寫黑客作者必讀資料1
計算機病毒的形而上學
1.1版
        只有我們知道了什麼是完美的計算機病毒,才可以造就完美的防毒軟件。輪迴:魔高一尺,道高一丈。
       病毒的定義是相對的,我將之定義為對於一定的環境,能夠寄生,快速繁殖,能夠通過變異和雜交,能夠通過系統漏洞獲得一定的系統控制權的智能體。信息和精神最後都映射為物質,只有透過信息和精神才能接觸到物質,病毒的本質是物質性的。這種物質性,決定其能夠吸取古往今來的人類在實踐中積累和闡發的一切真理,從柏拉圖到現在的計算機網絡和人工智能,從古代的集市到現代的複雜經濟體,從刀槍相見到全方位的戰爭等中所有反映這個宇宙最壯觀,最微妙的部分,都應該整合到病毒的製造和進化中。生物界的病毒是最古老,最有活力的,計算機界的病毒,對於計算機網絡這麼大的一個比特生態圈來說,進化還剛剛開始,應該比特生態圈還處於原始期。從這個角度講,將生物界的生態學的概念和相關理論遷移到比特生態圈中,是完全可行的,而且可能成為一個流派的指導思想。同時,參考生物界的原理,參考分子生物學的修正後的中心法則,將有助於吸收上帝的思想,造就完美的病毒,當然,它必然是殘缺的。但是,殘缺的東西,必須通過系統的方法進行製造,必須在一定的價值觀,世界觀,必須在一定的哲學理念和理論體系的指導下進行。這個領域不否認天才,但天才歸根結底也是理論的一部分,只不過他能比常人更好的,在更高的層次上,甚至在自發的層次上接觸和實踐了真理。他是真理的催生者,但是,不創造任何真理。他是天使,但不是上帝。病毒的發展如果能夠在理論上納入發展大的軌道,形成元素周期表的預測和設計結構,那麼將大大加速進化的速度。
       完美的病毒,其產生的過程,必須作為一個工程來做。一個成功的工程則是藝術和科技的完美的結合,在精心設計的時候也必須開放的。必須先設計,后施工。
完美的病毒,應該是具有網絡繁衍能力的,應該是融合社交工程學的,應該是融合人工智能思想和技術。
       完美的病毒,應該是分散式存在的,應該有母子結構,比如核心病毒可以釋放vbs格式的子病毒。
       完美的病毒,應該是可以雜交的,也就是說不同來源的病毒甚至可以交換遺傳信息。
       完美的病毒,應該從完備系統的進化走向破缺系統,這樣,病毒之間才可以組合,協同,病毒界的力量才能夠在大系統的層次上得到提升。應該借鑒生態學的理論和思想。
完美的病毒,應該是在宿主內廣泛存在的,侵染的範圍是深廣的,應該侵入系統的防護部分,也即免疫部分。
       病毒的機制組成包括:
       感染機制,包括欺騙和融入宿主,侵入核心和普通文件的機制。對象可以是文件類,包括可執行文件(.exe,.dll),腳本文件(.vbs等),文檔文件(.doc等);引導區域,引導目錄;殺毒軟件等。可以開發一種病毒,專門侵染殺毒軟件,利用其非同一般的功能,使其識別病毒的功能發生混亂,刪除系統文件。採取的方式,包括補丁,內嵌,融合,宏,腳本。
       傳播機制,包括郵件,可以自帶郵件引擎,或者俘獲郵件伺服器,或者繞開驗證程序,或者運用社交工程學(由於網絡資源的開放性,非嚴謹性,這方面的可能性是很大的,溫床到處都是),或者進行隱秘的網絡攻擊,侵入主機,利用其作為宿主,進行傳播,或者作為正常軟件的附件,或者侵入網頁。
       功能機制,包括網絡監聽和區域網攻擊,種植木馬,利用宿主進行傳播,獲取資料和系統控制權,破壞對方機器,影響系統運行,惡作劇等。
       進化機制,包括病毒之間的交流,融合,雜交和再生,自身變異和進化,子母病毒,開放式介面和後門。能夠通過網絡學習。能夠自行變成,具有人工智能。
       存在機制,網絡分散式存在,註冊為系統進程,或者隱藏在別的進程中,採用融合和分割技術,侵染必要的系統文件。
       加密機制,對自身加密。
操作系統知識
1、操作系統的種類----如果你覺得是廢話可以跳過
(1)、window操作系統是由微軟推出的操作系統,這個就不用多說了。
(2)、linux尺系統將來會處於領導地位,介紹:
1991年4月,芬蘭人linuxbenedicttorvalds根據可以在低檔機上使用的minix(--一種編程
工具,可以不基於任何操作系統)設計了一個系統核心linux0.01,但沒有使用任何minix或unix的源代碼。通過usenet(就是新聞組)宣佈這是一個免費的系統,主要在x86電腦上使用,希望大家一起來將它完善,並將源代碼放到了芬蘭的ftp站點上代人免費下載。本來他想把這個系統稱為freax,可是ftp的工作人員認為這是linux的minix,就用linux這個子目錄來存放,於是它就成了
「linux」。這時的linux只有核心程序,還不能稱做是完整的系統,由於它代碼公開人們可以很容易的修改他,至此經過人們的不斷修改他越來越完善。值得一提的是很多國家重要機構的操作系統都是有linux改進而來,如:chinaratlinux。
(3)、unix1965年時,貝爾實驗室(belllabs)加入一項由奇異電子(generalelectric)和麻省理工
學院(mit)合作的計劃;該計劃要建立一套多使用者、多任務、多層次(multi-user、multi-processor、multi-level)的multics操作系統(此操作系統也經過多此的修改)--此操作系統主要用於大型伺服器。
(4)、hp-ux惠普公司出品,用的很少,就不多說了
(5)、macosx著名的蘋果操作系統。
(6)、solarissun公司開發,原形基於bsdunix,值得一題的是sun公司沒有因為solaris系統出名,而是java大紅。
(7)、freebsd開發者natewilliams,rodgrimes,jordanhubbard。這操作系統在國外用得很多,主要是伺服器系統,這個我也不太了解(不好意思)。
(8)、novell由德國的suse公司開發,在早期的網絡服務使用平凡,現在基本淘汰。
///操作系統另類
嵌入式操作系統.(rtos,說明:簡稱微型操作系統,它的體積很小,功能相對簡單,但非常適合放入,機床、手機、pda、等獨立微型的計算系統)。
(9)、uclinux是一種優秀的嵌入式linux版本。uclinux是一個源碼開放的操作系統,面向沒有mmu(memorymanagementunit)的硬件平台。同標準linux相比,它集成了標準linux操作系統的穩定性、強大網絡功能和出色的文件系,它是完全免費的。
(10)、uc/osii開發商micrium。
(11)、vxworks開發商windriver。
(12)、palmos開發商palmsource,inc,手機用得比較多。
(13)、windowsce開發商microsoft它是微軟針對個人電腦以外的電腦產品所研發的嵌入式操作系統,而ce則為customerembedded的縮寫。
黑客基礎知識
計算機要與外界進行通信,必須通過一些埠。別人要想入侵和控制我們的電腦,也要從某些埠連接進來。某日筆者查看了一位朋友的系統,吃驚地發現開放了139、445、3389、4899等重要埠,要知道這些埠都可以為黑客入侵提供便利,尤其是4899,可能是入侵者安裝的後門工具radmin打開的,他可以通過這個埠取得系統的完全控制權。
如果暫時沒有找到打開某埠的服務或者停止該項服務可能會影響計算機的正常使用,或則通過軟硬件防火牆關閉指定的埠,也可以屏蔽指定ip。
伺服器操作系統的遠程管理問題:
現在很多人都喜歡在自己的機器上安裝遠程管理軟件,如pcanywhere、radmin、vnc或者windows自帶的遠程桌面,這確實方便了遠程管理維護和辦公,但同時遠程管理軟件也給我們帶來了很多安全隱患。例如pcanywhere10.0版本及更早的版本存在着口令文件*.cif容易被解密(解碼而非爆破)的問題,一旦入侵者通過某種途徑得到了*.cif文件,他就可以用一款叫做pcanywherepwd的工具破解出管理員賬號和密碼。而radmin則主要是空口令問題,因為radmin默認為空口令,所以大多數人安裝了radmin之後,都忽略了口令安全設置,因此,任何一個攻擊者都可以用radmin客戶端連接上安裝了radmin的機器,並做一切他想做的事情。
windows系統自帶的遠程桌面也會給黑客入侵提供方便的大門,當然是在他通過一定的手段拿到了一個可以訪問的賬號之後,可以通過iis的一些漏洞,遠程建立系統帳戶,並且提高自己的許可權。
病毒基礎知識
.按照計算機病毒攻擊的系統分類
(1)攻擊dos系統的病毒。這類病毒出現最早、最多,變種也最多,目前我國出現的計算機病毒基本上都是這類病毒,此類病毒占病毒總數的99%。
(2)攻擊windows系統的病毒。由於windows的圖形用戶界面(gui)和多任務操作系統深受用戶的歡迎,windows正逐漸取代dos,從而成為病毒攻擊的主要對象。
目前發現的首例破壞計算機硬件的cih病毒就是一個windows95/98病毒。
(3)攻擊unix系統的病毒。當前,unix系統應用非常廣泛,並且許多大型的操作系統均採用unix作為其主要的操作系統,所以unix病毒的出現,對人類的信息處理也是一個嚴重的威脅。
(4)攻擊os/2系統的病毒。世界上已經發現第一個攻擊os/2系統的病毒,它雖然簡單,但也是一個不祥之兆。
2.按照病毒的攻擊機型分類
(1)攻擊微型計算機的病毒。這是世界上傳染最為廣泛的一種病毒。
(2)攻擊小型機的計算機病毒。小型機的應用範圍是極為廣泛的,它既可以作為網絡的一個節點機,也可以作為小的計算機網絡的主機。起初,人們認為計算機病毒只有在微型計算機上才能發生而小型機則不會受到病毒的侵擾,但自1988年11月份internet網絡受到worm程序的攻擊后,使得人們認識到小型機也同樣不能免遭計算機病毒的攻擊。
(3)攻擊工作站的計算機病毒。近幾年,計算機工作站有了較大的進展,並且應用範圍也有了較大的發展,所以我們不難想像,攻擊計算機工作站的病毒的出現也是對信息系統的一大威脅。
3.按照計算機病毒的鏈結方式分類
由於計算機病毒本身必須有一個攻擊對象以實現對計算機系統的攻擊,計算機病毒所攻擊的對象是計算機系統可執行的部分。
(1)源碼型病毒
該病毒攻擊高級語言編寫的程序,該病毒在高級語言所編寫的程序編譯前插入到原程序中,經編譯成為合法程序的一部分。
(2)嵌入型病毒
這種病毒是將自身嵌入到現有程序中,把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的)一旦侵入程序體后也較難消除。如果同時採用多態性病毒技術、超級病毒技術和隱蔽性病毒技術,將給當前的反病毒技術帶來嚴峻的挑戰。
(3)外殼型病毒
外殼型病毒將其自身包圍在主程序的四周,對原來的程序不作修改。這種病毒最為常見,易於編寫,也易於發現,一般測試文件的大小即可知。
(4)操作系統型病毒
這種病毒用它自己的程序意圖加入或取代部分操作系統進行工作,具有很強的破壞力,可以導致整個系統的癱瘓。圓點病毒和大麻病毒就是典型的操作系統型病毒。
這種病毒在運行時,用自己的邏輯部分取代操作系統的合法程序模塊,根據病毒自身的特點和被替代的操作系統中合法程序模塊在操作系統中運行的地位與作用以及病毒取代操作系統的取代方式等,對操作系統進行破壞。
4。按照計算機病毒的破壞情況分類
按照計算機病毒的破壞情況可分兩類:
(1)良性計算機病毒
良性病毒是指其不包含有立即對計算機系統產生直接破壞作用的代碼。這類病毒為了表現其存在,只是不停地進行擴散,從一台計算機傳染到另一台,並不破壞計算機內的數據。
有些人對這類計算機病毒的傳染不以為然,認為這只是惡作劇,沒什麼關係。其實良性、惡性都是相對而言的。良性病毒取得系統控制權后,會導致整個系統運行效率降低,系統可用內存總數減少,使某些應用程序不能運行。它還與操作系統和應用程序爭搶cpu的控制權,時時導致整個系統死鎖,給正常操作帶來麻煩。有時系統內還會出現幾種病毒交叉感染的現象,一個文件不停地反覆被幾種病毒所感染。
例如原來只有10kb的文件變成約90kb,就是被幾種病毒反覆感染了數十次。這不僅消耗掉大量寶貴的磁碟存儲空間,而且整個計算機系統也由於多種病毒寄生於其中而無法正常工作。因此也不能輕視所謂良性病毒對計算機系統造成的損害。
(2)惡性計算機病毒
惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統的操作,在其傳染或發作時會對系統產生直接的破壞作用。這類病毒是很多的,如米開朗基羅病毒。當米氏病毒發作時,硬碟的前17個扇區將被徹底破壞,使整個硬碟上的數據無法被恢復,造成的損失是無法挽回的。有的病毒還會對硬碟做格式化等破壞。這些操作代碼都是刻意編寫進病毒的,這是其本性之一。因此這類惡性病毒是很危險的,應當注意防範。所幸防病毒系統可以通過監控系統內的這類異常動作識別出計算機病毒的存在與否,或至少發出警報提醒用戶注意。
5.按照計算機病毒的寄生部位或傳染對象分類
傳染性是計算機病毒的本質屬性,根據寄生部位或傳染對象分類,也即根據計算機病毒傳染方式進行分類,有以下幾種:
(1)磁碟引導區傳染的計算機病毒
磁碟引導區傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導記錄,而將正常的引導記錄隱藏在磁碟的其他地方。由於引導區是磁碟能正常使用的先決條件,因此,這種病毒在運行的一開始(如系統啟動)就能獲得控制權,其傳染性較大。由於在磁碟的引導區內存儲著需要使用的重要信息,如果對磁碟上被移走的正常引導記錄不進行保護,則在運行過程中就會導致引導記錄的破壞。引導區傳染的計算機病毒較多,例如,「大麻」和「小球」病毒就是這類病毒。
(2)操作系統傳染的計算機病毒
操作系統是一個計算機系統得以運行的支持環境,它包括。com、。exe等許多可執行程序及程序模塊。操作系統傳染的計算機病毒就是利用操作系統中所提供的一些程序及程序模塊寄生並傳染的。通常,這類病毒作為操作系統的一部分,只要計算機開始工作,病毒就處在隨時被觸發的狀態。而操作系統的開放性和不絕對完善性給這類病毒出現的可能性與傳染性提供了方便。操作系統傳染的病毒目前已廣泛存在,「黑色星期五」即為此類病毒。
(3)可執行程序傳染的計算機病毒
可執行程序傳染的病毒通常寄生在可執行程序中,一旦程序被執行,病毒也就被激活,病毒程序首先被執行,並將自身駐留內存,然後設置觸發條件,進行傳染。
對於以上三種病毒的分類,實際上可以歸納為兩大類:一類是引導扇區型傳染的計算機病毒;另一類是可執行文件型傳染的計算機病毒。
6.按照計算機病毒激活的時間分類
按照計算機病毒激活的時間可分為定時的和隨機的。定時病毒僅在某一特定時間才發作,而隨機病毒一般不是由時鐘來激活的。
7.按照傳播媒介分類
按照計算機病毒的傳播媒介來分類,可分為單機病毒和網絡病毒。
(1)單機病毒
單機病毒的載體是磁碟,常見的是病毒從軟盤傳人硬碟,感染系統,然後再傳染其他軟盤,軟盤又傳染其他系統。
(2)網絡病毒
網絡病毒的傳播媒介不再是移動式載體,而是網絡通道,這種病毒的傳染能力更強,破壞力更大。
8.按照寄生方式和傳染途徑分類
人們習慣將計算機病毒按寄生方式和傳染途徑來分類。計算機病毒按其寄生方式大致可分為兩類,一是引導型病毒,
二是文件型病毒;它們再按其傳染途徑又可分為駐留內存型和不駐留內存型,駐留內存型按其駐留內存方式又可細分。
混合型病毒集引導型和文件型病毒特性於一體。
引導型病毒會去改寫(即一般所說的「感染」)磁碟上的引導扇區(bootsector)的內容,軟盤或硬碟都有可能感染病毒。再不然就是改寫硬碟上的分區表(fat)。如果用已感染病毒的軟盤來啟動的話,則會感染硬碟。
引導型病毒是一種在rombios之後,系統引導時出現的病毒,它先於操作系統,依託的環境是bios中斷服務程序。
引導型病毒是利用操作系統的引導模塊放在某個固定的位置,並且控制權的轉交方式是以物理地址為依據,而不是以操作系統引導區的內容為依據,因而病毒佔據該物理位置即可獲得控制權,而將真正的引導區內容搬家轉移或替換,待病毒程序被執行后,將控制權交給真正的引導區內容,使得這個帶病毒的系統看似正常運轉,而病毒己隱藏在系統中伺機傳染、發作。
有的病毒會潛伏一段時間,等到它所設置的日期時才發作。有的則會在發作時在屏幕上顯示一些帶有「宣示」或「警告」意味的信息。這些信息不外是叫您不要非法拷貝軟件,不然就是顯示特定的圖形,再不然就是放一段音樂給您聽……。病毒發作后,不是摧毀分區表,導致無法啟動,就是直接format硬碟。也有一部分引導型病毒的「手段」沒有那麼狠,不會破壞硬碟數據,只是搞些「聲光效果」讓您虛驚一場。
引導型病毒幾乎清一色都會常駐在內存中,差別只在於內存中的位置。(所謂「常駐」,是指應用程序把要執行的部分在內存中駐留一份。這樣就可不必在每次要執行它的時候都到硬碟中搜尋,以提高效率)。
引導型病毒按其寄生對象的不同又可分為兩類,即mbr(主引導區)病毒,br(引導區)病毒。mbr病毒也稱為分區病毒,將病毒寄生在硬碟分區主引導程序所佔據的硬碟0頭0柱面第1個扇區中。典型的病毒有大麻(stoned)、2708等。br病毒是將病毒寄生在硬碟邏輯0扇區或軟盤邏輯0扇區(即0面0道第1個扇區)。典型的病毒有brain、小球病毒等。
顧名思義,文件型病毒主要以感染文件擴展名為.com、.exe和,ovl等可執行程序為主。它的安裝必須藉助於病毒的載體程序,即要運行病毒的載體程序,方能把文件型病毒引人內存。已感染病毒的文件執行速度會減緩,甚至完全無法執行。有些文件遭感染后,一執行就會遭到刪除。大多數的文件型病毒都會把它們自己的程序碼複製到其宿主的開頭或結尾處。這會造成已感染病毒文件的長度變長,但用戶不一定能用dir命令列出其感染病毒前的長度。也有部分病毒是直接改寫「受害文件」的程序碼,因此感染病毒後文件的長度仍然維持不變。
感染病毒的文件被執行后,病毒通常會趁機再對下一個文件進行感染。有的高明一點的病毒,會在每次進行感染的時候,針對其新宿主的狀況而編寫新的病毒碼,然後才進行感染,因此,這種病毒沒有固定的病毒碼—以掃描病毒碼的方式來檢測病毒的查毒軟件,遇上這種病毒可就一點用都沒有了。但反病毒軟件隨着病毒技術的發展而發展,針對這種病毒現在也有了有效手段。
大多數文件型病毒都是常駐在內存中的。
文件型病毒分為源碼型病毒、嵌入型病毒和外殼型病毒。源碼型病毒是用高級語言編寫的,若不進行彙編、鏈接則無法傳染擴散。嵌入型病毒是嵌入在程序的中間,它只能針對某個具體程序,如dbase病毒。這兩類病毒受環境限制尚不多見。目前流行的文件型病毒幾乎都是外殼型病毒,這類病毒寄生在宿主程序的前面或後面,並修改程序的第一個執行指令,使病毒先於宿主程序執行,這樣隨着宿主程序的使用而傳染擴散。
文件外殼型病毒按其駐留內存方式可分為高端駐留型、常規駐留型、內存控制鏈駐留型、設備程序補丁駐留型和不駐留內存型。
混合型病毒綜合系統型和文件型病毒的特性,它的「性情」也就比系統型和文件型病毒更為「兇殘」。此種病毒透過這兩種方式來感染,更增加了病毒的傳染性以及存活率。不管以哪種方式傳染,只要中毒就會經開機或執行程序而感染其他的磁碟或文件,此種病毒也是最難殺滅的。
引導型病毒相對文件型病毒來講,破壞性較大,但為數較少,直到90年代中期,文件型病毒還是最流行的病毒。但近幾年情形有所變化,宏病毒後來居上,據美國國家計算機安全協會統計,這位「後起之秀」已佔目前全部病毒數量的80%以上。另外,宏病毒還可衍生出各種變形變種病毒,這種「父生子子生孫」的傳播方式實在讓許多系統防不勝防,這也使宏病毒成為威脅計算機系統的「第一殺手」。
隨着微軟公司word字處理軟件的廣泛使用和計算機網絡尤其是internet的推廣普及,病毒家族又出現一種新成員,這就是宏病毒。宏病毒是一種寄存於文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,宏病毒就會被激活,轉移到計算機上,並駐留在normal模板上。從此以後,所有自動保存的文檔都會「感染」上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
黑客基本入侵手段:
隨着黑客活動的日益猖獗,信息安全問題越來越多地被各級政府和網絡管理部門提到重要議事日程上來。黑客攻擊網絡的手段十分豐富,令人防不勝防。分析和研究黑客活動的手段和採用的技術,對我們加強網絡安全建議、防止網絡犯罪有很好的借鑒作用。本文簡要介紹了黑客攻擊網絡的一般過程以及常用的網絡攻擊工具。
遠程攻擊的一般過程
1.收集被攻擊方的有關信息,分析被攻擊方可能存在的漏洞
黑客首先要確定攻擊的目標。在獲取目標機及其所在的網絡類型后,還需進一步獲取有關信息,如目標機的ip地址、操作系統類型和版本、系統管理人員的郵件地址等,根據這些信息進行分析,可得到有關被攻擊方系統中可能存在的漏洞。如運行一個host命令,可以獲得目標網絡中有關機器的ip地址信息,還可識別出目標機的操作系統類型。利用whois查詢,可了解技術管理人員的名字信息。運行一些usernet和web查詢可了解有關技術人員是否經常上usernet,等等。
收集有關技術人員的信息是很重要的。系統管理員的職責是維護站點的安全。當他們遇到問題時,有些人會迫不及待地將問題發到usernet上或郵件列表上尋求解答。而這些郵件中往往有他們的組織結構、網絡拓撲和所面臨的問題等信息。另外,若一個系統管理員經常在安全郵件列表或論壇中討論各種安全技術和問題,就說明他有豐富的經驗和知識,對安全有深入的了解,並作好了抵禦攻擊的準備。反之,若一個系統管理員提出的問題是初級的,甚至沒有理解某些安全概念,則說明此人經驗不豐富。
每個操作系統都有自己的一套漏洞,有些是已知的,有些則需要仔細研究才能發現。而管理員不可能不停地閱讀每個平台的安全報告,因此極有可能對某個系統的安全特性掌握的不夠。
通過對上述信息的分析,就可以得到對方計算機網絡可能存在的漏洞。
2.建立模擬環境,進行模擬攻擊,測試對方可能的反應
根據第一步所獲得的信息,建立模擬環境,然後對模擬目標機進行一系列的攻擊。通過檢查被攻擊方的日誌,可以了解攻擊過程中留下的「痕迹」。這樣攻擊者就知道需要刪除哪些文件來毀滅其入侵證據。
3.利用適當的工具進行掃描
收集或編寫適當的工具,並在對操作系統分析的基礎上,對工具進行評估,判斷有哪些漏洞和區域沒有覆蓋到。然後在儘可能短的時間內對目標進行掃描。完成掃描后,可對所獲數據進行分析,發現安全漏洞,如ftp漏洞、nfs輸出到未授權程序中、不受限制的x伺服器訪問、不受限制的調制解調器、sendmail的漏洞、nis口令文件訪問等。
4.實施攻擊
根據己知的漏洞,實施攻擊。通過猜測程序可對截獲的用戶帳號和口令進行破譯;利用破譯程序可對截獲的系統密碼文件進行破譯;利用網絡和系統本身的薄弱環節和安全漏洞可實施電子引誘(如安放特洛伊木馬)等等。黑客們或者修改網頁進行惡作劇,或破壞系統程序或放病毒使系統陷入癱瘓,或竊取政治、軍事、商業秘密;或進行電子郵件騷擾或轉移資金賬戶,竊取金錢等等。
常用工具介紹
掃描器
在internet安全領域,掃描器是最出名的破解工具。所謂掃描器,實際上是自動檢測遠程或本地主機安全性弱點的程序。掃描器選通tcp/ip埠和服務,並記錄目標機的回答,以此獲得關於目標機的信息。理解和分析這些信息,就可能發現破壞目標機安全性的關鍵因素。常用的掃描器有很多,有些可以在internet上免費得到,下面做一簡要介紹。
nss(網絡安全掃描器):是用perl語言編寫的,可執行sendmail、匿名ftp、nfs出口、tftp、hosts.equiv、xhost等常規檢查。
strobe(超級優化tcp埠檢測程序):是一個tcp埠掃描器,可以記錄指定機器的所有開放埠,快速識別指定機器上正在運行什麼服務,提示什麼服務可以被攻擊。
satan
(安全管理員的網絡分析工具):用於掃描遠程主機,發現漏洞。包括:ftpd的漏洞和可寫的ftp目錄、nfs漏洞、nis漏洞、rsh漏洞、sendmail、x伺服器漏洞等。
jakal:是一個秘密掃描器,它啟動但並不完成與目標主機的syn/ack過程,因此可以掃描一個區域而不留下任何痕迹,能夠避開埠掃描探測器的探測追蹤。
idengtcpscan:是一個更加專業化的掃描器,能夠識別指定tcp埠進程的使用者,即能夠測出該進程的uid;
connect:用於掃描tftp伺服器子網。
fspscan:用於掃描fsp伺服器。
xscan:掃描具有x伺服器漏洞的子網或主機。
safesuite:是快速、先進、全面的unix網絡安全掃描器。可以對指定網絡執行各種不同的攻擊,探測網絡環境中特定的安全漏洞,包括:sendmail、tfp、nntp、telnet、
rpc、nfs等。
掃描器還在不斷發展變化,每當發現新的漏洞,檢查該漏洞的功能就會被加入已有的掃描器中。掃描器不僅是黑客用作網絡攻擊的工具,也是維護網絡安全的重要工具。系統管理人員必須學會使用掃描器。
口令入侵
所謂的口令入侵,是指破解口令或屏蔽口令保護。但實際上,真正的加密口令是很難逆向破解的。黑客們常用的口令入侵工具所採用的技術是模擬對比,利用與原口令程序相同的方法,通過對比分析,用不同的加密口令去匹配原口令。
internet上大多數伺服器運行的是unix或類unix操作系統。在unix平台上,用戶登錄id和口令都存放在etc/passwd中。unix以數據加密標準des為基礎,以id為密鑰,對口令進行加密。而加密演演算法crypt(3)是公開的。雖然加密演演算法分開,但目前還沒有能夠逆向破解其加密信息的方法。
黑客們破解口令的過程大致如下:首先將大量字表中的單詞用一定規則進行變換,再用加密演演算法進行加密。看是否與/etc/passwd文件中加密口令相匹配者:若有,則口令很可能被破解。單詞變換的規則一般有:大小寫交替使用;把單詞正向、反向拼寫后,接在一起(如cannac);在每個單詞的開頭和/或結尾加上數字1等等。同時,在internet上有許多字表可用。如果用戶選擇口令不恰當,口令落入了字表庫,黑客們獲得了/etc/passwd文件,基本上就等於完成了口令破解任務。
特洛依木馬(trojanhorse)
所謂特洛依程序是指任何提供了隱藏的、用戶不希望的功能的程序。它可以以任何形式出現,可能是任何由用戶或客戶引入到系統中的程序。特洛依程序提供或隱藏了一些功能,這些功能可以泄漏一些系統的私有信息,或者控制該系統。
特洛依程序表面上是無害的、有用的程序,但實際上潛伏着很大的危險性。如在wuarchiveftpdaemon(ftpd)2.2版中發現有特洛依程序,該特洛依程序允許任何用戶(本地的和遠端的)以root帳戶登錄unix。這樣的特洛依程序可以導致整個系統被侵入,因為首先它很難被發現。在它被發現之前,可能已經存在幾個星期甚至幾個月了。其次在這段時間內,具備了root許可權的入侵者,可以將系統按照他的需要進行修改。這樣即使這個特洛依程序被發現了,在系統中也留下了系統管理員可能沒有注意到的漏洞。
網絡嗅探器(sniffer)
sniffer用來截獲網絡上傳輸的信息,用在乙太網或其它共享傳輸介質的網絡上。放置sniffer,可使網絡介面處於廣播狀態,從而截獲網上傳輸的信息。利用sniffer可截獲口令、秘密的和專有的信息,用來攻擊相鄰的網絡。sniffer的威脅還在於被攻擊方無法發現。sniffer是被動的程序,本身在網絡上不留下任何痕迹。常用的sniffer有:gobbler、ethload、netman、esniff.c、linuxsniffer.c、nitwitc等等。
破壞系統
常見的破壞裝置有郵件炸彈和病毒等。其中郵件炸彈的危害性較小,而病毒的危害性則很大。
郵件炸彈是指不停地將無用信息傳送給攻擊方,填滿對方的郵件信箱,使其無法接收有用信息。另外,郵件炸彈也可以導致郵件伺服器的拒絕服務。常用的email炸彈有:upyours、kaboom、avalanche、unabomber、extrememail、homicide、bombtrack、flamethrower等。
病毒程序與特洛依程序有明顯的不同。特洛依程序是靜態的程序,存在於另一個無害的被信任的程序之中。特洛依程序會執行一些未經授權的功能,如把口令文件傳遞給攻擊者,或給他提供一個後門。攻擊者通過這個後門可以進入那台主機,並獲得控制系統的權力。
病毒程序則具有自我複製的功能,它的目的就是感染計算機。在任何時候病毒程序都是清醒的,監視着系統的活動。一旦系統的活動滿足了一定的條件,病毒就活躍起來,把自己複製到那個活動的程序中去。
黑客基本術語簡介:
什麼是tcp/ip
是一種網絡通信協議,他規範了網絡上所有的通信設備,尤其是一個主機與另一個主機之間的數據往來格式以及傳送方式.,tcp/ip是internet的基礎協議,也是一種電腦數據打包和定址的標準方法.在數據傳誦中,可以形象地理解為兩個信封,tcp和ip就像是信封,要傳遞的信息被劃為若干段,每一段塞入一個tcp信封,並在該信封面上記錄有分段號的信息,再將tcp信封塞入ip大信封,發送上網.
什麼是路由器
路由器應該是在網絡上使用最高的設備之一了,它的主要作用就是路由選路,將ip數據包正確的送到目的地,因此也叫ip路由器.
什麼是蜜罐
好比是情報收集系統.蜜罐好象是故意讓人攻擊的目標,引誘黑客來攻擊,所有攻擊者入侵后,你就可以知道他是如何得逞的,隨時了解針對你的伺服器發動的最新的攻擊和漏洞.還可以通過竊聽黑客之間的聯繫,收集黑客所用的種種工具,並且掌握他們的社交網絡.
什麼是拒絕服務攻擊
dos是denialofservice的簡稱,即拒絕服務,造成dos的攻擊行為被稱為dos攻擊,其目的是使計算機或網絡無法正常服務,最常見的dos攻擊有計算機網絡寬頻攻擊和連通性攻擊,連通性攻擊指用大量的連接請求衝擊計算機,使得所有可用的操作系統資源被消耗,最終計算機無法再處理合法用戶的請求.
什麼是腳本注入攻擊(sqlinjection)
所謂腳本注入攻擊者把sql命令插入到web表單的輸入域或也面請求的查學字元串,欺騙伺服器執行惡意的sql命令,在某些表單中,用戶輸入的內容直接用來構造動態的sql命令,或作為存儲過程的輸入參數,這類表單特別容易受到sql注入式攻擊.
什麼是防火牆?它是如何確保網絡安全的
使用防火牆(firewall)是一種確保網絡安全的方法。防火牆是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
什麼是後門?為什麼會存在後門?
後門(backdoor)是指一種繞過安全性控制而獲取對程序或系統訪問權的方法。在軟件的開發階段,程序員常會在軟件內創建後門以便可以修改程序中的缺陷。如果後門被其他人知道,或是在發佈軟件之前沒有刪除,那麼它就成了安全隱患。
什麼叫入侵檢測
入侵檢測是防火牆的合理補充,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,並分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象
什麼叫數據包監測,它有什麼作用
數據包監測可以被認為是一根竊聽電話線在計算機網絡中的等價物。當某人在「監聽」網絡時,他們實際上是在閱讀和解釋網絡上傳送的數據包。如果你需要在互聯網上通過計算機發送一封電子郵件或請求下載一個網頁,這些操作都會使數據通過你和數據目的地之間的許多計算機。這些傳輸信息時經過的計算機都能夠看到你發送的數據,而數據包監測工具就允許某人截獲數據並且查看它。
在這裏值得一題的是,美國的落山基級駭動力潛艇就有幾艘專們用於海底電纜的數據監聽。特別是太平洋。
什麼是nids
nids是networkintrusiondetectionsystem的縮寫,即網絡入侵檢測系統,主要用於檢測hacker或cracker通過網絡進行的入侵行為。nids的運行方式有兩種,一種是在目標主機上運行以監測其本身的通信信息,另一種是在一台單獨的機器上運行以監測所有網絡設備的通信信息,比如hub、路由器。
什麼叫syn包
tcp連接的第一個包,非常小的一種數據包。syn攻擊包括大量此類的包,由於這些包看上去來自實際不存在的站點,因此無法有效進行處理。
加密技術是指什麼
加密技術是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。
加密技術包括兩個元素:演演算法和密鑰。演演算法是將普通的信息或者可以理解的信息與一串數字(密鑰)結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解密的一種演演算法。在安全保密中,可通過適當的鑰加密技術和管理機制來保證網絡的信息通信安全。
區域網內部的arp攻擊是指什麼
arp協議的基本功能就是通過目標設備的ip地址,查詢目標設備的mac地址,以保證通信的進行。
基於arp協議的這一工作特性,黑客向對方計算機不斷發送有欺詐性質的arp數據包,數據包內包含有與當前設備重複的mac地址,使對方在回應報文時,由於簡單的地址重複錯誤而導致不能進行正常的網絡通信。一般情況下,受到arp攻擊的計算機會出現兩種現象:
1.不斷彈出「本機的xxx段硬件地址與網絡中的xxx段地址衝突」的對話框。
2.計算機不能正常上網,出現網絡中斷的癥狀。
因為這種攻擊是利用arp請求報文進行「欺騙」的,所以防火牆會誤以為是正常的請求數據包,不予攔截。因此普通的防火牆很難抵擋這種攻擊。
什麼叫欺騙攻擊?它有哪些攻擊方式
網絡欺騙的技術主要有:honeypot和分散式honeypot、欺騙空間技術等。主要方式有:ip欺騙、arp欺騙、dns欺騙、web欺騙、電子郵件欺騙、源路由欺騙(通過指定路由,以假冒身份與其他主機進行合法通信或發送假報文,使受攻擊主機出現錯誤動作)、地址欺騙(包括偽造源地址和偽造中間站點)等。
嗅探
計算機網絡的共享通訊道的,支持每對通訊計算機獨佔通道的交換機/集線器仍然過於昂貴,共享意為着計算機能夠接收到發送給其他計算機的信息,捕獲在網絡中傳輸的數據信息就稱為嗅探.
木馬
全稱為特洛伊木馬(trojanhorse),是根據希臘神話傳說中一次戰爭而得名。麥尼勞斯派兵討伐特洛伊國王,他們假裝打敗,然後留下一個大木馬,而木馬里卻藏着最強悍的勇士!最後等晚上時間一到,木馬里的勇士就衝出來把敵人打敗了。這就是後來的」木馬計」,而黑客中的木馬有點後門的意思,就是把預謀的功能隱藏在公開的功能里,掩飾真正的企圖。
肉雞
已經被攻擊了,對其具有控制權的主機。
跳板
一個具有輔助作用的機器,利用這個主機作為一個間接工具,來入侵其他主機,一般和肉雞連用。
弱口令
所謂弱口令也就是指密碼與用戶名相同,密碼為空的用戶名與密碼組合,也包括那些密碼強度不夠,容易被猜解的組合,一般專業認識不會犯這種錯誤。
許可權
計算機用戶對於文件及目錄的建立,修改,刪除以及對於某些服務的訪問,程序的執行,是以許可權的形式來嚴格區分的.被賦予了相應的許可權,就可以進行相應的操作,否則就不可以.
溢出
程序在處理我們提交給它的數據時,有的時候忘了檢查數據的大小與合法性,那麼這些數據可能會超過屬於自己的地盤,覆蓋到其它數據的盤.如果這些超長數據被精心的策劃構造的話,可能會被黑客去執行任意命令.打個比喻來說,windows系統是一個人,會一杯一杯喝我們給它準備的水,其中有一個杯子太小了,我們倒入了大量的水它就會溢出到別的杯子裏去,而溢出到別的杯子裏的東西我們事先可以設計好,而系統並不知道,這以為這本來就是那個杯子裏的東西,於是我們可以完成一定的任務.
埠
要網絡上,知道一台電腦的ip地址,只是相當於知道了它的居住地址,要和它進行通信,我們還要知道它開了哪些埠,比如說我們到一家醫院,掛號要到1號窗口,划價要到2號窗口,取葯要到3號窗口.那麼與計算機的通信也是一樣的,要上qq,你得登陸到騰訊伺服器的8000埠,要瀏覽x檔案的論壇,你得與其80埠進行聯繫,要ftp登陸空間,傳輸文件,我們又得伺服器的21埠連接了.可以說,埠就是一種數據的傳輸通道,用於接收某些數據,然後傳給相應的服務,而電腦將這些數據處理后,再將相應的回復通過埠傳給對方.
ip地址
internet上的電腦有許多,為了讓他們能夠相互識別,internet上的每一台主機都分配有一個唯一的32位地址,該地址稱為ip地址,也稱作網際地址,ip地址由4個數值部分組成,每個數值部分可取值0-255,各部分之間用一個『.『分開.
arp
地址解析協議(addressresolutionprotocol)
此協議將網絡地址映射到硬件地址。
rarp
反向地址解析協議(reverseaddressresolutionprotocol)
此協議將硬件地址映射到網絡地址
udp
用戶數據報協議(userdatagramprotocol)
這是提供給用戶進程的無連接協議,用於傳送數據而不執行正確性檢查。
ftp
文件傳輸協議(filetransferprotocol)
允許用戶以文件操作的方式(文件的增、刪、改、查、傳送等)與另一主機相互通信。
s*mtp
簡單郵件傳送協議(simplemailtransferprotocol)
s*mtp協議為系統之間傳送電子郵件。
telnet
終端協議(telnetterminalprocotol)
允許用戶以虛終端方式訪問遠程主機
http
超文本傳輸協議(hypertexttransferprocotol)
tftp
簡單文件傳輸協議(trivialfiletransferprotocol)
shell
shell就是系統於用戶的交換式界面。簡單來說,就是系統與用戶的一個溝通環境,我們平時用到的dos就是一個shell(win2k或cmd.exe)。
root
unix里最高許可權的用戶,也就是超級管理員。
admin
windowsnt/2k/xp里最高許可權的用戶,也就是超級管理員。
rootshell
通過一個溢出程序,在主機溢出一個具有root許可權的shell。
exploit
溢出程序。exploit里通常包含一些shellcode。
shellcode
溢出攻擊要調用的函數,溢出后要一個交換式界面進行操作。所以說就有了shellcode。
accescontrollist(acl)
訪問控制列表。
addressresolutionprotocol(arp)
地址解析協議。
administratoraccount
管理員帳號。
arpanet
阿帕網(internet的簡稱)。
accesstoken
訪問令牌。
adaptivespeedleveling
自適應速度等級調整。
algorithm
演演算法alias別名。
anlpasswd
一種與passwd+相似的代理密碼檢查器。
applicatlons
應用程序非同步傳遞模式。
accoutlockout
帳號封鎖。
accoutpolicies
記帳策略。
accounts
帳號。
adapter
適配器。
wap攻擊
黑客們在網絡上瘋狂肆虐之後,又將「觸角」伸向了wap(無線應用協議的英文簡寫),繼而wap成為了他們的又一個攻擊目標。「wap攻擊」主要是指攻擊wap伺服器,使啟用了wap服務的手機無法接收正常信息。由於目前wap無線網絡的安全機制並非相當嚴密,因而這一領域將受到越來越多黑客的「染指」。現在,我們使用的手機絕大部分都已支持wap上網,而手機的wap功能則需要專門的wap伺服器來支持,若是黑客們發現了wap伺服器的安全漏洞,就可以編製出針對該wap伺服器的病毒,並對其進行攻擊,從而影響到wap伺服器的正常工作,使wap手機無法接收到正常的網絡信息。
icmp協議
icmp(全稱是internetcontrolmessageprotocol,即internet控制消息協議)用於在ip主機、路由器之間傳遞控制消息,包括網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。例如,我們在檢測網絡通不通時常會使用ping命令,ping執行操作的過程就是icmp協議工作的過程。「icmp協議」對於網絡安全有着極其重要的意義,其本身的特性決定了它非常容易被用於攻擊網絡上的路由器和主機。例如,曾經轟動一時的海信主頁被黑事件就是以icmp攻擊為主的。由於操作系統規定icmp數據包最大尺寸不超過64kb,因而如果向目標主機發送超過64kb上限的數據包,該主機就會出現內存分配錯誤,進而導致系統耗費大量的資源處理,疲於奔命,最終癱瘓、死機。
時間戳
「時間戳」是個聽起來有些玄乎但實際上相當通俗易懂的名詞,我們查看系統中的文件屬性,其中顯示的創建、修改、訪問時間就是該文件的時間戳。對於大多數一般用戶而言,通過修改「時間戳」也許只是為了方便管理文件等原因而掩飾文件操作記錄。但對於應用數字時間戳技術的用戶就並非這麼「簡單」了,這裏的「時間戳」(time-stamp)是一個經加密后形成的憑證文檔,是數字簽名技術的一種變種應用。在電子商務交易文件中,利用數字時間戳服務(dts:digita1timestampservice)能夠對提供電子文件的日期和時間信息進行安全保護,以防止被商業對手等有不良企圖的人偽造和串改的關鍵性內容。
mysql資料庫
我們在黑客文章中常會看到針對「mysql資料庫」的攻擊,但很多朋友卻對其不大了解。「mysql資料庫」之所以應用範圍如此廣泛,是由於它是一款免費的開放源代碼的多用戶、多線程的跨平台關係型資料庫系統,也可稱得上是目前運行速度最快的sql語言資料庫。「mysql資料庫」提供了面向c、c++、java等編程語言的編程介面,尤其是它與php的組合更是黃金搭檔。「mysql資料庫」採用的是客戶機/伺服器結構的形式,它由一個伺服器守護程序mysqld和很多不同的客戶程序和庫組成。但若是配置不當,「mysql資料庫」就可能會受到攻擊,例如若是設置本地用戶擁有對庫文件讀許可權,那麼入侵者只要獲取「mysql資料庫」的目錄,將其複製本機數據目錄下就能訪問進而竊取資料庫內容。
md5驗證
md5(全稱是message-digestalgorithm5)的作用是讓大容量信息在用數字簽名軟件簽署私人密匙前被「壓縮」為一種保密的格式。它的典型應用是對一段信息(message)產生信息摘要(message-digest),以防止被篡改。通俗地說md5碼就是個驗證碼,就像我們的個人身份證一樣,每個人的都是不一樣的。md5碼是每個文件的唯一校驗碼(md5不區分大小寫,但由於md5碼有128位之多,所以任意信息之間具有相同md5碼的可能性非常之低,通常被認為是不可能的),憑藉此特性常被用於密碼的加密存儲、數字簽名及文件完整性驗證等功能。通過md5驗證即可檢查文件的正確性,例如可以校驗出下載文件中是否被捆綁有其它第三方軟件或木馬、後門(若是校驗結果不正確就說明原文件已被人擅自串改)。
上傳漏洞
這個漏洞在dvbbs6.0時代被黑客們利用的最為猖獗,利用上傳漏洞可以直接得到webshell,危害等級超級高,現在的入侵中上傳漏洞也是常見的漏洞。
怎樣利用:在網站的地址欄中網址后加上/upfile.asp如果顯示「上傳格式不正確[重新上傳]」這樣的字樣就是有上傳漏洞了,找個可以上傳的工具直接可以得到webshell。
工具介紹:上傳工具,老兵的上傳工具、domain3.5,這兩個軟件都可以達到上傳的目的,用nc也可以提交。
webshell是什麼:其實webshell並不什麼深奧的東西,是個web的許可權,可以管理web,修改主頁內容等許可權,但是並沒有什麼特別高的許可權,(這個看管理員的設置了)一般修改別人主頁大多都需要這個許可權,接觸過web木馬的朋友可能知道(比如老兵的站長助手就是web木馬,海陽2006也是web木馬)。我們上傳漏洞最終傳的就是這個東西,有時碰到許可權設置不好的伺服器可以通過webshell得到最高許可權。
暴庫
這個漏洞現在很少見了,但是還有許多站點有這個漏洞可以利用,暴庫就是提交字元得到資料庫文件,得到了資料庫文件我們就直接有了站點的前台或者後台的許可權了。
暴庫方法:比如一個站的地址為http://www.xxx.com/dispbbs.asp?boardid=7&id=161,我門就可以把com/dispbbs中間的/換成%5c,如果有漏洞直接得到資料庫的絕對路徑,用尋雷什麼的下載下來就可以了。還有種方法就是利用默認的資料庫路徑http://www.xxx.com/後面加上conn.asp。如果沒有修改默認的資料庫路徑也可以得到資料庫的路徑(注意:這裏的/也要換成%5c)。
為什麼換成%5c:因為在ascii碼里/等於%5c,有時碰到資料庫名字為/#abc.mdb的為什麼下不了?這裏需要把#號換成%23就可以下載了,為什麼我暴出的資料庫文件是以。asp結尾
的?我該怎麼辦?這裏可以在下載時把.asp換成.mdb這樣就可以下載了如果還下載不了可能作了防下載。
注入漏洞
這個漏洞是現在應用最廣泛,殺傷力也很大的漏洞,可以說微軟的官方網站也存在着注入漏洞。注入漏洞是因為字元過濾不嚴禁所造成的,可以得到管理員的帳號密碼等相關資料。
怎樣利用:我先介紹下怎樣找漏洞比如這個網址http://www.xxx.com/dispbbs.asp?boardid=7&id=161後面是以id=數字形式結尾的站我們可以手動在後面加上個and1=1看看
如果顯示正常頁面再加上個and1=2來看看如果返回正常頁面說明沒有漏洞如果返回錯誤頁面說明存在注入漏洞。如果加and1=1返回錯誤頁面說明也沒有漏洞,知道了站點
有沒有漏洞我門就可以利用了可以手工來猜解也可以用工具現在工具比較多(nbsi、ndsi、啊d、domain等),都可以用來猜解帳號密碼,因為是菜鳥接觸,我還是建議大家用工具,手工比較煩瑣。
旁註
我們入侵某站時可能這個站堅固的無懈可擊,我們可以找下和這個站同一伺服器的站點,然後在利用這個站點用提權,嗅探等方法來入侵我們要入侵的站點。打個形象的比喻,比
如你和我一個樓,我家很安全,而你家呢,卻漏洞百出,現在有個賊想入侵我家,他對我家做了監視(也就是掃描),發現沒有什麼可以利用的東西,那麼這個賊發現你家和我家
一個樓,你家很容易就進去了,他可以先進入你家,然後通過你家得到整個樓的鑰匙(系統許可權),這樣就自然得到我的鑰匙了,就可以進入我的家(網站)。
工具介紹:還是名小子的domian3.5不錯的東西,可以檢測注入,可以旁註,還可以上傳!
cookie詐騙
許多人不知道什麼是cookie,cookie是你上網時由網站所為你發送的值記錄了你的一些資料,比如ip,姓名什麼的。
怎樣詐騙呢?如果我們現在已經知道了xx站管理員的站號和md5密碼了,但是破解不出來密碼(md5是加密后的一個16位的密碼)。我們就可以用cookie詐騙來實現,把自己的id修
改成管理員的,md5密碼也修改成他的,有工具可以修改cookie這樣就答到了cookie詐騙的目的,系統以為你就是管理員了。
防火牆系統。
ids入侵檢測---現在一般有成品軟件賣