任務(wù)9處理黑客入侵事件

工作任務(wù)

問題探究

知識拓展

檢查評價

學(xué)習(xí)目標(biāo)處理校園黑客入侵事件

實踐操作

學(xué)習(xí)目標(biāo)1.知識目標(biāo)2.能力目標(biāo)學(xué)習(xí)目標(biāo)返回下頁上頁學(xué)習(xí)目標(biāo)1.知識目標(biāo)返回下頁上頁認(rèn)識并了解黑客1理解黑客的攻擊手段2了解黑客常用的攻擊方法3了解防范黑客入侵的方法4學(xué)習(xí)目標(biāo)2.能力目標(biāo)返回下頁上頁掃描要攻擊的目標(biāo)主機(jī)1入侵并設(shè)置目標(biāo)主機(jī)2監(jiān)視并控制目標(biāo)主機(jī)3使用入侵型攻擊軟件45防范入侵型攻擊工作任務(wù)

工作任務(wù)2.工作任務(wù)背景4.條件準(zhǔn)備1.工作名稱3.工作任務(wù)分析返回下頁上頁任務(wù)背景：最近多位老師發(fā)現(xiàn)自己計算機(jī)中的內(nèi)容突然丟失或被篡改，有的計算機(jī)還出現(xiàn)莫名其妙的重新啟動現(xiàn)象。張老師接到報告后，迅速感到現(xiàn)場查看，發(fā)現(xiàn)這幾臺計算機(jī)的硬盤均被不同程度的共享了；有的計算機(jī)中被植入了木馬；有的計算機(jī)中正在運行的進(jìn)程和服務(wù)被突然停止；更有甚者，有的計算機(jī)的鼠標(biāo)指針竟然會自行移動，并執(zhí)行了某些操作。而查看這些計算機(jī)的日志卻沒有任何發(fā)現(xiàn)。任務(wù)名稱：模擬校園網(wǎng)內(nèi)主機(jī)被黑客入侵攻擊任務(wù)名稱與背景返回下頁工作任務(wù)

上頁從這幾臺計算機(jī)的現(xiàn)象看，非常明顯是被黑客攻擊了。張老師進(jìn)一步深入的查看，發(fā)現(xiàn)了這幾臺出現(xiàn)問題的計算機(jī)存在著一些共同點：有的老師為了自己使用方便或其他一些原因，將自己計算機(jī)的用戶名和密碼記錄在了計算機(jī)旁邊，有的老師設(shè)置的用戶名和密碼非常簡單，甚至根本沒有設(shè)置密碼；幾臺計算機(jī)的操作系統(tǒng)均為Windows

XPProfessional而且均默認(rèn)打開了IPC$共享和默認(rèn)共享；幾臺計算機(jī)有的未安裝任何殺毒軟件和防火墻，有的安裝了殺毒軟件但很久未作升級。另外這幾臺計算機(jī)的本地安全策略的安全選項中，“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式”的安全設(shè)置為“經(jīng)典-本地用戶以自己的身份驗證”。由于老師們所在的辦公室經(jīng)常有外人進(jìn)出，不排除任務(wù)分析返回下頁工作任務(wù)

上頁返回下頁工作任務(wù)

上頁任務(wù)分析他們的用戶名和密碼等信息被他人獲知的可能性。機(jī)器機(jī)器中未安裝殺毒軟件和防火墻，導(dǎo)致他人利用黑客工具可以非常輕松的任務(wù)分析攻擊這些計算機(jī)，設(shè)置硬盤共享、控制計算機(jī)的服務(wù)和進(jìn)程等。另外安全選項中的“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式”一項的默認(rèn)設(shè)置應(yīng)為“僅來賓：本地用戶以來賓身份驗證?！?，這樣的設(shè)置可以使本地帳戶的網(wǎng)絡(luò)登錄將自動映射到Guest帳戶，而“設(shè)置為“經(jīng)典-本地用戶以自己的身份驗證”，意味著該計算機(jī)不論是否禁用“Guest帳戶”，只要獲知本地用戶的密碼，那么任何人都可以使用這些用戶帳戶來訪問和共享這些計算機(jī)的系統(tǒng)資源了。任務(wù)分析張老師將計算機(jī)被黑客攻擊的結(jié)論告訴了這幾位老師，他們覺得不可思議。他們提出了很多問題：難道我們的身邊真的存在校園黑客？黑客究竟使用什么樣的方法控制了我們的計算機(jī)？今后我們應(yīng)該如何防范黑客的攻擊？張老師為了增強(qiáng)老師們的網(wǎng)絡(luò)安全防范意識，決定利用一些網(wǎng)上下載的黑客攻擊軟件為老師們模擬操作校園網(wǎng)計算機(jī)被攻擊的過程，并在操作過程中指出老師應(yīng)該如何應(yīng)對和防范黑客的攻擊。黑客攻擊的手段和方法很多，張老師認(rèn)真分析了本次發(fā)生的校園網(wǎng)黑客入侵事件，推理出本次黑客攻擊的過程：首先黑客獲得目標(biāo)主機(jī)的用戶名和密碼，返回下頁工作任務(wù)

上頁任務(wù)分析該內(nèi)容可能在老師們的辦公室中直接獲得，也可能是利用黑客掃描軟件對某個IP地址段的目標(biāo)主機(jī)進(jìn)行掃描，獲得其中弱口令主機(jī)的用戶名和密碼；然后利用黑客攻擊軟件對這些目標(biāo)主機(jī)進(jìn)行攻擊，完成設(shè)置硬盤共享、控制服務(wù)和進(jìn)程、安裝木馬等操作；之后清除目標(biāo)主機(jī)中所有日志的內(nèi)容，做到不留痕跡。另外該黑客還可能對某些目標(biāo)主機(jī)實行了監(jiān)視甚至控制。張老師決定下載可以完成以上操作的黑客軟件。目前網(wǎng)上的黑客攻擊軟件很多，但是大部分均能被最新的殺毒軟件或防火墻檢測出來并當(dāng)作病毒或木馬進(jìn)行隔離或刪除處理。為了實現(xiàn)黑客攻擊的演示，張老師先將自己計算機(jī)中的防火墻和殺毒軟件關(guān)閉。返回下頁工作任務(wù)

上頁條件準(zhǔn)備張老師下載了三個黑客軟件：NTscan變態(tài)掃描器、Rectonv2.5、DameWare迷你中文版4.5。NTscan變態(tài)掃描器可以對指定IP地址段的所有主機(jī)進(jìn)行掃描，掃描方式有IPC掃描、SMB掃描、WMI掃描三種，可以掃描打開某個指定端口的主機(jī)，通過掃描可以得到其中弱口令主機(jī)的管理員用戶名和密碼。Rectonv2.5是一個典型的黑客攻擊軟件，只要擁有某一個遠(yuǎn)程主機(jī)的管理員賬號和密碼，并且遠(yuǎn)程主機(jī)的135端口和WMI服務(wù)（默認(rèn)啟動）都開啟，就可以利用該軟件完成遠(yuǎn)程開關(guān)telnet，遠(yuǎn)程運行CMD命令，遠(yuǎn)程重啟和查殺進(jìn)程，遠(yuǎn)程查看、啟動和停止服務(wù)、查看和創(chuàng)建共享、種植木馬、遠(yuǎn)程清除所有日志等操作。返回下頁工作任務(wù)

上頁條件準(zhǔn)備DameWare迷你中文版4.5是一款遠(yuǎn)程控制軟件，只要擁有一個遠(yuǎn)程主機(jī)的賬號和密碼，就可以對該主機(jī)實施遠(yuǎn)程監(jiān)控，監(jiān)視遠(yuǎn)程主機(jī)的所有操作甚至達(dá)到控制遠(yuǎn)程主機(jī)的目的。另外張老師選擇了兩臺操作系統(tǒng)為WindowsXPProfessional的主機(jī)，其中一臺作為實施攻擊的主機(jī)（以下稱“主機(jī)A”），另一臺作為被攻擊的主機(jī)（以下稱“主機(jī)B”），并將兩臺主機(jī)接入局域網(wǎng)中。返回下頁工作任務(wù)

上頁實踐操作

⒈模擬攻擊前的準(zhǔn)備⒉利用NTscan得到主機(jī)B的弱口令⒊利用Rectonv2.5入侵主機(jī)B⒋利用DameWare監(jiān)控主機(jī)B實踐操作

返回下頁上頁⒈模擬攻擊前的準(zhǔn)備由于本次模擬攻擊所用到的黑客軟件均可被較新的殺毒軟件和防火墻檢測出并自動進(jìn)行隔離或刪除的處理，因此，在模擬攻擊前要先將兩臺主機(jī)安裝的殺毒軟件和防火墻全部關(guān)閉。然后打開“控制面板”中的“windows安全中心”，執(zhí)行“windows防火墻”設(shè)置，將“windows防火墻”也關(guān)閉，如圖所示。實踐操作

返回下頁上頁⒈模擬攻擊前的準(zhǔn)備實踐操作

返回下頁上頁由于在默認(rèn)的情況下，兩臺主機(jī)的IPC$共享、默認(rèn)共享、135端口和WMI服務(wù)均處于開啟狀態(tài)，因此對共享、端口和服務(wù)不做任何調(diào)整。設(shè)置主機(jī)A的IP地址為“172.16.100.1”，主機(jī)B的IP地址為“172.16.100.2”（IP地址可以根據(jù)實際情況自行設(shè)定），兩臺主機(jī)的子網(wǎng)掩碼均應(yīng)為“255.255.0.0”。設(shè)置完成后用“ping”命令測試兩臺主機(jī)連接成功。為主機(jī)B添加管理員用戶“abc”，密碼設(shè)置為“123”。打開主機(jī)B“控制面板”中的“管理工具”，執(zhí)行“本地安全策略”命令，在“本地策略”的“安全選項”中找到“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式”策略，并將其修改為“經(jīng)典-本地用戶以自己的身份驗證”，如圖所示。⒈模擬攻擊前的準(zhǔn)備實踐操作

返回下頁上頁2.利用NTscan變態(tài)掃描器得到主機(jī)B的弱口令實踐操作

返回下頁上頁將NTscan變態(tài)掃描器安裝到主機(jī)A中。NTscan變態(tài)掃描器的文件夾中包含多個文件，其中“NT_user.dic”文件為用戶名字典，“NT_pass.dic”文件為密碼字典，“NTscan.exe”為主程序文件。打開“NT_user.dic”文件，可以看到當(dāng)前已有一個用戶名“administrator”，這是超級管理員賬號。在該賬號后面添加幾個由“a”、“b”、“c”三個字母隨機(jī)組合的用戶名，如“abc”、“acb”、“bac”等等，注意每個用戶名占一行，且不要有空行，保存關(guān)閉。打開“NT_pass.dic”文件，可以看到當(dāng)前已有一個密碼“%null%”，其含義為空密碼。在該密碼后面添加幾個由“1”、“2”、“3”三個數(shù)字隨機(jī)組合的密碼，如“123”、“321”、“132”等等，注意每個密碼占一行，且不要有空行，保存關(guān)閉。2.利用NTscan變態(tài)掃描器得到主機(jī)B的弱口令實踐操作

返回下頁上頁由于本次模擬操作只是演示弱口令的測試過程，因此在兩個字典中輸入的用于猜測的用戶名和密碼只有不多的幾條。在實際黑客攻擊過程中，用戶名和密碼字典中多達(dá)幾千條甚至上萬條記錄，用于測試的用戶名和密碼也不是人工輸入，而是由軟件自動生成，這些記錄可能是3-4位純數(shù)字或純英文的所有組合，也可能是一些使用頻率很高的單詞或字符組合。這樣的字典可以在幾分鐘之內(nèi)測試出弱口令。執(zhí)行“NTscan.exe”文件，設(shè)置起始IP和結(jié)束IP均為“172.16.100.2”，只對主機(jī)B進(jìn)行測試（在實際掃描過程中可以設(shè)置一個IP地址段，對該地址段中的所有主機(jī)進(jìn)行測試）；設(shè)置“連接共享$”為“ipc$”；掃描方式為“IPC掃描”；“掃描打開端口的主機(jī)”為“139”；其他選項2.利用NTscan變態(tài)掃描器得到主機(jī)B的弱口令實踐操作

返回下頁上頁默認(rèn)。單擊“開始”按鈕進(jìn)行掃描。掃描完成后得到的弱口令會顯示在掃描列表中，如圖所示。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁將Rectonv2.5安裝到主機(jī)A中。執(zhí)行Rectonv2.5文件夾中的“Recton.exe”文件，該軟件共有九個功能：遠(yuǎn)程啟動Terminal終端服務(wù)；遠(yuǎn)程啟動和停止Telnet服務(wù)；在目標(biāo)主機(jī)上執(zhí)行CMD命令；清除目標(biāo)主機(jī)的日志；將目標(biāo)主機(jī)重新啟動；遠(yuǎn)程查看和關(guān)閉目標(biāo)主機(jī)的進(jìn)程；遠(yuǎn)程啟動和停止目標(biāo)主機(jī)的服務(wù)；在目標(biāo)主機(jī)上建立共享；向目標(biāo)主機(jī)種植木馬（可執(zhí)行程序）。其中，遠(yuǎn)程啟動Terminal終端服務(wù)的功能由于操作系統(tǒng)為WindowsXP而不能執(zhí)行，其他功能均可執(zhí)行。⑴遠(yuǎn)程啟動和停止Telnet服務(wù)：單擊“Telnet”選項卡，打開遠(yuǎn)程啟動和停止Telnet服務(wù)功能。輸入遠(yuǎn)程主機(jī)的IP地址為“172.16.100.2”，3.利用Rectonv2.5入侵主機(jī)B用戶名為“abc”，密碼為“123”，附加設(shè)置默認(rèn)。單擊“開始執(zhí)行”按鈕，即遠(yuǎn)程啟動了主機(jī)B的Telnet服務(wù)。如圖所示。如果再次點擊“開始執(zhí)行”按鈕，則會遠(yuǎn)程停止主機(jī)B的Telnet服務(wù)。實踐操作

返回下頁上頁3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁啟動主機(jī)B的Telnet服務(wù)后，在主機(jī)A上點擊“開始”菜單執(zhí)行“運行”命令，并在文本框中輸入“cmd”命令后點擊“確定”按鈕，打開“命令提示符”界面。輸入命令“telnet172.16.100.2”后回車，與主機(jī)B建立Telnet連接，如圖所示3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁此時系統(tǒng)詢問“是否將本機(jī)密碼信息送到遠(yuǎn)程計算機(jī)（y/n）”，輸入“n”后回車。如圖所示。系統(tǒng)要求輸入主機(jī)B的login（登陸用戶名）和password（密碼），這里分別輸入“abc”和“123”，密碼在輸入時沒有回顯，如圖所示。

上頁3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁此時與主機(jī)B的Telnet連接建立成功。此時的命令提示符變?yōu)椤癈:\DocumentsandSettings\abc>”。此時在該命令提示符后面輸入并執(zhí)行dos命令，相當(dāng)于在主機(jī)B中執(zhí)行同樣的操作。如輸入命令“dirc:\”，可以顯示出主機(jī)B的C盤根目錄中所有文件夾及文件信息，如圖所示。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁黑客可以利用telnet連接和dos命令，為遠(yuǎn)程主機(jī)建立新的用戶，并將新用戶升級為超級管理員的權(quán)限。如命令“netuseruser1123/add”的功能是為主機(jī)B建立新用戶“user1”，密碼為“123”，命令“netlocalgroupadministratorsuser1/add”的功能是將新建立的用戶“user1”加入到administrators（超級管理員組）內(nèi)，如圖所示。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁此時，在主機(jī)B上打開“控制面板”的“管理工具”，執(zhí)行“計算機(jī)管理”命令，查看“本地用戶和組”，可以發(fā)現(xiàn)增加了“user1”用戶，而且該用戶位于“administrators”組內(nèi)，如圖所示。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁黑客可以將新建立的管理用賬號作為后門，以便今后再次入侵該計算機(jī)。如果需要遠(yuǎn)程刪除該用戶，可以輸入命令“netuseruser1/del”。 如果需要斷開本次Telnet連接，可以輸入命令“exit”。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁⑵在目標(biāo)主機(jī)上執(zhí)行CMD命令：單擊“CMD命令”選項卡，打開遠(yuǎn)程執(zhí)行CMD命令功能。輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，在“CMD”文本框中輸入命令“shutdown-s-t60”，該命令可以將目標(biāo)主機(jī)倒計時60秒后關(guān)機(jī)，如圖所示。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁單擊“開始執(zhí)行”按鈕后，主機(jī)B會出現(xiàn)“系統(tǒng)關(guān)機(jī)”對話框，并且進(jìn)行60秒倒計時，60秒后主機(jī)B自動關(guān)機(jī)，如圖所示。如果想停止倒計時關(guān)機(jī)，可以點擊主機(jī)B的“開始菜單”，執(zhí)行“運行”命令，輸入“shutdown–a”后點擊“確定”按鈕。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁在“CMD命令”的“CMD”文本框中還可以輸入其他命令，如“netshareE$=E:\”，此時可以開啟遠(yuǎn)程主機(jī)的E盤共享，將該命令“E$”和“E：”中的“E”換成“C”、“D”、“F”等，即可開啟C盤，D盤，F(xiàn)盤等的共享，這種共享方式隱蔽性很高，而且是完全共享，在主機(jī)B中不會出現(xiàn)一只手托住盤的共享標(biāo)志。此時若在主機(jī)A的瀏覽器地址欄中輸入“\\172.16.100.2\E$”，即可進(jìn)入主機(jī)B的E盤，并可以做任意的復(fù)制和刪除等操作了。如圖所示。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁“netshare”命令的格式為：netshare共享資源名=需共享的路徑[/delete]利用該命令還可以共享指定的文件夾。如“netsharecsys=C:\windows\system32”命令可以共享目標(biāo)主機(jī)C盤的system32文件夾。在共享后的任務(wù)完成之后，需要關(guān)閉共享。如在“CMD”文本框中輸入“netshareE$/del”命令，可以關(guān)閉目標(biāo)主機(jī)的E盤共享。⑶遠(yuǎn)程清除目標(biāo)主機(jī)的日志：單擊“日志”選項卡，打開遠(yuǎn)程清除目標(biāo)主機(jī)所有日志的功能。輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，單擊“開始執(zhí)行”按鈕，可以完成清除日志的操作，如圖下頁所示。一般來說，在黑客攻擊目標(biāo)主機(jī)之后，都會清除目標(biāo)主機(jī)的所有日志，使得攻擊的過程不留任何痕跡。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁遠(yuǎn)程清除目標(biāo)主機(jī)的日志

3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁⑷遠(yuǎn)程將目標(biāo)主機(jī)重新啟動：單擊“重啟”選項卡，打開遠(yuǎn)程重啟目標(biāo)主機(jī)的功能。輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，單擊“開始執(zhí)行”按鈕，即可完成在遠(yuǎn)程將目標(biāo)主機(jī)重新啟動的操作。⑸遠(yuǎn)程控制目標(biāo)主機(jī)進(jìn)程：單擊“進(jìn)程”選項卡，打開遠(yuǎn)程控制目標(biāo)主機(jī)進(jìn)程的功能。輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，在進(jìn)程列表處單擊鼠標(biāo)右鍵，選擇“獲取進(jìn)程信息”命令，可以顯示主機(jī)B目前正在運行的所有進(jìn)程，如圖所示。如要關(guān)閉其中的某個進(jìn)程，可以用鼠標(biāo)右鍵單擊該進(jìn)程，選擇“關(guān)閉進(jìn)程”命令。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁遠(yuǎn)程控制目標(biāo)主機(jī)的進(jìn)程圖

3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁可以選擇關(guān)閉進(jìn)程“explorer.exe”，這個進(jìn)程主要負(fù)責(zé)顯示操作系統(tǒng)桌面上的圖標(biāo)以及任務(wù)欄，關(guān)閉該進(jìn)程后，主機(jī)B的桌面上除了壁紙(活動桌面ActiveDesktop的壁紙除外)，所有圖標(biāo)和任務(wù)欄都消失了。如要恢復(fù)主機(jī)B的原有狀態(tài)，可在主機(jī)B按下Ctrl+Alt+Del組合鍵，打開“Windows任務(wù)管理器”，選擇“應(yīng)用程序”選項卡，點擊“新任務(wù)”按鈕，在“創(chuàng)建新任務(wù)”對話框中點擊“瀏覽”按鈕，選擇系統(tǒng)盤C盤Windows文件夾中的“explorer.exe”文件，點擊“確定”按鈕，重新建立“explorer.exe”進(jìn)程，如圖所示3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁重新執(zhí)行“explorer.exe”進(jìn)程3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁⑹遠(yuǎn)程控制目標(biāo)主機(jī)的服務(wù)：單擊“服務(wù)”選項卡，打開遠(yuǎn)程查看、啟動和停止目標(biāo)主機(jī)服務(wù)的功能。輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，在服務(wù)列表處單擊鼠標(biāo)右鍵，選擇“獲取服務(wù)信息”命令，可以顯示主機(jī)B的所有服務(wù)名、當(dāng)前狀態(tài)和啟動類型等信息，如圖下頁圖所示。其中“狀態(tài)”列中，“Running”表示該服務(wù)已經(jīng)啟動，“Stopped”表示該服務(wù)已經(jīng)停止。“啟動類型”列中，“Auto”表示自動啟動，“Manual”表示手動啟動，“Disabled”表示已禁用?？梢杂檬髽?biāo)右鍵選擇某個服務(wù)，選擇“啟動/停止服務(wù)”命令，改變所選服務(wù)的當(dāng)前狀態(tài)。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁遠(yuǎn)程控制目標(biāo)主機(jī)的服務(wù)

3．利用Rectonv2.5入侵主機(jī)B⑺控制目標(biāo)主機(jī)共享：單擊“共享”選項卡，打開遠(yuǎn)程控制目標(biāo)主機(jī)共享的功能。輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，在共享列表中單擊鼠標(biāo)右鍵，選擇“獲取共享信息”命令，可以查看目標(biāo)主機(jī)當(dāng)前所有的共享信息，如圖所示。實踐操作

返回下頁上頁3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁⑻向目標(biāo)主機(jī)種植木馬：單擊“種植者”選項卡，打開向目標(biāo)主機(jī)種植木馬（可執(zhí)行程序）的功能。輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼。選擇“IPC上傳”模式，點擊“本地文件”文本框后的按鈕，選擇要種植的木馬程序，該程序必須為可執(zhí)行文件。選擇已經(jīng)在目標(biāo)主機(jī)上建立的共享目錄名和其相對應(yīng)共享路徑，在“啟動參數(shù)”文本框中設(shè)置木馬程序啟動時需要的參數(shù)，如圖所示。單擊“開始種植”按鈕后，所選擇的木馬程序文件被復(fù)制到目標(biāo)主機(jī)的共享目錄中，Recton程序還將進(jìn)行倒計時，60秒后啟動已經(jīng)種植在目標(biāo)主機(jī)中的木馬程序。3．利用Rectonv2.5入侵主機(jī)B實踐操作

返回下頁上頁向目標(biāo)主機(jī)種植木馬4．利用DameWare監(jiān)控主機(jī)B實踐操作

返回下頁上頁將DameWare迷你中文版4.5安裝到主機(jī)A中。安裝結(jié)束后，執(zhí)行新安裝的“DameWareMiniRemoteControl”程序，打開DameWare迷你中文版4.5。啟動DameWare迷你遠(yuǎn)程控制軟件后，首先會彈出“遠(yuǎn)程連接”對話框，如圖所示。在“主機(jī)”文本框中填寫主機(jī)B的IP地址，“類型”選擇“加密的Windows登錄”，“用戶”和“口令”文本框中輸入主機(jī)B的用戶名和口令。4．利用DameWare監(jiān)控主機(jī)B實踐操作

返回下頁上頁在遠(yuǎn)程連接之前應(yīng)先進(jìn)行設(shè)置。單擊“設(shè)置”按鈕，打開“172.16.100.2屬性”對話框，選擇其中的“服務(wù)安裝選項”選項卡，如圖所示。4.利用DameWare監(jiān)控主機(jī)B單擊該選項卡中的“編輯”按鈕，打開“DameWareMiniRemoteControlProperties”對話框，在其中的“通知對話框”中去除“連接時通知”的勾選，在“附加設(shè)置”中的所有選項都不選擇，這樣設(shè)置的目的是在連接并監(jiān)控目標(biāo)主機(jī)時不被其使用者發(fā)現(xiàn)。實踐操作

返回下頁上頁所有設(shè)置結(jié)束之后，點擊“確定”按鈕完成，回到“遠(yuǎn)程連接”對話框，單擊“連接”按鈕進(jìn)行遠(yuǎn)程連接。在第一次連接主機(jī)B時，DameWare迷你遠(yuǎn)程控制軟件會打開“服務(wù)端安裝”對話框，提示啟動主機(jī)B的相關(guān)服務(wù)，并向主機(jī)B復(fù)制配置文件，如圖所示4.利用DameWare監(jiān)控主機(jī)B在“計算機(jī)名”列表中選擇主機(jī)B的IP地址，并選中“設(shè)置服務(wù)啟動類型為手動”和“復(fù)制配置文件DWRCS.INI”兩個復(fù)選框后，點擊“確定”按鈕，完成服務(wù)配置和文件復(fù)制的過程。此時，在DameWare迷你遠(yuǎn)程控制軟件窗口中，會顯示出主機(jī)B的當(dāng)前桌面，并且同步顯示主機(jī)B的所有操作，實現(xiàn)監(jiān)視目標(biāo)主機(jī)B的目的。如果想控制主機(jī)B，可以點擊DameWare迷你遠(yuǎn)程控制軟件的“視圖查看”菜單，勾選掉“僅監(jiān)控”命令前面的“√”，此時在主機(jī)A上可以實現(xiàn)控制主機(jī)B的功能，黑客可以像控制自己的計算機(jī)一樣在遠(yuǎn)程主機(jī)上執(zhí)行任何操作?！胺?wù)端安裝”對話框?qū)嵺`操作

返回下頁上頁問題探究

問題探究返回下頁上頁1.什么是黑客2.黑客常用的攻擊方法3.黑客實施網(wǎng)絡(luò)攻擊的一般步驟則4.如何防范黑客攻擊1.什么是黑客提起黑客，總是那么神秘莫測。在人們眼中，黑客是一群聰明絕頂，精力旺盛的年輕人，一門心思地破譯各種密碼，以便偷偷地、未經(jīng)允許地打入政府、企業(yè)或他人的計算機(jī)系統(tǒng)，窺視他人的隱私。黑客一詞，源于英文Hacker，原指熱心于電腦技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計人員。在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識?！庇蛇@些定義中，我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)?！昂诳汀蹦苁垢嗟木W(wǎng)絡(luò)趨于完善和安全，他們以保護(hù)網(wǎng)絡(luò)為目的，而以不正當(dāng)侵入為手段找出網(wǎng)絡(luò)漏洞。問題探究

返回下頁上頁1.什么是黑客另一種入侵者是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人。他們往往做一些重復(fù)的工作（如用暴力法破解口令），他們也具備廣泛的電腦知識，但與黑客不同的是他們以破壞為目的。這些群體被稱為“駭客”。黑客起源于50年代麻省理工學(xué)院的實驗室中，他們精力充沛，熱衷于解決難題。60、70年代，“黑客”一詞極富褒義，用于指代那些獨立思考、奉公守法的計算機(jī)迷，他們智力超群，對電腦全身心投入，從事黑客活動意味著對計算機(jī)的最大潛力進(jìn)行智力上的自由探索，為電腦技術(shù)的發(fā)展做出了巨大貢獻(xiàn)。正是這些黑客，倡導(dǎo)了一場個人計算機(jī)革命，倡導(dǎo)了現(xiàn)行的計算機(jī)開放式體系結(jié)構(gòu)，打破了以往計算機(jī)技術(shù)只掌握在少數(shù)人手里的局面，開了個人計算機(jī)的先河，提出了“計算機(jī)為人民所用”的觀點，他們是電腦發(fā)展史上的英雄。現(xiàn)在黑客使用問題探究

返回下頁上頁1.什么是黑客的侵入計算機(jī)系統(tǒng)的基本技巧，例如破解口令（passwordcracking），開天窗（trapdoor），走后門（backdoor），安放特洛伊木馬（Trojanhorse）等，都是在這一時期發(fā)明的。從事黑客活動的經(jīng)歷，成為后來許多計算機(jī)業(yè)巨子簡歷上不可或缺的一部分。例如，蘋果公司創(chuàng)始人之一喬布斯就是一個典型的例子。問題探究

返回下頁上頁2．黑客常用的攻擊方法⑴口令入侵⑵木馬程序入侵⑶Web欺騙技術(shù)⑷E-mail攻擊⑸網(wǎng)絡(luò)監(jiān)聽⑹尋找系統(tǒng)漏洞問題探究

返回下頁上頁3．黑客實施網(wǎng)絡(luò)攻擊的一般步驟（1）收集信息（2）獲取帳號和密碼，登錄主機(jī)（3）留下后門程序（4）竊取網(wǎng)絡(luò)資源和特權(quán)（5）清理日志問題探究

返回下頁上頁4．如何防范黑客攻擊（1）經(jīng)常更新操作系統(tǒng)（2）設(shè)置管理員帳戶（3）關(guān)閉不必要的端口（4）及時備份重要數(shù)據(jù)：（5）安裝必要的安全軟件返回問題探究

下頁上頁知識拓展

知識拓展目前網(wǎng)上流行的黑客工具軟件非常多，如果將這些軟件用于正途，它們可以成為我們檢驗網(wǎng)絡(luò)環(huán)境是否安全的非常好的工具。如X-scanv3.2，如圖所示。返回下頁上頁知識拓展

知識拓展軟件使用說明：1．操作系統(tǒng)要求：WindowsNT/2000/XP/2003該軟件理論上可運行于WindowsNT系列操作系統(tǒng)，推薦運行于Windows2000以上的Server版Windows系統(tǒng)。2．功能簡介：X-scanv3.2采用多線程方式對指定IP地址段(或單機(jī))進(jìn)行安全漏洞檢測，支持插件功能。掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個大類。對于多數(shù)已知漏洞，給出了相應(yīng)的漏洞描述、解決方案及詳細(xì)描述鏈接。返回下頁上頁知識拓展

知識拓展3．軟件所含文件描述：如表所示。返回下頁上頁文件名功能xscan_gui.exeX-Scan圖形界面主程序checkhost.dat插件調(diào)度主程序update.exe在線升級主程序*.dll主程序所需動態(tài)鏈接庫/dat/language.ini多語言配置文件，可通過設(shè)置“Language”菜單項進(jìn)行語言切換/dat/language.*多語言數(shù)據(jù)文件/dat/config.ini當(dāng)前配置文件，用于保存當(dāng)前使用的所有設(shè)置/dat/*.cfg用戶自定義配置文件/dat/*.dic用戶名/密碼字典文件，用于檢測弱口令用戶/plugins用于存放所有插件(后綴名為.xpn)/scripts用于存放所有攻擊測試腳本(后綴名為.nasl)/scripts/desc用于存放所有攻擊測試腳本多語言描述(后綴名為.desc)/scripts/cache用于緩存所有攻擊測試腳本信息，以便加快掃描速度知識拓展

知識拓展4．掃描參數(shù)設(shè)置：在進(jìn)行漏洞掃描之前，應(yīng)先選擇“設(shè)置”菜單，執(zhí)行“掃描參數(shù)”命令，打開“掃描參數(shù)”對話框，進(jìn)行參數(shù)設(shè)置。（1）“檢測范圍”模塊“指定IP范圍”：可以輸入獨立IP地址或域名，也可輸入以“-”和“,”分隔的IP范圍，如“172.16.0.1,172.16.1.10-172.16.1.254”?！皬奈募蝎@取主機(jī)列表”：選中該復(fù)選框?qū)奈募凶x取待檢測主機(jī)地址，文件格式應(yīng)為純文本，每一行可包含一個獨立IP或域名，也可包含以“-”和“,”分隔的IP范圍。（2）“全局設(shè)置”模塊：“掃描模塊”項：選擇本次掃描需要加載的插件?！安l(fā)掃描”項：設(shè)置并發(fā)掃描的主機(jī)和并發(fā)線程數(shù)，也可以單獨為每個主機(jī)的各個插件設(shè)置最大線程數(shù)?！熬W(wǎng)絡(luò)設(shè)置”項：設(shè)置適合的網(wǎng)絡(luò)適配器。返回下頁上頁知識拓展

知識拓展“掃描報告”項：掃描結(jié)束后生成的報告文件名，保存在LOG目錄下。掃描報告支持TXT、HTML和XML三種格式。“其他設(shè)置”項：是否跳過無響應(yīng)的主機(jī)等設(shè)置。（3）“插件設(shè)置”模塊：該模塊包含針對各個插件的單獨設(shè)置，如“端口掃描”插件的端口范圍設(shè)置、各弱口令插件的用戶名