黑客攻防笔记。
2018年12月31日,9787115479563,新阅文化,黑客攻防从入门到精通。
热心于、高超、智慧结晶、成就了、英雄、主角、令人畏惧的存在、如入无人之境。无法估量的、致命的。
互联网、UNIX、Linux。互联网、个人计算机、自由软件。
计算机系统:
1946年在宾夕法尼亚大学、麻省理工学院、贝尔实验室、1999年。高级技术人员、乔布斯。COMPUTER FOREVERY PEOPLE!大公司、国家政府→个人PC
网络黑客、网络骇客及网络朋客。窃听、入侵、泄露信息。电话、计算机、云服务器、家具设备、智能终端、测试数据、WiFi、智能机器人。
维基百科:黑客 贝尔实验室
第一章 黑客的面纱
在计算机网络世界里,黑客曾一度成为一种荣耀,它代表着反权威却奉公守法的网络英雄,然而现如今黑客已成为网络安全最大威胁的因素。
1.1 认识黑客
黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的计算机专家,尤其是程序设计人员。互联网、UNIX、Linux都是黑客智慧的结晶。有人说:是黑客成就了互联网,成就了个人计算机,成就了自由软件,黑客是计算机和互联网革命真正的英雄和主角。但到了今天,黑客一词已被用于泛指那些专门利用计算机搞破坏或恶作剧的“家伙”。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。
1.1.1 黑客的过去、现在与未来
所谓的黑客最早始于20世纪50年代,最早的计算机于1946年在宾夕法尼亚大学出现,而最早的黑客出现于麻省理工学院,包括贝尔实验室都有,最初的活动参与者一般都是一些高级的技术人员,“越南战争”包括苹果公司的创始人乔布斯。当时他们提出一个口号,计算机为人民所用,COMPUTER FOREVERY PEOPLE!为什么这样说呢?因为那时大部分计算机都是大型计算机,只有大型公司、国家政府才有可能用得起。他们觉得计算机作为未来的一种重要的工具,应该为每一个人每一个家庭所用,所以提出了这样的口号。在这样的大环境和文化背景下,才出现了个人PC。
在国内,从1999年开始,黑客这个词才开始频繁地出现在国内的媒体上。
在给黑客下定义时,已经把黑客看成是一群人,他们具有几个特征,年轻化、男性化。一种类型是传统型的黑客,就像前面所定义的那样,他们进入别人的计算机系统后并不会进行破坏性的行为,而是告诉你的密码不安全,不会破坏你的信息,原有的东西都会保留而不会改动;另一种类型是,他们发现你的安全漏洞,并且利用这些漏洞破坏你的网站,让你出洋相,这些人就成了骇客,即Cracker,总之,只要是带有破坏性目的或有恶意的人,如果掌握你的信息后,向你要钱,如果不给他钱,就要把那些信息公布出来,这都是骇客;还有一种类型是被很多国人称作朋客的人,即恶作剧者,他们未必具有很高的技术,但有老顽童周伯通的心理,老是喜欢跟你开玩笑,通常用一些简单的攻击手段去搞一搞BBS、聊天室之类的。所以,我们把这些人分为传统的网络黑客、网络骇客及网络朋客。
黑客的手段一直以来都是令人畏惧的存在。他们可以窃听电话、入侵计算机,在各种网站如入无人之境。在云时代,由于更多的企业选择将数据上传至云端,采用公有云进行业务处理的企业也越来越多,黑客的存在成为云服务提供商最为头疼的安全问题之一。
物联网时代下,黑客可选择的攻击手段变得更多,用户的家居设备、企业的智能终端、探测仪器、测试数据甚至连WiFi都可能成为黑客入侵的项目。黑客一旦入侵导致信息泄露,可能造成的损失将会是无法估量的。
在人工智能方面,黑客入侵的结果将会是更为致命的。以目前的科技发展来看,黑客入侵机器人所在系统已经只是时间问题,而其所产生的后果无论如何都是无法接受的。相对而言,黑客入侵都只是图财,很少有为了害命的。
1.1.3 常见的黑客攻击目标
黑客攻击目标是网络资源,黑客的攻击手段和攻击目标息息相关,网络资源主要包括信息资源、硬件资源和链路带宽。
一、信息资源
信息资源包括存储在主机系统中的信息、传输过程中的信息和转发结点正常工作需要的控制信息,如存储在主机系统中的文本文件、数据库和可执行程序等,路由器的路由表、访问控制列表、交换机的转发表等。黑客对于信息资源的攻击有两类:一类是窃取网络中的信息,如用户私密信息(账户和口令)、企业技术资料,甚至有关国家安全的机密信息,为了不引起信息拥有者的警惕,黑客会尽量隐蔽攻击过程,消除窃取信息过程中留下的操作痕迹,这一类攻击一般不会破坏信息,以免引起用户警惕;另一类是破坏网络信息,篡改传输过程中的信息,篡改主机系统中的文件、数据库中的记录及路由表中的路由项等,这一类攻击以破坏信息、瘫痪主机系统和转发结点为目的。随着信息成为重要的战略资源,以信息为目标的攻击成为最常见的黑客攻击。
二、硬件资源
硬件资源包括主机硬件资源和转发结点硬件资源。主机硬件资源有CPU、存储器、硬盘及外设等。转发结点硬件资源有处理器、缓冲器、交换结构等。黑客对于硬件资源的攻击主要表现为过度占用硬件资源,以至于没有提供正常服务所需要的硬件资源,大量地拒绝服务攻击就是针对硬件资源的攻击。例如,SYN泛洪攻击就是通过大量占用主机系统分配给TCP进程的存储器资源,使TCP进程没有存储器资源用于响应正常的TCP连接请求。有的DoS攻击发送大量无用IP分组给路由器,以此占用路由器内部处理器和交换结构资源,使路由器丧失转发正常IP分组所需要的处理能力、缓冲能力和交换能力。
三、链路带宽
链路带宽指信道的通信容量,如l00Mbit/s的以太网链路,表示每秒最多传输l00Mbit二进制数码,黑客通过大量占用信道通信容量使链路丧失传输正常信息流的能力。
1.3 进程与端口基础
端口是计算机提供服务的大门,黑客要想入侵计算机,就需要从这扇门里进入。
进程是系统或应用程序的一次动态执行,是计算机系统的动态核心。
了解进程与端口的基础知识及相关操作可以为黑客防范打下基础。
1.3.1 认识进程
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。进程就好比工厂的车间,它代表CPU所能处理的单个任务。任一时刻,CPU总是运行一个进程,其他进程处于非运行状态。
进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是死的(静态的),进程是活的(动态的)。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由用户启动的进程。进程是操作系统进行资源分配的单位。在Windows下,进程又被细化为线程,也就是一个进程下有多个能独立运行的更小的单位。
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒起着关键性的作用。
1.3.2 进程基础操作
计算机启动后,在计算机系统中启动任意程序,系统都会在后台加载相应的进程,对于进程的相关操作介绍如下。
一、查看系统进程
在计算机正常运行时,系统进程主要包括系统管理计算机本身和完成各种操作所必需的程序与用户开启、执行的软件程序。我们可以通过Windows任务管理器对系统中运行的进程进行查看。
在Windows系统下,鼠标右键单击“任务栏”空白处,选择“启动任务管理器”命令,或者按“Ctrl”+“Shift”+“Esc”组合键,即可打开“Windows任务管理器”窗口,如图1-5所示。如果想看任务管理器显示的列内容,需单击“任务管理器”上方的“查看”选项,然后单击“选择列”选项,弹出“选择进程页列”对话
在Windows系统中,用户关闭进程可以进行如下操作。
1.鼠标右键单击“任务栏”空白处,选择“启动任务管理器”命令,或者按“Ctrl”+“Shift”+“Esc”组合键,即可打开“Windows任务管理器”窗口。
2.选择要结束的系统进程,单击“结束进程”按钮,如图1-7所示。在弹出的对话框中单击“结束进程”按钮即可完成结束进程操作,如图1-8所示。
1.3.3 端口概述
“端口”是英文port的意译,可以认为是设备与外界进行通信交流的出口。端口可分为虚拟端口和物理端口,其中虚拟端口指计算机内部或交换机路由器内的端口,不可见,如计算机中的80端口、21端口、23端口等;物理端口又称为接口,是可见端口,如计算机背板的RJ45网口,交换机路由器集线器等的RJ45端口。电话使用的RJ11插口也属于物理端口的范畴。
1.3.4 查看端口
在Windows系统中,我们可以用Netstat命令查看端口。在“命令提示符”窗口中,运行“netstat -a -n”命令即可看到以数字形式显示的TCP和UDP连接的端口号及其状态,具体操作步骤如下。
1.单击“开始”菜单,选择“运行”命令,或者按“Win”+“R”组合键弹出运行对话框。
2.在文本框里输入“cmd”命令,单击“确定”按钮,如图1-9所示。
3.打开命令提示符窗口,输入“netstat -a -n”命令查看TCP和UDP连接的端口号及其状态,如图1-10所示。
图1-9 运行cmd命令
图1-10 查看端口
一些端口常常会被黑客利用,还会被一些木马病毒利用,对计算机系统进行攻击,在未来的学习中,我们将逐渐介绍如何应对此类入侵。
前言
简介
随着网络技术的飞速发展,网络已经成为个人生活与工作中获取信息的重要途径,但是随着网络带给人们生活便捷的同时,木马病毒肆虐、电信诈骗猖獗等网络安全问题也给我们的个人信息及财产安全带来严重威胁。于是,构建一个良好的网络环境,对于病毒和系统漏洞做好安全防范,及时查杀病毒和修复漏洞就显得尤为重要。为了避免计算机网络遭遇恶意软件、病毒和黑客的攻击,就必须做好计算机网络安全维护和防范。
本书内容
本书主要介绍和分析与黑客攻防相关的基础知识。全书由浅入深地分析了黑客攻防有关的原理和防御手段,一共可分为四部分:第一部分主要讲述黑客入门基础与相关网络知识,第二部分主要讲述PC端系统及应用的安全攻防,第三部分主要讲述时下智能手机移动端的安全攻防,第四部分主要介绍社会工程学知识。
本书内容新颖,涵盖了时下热门的勒索病毒、WiFi安全、网络谣言和电信诈骗等问题的应对方法。此外,本书还从黑客入侵防护应用角度给出了相对独立的论述,使读者可对如何建构一个实用的入侵防范体系有一个基本概念和思路。
本书特色
每章都以实例出发,讲解全面,轻松入门,快速打通初学者学习的重要关卡。
真正以图来解释每一步操作过程,通俗易懂,阅读轻松。
学习目的性、指向性强,黑客新技术盘点,让读者实现“先下手为强”。
读者对象
本书作为一本面向广大网络安全人员的速查手册,适合以下读者学习使用:
(1)网络安全及黑客技术初学者、爱好者;
(2)需要获取数据保护的日常办公人员;
(3)网吧工作人员、企业网络管理人员;
(4)喜欢研究黑客技术的网友;
(5)相关专业的学生;
(6)培训班学员。
本书由李阳、田其壮和张明真等人编著,书中若有疏漏和不足之处敬请广大读者批评指正,也期待读者能从本书中得到有价值的收获!
最后,提醒广大读者:根据国家有关法律法规,任何利用黑客技术攻击他人的行为都属于违法行为,广大读者在阅读本书后不要使用书中介绍的黑客技术试图对网络进行攻击,否则后果自负,切记勿忘。
编者
2018年1月
扫码视频
ASPack介绍
DOS命令介绍
EXE捆绑机介绍
IP地址配置介绍
Nmap介绍
SRSniffer介绍
Windows防火墙介绍
Windows密码设置介绍
查杀木马病毒介绍
关闭远程注册表服务介绍
进程端口操作介绍
禁止使用注册表编辑器介绍
局域网共享设置介绍
浏览器安全设置介绍
清除日志文件介绍
文件恢复介绍
远程连接介绍
远程连接介绍
黑客基础术语
肉鸡、木马、网页木马、挂马、后门、rootkit、IPC$、弱口令、默认共享、Shell、Webshell、溢出、注入、注入点、内网、外网、端口、免杀、加壳、花指令
网络安全中常会遇见肉鸡、后门之类的黑客词语,这些词语并非原本的含义而是由原本含义引申出的其他含义。常用术语及含义解释如下。
肉鸡
所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的计算机,对方可以是Windows系统,也可以是UNIX/Linux系统,可以是普通的个人计算机,也可以是大型的服务器,我们可以像操作自己的计算机那样来操作它们,而不被对方所发觉。
木马
木马就是那些表面上伪装成了正常的程序,但是当这些程序被运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的计算机,比如灰鸽子、黑洞、PcShare等。
网页木马
网页木马是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或浏览器的漏洞自动将配置好的木马的服务端下载到访问者的计算机上来自动执行。
挂马
挂马就是在别人的网站文件里面放入网页木马或是将代码嵌入到对方正常的网页文件里,以使浏览者中马。
后门
后门是一种形象的比喻,入侵者在利用某些方法成功地控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或方法来轻易地与这台计算机建立连接,重新控制这台计算机,就好像是入侵者偷偷地配了一把主人房间的钥匙,可以随时进出而不被主人发现一样。
rootkit
rootkit是攻击者用来隐藏自己的行踪和保留Root(根权限,可以理解成Windows下的System或管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得Root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过对方系统内存在的安全漏洞获得系统的Root权限。然后,攻击者就会在对方的系统中安装Rootkit,以达到自己长久控制对方的目的。Rootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的Rootkit,还有国内的Ntroorkit等。
IPC$
IPC$是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
弱口令
弱口令指那些强度不够,容易被猜解的,类似123、abc这样的口令(密码)。
默认共享
默认共享是Windows XP/2000/2003系统开启共享服务时自动开启所有硬盘的共享,因为加了“$”符号,所以看不到共享的“托手”图标,也称为隐藏共享。
Shell
Shell指的是一种命令执行环境,如我们按键盘上的“Win”+“R”组合键时出现“运行”对话框,在里面输入“cmd”会出现一个用于执行命令的黑窗口,这就是Windows的Shell执行环境。通常我们使用远程溢出程序成功溢出远程计算机后得到的那个用于执行系统命令的环境就是对方的Shell。
Webshell
Webshell就是以ASP、PHP、JSP或CGI等网页文件形式存在的一种命令执行环境,也可以将其称作是一种网页后门。黑客在攻击了一个网站后,通常会将这些ASP或PHP后门文件与网站服务器WEB目录下正常的网页文件混在一起,以后就可以使用浏览器来访问这些ASP或PHP后门,得到一个命令执行环境,以达到控制网站服务器的目的,可以上传/下载文件、查看数据库、执行任意程序命令等。国内常用的Webshell有海阳ASP木马、Phpspy、c99shell等。
溢出
确切地讲,应该是“缓冲区溢出”。简单的解释就是程序对接收的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或是执行攻击者的命令。大致可以分为两类:堆溢出和栈溢出。
注入
随着B/S模式应用开发的发展,使用这种模式编写程序的程序员越来越多,但是由于程序员的水平参差不齐,相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想要知道的数据,这就是所谓的SQLinjection,即SQL注入。
注入点
注入点是可以实行注入的地方,通常是一个访问数据库的连接。根据注入点数据库的运行账号的权限不同,所得到的权限也不同。
内网
内网通俗地讲就是局域网,如网吧、校园网和公司内部网等都属于此类。查看IP地址如果是在以下3个范围之内,就说明我们是处于内网之中的:10.0.0.0~10.255.255.255,172.16.0.0~172.31.255.255,192.168.0.0~192.168.255.255。
外网
外网,也叫互联网。从范围上来讲,是指全球性的互联网络。如在中国用计算机上网,连接访问美国的微软官网,就需要通过外网连接才能访问。外网IP地址是可以进行全球连接的。
端口
端口相当于一种数据的传输通道。用于接受某些数据,然后传输给相应的服务,而计算机将这些数据处理后,再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放都对应了相应的服务,要关闭这些端口只需将对应的服务关闭就可以了。
免杀
免杀就是通过加壳、加密、修改特征码和加花指令等技术来修改程序,使其逃过杀毒软件的查杀。
加壳
加壳就是利用特殊的算法,将EXE可执行程序或DLL动态链接库文件的编码进行改变(如实现压缩、加密),以达到缩小文件体积或加密程序编码,甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX、ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等。
花指令
花指令就是几句汇编指令,让汇编语句进行一些跳转,使得杀毒软件不能正常地判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来查找病毒,如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了”。