorer浏览器的Browser Helper Object（BHO）功能是最隐蔽的。在XP SP2里，可以用IE浏览器新增加的Add-on Manager功能去查看和控制那些运行在IE里的BHO对象。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.4　黑色软件 　　虽然“黑色软件”（malware）这个词在主流媒体上不还不多见，但技术领域的人们早已习惯使用这个词来统称一切恶意软件。包括： 病毒　能够自我复制并感染其他系统的程序，但在传播时还需要有用户的参与 蠕虫　能够自我复制并感染其他系统的程序，在传播时不需要有用户的参与 Rootkit和后门　专为入侵别人的系统、隐藏自己、向非授权用户或攻击者提供系统管理员级别的控制和监控能力而设计出来的程序 “机器人”和“傀儡”　与rootkit和后门非常相似，只不过其更倾向于通过耗尽受害者系统的资源而达到某种或几种目的。 木马软件　除正常功能外还有一些别人不知道的额外功能的程序。这里所说的“额外”功能通常特指安装一个rootkit或后门 　　与间谍软件、广告软件和垃圾邮件等灰色软件相比，黑色软件的设计用途和实际用途都带有明显的恶意破坏目的。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

黑色软件的种类和常用技术 病毒和蠕虫 研究病毒和蠕虫时最需要注意的几个方面： 　　研究病毒和蠕虫时最需要注意的几个方面： 病毒/蠕虫的感染机制　近几年占据主导地位的传播机制一直是电子邮件附件和诸如缓冲区溢出漏洞之类的软件缺陷。 病毒/蠕虫的发作行为　主要集中在自我复制和远程控制受害者系统方面。 病毒/蠕虫在计算机系统里的种植位置或者叫插入点　负责实际完成病毒/蠕虫功能的文件和代码在受害者系统里安装或隐藏地址，种植点即可以是可执行文件，也可以是DLL。 病毒/蠕虫用来躲避安防监测机制的手段　目前越来越多的病毒和蠕虫具备了反查杀功能，它们会去检查自己感染的系统有没有安装流行的杀毒软件，如果有，就删除或禁用它们。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

Rootkit与后门 　　只要对内存里受到保护的系统程序进行修改（行话称之为“给内核打补丁”），Rootkit就可以绕过Windows操作系统的所有安防机制。对一台被攻击者使用rootkit从操作系统底层加以破坏的Winodws系统进行“抢救”是徒劳的。如果发现计算机遭受该攻击，请赶快把还没有遭到破坏的数据备份下来，然后立刻从头开始重新安装系统。操作系统之所以会被当今的rootkit工具包打得一败涂地的根源：Intel硬件提供了四个层次的纵深安防机制，但这些操作系统只用上了其中的两个。用技术语言来说，就是这些操作系统在低权限的第3环“用户模式”与高权限的第0环“内核模式”之间只构筑了一道屏障。因此，只要能够设法穿透“用户模式”与“内核模式”之间惟一的一道屏障，就可以不受任何限制地对系统进行任何操作。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

　　Rootkit都由两个基本部分组成：引导部分和工作部分（人们把它们形象地称为“埋地雷”和“地雷”）：“埋地雷”可以是任何一种能够让目标系统执行rootkit代码的东西，它们负责把“地雷”埋到目标系统里去；“地雷”则是一些内核挂靠例程或“内核模式”设备驱动程序，它们负责隐藏自己和从事非法活动。Rootkit工作部分的常见行为模式有以下几种： 替换／修改操作系统内核代码 隐藏文件／子目录 隐藏进程 隐藏端口 隐藏注册表子键／键值 隐藏用户／用户组 隐藏服务 放置一个键盘记录器 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

Hacker Defender工具包 　　Hacker Defender工具包是目前最为流行的rootkit之一。它可以从http://rootkit.host.sk下载。在进入受害者的系统之后该工具包将利用Windows API函数WriteProcessMemory和CreateRemoteThread在每一个进程里创建一个新的线程，这个线程将对Windows内核（kernel32.dll）在内存里的代码进行修改，被修改后的内核代码将改写某些API的返回信息，这样一来，受害者就很难发现其存在了。它还将在受害者的系统里安装一个后门并把它注册为一项隐藏的系统服务，还会安装一个隐藏的系统级驱动程序以便自己被查杀后能够死灰复燃。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

“机器人”和“傀儡” 　　在利用前面介绍的某种机制攻陷了一台计算机之后，远程攻击者通常会在这台计算机里种植一个“机器人”把它变成自己手下的计算机攻击部队里的一个“傀儡”。在信息安防圈子里，人们习惯地把被“机器人”感染的计算机称为“傀儡”，把因特网上的计算机变成自己的“傀儡”并组建一支“机器人”兵团的目的是以“机海战术”发动攻击活动。攻击可大致分为以下几类： 分布式拒绝服务攻击（DDoS） 传播垃圾邮件 盗用他人的网络连接和计算机 收集高价信息 扩充“机器人”兵团 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.5　最终用户应该注意的物理安防问题 　　因特网时代的信息安防工作早已超出了单纯的技术范畴。现如今的绝大多数软件都会对它自己的物理运行环境做出某种隐含的或明确的假设。如果违反了这些假设，由此而导致的物理安防漏洞就会像前面介绍的许多软件安防漏洞那样轻而易举地让你沦为它的牺牲品。 　　对于家用电脑，物理安防一般不会是个问题，但笔记本电脑被主人带到一些不太安全的场所的情况越来越多。常用的细纲丝锁有些人只要用一个标准的圆珠笔芯就可以把这种纲丝锁弄开。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

13.6 小结 目前，轰动一时的攻击手段现如今已不能对因特网最终用户构成威胁，但尚未出现的新型攻击手段肯定还会越来越多，推荐安全上网12招： 13.6　小结 　　目前，轰动一时的攻击手段现如今已不能对因特网最终用户构成威胁，但尚未出现的新型攻击手段肯定还会越来越多，推荐安全上网12招： 1、部署一个防火墙，最好是还能对主动外出连接活动进行管理的 2、及时为所有相关软件打好所有的安防补丁。 3、运行能自动扫描整个系统的杀毒软件并及时对之进行升级。 4、配置好Windows的Internet Options控制面板。 5、以最少的权限进行日常工作。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

6、大型的Windows网络的系统管理员应该把上述技术部署到每一个关键的网络枢纽上。 7、以纯文本方式阅读电子邮件。 8、把用不着的ActiveX控件全部“杀死”。 9、修改Windows的默认配置。 10、按最严格的要求去配置日常使用的办公软件。 11、千万不要麻痹大意，要对来自因特网的各种诱惑保持高度警惕。 12、加强计算机设备的物理安防措施。 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范

下周课程安排： 病毒及其防治 2018年11月8日星期四5时8分56秒2018年11月8日星期四5时8分56秒 黑客攻击与防范