計(jì)算機(jī)與網(wǎng)絡(luò)安全基礎(chǔ)

計(jì)算機(jī)與網(wǎng)絡(luò)安全基礎(chǔ)任課教師和其它信息《計(jì)算機(jī)與網(wǎng)絡(luò)安全基礎(chǔ)》課程內(nèi)容第1章計(jì)算機(jī)、黑客和網(wǎng)絡(luò)安全第2章計(jì)算機(jī)病毒第3章漏洞掃描第4章網(wǎng)絡(luò)嗅探第5章特洛伊木馬第6章DoS與DDoS第7章密碼保護(hù)第8章網(wǎng)絡(luò)應(yīng)用攻防與防范第9章無(wú)線局域網(wǎng)安全分析第10章個(gè)人計(jì)算機(jī)安全管理2第1章計(jì)算機(jī)、黑客和網(wǎng)絡(luò)安全本章目標(biāo)了解計(jì)算機(jī)和網(wǎng)絡(luò)安全知識(shí)了解黑客的發(fā)展歷史了解黑客的攻擊手段樹立安全意識(shí)，掌握必備的防護(hù)知識(shí)41.1無(wú)所不在的“安全”問(wèn)題

作為一名從事信息技術(shù)相關(guān)的人員，無(wú)論你的工作性質(zhì)如何，銷售、文員、技術(shù)支持、網(wǎng)絡(luò)管理員、網(wǎng)站推廣人員，還是開發(fā)工程師、硬件工程師，都必需要全面了解計(jì)算機(jī)和信息安全概念，樹立完整的計(jì)算機(jī)和網(wǎng)絡(luò)安全意識(shí)，并掌握必要的安全管理、安全攻防技術(shù)。因?yàn)樵诂F(xiàn)代社會(huì)，面對(duì)無(wú)所不在的安全問(wèn)題，如果不能保護(hù)好自己的計(jì)算機(jī)，管理好自己的信息資料，幾乎無(wú)法開展工作！只有全面掌握本課程的必要知識(shí)，才能管理好自己的信息文件，用好自己每天都離不開的兩大上班工具：計(jì)算機(jī)和互聯(lián)網(wǎng)。51.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的特征網(wǎng)絡(luò)安全天生脆弱黑客攻擊后果嚴(yán)重網(wǎng)絡(luò)殺手集團(tuán)化破壞手段多元化61.1.2計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的分析社會(huì)原因技術(shù)原因管理原因71.1.3網(wǎng)絡(luò)安全問(wèn)題的復(fù)雜性P2P安全問(wèn)題復(fù)雜性分析垃圾郵件治理復(fù)雜性分析81.1.4計(jì)算機(jī)網(wǎng)絡(luò)的安全防范措施提高思想認(rèn)識(shí)加強(qiáng)管理制度強(qiáng)化防范措施91.2黑客和黑客文化1.2.1什么是黑客

黑客一詞，源于英文單詞“hacker”，是指一些熱衷于計(jì)算機(jī)軟件和網(wǎng)絡(luò)技術(shù)的人。這些人為計(jì)算機(jī)和網(wǎng)絡(luò)世界而瘋狂，對(duì)于任何有趣的PC問(wèn)題都會(huì)去研究。黑客通常具有硬件和軟件的高級(jí)知識(shí)，他們以保護(hù)網(wǎng)絡(luò)安全為目的，查找網(wǎng)絡(luò)漏洞，修改軟件BUG。他們的精神是一般人領(lǐng)悟不到的。101.2.2黑客文化的發(fā)展六十年代重大事件第一個(gè)計(jì)算機(jī)游戲軟件誕生最早的電子公告牌誕生出現(xiàn)最原始的攻擊技術(shù)Unix和互聯(lián)網(wǎng)同年誕生七十年代重大事件黑客發(fā)展史上的第一個(gè)高潮E-mail和郵件列表的出現(xiàn)第一臺(tái)蘋果機(jī)誕生第一個(gè)BBS誕生震驚世界的駭客入侵八十年代重大事件阿帕網(wǎng)由于感染病毒而徹底癱瘓著名黑客獲得計(jì)算機(jī)界最高獎(jiǎng)第一起計(jì)算機(jī)間諜案11九十年代重大事件linux操作系統(tǒng)誕生Netscape瀏覽器問(wèn)世第一起網(wǎng)上銀行劫案“互聯(lián)網(wǎng)之父”獲得美國(guó)技術(shù)勛章駭客攻擊微軟的郵件系統(tǒng)二十一世紀(jì)重大事件愛蟲病毒在全球傳播微軟又一次被駭客入侵雅虎等知名網(wǎng)站被駭客攻擊中國(guó)黑客的起源與發(fā)展121.2.3傳奇黑客13Linux奠基人李納斯·托瓦茲是Linux內(nèi)核的發(fā)明人。他利用個(gè)人的時(shí)間和機(jī)器設(shè)備創(chuàng)造出了當(dāng)今全球最流行的操作系統(tǒng)內(nèi)核之一，使自由軟件從產(chǎn)業(yè)思想運(yùn)動(dòng)演變成為市場(chǎng)商業(yè)運(yùn)動(dòng)，從此改變了軟件行業(yè)乃至IT產(chǎn)業(yè)的面貌。Linux并不是一件刻意創(chuàng)造的杰作，而完全是日積月累的結(jié)果。它是經(jīng)驗(yàn)、創(chuàng)意和一小塊一小塊代碼的合成體，是不斷的積累使其形成了一個(gè)有機(jī)的整體。Linux初期的許多編程工作是托瓦茲在SindairQL機(jī)器上完成的，這臺(tái)機(jī)器花掉了他2000多美元，對(duì)他來(lái)說(shuō)這可是一筆巨額投資。14嘎吱上尉1943年出生于美國(guó)鄉(xiāng)村的德拉浦，從小就表現(xiàn)出了極強(qiáng)的反叛性格，這樣的性格決定了日后他那特立獨(dú)行的駭客面目。不過(guò)盡管他的個(gè)性孤辟，但是他卻擁有了一個(gè)異常發(fā)達(dá)的大腦，這使他常?？梢员葎e人更快地獲得新的知識(shí)。上世紀(jì)60年代初期，德拉浦開始接觸到計(jì)算機(jī)這個(gè)新生的事物，盡管當(dāng)時(shí)的計(jì)算機(jī)還只是個(gè)龐大、繁雜、呆板的家伙，但是這已經(jīng)足以令德拉浦迷戀得如癡如醉了。15迷失在網(wǎng)絡(luò)世界的小男孩凱文·米特尼克是第一個(gè)在美國(guó)聯(lián)邦調(diào)查局通緝海報(bào)上露面的黑客。由于當(dāng)時(shí)的他只有十幾歲，因此被稱為是“迷失在網(wǎng)絡(luò)世界的小男孩”。16蠕蟲病毒的創(chuàng)始人羅伯特·莫里斯，這位美國(guó)國(guó)家計(jì)算機(jī)安全中心首席科學(xué)家的兒子，康奈爾大學(xué)的高材生，在1988年的第一次工作過(guò)程中戲劇性地散播了有史以來(lái)的第一條網(wǎng)絡(luò)蠕蟲病毒。在這次事故中，成千上萬(wàn)臺(tái)電腦受到了影響，并導(dǎo)致了部分電腦崩潰。171.3黑客的能力1.3.1黑客常用的攻擊手段1.3.2用戶必備的防護(hù)意識(shí)和措施181.3.1黑客常用的攻擊手段黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。下面為大家介紹8種黑客常用的攻擊手段。19漏洞掃描網(wǎng)絡(luò)嗅探計(jì)算機(jī)病毒特洛伊木馬DoS和DDoS密碼恢復(fù)和破解網(wǎng)絡(luò)應(yīng)用攻擊無(wú)線攻擊201.3.2用戶必備的防護(hù)意識(shí)和措施為了加強(qiáng)網(wǎng)絡(luò)安全，用戶必須具備相應(yīng)的防護(hù)意識(shí)和采用各種可能的措施。下面介紹一些較為常用的防護(hù)方法和措施。提高安全意識(shí)安裝防病毒軟件并及時(shí)升級(jí)安裝個(gè)人防火墻定期進(jìn)行漏洞掃描及時(shí)升級(jí)操作系統(tǒng)211.4計(jì)算機(jī)和網(wǎng)絡(luò)安全認(rèn)識(shí)的誤區(qū)1.誤區(qū)一 電腦安全問(wèn)題就是如何查殺電腦病毒。以往的“尼姆達(dá)”、“紅色代碼”，如今的“求職信”等病毒的發(fā)作給全球計(jì)算機(jī)系統(tǒng)造成巨大損失，令人們談“毒”色變。但電腦病毒遠(yuǎn)非PC安全課題的全部，它更包括了軟件漏洞、非法操作、文件誤刪除、系統(tǒng)物理故障等多方面的問(wèn)題?，F(xiàn)有的殺毒軟件還不足以從根本上解決這些計(jì)算機(jī)安全的問(wèn)題。2.誤區(qū)二病毒制造者是造成計(jì)算機(jī)安全問(wèn)題的主要原因。病毒制造、傳播者固然令人痛恨，但而造成病毒危害愈演愈烈的根本原因就是軟件自身的各種漏洞不斷被破壞和利用。去年給全球帶來(lái)超過(guò)30億美元損失的“紅色代碼”病毒，就是利用了微軟ISS網(wǎng)絡(luò)服務(wù)器軟件的一個(gè)漏洞大肆進(jìn)行攻擊和破壞。我國(guó)著名的信息安全專家、中國(guó)工程院院士沈昌祥指出，軟件漏洞是一切信息安全問(wèn)題的根源。即使沒(méi)有病毒的攻擊，它也可能給計(jì)算機(jī)的應(yīng)用帶來(lái)巨大的隱患和危險(xiǎn)。223.誤區(qū)三 對(duì)待電腦病毒的關(guān)鍵是“殺”。對(duì)于電腦病毒，很多人都有一種深惡痛絕的感覺，恨不能把它們通通殺光。但實(shí)際上這種方式并不足取，因?yàn)闅⒍拒浖苡锌赡芰驾环?，把本?lái)合法的軟件也當(dāng)作病毒一刀“喀嚓”了，這就很容易造成數(shù)據(jù)的丟失和損毀。因此，對(duì)待電腦病毒應(yīng)當(dāng)是以“防”為主。4.誤區(qū)四文件被刪除后就不可恢復(fù)。不少人以為被刪除的文件從“回收站”徹底清空后就永遠(yuǎn)消失，從而放棄了因誤刪除數(shù)據(jù)和文件后重新恢復(fù)的努力。事實(shí)上，一些全新技術(shù)，如全息技術(shù)在信息安全領(lǐng)域的運(yùn)用，使得恢復(fù)被刪除、損壞的數(shù)據(jù)成為可能。5.誤區(qū)五殺毒軟件的定位就是“電腦醫(yī)生”。目前絕大多數(shù)的殺毒軟件都在扮演“事后諸葛亮”的角色，即電腦被病毒感染后殺毒軟件才忙不迭地去發(fā)現(xiàn)、分析、治療。這種被動(dòng)防御的消極模式遠(yuǎn)遠(yuǎn)不能徹底解決計(jì)算機(jī)安全的問(wèn)題。安全軟件應(yīng)該是立足于拒病毒于PC門外的“健康專家”。236.誤區(qū)六 在內(nèi)部網(wǎng)上共享的文件是安全的。其實(shí)，你在共享文件的同時(shí)就會(huì)有軟件漏洞呈現(xiàn)在互聯(lián)網(wǎng)的不速之客面前，公眾以及您的對(duì)手將可以自由地訪問(wèn)您的那些文件，并很有可能被有惡意的人利用和攻擊。因此共享文件應(yīng)該設(shè)置密碼，一旦不需要共享時(shí)立即關(guān)閉。7.誤區(qū)七面對(duì)新病毒的紛紛涌現(xiàn)必須頻繁升級(jí)你的殺毒軟件?，F(xiàn)在新病毒的出現(xiàn)可謂層出不窮，因此電腦上的安裝的殺毒軟件由過(guò)去每年升級(jí)一次變成每月升級(jí)幾次，甚至可能是天天升級(jí)。這樣的結(jié)果毫無(wú)疑問(wèn)就是花更多的錢和精力去和病毒“賽跑”，也使自己的硬盤和系統(tǒng)資源被越來(lái)越多地占用。電腦用戶已經(jīng)厭倦了這種枯燥乏味的重復(fù)勞動(dòng)以及對(duì)新病毒無(wú)邊的恐懼。這種無(wú)休止的“道高一尺，魔高一丈”的升級(jí)大戰(zhàn)，也意味著原有的殺毒軟件技術(shù)理念已經(jīng)走到了盡頭。真正具有領(lǐng)先的反病毒技術(shù)的安全軟件是無(wú)需頻繁升級(jí)的，省錢、省力又省時(shí)。24本章總結(jié)25了解計(jì)算機(jī)和網(wǎng)絡(luò)安全知識(shí)了解黑客的發(fā)展歷史了解黑客的攻擊手段樹立安全意識(shí)，掌握必備的防護(hù)知識(shí)第2章計(jì)算機(jī)病毒本章目標(biāo)了解計(jì)算機(jī)病毒的概念和特性了解計(jì)算機(jī)病毒的歷史及發(fā)展趨勢(shì)了解計(jì)算機(jī)病毒的種類熟悉蠕蟲及其他計(jì)算機(jī)病毒的特征和危害掌握計(jì)算機(jī)病毒防范的總體措施掌握常見單機(jī)版防病毒軟件的安裝和使用掌握常見網(wǎng)絡(luò)防病毒系統(tǒng)的部署掌握計(jì)算機(jī)病毒的定位和清除方法272.1計(jì)算機(jī)病毒概述2.1.1什么是計(jì)算機(jī)病毒2.1.2計(jì)算機(jī)病毒的發(fā)展2.1.3計(jì)算機(jī)病毒的種類2.1.4計(jì)算機(jī)病毒的危害282.1.1什么是計(jì)算機(jī)病毒計(jì)算機(jī)病毒是指那些具有自我復(fù)制能力的計(jì)算機(jī)程序，它能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確與完整29病毒的定義計(jì)算機(jī)病毒(ComputerVirus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。30計(jì)算機(jī)病毒的產(chǎn)生病毒不是來(lái)源于突發(fā)或偶然的原因．一次突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無(wú)序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來(lái)，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來(lái)，病毒不會(huì)通過(guò)偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的31計(jì)算機(jī)病毒的特點(diǎn)寄生性。計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺的。傳染性。計(jì)算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。潛伏性。有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。隱蔽性。計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過(guò)病毒軟件檢查出來(lái)，有的根本就查不出來(lái)，有的時(shí)隱時(shí)現(xiàn)、變化無(wú)常，這類病毒處理起來(lái)通常很困難。破壞性。計(jì)算機(jī)中毒后，可能會(huì)導(dǎo)致正常的程序無(wú)法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。計(jì)算機(jī)病毒的可觸發(fā)性。病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。32計(jì)算機(jī)病毒的傳染途徑通過(guò)軟盤通過(guò)硬盤通過(guò)光盤通過(guò)網(wǎng)絡(luò)33計(jì)算機(jī)病毒主要癥狀由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來(lái),磁盤壞簇莫名其妙地增多。由于病毒程序附加在可執(zhí)行程序頭尾或插在中間,使可執(zhí)行程序容量增大。由于病毒程序把自己的某個(gè)特殊標(biāo)志作為標(biāo)簽,使接觸到的磁盤出現(xiàn)特別標(biāo)簽。由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間,使可用系統(tǒng)空間變小。由于病毒程序的異?；顒?dòng),造成異常的磁盤訪問(wèn)。由于病毒程序附加或占用引導(dǎo)部分,使系統(tǒng)導(dǎo)引變慢。丟失數(shù)據(jù)和程序34中斷向量發(fā)生變化。打印出現(xiàn)問(wèn)題。死機(jī)現(xiàn)象增多。生成不可見的表格文件或特定文件。系統(tǒng)出現(xiàn)異常動(dòng)作,例如：突然死機(jī),又在無(wú)任何外界介入下,自行起動(dòng)。出現(xiàn)一些無(wú)意義的畫面問(wèn)候語(yǔ)等顯示。程序運(yùn)行出現(xiàn)異?，F(xiàn)象或不合理的結(jié)果。磁盤的卷標(biāo)名發(fā)生變化。系統(tǒng)不認(rèn)識(shí)磁盤或硬盤不能引導(dǎo)系統(tǒng)等。在系統(tǒng)內(nèi)裝有漢字庫(kù)且漢字庫(kù)正常的情況下不能調(diào)用漢字庫(kù)或不能打印漢字。在使用寫保護(hù)的軟盤時(shí)屏幕上出現(xiàn)軟盤寫保護(hù)的提示。異常要求用戶輸入口令。352.1.2計(jì)算機(jī)病毒的發(fā)展計(jì)算機(jī)病毒簡(jiǎn)史計(jì)算機(jī)病毒發(fā)展趨勢(shì)362.1.3計(jì)算機(jī)病毒的種類按照計(jì)算機(jī)病毒的載體進(jìn)行分類計(jì)算機(jī)病毒按照載體不同，可以劃分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)型病毒按照計(jì)算機(jī)病毒傳染的方法進(jìn)行分類計(jì)算機(jī)病毒按照傳染的方法的不同，可以劃分為駐留型病毒和非駐留型病毒按照計(jì)算機(jī)病毒特有的算法進(jìn)行分類計(jì)算機(jī)病毒按照特有算法的不同，可以劃分為伴隨型病毒、蠕蟲型病毒、寄生型病毒和變型病毒其它分類

372.1.4計(jì)算機(jī)病毒的危害計(jì)算機(jī)病毒的破壞行為體現(xiàn)了病毒的危害性。目前，計(jì)算機(jī)病毒數(shù)以萬(wàn)計(jì)，并不斷發(fā)展擴(kuò)張，其破壞行為也是千奇百怪。382.2典型計(jì)算機(jī)病毒2.2.1蠕蟲病毒2.2.2CIH2.2.3尼姆達(dá)（Nimda）2.2.4沖擊波（Msblaster）2.2.5震蕩波（Sasser）2.2.6射線（Rays）392.2.1蠕蟲病毒蠕蟲（Worm）病毒是指通過(guò)分布式網(wǎng)絡(luò)來(lái)擴(kuò)散特定的信息或錯(cuò)誤、進(jìn)而造成網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)器響應(yīng)緩慢甚至癱瘓的病毒。在網(wǎng)絡(luò)環(huán)境中，蠕蟲病毒具有一些新的特性傳染方式多傳播速度快清除難度大破壞性強(qiáng)40蠕蟲是怎么發(fā)作的？如何采取有效措施防范蠕蟲？利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊傳播方式多樣病毒制作技術(shù)新與黑客技術(shù)相結(jié)合，潛在的威脅和損失更大對(duì)個(gè)人用戶產(chǎn)生直接威脅的蠕蟲病毒個(gè)人用戶對(duì)蠕蟲病毒的防范措施選購(gòu)合適的殺毒軟件經(jīng)常升級(jí)病毒庫(kù)提高防殺毒意識(shí)不隨意查看陌生郵件41蠕蟲病毒與一般病毒的異同蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”，例如，windows下可執(zhí)行文件的格式為pe格式(PortableExecutable)，當(dāng)需要感染pe文件時(shí)，在宿主程序中，建立一個(gè)新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候，就可以先執(zhí)行病毒程序，病毒程序運(yùn)行完之后，在把控制權(quán)交給宿主原來(lái)的程序指令?？梢?，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤等方式。422.2.2CIHCIH病毒簡(jiǎn)介CIH病毒由中國(guó)臺(tái)灣的大學(xué)生陳盈豪編寫，并從臺(tái)灣傳入大陸地區(qū)。CIH以熱門盜版光盤游戲如“古墓奇兵”或Windows95/98為介質(zhì)，經(jīng)各網(wǎng)站互相轉(zhuǎn)載，使其迅速傳播。目前傳播的主要途徑主要通過(guò)Internet和電子郵件，也經(jīng)常通過(guò)軟盤或光盤進(jìn)行傳播。43CIH病毒的發(fā)展歷程CIH病毒v1.0版本CIH病毒v1.1版本CIH病毒v1.2版本CIH病毒v1.3版本CIH病毒v1.4版本44感染CIH病毒的特征由于流行的CIH病毒版本中，其標(biāo)識(shí)版本號(hào)的信息使用的是明文，所以可以通過(guò)搜索可執(zhí)行文件中的字符串來(lái)識(shí)別是否感染了CIH病毒，搜索的特征串為“CIHv”或者是“CIHv1.”如果你想搜索更完全的特征字符串，可嘗試“CIHv1.2TTIT”、“CIHv1.3TTIT”以及“CIHv1.4TATUNG”，不要直接搜索“CIH”特征串，因?yàn)榇颂卣鞔诤芏嗟恼３绦蛑幸泊嬖?5CIH破壞作用主要表現(xiàn)在從硬盤主引導(dǎo)區(qū)開始依次往硬盤寫入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)全部破壞為止這種病毒對(duì)系統(tǒng)最大的殺手力在于對(duì)系統(tǒng)主板BIOS的破壞病毒發(fā)作之后拯救硬盤數(shù)據(jù)修復(fù)BIOS芯片462.2.3尼姆達(dá)（Nimda）“尼姆達(dá)”病毒2001年9月18日在全球蔓延，是一個(gè)傳播性非常強(qiáng)的黑客病毒。它以郵件傳播、主動(dòng)攻擊服務(wù)器、即時(shí)通訊工具傳播、FTP協(xié)議傳播、網(wǎng)頁(yè)瀏覽傳播為主要的傳播手段。它能夠通過(guò)多種傳播渠道進(jìn)行傳染，傳染性極強(qiáng)。對(duì)于個(gè)人用戶的PC機(jī)，“尼姆達(dá)”可以通過(guò)郵件、網(wǎng)上即時(shí)通訊工具和“FTP程序”同時(shí)進(jìn)行傳染；對(duì)于服務(wù)器，“尼姆達(dá)”則采用和“紅色代碼”病毒相似的途徑，即攻擊微軟服務(wù)器程序的漏洞進(jìn)行傳播。47它主要感染運(yùn)行Windows95/98/NT/2000的客戶端和服務(wù)器。它通過(guò)E-mail、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播，同時(shí)，它也是一個(gè)感染本地文件的新型病毒。Nimda運(yùn)行時(shí)，會(huì)執(zhí)行下列操作：搜索本地硬盤中Windows地址薄中的郵件地址，并向這些地址發(fā)送攜帶Nimda病毒的郵件。Nimda用其自帶的SMTP服務(wù)器向外發(fā)送郵件，同時(shí)用已經(jīng)配置好的DNS獲得一個(gè)郵件服務(wù)器的地址搜索網(wǎng)絡(luò)共享資源，并試圖將攜帶Nimda病毒的郵件放入別人的共享目錄中攻擊隨機(jī)的IP地址，如果是IIS服務(wù)器，并且未安裝補(bǔ)丁，就會(huì)感染該服務(wù)器。查找本地的HTM和ASP文件，將生成的攜帶Nimda病毒郵件植入這些文件中。在被感染的系統(tǒng)中共享所有本地硬盤。以超級(jí)管理員的權(quán)限建立一個(gè)Guest的訪問(wèn)賬號(hào)，以允許別人進(jìn)入本地的系統(tǒng)。改變Explorer的設(shè)置，讓系統(tǒng)無(wú)法顯示隱藏文件和已知文件的擴(kuò)展名482.2.4沖擊波（Msblaster）沖擊波是一種蠕蟲病毒，它利用Windows系統(tǒng)的RPC漏洞進(jìn)行快速傳播，波及WindowsNT4.0、Windows2000、WindowsXP、WindowsServer2003等眾多系統(tǒng)。攻擊對(duì)象：WindowsNT4.0，Windows2000，WindowsXP，WindowsServer2003等。傳播途徑：“沖擊波”是一種利用Windows系統(tǒng)的RPC(遠(yuǎn)程過(guò)程調(diào)用，是一種通信協(xié)議，程序可使用該協(xié)議向網(wǎng)絡(luò)中的另一臺(tái)計(jì)算機(jī)上的程序請(qǐng)求服務(wù))漏洞進(jìn)行傳播、隨機(jī)發(fā)作、破壞力強(qiáng)的蠕蟲病毒。它不需要通過(guò)電子郵件(或附件)來(lái)傳播，更隱蔽，更不易察覺。它使用IP掃描技術(shù)來(lái)查找網(wǎng)絡(luò)上操作系統(tǒng)為Windows2000/XP/2003的計(jì)算機(jī)，一旦找到有漏洞的計(jì)算機(jī)，它就會(huì)利用DCOM(分布式對(duì)象模型，一種協(xié)議，能夠使軟件組件通過(guò)網(wǎng)絡(luò)直接進(jìn)行通信)RPC緩沖區(qū)漏洞植入病毒體以控制和攻擊該系統(tǒng)。49沖擊波病毒具有如下特征沖擊波病毒程序用UPX壓縮，僅有6K。較小的體積是能讓其在網(wǎng)絡(luò)上快速傳播的重要原因之一。沖擊波病毒運(yùn)行時(shí)會(huì)根據(jù)自我生成的IP地址不停地掃描網(wǎng)絡(luò)中在運(yùn)行并可感染的Windows系統(tǒng)的主機(jī)，找到后利用DCOMRPC緩沖區(qū)漏洞攻擊該系統(tǒng)沖擊波病毒在運(yùn)行時(shí)會(huì)建立一個(gè)名為“BILLY”的互斥量，同時(shí)在內(nèi)存中建立一個(gè)名為“msblast”的進(jìn)程。沖擊波病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為“%systemroot%\msblast.exe”文件。沖擊波病毒會(huì)發(fā)送命令到被攻擊計(jì)算機(jī)，以使其連接被感染計(jì)算機(jī)，下載并運(yùn)行該病毒。沖擊波病毒攻擊時(shí)使用的端口為TCP135、TCP4444和UDP69。感染病毒的系統(tǒng)會(huì)監(jiān)聽UDP69端口，當(dāng)有服務(wù)請(qǐng)求時(shí)，就發(fā)送Msblast.exe文件50沖擊波病毒在注冊(cè)表的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”項(xiàng)下添加鍵值“windowsautoupdate”=“msblast.exe”，以使病毒可以在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。如果當(dāng)前系統(tǒng)時(shí)間的月份大于8月或日期大于15號(hào)，沖擊波病毒會(huì)對(duì)微軟的升級(jí)網(wǎng)站進(jìn)行DoS攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無(wú)法通過(guò)該網(wǎng)站升級(jí)系統(tǒng)。在8月16日以后，該病毒還會(huì)使被攻擊的系統(tǒng)喪失更新該漏洞補(bǔ)丁的能力。512.2.5震蕩波（Sasser）震蕩波病毒利用微軟Windows系統(tǒng)中Lsass的緩沖區(qū)溢出漏洞（編號(hào)MS04-011）進(jìn)行遠(yuǎn)程主動(dòng)攻擊和傳染，導(dǎo)致系統(tǒng)異常和網(wǎng)絡(luò)嚴(yán)重?fù)砣?，具有極強(qiáng)的危害性。震蕩波病毒影響的操作系統(tǒng)包括WindowsNT4.0SP6、Windows2000SP4、WindowsXPSP1、WindowsServer2003等，波及范圍非常廣。52防范“震蕩波”的方法首先，用戶必須迅速下載微軟補(bǔ)丁程序，對(duì)于該病毒的防范。金山或者瑞星用戶迅速升級(jí)殺毒軟件到最新版本，然后打開個(gè)人防火墻，將安全等級(jí)設(shè)置為中、高級(jí)，封堵病毒對(duì)該端口的攻擊。非金山或者瑞星用戶迅速下載免費(fèi)的專殺工具，如果用戶已經(jīng)被該病毒感染，首先應(yīng)該立刻斷網(wǎng)，手工刪除該病毒文件，然后上網(wǎng)下載補(bǔ)丁程序，并升級(jí)殺毒軟件或者下載專殺工具。手工刪除方法：查找該目錄C:\WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將其刪除。532.2.6射線（Rays）射線是一種蠕蟲病毒，該病毒通過(guò)網(wǎng)絡(luò)發(fā)送郵件及局域網(wǎng)共享高速傳播。該病毒在感染后會(huì)在“%systemroot%”目錄下生成名為“Mstray.exe”和“MShelp.EXE”的病毒文件，并且用文件夾的圖標(biāo)來(lái)偽裝成文件夾，誘騙用戶誤點(diǎn)擊。542.3計(jì)算機(jī)病毒防范與清除2.3.1計(jì)算機(jī)病毒防范的總體措施2.3.2網(wǎng)絡(luò)防病毒系統(tǒng)部署示例2.3.3計(jì)算機(jī)病毒的定位和清除552.3.1計(jì)算機(jī)病毒防范的總體措施用戶計(jì)算機(jī)病毒防范減小攻擊面應(yīng)用安全更新啟用基于主機(jī)的防火墻安裝防病毒軟件56客戶端應(yīng)用程序的防病毒設(shè)置電子郵件客戶端即時(shí)消息應(yīng)用程序Web瀏覽器57網(wǎng)絡(luò)服務(wù)器病毒防范的基本措施減小攻擊面應(yīng)用安全更新用基于主機(jī)的防火墻安裝防病毒軟件58文件服務(wù)器病毒防范文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對(duì)信息進(jìn)行長(zhǎng)期有效的存儲(chǔ)和保護(hù)。但是一旦服務(wù)器本身感染了病毒，就會(huì)對(duì)所有的訪問(wèn)者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置防病毒保護(hù)。Web服務(wù)器病毒防范在一段時(shí)間內(nèi)，所有類型的組織中的Web服務(wù)器都曾經(jīng)是安全攻擊的目標(biāo)。不管攻擊來(lái)自惡意軟件（如CodeRed）還是來(lái)自試圖破壞組織網(wǎng)站的黑客，充分配置Web服務(wù)器上的安全設(shè)置以最大限度地防御這些攻擊都是很重要的。59郵件服務(wù)器病毒防范SMTP網(wǎng)關(guān)掃描程序集成的服務(wù)器掃描程序集中管理與控制由于網(wǎng)絡(luò)節(jié)點(diǎn)太多，且分布較散，要使整個(gè)防病毒系統(tǒng)良好運(yùn)行必須有一個(gè)良好的管理控制系統(tǒng)。這就要求能通過(guò)瀏覽器方式實(shí)現(xiàn)遠(yuǎn)程異地管理遠(yuǎn)程防病毒軟件，監(jiān)視該軟件的運(yùn)行狀況參數(shù)（如防病毒軟件病毒庫(kù)、掃描引擎更新日期，系統(tǒng)配置等）；能實(shí)現(xiàn)病毒集中報(bào)警，準(zhǔn)確定位病毒入侵節(jié)點(diǎn)，讓管理員對(duì)病毒入侵節(jié)點(diǎn)做適當(dāng)處理以防危險(xiǎn)擴(kuò)大；控制中心能與其他網(wǎng)絡(luò)安全系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)，協(xié)同管理工作。602.3.2網(wǎng)絡(luò)防病毒系統(tǒng)部署示例單機(jī)防病毒軟件與網(wǎng)絡(luò)防病毒系統(tǒng)當(dāng)前計(jì)算機(jī)病毒的防范主要采取單機(jī)防病毒軟件和網(wǎng)絡(luò)防病毒系統(tǒng)兩種措施。因此，要想減少計(jì)算機(jī)被病毒侵害的可能，就需要安裝防病毒軟件。同時(shí)，更重要的是要保證定期升級(jí)病毒碼，并為運(yùn)行的操作系統(tǒng)和程序打上最新的補(bǔ)丁。61SymantecAntiVirusCorporateEdition簡(jiǎn)介SymantecAntiVirusCorporateEdition是一款網(wǎng)絡(luò)防病毒系統(tǒng)，該系統(tǒng)可以為企業(yè)范圍內(nèi)的工作站和網(wǎng)絡(luò)服務(wù)器提供可伸縮的跨平臺(tái)病毒防護(hù)。部署環(huán)境

62安裝網(wǎng)絡(luò)防病毒系統(tǒng)管理平臺(tái)63安裝網(wǎng)絡(luò)防病毒系統(tǒng)服務(wù)器64配置網(wǎng)絡(luò)防病毒系統(tǒng)一級(jí)服務(wù)器65安裝網(wǎng)絡(luò)防病毒系統(tǒng)客戶端在防病毒系統(tǒng)管理中心所在的主機(jī)上創(chuàng)建要安裝網(wǎng)絡(luò)防病毒系統(tǒng)客戶端的計(jì)算機(jī)列表文件。該列表文件為文本文件，其中每一行條目代表一個(gè)客戶端計(jì)算機(jī)，該條目可以是計(jì)算機(jī)名，也可以是IP地址662.3.3計(jì)算機(jī)病毒的定位和清除計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無(wú)緣無(wú)故地死機(jī)或重啟；操作系統(tǒng)無(wú)法正常啟動(dòng)；運(yùn)行速度明顯變慢甚至停止響應(yīng)；無(wú)意中要求對(duì)軟盤進(jìn)行寫操作；以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死鎖或者非法錯(cuò)誤；系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化；磁盤空間迅速減少；自動(dòng)鏈接到一些陌生的網(wǎng)站；無(wú)操作時(shí)硬盤燈不斷閃爍；Windows桌面圖標(biāo)發(fā)生變化自動(dòng)發(fā)送電子郵件或即時(shí)消息；部分文檔丟失或被破壞；部分文檔自動(dòng)加密碼；網(wǎng)絡(luò)緩慢甚至癱瘓，無(wú)法提供正常的服務(wù)。67計(jì)算機(jī)病毒的清除68本章總結(jié)了解計(jì)算機(jī)病毒的概念和特性了解計(jì)算機(jī)病毒的歷史及發(fā)展趨勢(shì)了解計(jì)算機(jī)病毒的種類熟悉蠕蟲及其他計(jì)算機(jī)病毒的特征和危害掌握計(jì)算機(jī)病毒防范的總體措施掌握常見單機(jī)版防病毒軟件的安裝和使用掌握常見網(wǎng)絡(luò)防病毒系統(tǒng)的部署掌握計(jì)算機(jī)病毒的定位和清除方法69第3章漏洞掃描本章目標(biāo)了解漏洞的概念和危害性了解漏洞掃描的意義和方法了解常見漏洞及其危害掌握典型漏洞掃描工具的用法掌握漏洞修復(fù)的基本措施713.1漏洞掃描概述

3.1.1漏洞（Vulnerability）3.1.2漏洞掃描3.1.3漏洞掃描軟件723.1.1漏洞（Vulnerability）在字典中，“Vulnerability”一詞的意思是“漏洞”或者“缺乏足夠的防護(hù)”；在軍事術(shù)語(yǔ)中，這個(gè)詞的意思更為明確，也更為嚴(yán)重——“存在遭受攻擊的嫌疑”。漏洞掃描工具均能檢測(cè)以上兩種類型的漏洞。漏洞掃描工具已經(jīng)出現(xiàn)好多年了，安全管理員在使用這些工具的同時(shí)，黑客們也在利用這些工具來(lái)發(fā)現(xiàn)各種類型的系統(tǒng)和網(wǎng)絡(luò)的漏洞。733.1.2漏洞掃描什么是漏洞掃描漏洞掃描是一種基于網(wǎng)絡(luò)遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。漏洞掃描可以針對(duì)系統(tǒng)中不合適的設(shè)置（如脆弱的口令）以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查，也可以通過(guò)執(zhí)行一些程序模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。通過(guò)漏洞掃描，安全管理人員能夠發(fā)現(xiàn)所維護(hù)的系統(tǒng)的各種TCP/IP端口的分配、開放的服務(wù)、軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。漏洞掃描也會(huì)采用積極的、非破壞性的辦法來(lái)檢驗(yàn)系統(tǒng)是否有可能因?yàn)楸还舳罎ⅰＫ昧艘幌盗械哪_本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，并對(duì)結(jié)果進(jìn)行分析，這種技術(shù)通常被用來(lái)進(jìn)行模擬攻擊實(shí)驗(yàn)和安全審計(jì)。74漏洞掃描的意義多數(shù)的攻擊者通常進(jìn)行的是較為簡(jiǎn)單的攻擊嘗試。很明顯，發(fā)現(xiàn)一個(gè)已知的漏洞，遠(yuǎn)比發(fā)現(xiàn)一個(gè)未知漏洞要容易的多。這就意味著多數(shù)攻擊者所利用的都是常見的漏洞，而這些漏洞先前已經(jīng)被發(fā)現(xiàn)并均有書面資料記載。因此，如果能夠在黑客利用這些常見漏洞之前檢查出系統(tǒng)和網(wǎng)絡(luò)的薄弱環(huán)節(jié)，就可以大大降低攻擊發(fā)生的可能性。可以看出，漏洞掃描對(duì)于系統(tǒng)和網(wǎng)絡(luò)安全是至關(guān)重要的。如果說(shuō)防火墻是被動(dòng)的防御手段，那么漏洞掃描就是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。75漏洞掃描的步驟和基本技術(shù)第1階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)；第2階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等，如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息；第3階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。漏洞掃描的基本技術(shù)主要包括PING掃射、操作系統(tǒng)探測(cè)、端口掃描以及系統(tǒng)漏洞掃描等。這些技術(shù)在漏洞掃描的3個(gè)階段中各有體現(xiàn)。76端口掃描端口掃描主要有經(jīng)典的全連接掃描以及SYN（半連接）掃描，此外還有間接掃描和秘密掃描等。系統(tǒng)漏洞掃描系統(tǒng)漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)系統(tǒng)是否存在漏洞：方法一：在端口掃描后得知目標(biāo)系統(tǒng)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與漏洞掃描軟件提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；方法二：通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。773.1.3漏洞掃描軟件漏洞掃描軟件已經(jīng)出現(xiàn)了很多年，安全管理人員在使用這些工具的同時(shí)，黑客們也在利用這些工具來(lái)發(fā)現(xiàn)各種類型的系統(tǒng)和網(wǎng)絡(luò)的漏洞。因此，如何選擇滿足需要的漏洞掃描軟件非常重要。常見的漏洞掃描軟件有Nmap、XScan、ISSInternetScanner、Nessus、Retina和流光等。通常，我們可以根據(jù)底層技術(shù)、漏洞庫(kù)、掃描報(bào)告、分析和建議、易用性、安全性和性能等因素來(lái)衡量漏洞掃描軟件。78底層技術(shù)選擇漏洞掃描軟件，首先要了解其底層技術(shù)。漏洞掃描可以分為“被動(dòng)”和“主動(dòng)”兩大類。被動(dòng)掃描不會(huì)產(chǎn)生網(wǎng)絡(luò)流量包，不會(huì)導(dǎo)致目標(biāo)系統(tǒng)崩潰。被動(dòng)掃描對(duì)正常的網(wǎng)絡(luò)流量進(jìn)行分析，可以設(shè)計(jì)成“永遠(yuǎn)在線”的檢測(cè)方式。主動(dòng)掃描更多地帶有“入侵”的意圖，可能會(huì)影響網(wǎng)絡(luò)和目標(biāo)系統(tǒng)的正常操作。它們并不是持續(xù)不斷運(yùn)行的，通常是隔一段時(shí)間檢測(cè)一次。目前所采用的漏洞掃描軟件，很多都同時(shí)支持被動(dòng)掃描和主動(dòng)掃描。79漏洞庫(kù)只有漏洞庫(kù)中存在相關(guān)信息，漏洞掃描軟件才能檢測(cè)到漏洞，因此，漏洞庫(kù)中攻擊特征的數(shù)量決定了掃描工具能夠檢測(cè)的范圍。然而，數(shù)量并不意味著一切，真正的檢驗(yàn)標(biāo)準(zhǔn)在于掃描工具能否檢測(cè)出影響系統(tǒng)和網(wǎng)絡(luò)安全的漏洞。漏洞掃描軟件中有用的漏洞庫(kù)取決于網(wǎng)絡(luò)設(shè)備和系統(tǒng)的類型。例如，如果使用掃描軟件來(lái)檢測(cè)Windows2000服務(wù)器的漏洞，那么，不包含Windows2000漏洞庫(kù)的掃描軟件就不是最佳選擇。當(dāng)然，漏洞庫(kù)中的攻擊特征必須經(jīng)常升級(jí)，只有這樣才能檢測(cè)出最近發(fā)現(xiàn)的漏洞。80掃描報(bào)告對(duì)安全管理人員來(lái)說(shuō)，掃描報(bào)告的功能越來(lái)越重要。一次掃描可能會(huì)得到幾百甚至幾千個(gè)結(jié)果，但是這些數(shù)據(jù)是沒(méi)用的，除非經(jīng)過(guò)整理，轉(zhuǎn)換成可以為人們所理解的信息。這就意味著在理想情況下，漏洞掃描軟件應(yīng)該能夠?qū)@些數(shù)據(jù)進(jìn)行分類和交叉引用，可以導(dǎo)入到其他程序中，或者轉(zhuǎn)換成其他格式（比如CSV、HTML和EXCEL），采用不同方式來(lái)展現(xiàn)它，并且能夠很容易的與以前的掃描結(jié)果做比較。81分析與建議發(fā)現(xiàn)漏洞，才完成一半工作。一個(gè)完整的解決方案，應(yīng)同時(shí)提出針對(duì)這些漏洞將采取的措施。一個(gè)好的漏洞掃描軟件會(huì)對(duì)掃描結(jié)果進(jìn)行分析，并提供修復(fù)建議。有的漏洞掃描軟件將這些修復(fù)建議整合在報(bào)告中，還有的則提供在線資源的鏈接。一些漏洞掃描軟件還可以和漏洞修復(fù)工具結(jié)合使用，對(duì)掃描結(jié)果進(jìn)行匯總，并自動(dòng)完成修復(fù)過(guò)程。82易用性一個(gè)難以理解和使用的界面，會(huì)阻礙安全管理人員使用這些工具，因此，界面的友好性尤為重要。不同的掃描工具軟件，界面也各式各樣，包括簡(jiǎn)單的基于文本的界面、復(fù)雜的圖形界面以及Web界面。83安全問(wèn)題掃描工具可能造成網(wǎng)絡(luò)失效的另一種原因是，掃描過(guò)程中，超負(fù)荷的數(shù)據(jù)包流量造成拒絕服務(wù)。為了防止這一點(diǎn)，需要選擇好適當(dāng)?shù)膾呙柙O(shè)置。一些掃描工具還提供了“安全掃描”的模板，以防止造成對(duì)目標(biāo)系統(tǒng)和網(wǎng)絡(luò)的資源損耗。84性能掃描軟件運(yùn)行的時(shí)候，將占用大量的網(wǎng)絡(luò)帶寬，因此，掃描過(guò)程應(yīng)盡快完成。當(dāng)然，漏洞庫(kù)中的漏洞數(shù)越多，選擇的掃描模式越復(fù)雜，掃描所耗時(shí)間就越長(zhǎng)，因此，這只是個(gè)相對(duì)的數(shù)值。提高性能的一種方式是在企業(yè)網(wǎng)中部署多個(gè)掃描工具，將掃描結(jié)果反饋到一個(gè)系統(tǒng)中，對(duì)掃描結(jié)果進(jìn)行匯總。853.2X-Scan3.2.1

X-Scan簡(jiǎn)介3.2.2

X-Scan的用法3.2.3

X-Scan掃描示例863.2.1X-Scan簡(jiǎn)介X-Scan是一個(gè)完全免費(fèi)的漏洞掃描軟件，由安全焦點(diǎn)開發(fā)。X-Scan功能非常強(qiáng)大，它采用多線程方式對(duì)指定IP地址或IP地址范圍進(jìn)行漏洞掃描。掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個(gè)大類。X-Scan支持插件功能，3.0及后續(xù)版本還提供了簡(jiǎn)單的插件開發(fā)包，便于用戶自由編寫X-Scan插件，或?qū)⑵渌{(diào)試通過(guò)的代碼修改為X-Scan插件。873.2.2X-Scan的用法啟動(dòng)X-Scan解壓縮之后，運(yùn)行xscan_gui.exe，即可啟動(dòng)X-Scan進(jìn)入其主界面X-Scan的主界面X-Scan的功能按鈕及菜單掃描參數(shù)設(shè)置883.2.3X-Scan掃描示例開始掃描掃描報(bào)告漏洞示例893.3流光3.3.1流光簡(jiǎn)介3.3.2安裝和啟動(dòng)流光3.3.3使用流光進(jìn)行漏洞掃描903.3.1流光簡(jiǎn)介流光（Fluxay）5是一個(gè)非常出色的漏洞掃描工具，提供了全面的掃描功能。流光同時(shí)也是一個(gè)功能強(qiáng)大的滲透測(cè)試工具，可以模擬攻擊者對(duì)目標(biāo)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行攻擊測(cè)試，以評(píng)估目標(biāo)網(wǎng)絡(luò)和主機(jī)的抗攻擊能力。91流光的功能主要包括：漏洞掃描：支持對(duì)POP3、FTP、IMAP、Telnet、MS-SQL、MySQL、Web、IPC和RPC等常見應(yīng)用的漏洞掃描；暴力破解：提供POP3、FTP、IMAP、HTTP、PROXY、MS-SQL、SMB等常見服務(wù)的暴力破解功能；網(wǎng)絡(luò)嗅探：利用ARP欺騙，對(duì)交換環(huán)境下的局域網(wǎng)內(nèi)主機(jī)進(jìn)行嗅探。與流光的漏洞掃描模塊一樣，網(wǎng)絡(luò)嗅探也采用了C/S的結(jié)構(gòu)，可以提供遠(yuǎn)程網(wǎng)絡(luò)的嗅探功能；滲透工具：提供了包括SQLCMD、NTCMD、SRV、TCPRelay等得心應(yīng)手的輔助滲透工具；字典工具：可以定制各種各樣的字典文件，為暴力破解提供高效可用的字典。923.3.2安裝和啟動(dòng)流光獲取和安裝流光流光是一個(gè)全免費(fèi)的軟件，任何人都可以自由使用。本課程中使用的是流光5測(cè)試版1（Fluxay5Beta1），在網(wǎng)上可以很方便的下載到。下載后直接運(yùn)行安裝程序即可進(jìn)行安裝93啟動(dòng)流光流光安裝完成之后，即可以啟動(dòng)和使用流光。啟動(dòng)后，會(huì)進(jìn)入流光的主界面943.3.3使用流光進(jìn)行漏洞掃描啟動(dòng)漏洞掃描在流光的主界面中單擊菜單“文件”→“高級(jí)掃描向?qū)А痹O(shè)置漏洞掃描參數(shù)設(shè)置掃描范圍設(shè)置掃描端口設(shè)置POP3掃描設(shè)置FTP掃描設(shè)置SMTP掃描設(shè)置IMAP掃描設(shè)置TELNET掃描設(shè)置CGI掃描設(shè)置CGI規(guī)則95設(shè)置SQL掃描設(shè)置IPC掃描設(shè)置IIS掃描設(shè)置IIS掃描設(shè)置IIS掃描設(shè)置MISC掃描設(shè)置PLUGINS掃描設(shè)置掃描選項(xiàng)96設(shè)置流光掃描引擎開始掃描掃描報(bào)告973.4漏洞修復(fù)3.4.1漏洞修復(fù)的必要性3.4.2漏洞修復(fù)的方法983.4.1漏洞修復(fù)的必要性什么是漏洞漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。具體舉例來(lái)說(shuō)，比如在IntelPentium芯片中存在的邏輯錯(cuò)誤，在Sendmail早期版本中的編程錯(cuò)誤，在NFS協(xié)議中認(rèn)證方式上的弱點(diǎn)，在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時(shí)配置不當(dāng)?shù)膯?wèn)題都可能被攻擊者使用，威脅到系統(tǒng)的安全。因而這些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。99漏洞與具體系統(tǒng)環(huán)境之間的關(guān)系及其時(shí)間相關(guān)特性

漏洞會(huì)影響到很大范圍的軟硬件設(shè)備，包括作系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。換而言之，在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問(wèn)題。在不同種類的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會(huì)存在各自不同的安全漏洞問(wèn)題。100漏洞問(wèn)題與不同安全級(jí)別計(jì)算機(jī)系統(tǒng)之間的關(guān)系目前計(jì)算機(jī)系統(tǒng)安全的分級(jí)標(biāo)準(zhǔn)一般都是依據(jù)“橘皮書”中的定義。橘皮書正式名稱是“受信任計(jì)算機(jī)系統(tǒng)評(píng)量基準(zhǔn)”（TrustedComputerSystemEvaluationCriteria)。橘皮書中對(duì)可信任系統(tǒng)的定義是這樣的：一個(gè)由完整的硬件及軟件所組成的系統(tǒng)，在不違反訪問(wèn)權(quán)限的情況下，它能同時(shí)服務(wù)于不限定個(gè)數(shù)的用戶，并處理從一般機(jī)密到最高機(jī)密等不同范圍的信息。

101安全漏洞與系統(tǒng)攻擊之間的關(guān)系系統(tǒng)安全漏洞是在系統(tǒng)具體實(shí)現(xiàn)和具體使用中產(chǎn)生的錯(cuò)誤，但并不是系統(tǒng)中存在的錯(cuò)誤都是安全漏洞。只有能威脅到系統(tǒng)安全的錯(cuò)誤才是漏洞。許多錯(cuò)誤在通常情況下并不會(huì)對(duì)系統(tǒng)安全造成危害，只有被人在某些條件下故意使用時(shí)才會(huì)影響系統(tǒng)安全。102常見攻擊方法與攻擊過(guò)程的簡(jiǎn)單描述

系統(tǒng)攻擊是指某人非法使用或破壞某一信息系統(tǒng)中的資源，以及非授權(quán)使系統(tǒng)喪失部分或全部服務(wù)功能的行為。

1033.4.2漏洞修復(fù)的方法及時(shí)升級(jí)操作系統(tǒng)在操作系統(tǒng)有漏洞被發(fā)現(xiàn)之后，操作系統(tǒng)的廠商會(huì)第一時(shí)間發(fā)布補(bǔ)丁程序，修復(fù)漏洞。因此，及時(shí)升級(jí)操作系統(tǒng)，安裝補(bǔ)丁程序，是修復(fù)漏洞最有效的方法。“沖擊波”和“震蕩波”之所以能夠大面積傳播，甚至直到現(xiàn)在仍然有系統(tǒng)會(huì)被感染，其主要的原因就是未能及時(shí)安裝操作系統(tǒng)廠商所提供的安全補(bǔ)丁。104關(guān)閉不需要的端口和服務(wù)開啟的端口和服務(wù)越多，可以被攻擊者利用的漏洞就越多，因此如果不是必需的端口和服務(wù)，一定要關(guān)閉，并且要定期的進(jìn)行檢查。不同的操作系統(tǒng)都提供了關(guān)閉服務(wù)的方法，例如Windows提供了服務(wù)管理控制臺(tái)來(lái)管理服務(wù)105加強(qiáng)用戶賬戶和口令的安全管理清除所有不必要的用戶賬戶使用安全的口令將系統(tǒng)管理員或超級(jí)用戶賬戶改名106本章總結(jié)了解漏洞的概念和危害性了解漏洞掃描的意義和方法了解常見漏洞及其危害掌握典型漏洞掃描工具的用法掌握漏洞修復(fù)的基本措施107第4章網(wǎng)絡(luò)嗅探本章目標(biāo)了解網(wǎng)絡(luò)嗅探的基本原理學(xué)會(huì)使用SnifferPro對(duì)網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控學(xué)會(huì)使用SnifferPro捕獲以太網(wǎng)和無(wú)線局域網(wǎng)的數(shù)據(jù)包能夠定義SnifferPro捕獲過(guò)濾器過(guò)濾數(shù)據(jù)包能夠使用Ethereal捕獲以太網(wǎng)的數(shù)據(jù)包能夠定義Ethereal的顯示過(guò)濾器過(guò)濾數(shù)據(jù)包1094.1網(wǎng)絡(luò)嗅探概述網(wǎng)絡(luò)嗅探器簡(jiǎn)單說(shuō)來(lái)就是使我們能夠“嗅探”到本地網(wǎng)絡(luò)的數(shù)據(jù)，并檢查進(jìn)入計(jì)算機(jī)的信息包。嗅探技術(shù)是網(wǎng)絡(luò)完全攻防技術(shù)中很重要的一種。對(duì)黑客來(lái)說(shuō)，通過(guò)嗅探技術(shù)能以非常隱蔽的方式捕獲網(wǎng)絡(luò)中傳輸?shù)拇罅康拿舾行畔ⅲ缬脩糍~戶和口令，與主動(dòng)掃描相比，嗅探行為更難以被察覺，也更容易操作。對(duì)于安全管理人員來(lái)說(shuō)，借助嗅探技術(shù)，可以對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控，并及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。1104.2SnifferPro4.2.1簡(jiǎn)介4.2.2使用SnifferPro監(jiān)控網(wǎng)絡(luò)4.2.3使用SnifferPro捕獲網(wǎng)絡(luò)數(shù)據(jù)包4.2.4使用SnifferPro捕獲特定的數(shù)據(jù)包4.2.5使用SnifferPro捕獲無(wú)線網(wǎng)絡(luò)數(shù)據(jù)包1114.2.1簡(jiǎn)介SnifferPro是一個(gè)功能強(qiáng)大的網(wǎng)絡(luò)可視化工具，使用SnifferPro可以做以下工作：實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)活動(dòng)采集單個(gè)工作站、對(duì)話或網(wǎng)絡(luò)任何部分的詳細(xì)的利用率和錯(cuò)誤統(tǒng)計(jì)數(shù)據(jù)保存歷史利用率和錯(cuò)誤信息，以進(jìn)行原始分析生成實(shí)時(shí)的聲光警報(bào)檢測(cè)到故障時(shí)通知管理員捕獲網(wǎng)絡(luò)通信量，以進(jìn)行詳細(xì)的數(shù)據(jù)包分析接收專家系統(tǒng)對(duì)網(wǎng)絡(luò)通信量的分析用有效的工具探索網(wǎng)絡(luò)1124.2.2使用SnifferPro監(jiān)控網(wǎng)絡(luò)SnifferPro作為一款強(qiáng)大的網(wǎng)絡(luò)管理和監(jiān)視工具，可以實(shí)時(shí)對(duì)網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)視，包括網(wǎng)絡(luò)利用率、網(wǎng)絡(luò)中流量的大小等信息。1134.2.3使用SnifferPro捕獲網(wǎng)絡(luò)數(shù)據(jù)包在菜單欄的下方，是捕獲工具欄，使用其中的各項(xiàng)按鈕，可以將網(wǎng)絡(luò)上的數(shù)據(jù)包捕獲到本地進(jìn)行分析1144.2.4使用SnifferPro捕獲特定的數(shù)據(jù)包默認(rèn)情況下，打開SnifferPro的數(shù)據(jù)包捕獲功能的時(shí)候，SnifferPro會(huì)將網(wǎng)絡(luò)上所有的數(shù)據(jù)包捕獲到本地來(lái)進(jìn)行分析，這其中就有很大的一部分就是無(wú)用的數(shù)據(jù)包，所以我們需要定制過(guò)捕獲過(guò)濾器將需要的數(shù)據(jù)包從繁多的數(shù)據(jù)包中過(guò)濾出來(lái)。1154.2.5使用SnifferPro捕獲無(wú)線網(wǎng)絡(luò)數(shù)據(jù)包SnifferPro不僅能對(duì)以太網(wǎng)的數(shù)據(jù)包進(jìn)行捕獲和分析，也可以對(duì)無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行捕獲和分析。使用SnifferPro捕獲和分析無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)包，必須使用SnifferPro所支持的無(wú)線網(wǎng)卡，并且安裝由SnifferPro提供的驅(qū)動(dòng)程序。1164.3Ethereal4.3.1

簡(jiǎn)介4.3.2安裝Ethereal4.3.3使用Ethereal捕獲數(shù)據(jù)包4.3.4使用Ethereal顯示特定數(shù)據(jù)包1174.3.1簡(jiǎn)介Ethereal是當(dāng)前較為流行的一種計(jì)算機(jī)網(wǎng)絡(luò)調(diào)試和數(shù)據(jù)包嗅探軟件，是免費(fèi)的網(wǎng)絡(luò)協(xié)議檢測(cè)程序，支持各種Unix、Linux和Windows系統(tǒng)。Ethereal基本類似于tcpdump，但Ethereal還具有設(shè)計(jì)完美的圖形化用戶接口（GUI）和眾多分類信息及過(guò)濾選項(xiàng)。用戶通過(guò)Ethereal，同時(shí)將網(wǎng)卡置于混雜模式，可以查看到網(wǎng)絡(luò)中發(fā)送的所有通信流量。118Ethereal具有以下主要特征：實(shí)時(shí)從網(wǎng)絡(luò)連接處捕獲數(shù)據(jù)，或者從被捕獲文件處讀取數(shù)據(jù)Ethereal可以讀取從tcpdump（libpcap）、網(wǎng)絡(luò)通用嗅探器（被壓縮和未被壓縮）、Sniffer專業(yè)版、NetXray、Sunsnoop和atmsnoop、Shomiti/Finisar測(cè)試員、AIX的iptrace、Microsoft的網(wǎng)絡(luò)監(jiān)控器、Novell的LANalyzer、RADCOM的WAN/LAN分析器、ISDN4BSD項(xiàng)目的HP-UXnettl和i4btrace、Cisco安全I(xiàn)DSiplog和pppd日志（pppdump格式）、WildPacket的EtherPeek/TokenPeek/AiroPeek或者可視網(wǎng)絡(luò)的可視UpTime處捕獲的文件從以太網(wǎng)、FDDI、PPP、令牌環(huán)、IEEE802.11、ATM上的IP和回路接口（這里是某些系統(tǒng)，不是所有系統(tǒng)都支持這些類型）上讀取實(shí)時(shí)數(shù)據(jù)；119通過(guò)GUI或TUI模式的tethereal程序，可以訪問(wèn)被捕獲的網(wǎng)絡(luò)數(shù)據(jù)；通過(guò)editcap程序的命令行交換機(jī)，有計(jì)劃地編輯或修改被捕獲文件當(dāng)前共有1000種以上的應(yīng)用層協(xié)議可被解碼輸出文件可以被保存或打印為純文本或PostScript格式通過(guò)顯示過(guò)濾器精確顯示數(shù)據(jù)顯示過(guò)濾器可以選擇性地摘要顏色包信息所有或部分被捕獲的網(wǎng)絡(luò)跟蹤報(bào)告會(huì)保存到磁盤中1204.3.2安裝EtherealEthereal是免費(fèi)的軟件，可以從Ethereal的官方網(wǎng)站上下載，目前Ethereal的最新版本為0.10.14，下載后的軟件名為ethereal-setup-0.10.14.exe。雙擊下載后的軟件包，根據(jù)提示進(jìn)行安裝，這里就不再做詳細(xì)介紹了。需要注意的是，Ethereal是一個(gè)基于WinPcap的軟件，如果系統(tǒng)中沒(méi)有安裝WinPcap，則Ethereal不能捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包。WinPcap可以單獨(dú)下載安裝，可以從其官方網(wǎng)站下載，地址為“/install/default.htm”，目前最新版為3.1。1214.3.3使用Ethereal捕獲數(shù)據(jù)包安裝Ethereal之后，可以通過(guò)單擊“開始”→“Ethereal”→“Ethereal”打開Ethereal程序，看到Ethereal的主界面1224.3.4使用Ethereal顯示特定數(shù)據(jù)包

在捕獲完成以后，可以用顯示過(guò)濾器來(lái)找到你感興趣的包，可以根據(jù)如下信息來(lái)過(guò)濾感興趣的數(shù)據(jù)包協(xié)議是否存在某個(gè)域域值域值之間的比較123本章總結(jié)了解網(wǎng)絡(luò)嗅探的基本原理學(xué)會(huì)使用SnifferPro對(duì)網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控學(xué)會(huì)使用SnifferPro捕獲以太網(wǎng)和無(wú)線局域網(wǎng)的數(shù)據(jù)包能夠定義SnifferPro捕獲過(guò)濾器過(guò)濾數(shù)據(jù)包能夠使用Ethereal捕獲以太網(wǎng)的數(shù)據(jù)包能夠定義Ethereal的顯示過(guò)濾器過(guò)濾數(shù)據(jù)包124第5章特洛伊木馬本章目標(biāo)理解特洛伊木馬的基本概念和特征了解特洛伊木馬的危害和種類了解特洛伊木馬定位和清除的基本思路掌握特洛伊木馬的植入方法掌握常見特洛伊木馬的入侵方法和特征掌握常見的特洛伊木馬清除工具1265.1特洛伊木馬概述5.1.1

什么是特洛伊木馬5.1.2特洛伊木馬的危害5.1.3特洛伊木馬的種類5.1.4特洛伊木馬的植入方法1275.1.1什么是特洛伊木馬初識(shí)特洛伊木馬完整的特洛伊木馬一般由服務(wù)端程序和控制端程序兩部分組成。人們常說(shuō)的“中了木馬”是指系統(tǒng)中被安裝了特洛伊木馬的服務(wù)端程序。如果某系統(tǒng)中被安裝了這種程序，則控制端程序就可以通過(guò)網(wǎng)絡(luò)控制該系統(tǒng)，為所欲為，此時(shí)將再無(wú)任何安全性而言。因此，特洛伊木馬是一種非常危險(xiǎn)的攻擊形式。128特洛伊木馬的工作過(guò)程通常特洛伊木馬進(jìn)行攻擊時(shí)，攻擊者第一步要做的是要將特洛伊木馬的服務(wù)端程序植入要攻擊的系統(tǒng)。攻擊者可能通過(guò)電子郵件附件、網(wǎng)頁(yè)代碼、下載軟件、系統(tǒng)漏洞等方式進(jìn)行植入。129特洛伊木馬具有的特性包含干正常程序中，當(dāng)用戶執(zhí)行正常程序時(shí)，啟動(dòng)自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性。具有自動(dòng)運(yùn)行性。包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功能的程序。具備自動(dòng)恢復(fù)功能。能自動(dòng)打開特別的端口。功能的特殊性。1305.1.2特洛伊木馬的危害首先，特洛伊木馬具有捕獲用戶鍵盤事件的能力，這意味著攻擊者能夠輕松地竊取用戶的口令、磁盤數(shù)據(jù)甚至銀行賬戶等機(jī)密信息。總之，用戶在系統(tǒng)的一切操作，都有可能被記錄。其次，特洛伊木馬具有遠(yuǎn)程控制的能力，這意味著遠(yuǎn)程攻擊者能夠隨意地控制目標(biāo)系統(tǒng)，完成其想要的任何操作。攻擊者不僅擁有了隨意操控系統(tǒng)本地資源的能力，而且還能夠冒充系統(tǒng)的合法用戶，例如冒充合法用戶發(fā)送郵件、修改文檔，當(dāng)然也可以利用被侵占的系統(tǒng)攻擊其他系統(tǒng)。1315.1.3特洛伊木馬的種類遠(yuǎn)程控制類特洛伊木馬遠(yuǎn)程控制類特洛伊木馬是目前最為廣泛的一種特洛伊木馬，只要目標(biāo)系統(tǒng)上運(yùn)行了服務(wù)端程序，就可以在該系統(tǒng)上開啟特定的端口，如果攻擊者知道服務(wù)端程序所在系統(tǒng)的IP地址和使用的端口，就可以通過(guò)控制端程序?qū)崿F(xiàn)遠(yuǎn)程控制。這樣，攻擊者不但可以監(jiān)視用戶的操作，而且還可以進(jìn)行對(duì)系統(tǒng)進(jìn)行任何可能的操作。132信息竊取類特洛伊木馬信息竊取類特洛伊木馬非常簡(jiǎn)單，通常它只做一件事情，就是記錄被攻擊系統(tǒng)的鍵盤輸入，并猜測(cè)和查找密碼。記錄鍵盤輸入的特洛伊木馬通常都會(huì)隨著系統(tǒng)啟動(dòng)而自動(dòng)啟動(dòng)，同時(shí)還具備檢測(cè)系統(tǒng)是否在線的功能，可以分別記錄系統(tǒng)離線和在線時(shí)通過(guò)鍵盤輸入的內(nèi)容，這一功能將有助于其更快的分析出登錄網(wǎng)上銀行和即時(shí)通信工具所使用的口令。記錄鍵盤輸入的特洛伊木馬通常會(huì)通過(guò)電子郵件的方式將記錄下來(lái)的鍵盤輸入記錄發(fā)到控制端。133破壞類特洛伊木馬破壞類特洛伊木馬要實(shí)現(xiàn)的目的就是要破壞目標(biāo)系統(tǒng)。這類特洛伊木馬有的會(huì)破壞和刪除系統(tǒng)文件，例如可以自動(dòng)的刪除DLL、INI和EXE等類型文件；有的則可能會(huì)造成DoS攻擊，例如會(huì)不停地向網(wǎng)絡(luò)中發(fā)送垃圾數(shù)據(jù)包而導(dǎo)致網(wǎng)絡(luò)癱瘓。134端口反彈類特洛伊木馬通常情況下，防火墻對(duì)于由外到內(nèi)的入站連接會(huì)進(jìn)行非常嚴(yán)格的限制，但對(duì)于由內(nèi)到外的出站連接卻疏于防范。正是由于這一原因，很多遠(yuǎn)程控制類特洛伊木馬的控制端程序無(wú)法主動(dòng)連接到服務(wù)端。端口反彈類特洛伊木馬與一般的特洛伊木馬相反，此類特洛伊木馬的服務(wù)端（被控制端）會(huì)主動(dòng)連接控制端程序。服務(wù)端會(huì)定時(shí)監(jiān)測(cè)控制端的存在，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中有控制端在線時(shí)，將會(huì)立即主動(dòng)連接控制端。為了隱蔽起見，控制端的接受服務(wù)端連接的端口通常為TCP80，這樣，即使用戶使用掃描軟件檢查自己的端口，也誤以為是在進(jìn)行瀏覽網(wǎng)頁(yè)的正常通信。1355.1.4特洛伊木馬的植入方法特洛伊木馬的植入是指將其服務(wù)端程序上傳到目標(biāo)系統(tǒng)中并隱蔽地在后臺(tái)運(yùn)行起來(lái)，以便控制端程序能夠遠(yuǎn)程連接服務(wù)端程序，實(shí)現(xiàn)控制目標(biāo)系統(tǒng)的目的。修改圖標(biāo)捆綁文件出錯(cuò)顯示自我銷毀服務(wù)端程序更名136公司簡(jiǎn)介中的徽標(biāo)5.2冰河5.2.1

冰河簡(jiǎn)介5.2.2啟用冰河5.2.3冰河的使用方法1375.2.1冰河簡(jiǎn)介冰河的主要功能冰河是國(guó)內(nèi)著名的遠(yuǎn)程控制類特洛伊木馬，運(yùn)行于Windows平臺(tái)。它的主要功能包括：自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過(guò)的口令信息，且1.2以上的版本中允許用戶對(duì)該功能自行擴(kuò)充，2.0以上版本還同時(shí)提供了按鍵記錄功能獲取系統(tǒng)信息限制系統(tǒng)功能遠(yuǎn)程文件操作注冊(cè)表操作發(fā)送信息點(diǎn)對(duì)點(diǎn)通訊138冰河的組成冰河由下列兩個(gè)部分組成：G_Server.exe：服務(wù)端（被監(jiān)控端）程序，即在目標(biāo)系統(tǒng)的后臺(tái)運(yùn)行實(shí)現(xiàn)監(jiān)控程序，該服務(wù)端程序運(yùn)行一次即自動(dòng)安裝，并可任意更改名稱。G_Client.exe：控制端程序，用于遠(yuǎn)程控制被安裝了服務(wù)端程序的系統(tǒng)和配置服務(wù)端程序。1395.2.2

啟用冰河植入冰河的服務(wù)端程序140冰河控制端1415.2.3冰河的使用方法在控制端添加安裝有冰河服務(wù)端程序的主機(jī)142在控制端的主機(jī)列表中刪除已經(jīng)添加的被控制端143自動(dòng)搜索網(wǎng)絡(luò)中安裝有冰河服務(wù)端程序的主機(jī)144遠(yuǎn)程查看被控制端屏幕狀態(tài)145遠(yuǎn)程操控被監(jiān)控端146使用冰河信使向被監(jiān)控端發(fā)送即時(shí)消息147遠(yuǎn)程修改服務(wù)端程序的配置148植入前在本地對(duì)服務(wù)端程序G_Server.exe進(jìn)行配置149通過(guò)文件管理器遠(yuǎn)程管理被監(jiān)控端的文件150通過(guò)命令控制臺(tái)實(shí)現(xiàn)遠(yuǎn)程控制操作151卸載冰河（已植入的服務(wù)端程序）1525.3其他特洛伊木馬5.3.1

獲取Shell5.3.2記錄鍵盤輸入1535.3.1獲取Shell獲取Shell的特洛伊木馬主要用遠(yuǎn)程控制，功能較為單一。其服務(wù)端程序會(huì)啟用特定的偵聽端口，然后由控制端程序遠(yuǎn)程連接到該偵聽端口而獲取Shell。下面以NC為例介紹獲取Shell的特洛伊木馬。154將NC植入目標(biāo)系統(tǒng)將NC（nc.exe）上傳到目標(biāo)系統(tǒng)中，并保存在較為隱蔽的位置打開命令行提示符窗口，執(zhí)行NC以啟用偵聽端口獲取被植入NC的目標(biāo)系統(tǒng)的Shell在控制端主機(jī)執(zhí)行NC，獲取被植入NC的目標(biāo)系統(tǒng)的Shell1555.3.2記錄鍵盤輸入記錄鍵盤輸入的特洛伊木馬主要用于竊取遠(yuǎn)程系統(tǒng)中輸入的密碼。其服務(wù)端程序會(huì)在后臺(tái)記錄鍵盤輸入的所有內(nèi)容，然后通過(guò)電子郵件或FTP的方式發(fā)送到事先設(shè)置好的郵箱或FTP服務(wù)。生成廣外幽靈服務(wù)端程序?qū)⑸傻姆?wù)端程序植入目標(biāo)系統(tǒng)接收記錄的鍵盤輸入1565.4特洛伊木馬的防范與清除5.4.1特洛伊木馬的防范措施5.4.2特洛伊木馬的定位與清除1575.4.1特洛伊木馬的防范措施特洛伊木馬的防范是指在特洛伊木馬尚未入侵或剛剛?cè)肭謺r(shí)，就攔截、阻止其入侵或立即報(bào)警。由于特洛伊木馬都具有一定的隱蔽性和自動(dòng)保護(hù)功能，清除相對(duì)較為復(fù)雜，因此防范顯得尤其重要。安裝防病毒軟件并及時(shí)升級(jí)安裝個(gè)人防火墻提高安全意識(shí)1585.4.2特洛伊木馬的定位與清除系統(tǒng)被植入特洛伊木馬之后出現(xiàn)的現(xiàn)象由于遠(yuǎn)程控制類特洛伊木馬都采用開啟TCP端口監(jiān)聽和寫入注冊(cè)表啟動(dòng)等方式，因此如果被植入此類特洛伊木馬，則會(huì)開啟額外的TCP端口和添加額外的注冊(cè)表項(xiàng)。根本未打開瀏覽器，但瀏覽器卻突然自己打開并進(jìn)入某個(gè)網(wǎng)站。在系統(tǒng)正常運(yùn)行時(shí)，如果突然彈出一個(gè)提示框或者警告框，提示一些無(wú)關(guān)緊要的信息。系統(tǒng)配置（例如屏幕保護(hù)、時(shí)間和日期、聲音大小、鼠標(biāo)靈敏度以及CD-ROM的自動(dòng)運(yùn)行配置等）總是莫名其妙地被自動(dòng)更改。硬盤總是無(wú)緣由地讀盤，軟盤驅(qū)動(dòng)器的指示燈經(jīng)常自己亮起，網(wǎng)絡(luò)連接及屏幕顯示出現(xiàn)異?，F(xiàn)象。159手工檢查在Windows系統(tǒng)中，可以使用下列工具：任務(wù)管理器：查看當(dāng)前正在運(yùn)行的程序；msconfig命令：查看系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)的程序；netstat命令：查看當(dāng)前的網(wǎng)絡(luò)連接和開放的端口。在Linux系統(tǒng)中，可以使用下列工具：ps命令：查看當(dāng)前正在運(yùn)行的程序；netstat命令：查看當(dāng)前的網(wǎng)絡(luò)連接和開放的端口。自動(dòng)檢查160【實(shí)驗(yàn)XHJC-091-007-SY01】常見特洛伊木馬清除工具的應(yīng)用TrojanRemover161SpyRemover162本章總結(jié)理解特洛伊木馬的基本概念和特征了解特洛伊木馬的危害和種類了解特洛伊木馬定位和清除的基本思路掌握特洛伊木馬的植入方法掌握常見特洛伊木馬的入侵方法和特征掌握常見的特洛伊木馬清除工具163第6章DoS與DDoS本章目標(biāo)了解DoS和DDoS原理掌握DoS和DDoS工具的使用方法掌握DoS和DDoS的防御方法1656.1DosDoS的英文全稱是DenialofService，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看，DoS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問(wèn)，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。1666.2DDoSDDoS（分布式拒絕服務(wù)），它的英文全稱為DistributedDenialofService。它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。DoS攻擊只要一臺(tái)單機(jī)和一個(gè)Modem就可實(shí)現(xiàn)，而DDoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來(lái)勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。167DDoS攻擊概念DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使服務(wù)器無(wú)法處理合法用戶的指令。被DDoS攻擊時(shí)的現(xiàn)象大級(jí)別攻擊運(yùn)行原理黑客是如何組織一次DDoS攻擊的？1686.3常見的DoS和DDoS工具6.3.1

DoS工具TfGen的使用6.3.2DoS工具WANKiller的使用1696.3.1DoS工具TfGen的使用

TfGen是一個(gè)免費(fèi)的流量生成的軟件。它可以向目標(biāo)主機(jī)的特定端口發(fā)送TCP和UDP的數(shù)據(jù)包，以模擬網(wǎng)絡(luò)流量。1706.3.2DoS工具WANKiller的使用

WANKiller也是一款簡(jiǎn)單小巧的流量生成的軟件，是網(wǎng)絡(luò)管理軟件Solarwinds中的一個(gè)組件。1716.4DoS與DDoS的防范172為了抵御拒絕服務(wù)的攻擊，可以使用下列兩種方法：使用最新的安全修復(fù)程序更新計(jì)算機(jī)；加固WindowsServer2003計(jì)算機(jī)上的TCP/IP協(xié)議堆棧。默認(rèn)的TCP/IP堆棧配置能夠處理正常的Intranet通信量。如果將計(jì)算機(jī)直接連接到Internet，Microsoft建議加固TCP/IP堆棧以抵御拒絕服務(wù)攻擊。本章總結(jié)了解DoS和DDoS原理掌握DoS和DDoS工具的使用方法掌握DoS和DDoS的防御方法173第7章密碼保護(hù)本章目標(biāo)了解密碼恢復(fù)的常用方法掌握恢復(fù)PDF文件密碼的方法掌握清除CMOS密碼的方法掌握恢復(fù)Windows系統(tǒng)密碼的方法掌握恢復(fù)Office文件密碼的方法1757.1密碼恢復(fù)方法密碼的類型有很多，密碼驗(yàn)證過(guò)程以及密碼存儲(chǔ)機(jī)制也各不相同，不過(guò)恢復(fù)密碼通常可以采用以下三種手段:利用系統(tǒng)自帶的密碼恢復(fù)機(jī)制利用軟件設(shè)計(jì)缺陷恢復(fù)密碼暴力破解1767.2恢復(fù)“*”密碼安裝密碼查看器177運(yùn)行星號(hào)密碼查看器178恢復(fù)星號(hào)密碼1797.3恢復(fù)壓縮文件密碼7.3.1安裝Passware軟件7.3.2恢復(fù)Zip文件密碼7.3.3恢復(fù)RAR文件密碼1807.3.1安裝Passware軟件從網(wǎng)站下載并購(gòu)買“PasswarePasswordRecoverKitEnterprise”，該軟件使用在線支付系統(tǒng)，可以使用VISA卡在線支付。運(yùn)行安裝文件“Kit_ent.exe”，進(jìn)入安裝向?qū)螕簟癗ext”按鈕，打開授權(quán)協(xié)議窗口，瀏覽授權(quán)協(xié)議然后選擇“IAgree”按鈕接受該協(xié)議所示窗口的地址欄中輸入正確的安裝路徑（目的分區(qū)硬盤空間需要大于4.1M），然后單擊“Next”按鈕。輸入需要?jiǎng)?chuàng)建的程序組名稱輸入正確的產(chǎn)品序列號(hào)1817.3.2恢復(fù)Zip文件密碼要恢復(fù)Zip文件密碼，需使用Passware軟件的“ZipKey”模塊。單擊“開始”→“所有程序”→“Passware”→“ZipKey”1827.3.3恢復(fù)RAR文件密碼恢復(fù)RAR文件密碼與恢復(fù)Zip文件密碼類似，使用Passware軟件的“RARKey”工具。所不同的是RARKey的設(shè)置選項(xiàng)當(dāng)中，沒(méi)有“KnownPlaintext”、“SureZipRecovery”、“Zip-in-ZipOptimization”等選項(xiàng)1837.4恢復(fù)MSOffice文件密碼MicrosoftOffice中的幾個(gè)主要程序都提供對(duì)其文檔進(jìn)行密碼保護(hù)，包括：Word、Excel、PowerPoint、Access等。Outlook的郵件文件（.pst）也可以設(shè)置密碼保護(hù)。PasswarePasswordRecoverKit軟件中的“OfficeKey”模塊可以恢復(fù)上述所有文檔的保護(hù)密碼。184具體方法如下:打開OfficeKey軟件185在主窗口中會(huì)列出Outlook的所有e-mail賬號(hào)186在主窗口中就可以看到相應(yīng)e-mail賬號(hào)的密碼1877.5恢復(fù)PDF文件密碼使用PasswarePasswordRecoverKit軟件中的“AcrobatKey”模塊可以恢復(fù)由Acrobat或Illustrator生成的PDF文件的保護(hù)密碼。具體方法與恢復(fù)Office文檔密碼方法類似.1887.6恢復(fù)CMOS密碼如果CMOS密碼丟失或遺忘可以通過(guò)以下三種方法來(lái)清除或找回相關(guān)設(shè)置：放電法在主機(jī)斷電的情況下將主板上為CMOS供電的電池取出，等待大約30秒后（或直接將電池座的正負(fù)極短接）然后再開機(jī)。189校驗(yàn)溢出法種方法是通過(guò)向CMOS芯片寫入數(shù)字，導(dǎo)致開機(jī)檢測(cè)時(shí)無(wú)法通過(guò)其奇偶校驗(yàn)，從而使CMOS芯片數(shù)據(jù)重新恢復(fù)到默認(rèn)設(shè)置。這種方法需要使用系統(tǒng)的debug程序，所以如果設(shè)置了系統(tǒng)級(jí)密碼，這種方法將無(wú)法使用。此外，這種方法只針對(duì)少部分BIOS有效，需要寫入的位置及數(shù)字也隨BIOS版本不同而有所不同。190算法漏洞破解法MOS密碼在存儲(chǔ)時(shí)普遍采用了比較簡(jiǎn)單的密文存儲(chǔ)方式，這些算法通常存在一些的漏洞，可以通過(guò)這些漏洞獲取CMOS密碼。1917.7Windows賬戶密碼恢復(fù)7.7.1

Windows2000中文輸入法漏洞7.7.2其他Windows2000密碼恢復(fù)方法7.7.3使用WindowsKey1927.7.1Windows2000中文輸入法漏洞中文輸入法漏洞可以說(shuō)是中文Windows2000推出后的第一個(gè)致命漏洞。通過(guò)它，我們可以做許多的事情，包括建立用戶。利用這個(gè)漏洞，在密碼丟失后可以快速的建立一個(gè)具有管理員權(quán)限的用戶，然后進(jìn)入系統(tǒng)。在登陸界面將光標(biāo)移至用戶名輸入框，按鍵盤上的<Ctrl>+<Shift>鍵，這時(shí)在默認(rèn)的安裝狀態(tài)下會(huì)出現(xiàn)輸入法狀態(tài)條。將鼠標(biāo)移至輸入法狀態(tài)條單擊鼠標(biāo)右鍵，在出現(xiàn)的對(duì)話框中選擇“幫助”命令，選擇操作指南。在基本操作目錄下選擇一項(xiàng)幫助目錄后，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“跳至URL”命令.此時(shí)可以輸入任何本地路徑名稱，如C:\、D:\，在此調(diào)用出控制面板或MMC工具就可以修改管理員賬戶密碼。1937.7.2其他Windows2000密碼恢復(fù)方法屏幕保護(hù)法啟動(dòng)腳本法刪除SAM文件1947.7.3使用WindowsKeyWindowsKey軟件具有下列特點(diǎn)：恢復(fù)成功率100%；不改變?cè)杏脩舻腟ID；支持光盤、軟盤及USB盤等三種引導(dǎo)方式；可以重置任意賬戶的密碼；可以重置任意賬戶的本地策略設(shè)置；支持WindowsXPTabletPC版；支持WindowsServer2003；支持WindowsXPHome版和Professional版；支持Windows2000Professional、Server、AdvancedServer版；支持WindowsNTWorkstation4.0級(jí)Server4.0；可以重置活動(dòng)目錄域控制器中的域管理員賬戶密碼（需要PasswareEnterprise版）。195具體步驟如下:打開WindowsKey軟件在光驅(qū)中放入一張Windows安裝光盤，選擇好要生成的CD影像文件（.iso）的路徑，單擊“n