黑客与病毒防范技术

2、扫描器工作原理 通过选用TCP/IP不同的端口服务，并记 录目标给予的回答，通过这种方法，可 以搜集很多关于目标主机的各种有用信 息。如：匿名登录、可写的FTP目录、 TELNET登录.....。 3、扫描器的功能 非攻击软件，可发现弱点，从而为攻击 打下基础。
4、扫描器分类 按对象分：本地扫描器、远程扫描器 按目的分：端口扫描器(nmap、portscan 等)、漏洞扫描器
漏洞等级


C类：允许拒绝服务的漏洞。它不会破坏数据 和使数据泄密，是不太重要的漏洞。存在于操 作系统中。主要类型： UDP攻击、TCP/SYN攻击、ICMP/PING攻击、 ICMP/SMURF攻击、TARGA3攻击（IP堆栈突 破）。 B类：允许本地用户非法访问的漏洞。允许本 地用户获得增加的未授权的访问。有较大可能 检查出入侵者。存在于应用程序中，如： Sendmail、编程造成缓冲区溢出。

对于Windows操作系统，还应做到： 1、采用NTFS的文件管理系统; 2、正确设臵系统文件夹的权限，务必使只 有Administrators组的用户才能访问; 3、取消普通用户访问注册表的权限。

再安全的密码也不是无懈可击的， 只有安全的密码配上1_3个月更换一次的 安全制度才是比较安全的。
paradox

黑客：嘿嘿，刚才我做了一件很有趣的事。 用户：什么事？ 黑客：我到来论坛上去顶帖了。 用户：这很平常啊。 黑客：我见帖就顶，尽情骂楼主是猪，好解气！ 用户：哇塞，太过瘾了，我可从来不敢，会被 封杀的！ 黑客：已经被封杀了。 用户：这还有趣？！ 黑客：是啊，因为我用的是你的ID。
利
黑


用户：听说你会制造“病毒”？！ 黑客：嗯。 用户：你可以控制别人的电脑？！ 黑客：一般是的。 用户：那你可以黑掉那些网站吗？ 黑客：当然，没听到人家叫我“黑客” 吗？ 用户：……哦~~~我还以为那是因为你 长得很黑…… “咣~~”
bug


用户：黑客大哥，你是怎么进来的啊？ 黑客：利用你系统的bug。 用户：我知道了，当初我就说，不要用 在潮湿的地方用电脑，他们都不听，你 看现在都有虫子了吧．明天我拿出去晒 晒，就不招虫子了.你就进不来了。 黑客： 我倒！ 网络系统的缺陷与漏洞已经成为黑客能 突破网络防护进入网络的主要手段。
控

黑客：我控制了你的电脑。 用户：怎么控制的？ 黑客：用木马。 用户：……在哪里？我没看不见。 黑客：打开你的任务管理器。 用户：……任务管理器在哪？ 黑客：你的电脑下面！！ 用户：“我的电脑”里面没有啊。 黑客：算了当我什么也没做过。

黑客往往用木马程序对主机进行攻击。
防

用户：你怎么总是在我电脑里随便进进 出出。 黑客：你可以装防火墙。 用户：装防火墙，你就不能进入了吗？ 黑客：不啊，我只是想增加点趣味性， 这样控制你的电脑让我觉得很白痴。
黑客（hacker）


黑客（hacker）最初指“技术高超的有强制 力的程序员”，现在则指一批掌握计算机知 识和技能，能破解加密程序，窃取或破坏信 息并以此作为业余爱好或半职业、职业手段 的人。 十步杀一人， 千里不留行。 事了拂衣去， 深藏身与名。
第一节 网络系统的缺陷与漏洞
利用网络设计的缺陷是黑客能突破网络防护进入网络的主 要手段之一。 1、物理结构设计缺陷 广播式、点对点，易窃听和劫获。 2、协议设计缺陷 窃听和欺骗；不安全的应用服务；缺乏安全策略；配置的 复杂性。 3、网络漏洞 是指网络产品或系统存在的缺陷给网络带来的不安全因素。 产生的主要原因是设计网络产品或系统时考虑不周到。
二、端口扫描
端口扫描是利用某种程序自动依次检测目标 计算机上的所有端口，根据端口的响应情况判断端口 上的运行服务。 端口扫描方法： 手工扫描和软件扫描。 通过端口扫描，可以得到许多有用的信息， 从而发现系统的安全漏洞。
手工扫描
1、Ping命令： 诊断TCP/IP网络。 格式：ping hostname 高级使用： ping –f hostname 给目标主机发 送大量数据，从而使目标主机忙于回应。 如：ping –l 65510 www.hostname.com
黑客攻击与防范
-------谁能书阁下， 白首太玄经。
let’s go!
本章结构



引言 黑客的概念和行为 第一节 网络系统的缺陷与漏洞 第二节 黑客当中的7种人 第三节 黑客攻击的3个阶段 第四节 黑客攻击常用方法 第五节 黑客攻击的一般步骤及防范措施 重点：黑客的概念和攻击步骤及防范措施 难点：黑客攻击常用方法

网络监听的危害：
1、接收网络所有数据报文，造成数据丢失， 网络不畅。 2、由于许多数据以名文方式传输，如FTP、 Web等服务，很容易窃取用户名和密码。 3、采用被动方式，不与其它主机交换信息， 因而对监听者的追踪十分困难。
网络监听：Sniffer(嗅探器)
1、Sniffer工作原理
将本地网络接口卡设置成promiscuous(混杂)模式 （指网络上的所有设备都对总线上传送的数据进行侦 听，并不仅仅是它们自己的数据），该接口卡将会接 收所有在网络中传输的帧，无论该帧是广播的还是发 向某一指定地址，这就形成了监听，如果某主机被设 置成这种模式，它就成了一个Sniffer。 Sniffer通常运行在路由器上或有路由功能的主机 上。 通常Sniffer程序只看一个数据包的前200—300个 字节的数据，就能发现口令和用户名等重要数据。
2、Tracert命令 跟踪一个消息从一台计算机到另一台计 算机所走的路径。 格式：tracert hostname 3、Host命令 UNIX命令，查询计算机信息（域名、操 作系统、计算机名、服务程序等）。
使用端口软件扫描
1、什么是扫描器 检测网络系统所采用的自动检测程序被 称为扫描器，即扫描器是一种自动检测 远程或本地主机安全性弱点的程序。 扫描器可以不留痕迹地发现远程服务器 的各种TCP端口的分配及提供的服务和它 们的软件版本。从而了解安全问题。
2、口令破解器



是一个程序。 通过尝试一个个的单词，用知道的加密算法来 加密这些单词，直到发现一个单词经过加密后 的结果与要解密的数据一样，就认为这个单词 就是要找的密码。 从理论上讲，任何密码都是可以破解的，只是 时间的问题。 注册码的破解：一是修改安装程序。利用SoftICE等软件，设置中断，跳过判断。二是算法 尝试。

特洛伊木马是一个程序，它驻留在目 标计算机里，可以随计算机自动启动 并在某一端口进行侦听，在对接收的 数据识别后，对目标计算机执行特定 的操作。木马，其实质只是一个通过 端口进行通信的网络客户/服务程序。

基本概念:网络客户/服务模式的原理是一台主 机提供服务(服务器)，另一台主机接受服务(客 户机)。作为服务器的主机一般会打开一个默 认的端口并进行监听(Listen), 如果有客户机向 服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行， 来应答客户机的请求，这个程序称为守护进程 (UNIX的术语,不过已经被移植到了MS系统上)。 对于特洛伊木马，被控制端就成为一台服务器， 控制端则是一台客户机，G_server.exe是守护 进程, G_client是客户端应用程序。
毒

黑客：你死哪去了？！！ 用户：……出去玩了几天啊，找我干 嘛？ 黑客：我要找点东西。 用户：在我这儿找什么东西？ 黑客：病毒，找一条前几年的老病毒， 只有你的机子上病毒保存的最全啦。
port

用户：黑客，你怎么又进来了，我已经把端口 都堵上了。 黑客： 你知道端口了啊，不简单，你是怎么堵 的啊。 用户：我用海绵把我机器上所有的口都堵上了， 那不是端口吗？ 黑客：这也行啊，你机器有什么不良反映吗？ 用户：除了机箱热点，自动从起了两回，其它 就没有了。 黑客：我觉得也是。
3、怎样防止被Sniffer
（1）采用SSH加密。 （2）使用安全的网络拓扑结构。 Sniffer往往是攻击者在侵入系统后使用的，用来 收集有用的信息。因此防止系统被突破是关键。管理 员要定期对所管理的网络进行安全测试，防止出现安 全隐患。同时要控制拥有相当权限的用户的数量。 切记，许多攻击者往往来自网络的内部。

使用端口扫描的目的是要得到目标计算 机的操作系统、服务和应用程序的情况。
5、预防端口扫描 预防比较困难 可将固定端口（如HTTP的80）改为其它 端口号。 使用欺骗软件。
三、口令破解
口令认证是计算机网络安全的主要组成 部分之一，也是黑客攻击的目标之一。 1、口令破解的方法



先用扫描工具（如finger）找出网络中主机上 的用户帐号，然后采用字典穷举法生成大量的 随机密码。然后利用这些密码登录用户的系统。 如果密码不对，就使用下一个随机密码，直到 密码被查出为止。 另一种方法是利用系统的漏洞获取系统安全帐 号文件，采用口令破解器进行破解。

在内部网与外部网之间放置防火墙 是有效的防范黑客攻击的方法，但 是不是救命稻草。
trick

用户：你给我出来！！！！ 黑客：怎么啦？！ 用户：你是不是用我的ID去论坛玩了？！！ 黑客：……不好意思，忘了告诉你了，不过， 我没干坏事，就瞎编了个帖子，我保证下次在 再不玩拉。 用户：那不行！！！ 黑客：你还要怎么样？ 用户：你发的帖子得精华了，我第一次得精华， 好开心哦，你必须再给我编一个。 黑客：倒！
2、如何发现一个Sniffer
网络监听采用被动形式，它不与主机交换信息， 也不修改密码，因而追踪十分困难。主要办法是查看 计算机上运行的所有程序。 （1）Windows系统下，按Ctrl+Alt+Del在任务列表 中查看。 （2）在系统中搜索，查找可疑文件。 （3）利用工具，查看是否工作在Promiscuous模式。 从而发现Sniffer。如Antisniff。
四、特洛伊木马
1、ቤተ መጻሕፍቲ ባይዱ么叫特洛伊木马
特洛伊木马来自于希腊神话，是一个包 含在一个合法程序中的非法的程序。这 里指的是一种黑客程序，它一般有两个 程序，一个是服务器端程序，一个是控 制器端程序。如果用户的电脑安装了服 务器端程序，那么黑客就可以使用控制 器端程序进入用户的电脑，通过命令服 务器 端程序达到控制用户电脑的目的。
4、防止口令破解


封锁帐户入侵者（设臵用户登录次数）。 加强对各网络系统的安全帐户文件管理。（sam 文件） 选择好的安全密码。 验证码
危险的口令：
1、口令=用户名 2、用户名的变换形式 3、生日口令 4、常用英文单词 5、使用5位以下字符
安全的口令： 1、8位以上长度 2、含大小写、数字、控制符 3、不要太常见 4、不应是自己的名字或一部分或加数字。 5、不用电话号码、生日、英文单词（+数字） 6、不用身份证号的一部分 7、不要将口令写下或存于计算机中 8、不要在不同系统上使用同一口令 9、在输入口令时应确认旁边无人

黑客：嗨~~~我来了！ 用户：好几天不见你，被我的防火墙挡住啦？ 黑客：哈哈，笑话，上你的电脑比上我自己的 还容易，不是想我了吧。 用户：我是想请你帮一个忙。 黑客：什么事？ 用户：你能不能进入电力系统修改一点数据。 黑客：……你想干嘛！！ 用户：求求你，帮我把我家这个月的电费消了 吧…… 黑客：去死！！

A类：允许过程用户未经授权访问的漏洞。威胁
最大的一种漏洞。由于较差的系统管理或设 置错误造成的。利用了脚本程序。
第二节 黑客当中的7种人
1．恶作剧型 2．制造矛盾型 3．乘机渔利的信息修改型 4．致对方于死地的病毒攻击型 5. 有偷窥爱好的窃密型 6. 商业间谍型 7. 想复仇的事后报复型
第三节 黑客攻击的3个阶段
1．确定目标 2．搜集与攻击目标相关的信息，并找出 系 统的安全漏洞 3．实施攻击
第四节 黑客攻击常用方法
一、网络监听
所谓网络监听就是获取在网络上传输 的信息。通常，这种信息并不是特定发给自己 计算机的。一般情况下，系统管理员为了有效 地管理网络、诊断网络问题而进行网络监听。 然而，黑客为了达到其不可告人的目的，也进 行网络监听。