正文

黑客掌握系統(tǒng)控制權(quán)的做法包括()（黑客掌握系統(tǒng)控制權(quán)的做法包括()A口令猜測B隱藏自身IP）

發(fā)布時(shí)間：2023-04-19 07:36:54 稿源：創(chuàng)意嶺閱讀： 59

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于黑客掌握系統(tǒng)控制權(quán)的做法包括()的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個(gè)非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com。

創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè)，服務(wù)客戶遍布全球各地，如需了解SEO相關(guān)業(yè)務(wù)請撥打電話175-8598-2043，或添加微信：1454722008

本文目錄:

1、黑客攻擊原理
2、黑客攻擊與木馬問題
3、ipc突然不顯示中文了
4、網(wǎng)絡(luò)黑客是怎么操作的

黑客掌握系統(tǒng)控制權(quán)的做法包括()（黑客掌握系統(tǒng)控制權(quán)的做法包括()A口令猜測B隱藏自身IP）

一、黑客攻擊原理

黑客入侵常用的攻擊手法

1. 利用系統(tǒng)漏洞進(jìn)行攻擊

這是一種最普通的攻擊手法，任何一種軟件、一種操作系統(tǒng)都有它的漏洞，因而利用操作系統(tǒng)本身的漏洞來入侵、攻擊網(wǎng)站也成為了一種最普遍的攻擊手法，一方面由于網(wǎng)絡(luò)安全管理員安全意識(shí)低下，沒有及時(shí)對系統(tǒng)漏洞進(jìn)行修補(bǔ)或選用默認(rèn)安裝的方式，從而被入侵者攻擊得逞；另一方面由于系統(tǒng)漏洞很容易被初學(xué)者所掌握。由于服務(wù)器在初次安裝完成后，都存在著重大安全隱患，正如米特尼克所說，他可以進(jìn)入世界任何一臺(tái)默認(rèn)安裝的服務(wù)器。不光是米特尼克能進(jìn)入任何一臺(tái)默認(rèn)安裝的服務(wù)器，任何一個(gè)稍懂計(jì)算機(jī)漏洞的人都可以做到。

2. 通過電子郵件進(jìn)行攻擊

這屬于一種簡單的攻擊方法，一般有3種情況。第1種情況：攻擊者給受害人發(fā)送大量的垃圾信件，導(dǎo)致受害人信箱的容量被完全占用，從而停止正常的收發(fā)郵件；第2種情況：非法使用受害服務(wù)器的電子郵件服務(wù)功能，向第三方發(fā)送垃圾郵件，為自己做廣告或是宣傳產(chǎn)品等，這樣就使受害服務(wù)器負(fù)荷；第3種情況：一般公司的服務(wù)器可能把郵件服務(wù)器和Web服務(wù)器都放在一起，攻擊者可以向該服務(wù)器發(fā)送大量的垃圾郵件，這些郵件可能都塞在一個(gè)郵件隊(duì)列中或者就是壞郵件隊(duì)列中，直到郵箱被撐破或者把硬盤塞滿。這樣，就實(shí)現(xiàn)了攻擊者的攻擊目的。

3. 綠色攻擊

綠色攻擊是網(wǎng)上攻擊最常用的方法，入侵者通過系統(tǒng)常用服務(wù)或?qū)W(wǎng)絡(luò)通信進(jìn)行監(jiān)聽來搜集賬號(hào)，當(dāng)找到主機(jī)上的有效賬號(hào)后，就采用字典窮舉法進(jìn)行攻擊，或者他們通過各種方法獲取PASSWORD文件，然后用口令猜測，程序破譯用戶的賬號(hào)和密碼。

4. 后門程序攻擊

后門程序攻擊是指入侵者躲過日志、使自己重返被入侵系統(tǒng)的技術(shù)。后門程序的種類很多，常見的有：調(diào)試后門程序、管理后門程序、惡意后門程序、服務(wù)后門程序、文件系統(tǒng)后門程序、內(nèi)核后門程序等。

特洛伊木馬就是一種后門程序，偽造合法的程序，偷偷侵入用戶系統(tǒng)從而獲得系統(tǒng)的控制權(quán)。它提供某些功能作為誘餌，當(dāng)目標(biāo)計(jì)算機(jī)啟動(dòng)時(shí)木馬程序隨之啟動(dòng)，然后在某一特定的端口監(jiān)聽，通過監(jiān)聽端口收到命令后，木馬程序會(huì)根據(jù)命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作，如傳送或刪除文件，竊取口令、重新啟動(dòng)計(jì)算機(jī)等。

5. 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是入侵者的攻擊方法，因?yàn)樵谌肭帜繕?biāo)服務(wù)器無法得逞時(shí)，可以利用拒絕服務(wù)攻擊使服務(wù)器或網(wǎng)絡(luò)癱瘓。通過發(fā)送大量合法請求，進(jìn)行惡意攻擊導(dǎo)致服務(wù)器資源耗盡，不能對正常的服務(wù)請求做出響應(yīng)?？梢哉f拒絕服務(wù)攻擊是入侵者的終極手法。

6. 緩沖區(qū)溢出攻擊

溢出攻擊可以說是入侵者的最愛，是被入侵者使用最多的攻擊漏洞。因?yàn)樗且粋€(gè)非常具有危險(xiǎn)性的漏洞，造成溢出后一般可以獲取一個(gè)Shell，從而計(jì)算機(jī)就被入侵者完全控制。接下來認(rèn)識(shí)一下緩沖區(qū)溢出攻擊。

溢出區(qū)是內(nèi)存中存放數(shù)據(jù)的地方，在程序試圖將數(shù)據(jù)放到計(jì)算機(jī)內(nèi)存中的某一個(gè)地方時(shí)，因?yàn)闆]有足夠的空間就會(huì)發(fā)生緩沖區(qū)溢出，而人為溢出則是攻擊者編寫一個(gè)超出溢出區(qū)長度的字符串，然后植入緩沖區(qū)，這樣就可能導(dǎo)致兩種結(jié)果。一是過長的字符串覆蓋了相鄰的存儲(chǔ)單元引起程序運(yùn)行錯(cuò)誤，有時(shí)可能導(dǎo)致系統(tǒng)崩潰；另一方面是，通過把字符串植入緩沖區(qū)，從而獲得系統(tǒng)權(quán)限，可以執(zhí)行任意指令。

二、黑客攻擊與木馬問題

你的問題太大了，一言難盡。先給你發(fā)一片轉(zhuǎn)載的文章。

黑客常見攻擊步驟

黑客常用的攻擊步驟可以說變幻莫測,但縱觀其整個(gè)攻擊過程,還是有一定規(guī)律可循的,一般可以分:攻擊前奏'實(shí)施攻擊'鞏固控制'繼續(xù)深入幾個(gè)過程.下面我們來具體了解一下這幾個(gè)過程.

1攻擊前奏

黑客在發(fā)動(dòng)攻擊目標(biāo)'了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu),收集各種目標(biāo)系統(tǒng)的信息等.

鎖定目標(biāo):網(wǎng)絡(luò)上上有許多主機(jī),黑客首先要尋找他找的站點(diǎn)的.當(dāng)然能真正標(biāo)識(shí)主機(jī)的是lp地址,黑客會(huì)利用域名和lp地址就可以順利地找到目標(biāo)主機(jī).

了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu):

確定要攻擊的目標(biāo)后,黑客就會(huì)設(shè)法了解其所在的網(wǎng)絡(luò)結(jié)構(gòu),哪里是網(wǎng)關(guān)'路由,哪里有防火墻,ids,哪些主機(jī)與要攻擊的目標(biāo)主機(jī)關(guān)系密切等,最簡單地就是用tracert命令追蹤路由,也可以發(fā)一些數(shù)據(jù)包看其是否能通過來猜測其防火墻過濾則的設(shè)定等.當(dāng)然老練的黑客在干這些的時(shí)候都會(huì)利用別的計(jì)算機(jī)來間接的探測,從而隱藏他們真實(shí)的lp地址.

收集系統(tǒng)信息:

在收集到目標(biāo)的第一批網(wǎng)絡(luò)信息之后,黑客會(huì)對網(wǎng)絡(luò)上的每臺(tái)主機(jī)進(jìn)行全面的系統(tǒng)分析,以尋求該主機(jī)的安全漏洞或安全弱點(diǎn).收集系統(tǒng)信息的方法有:開放端口分析利用信息服務(wù)'利用安全掃描器,社會(huì)工程.開放端口分析.首先黑客要知道目標(biāo)主機(jī)采用的是什么操作系統(tǒng)什么版本,如果目標(biāo)開放telnet服務(wù),那只要telnet www.hackervip.com(目標(biāo)主機(jī)),就會(huì)顯示"digitalunlx(xx.xx.xx.)(ttypl)login:"這樣的系統(tǒng)信息.接著黑客還會(huì)檢查其開放端口進(jìn)行服務(wù)分析,看是否有能被利用的服務(wù).因特網(wǎng)上的主機(jī)大部分都提供。

www、mail、ftp、teinet等日常網(wǎng)絡(luò)服務(wù),通常情況下telnet服務(wù)的端口是23等,www服務(wù)的端口是80,ftp服務(wù)的口是23,利用信息服務(wù).像snmp服務(wù)、traceroute程序、whois服務(wù)可用來查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表,從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié),traceroute程序能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù),whois協(xié)議服務(wù)能提供所有有關(guān)的dns域和相關(guān)的管理參數(shù),finger協(xié)議可以用finger服務(wù)來獲取一個(gè)指一個(gè)指定主機(jī)上的所有用戶的詳細(xì)信息(如用戶注冊名、電話號(hào)碼、最后注冊時(shí)間以及他們有沒有讀郵件等等).所有如果沒有特殊的需要,管理員應(yīng)該關(guān)閉這些服務(wù).利用安掃描器,收集系統(tǒng)信息當(dāng)然少不了安全掃描器黑客會(huì)利用一些安全掃描器來幫他們發(fā)現(xiàn)系統(tǒng)的各種漏洞,包括各種系統(tǒng)服務(wù)漏洞,應(yīng)用軟件漏洞,cgi,弱口令用戶等等.(關(guān)于社會(huì)工程收集信息在攻擊方法篇中有具體介紹).

2實(shí)施攻擊

當(dāng)黑客探測到了足夠的系統(tǒng)信息,對系統(tǒng)的安全弱點(diǎn)有了了解后就會(huì)發(fā)動(dòng)攻擊,當(dāng)然他們會(huì)根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)、不同的系統(tǒng)情況而采用的不同的攻擊手段.一般,黑客攻擊的終極目的是能夠控制目標(biāo)系統(tǒng),竊取其中的機(jī)密文件等,但并不是每次黑客攻擊都能夠得逞控制目標(biāo)主機(jī)的目的的,所以有時(shí)黑客也會(huì)發(fā)動(dòng)拒絕服務(wù)攻擊之類的干擾攻擊,使系統(tǒng)不能正常工作.關(guān)于黑客上具體采用的一些攻擊方法我們在下面黑客攻擊方法中有詳細(xì)的介紹,這里就不細(xì)說了.

3鞏固控制

黑客利用種種手段進(jìn)入目標(biāo)主機(jī)系統(tǒng)并獲得控制權(quán)之后,不是像大家想象的那樣會(huì)馬上進(jìn)行破壞活動(dòng),刪除數(shù)據(jù)、涂改網(wǎng)頁等,那是毛頭小伙子們干的事情.一般入侵成功后,黑客為了能長時(shí)間表的保留和鞏固他對系統(tǒng)的控制權(quán),不被管理員發(fā)現(xiàn),他會(huì)做兩件事:清除記錄和留下后門.日志往往會(huì)記錄上一些黑攻擊的蛛絲馬跡,黑客當(dāng)然不會(huì)留下這些"犯罪證據(jù)",他會(huì)把它刪了或用假日志覆蓋它,為了日后面以不被覺察地再次進(jìn)入系統(tǒng),黑客會(huì)更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入、特洛伊木馬或其他一些遠(yuǎn)程操縱程序.

4繼續(xù)深入

清除日志、刪除拷貝的文件等腰三角形手段來隱藏自己的蹤跡之后,攻擊者就開始下一步的行動(dòng);竊取主機(jī)上的各種敏感信息:軟件資料、客戶名單、財(cái)務(wù)報(bào)表,信用卡號(hào)等等,也可能是什么都不動(dòng),只是把你的系統(tǒng)作為他存放黑客程序或資料的倉庫,也可能黑客會(huì)利用這臺(tái)已經(jīng)攻陷的主機(jī)去繼續(xù)他下一步的攻擊,如:繼續(xù)入侵內(nèi)部網(wǎng)絡(luò),或者利用這臺(tái)主機(jī)發(fā)動(dòng)d.o.s攻擊使網(wǎng)絡(luò)癱瘓.

網(wǎng)絡(luò)世界瞬息萬變,黑客們各有不同,他們的攻擊流程也不會(huì)全相同,上面我們提的攻擊步驟是對一般情況而言的,是絕大部分黑客正常情況下采用的攻擊步驟.

再給你發(fā)個(gè)網(wǎng)站鏈接

http://www.enet.com.cn/eschool/zhuanti/begin/

等你都學(xué)懂了，這些問題自然就明白了。

三、ipc突然不顯示中文了

一、對于你的具體問題的分析

很明顯你的QQ被盜了,為什么被盜則是因?yàn)橹辛四抉R.關(guān)于木馬如何進(jìn)入你的計(jì)算機(jī)及如何盜取你的QQ號(hào)及如何防范木馬,請看下文.

二、什么是計(jì)算機(jī)病毒與木馬

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。它和我們常用的各種軟件如播放器、QQ聊天軟件等一樣都屬于應(yīng)用程序，計(jì)算機(jī)病毒與普通應(yīng)用程序的區(qū)別在于它一般具有傳染性、隱蔽性、破壞性等特點(diǎn)。計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里, 當(dāng)達(dá)到某種條件時(shí)即被激活的具有對計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。

特洛伊木馬(以下簡稱木馬)，英文叫做“Trojan house”，其名稱取自希臘神話的特洛伊木馬記。它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。木馬程序通常由客戶端(Client)和服務(wù)端(Server)兩部分組成，服務(wù)端被種植到遠(yuǎn)程計(jì)算機(jī)上，客戶端由黑客在自己的主機(jī)上運(yùn)行，客戶端可以向服務(wù)端發(fā)送各種指令來控制服務(wù)端的電腦。

計(jì)算機(jī)病毒和木馬都是一種應(yīng)用程序，病毒的主要特點(diǎn)在于傳染性和破壞性，木馬的主要特點(diǎn)在于遠(yuǎn)程控制，木馬與病毒相比更具有潛在的危險(xiǎn)性。

三、什么是計(jì)算機(jī)漏洞

顧名思義，計(jì)算機(jī)漏洞就是指計(jì)算機(jī)軟件在程序設(shè)計(jì)上的缺陷，留下了隱患。黑客利用計(jì)算機(jī)漏洞可能完全控制你的電腦。微軟的操作系統(tǒng)本身就存在著大量的漏洞（微軟的主要操作系統(tǒng)有：MS-DOS，Windows 98/Me，Windows NT，Windows 2000，Windows XP，Windows 2003等），比較著名的漏洞有MS05039溢出漏洞、MS0601圖形呈形引擎導(dǎo)致的遠(yuǎn)程執(zhí)行代碼漏洞、HELP控件跨域執(zhí)行代碼漏洞等，黑客利用這些漏洞曾一度使互聯(lián)網(wǎng)病毒泛濫。

四、流行木馬工作過程詳解

1. 密碼竊取木馬，在此以QQ竊密木馬“阿拉QQ大盜”為例：

阿拉QQ大盜在互聯(lián)網(wǎng)上很流行，通過對木馬程序進(jìn)行初步的配置后它可以自動(dòng)生成一個(gè)木馬程序，如果你的計(jì)算機(jī)不幸運(yùn)行此程序后，你的QQ將會(huì)在指定的時(shí)間內(nèi)被強(qiáng)行關(guān)閉，當(dāng)你再次登陸QQ時(shí)，你的號(hào)碼及密碼就會(huì)被此木馬程序悄悄的發(fā)送到木馬制造者指定的收信程序中，從此你的QQ號(hào)就不再是你的了。

2. 遠(yuǎn)程控制木馬，在此以讓人望而生畏的“灰鴿子”為例：

灰鴿子是一款很有名的遠(yuǎn)程控制軟件，它由服務(wù)端和控制端兩部分組成。它屬于反彈端口型的木馬程序，當(dāng)你的電腦不幸中了灰鴿子服務(wù)端后，服務(wù)端會(huì)自動(dòng)向木馬制造者設(shè)置的地址發(fā)送連接請求，當(dāng)服務(wù)端與客戶端建立網(wǎng)絡(luò)連接后，木馬制造者將擁有你的電腦的完全控制權(quán)，包括密碼竊?。ㄈ绺`取你的寬帶上網(wǎng)帳號(hào)進(jìn)行網(wǎng)上消費(fèi)）、屏幕監(jiān)控（木馬制造者可以遠(yuǎn)程看到你的桌面，你在做什么他可是了如指掌）、數(shù)據(jù)下載（你的所有資料都可以被他竊取）、格式化硬盤（讓你的所有數(shù)據(jù)灰飛煙滅）、遠(yuǎn)程開啟視頻（如果你安裝了攝像頭的話，對方可以悄悄的打開你的視頻而不被你察覺，真實(shí)的你也會(huì)展現(xiàn)在黑客面前）。

五、木馬、病毒的傳播途徑

通過上面的介紹，相信大家對木馬、病毒的危害巳經(jīng)有一個(gè)感觀的認(rèn)識(shí)了，你也許會(huì)問：木馬、病毒是如何進(jìn)入我的計(jì)算機(jī)的呢？下面我就對木馬、病毒的幾種主要傳播手段做一個(gè)簡單介紹。

1. 通過硬件存儲(chǔ)介質(zhì)傳播

前面講過計(jì)算機(jī)病毒有自動(dòng)復(fù)制傳染的特性，所以如果U盤、MP3、SD卡、軟盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備如果接入感染了病毒的計(jì)算機(jī)后，其本身可能也會(huì)被感染病毒，如果再接入沒有被感染病毒的計(jì)算機(jī)后，該計(jì)算機(jī)可能也會(huì)被傳染病毒。

2. 通過局域網(wǎng)共享傳播

前面提到了計(jì)算機(jī)的漏洞，微軟的IPC共享就存在嚴(yán)重漏洞，許多病毒可以通過IPC默認(rèn)共享自動(dòng)感染局域網(wǎng)內(nèi)的所有計(jì)算機(jī)。（我們在局域網(wǎng)內(nèi)實(shí)現(xiàn)共享打印機(jī)、共享文件都是利用IPC來實(shí)現(xiàn)共享的）

3. 通過與應(yīng)用軟件捆綁傳播

此種手段較為高明，木馬制作者把木馬程序捆綁到一個(gè)比較常用的應(yīng)用軟件上，比如Photoshop、QQ、Realplayer、Word等軟件上，然后把這些捆綁了木馬程序的應(yīng)用軟件放到互聯(lián)網(wǎng)上提供給網(wǎng)友下載，當(dāng)你下載下來安裝這些軟件的時(shí)候，被捆綁其上的木馬也被你同時(shí)安裝到自己的電腦中了，這一過程是不被你察覺的。

4. 通過電子郵件附件傳播

木馬制作者可以直接把木馬程序作為附件發(fā)送給你，利用社會(huì)工程學(xué)的知識(shí)來騙你打開附件，比如說是你的同學(xué)，發(fā)給你一張新拍的照片，如果你信以為真，那可能就中計(jì)了。直接發(fā)送木馬程序?qū)τ谏杂芯W(wǎng)絡(luò)安全意識(shí)的人來講還是可以防范的，因?yàn)槟抉R程序既然是應(yīng)用程序，那么它的后綴名必定是.EXE。更高級的附件發(fā)送木馬手法還是挺高明的，比如把木馬程序的圖標(biāo)改為圖片文件的圖標(biāo)或是Word文檔的圖標(biāo)來進(jìn)行魚目混珠，還可以利用Word的宏命令直接把木馬程序?qū)懭隬ord文檔中，這樣就更難察覺了。

5. 通過網(wǎng)頁木馬傳播

什么是網(wǎng)頁木馬？答：網(wǎng)頁木馬就是利用計(jì)算機(jī)漏洞構(gòu)造出的具有特殊功能的網(wǎng)頁，當(dāng)你打開此網(wǎng)頁且你的計(jì)算機(jī)有此網(wǎng)頁利用的漏洞時(shí)，你的電腦就會(huì)自動(dòng)從指定的網(wǎng)址下載木馬程序到你的電腦上并自動(dòng)運(yùn)行。這一切都是在隱蔽狀態(tài)下進(jìn)行的，對于你來說，你只不過就是打開了一個(gè)網(wǎng)頁而巳，沒有進(jìn)行任何其它操作，但是你的電腦巳經(jīng)中毒了。相對于其它傳播手段而言，此種傳播手段的傳播效率最高！大約90％以上的木馬程序都是通過網(wǎng)頁木馬來進(jìn)行傳播的。你也許會(huì)說你沒有上什么不正規(guī)的網(wǎng)站，怎么也會(huì)中毒？事實(shí)上目前的許多網(wǎng)站都存在著各種各樣的漏洞，黑客利用這些漏洞可以入侵網(wǎng)站，包括有名的網(wǎng)易、搜狐、新浪等大型知名網(wǎng)站都曾遭遇過黑客入侵而被篡改主頁。黑客入侵網(wǎng)站后如果在這些網(wǎng)站的首頁加上一段調(diào)用網(wǎng)頁木馬的代碼，那么當(dāng)你瀏覽這一網(wǎng)站時(shí)你就可能中了木馬了。

6. 通過郵件網(wǎng)頁木馬傳播

前面巳講到什么是網(wǎng)頁木馬，那么郵件網(wǎng)頁木馬顧名思義就是通過郵件傳播的網(wǎng)頁木馬了，木馬制造者通過編輯電子郵件的源代碼，可以發(fā)送一封網(wǎng)頁格式的電子郵件給你，此種格式的郵件如果在源代碼中加入調(diào)用網(wǎng)頁木馬的代碼就稱為郵件網(wǎng)頁木馬，此中郵件沒有附件，你只要打開了這封郵就會(huì)中馬，不需要進(jìn)行其它任何操作！它相對于網(wǎng)頁木馬的優(yōu)點(diǎn)在于可以發(fā)送到指定的郵箱指定目標(biāo)進(jìn)行攻擊。

7. 通過影音文件網(wǎng)頁木馬傳播

不知大家是否有過這樣的經(jīng)歷，下載到一部自己喜愛的電影，正在觀看時(shí)突然彈出來一個(gè)網(wǎng)頁，這個(gè)網(wǎng)頁就有可能是網(wǎng)頁木馬了（也有可能只是做廣告），視頻文件是可以添加事件的，可以讓它在播放到指定時(shí)間時(shí)打開一個(gè)網(wǎng)頁，如果打開的網(wǎng)頁是網(wǎng)頁木馬，那么你的電腦從此就中毒了。此種木馬常見于一些不正規(guī)的小網(wǎng)站提供的電影下載中或是BT等共享視頻中。

六、殺毒軟件與防火墻的工作原理

殺毒軟件殺毒的一個(gè)重要依據(jù)就是根據(jù)自己病毒庫中的特征碼定義，所謂特征碼就是某程序所特有的代碼段，病毒特征碼就是指某病毒所特有的代碼，殺毒軟件在對文件進(jìn)行殺毒時(shí)對文件內(nèi)的內(nèi)碼逐一進(jìn)行檢查，一旦發(fā)現(xiàn)此文件中含有某種病毒的特征碼那么它就認(rèn)為是某種病毒，無論這個(gè)文件到底是不是病毒。比較高級的殺毒軟件通常對同一種病毒有兩種特征碼定義：文件特征碼和內(nèi)存特征碼。程序是運(yùn)行于內(nèi)存中的，內(nèi)存中的代碼與文件本身的代碼是不同的，有些文件直接用殺毒軟件查殺是沒有病毒的，但是你一旦運(yùn)行它就會(huì)查出有病毒就是這個(gè)原因。

“黑客會(huì)打上我的主意嗎？”這么想就對了，黑客就想鉆雞蛋縫的蒼蠅一樣，看到一絲從系統(tǒng)漏洞發(fā)出的光亮就會(huì)蠢蠢欲動(dòng)！好，如何保護(hù)你的網(wǎng)絡(luò)呢？計(jì)算機(jī)的高手們也許一張嘴就提議你安裝網(wǎng)絡(luò)的防火墻，那么第一個(gè)問題就來了：到底什么是防火墻呢？防火墻就是一種過濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。天下的防火墻至少都會(huì)說兩個(gè)詞：Yes或者No。大多數(shù)防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀Ｖ档靡惶岬氖?，只要你想上網(wǎng)，你的防火墻就一定會(huì)對一些程序和端口說“YES”來放行的。

七、道高一尺魔高一丈，木馬病毒如何逃過防火墻與殺毒軟件的攔截查殺

前面講到殺毒軟件殺毒的一個(gè)重要依據(jù)就是特征碼，那么如果一個(gè)程序中不含有病毒庫中定義的所有特征碼的話，殺毒軟件就自然不會(huì)認(rèn)為這個(gè)程序是病毒了！黑客高手們通常的做法是做出來一個(gè)木馬、病毒程序后，用各種殺毒軟件去殺它，而后取得各種殺毒軟件對此程序的特征碼的定義，然后就是修改特征碼，把征征碼的代碼改用其它的程序代碼來實(shí)現(xiàn)相同的功能，經(jīng)過大多數(shù)殺毒軟件的輪攻與修改后，這個(gè)病毒就可以順利逃過各種殺毒軟件的查殺了！前面亦有提到只要你想上網(wǎng)，防火墻就會(huì)對某些程序（如IE瀏覽器）和端口放行，那么病毒木馬通過線程插入系統(tǒng)進(jìn)程的技術(shù)可以將自身置入系統(tǒng)進(jìn)程之中，木馬程序通常會(huì)利用80端口進(jìn)行遠(yuǎn)程連接（WEB服務(wù)默認(rèn)端口），這樣只要你的電腦可以上網(wǎng)，那么木馬程序同樣也會(huì)被防火墻放行！對于黑客高手而言，普通的殺毒軟件和防火墻（普通用戶用到的殺毒軟件及防火墻）就等于是花邊，對們來說是不起什么作用的！所以當(dāng)你用殺毒軟件把你的所有硬盤都掃了一遍而沒有發(fā)現(xiàn)病毒時(shí)你也不要沾沾自喜，很可能你中了做了免殺處理的病毒，這樣雖然你中毒了你的殺毒軟件也會(huì)視若無睹。-

八、木馬隱藏技術(shù)，木馬程序藏身何處

木馬程序無論如何神秘，但歸根究底，仍是Win32平臺(tái)下的一種程序。Win32應(yīng)用程序通常會(huì)有應(yīng)用程序界面，比如系統(tǒng)中自帶的“計(jì)算器”就有提供各種數(shù)字按鈕的應(yīng)用程序界面。木馬雖然屬于Win32應(yīng)用程序，但其一般不包含窗體或隱藏了窗體，并且將木馬文件屬性設(shè)置為“隱藏”，這就是最基本的隱藏手段，稍有經(jīng)驗(yàn)的用戶只需打開“任務(wù)管理器”，并且將“文件夾選項(xiàng)”中的“顯示所有文件”勾選即可輕松找出木馬，于是便出現(xiàn)了下面要介紹的“進(jìn)程隱藏”技術(shù)。

第一代進(jìn)程隱藏技術(shù)：Windows 98的后門

在Windows 98中，微軟提供了一種能將進(jìn)程注冊為服務(wù)進(jìn)程的方法。盡管微軟沒有公開提供這種方法的技術(shù)實(shí)現(xiàn)細(xì)節(jié)(因?yàn)閃indows的后續(xù)版本中沒有提供這個(gè)機(jī)制)，但仍有高手發(fā)現(xiàn)了這個(gè)秘密，這種技術(shù)稱為RegisterServiceProcess。只要利用此方法，任何程序的進(jìn)程都能將自己注冊為服務(wù)進(jìn)程，而服務(wù)進(jìn)程在Windows 98中的任務(wù)管理器中恰巧又是不顯示的，所以便被木馬程序鉆了空子。

第二代進(jìn)程隱藏技術(shù)：進(jìn)程插入

一個(gè)進(jìn)程可以包含若干線程(Thread)，線程可以幫助應(yīng)用程序同時(shí)做幾件事(比如一個(gè)線程向磁盤寫入文件，另一個(gè)則接收用戶的按鍵操作并及時(shí)做出反應(yīng)，互相不干擾)，在程序被運(yùn)行后中，系統(tǒng)首先要做的就是為該程序進(jìn)程建立一個(gè)默認(rèn)線程，然后程序可以根據(jù)需要自行添加或刪除相關(guān)的線程。

一旦木馬的DLL插入了另一個(gè)進(jìn)程的地址空間后，就可以對另一個(gè)進(jìn)程為所欲為，這里以盜QQ密碼的木馬為便進(jìn)行簡單講解。

普通情況下，一個(gè)應(yīng)用程序所接收的鍵盤、鼠標(biāo)操作，別的應(yīng)用程序是無權(quán)“過問”的?？杀I號(hào)木馬是怎么偷偷記錄下我的密碼的呢？木馬首先將1個(gè)DLL文件插入到QQ的進(jìn)程中并成為QQ進(jìn)程中的一個(gè)線程，這樣該木馬DLL就赫然成為了QQ的一部分！然后在用戶輸入密碼時(shí)，因?yàn)榇藭r(shí)木馬DLL已經(jīng)進(jìn)入QQ進(jìn)程內(nèi)部，所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了，真是“家賊難防”??！

不要相信自己的眼睛：恐怖的進(jìn)程“蒸發(fā)”

嚴(yán)格地來講，這應(yīng)該算是第2.5代的進(jìn)程隱藏技術(shù)了，可是它卻比前幾種技術(shù)更為可怕得多。這種技術(shù)使得木馬不必將自己插入到其他進(jìn)程中，而可以直接消失！

它通過Hook技術(shù)對系統(tǒng)中所有程序的進(jìn)程檢測相關(guān)API的調(diào)用進(jìn)行了監(jiān)控，“任務(wù)管理器”之所以能夠顯示出系統(tǒng)中所有的進(jìn)程，也是因?yàn)槠湔{(diào)用了EnumProcesses等進(jìn)程相關(guān)的API函數(shù)，進(jìn)程信息都包含在該函數(shù)的返回結(jié)果中，由發(fā)出調(diào)用請求的程序接收返回結(jié)果并進(jìn)行處理(如“任務(wù)管理器”在接收到結(jié)果后就在進(jìn)程列表中顯示出來)。

而木馬由于事先對該API函數(shù)進(jìn)行了Hook，所以在“任務(wù)管理器”(或其他調(diào)用了列舉進(jìn)程函數(shù)的程序)調(diào)用EnumProcesses函數(shù)時(shí)(此時(shí)的API函數(shù)充當(dāng)了“內(nèi)線”的角色)，木馬便得到了通知，并且在函數(shù)將結(jié)果(列出所有進(jìn)程)返回給程序前，就已將自身的進(jìn)程信息從返回結(jié)果中抹去了。就好比你正在看電視節(jié)目，卻有人不知不覺中將電視接上了DVD，你在不知不覺中就被欺騙了。

所以無論是“任務(wù)管理器”還是殺毒軟件，想對這種木馬的進(jìn)程進(jìn)行檢測都是徒勞的。這種木馬目前沒有非常有效的查殺手段，只有在其運(yùn)行前由殺毒軟件檢測到木馬文件并阻止其病毒體的運(yùn)行。當(dāng)時(shí)還有一種技術(shù)是由木馬程序?qū)⑵渥陨淼倪M(jìn)程信息從Windows系統(tǒng)用以記錄進(jìn)程信息的“進(jìn)程鏈表”中刪除，這樣進(jìn)程管理工具就無法從“進(jìn)程鏈表”中獲得木馬的進(jìn)程信息了。但由于缺乏平臺(tái)通用性而且在程序運(yùn)行時(shí)有一些問題，所以沒有被廣泛采用。

什么是Hook？Hook是Windows中提供的一種用以替換DOS下“中斷”的一種系統(tǒng)機(jī)制，中文譯名為“掛鉤”或“鉤子”。在對特定的系統(tǒng)事件(包括上文中的特定API函數(shù)的調(diào)用事件)進(jìn)行Hook后，一旦發(fā)生已Hook的事件，對該事件進(jìn)行Hook的程序(如:木馬)就會(huì)收到系統(tǒng)的通知，這時(shí)程序就能在第一時(shí)間對該事件做出響應(yīng)(木馬程序便搶在函數(shù)返回前對結(jié)果進(jìn)行了修改)。

毫無蹤跡:全方位立體隱藏

利用剛才介紹的Hook隱藏進(jìn)程的手段，木馬可以輕而易舉地實(shí)現(xiàn)文件的隱藏，只需將Hook技術(shù)應(yīng)用在文件相關(guān)的API函數(shù)上即可，這樣無論是“資源管理器”還是殺毒軟件都無法找出木馬所在了。更令人吃驚的是，現(xiàn)在已經(jīng)有木馬(如:灰鴿子)利用該技術(shù)實(shí)現(xiàn)了文件和進(jìn)程的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟件在其運(yùn)行前進(jìn)行攔截。

跟殺毒軟件對著干：反殺毒軟件外殼

木馬再狡猾，可是一旦被殺毒軟件定義了特征碼，在運(yùn)行前就被攔截了。要躲過殺毒軟件的追殺，很多木馬就被加了殼，相當(dāng)于給木馬穿了件衣服，這樣殺毒軟件就認(rèn)不出來了，但有部分殺毒軟件會(huì)嘗試對常用殼進(jìn)行脫殼，然后再查殺(小樣，別以為穿上件馬夾我就不認(rèn)識(shí)你了)。除了被動(dòng)的隱藏外，最近還發(fā)現(xiàn)了能夠主動(dòng)和殺毒軟件對著干的殼，木馬在加了這種殼之后，一旦運(yùn)行，則外殼先得到程序控制權(quán)，由其通過各種手段對系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞，最后在確認(rèn)安全(殺毒軟件的保護(hù)已被瓦解)后由殼釋放包裹在自己“體內(nèi)”的木馬體并執(zhí)行之。對付這種木馬的方法是使用具有脫殼能力的殺毒軟件對系統(tǒng)進(jìn)行保護(hù)。

什么是殼？顧名思義，你可以很輕易地猜到，這是一種包在外面的東西。沒錯(cuò)，殼能夠?qū)⑽募?比如EXE)包住，然后在文件被運(yùn)行時(shí)，首先由殼獲得控制權(quán)，然后釋放并運(yùn)行包裹著的文件體。很多殼能對自己包住的文件體進(jìn)行加密，這樣就可以防止殺毒軟件的查殺。比如原先殺毒軟件定義的該木馬的特征是“12345”，如果發(fā)現(xiàn)某文件中含有這個(gè)特征，就認(rèn)為該文件是木馬，而帶有加密功能的殼則會(huì)對文件體進(jìn)行加密(如:原先的特征是“12345”，加密后變成了“54321”，這樣殺毒軟件當(dāng)然不能靠文件特征進(jìn)行檢查了)。脫殼指的就是將文件外邊的殼去除，恢復(fù)文件沒有加殼前的狀態(tài)。

九、普通用戶網(wǎng)絡(luò)安全的出路：防勝于殺

綜上可見，依賴于防火墻和殺毒軟件想做到百毒不侵那是不可能辦到的事情！可以這樣說，只要你接入互聯(lián)網(wǎng)那就有可能中毒，而且有可能中了毒也查不出有毒，那么對于沒有專業(yè)的網(wǎng)絡(luò)安全知識(shí)的普通用戶來說，如何才能保障自身的網(wǎng)絡(luò)安全呢？

1. 打好系統(tǒng)補(bǔ)丁，修復(fù)系統(tǒng)漏洞

前面講到病毒的最大來源就是網(wǎng)頁木馬，而網(wǎng)頁木馬必定依賴于系統(tǒng)漏洞而生存，如果你的系統(tǒng)沒有網(wǎng)頁木馬所利用的漏洞，自然它就不能發(fā)揮任何作用了！所以防范木馬病毒進(jìn)入電腦的最佳辦法就是及時(shí)打好系統(tǒng)補(bǔ)丁，然后用漏洞掃描工具檢測一下系統(tǒng)是否存在漏洞，直到修復(fù)到?jīng)]有任何巳公布的漏洞而巳。

2. 及時(shí)更新殺毒軟件的病毒庫

雖然殺毒軟件不是萬能的，但是安裝一個(gè)好的殺毒軟件還是很有必要的，微軟公司每年都會(huì)公布出大量的系統(tǒng)漏洞，然后在官方網(wǎng)站提供漏洞補(bǔ)丁供用戶下載，然而仍然有許多未被發(fā)現(xiàn)的漏洞有可能被黑客利用，所以裝個(gè)比較好的殺毒軟件還是很必要的，推薦卡巴斯基和瑞星，卡巴斯基除了利用特征碼殺毒外，還啟用了虛擬機(jī)技術(shù)和行為跟蹤技術(shù)，其文件查殺與內(nèi)存查殺能力可謂是出類拔萃！瑞星與其它殺毒軟件相比最出色的地方就在于內(nèi)存查殺能力相當(dāng)強(qiáng)大，缺點(diǎn)就是許多病毒木馬都特別針對瑞星做了反查殺處理。

3. 做好系統(tǒng)備份，做好災(zāi)難恢復(fù)的準(zhǔn)備

既然打補(bǔ)丁和安裝殺毒軟件都不是萬能的，那么就要做好中毒的準(zhǔn)備，及時(shí)做好系統(tǒng)備份，一旦出現(xiàn)災(zāi)難性故障可以迅速恢復(fù)操作系統(tǒng)，免去數(shù)據(jù)丟失的風(fēng)險(xiǎn)和重裝系統(tǒng)的麻煩。

四、網(wǎng)絡(luò)黑客是怎么操作的

Web服務(wù)器將成為下一代黑客施展妖術(shù)的對象。在很大程度上，進(jìn)行這種攻擊只需一個(gè)Web瀏覽器和一個(gè)創(chuàng)造性的頭腦。以前，黑客的攻擊對象集中在操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議上，但隨著這些攻擊目標(biāo)的弱點(diǎn)和漏洞逐漸得到修補(bǔ)，要進(jìn)行這類攻擊已經(jīng)變得非常困難。操作系統(tǒng)正在變得更加穩(wěn)健，對攻擊的抵抗能力日益提高。隨著身份驗(yàn)證和加密功能漸漸被內(nèi)置到網(wǎng)絡(luò)協(xié)議中，網(wǎng)絡(luò)協(xié)議也變得更加安全。此外，防火墻也越來越智能，成為網(wǎng)絡(luò)和系統(tǒng)的外部保護(hù)屏障。

另一方面，電子商務(wù)技術(shù)正在日益普及開來，其復(fù)雜性有增無減。基于Web的應(yīng)用程序正在與基本的操作系統(tǒng)和后端數(shù)據(jù)庫更加緊密地集成在一起。遺憾的是，人們在基于Web的基礎(chǔ)設(shè)施安全性方面所做的工作還很不夠。Web服務(wù)器和Web應(yīng)用程序中的弱點(diǎn)被發(fā)現(xiàn)的速度為何這么快呢？

有很多因素促成了這種Web黑客活動(dòng)的快速增加。其中最主要的原因是防火墻允許所有的Web通信都可以進(jìn)出網(wǎng)絡(luò)，而防火墻無法防止對Web服務(wù)器程序及其組件或Web應(yīng)用程序的攻擊。第二個(gè)原因是，Web服務(wù)器和基于Web的應(yīng)用程序有時(shí)是在“功能第一，安全其次”的思想指導(dǎo)下開發(fā)出來的。

當(dāng)您的Web服務(wù)器面臨巨大威脅時(shí)，怎樣保障它們的安全呢？這就需要您不斷了解新信息，新情況，每天跟蹤您所用服務(wù)器的有關(guān)網(wǎng)站，閱讀相關(guān)新聞并向它進(jìn)行咨詢。為了讓你著手這方面的工作，下面介紹黑客對NT系統(tǒng)的四種常用攻擊手段，同時(shí)介紹如何防止這類攻擊。

Microsoft IIS ism.dll緩沖區(qū)溢出

受影響的服務(wù)器：運(yùn)行IIS 4.0并帶有“Service Pack 3/4/5”的Windows NT服務(wù)器

Microsoft IIS緩沖區(qū)溢出這一安全弱點(diǎn)是Web服務(wù)器無時(shí)不有的重大缺陷之一。該弱點(diǎn)被稱為IIS

eEye，這個(gè)名稱來自發(fā)現(xiàn)此問題的一個(gè)小組。在實(shí)施緩沖區(qū)溢出攻擊時(shí)，黑客向目標(biāo)程序或服務(wù)輸入超出程序處理能力的數(shù)據(jù)，導(dǎo)致程序突然終止。另外，還可以通過設(shè)置，在執(zhí)行中的程序終止運(yùn)行前，用輸入的內(nèi)容來覆蓋此程序的某些部分，這樣就可以在服務(wù)器的安全權(quán)限環(huán)境下執(zhí)行任意黑客命令。

eEye發(fā)現(xiàn)，IIS用來解釋HTR文件的解釋程序是ism.dll，它對緩沖區(qū)溢出攻擊的抵抗力十分脆弱。如果攻擊者將一個(gè)以.htr結(jié)尾的超長文件名（大約3,000個(gè)字符，或更多）傳遞給IIS，那么輸入值將在ism.dll中造成輸入緩沖區(qū)溢出，并導(dǎo)致IIS崩潰。如果攻擊者輸入的不是一串字母而是可執(zhí)行代碼（通常稱為“雞蛋”或“外殼代碼”），那么在IIS終止之前將執(zhí)行該代碼。由eEye小組發(fā)現(xiàn)的這一攻擊方法包括三個(gè)步驟：

1．創(chuàng)建一個(gè)用于偵聽任意TCP端口上連接活動(dòng)的程序。一旦接收到連接信號(hào)，該程序?qū)?zhí)行一個(gè)Windows命令外殼程序(cmd.exe)，并將該外殼與連接綁定在一起。這個(gè)程序是經(jīng)過修改的Netcat。Netcat是一個(gè)流行的網(wǎng)絡(luò)連接實(shí)用程序，其源代碼可以免費(fèi)獲得。

2．在IIS的ism.dll中制造緩沖區(qū)溢出，并使IIS從外部Web站點(diǎn)下載偵聽程序（由步驟1產(chǎn)生）。

3．執(zhí)行剛下載的程序（由步驟2產(chǎn)生），該程序?qū)⒌却齻魅氲倪B接并使攻擊者進(jìn)入Windows命令外殼程序中。

由于緩沖區(qū)溢出導(dǎo)致IIS在崩潰之前轉(zhuǎn)而運(yùn)行Windows命令外殼，所以該外殼程序?qū)⒃贗IS的安全權(quán)限背景下運(yùn)行，而該安全權(quán)限背景等價(jià)于NT

Administrator權(quán)限。這樣，攻擊者要做的只是與被攻擊的IIS服務(wù)器的偵聽端口建立連接，然后等著出現(xiàn)c:>提示就萬事大吉了?，F(xiàn)在，攻擊者擁有對整個(gè)NT服務(wù)器的管理權(quán)限，可以做任何事，比如，添加新用戶、修改服務(wù)器的內(nèi)容、格式化驅(qū)動(dòng)器，甚至將該服務(wù)器用作攻擊其它系統(tǒng)的踏腳石。

運(yùn)行IIS 4.0并帶有“Service Pack 3/4/5”的Windows

NT服務(wù)器容易受到此類攻擊。Microsoft已經(jīng)發(fā)布了對該弱點(diǎn)的修補(bǔ)程序。Windows NT Service Pack

6也已經(jīng)修補(bǔ)了該問題。

Microsoft IIS MDAC RDS安全弱點(diǎn)

受影響的服務(wù)器：運(yùn)行IIS 4.0并安裝了MDAC 2.1或更早版本的Windows NT服務(wù)器

在發(fā)現(xiàn)IIS eEye安全弱點(diǎn)的大約一個(gè)月后，IIS

4.0的另一個(gè)弱點(diǎn)又暴露出來。使用Microsoft數(shù)據(jù)訪問組件(MDAC)和遠(yuǎn)程數(shù)據(jù)服務(wù)(RDS)，攻擊者可以建立非法的ODBC連接，并獲得對Web服務(wù)器上的內(nèi)部文件的訪問權(quán)。如果安裝了Microsoft

Jet OLE DB提供程序或Datashape提供程序，攻擊者可以使用Visual Basic for Applications

shell()函數(shù)發(fā)出能夠在服務(wù)器上執(zhí)行的命令。

在安裝了MDAC 2.1或更高版本的IIS 4.0上，從位于其公共目錄中的msadcmsadcs.dll，可以找到MDAC

RDS弱點(diǎn)。Rain Forest

Puppy在其站點(diǎn)中對該弱點(diǎn)進(jìn)行了詳細(xì)說明。該弱點(diǎn)利用了IIS上MDAC默認(rèn)安裝時(shí)的不適當(dāng)配置和安全機(jī)制的缺乏這一漏洞。在等價(jià)于NT

Administrator的IIS Web服務(wù)器進(jìn)程的安全權(quán)限背景下，進(jìn)行這種攻擊的黑客可以在NT系統(tǒng)上遠(yuǎn)程執(zhí)行任意命令。

MDAC的弱點(diǎn)不是由于技術(shù)造成的，而是由于用戶對它的配置方式所致。很多站點(diǎn)是通過NT Option Pack 4.0安裝IIS

4.0的。如果NT Option Pack

4.0是以典型或默認(rèn)配置安裝的，那么MDAC就容易遭到這種攻擊。大多數(shù)使用默認(rèn)安裝的系統(tǒng)管理員都沒有具體調(diào)整過這些設(shè)置，從而使Web服務(wù)器的安全性大大降低。

Foundstone公司的George Kurtz、Purdue大學(xué)的Nitesh

Dhanjani和我曾經(jīng)共同設(shè)計(jì)了一個(gè)只有一行的命令字符串，該命令將利用MDAC

RDS弱點(diǎn)，使遠(yuǎn)程N(yùn)T系統(tǒng)啟動(dòng)一個(gè)通過FTP或TFTP進(jìn)行的文件傳輸過程。這個(gè)命令將告訴服務(wù)器到從某個(gè)外部系統(tǒng)下載并執(zhí)行Netcat。Netcat將運(yùn)行Windows命令外殼程序，并建立一個(gè)返回攻擊者計(jì)算機(jī)的連接，這樣，攻擊者就獲得了對遠(yuǎn)程N(yùn)T系統(tǒng)的完全管理控制權(quán)。

Microsoft已經(jīng)發(fā)布了相應(yīng)的安全公告，并對使IIS 4.0免受該弱點(diǎn)攻擊的保護(hù)措施進(jìn)行了說明。

Allaire ColdFusion 4.0弱點(diǎn)

受影響的服務(wù)器：運(yùn)行在Windows NT上的Allaire ColdFusion Server 4.0

作為還算容易使用的、功能強(qiáng)大的腳本語言，ColdFusion已經(jīng)廣泛流行起來。但流行并不意味著安全。ColdFusion的問題不在于該服務(wù)器自身，而是在于它附帶的腳本。ColdFusion

4.0提供了示范應(yīng)用程序和范例，它們可以在位于Web服務(wù)器根目錄中的cfdocsexampleapp和cfdocsexpeval目錄中找到。當(dāng)用戶執(zhí)行典型安裝時(shí)，將安裝這些應(yīng)用程序和腳本。ColdFusion所附帶的部分范例經(jīng)過修改后，將允許非法訪問服務(wù)器上所包含的敏感數(shù)據(jù)。這些弱點(diǎn)表明，基本的應(yīng)用程序服務(wù)器可以被編寫得不好的應(yīng)用程序腳本歪曲利用。

存在這種弱點(diǎn)的一個(gè)范例應(yīng)用程序是cfdocsexampleappdocssourcewindow.cfm。因?yàn)镃oldFusion是作為具有Administrator權(quán)限的系統(tǒng)服務(wù)運(yùn)行的，所以，該程序可以被用來任意訪問和查看NT

Web服務(wù)器上的任何文件，包括boot.ini。用這種方法可以檢索任何文件。Packet Storm對該弱點(diǎn)做了完整解釋。

而更嚴(yán)重的弱點(diǎn)存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。這三個(gè)文件可以用來查看服務(wù)器上的任何文件，更為嚴(yán)重的是，它們還能將任意文件上載到服務(wù)器。對該弱點(diǎn)如何發(fā)作的討論超出了本文的范圍，欲了解詳細(xì)信息請?jiān)L問L0pht

Heavy

Industries的咨詢信息。表達(dá)式求值程序exprcalc.cfm用于讓開發(fā)人員計(jì)算被上載文件中的ColdFusion表達(dá)式的值。作為預(yù)防手段，該腳本在進(jìn)行表達(dá)式計(jì)算時(shí)便會(huì)把被上載的文件刪除掉，但要避免刪除卻是件容易的事。這樣，攻擊者可以上載惡意文件，并最終控制服務(wù)器。

這些就是ColdFusion的示范腳本中最嚴(yán)重的弱點(diǎn)。要防止出現(xiàn)問題，請從任何運(yùn)行中的服務(wù)器中刪除ColdFusion示范腳本。Allaire的Security

Zone提供了補(bǔ)丁程序，并提供了如何保護(hù)ColdFusion服務(wù)器的進(jìn)一步信息。

Sambar 4.3 hello.bat

受影響的服務(wù)器：運(yùn)行在Windows NT上的Sambar 4.3 beta 7和更早版本

Sambar是提供給開發(fā)者的免費(fèi)Web服務(wù)器。它提供了對CGI和WinCGI腳本、ODBC腳本以及ISAPI的支持。它甚至捆綁了Perl

5解釋器。

Sambar 4.3 beta

7版和更早版本附帶兩個(gè)名為hello.bat和echo.bat的文件，它們是將Windows批處理文件用作CGI腳本的范例。這兩個(gè)腳本本身沒有問題，hello.bat顯示字符串“Hello

World”，而echo.bat顯示字符串“Place

Holder”。但當(dāng)批處理文件被用作CGI腳本時(shí)，Web服務(wù)器將使用Windows命令外殼程序cmd.exe來運(yùn)行它們。這樣，攻擊者可以利用該弱點(diǎn)針對目標(biāo)服務(wù)器運(yùn)行任意命令。例如，假如攻擊者把URL

http://target.site/cgi-bin/hello.bat?&dir+c:放在他或她的瀏覽器中，那么，將在服務(wù)器上運(yùn)行命令“dir

c:”，并在瀏覽器上顯示結(jié)果。由于Sambar是在NT