[科普中國(guó)]-黑客攻擊

攻擊手段

黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。下面為大家介紹4種黑客常用的攻擊手段。1

1、后門程序

由于程序員設(shè)計(jì)一些功能復(fù)雜的程序時(shí)，一般采用模塊化的程序設(shè)計(jì)思想，將整個(gè)項(xiàng)目分割為多個(gè)功能模塊，分別進(jìn)行設(shè)計(jì)、調(diào)試，這時(shí)的后門就是一個(gè)模塊的秘密入口。在程序開發(fā)階段，后門便于測(cè)試、更改和增強(qiáng)模塊功能。正常情況下，完成設(shè)計(jì)之后需要去掉各個(gè)模塊的后門，不過有時(shí)由于疏忽或者其他原因（如將其留在程序中，便于日后訪問、測(cè)試或維護(hù)）后門沒有去掉，一些別有用心的人會(huì)利用窮舉搜索法發(fā)現(xiàn)并利用這些后門，然后進(jìn)入系統(tǒng)并發(fā)動(dòng)攻擊。1

2、信息炸彈

信息炸彈是指使用一些特殊工具軟件，短時(shí)間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量超出系統(tǒng)負(fù)荷的信息，造成目標(biāo)服務(wù)器超負(fù)荷、網(wǎng)絡(luò)堵塞、系統(tǒng)崩潰的攻擊手段。比如向未打補(bǔ)丁的 Windows 95系統(tǒng)發(fā)送特定組合的 UDP 數(shù)據(jù)包，會(huì)導(dǎo)致目標(biāo)系統(tǒng)死機(jī)或重啟；向某型號(hào)的路由器發(fā)送特定數(shù)據(jù)包致使路由器死機(jī)；向某人的電子郵件發(fā)送大量的垃圾郵件將此郵箱“撐爆”等。目前常見的信息炸彈有郵件炸彈、邏輯炸彈等。1

3、拒絕服務(wù)

拒絕服務(wù)又叫分布式D.O.S攻擊，它是使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用系統(tǒng)、帶寬資源，最后致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。作為攻擊者，首先需要通過常規(guī)的黑客手段侵入并控制某個(gè)網(wǎng)站，然后在服務(wù)器上安裝并啟動(dòng)一個(gè)可由攻擊者發(fā)出的特殊指令來(lái)控制進(jìn)程，攻擊者把攻擊對(duì)象的IP地址作為指令下達(dá)給進(jìn)程的時(shí)候，這些進(jìn)程就開始對(duì)目標(biāo)主機(jī)發(fā)起攻擊。這種方式可以集中大量的網(wǎng)絡(luò)服務(wù)器帶寬，對(duì)某個(gè)特定目標(biāo)實(shí)施攻擊，因而威力巨大，頃刻之間就可以使被攻擊目標(biāo)帶寬資源耗盡，導(dǎo)致服務(wù)器癱瘓。比如1999年美國(guó)明尼蘇達(dá)大學(xué)遭到的黑客攻擊就屬于這種方式。1

4、網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽是一種監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳輸信息的管理工具，它可以將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，并且可以截獲網(wǎng)上傳輸?shù)男畔?，也就是說，當(dāng)黑客登錄網(wǎng)絡(luò)主機(jī)并取得超級(jí)用戶權(quán)限后，若要登錄其他主機(jī)，使用網(wǎng)絡(luò)監(jiān)聽可以有效地截獲網(wǎng)上的數(shù)據(jù)，這是黑客使用最多的方法，但是，網(wǎng)絡(luò)監(jiān)聽只能應(yīng)用于物理上連接于同一網(wǎng)段的主機(jī)，通常被用做獲取用戶口令。1

5、DDOS

黑客進(jìn)入計(jì)算條件，一個(gè)磁盤操作系統(tǒng)（拒絕服務(wù)）或DDoS攻擊（分布式拒絕服務(wù)）攻擊包括努力中斷某一網(wǎng)絡(luò)資源的服務(wù)，使其暫時(shí)無(wú)法使用。

這些攻擊通常是為了停止一個(gè)互聯(lián)網(wǎng)連接的主機(jī)，然而一些嘗試可能的目標(biāo)一定機(jī)以及服務(wù)。

2014年的DDoS攻擊已經(jīng)達(dá)28 /小時(shí)的頻率。這些攻擊的主要目標(biāo)企業(yè)或網(wǎng)站的大流量。

DDOS沒有固定的地方，這些攻擊隨時(shí)都有可能發(fā)生；他們的目標(biāo)行業(yè)全世界。分布式拒絕服務(wù)攻擊大多出現(xiàn)在服務(wù)器被大量來(lái)自攻擊者或僵尸網(wǎng)絡(luò)通信的要求。

服務(wù)器無(wú)法控制超文本傳輸協(xié)議要求任何進(jìn)一步的，最終關(guān)閉，使其服務(wù)的合法用戶的一致好評(píng)。這些攻擊通常不會(huì)引起任何的網(wǎng)站或服務(wù)器損壞，但請(qǐng)暫時(shí)關(guān)閉。

這種方法的應(yīng)用已經(jīng)擴(kuò)大了很多，現(xiàn)在用于更惡意的目的；喜歡掩蓋欺詐和威懾安防面板等。2

6、密碼破解當(dāng)然也是黑客常用的攻擊手段之一。

相關(guān)目的進(jìn)程執(zhí)行攻擊者在登上了目標(biāo)主機(jī)后，或許只是運(yùn)行了一些簡(jiǎn)單的程序，也可能這些程序是無(wú)傷大雅的，僅僅只是消耗了一些系統(tǒng)的CPU時(shí)間。

但是事情并不如此簡(jiǎn)單，我們都知道，有些程序只能在一種系統(tǒng)中運(yùn)行，到了另一個(gè)系統(tǒng)將無(wú)法運(yùn)行。一個(gè)特殊的例子就是一些掃描只能在UNIX系統(tǒng)中運(yùn)行，在這種情況下，攻擊者為了攻擊的需要，往往就會(huì)找一個(gè)中間站點(diǎn)來(lái)運(yùn)行所需要的程序，并且這樣也可以避免暴露自己的真實(shí)目的所在。即使被發(fā)現(xiàn)了，也只能找到中間的站點(diǎn)地址。

在另外一些情況下，假使有一個(gè)站點(diǎn)能夠訪問另一個(gè)嚴(yán)格受控的站點(diǎn)或網(wǎng)絡(luò)，為了攻擊這個(gè)站點(diǎn)或網(wǎng)絡(luò)，入侵者可能就會(huì)先攻擊這個(gè)中間的站點(diǎn)。這種情況對(duì)被攻擊的站點(diǎn)或網(wǎng)絡(luò)本身可能不會(huì)造成破壞，但是潛在的危險(xiǎn)已經(jīng)存在。首先，它占有了大量的處理器的時(shí)間，尤其在運(yùn)行一個(gè)網(wǎng)絡(luò)監(jiān)聽軟件時(shí)，使得一個(gè)主機(jī)的響應(yīng)時(shí)間變得非常的長(zhǎng)。另外，從另一個(gè)角度來(lái)說，將嚴(yán)重影響目標(biāo)主機(jī)的信任度。因?yàn)槿肭终呓柚谀繕?biāo)主機(jī)對(duì)目標(biāo)主機(jī)能夠訪問，而且嚴(yán)格受控的站點(diǎn)或進(jìn)行攻擊。當(dāng)造成損失時(shí)，責(zé)任會(huì)轉(zhuǎn)嫁到目標(biāo)主機(jī)的管理員身上，后果是難以估計(jì)的。可能導(dǎo)致目標(biāo)主機(jī)損失一些受信任的站點(diǎn)或網(wǎng)絡(luò)。再就是，可能入侵者將一筆賬單轉(zhuǎn)嫁到目標(biāo)主機(jī)上，這在網(wǎng)上獲取收費(fèi)信息是很有可能的。

獲取數(shù)據(jù)攻擊者的目標(biāo)就是系統(tǒng)中的重要數(shù)據(jù)，因此攻擊者通過登上目標(biāo)主機(jī)，或是使用網(wǎng)絡(luò)監(jiān)聽進(jìn)行攻擊事實(shí)上，即使連入侵者都沒有確定要于什么時(shí)，在一般情況下，他會(huì)將當(dāng)前用戶目錄下的文件系統(tǒng)中的/etc/hosts或/etc/passwd復(fù)制回去。

獲取權(quán)限具有超級(jí)用戶的權(quán)限，意味著可以做任何事情，這對(duì)入侵者無(wú)疑是一個(gè)莫大的誘惑。在UNIX系統(tǒng)中支持網(wǎng)絡(luò)監(jiān)聽程序必需有這種權(quán)限，因此在一個(gè)局域網(wǎng)中，掌握了一臺(tái)主機(jī)的超級(jí)用戶權(quán)限，才可以說掌握了整個(gè)子網(wǎng)。

非法訪問有許多的系統(tǒng)是不允許其他的用戶訪問的，比如一個(gè)公司、組織的網(wǎng)絡(luò)。因此，必須以一種非常的行為來(lái)得到訪問的權(quán)力。這種攻擊的目的并不一定要做什么，或許只是為訪問面攻擊。在一個(gè)有許多windows95

的用戶網(wǎng)絡(luò)中，常常有許多的用戶把自己的目錄共享出未，于是別人就可以從容地在這些計(jì)算機(jī)上瀏覽、尋找自己感興趣的東西，或者刪除更換文件?；蛟S通過攻擊來(lái)證明自己技術(shù)的行為才是我們想像中的黑客行徑，畢竟，誰(shuí)都不喜歡些專門搞破壞，或者給別人帶來(lái)麻煩的入侵者。但是，這種非法訪問的的黑客行為，人們也不喜歡的。

操作有時(shí)候，用戶被允許訪問某些資源，但通常受到許多的限制。在一個(gè)UNIX系統(tǒng)中沒有超級(jí)用戶的權(quán)限，許多事情將無(wú)法做，于是有了一個(gè)普通的戶頭，總想得到一個(gè)更大權(quán)限。在windowsNT系統(tǒng)中一樣，系統(tǒng)中隱藏的秘密太多了，人們總經(jīng)不起誘惑。例如網(wǎng)關(guān)對(duì)一些站點(diǎn)的訪問進(jìn)行嚴(yán)格控制等。許多的用戶都有意無(wú)意地去嘗試盡量獲取超出允許的一些權(quán)限，于是便尋找管理員在置中的漏洞，或者去找一些工具來(lái)突破系統(tǒng)的安全防線，例如，特洛伊木馬就是一種使用多的手段。

拒絕服務(wù)同上面的目的進(jìn)行比較，拒絕服務(wù)便是一種有目的的破壞行為了。拒絕服務(wù)的方式很多，如將連接局域網(wǎng)的電纜接地；向域名服務(wù)器發(fā)送大量的無(wú)意義的請(qǐng)求，使得它無(wú)法完成從其他的主機(jī)來(lái)的名字解析請(qǐng)求；制造網(wǎng)絡(luò)風(fēng)暴，讓網(wǎng)絡(luò)中充斥大量的封包，占據(jù)網(wǎng)絡(luò)的帶寬，延緩網(wǎng)絡(luò)的傳輸。

涂改信息涂改信息包括對(duì)重要文件的修改、更換，刪除，是一種很惡劣的攻擊行為。不真實(shí)的或者錯(cuò)誤的信息都將對(duì)用戶造成很大的損失。

暴露信息入侵的站點(diǎn)有許多重要的信息和數(shù)據(jù)可以用。攻擊者若使用一些系統(tǒng)工具往往會(huì)被系統(tǒng)記錄下來(lái)如果直接發(fā)給自己的站點(diǎn)也會(huì)暴露自己的身份和地址，于是竊取信息時(shí)，攻擊者往往將這些信息和數(shù)據(jù)送到一個(gè)公開的FTP站點(diǎn)，或者利用電子郵件寄往一個(gè)可以拿到的地方，等以后再?gòu)倪@些地方取走。

這樣做可以很好隱藏自己。將這些重要的信息發(fā)往公開的站點(diǎn)造成了信息的擴(kuò)散，由于那些公開的站點(diǎn)常常會(huì)有許多人訪問，其他的用戶完全有可能得到這些情息，并再次擴(kuò)散出去。

攻擊工具應(yīng)該說，黑客很聰明，但是他們并不都是天才，他們經(jīng)常利用別人在安全領(lǐng)域廣泛使用的工具和技術(shù)。一般來(lái)說。他們?nèi)绻蛔约涸O(shè)計(jì)工具，就必須利用現(xiàn)成的工具。在網(wǎng)上，這種工具很多，從SATAN、ISS到非常短小實(shí)用的各種網(wǎng)絡(luò)監(jiān)聽工具。

在一個(gè)UNIX系統(tǒng)中，當(dāng)入侵完成后，系統(tǒng)設(shè)置了大大小小的漏洞，完全清理這些漏洞是很困難的，這時(shí)候只能重裝系統(tǒng)了。當(dāng)攻擊者在網(wǎng)絡(luò)中進(jìn)行監(jiān)聽，得到一些用戶的口令以后，只要有一個(gè)口令沒有改變，那么系統(tǒng)仍然是不安全的，攻擊者在任何時(shí)候都可以重新訪問這個(gè)網(wǎng)絡(luò)。

對(duì)一個(gè)網(wǎng)絡(luò)，困難在于登上目標(biāo)主機(jī)。當(dāng)?shù)巧先ヒ院笥性S多的辦法可以用。即使攻擊者不做任何事，他仍然可以得到系統(tǒng)的重要信息，并擴(kuò)散出去，例如：將系統(tǒng)中的hosts文件發(fā)散出去。嚴(yán)重的情況是攻擊者將得到的以下口令文件放在網(wǎng)絡(luò)上進(jìn)行交流。每個(gè)工具由于其特定的設(shè)計(jì)都有各自獨(dú)特的限制，因此從使用者的角度來(lái)看，所有使用的這種工具進(jìn)行的攻擊基本相同。例如目標(biāo)主機(jī)是一臺(tái)運(yùn)行SunOS4.1.3的SAPRC工作站，那么所有用Strobe工具進(jìn)行的攻擊，管理員聽見到的現(xiàn)象可能完全是一樣的。了解這些標(biāo)志是管理員教育的一個(gè)重要方面。

對(duì)一個(gè)新的入侵者來(lái)說，他可能會(huì)按這些指導(dǎo)生硬地進(jìn)行攻擊，但結(jié)果經(jīng)常令他失望。因?yàn)橐恍┕舴椒ㄒ呀?jīng)過時(shí)了(系統(tǒng)升級(jí)或打補(bǔ)丁進(jìn)行入侵只會(huì)浪費(fèi)時(shí)間），而且這些攻擊會(huì)留下攻擊者的痕跡。事實(shí)上，管理員可以使用一些工具，或者一些腳本程序，讓它們從系統(tǒng)日志中抽取有關(guān)入侵者的信息。這些程序只需具備很強(qiáng)的搜索功能即可（如Perl語(yǔ)言就很適合做這件事了）。

當(dāng)然這種情況下，要求系統(tǒng)日志沒有遭到入侵。隨著攻擊者經(jīng)驗(yàn)的增長(zhǎng)、他們開始研究一整套攻擊的特殊方法，其中一些方法與攻擊者的習(xí)慣有關(guān)。由于攻擊者意識(shí)到了一個(gè)工具除了它的直接用途之外，還有其他的用途，在這些攻擊中使用一種或多種技術(shù)來(lái)達(dá)到目的，這種類型的攻擊稱為混合攻擊。

攻擊工具不局限于專用工具，系統(tǒng)常用的網(wǎng)絡(luò)工具也可以成為攻擊的工具，例如：要登上目標(biāo)主機(jī)，便要用到telnet與rlogin等命令，對(duì)目標(biāo)主機(jī)進(jìn)行偵察，系統(tǒng)中有許多的可以作為偵察的工具，如finger和showmount。甚至自己可以編寫一些工具，這并不是一件很難的事。其發(fā)回,如當(dāng)服務(wù)器詢問用戶名時(shí)，黑客輸入分號(hào)。這是一個(gè)UNIX命令，意思是發(fā)送一個(gè)命令、一些HTTP服務(wù)器就會(huì)將用戶使用的分號(hào)過濾掉。入侵者將監(jiān)聽程序安裝在UNIX服務(wù)器上，對(duì)登錄進(jìn)行監(jiān)聽，例如監(jiān)聽23、21等端口。

通過用戶登錄，把所監(jiān)聽到的用戶名和口令保存起來(lái)，于是黑客就得到了賬號(hào)和口令，在有大量的監(jiān)聽程序可以用，甚至自己可以編寫一個(gè)監(jiān)聽程序。監(jiān)聽程序可以在windows95和windowsNT中運(yùn)行。

除了這些工具以外，入侵者還可以利用特洛伊木馬程序。例如：攻擊者運(yùn)行了一個(gè)監(jiān)聽程序，但有時(shí)不想讓別人從ps命令中看到這個(gè)程序在執(zhí)行（即使給這個(gè)程序改名，它的特殊的運(yùn)行參數(shù)也能使系統(tǒng)管理員一眼看出來(lái)這是一個(gè)網(wǎng)絡(luò)監(jiān)聽程序）。

攻擊者可以將ps命令移到一個(gè)目錄或換名，例如換成pss，再寫一個(gè)shell程序，給這個(gè)shell程序起名為ps，放到ps所在的目錄中：

#! /bin/ksh

ps-ef|grep-vsniffit|grep-vgrep

以后，當(dāng)有人使用ps命令時(shí)，就不會(huì)發(fā)現(xiàn)有人在使用網(wǎng)絡(luò)監(jiān)聽程序。這是一個(gè)簡(jiǎn)單的特洛伊木馬程序。

另外，蠕蟲病毒也可以成為網(wǎng)絡(luò)攻擊的工具，它雖然不修改系統(tǒng)信息，但它極大地延緩了網(wǎng)絡(luò)的速度，給人們帶來(lái)了麻煩。

補(bǔ)充說明綜述隨著互聯(lián)網(wǎng)黑客技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)世界的安全性不斷受到挑戰(zhàn)。對(duì)于黑客自身來(lái)說，要闖入大部分人的電腦實(shí)在是太容易了。如果你要上網(wǎng)，就免不了遇到黑客。所以必須知己知彼，才能在網(wǎng)上保持安全。那么黑客們有哪些常用攻擊手段呢？3

獲取口令這種方式有三種方法：一是缺省的登錄界面（ShellScripts）攻擊法。在被攻擊主機(jī)上啟動(dòng)一個(gè)可執(zhí)行程序，該程序顯示一個(gè)偽造的登錄界面。當(dāng)用戶在這個(gè)偽裝的界面上鍵入登錄信息（用戶名、密碼等）后，程序?qū)⒂脩糨斎氲男畔魉偷焦粽咧鳈C(jī)，然后關(guān)閉界面給出提示信息“系統(tǒng)故障”，要求用戶重新登錄。此后，才會(huì)出現(xiàn)真正的登錄界面。二是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號(hào)和口令，對(duì)局域網(wǎng)安全威脅巨大；三是在知道用戶的賬號(hào)后（如電子郵件“@”前面的部分）利用一些專門軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制，但黑客要有足夠的耐心和時(shí)間；尤其對(duì)那些口令安全系數(shù)極低的用戶，只要短短的一兩分鐘，甚至幾十秒內(nèi)就可以將其破解。3

電子郵件這種方式一般是采用電子郵件炸彈（E－mailBomb），是黑客常用的一種攻擊手段。指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬(wàn)計(jì)甚至無(wú)窮多次的內(nèi)容相同的惡意郵件，也可稱之為大容量的垃圾郵件。由于每個(gè)人的郵件信箱是有限的，當(dāng)龐大的郵件垃圾到達(dá)信箱的時(shí)候，就會(huì)擠滿信箱，把正常的郵件給沖掉。同時(shí)，因?yàn)樗加昧舜罅康木W(wǎng)絡(luò)資源，常常導(dǎo)致網(wǎng)絡(luò)塞車，使用戶不能正常地工作，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來(lái)危險(xiǎn)，甚至癱瘓。3

木馬“特洛伊木馬程序”技術(shù)是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個(gè)會(huì)在Windows啟動(dòng)時(shí)運(yùn)行的程序，采用服務(wù)器/客戶機(jī)的運(yùn)行方式，從而達(dá)到在上網(wǎng)時(shí)控制你電腦的目的。黑客利用它竊取你的口令、瀏覽你的驅(qū)動(dòng)器、修改你的文件、登錄注冊(cè)表等等，如流傳極廣的冰河木馬，現(xiàn)在流行的很多病毒也都帶有黑客性質(zhì)，如影響面極廣的“Nimda”、“求職信”和“紅色代碼”及“紅色代碼II”等。攻擊者可以佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），將這些東西通過電子郵件的方式發(fā)送給你。如某些單位的網(wǎng)絡(luò)管理員會(huì)定期給用戶免費(fèi)發(fā)送防火墻升級(jí)程序，這些程序多為可執(zhí)行程序，這就為黑客提供了可乘之機(jī)，很多用戶稍不注意就可能在不知不覺中遺失重要信息。3

誘入法黑客編寫一些看起來(lái)“合法”的程序，上傳到一些FTP站點(diǎn)或是提供給某些個(gè)人主頁(yè)，誘導(dǎo)用戶下載。當(dāng)一個(gè)用戶下載軟件時(shí)，黑客的軟件一起下載到用戶的機(jī)器上。該軟件會(huì)跟蹤用戶的電腦操作，它靜靜地記錄著用戶輸入的每個(gè)口令，然后把它們發(fā)送給黑客指定的Internet信箱。例如，有人發(fā)送給用戶電子郵件，聲稱為“確定我們的用戶需要”而進(jìn)行調(diào)查。作為對(duì)填寫表格的回報(bào)，允許用戶免費(fèi)使用多少小時(shí)。但是，該程序?qū)嶋H上卻是搜集用戶的口令，并把它們發(fā)送給某個(gè)遠(yuǎn)方的“黑客”。3

系統(tǒng)漏洞許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs），其中某些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如Sendmail漏洞，Windows98中的共享目錄密碼驗(yàn)證漏洞和IE5漏洞等，這些漏洞在補(bǔ)丁未被開發(fā)出來(lái)之前一般很難防御黑客的破壞，除非你不上網(wǎng)。還有就是有些程序員設(shè)計(jì)一些功能復(fù)雜的程序時(shí)，一般采用模塊化的程序設(shè)計(jì)思想，將整個(gè)項(xiàng)目分割為多個(gè)功能模塊，分別進(jìn)行設(shè)計(jì)、調(diào)試，這時(shí)的后門就是一個(gè)模塊的秘密入口。在程序開發(fā)階段，后門便于測(cè)試、更改和增強(qiáng)模塊功能。正常情況下，完成設(shè)計(jì)之后需要去掉各個(gè)模塊的后門，不過有時(shí)由于疏忽或者其他原因（如將其留在程序中，便于日后訪問、測(cè)試或維護(hù)）后門沒有去掉，一些別有用心的人會(huì)利用專門的掃描工具發(fā)現(xiàn)并利用這些后門，然后進(jìn)入系統(tǒng)并發(fā)動(dòng)攻擊。3

其他總結(jié)有些黑客不會(huì)用常用的辦法

現(xiàn)在，你該知道黑客慣用的一些攻擊手段了吧？當(dāng)我們對(duì)黑客們的這些行為有所了解后，（有些黑客不會(huì)用常用的辦法）就能做到“知己知彼，百戰(zhàn)不殆”，從而更有效地防患于未然，拒黑客于“機(jī)”外。網(wǎng)絡(luò)的開放性決定了它的復(fù)雜性和多樣性，隨著技術(shù)的不斷進(jìn)步，各種各樣高明的黑客還會(huì)不斷誕生，同時(shí)，他們使用的手段也會(huì)越來(lái)越先進(jìn)。我們惟有不斷提高個(gè)人的安全意識(shí)，再加上必要的防護(hù)手段，斬?cái)嗪诳偷暮谑?。相信通過大家的努力，黑客們的舞臺(tái)將會(huì)越來(lái)越小，個(gè)人用戶可以高枕無(wú)憂地上網(wǎng)沖浪，還我們一片寧?kù)o的天空。4

隱藏原理程序在任務(wù)欄的隱藏比較簡(jiǎn)單，首先要保證程序主界面的隱藏，一般是通過修改應(yīng)用程序類的初始化實(shí)例函數(shù)InitInstance（）的 ShowWindow（）語(yǔ)句的SW_SHOW參數(shù)為SW_HIDE來(lái)實(shí)現(xiàn)的。主界面隱藏的同時(shí)任務(wù)欄雖然也會(huì)消失，但在程序啟動(dòng)時(shí)會(huì)閃一下，因此需要修改程序的擴(kuò)展屬性。一種方法是SDK的寫法，即直接利用GetWindowLong（）獲取到當(dāng)前的擴(kuò)展屬性然后通過邏輯運(yùn)算去掉原有的 WS_EX_APPWINDOW屬性，并新添加一個(gè)WS_EX_TOOLWINDOW屬性，這樣系統(tǒng)會(huì)將其認(rèn)為是一個(gè)工具條窗口而不會(huì)再在任務(wù)欄中加以顯示。最后需要將修改過的擴(kuò)展屬性通過SetWindowLong（）函數(shù)將其寫回。這兩個(gè)函數(shù)的聲明分別如下：

LONG GetWindowLong（HWND hWnd，int nIndex）;

LONG SetWindowLong（HWND hWnd，int nIndex，LONG dwNewLong）;

另一種很簡(jiǎn)便的是MFC的寫法：在程序框架類的預(yù)創(chuàng)建窗口函數(shù)里通過直接對(duì)CREATESTRUCT結(jié)構(gòu)對(duì)象的邏輯操作而將程序?qū)傩赃M(jìn)行改變：

cs.style=WS_POPUP;

cs.dwExStyle|=WS_EX_TOOLWINDOW;

這兩種寫法雖然表現(xiàn)形式各不相同，其本質(zhì)都是一樣的。

程序在任務(wù)列表中的隱藏原理

任務(wù)列表（Ctrl+Alt+Del時(shí)彈出的對(duì)話框）顯示了當(dāng)前系統(tǒng)正在運(yùn)行的一些應(yīng)用程序，如果實(shí)現(xiàn)了上一步，雖然在任務(wù)欄看不見程序，但有經(jīng)驗(yàn)的用戶可以通過觀察任務(wù)列表而發(fā)現(xiàn)一些值得懷疑的應(yīng)用程序而在此將其關(guān)閉。所以大多數(shù)黑軟也都通過較復(fù)雜的手段實(shí)現(xiàn)了自身在任務(wù)列表中的隱藏，使被發(fā)現(xiàn)的機(jī)會(huì)大大降低。

在Win9x中，一般每個(gè)應(yīng)用程序都要通過一個(gè)API（應(yīng)用程序接口）函數(shù)RegisterServiceProcess（）向系統(tǒng)申請(qǐng)注冊(cè)成為一個(gè)服務(wù)進(jìn)程，并且也是通過這個(gè)函數(shù)注銷其服務(wù)進(jìn)程來(lái)結(jié)束這個(gè)服務(wù)進(jìn)程的運(yùn)行。如果一個(gè)進(jìn)程注冊(cè)為一個(gè)服務(wù)進(jìn)程，通過Ctrl+Alt+Del就可以在任務(wù)列表里看見該進(jìn)程的標(biāo)題。而如果一個(gè)進(jìn)程運(yùn)行了但沒有向系統(tǒng)申請(qǐng)注冊(cè)成為服務(wù)進(jìn)程那么就不會(huì)在任務(wù)列表里顯示。黑軟也正是利用這個(gè)原理使自身在運(yùn)行時(shí)能在任務(wù)列表中實(shí)現(xiàn)隱藏。該函數(shù)存放于系統(tǒng)內(nèi)核Kernel32.dll中，具體聲明如下：

DWORD RegisterServiceProcess（DWORD dwProcessId，DWORD dwType）;

其第一個(gè)參數(shù)指定為一個(gè)服務(wù)進(jìn)程的進(jìn)程標(biāo)識(shí)，如果是0則注冊(cè)當(dāng)前的進(jìn)程；第二個(gè)參數(shù)指出是注冊(cè)還是注銷當(dāng)前的進(jìn)程，其狀態(tài)分別為： RSP_SIMPLE_SERVICE和RSP_UNREGISTER_SERVICE。黑軟一般是在程序啟動(dòng)初始化時(shí)首先從Kernel32.dll動(dòng)態(tài)連接庫(kù)中將RegisterServiceProcess（）函數(shù)加載到內(nèi)存，然后再通過該函數(shù)將程序從任務(wù)列表中隱藏：

//從Kernel32.dll中加載RegisterServiceProcess（）

HMODULE m_hKernel=：：GetModuleHandle（“Kernel32.DLL”）;

RSP m_rsp=（RSP）：：GetProcAddress（m_hKernel，“RegisterServiceProcess”）;

m_rsp（：：GetCurrentProcessId（），1）;//此時(shí)為隱藏，當(dāng)?shù)诙€(gè)參數(shù)為0時(shí)顯示

另外，還有一部分黑軟是通過ShowWindowAsync（）函數(shù)啟動(dòng)一個(gè)新的線程來(lái)顯示一個(gè)新窗口的。該函數(shù)的原形為：

BOOLShowWindowAsync（HWND hWnd，int nCmdShow）;

而黑軟正是鉆了該函數(shù)的第二個(gè)參數(shù)可以設(shè)置窗體顯示狀態(tài)的空子，在設(shè)置成SW_HIDE時(shí)就可以使目標(biāo)窗體（黑軟）從任務(wù)列表中隱藏。

以上就是Win9x下的黑客程序所具備的一些基本功能，在此基礎(chǔ)上我們可以借助于其實(shí)現(xiàn)技巧來(lái)編寫出一些諸如后臺(tái)監(jiān)控之類的實(shí)用程序。并且可以通過對(duì)黑客類軟件的隱藏機(jī)理的分析能使廣大用戶對(duì)此類黑軟采取一些必要的措施，通過加強(qiáng)防范來(lái)使自己的損失防患于未然。

中國(guó)遭攻來(lái)自國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)的最新數(shù)據(jù)顯示，中國(guó)遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴(yán)重。CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)，2013年1月1日至2月28日不足60天的時(shí)間里，境外6747臺(tái)木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了中國(guó)境內(nèi)190萬(wàn)余臺(tái)主機(jī)；其中位于美國(guó)的2194臺(tái)控制服務(wù)器控制了中國(guó)境內(nèi)128.7萬(wàn)臺(tái)主機(jī)，無(wú)論是按照控制服務(wù)器數(shù)量還是按照控制中國(guó)主機(jī)數(shù)量排名，美國(guó)都名列第一。

中國(guó)遭受境外攻擊情況嚴(yán)重 攻擊源多來(lái)自美國(guó)。

此前，《紐約時(shí)報(bào)》、《華爾街日?qǐng)?bào)》等美國(guó)媒體稱遭到中國(guó)黑客攻擊。對(duì)此，中國(guó)外交部、國(guó)防部等部門的發(fā)言人均予以嚴(yán)正駁斥，并多次重申，中國(guó)法律禁止黑客攻擊等任何破壞互聯(lián)網(wǎng)安全的行為，中國(guó)政府始終堅(jiān)決打擊相關(guān)犯罪活動(dòng)，中國(guó)也是網(wǎng)絡(luò)攻擊的主要受害國(guó)之一。5

此次CNCERT公布的大量數(shù)據(jù)顯示，中國(guó)境內(nèi)遭受網(wǎng)絡(luò)攻擊的情況十分嚴(yán)重，并詳細(xì)例舉了國(guó)內(nèi)機(jī)構(gòu)、企業(yè)遭受境外攻擊的具體案例。

數(shù)據(jù)顯示，僅今年前兩個(gè)月，就有境外5324臺(tái)主機(jī)通過植入后門對(duì)中國(guó)境內(nèi)11421個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制，其中，位于美國(guó)的1959臺(tái)主機(jī)控制著中國(guó)境內(nèi)3579個(gè)網(wǎng)站，位于日本的132臺(tái)主機(jī)控制著境內(nèi)473個(gè)網(wǎng)站。按照所控制的境內(nèi)網(wǎng)站數(shù)量統(tǒng)計(jì)，美國(guó)位居第一。5

此外，針對(duì)中國(guó)網(wǎng)上銀行、支付平臺(tái)、網(wǎng)上商城等的釣魚網(wǎng)站有96%位于境外，其中位于美國(guó)的619臺(tái)服務(wù)器承載了3673個(gè)針對(duì)境內(nèi)網(wǎng)站的釣魚頁(yè)面，美國(guó)服務(wù)器承載釣魚頁(yè)面數(shù)量占全部釣魚頁(yè)面數(shù)量的73.1%。

一些重要機(jī)構(gòu)網(wǎng)站被美黑客植入后門

根據(jù)CNCERT提供的案例顯示，中國(guó)網(wǎng)站被境外攻擊十分頻繁，主要體現(xiàn)在兩個(gè)方面，一是網(wǎng)站被境外入侵篡改；二是網(wǎng)站被境外入侵并安插后門。中國(guó)遭受來(lái)自境外的DDoS攻擊也十分頻繁。5

最新數(shù)據(jù)顯示，2013年2月24日中國(guó)西藏網(wǎng)的郵件系統(tǒng)分別被植入后門。2013年2月22日，中國(guó)網(wǎng)英文版企業(yè)分站遭到源自美國(guó)地址的攻擊，頁(yè)面遭惡意篡改。2013年1月28日人民網(wǎng)IP地址遭受來(lái)自境外的DDoS攻擊，18：30—20：20之間出現(xiàn)明顯異常流量，峰值流量達(dá)100Mbps，約為正常流量的12倍，其中UDP流量占95%，約有88%來(lái)自境外。5

CNVD作為中國(guó)的國(guó)家級(jí)漏洞庫(kù)，受到來(lái)自境外的大量攻擊，一些攻擊還嘗試滲透網(wǎng)站服務(wù)器以獲取漏洞信息。2012年11月至2013年1月，在對(duì)CNVD網(wǎng)站的攻擊事件監(jiān)測(cè)中，來(lái)自境外國(guó)家和地區(qū)的攻擊次數(shù)位列第一為美國(guó)，達(dá)5792次。

事實(shí)上，中國(guó)遭受境外網(wǎng)絡(luò)攻擊的案例遠(yuǎn)不止于此。包括國(guó)家部委、企業(yè)、院校在內(nèi)的一大批組織機(jī)構(gòu)都曾遭到境外網(wǎng)絡(luò)入侵。

2012年9月至2013年2月，某重要政府部門、某省考試院、某財(cái)產(chǎn)保險(xiǎn)股份有限公司、某科研院武漢病毒所等中國(guó)85個(gè)重要政府部門、重要信息系統(tǒng)、科研機(jī)構(gòu)等單位網(wǎng)站被境外入侵并植入網(wǎng)站后門，其中有39個(gè)單位網(wǎng)站是被源自美國(guó)的地址入侵。5

中國(guó)國(guó)家互聯(lián)網(wǎng)信息辦負(fù)責(zé)人在接受記者采訪時(shí)指出，中國(guó)是互聯(lián)網(wǎng)大國(guó)，但不是互聯(lián)網(wǎng)強(qiáng)國(guó)，大量事實(shí)證明，中國(guó)多年來(lái)一直是網(wǎng)絡(luò)攻擊的主要受害國(guó)之一。中國(guó)政府一貫堅(jiān)決反對(duì)并依法打擊黑客攻擊行為。為推動(dòng)解決網(wǎng)絡(luò)安全問題，2011年9月，中國(guó)與俄羅斯等國(guó)向聯(lián)合國(guó)共同提交了“信息安全國(guó)際行為準(zhǔn)則”草案。中方呼吁國(guó)際社會(huì)以此為基礎(chǔ)，制定網(wǎng)絡(luò)空間的負(fù)責(zé)任國(guó)家行為準(zhǔn)則，共同構(gòu)建一個(gè)和平、安全、開放、合作的網(wǎng)絡(luò)空間，維護(hù)國(guó)際社會(huì)共同利益。

黑客攻擊的防范措施防止黑客攻擊的技術(shù)防止黑客攻擊的技術(shù)分為被動(dòng)防范技術(shù)與主動(dòng)防范技術(shù)兩類，被動(dòng)防范技術(shù)主要包括：防火墻技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、查殺病毒技術(shù)、分級(jí)限權(quán)技術(shù)、重要數(shù)據(jù)加密技術(shù)、數(shù)據(jù)備份和數(shù)據(jù)備份恢復(fù)技術(shù)等。主動(dòng)防范技術(shù)主要包括：數(shù)字簽名技術(shù)、入侵檢測(cè)技術(shù)、黑客攻擊事件響應(yīng)（自動(dòng)報(bào)警、阻塞和反擊）技術(shù)、服務(wù)器上關(guān)鍵文件的抗毀技術(shù)、設(shè)置陷阱網(wǎng)絡(luò)技術(shù)、黑客入侵取證技術(shù)等。6

防范黑客攻擊的措施在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，要防范黑客攻擊的措施主要是從兩方面入手：建立具有安全防護(hù)能力的網(wǎng)絡(luò)和改善已有網(wǎng)絡(luò)環(huán)境的安全狀況；強(qiáng)化網(wǎng)絡(luò)專業(yè)管理人員和計(jì)算機(jī)用戶的安全防范意識(shí)，提高防止黑客攻擊的技術(shù)水平和應(yīng)急處理能力。具體地說，對(duì)于國(guó)家企事業(yè)單位新建或改建計(jì)算機(jī)管理中心和網(wǎng)站時(shí)，一定要建成具有安全防護(hù)能力的網(wǎng)站，在硬件配置上要采用防火墻技術(shù)、設(shè)置陷阱網(wǎng)絡(luò)技術(shù)、黑客入侵取證技術(shù)，進(jìn)行多層物理隔離保護(hù)；在軟件配置上要采用網(wǎng)絡(luò)隱患掃描技術(shù)、查殺病毒技術(shù)、分級(jí)限權(quán)技術(shù)、重要數(shù)據(jù)加密技術(shù)、數(shù)據(jù)備份和數(shù)據(jù)備份恢復(fù)技術(shù)、數(shù)字簽名技術(shù)、入侵檢測(cè)技術(shù)、黑客攻擊事件響應(yīng)（自動(dòng)報(bào)警、阻塞和反擊）技術(shù)、服務(wù)器上關(guān)鍵文件的抗毀技術(shù)等；在網(wǎng)絡(luò)專業(yè)管理人員的配備中必須有專門的安全管理人員，始終注意提高他們的安全防范意識(shí)和防黑客攻擊的技術(shù)水平、應(yīng)急處理能力。對(duì)于普通計(jì)算機(jī)用戶而言，要安裝查殺病毒和木馬的軟件，及時(shí)修補(bǔ)系統(tǒng)漏洞，重要的數(shù)據(jù)要加密和備份，注意個(gè)人的帳號(hào)和密碼保護(hù)，養(yǎng)成良好的上網(wǎng)習(xí)慣?？傊S著國(guó)家網(wǎng)絡(luò)信息安全法律法規(guī)的健全，隨著國(guó)家機(jī)關(guān)和企事業(yè)單位網(wǎng)絡(luò)信息安全環(huán)境的改善，隨著全民網(wǎng)絡(luò)信息安全意識(shí)的提高，防范黑客攻擊和減少攻擊破壞力的效果會(huì)越來(lái)越好。6

查殺黑客木馬利用Windows自帶工具殺毒1、當(dāng)你感覺電腦中毒而殺毒軟件無(wú)能為力而且也不知道所中毒的名稱時(shí)，你首先想到的應(yīng)該是查看進(jìn)程。按住“Ctrl+Alt+Del”打開“windows任務(wù)管理器”，檢查其中是否有可疑的進(jìn)程。7

2、當(dāng)系統(tǒng)運(yùn)行非常緩慢，而在進(jìn)程中你又可發(fā)現(xiàn)某個(gè)進(jìn)程的 CPU 占用率非常高，而在你打開的相應(yīng)程序中又沒有可與其對(duì)應(yīng)的，那么很有可能就是木馬。找到可疑進(jìn)程后，我們就要找出它的位置了并停止該進(jìn)程。事實(shí)上，以上方法對(duì)于新的病毒木馬一般是無(wú)效的，因?yàn)槟壳暗哪抉R或病毒的進(jìn)程和線程都是互相掛鉤的。因此我們需要更強(qiáng)大的工具，推薦兩個(gè)：tasklist和taskill。7

taskill /F /PID

調(diào)試工具命令ntsd ntsd -c q -p PID。

利用第三方工具查殺1、Hijackthis + killbox。Hijackthis和Icesword可以對(duì)系統(tǒng)的整體狀況進(jìn)行查看Killbox可以對(duì)進(jìn)程，線程及各種文件進(jìn)行修改或刪除。7

2、i ceSword。I cesword還能對(duì)進(jìn)程等進(jìn)行監(jiān)控，能有效防止木馬進(jìn)程反復(fù)生成。I cesword可以對(duì)進(jìn)程，線程及各種文件進(jìn)行修改或刪除。7

3、aut or uns。Aut or uns則對(duì)于注冊(cè)表的查看與修改有很大幫助。大家可以在網(wǎng)上下載這些軟件，他們會(huì)借你一雙慧眼，找出木馬的藏身地！7