[科普中國]-黑客技術(shù)

黑客技術(shù)，簡單地說，是對計算機系統(tǒng)和網(wǎng)絡的缺陷和漏洞的發(fā)現(xiàn)，以及針對這些缺陷實施攻擊的技術(shù)。這里說的缺陷，包括軟件缺陷、硬件缺陷、網(wǎng)絡協(xié)議缺陷、管理缺陷和人為的失誤。

簡介網(wǎng)絡是多種信息技術(shù)的集合體，它的運行依靠相關(guān)的大量技術(shù)標準和協(xié)議。作為網(wǎng)絡的入侵者，黑客的工作主要是通過對技術(shù)和實際實現(xiàn)中的邏輯漏洞進行挖掘，通過系統(tǒng)允許的操作對沒有權(quán)限操作的信息資源進行訪問和處理，黑客對網(wǎng)絡的攻擊主要是通過網(wǎng)絡中存在的拓撲漏洞及對外提供服務的實現(xiàn)漏洞實現(xiàn)成功的滲透。1

除了使用這些技術(shù)上的漏洞，黑客還可以充分利用人為運行管理中存在的問題對目標網(wǎng)絡實施入侵。通過欺騙、信息搜集等社會工程學的方法，黑客可以從網(wǎng)絡運行管理的薄弱環(huán)節(jié)人手，通過對人本身的習慣的把握，迅速地完成對網(wǎng)絡用戶身份的竊取并進而完成對整個網(wǎng)絡的攻擊。1

黑客的技術(shù)范圍很廣，涉及網(wǎng)絡協(xié)議解析、源碼安全性分析、密碼強度分析和社會工程學等多個不同的學科。入侵一個目標系統(tǒng)，在早期需要黑客具有過硬的協(xié)議分析基礎(chǔ)、深厚的數(shù)學功底，但由于網(wǎng)絡的共享能力以及自動攻擊腳本的成熟與廣泛的散播，現(xiàn)在黑客的行為愈演愈烈，而對黑客的技術(shù)要求也在不斷地降低。1

目前，在實施網(wǎng)絡攻擊中，黑客所使用的入侵技術(shù)主要包括以下幾種：協(xié)議漏洞滲透、密碼分析還原、應用漏洞分析與滲透、社會工程學、拒絕服務攻擊、病毒或后門攻擊。1

種類及傳播方式黑客技術(shù)的種類和傳播方式有如下幾種。2

掛馬網(wǎng)站根據(jù)2012年2月底QQ電腦管家統(tǒng)計，檢測出新增的獨立URI。掛馬網(wǎng)站數(shù)量超過246萬個；隨著大量黑客網(wǎng)站與論壇中的教程對掛馬技術(shù)的“掃盲”，預計今后網(wǎng)站掛馬在中國會更加瘋狂地出現(xiàn)，掛馬技術(shù)普及更助長了木馬的傳播與黑客的發(fā)展壯大。2

掛馬網(wǎng)站起著傳播木馬與其他惡意程序的作用。擅長網(wǎng)絡攻擊的黑客傳播木馬的主要手段之一就是掛馬。通過掛馬廣泛傳播木馬后．專職盜號者就可以獲得用戶的敏感信息。2

利用第三方漏洞當人們?nèi)諠u明白操作系統(tǒng)打補丁的重要性時，黑客們利用操作系統(tǒng)漏洞的機會便越來越少，為了能夠達到攻入用戶電腦的非法目的，黑客們把目標轉(zhuǎn)移到應用軟件漏洞上來。被黑客們關(guān)注的應用軟件都是裝機量很大、用戶量很多的熱門軟件，例如下載軟件、視頻播放軟件、文字處理軟件等，這些軟件都成為了黑客們重點挖掘漏洞的對象。2

大多數(shù)的病毒制造者是把別人挖掘的漏洞加入自己的程序中。但隨著黑客人數(shù)的日益增多，會有越來越多的第三方軟件漏洞被黑客發(fā)現(xiàn)并利用。2

網(wǎng)游木馬網(wǎng)絡游戲的普及性、玩家的大眾化、虛擬游戲世界的被認知性、虛擬裝備的稀缺性等原因，導致網(wǎng)絡游戲財產(chǎn)方面的市場需求十分旺盛，因此交易內(nèi)容也多以網(wǎng)絡游戲的賬號、密碼、虛擬錢幣、虛擬游戲裝備為主。正是在這種市場環(huán)境下，網(wǎng)絡游戲盜號者在盜取完成后，在正規(guī)的網(wǎng)絡交易平臺進行正常的交易；交易完成，虛擬世界的錢幣與物品得以兌換成為現(xiàn)實貨幣，最終虛擬財產(chǎn)便就此具備了現(xiàn)實的實際價值。2

網(wǎng)絡釣魚隨著電子商務、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務在日常生活中的普及，網(wǎng)絡釣魚事件在我國層出不窮。網(wǎng)絡釣魚是黑客使用虛假網(wǎng)站來誘騙瀏覽者提供信用卡賬號、用戶名、密碼、詳細的個人信息等，而欺騙手段一般是假冒成確實需要這些信息的可信方，隨后利用騙得的賬號和密碼竊取受騙者的金錢。從涉及領(lǐng)域來看，大多數(shù)釣魚網(wǎng)站案件集中在金融和電子商務兩個行業(yè)。釣魚網(wǎng)站實現(xiàn)在黑客技術(shù)中并不是很復雜，只需要把一個虛假網(wǎng)站散播出去，讓用戶受騙，即可完成非法獲利的目的。2

惡意拒絕服務攻擊拒絕服務攻擊最主要的目的是造成被攻擊服務器資源耗盡或系統(tǒng)崩潰而無法提供服務。這樣的入侵對于服務器來說可能并不會造成損害，但可以造成人們對被攻擊服務器所提供服務的信任度下降，影響公司的聲譽及用戶對網(wǎng)絡服務的使用。這類攻擊主要還是利用網(wǎng)絡協(xié)議的一些薄弱環(huán)節(jié)，通過發(fā)送大量無效請求數(shù)據(jù)包造成服務器進程無法短期釋放，大瞪積累耗盡系統(tǒng)資源，使得服務器無法對正常的請求進行響應，造成服務的癱瘓。1

初級技術(shù)舉例網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡安全的研究領(lǐng)域。確保網(wǎng)絡系統(tǒng)的信息安全是網(wǎng)絡安全的目標，信息安全包括兩個方面：信息的存儲安全和信息的傳輸安全。信息的存儲安全是指信息在靜態(tài)存放狀態(tài)下的安全，如是否會被非授權(quán)調(diào)用等。信息的傳輸安全是指信息在動態(tài)傳輸過程中安全。為了確保網(wǎng)絡信息的傳輸安全，有以下幾個問題：

（1）對網(wǎng)絡上信息的監(jiān)聽；

（2）對用戶身份的仿冒；

（3）對網(wǎng)絡上信息的篡改；

（4）對發(fā)出的信息予以否認；

（5）對信息進行重發(fā)。

口令入侵所謂口令入侵，就是指用一些軟件解開已經(jīng)得到但被人加密的口令文檔，不過許多黑客已大量采用一種可以繞開或屏蔽口令保護的程序來完成這項工作。對于那些可以解開或屏蔽口令保護的程序通常被稱為“Crack”。由于這些軟件的廣為流傳，使得入侵電腦網(wǎng)絡系統(tǒng)有時變得相當簡單，一般不需要很深入了解系統(tǒng)的內(nèi)部結(jié)構(gòu)，是初學者的好方法。

特洛伊木馬術(shù)說到特洛伊木馬，只要知道這個故事的人就不難理解，它最典型的做法可能就是把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中，這時合法用戶的程序代碼已被改變。一旦用戶觸發(fā)該程序，那么依附在內(nèi)的黑客指令代碼同時被激活，這些代碼往往能完成黑客指定的任務。由于這種入侵法需要黑客有很好的編程經(jīng)驗，且要更改代碼、要一定的權(quán)限，所以較難掌握。但正因為它的復雜性，一般的系統(tǒng)管理員很難發(fā)現(xiàn)。

監(jiān)聽法這是一個很實用但風險也很大的黑客入侵方法，但還是有很多入侵系統(tǒng)的黑客采用此類方法，正所謂藝高人膽大。

網(wǎng)絡節(jié)點或工作站之間的交流是通過信息流的轉(zhuǎn)送得以實現(xiàn)，而當在一個沒有集線器的網(wǎng)絡中，數(shù)據(jù)的傳輸并沒有指明特定的方向，這時每一個網(wǎng)絡節(jié)點或工作站都是一個接口。這就好比某一節(jié)點說：“嗨！你們中有誰是我要發(fā)信息的工作站?！?/p>

此時，所有的系統(tǒng)接口都收到了這個信息，一旦某個工作站說：“嗨！那是我，請把數(shù)據(jù)傳過來?！甭?lián)接就馬上完成。

目前有網(wǎng)絡上流傳著很多嗅探軟件，利用這些軟件就可以很簡單的監(jiān)聽到數(shù)據(jù)，甚至就包含口令文件，有的服務在傳輸文件中直接使用明文傳輸，這也是非常危險的。

E-mail技術(shù)使用email加木馬程序這是黑客經(jīng)常使用的一種手段，而且非常奏效，一般的用戶，甚至是網(wǎng)管，對網(wǎng)絡安全的意識太過于淡薄，這就給很多黑客以可乘之機。

病毒技術(shù)作為一個黑客，如此使用應該是一件可恥的事情，不過大家可以學習，畢竟也是一種攻擊的辦法，特殊時間，特殊地點完全可以使用。

反黑客技術(shù)防范黑客的技術(shù)措施有很多，下面介紹幾種基本的防范技術(shù)。3

防火墻技術(shù)建立防火墻是一種常見的實用技術(shù)措施?！胺阑饓Α笔且环N形象的說法，其實它是一種計算機硬件和軟件的組合體。防火墻使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受外部非法用戶的侵入。防火墻就是因特網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。3

雖然防火墻是防范外部黑客的最重要手段之一，但是，如果設(shè)置不當，會留下漏洞，成為黑客攻擊網(wǎng)絡的橋梁。在目前黑客智能程度越來越高的情況下，一個要訪問因特網(wǎng)的防火墻，如果不使用先進認證裝置或者不包含使用先進驗證裝置的連接工具，則這樣的防火墻幾乎是沒有意義的。因此，現(xiàn)代防火墻必須采用綜合安全技術(shù)，有時還需加入信息的加密存儲和加密傳輸技術(shù)以及數(shù)字簽名、數(shù)字郵戳、數(shù)字認證等安全技術(shù)方能有效地保護系統(tǒng)的安全。3

需要特別注意的是，防火墻并不能防范內(nèi)部黑客。3

入侵檢測技術(shù)防火墻不是完整解決安全問題的方法。一個有經(jīng)驗的攻擊者會利用網(wǎng)絡的漏洞，采用“好”的黑客工具穿透防火墻。因此，應該結(jié)合使用入侵檢測技術(shù)，共同防范黑客。3

入侵檢測系統(tǒng)是對入侵行為的發(fā)覺，是進行人侵檢測的硬件與軟件的結(jié)合。它是通過從計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。它的主要任務是：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；對異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)義件的完整性：對操作系統(tǒng)進行審計跟蹤管理，并識別用戶違反安全策略的行為等。3

身份識別和數(shù)字簽名技術(shù)身份識別和數(shù)字簽名技術(shù)是網(wǎng)絡中進行身份證明和保證數(shù)據(jù)真實性、完整性的一種重要手段?，F(xiàn)在身份認證的方式有三種：一是利用本身特征進行認證，比如人類生物學提供的指紋、聲音、面像鑒別；二是利用所知道的事進行認證，比如口令；三是利用物品進行認證，比如使用智能卡。網(wǎng)絡通信中的認證除了口令、標識符等，目前主要是采用公鑰密碼技術(shù)實現(xiàn)的。3

威脅報告根據(jù)Websense安全實驗室發(fā)布的《Websense 2012年威脅報告》，我們看到三個因素正在成為數(shù)據(jù)竊取“得力助手”：第一，基于社交網(wǎng)絡生成的各種誘餌，這是當前極富成效的攻擊手段；第二，現(xiàn)代惡意軟件在滲入時已具備回避安全檢測的能力；第三，機密數(shù)據(jù)的泄露方式日益復雜。為了幫助企業(yè)有效的應對威脅現(xiàn)狀，該報告不僅陳列了最新的安全調(diào)查發(fā)現(xiàn)，還為安全專業(yè)人士提供多起案例進行參考，并提出切實可行的防范建議。

Websense中國安全實驗室經(jīng)理洪敬風表示：“傳統(tǒng)的安全防線已經(jīng)失去了作用，面對現(xiàn)代威脅環(huán)境，只有依靠多點檢測的實時防御方案，深度檢測和分析入站的每一個網(wǎng)頁與電子郵件內(nèi)容以及出站敏感數(shù)據(jù)傳送才能幫助企業(yè)有效緩解數(shù)據(jù)泄露等信息安全風險。在我們的觀察中發(fā)現(xiàn)：利用Web和電子郵件進行攻擊幾乎發(fā)生在每一起惡意數(shù)據(jù)竊取行動中；而以人為突破口發(fā)起的各種社會工程學攻擊更是越加普遍。因為新一代攻擊者懂得針對一個目標基于多種威脅渠道從多個數(shù)據(jù)點發(fā)起攻擊，所以只有充分了解威脅的整個生命周期，并且能夠?qū)?shù)據(jù)安全嵌入各個環(huán)節(jié)的解決方案才能夠有效防止新的威脅?！?/p>

關(guān)鍵發(fā)現(xiàn)：

82%的惡意網(wǎng)站被托管在已經(jīng)被惡意份子控制的主機上。主機一旦被惡意份子攻陷則不再能提供可被信任的基準、云或者托管服務。從大的環(huán)境來講，這阻礙了社會經(jīng)濟的發(fā)展，因為云技術(shù)被大量應用于發(fā)展商業(yè)、交通和文化。

55%的數(shù)據(jù)竊取源于基于Web的惡意軟件通訊。

43%的Facebook分享為流媒體，其中有不少為病毒式視頻。因為當前的各種Web誘餌（視頻、虛假禮品贈與、虛假調(diào)查問卷和詐騙等）都是從吸引人的好奇心出發(fā)，并越來越多地被使用在社交網(wǎng)絡上。Websense是Facebook的內(nèi)容安全合作伙伴，致力幫助Facebook掃描其內(nèi)容更新中的所有 Web鏈接，所以 Websense調(diào)查員對社交網(wǎng)絡內(nèi)容具有深入的了解和敏銳的觀察。

50%的惡意軟件的重定向地址指向美國，其次是加拿大。

60%的釣魚網(wǎng)站主機在美國，還有一大部分在加拿大。而美國亦是托管最多惡意軟件的國家，占總量的36%，緊隨其后的是俄羅斯。

74%的電子郵件是垃圾郵件，在前一年這個數(shù)據(jù)是84%.總體來說，在對抗垃圾郵件僵尸網(wǎng)絡方面的努力頗有成效。而另一方面，在垃圾郵件的總量下降的同時，我們看到92%的垃圾郵件都包含一個URL鏈接，這說明混合電子郵件和Web威脅的攻擊正在上升。排名前五位的垃圾郵件誘餌有：訂單狀態(tài)通知、票務確認、交貨通知、測試郵件，以及退稅通知。另外，魚叉式網(wǎng)絡釣魚攻擊也在持續(xù)增長，大多數(shù)被用于針對性攻擊。

Websense安全實驗室分析了超過20萬個安卓應用，發(fā)現(xiàn)了大量的包含惡意目地和許可的軟件?？梢灶A計，未來將會有更多的用戶會成為惡意移動應用程序的受害者。

先進威脅的生命周期可以被分為6個階段：誘惑、重定向、攻擊工具包、dropper木馬文件、自動通訊，和數(shù)據(jù)竊取。其中每一個階段都有不同的特征，需要專門的實時防御系統(tǒng)。傳統(tǒng)的安全防護手段因為主要關(guān)注第四階段，并且只能夠基于已知威脅特征庫查找惡意軟件，所以在現(xiàn)代威脅面前頓時失靈。先進威脅中使用的dropper木馬可能在數(shù)小時或者數(shù)天中都無法被傳統(tǒng)安全工具檢測到。

Websense安全實驗室運用Websense ThreatSeeker Network對全球互聯(lián)網(wǎng)威脅進行實時監(jiān)測。Websense ThreatSeeker Network每小時掃描4千多萬個Web網(wǎng)站和1千多萬封電子郵件，以查找不當內(nèi)容和惡意代碼。利用全球超過5千萬個節(jié)點的實時數(shù)據(jù)采集系統(tǒng)，Websense ThreatSeeker Networks監(jiān)測并分類Web、郵件以及數(shù)據(jù)內(nèi)容，這使得Websense在審查Internet及電子郵件內(nèi)容方面具有獨一無二的可視能力。

相關(guān)術(shù)語1．肉雞：所謂“肉雞”是一種很形象的比喻，比喻那些可以隨意被我們控制的電腦，對方可以是WINDOWS系統(tǒng)，也可以是UNIX/LINUX系統(tǒng)，可以是普通的個人電腦，也可以是大型的服務器，我們可以象操作自己的電腦那樣來操作它們，而不被對方所發(fā)覺。

2．木馬：就是那些表面上偽裝成了正常的程序，但是當這些被程序運行時，就會獲取系統(tǒng)的整個控制權(quán)限。有很多黑客就是熱衷于使用木馬程序來控制別人的電腦，比如灰鴿子，黑洞，PcShare等等。

3．網(wǎng)頁木馬：表面上偽裝成普通的網(wǎng)頁文件或是將自己的代碼直接插入到正常的網(wǎng)頁文件中，當有人訪問時，網(wǎng)頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執(zhí)行。

4．掛馬：就是在別人的網(wǎng)站文件里面放入網(wǎng)頁木馬或者是將代碼潛入到對方正常的網(wǎng)頁文件里，以使瀏覽者中馬。

5．后門：這是一種形象的比喻，入侵者在利用某些方法成功的控制了目標主機后，可以在對方的系統(tǒng)中植入特定的程序，或者是修改某些設(shè)置。這些改動表面上是很難被察覺的，但是入侵者卻可以使用相應的程序或者方法來輕易的與這臺電腦建立連接，重新控制這臺電腦，就好象是入侵者偷偷的配了一把主人房間的鑰匙，可以隨時進出而不被主人發(fā)現(xiàn)一樣。

通常大多數(shù)的特洛伊木馬(Trojan Horse)程序都可以被入侵者用于制作后門(BackDoor)。

6．rootkit：rootkit是攻擊者用來隱藏自己的行蹤和保留root(根權(quán)限，可以理解成WINDOWS下的system或者管理員權(quán)限)訪問權(quán)限的工具。通常，攻擊者通過遠程攻擊的方式獲得root訪問權(quán)限，或者是先使用密碼猜解(破解)的方式獲得對系統(tǒng)的普通訪問權(quán)限，進入系統(tǒng)后，再通過，對方系統(tǒng)內(nèi)存在的安全漏洞獲得系統(tǒng)的root權(quán)限。然后，攻擊者就會在對方的系統(tǒng)中安裝rootkit，以達到自己長久控制對方的目的，rootkit與我們前邊提到的木馬和后門很類似，但遠比它們要隱蔽，黑客守衛(wèi)者就是很典型的rootkit，還有國內(nèi)的ntroorkit等都是不錯的rootkit工具。

7．IPC$：是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的權(quán)限，在遠程管理計算機和查看計算機的共享資源時使用。

8．弱口令：指那些強度不夠，容易被猜解的，類似123，abc這樣的口令(密碼)。

9．默認共享：默認共享是WINDOWS2000/XP/2003系統(tǒng)開啟共享服務時自動開啟所有硬盤的共享，因為加了"$"符號，所以看不到共享的托手圖表，也稱為隱藏共享。

10．shell：指的是一種命令執(zhí)行環(huán)境，比如我們按下鍵盤上的“開始鍵+R”時出現(xiàn)“運行”對話框，在里面輸入“cmd”會出現(xiàn)一個用于執(zhí)行命令的黑窗口，這個就是WINDOWS的Shell執(zhí)行環(huán)境。通常我們使用遠程溢出程序成功溢出遠程電腦后得到的那個用于執(zhí)行系統(tǒng)命令的環(huán)境就是對方的shell。

11．WebShell：WebShell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也可以將其稱做是一種網(wǎng)頁后門。黑客在入侵了一個網(wǎng)站后，通常會將這些asp或php后門文件與網(wǎng)站服務器WEB目錄下正常的網(wǎng)頁文件混在一起，然后就可以使用瀏覽器來訪問這些asp 或者php后門，得到一個命令執(zhí)行環(huán)境，以達到控制網(wǎng)站服務器的目的?？梢陨蟼飨螺d文件，查看數(shù)據(jù)庫，執(zhí)行任意程序命令等。國內(nèi)常用的WebShell有海陽ASP木馬，Phpspy，c99shell等。

12．溢出：確切的講，應該是“緩沖區(qū)溢出”。簡單的解釋就是程序?qū)邮艿妮斎霐?shù)據(jù)沒有執(zhí)行有效的檢測而導致錯誤，后果可能是造成程序崩潰或者是執(zhí)行攻擊者的命令。大致可以分為兩類：(1)堆溢出；(2)棧溢出。

13．注入：隨著B/S模式應用開發(fā)的發(fā)展，使用這種模式編寫程序的程序員越來越來越多，但是由于程序員的水平參差不齊相當大一部分應用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想要知的數(shù)據(jù)，這個就是所謂的SQLinjection，即：SQL注入。

14．注入點：是可以實行注入的地方，通常是一個訪問數(shù)據(jù)庫的連接。根據(jù)注入點數(shù)據(jù)庫的運行帳號的權(quán)限的不同，你所得到的權(quán)限也不同。

15．內(nèi)網(wǎng)：通俗的講就是局域網(wǎng)，比如網(wǎng)吧，校園網(wǎng)，公司內(nèi)部網(wǎng)等都屬于此類。查看IP地址如果是在以下三個范圍之內(nèi)的話，就說明我們是處于內(nèi)網(wǎng)之中的：10.0.0.0—10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255。

16．外網(wǎng)：直接連入INTERNET(互連網(wǎng))，可以與互連網(wǎng)上的任意一臺電腦互相訪問，IP地址不是保留IP(內(nèi)網(wǎng))IP地址。

17．端口：(Port)相當于一種數(shù)據(jù)的傳輸通道。用于接受某些數(shù)據(jù)，然后傳輸給相應的服務，而電腦將這些數(shù)據(jù)處理后，再將相應的恢復通過開啟的端口傳給對方。一般每一個端口的開放都對應了相應的服務，要關(guān)閉這些端口只需要將對應的服務關(guān)閉就可以了。

18．3389、4899肉雞：3389是Windows終端服務(Terminal Services)所默認使用的端口號，該服務是微軟為了方便網(wǎng)絡管理員遠程管理及維護服務器而推出的，網(wǎng)絡管理員可以使用遠程桌面連接到網(wǎng)絡上任意一臺開啟了終端服務的計算機上，成功登陸后就會象操作自己的電腦一樣來操作主機了。這和遠程控制軟件甚至是木馬程序?qū)崿F(xiàn)的功能很相似，終端服務的連接非常穩(wěn)定，而且任何殺毒軟件都不會查殺，所以也深受黑客喜愛。黑客在入侵了一臺主機后，通常都會想辦法先添加一個屬于自己的后門帳號，然后再開啟對方的終端服務，這樣，自己就隨時可以使用終端服務來控制對方了，這樣的主機，通常就會被叫做3389肉雞。Radmin是一款非常優(yōu)秀的遠程控制軟件，4899就是Radmin默認使以也經(jīng)常被黑客當作木馬來使用(正是這個原因，有的人在使用的服務端口號。因為Radmin的控制功能非常強大，傳輸速度也比大多數(shù)木馬快，而且又不被殺毒軟件所查殺，所用Radmin管理遠程電腦時使用的是空口令或者是弱口令，黑客就可以使用一些軟件掃描網(wǎng)絡上存在Radmin空口令或者弱口令的主機，然后就可以登陸上去遠程控制對方，這樣被控制的主機通常就被成做4899肉雞。

19．免殺：就是通過加殼、加密、修改特征碼、加花指令等等技術(shù)來修改程序，使其逃過殺毒軟件的查殺。

20．加殼：就是利用特殊的算法，將EXE可執(zhí)行程序或者DLL動態(tài)連接庫文件的編碼進行改變(比如實現(xiàn)壓縮、加密)，以達到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。較常用的殼有UPX，ASPack、PePack、PECompact、UPack、免疫007、木馬彩衣等等。

21．花指令：就是幾句匯編指令，讓匯編語句進行一些跳轉(zhuǎn)，使得殺毒軟件不能正常的判斷病毒文件的構(gòu)造。說通俗點就是“殺毒軟件是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳顛倒位置，殺毒軟件就找不到病毒了”。

本詞條內(nèi)容貢獻者為:

孫銳 - 教授 - 合肥工業(yè)大學