標籤: 暫無標籤

黑客技術,簡單地說,是對計算機系統和網路的缺陷和漏洞的發現,以及針對這些缺陷實施攻擊的技術。這裡說的缺陷,包括軟體缺陷、硬體缺陷、網路協議缺陷、管理缺陷和人為的失誤。

1簡介

很顯然,黑客技術對網路具有破壞能力。「黑客技術」一詞是由英語Hackte音譯出來的,拼「Hackte」。近段時間,一個很普通的黑客攻擊手段把世界上一些頂級的大網站輪流考驗了一遍,結果證明即使是如yahoo這樣具有雄厚的技術支持的高性能商業網站,黑客都可以給他們帶來經濟損失。這在一定程度上損害了人們對Internet和電子商務的信心,也引起了人們對黑客的嚴重關注和對黑客技術的思考。
黑客入侵例子

  黑客入侵例子

我們在這裡要討論的一個主要問題是:研究黑客技術對國家是否有利?本文以下觀點僅代表個人看法,不當之處請有識之士指正。
黑客技術屬於科學技術的範疇
黑客技術是Internet上的一個客觀存在,對此我們無須諱言。和國防科學技術一樣,黑客技術既有攻擊性,也有防護的作用。黑客技術不斷地促使計算機和網路產品供應商不斷地改善他們的產品,對整個Internet的發展一直起著推動作用。就象我們不能因為原子彈具有強大的破壞力而否認製造原子彈是高科技一樣,我們也不能因為黑客技術具有對網路的破壞力而將其屏棄於科學技術的大門之外。發現並實現黑客技術通常要求這個人對計算機和網路非常精通,發現並證實一個計算機系統漏洞可能需要做大量測試、分析大量代碼和長時間的程序編寫,這和一個科學家在實驗室中埋頭苦幹沒有太大的區別。發現者不同於那些在網上尋找並使用別人已經寫好的黑客軟體的人。這個區別就好象武器發明者和使用者的區別。不象一個國家可以立法禁止民間組織和個人擁有槍枝一樣,很顯然,法律不能禁止個人擁有黑客技術。
應該辨證地看待黑客技術
它的作用是雙面的。和一切科學技術一樣,黑客技術的好壞取決於使用它的人。計算機系統和網路漏洞的不斷發現促使產品開發商修補產品的安全缺陷,同時也使他們在設計時更加註意安全。研究過黑客技術的管理員會把自己使用的操作系統和網路配置得更安全。如果沒有那些公布重大漏洞發現並提出修補建議的黑客,Internet不可能象今天這樣讓人們受益,也不會有今天這麼強壯(相對於以前而言)。
利用黑客技術從事非法破壞活動為自己謀取私利,理所當然是遭人唾棄的行為。這種人不是把精力放在對系統缺陷的發現研究與修補上,而是出於某種目的設法入侵系統,竊取資料、盜用許可權和實施破壞活動。
黑客技術和網路安全是分不開的
可以說黑客技術的存在導致了網路安全行業的產生。
一個典型的產品安全公告產生的過程是這樣的(這裡的例子是微軟的一個漏洞): 一個黑客在測試一個程序時,發現存在有不正常的現象,於是他開始對這個程序進行分析。經過應用程序分析、反編譯和跟蹤測試等多種技術手段,黑客發現該程序的確存在漏洞,於是針對該漏洞編寫了一個能獲取系統最高控制權的攻擊程序,證實該漏洞的確存在。隨後,這位黑客向微軟寫信通知其漏洞細節,並附上了攻擊程序,要求微軟修補該漏洞。微軟開始對此不予答覆。無奈,黑客在其網站上對世人公布了該漏洞,並提供攻擊程序下載給訪問者測試。頓時很多Internet上的網路安全論壇上都談論此事,很快傳遍了Internet。這時微軟馬上對該bug進行分析,隨後在其安全版塊上公布有關的安全公告,並提供解決方案和補丁程序下載。
對於這種情況,惡意黑客會利用微軟的安全公告公布的漏洞去破壞系統;而網路安全專家會根據安全公告提醒用戶修補系統;網路安全產品開發商則會根據該漏洞的情況開發相應的檢測程序;而網路安全服務商則會為用戶檢測該漏洞並提供解決方案。
反黑組織
隨著黑客對互聯網造成的危害性,不少人也組織起來反黑客了,國內的黑吧安全網也出了專門的系列教程,建議網民們多關注,上網前提就是電腦需要安全不被入侵。
為了避免黑客給廣大網友帶來不必要損失,請大家多關注各大反黑組織網站的教程。
目前internet網路的基礎是脆弱的
Internet的基礎是TCP/IP協議、網路設備和具有聯網能力的操作系統。TCP/IP協議族有一些先天的設計漏洞,很多即使到最新的版本仍然存在。更有的漏洞,是和Internet的開放特性有關的,可以說是補無可補。最近發生的對各頂級網站的攻擊方式就是利用internet的開放特性和TCP/IP協議的漏洞。
網路設備如路由器,擔負著Internet上最複雜繁重的吞吐和交通指揮工作,功能強大而且複雜,以目前的技術而論,沒有可能完全避免漏洞。以佔市場份額70%以上的Cisco產品而論,其已知的漏洞有30多條。
各種操作系統也存在先天缺陷和由於不斷增加新功能帶來的漏洞。Unix操作系統就是一個很好的例子。Unix的歷史可以追溯到60年代中。大多數Unix操作系統的源代碼都是公開的,30多年來,各種各樣的人不斷地為Unix開發操作系統和應用程序, 這種協作方式是鬆散的,早期這些程序多是以學生完成課題的方式或由研究室的軟體開發者突擊完成的,它們構成了Unix的框架,這個框架當初沒有經過嚴密的論證,直到今天,商業Unix操作系統如Solaris和SCOUnix都還是構建在這個基礎之上的,除非重新改變設計思想,推翻三十年來的Unix系統基礎,否則以後還必須遵循這個標準。這種情況導致了Unix系統存在很多致命的漏洞。最新的版本雖然改進了以往發現的安全問題,但是隨著新功能的增加,又給系統帶來了新的漏洞,很多軟體開發人員只為完成系統的功能而工作,用戶日新月異的需求和硬體的飛速發展,使生產商不可能也沒有時間對每一個新產品做圓滿的安全測試,一些正式的軟體工業標準有利於改善這種局面,即使生產商按照這些工業標準開發測試,也難以保證十全十美,因為源代碼公開的特性,使黑客有足夠的條件來分析軟體中可能存在的漏洞。處於溫室中的作物無法適應自然環境的洗禮,目前脆弱的網路必須經歷磨難,付出代價,否則必將經受不住歷史的考驗。
全世界對黑客技術的研究顯得嚴重不足
如果從整個社會的文明現狀來看,黑客技術並非尖端科技,充其量只能說是internet領域的基礎課題。發現黑客技術並不要求太多底層的知識,它並不神秘,但計算機產品供應商對其一直諱莫如深,黑客技術的發展從局部來說讓產品供應商不安,這造成整個計算機行業對黑客技術的重視不夠,從而導致當今世上黑客組織和黑客技術研究都呈無政府狀態。從長遠的角度看,黑客對產品的測試和修補建議將促進產品的安全性,對客戶和供應商都是有利的。現在世界上也許還沒有哪一個國家真正投入人力和物力研究黑客技術,所以造成目前的Internet基礎仍然薄弱,對於一個黑客來說,要製造一個令媒體關注的新聞是一件很容易的事情。這也是網路安全令世人擔憂的原因之一。
網路安全公司需要黑客的參與
從事網路安全技術服務的公司,如果沒有研究開發黑客技術的水平,或者沒有發現客戶系統潛在隱患的能力,其服務質量是提不上來的。目前國際上很多從事網路安全業務的公司紛紛雇請黑客從事網路安全檢測與產品開發,甚至一些政府部門也不惜重金招納黑客為其服務。因為網路安全的防範對象是惡意黑客,所以必須有了解攻擊手段的黑客參與,才能更全面地防範黑客攻擊。合格的網路安全專家必須具有黑客的能力,不了解黑客技術的網路安全專家是不可想象的。
一個國家的黑客技術發展是有利於國家安全的
國內的一個網路安全小組---cnns的前身,在去年對日本、台灣地區和美國的網路安全狀況進行了遠程分析和調查,並與中國的網路安全狀況做了對比,調查顯示:
日本和台灣的網路安全水平和中國相似,從人員和研究力度上看,日本網路安全和黑客技術水平比中國顯得要薄弱,但在硬體設置和安全產品方面,日本對重要站點的保護措施和資金投入顯得比中國做得充足,安全檢測產品和防火牆使用較為普遍,很多網站都有防火牆,雖然管理不善,但這些措施對網路安全的保護起到了一定的作用,彌補了黑客技術的不足,所以總體安全水平比中國差不多。
台灣的總體網路安全狀況比大陸略差,特別是政府部門的網站,安全程度不如國內的政府網站。而美國的網路安全狀況比中國和日本都強了不止一籌,這和遍布美國的黑客組織和大量的網路安全產品供應商有關。另外美國出品的操作系統產品和軟體在市場上佔有領先的份額,這有利於黑客技術的發展。在黑客技術的研究和網路安全產品的開發上,美國都是全球做得最好的。
internet的開放互連的特徵決定黑客技術可以跨國攻擊,它既可以用於攻擊,也可以用於防禦。用兵之道,必須攻防兼備。所以未來信息戰的勝負有賴於一個國家的整體黑客技術水平,這是不需要諱言的。
黑客技術的發現,對有關的軟體開發商和信息產業是"短痛",從長遠的角度看卻是有利的。而對於信息國防安全的高度而言,黑客技術的發展更有利於國防建設的大局。它的客觀存在性決定了如果我們不去了解和研究它,則會受制於它。在信息技術越來越發達的今天,我們需要開發自己的網路安全產品來為信息產業保駕護航,更需要本領高強的黑客參與網路安全產品的研究開發和測試,這樣產品的質量才上得去。
現代國家的網路無法完全和Internet脫離
一個現代國家的重要部門的網路無法完全和Internet脫離
網路化的趨勢不可避免,任何行業都需要網路通信。綜觀處於應用階段的網路技術和硬體,發展走在最前面的依然是internet。所以TCP/IP網路互聯技術被廣泛地用於各行各業。有關部門認識到Internet的安全脆弱性,採取了一定的措施,例如使重要部門的網路在物理上與Internet完全脫離。這是比較有效的。但網路安全是一個整體的概念,只要能接觸重要部門網路的人沒有完全與Internet脫
離,就不能說該網路與Internet已經完全脫離。比如一個重要部門的系統管理員,他經常上網的個人電腦上就可能有他所在重要部門的機密資料,通過順藤摸瓜的方法,黑客可以獲取更多他們想要的信息。黑客還可能通過電話、無線電和衛星信號傳輸的方式對重要部門的網路進行滲透。
未來信息戰的可能性是存在的
當今社會的信息化程度越來越高,計算機和網路與人們的生活的關係越來越緊密。一個現代化國家的社會信息網路如果遭到毀滅性打擊,足以使人們的生活倒退幾十年。這種戰爭比較文明,不會造成人員傷亡,但破壞力絕不比一場常規戰爭小。相對於傳統的戰爭和能造成地球毀滅的核戰爭而言,信息戰的可能性也許更大。在網路更加發達的未來社會,除了高能量電磁波的攻擊外,信息對抗戰的主力將是黑客。
誠然,網路的基礎設施是電腦,而不是單片機,黑客的攻擊是基於代碼的數據流攻擊而不是強大的電流攻擊,美國政府能勉強應付棘手的D.O.S攻擊,而且就算網路在攻擊下癱瘓,也能在數小時內恢復。五角大樓還對過臭名昭著的Internet蠕蟲,這些難關他們都一一過來了。可是,真正的黑客和網路安全專家應該能意識到,真正有組織的大規模的信息戰還沒有來。
個人的力量是有限的,再厲害的黑客,再高明的代碼都不足以對付一個國家和社會;真正的威脅來自於政府組織的全方位攻擊,這種攻擊不僅僅局限於代碼和數據流攻擊,還包括信息滲透,機密資料連環破解,和人工的物理接觸。從整體上來說,全世界的網路都存在著被人忽視的管理漏洞,機密的資料和控制指令總會有渠道泄露出去。
真正的信息戰沒有到來以前,誰也估計不到破壞會到什麼程度。這取決於國家之間的攻守準備。要打贏這場戰爭,除了對網路安全技術要有足夠準備外,其它方面的人力和物質準備可能不會比一場局部的常規戰爭少。
國內網路安全的投入和培訓不足
據估計,國內電子商務站點的網路管理人員至少有90% 以上沒有受過正規的網路安全培訓;這幾年中國的Internet處於發展建設階段,大部分的ISP和其它從事信息產業的公司都沒有精力在網路安全進行必要的人力和物力投入,很多重要站點的管理員都是Internet的新手,一些操作系統如Unix,它們在那些有經驗的系統管理員的配置下尚且有缺陷,在這些新手手中更是漏洞百出。很多伺服器至少有三種以上的漏洞可以使入侵者獲取系統的最高控制權。
一些公司對網路安全問題非常輕視。他們認為,他們的伺服器上沒有重要數據,也沒有資金往來,如果有人入侵他們的系統,最多是竄改一下首頁而已,談不上大的危害。但他們可能沒有意識到,如果惡意黑客入侵他們的機器后,用這台伺服器的身份對其它有重要資源的伺服器做案,造成第三方的損失后,公司可能成為該案的"替罪羊"。
發展有中國特色的網路安全
發展有中國特色的網路安全/黑客技術是強網之路。
無可否認,在計算機領域上我們的技術整體上比西方發達國家落後。
internet基礎協議是開放的,Unix系統的代碼基本上是開放的,操作系統開放源代碼是必然的趨勢。硬體是別人的。但軟體可以是自己的。在計算機領域,中國的軟體技術明顯優於硬體。黑客技術不是一個非常底層的領域,其開放性尤其明顯。對系統極具破壞力的攻擊程序代碼和腳本在internet上不難免費得到,相對於獲得商業軟體產品的源代碼來說,黑客程序的源代碼更容易設法獲取。黑客技術是起源於開放的Unix環境,在Internet上得到繁榮的發展。這個特性決定了黑客技術是無法封鎖的。黑客組織具有無政府主義的特色,不樂於接受管制。去年5月北約轟炸我駐南大使館之後,民間的中國黑客對美國和北約的網路系統發動了很成功的一系列攻擊,事情發生后,柯林頓總統曾經簽署了一個命令,要求黑客組織不要擴散黑客技術,但卻被黑客們嗤之以鼻。從信息戰的角度看,對黑客技術的要求應該是:"人無我有,人有我全"。
很多國家都制定了未來信息戰的方略,作為一個愛好和平的國家,我們的信息戰方略應該是以防禦為主的。但我們不可能不研究那些攻擊性極強的高深黑客技術,正如雖然我們不想使用核武器,但我們不得不去研製它一樣。去年,俄羅斯黑客成功地對美國五角大樓的計算機系統實行了滲透,並竊取了一些機密資料。有跡象顯示,俄國黑客還可能入侵了最高機密的計算機系統,據新聞周刊(NEWSWEEK)的報導,俄國黑客使用的入侵手段是 "不可能檢測到的"。對於美國這種對計算機依賴程度很高的國家而言,俄羅斯黑客的這種手段是很具威懾力的。這種美國人不了解的技術,永遠是他們的心頭大患。
付出一定代價是必要的。早付出比晚付出好
對於計算機病毒,包括國人在內的計算機用戶都為它付出了沉重的代價。無數重要的數據被病毒吞噬消失得無影無蹤。但多年來經過幾代人與計算機病毒的鬥爭,中國對病毒的研究和反病毒技術已經走在了世界的前列。壞事來得早比來得晚好。在和平年代,我們有充足的時間應付不利的事件,經歷的風浪越多,將更使我們有足夠的經驗應付惡劣環境下的突發事件。
如果平時我們沒有對付高明的黑客攻擊的經驗,很難使我們相信我們有能力去打一場未來可能發生的信息戰爭。
保障網路安全進行立法是必要
在正確地認識黑客技術作用的基礎上,對保障網路安全進行立法是必要的。
我們的立法應該著重於保護用戶利益,而不應該鼓勵缺乏網路保安措施的系統運行於Internet上。過分嚴格的法律保障將使人們忽略自己保護系統的責任,用戶應該對具有明顯漏洞的系統負責,比如一個重要用戶沒有設置密碼,那麼管理員和用戶對由此帶來的安全威脅和經濟損失應該承擔主要的責任。這正如把貴重錢物扔在公共場所被別人撿走,粗心大意的主人所負的責任應該比佔有失物的人大的道理一樣。法律打擊的對象應該是那些利用黑客研究成果從事破壞活動的人(這些人往往是沒有能力發現黑客技術的)。
Internet對我們的工作和生活將會越來越重要,全世界對這個巨大的信息寶藏正進行不斷的發掘和利用,人們在獲得巨大利益的同時,也面臨著各種各樣的威脅,網路安全威脅帶來的損害與人們對網路的依賴程度成正比。中國對黑客技術的認識和對網路安全的研究正處於起步階段,在我們進行現代化建設的時代,網路安全越來越成為關係國計民生的大事,它需要全社會的重視,讓我們用勇於探索,大膽創新的精神來精心研發網路安全產品和維護我們的網路安全,為中國信息產業保駕護航!
"輕用其芒,動即有傷,是為兇器;深藏若拙,臨機取決,是為利器。HK不是從真正意義上的去黑,而是挑戰自己,挑戰困難,堅毅,執著,智慧……"

2相關術語

俗話說,入鄉隨俗,既然入了黑客的門,就必須懂得黑客的行話,下面編者將介紹黑客專用術語。
1.肉雞:所謂「肉雞」是一種很形象的比喻,比喻那些可以隨意被我們控制的電腦,對方可以是WINDOWS系統,也可以是UNIX/LINUX系統,可以是普通的個人電腦,也可以是大型的伺服器,我們可以象操作自己的電腦那樣來操作它們,而不被對方所發覺。
2.木馬:就是那些表面上偽裝成了正常的程序,但是當這些被程序運行時,就會獲取系統的整個控制許可權。有很多黑客就是熱衷於使用木馬程序來控制別人的電腦,比如灰鴿子,黑洞,PcShare等等。
3.網頁木馬:表面上偽裝成普通的網頁文件或是將自己的代碼直接插入到正常的網頁文件中,當有人訪問時,網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。
4.掛馬:就是在別人的網站文件裡面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里,以使瀏覽者中馬。
5.後門:這是一種形象的比喻,入侵者在利用某些方法成功的控制了目標主機后,可以在對方的系統中植入特定的程序,或者是修改某些設置。這些改動表面上是很難被察覺的,但是入侵者卻可以使用相應的程序或者方法來輕易的與這台電腦建立連接,重新控制這台電腦,就好象是入侵者偷偷的配了一把主人房間的鑰匙,可以隨時進出而不被主人發現一樣。
通常大多數的特洛伊木馬(Trojan Horse)程序都可以被入侵者用於製作後門(BackDoor)
6.rootkit:rootkit是攻擊者用來隱藏自己的行蹤和保留root(根許可權,可以理解成WINDOWS下的system或者管理員許可權)訪問許可權的工具。通常,攻擊者通過遠程攻擊的方式獲得root訪問許可權,或者是先使用密碼猜解(破解)的方式獲得對系統的普通訪問許可權,進入系統后,再通過,對方系統內存在的安全漏洞獲得系統的root許可權。然後,攻擊者就會在對方的系統中安裝rootkit,以達到自己長久控制對方的目的,rootkit與我們前邊提到的木馬和後門很類似,但遠比它們要隱蔽,黑客守衛者就是很典型的rootkit,還有國內的ntroorkit等都是不錯的rootkit工具。
7.IPC$:是共享「命名管道」的資源,它是為了讓進程間通信而開放的命名管道,可以通過驗證用戶名和密碼獲得相應的許可權,在遠程管理計算機和查看計算機的共享資源時使用。
8.弱口令:指那些強度不夠,容易被猜解的,類似123,abc這樣的口令(密碼)
9.默認共享:默認共享是WINDOWS2000/XP/2003系統開啟共享服務時自動開啟所有硬碟的共享,因為加了"$"符號,所以看不到共享的托手圖表,也稱為隱藏共享。
10.shell:指的是一種命令指行環境,比如我們按下鍵盤上的「開始鍵+R」時出現「運行」對話框,在裡面輸入「cmd」會出現一個用於執行命令的黑窗口,這個就是WINDOWS的Shell執行環境。通常我們使用遠程溢出程序成功溢出遠程電腦後得到的那個用於執行系統命令的環境就是對方的shell
11.WebShell:WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱做是一種網頁後門。黑客在入侵了一個網站后,通常會將這些asp或php後門文件與網站伺服器WEB目錄下正常的網頁文件混在一起,然後就可以使用瀏覽器來訪問這些asp 或者php後門,得到一個命令執行環境,以達到控制網站伺服器的目的。可以上傳下載文件,查看資料庫,執行任意程序命令等。國內常用的WebShell有海陽ASP木馬,Phpspy,c99shell等
12.溢出:確切的講,應該是「緩衝區溢出」。簡單的解釋就是程序對接受的輸入數據沒有執行有效的檢測而導致錯誤,後果可能是造成程序崩潰或者是執行攻擊者的命令。大致可以分為兩類:(1)堆溢出;(2)棧溢出。
13.注入:隨著B/S模式應用開發的發展,使用這種模式編寫程序的程序員越來越來越多,但是由於程序員的水平參差不齊相當大一部分應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得某些他想要知的數據,這個就是所謂的SQLinjection,即:SQL注入。
14.注入點:是可以實行注入的地方,通常是一個訪問資料庫的連接。根據注入點資料庫的運行帳號的許可權的不同,你所得到的許可權也不同。
15.內網:通俗的講就是區域網,比如網吧,校園網,公司內部網等都屬於此類。查看IP地址如果是在以下三個範圍之內的話,就說明我們是處於內網之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255
16.外網:直接連入INTERNET(互連網),可以與互連網上的任意一台電腦互相訪問,IP地址不是保留IP(內網)IP地址。
17.埠:(Port)相當於一種數據的傳輸通道。用於接受某些數據,然後傳輸給相應的服務,而電腦將這些數據處理后,再將相應的恢復通過開啟的埠傳給對方。一般每一個埠的開放都對應了相應的服務,要關閉這些埠只需要將對應的服務關閉就可以了。
18.3389、4899肉雞:3389是Windows終端服務(Terminal Services)所默認使用的埠號,該服務是微軟為了方便網路管理員遠程管理及維護伺服器而推出的,網路管理員可以使用遠程桌面連接到網路上任意一台開啟了終端服務的計算機上,成功登陸后就會象操作自己的電腦一樣來操作主機了。這和遠程控制軟體甚至是木馬程序實現的功能很相似,終端服務的連接非常穩定,而且任何殺毒軟體都不會查殺,所以也深受黑客喜愛。黑客在入侵了一台主機后,通常都會想辦法先添加一個屬於自己的後門帳號,然後再開啟對方的終端服務,這樣,自己就隨時可以使用終端服務來控制對方了,這樣的主機,通常就會被叫做3389肉雞。Radmin是一款非常優秀的遠程控制軟體,4899就是Radmin默認使以也經常被黑客當作木馬來使用(正是這個原因,目前的殺毒軟體也對Radmin查殺了)。有的人在使用的服務埠號。因為Radmin的控制功能非常強大,傳輸速度也比大多數木馬快,而且又不被殺毒軟體所查殺,所用Radmin管理遠程電腦時使用的是空口令或者是弱口令,黑客就可以使用一些軟體掃描網路上存在Radmin空口令或者弱口令的主機,然後就可以登陸上去遠程控制對方,這樣被控制的主機通常就被成做4899肉雞。
19.免殺:就是通過加殼、加密、修改特徵碼、加花指令等等技術來修改程序,使其逃過殺毒軟體的查殺。
20.加殼:就是利用特殊的演算法,將EXE可執行程序或者DLL動態連接庫文件的編碼進行改變(比如實現壓縮、加密),以達到縮小文件體積或者加密程序編碼,甚至是躲過殺毒軟體查殺的目的。目前較常用的殼有UPX,ASPack、PePack、PECompact、UPack、免疫007、木馬綵衣等等。
21.花指令:就是幾句彙編指令,讓彙編語句進行一些跳轉,使得殺毒軟體不能正常的判斷病毒文件的構造。說通俗點就是「殺毒軟體是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳顛倒位置,殺毒軟體就找不到病毒了」。

3種類

「黑客」大體上應該分為「正」、「邪」兩類,正派黑客依靠自己掌握的知識幫助系統管理員找出系統中的漏洞並加以完善,而邪派黑客則是通過各種黑客技能對系統進行攻擊、入侵或者做其他一些有害於網路的事情,因為邪派黑客所從事的事情違背了《黑客守則》,所以他們真正的名字叫「駭客」(Cracker)而非「黑客」(Hackte),也就是我們平時經常聽說的「黑客」(Crackte)和「紅客」(Hackte)。
無論那類黑客,他們最初的學習內容都將是本部分所涉及的內容,而且掌握的基本技能也都是一樣的。即便日後他們各自走上了不同的道路,但是所做的事情也差不多,只不過出發點和目的不一樣而已。
很多人曾經問我:「做黑客平時都做什麼?是不是非常刺激?」也有人對黑客的理解是「天天做無聊且重複的事情」。實際上這些又是一個錯誤的認識,黑客平時需要用大量的時間學習,我不知道這個過程有沒有終點,只知道「多多益善」。由於學習黑客完全出於個人愛好,所以無所謂「無聊」;重複是不可避免的,因為「熟能生巧」,只有經過不斷的聯繫、實踐,才可能自己體會出一些只可意會、不可言傳的心得。
在學習之餘,黑客應該將自己所掌握的知識應用到實際當中,無論是哪種黑客做出來的事情,根本目的無非是在實際中掌握自己所學習的內容。黑客的行為主要有以下幾種:
偽裝自己
黑客的一舉一動都會被伺服器記錄下來,所以黑客必須偽裝自己使得對方無法辨別其真實身份,這需要有熟練的技巧,用來偽裝自己的IP地址、使用跳板逃避跟蹤、清理記錄擾亂對方線索、巧妙躲開防火牆等。
偽裝是需要非常過硬的基本功才能實現的,這對於初學者來說成的上「大成境界」了,也就是說初學者不可能用短時間學會偽裝,所以我並不鼓勵初學者利用自己學習的知識對網路進行攻擊,否則一旦自己的行跡敗露,最終害的害是自己。
如果有朝一日你成為了真正的黑客,我也同樣不贊成你對網路進行攻擊,畢竟黑客的成長是一種學習,而不是一種犯罪。
利用漏洞
對於正派黑客來說,漏洞要被修補;對於邪派黑客來說,漏洞要用來搞破壞。而他們的基本前提是「利用漏洞」,黑客利用漏洞可以做下面的事情:
1.獲得系統信息:有些漏洞可以泄漏系統信息,暴露敏感資料,從而進一步入侵系統
2.入侵系統:通過漏洞進入系統內部,或取得伺服器上的內部資料、或完全掌管伺服器
3.尋找下一個目標:一個勝利意味著下一個目標的出現,黑客應該充分利用自己已經掌管的伺服器作為工具,尋找併入侵下一個系統
4.做一些好事:正派黑客在完成上面的工作后,就會修復漏洞或者通知系統管理員,做出一些維護網路安全的事情
5.做一些壞事:邪派黑客在完成上面的工作后,會判斷伺服器是否還有利用價值。如果有利用價值,他們會在伺服器上植入木馬或者後門,便於下一次來訪;而對沒有利用價值的伺服器他們決不留情,系統崩潰會讓他們感到無限的快感

4初級技術

網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。確保網路系統的信息安全是網路安全的目標,信息安全包括兩個方面:信息的存儲安全和信息的傳輸安全。信息的存儲安全是指信息在靜態存放狀態下的安全,如是否會被非授權調用等。信息的傳輸安全是指信息在動態傳輸過程中安全。為了確保網路信息的傳輸安全,有以下幾個問題:
(1)對網路上信息的監聽;
(2)對用戶身份的仿冒;
(3)對網路上信息的篡改;
(4)對發出的信息予以否認;
(5)對信息進行重發。
對於一般的常用入侵方法主要有
1.口令入侵
所謂口令入侵,就是指用一些軟體解開已經得到但被人加密的口令文檔,不過許多黑客已大量採用一種可以繞開或屏蔽口令保護的程序來完成這項工作。對於那些可以解開或屏蔽口令保護的程序通常被稱為「Crack」。由於這些軟體的廣為流傳,使得入侵電腦網路系統有時變得相當簡單,一般不需要很深入了解系統的內部結構,是初學者的好方法。
2.特洛伊木馬術
說到特洛伊木馬,只要知道這個故事的人就不難理解,它最典型的做法可能就是把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中,這時合法用戶的程序代碼已被該變。一旦用戶觸發該程序,那麼依附在內的黑客指令代碼同時被激活,這些代碼往往能完成黑客指定的任務。由於這種入侵法需要黑客有很好的編程經驗,且要更改代碼、要一定的許可權,所以較難掌握。但正因為它的複雜性,一般的系統管理員很難發現。
3.監聽法
這是一個很實用但風險也很大的黑客入侵方法,但還是有很多入侵系統的黑客採用此類方法,正所謂藝高人膽大。
網路節點或工作站之間的交流是通過信息流的轉送得以實現,而當在一個沒有集線器的網路中,數據的傳輸並沒有指明特定的方向,這時每一個網路節點或工作站都是一個介面。這就好比某一節點說:「嗨!你們中有誰是我要發信息的工作站。」
此時,所有的系統介面都收到了這個信息,一旦某個工作站說:「嗨!那是我,請把數據傳過來。」聯接就馬上完成。
目前有網路上流傳著很多嗅探軟體,利用這些軟體就可以很簡單的監聽到數據,甚至就包含口令文件,有的服務在傳輸文件中直接使用明文傳輸,這也是非常危險的。
4.E-mail技術
使用email加木馬程序這是黑客經常使用的一種手段,而且非常奏效,一般的用戶,甚至是網管,對網路安全的意識太過於淡薄,這就給很多黑客以可乘之機。
5.病毒技術
作為一個黑客,如此使用應該是一件可恥的事情,不過大家可以學習,畢竟也是一種攻擊的辦法,特殊時間,特殊地點完全可以使用。
6.隱藏技術
攻擊的實施階段
1.獲得許可權
當收集到足夠的信息之後,攻擊者就要開始實施攻擊行動了。作為破壞性攻擊,只需利用工具發動攻擊即可。而作為入侵性攻擊,往往要利用收集到的信息,找到其系統漏洞,然後利用該漏洞獲取一定的許可權。有時獲得了一般用戶的許可權就足以達到修改主頁等目的了,但作為一次完整的攻擊是要獲得系統最高許可權的,這不僅是為了達到一定的目的,更重要的是證明攻擊者的能力,這也符合黑客的追求。
能夠被攻擊者所利用的漏洞不僅包括系統軟體設計上的安全漏洞,也包括由於管理配置不當而造成的漏洞。前不久,網際網路上應用最普及的著名www伺服器提供商Apache的主頁被黑客攻破,其主頁面上的Powered by Apache圖樣(羽毛狀的圖畫)被改成了Powered by Microsoft Backoffice的圖樣,那個攻擊者就是利用了管理員對Webserver用資料庫的一些不當配置而成功取得最高許可權的。
當然大多數攻擊成功的範例還是利用了系統軟體本身的漏洞。造成軟體漏洞的主要原因在於編製該軟體的程序員缺乏安全意識。當攻擊者對軟體進行非正常的調用請求時造成緩衝區溢出或者對文件的非法訪問。其中利用緩衝區溢出進行的攻擊最為普遍,據統計80%以上成功的攻擊都是利用了緩衝區溢出漏洞來獲得非法許可權的。關於緩衝區溢出在後面用專門章節來作詳細解釋。
無論作為一個黑客還是一個網路管理員,都需要掌握盡量多的系統漏洞。黑客需要用它來完成攻擊,而管理員需要根據不同的漏洞來進行不同的防禦措施。了解最新最多的漏洞信息,可以到諸如Rootshell、Packetstorm、Securityfocus等網站去查找。
2.許可權的擴大
系統漏洞分為遠程漏洞和本地漏洞兩種,遠程漏洞是指黑客可以在別的機器上直接利用該漏洞進行攻擊並獲取一定的許可權。這種漏洞的威脅性相當大,黑客的攻擊一般都是從遠程漏洞開始的。但是利用遠程漏洞獲取的不一定是最高許可權,而往往只是一個普通用戶的許可權,這樣常常沒有辦法做黑客們想要做的事。這時就需要配合本地漏洞來把獲得的許可權進行擴大,常常是擴大至系統的管理員許可權。
只有獲得了最高的管理員許可權之後,才可以做諸如網路監聽、打掃痕迹之類的事情。要完成許可權的擴大,不但可以利用已獲得的許可權在系統上執行利用本地漏洞的程序,還可以放一些木馬之類的欺騙程序來套取管理員密碼,這種木馬是放在本地套取最高許可權用的,而不能進行遠程控制。例如一個黑客已經在一台機器上獲得了一個普通用戶的賬號和登錄許可權,那麼他就可以在這台機器上放置一個假的su程序。一旦黑客放置了假su程序,當真正的合法用戶登錄時,運行了su,並輸入了密碼,這時root密碼就會被記錄下來,下次黑客再登錄時就可以使用su變成root了。
攻擊的善後工作
1.日誌系統簡介
如果攻擊者完成攻擊后就立刻離開系統而不做任何善後工作,那麼他的行蹤將很快被系統管理員發現,因為所有的網路操作系統一般都提供日誌記錄功能,會把系統上發生的動作記錄下來。所以,為了自身的隱蔽性,黑客一般都會抹掉自己在日誌中留下的痕迹。想要了解黑客抹掉痕迹的方法,首先要了解常見的操作系統的日誌結構以及工作方式。Unix的日誌文件通常放在下面這幾個位置,根據操作系統的不同略有變化
/usr/adm——早期版本的Unix。
/Var/adm新一點的版本使用這個位置。
/Varflort一些版本的Solaris、 Linux BSD、Free BSD使用這個位置。
/etc,大多數Unix版本把Utmp放在此處,一些Unix版本也把Wtmp放在這裡,這也是Syslog.conf的位置。
下面的文件可能會根據你所在的目錄不同而不同:
acct或pacct-一記錄每個用戶使用的命令記錄。
accesslog主要用來伺服器運行了NCSA HTTP伺服器,這個記錄文件會記錄有什麼站點連接過你的伺服器。
aculo保存撥出去的Modems記錄。
lastlog記錄了最近的Login記錄和每個用戶的最初目的地,有時是最後不成功Login的記錄。
loginlog一記錄一些不正常的L0gin記錄。
messages——記錄輸出到系統控制台的記錄,另外的信息由Syslog來生成
security記錄一些使用 UUCP系統企圖進入限制範圍的事例。
sulog記錄使用su命令的記錄。
utmp記錄當前登錄到系統中的所有用戶,這個文件伴隨著用戶進入和離開系統而不斷變化。
Utmpx,utmp的擴展。
wtmp記錄用戶登錄和退出事件。
Syslog最重要的日誌文件,使用syslogd守護程序來獲得。
2.隱藏蹤跡
攻擊者在獲得系統最高管理員許可權之後就可以隨意修改系統上的文件了(只對常規 Unix系統而言),包括日誌文件,所以一般黑客想要隱藏自己的蹤跡的話,就會對日誌進行修改。最簡單的方法當然就是刪除日誌文件了,但這樣做雖然避免了系統管理員根據IP追蹤到自己,但也明確無誤地告訴了管理員,系統己經被人侵了。所以最常用的辦法是只對日誌文件中有關自己的那一部分做修改。關於修改方法的具體細節根據不同的操作系統有所區別,網路上有許多此類功能的程序,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和Pacct等日誌文件中某一用戶的信息,使得當使用w、who、last等命令查看日誌文件時,隱藏掉此用戶的信息。
管理員想要避免日誌系統被黑客修改,應該採取一定的措施,例如用印表機實時記錄網路日誌信息。但這樣做也有弊端,黑客一旦了解到你的做法就會不停地向日誌里寫入無用的信息,使得印表機不停地列印日誌,直到所有的紙用光為止。所以比較好的避免日誌被修改的辦法是把所有日誌文件發送到一台比較安全的主機上,即使用loghost。即使是這樣也不能完全避免日誌被修改的可能性,因為黑客既然能攻入這台主機,也很可能攻入loghost。
只修改日誌是不夠的,因為百密必有一漏,即使自認為修改了所有的日誌,仍然會留下一些蛛絲馬跡的。例如安裝了某些後門程序,運行后也可能被管理員發現。所以,黑客高手可以通過替換一些系統程序的方法來進一步隱藏蹤跡。這種用來替換正常系統程序的黑客程序叫做rootkit,這類程序在一些黑客網站可以找到,比較常見的有LinuxRootKit,現在已經發展到了5.0版本了。它可以替換系統的ls、ps、netstat、inetd等等一系列重要的系統程序,當替換了ls后,就可以隱藏指定的文件,使得管理員在使用ls命令時無法看到這些文件,從而達到隱藏自己的目的。
3.後門
一般黑客都會在攻入系統后不只一次地進入該系統。為了下次再進入系統時方便一點,黑客會留下一個後門,特洛伊木馬就是後門的最好範例。Unix中留後門的方法有很多種,下面介紹幾種常見的後門,供網路管理員參考防範。

密碼破解後門

這是入侵者使用的最早也是最老的方法,它不僅可以獲得對Unix機器的訪問,而且可 以通過破解密碼製造後門。這就是破解口令薄弱的帳號。以後即使管理員封了入侵者的當前帳號,這些新的帳號仍然可能是重新侵入的後門。多數情況下,入侵者尋找口令薄弱的未使用帳號,然後將口令改的難些。當管理員尋找口令薄弱的帳號是,也不會發現這些密碼已修改的帳號。因而管理員很難確定查封哪個帳號。
Rhosts + +後門
在連網的Unix機器中,象Rsh和Rlogin這樣的服務是基於rhosts文件里的主機名使用簡 單的認證方法。用戶可以輕易的改變設置而不需口令就能進入。入侵者只要向可以訪問的某用戶的rhosts文件中輸入"+ +",就可以允許任何人從任何地方無須口令便能進入這個帳號。特別當home目錄通過NFS向外共享時,入侵者更熱中於此。這些帳號也成 了入侵者再次侵入的後門。許多人更喜歡使用Rsh,因為它通常缺少日誌能力。許多管理員經常檢查 "+ +",所以入侵者實際上多設置來自網上的另一個帳號的主機名和用戶名,從而不易被發現。
校驗和及時間戳後門
早期,許多入侵者用自己的trojan程序替代二進位文件。系統管理員便依靠時間戳和系 統校驗和的程序辨別一個二進位文件是否已被改變,如Unix里的sum程序。入侵者又發展了使trojan文件和原文件時間戳同步的新技術。它是這樣實現的: 先將系統時鐘撥回到原文件時間,然後調整trojan文件的時間為系統時間。一旦二進位trojan文件與 原來的精確同步,就可以把系統時間設回當前時間。Sum程序是基於CRC校驗,很容易騙過。入侵者設計出了可以將trojan的校驗和調整到原文件的校驗和的程序。MD5是被 大多數人推薦的,MD5使用的演算法目前還沒人能騙過。
Login後門
在Unix里,login程序通常用來對telnet來的用戶進行口令驗證。 入侵者獲取login.c的原代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令。如果用戶敲入後門口令,它將忽視管理員設置的口令讓你長驅直入。這將允許入侵者進入任何帳號,甚至是root。由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmp前產生一個訪問 的,所以入侵者可以登錄獲取shell卻不會暴露該帳號。管理員注意到這種後門后,便用"strings"命令搜索login程序以尋找文本信息。 許多情況下後門口令會原形畢露。入侵者就開始加密或者更好的隱藏口令,使strings命令失效。 所以更多的管理員是用MD5校驗和檢測這種後門的。
Telnetd後門
當用戶telnet到系統,監聽埠的inetd服務接受連接隨後遞給in.telnetd,由它運行 login.一些入侵者知道管理員會檢查login是否被修改,就著手修改in.telnetd. 在in.telnetd內部有一些對用戶信息的檢驗,比如用戶使用了何種終端。典型的終端 設置是Xterm或者VT100.入侵者可以做這樣的後門,當終端設置為"letmein"時產生一個不要任何驗證的shell. 入侵者已對某些服務作了後門,對來自特定源埠的連接產生一個shell。

5威脅報告:看黑客如何感染網路

根據Websense安全實驗室發布的《Websense 2012年威脅報告》,我們看到三個因素正在成為數據竊取「得力助手」:第一,基於社交網路生成的各種誘餌,這是當前極富成效的攻擊手段;第二,現代惡意軟體在滲入時已具備迴避安全檢測的能力;第三,機密數據的泄露方式日益複雜。為了幫助企業有效的應對威脅現狀,該報告不僅陳列了最新的安全調查發現,還為安全專業人士提供多起案例進行參考,並提出切實可行的防範建議。
Websense中國安全實驗室經理洪敬風表示:「傳統的安全防線已經失去了作用,面對現代威脅環境,只有依靠多點檢測的實時防禦方案,深度檢測和分析入站的每一個網頁與電子郵件內容以及出站敏感數據傳送才能幫助企業有效緩解數據泄露等信息安全風險。在我們的觀察中發現:利用Web和電子郵件進行攻擊幾乎發生在每一起惡意數據竊取行動中;而以人為突破口發起的各種社會工程學攻擊更是越加普遍。因為新一代攻擊者懂得針對一個目標基於多種威脅渠道從多個數據點發起攻擊,所以只有充分了解威脅的整個生命周期,並且能夠將數據安全嵌入各個環節的解決方案才能夠有效防止新的威脅。」
關鍵發現:
82%的惡意網站被託管在已經被惡意份子控制的主機上。主機一旦被惡意份子攻陷則不再能提供可被信任的基準、雲或者託管服務。從大的環境來講,這阻礙了社會經濟的發展,因為雲技術被大量應用於發展商業、交通和文化。
55%的數據竊取源於基於Web的惡意軟體通訊。
43%的Facebook分享為流媒體,其中有不少為病毒式視頻。目前它所佔比例已經超過Facebook第二大內容分類——新聞與媒體5倍。流媒體的所佔比例是一個很重要的線索,因為當前的各種Web誘餌(視頻、虛假禮品贈與、虛假調查問卷和詐騙等)都是從吸引人的好奇心出發,並越來越多地被使用在社交網路上。Websense是Facebook的內容安全合作夥伴,致力幫助Facebook掃描其內容更新中的所有 Web鏈接,所以 Websense調查員對社交網路內容具有深入的了解和敏銳的觀察。
50%的惡意軟體的重定向地址指向美國,其次是加拿大。
60%的釣魚網站主機在美國,還有一大部分在加拿大。而美國亦是託管最多惡意軟體的國家,佔總量的36%,緊隨其後的是俄羅斯。
74%的電子郵件是垃圾郵件,在前一年這個數據是84%.總體來說,在對抗垃圾郵件殭屍網路方面的努力頗有成效。而另一方面,在垃圾郵件的總量下降的同時,我們看到92%的垃圾郵件都包含一個URL鏈接,這說明混合電子郵件和Web威脅的攻擊正在上升。排名前五位的垃圾郵件誘餌有:訂單狀態通知、票務確認、交貨通知、測試郵件,以及退稅通知。另外,魚叉式網路釣魚攻擊也在持續增長,大多數被用於針對性攻擊。
Websense安全實驗室分析了超過20萬個安卓應用,發現了大量的包含惡意目地和許可的軟體。可以預計,未來將會有更多的用戶會成為惡意移動應用程序的受害者。
先進威脅的生命周期可以被分為6個階段:誘惑、重定向、攻擊工具包、dropper木馬文件、自動通訊,和數據竊取。其中每一個階段都有不同的特徵,需要專門的實時防禦系統。傳統的安全防護手段因為主要關注第四階段,並且只能夠基於已知威脅特徵庫查找惡意軟體,所以在現代威脅面前頓時失靈。先進威脅中使用的dropper木馬可能在數小時或者數天中都無法被傳統安全工具檢測到。
Websense安全實驗室運用Websense ThreatSeeker Network對全球互聯網威脅進行實時監測。Websense ThreatSeeker Network每小時掃描4千多萬個Web網站和1千多萬封電子郵件,以查找不當內容和惡意代碼。利用全球超過5千萬個節點的實時數據採集系統,Websense ThreatSeeker Networks監測並分類Web、郵件以及數據內容,這使得Websense在審查Internet及電子郵件內容方面具有獨一無二的可視能力。
上一篇[平面壓印]    下一篇 [定性濾紙]

相關評論

同義詞:暫無同義詞