黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。
1、后门程序
由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。
2、信息炸弹
信息炸弹是指使用一些特殊工具软体,短时间内向目标伺服器发送大量超出系统负荷的信息,造成目标伺服器超负荷、网路堵塞、系统崩溃的攻击手段。比如向未打补丁的Windows95系统发送特定组合的UDP数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱「撑爆」等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。
3、拒绝服务
拒绝服务又叫分散式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网路服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在伺服器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网路伺服器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致伺服器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。
4、网路监听
网路监听是一种监视网路状态、数据流以及网路上传输信息的管理工具,它可以将网路介面设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网路主机并取得超级用户许可权后,若要登录其他主机,使用网路监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网路监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。
5、DDOS
黑客进入计算条件,一个磁碟操作系统(拒绝服务)或DDoS攻击(分散式拒绝服务)攻击包括努力中断某一网路资源的服务,使其暂时无法使用。
这些攻击通常是为了停止一个互联网连接的主机,然而一些尝试可能的目标一定机以及服务。
2014年的DDoS攻击已经达28/小时的频率。这些攻击的主要目标企业或网站的大流量。
DDOS没有固定的地方,这些攻击随时都有可能发生;他们的目标行业全世界。分散式拒绝服务攻击大多出现在伺服器被大量来自攻击者或僵尸网路通信的要求。
伺服器无法控制超文本传输协议要求任何进一步的,最终关闭,使其服务的合法用户的一致好评。这些攻击通常不会引起任何的网站或伺服器损坏,但请暂时关闭。
这种方法的应用已经扩大了很多,现在用于更恶意的目的;喜欢掩盖欺诈和威慑安防面板等。
6、密码破解当然也是黑客常用的攻击手段之一。
攻击者在登上了目标主机后,或许只是运行了一些简单的程序,也可能这些程序是无伤大雅的,仅仅只是消耗了一些系统的CPU时间。
但是事情并不如此简单,我们都知道,有些程序只能在一种系统中运行,到了另一个系统将无法运行。一个特殊的例子就是一些扫描只能在UNIX系统中运行,在这种情况下,攻击者为了攻击的需要,往往就会找一个中间站点来运行所需要的程序,并且这样也可以避免暴露自己的真实目的所在。即使被发现了,也只能找到中间的站点地址。
在另外一些情况下,假使有一个站点能够访问另一个严格受控的站点或网路,为了攻击这个站点或网路,入侵者可能就会先攻击这个中间的站点。这种情况对被攻击的站点或网路本身可能不会造成破坏,但是潜在的危险已经存在。首先,它占有了大量的处理器的时间,尤其在运行一个网路监听软体时,使得一个主机的响应时间变得非常的长。另外,从另一个角度来说,将严重影响目标主机的信任度。因为入侵者借助于目标主机对目标主机能够访问,而且严格受控的站点或进行攻击。当造成损失时,责任会转嫁到目标主机的管理员身上,后果是难以估计的。可能导致目标主机损失一些受信任的站点或网路。再就是,可能入侵者将一笔账单转嫁到目标主机上,这在网上获取收费信息是很有可能的。
攻击者的目标就是系统中的重要数据,因此攻击者通过登上目标主机,或是使用网路监听进行攻击事实上,即使连入侵者都没有确定要于什么时,在一般情况下,他会将当前用户目录下的文件系统中的/etc/hosts或/etc/passwd复制回去。
具有超级用户的许可权,意味着可以做任何事情,这对入侵者无疑是一个莫大的诱惑。在UNIX系统中支持网路监听程序必需有这种许可权,因此在一个区域网中,掌握了一台主机的超级用户许可权,才可以说掌握了整个子网。
有许多的系统是不允许其他的用户访问的,比如一个公司、组织的网路。因此,必须以一种非常的行为来得到访问的权力。这种攻击的目的并不一定要做什么,或许只是为访问面攻击。在一个有许多windows95
的用户网路中,常常有许多的用户把自己的目录共享出未,于是别人就可以从容地在这些计算机上浏览、寻找自己感兴趣的东西,或者删除更换文件。或许通过攻击来证明自己技术的行为才是我们想像中的黑客行径,毕竟,谁都不喜欢些专门搞破坏,或者给别人带来麻烦的入侵者。但是,这种非法访问的的黑客行为,人们也不喜欢的。
有时候,用户被允许访问某些资源,但通常受到许多的限制。在一个UNIX系统中没有超级用户的许可权,许多事情将无法做,于是有了一个普通的户头,总想得到一个更大许可权。在windowsNT系统中一样,系统中隐藏的秘密太多了,人们总经不起诱惑。例如网关对一些站点的访问进行严格控制等。许多的用户都有意无意地去尝试尽量获取超出允许的一些许可权,于是便寻找管理员在置中的漏洞,或者去找一些工具来突破系统的安全防线,例如,特洛伊木马就是一种使用多的手段。
同上面的目的进行比较,拒绝服务便是一种有目的的破坏行为了。拒绝服务的方式很多,如将连接区域网的电缆接地;向域名伺服器发送大量的无意义的请求,使得它无法完成从其他的主机来的名字解析请求;制造网路风暴,让网路中充斥大量的封包,占据网路的带宽,延缓网路的传输。
涂改信息包括对重要文件的修改、更换,删除,是一种很恶劣的攻击行为。不真实的或者错误的信息都将对用户造成很大的损失。
入侵的站点有许多重要的信息和数据可以用。攻击者若使用一些系统工具往往会被系统记录下来如果直接发给自己的站点也会暴露自己的身份和地址,于是窃取信息时,攻击者往往将这些信息和数据送到一个公开的FTP站点,或者利用电子邮件寄往一个可以拿到的地方,等以后再从这些地方取走。
这样做可以很好隐藏自己。将这些重要的信息发往公开的站点造成了信息的扩散,由于那些公开的站点常常会有许多人访问,其他的用户完全有可能得到这些情息,并再次扩散出去。
应该说,黑客很聪明,但是他们并不都是天才,他们经常利用别人在安全领域广泛使用的工具和技术。一般来说。他们如果不自己设计工具,就必须利用现成的工具。在网上,这种工具很多,从SATAN、ISS到非常短小实用的各种网路监听工具。
在一个UNIX系统中,当入侵完成后,系统设置了大大小小的漏洞,完全清理这些漏洞是很困难的,这时候只能重装系统了。当攻击者在网路中进行监听,得到一些用户的口令以后,只要有一个口令没有改变,那么系统仍然是不安全的,攻击者在任何时候都可以重新访问这个网路。
对一个网路,困难在于登上目标主机。当登上去以后有许多的办法可以用。即使攻击者不做任何事,他仍然可以得到系统的重要信息,并扩散出去,例如:将系统中的hosts文件发散出去。严重的情况是攻击者将得到的以下口令文件放在网路上进行交流。每个工具由于其特定的设计都有各自独特的限制,因此从使用者的角度来看,所有使用的这种工具进行的攻击基本相同。例如目标主机是一台运行SunOS4.1.3的SAPRC工作站,那么所有用Strobe工具进行的攻击,管理员听见到的现象可能完全是一样的。了解这些标志是管理员教育的一个重要方面。
对一个新的入侵者来说,他可能会按这些指导生硬地进行攻击,但结果经常令他失望。因为一些攻击方法已经过时了(系统升级或打补丁进行入侵只会浪费时间),而且这些攻击会留下攻击者的痕迹。事实上,管理员可以使用一些工具,或者一些脚本程序,让它们从系统日志中抽取有关入侵者的信息。这些程序只需具备很强的搜索功能即可(如Perl语言就很适合做这件事了)。
当然这种情况下,要求系统日志没有遭到入侵。随着攻击者经验的增长、他们开始研究一整套攻击的特殊方法,其中一些方法与攻击者的习惯有关。由于攻击者意识到了一个工具除了它的直接用途之外,还有其他的用途,在这些攻击中使用一种或多种技术来达到目的,这种类型的攻击称为混合攻击。
攻击工具不局限于专用工具,系统常用的网路工具也可以成为攻击的工具,例如:要登上目标主机,便要用到telnet与rlogin等命令,对目标主机进行侦察,系统中有许多的可以作为侦察的工具,如finger和showmount。甚至自己可以编写一些工具,这并不是一件很难的事。其发回,如当伺服器询问用户名时,黑客输入分号。这是一个UNIX命令,意思是发送一个命令、一些HTTP伺服器就会将用户使用的分号过滤掉。入侵者将监听程序安装在UNIX伺服器上,对登录进行监听,例如监听23、21等埠。
通过用户登录,把所监听到的用户名和口令保存起来,于是黑客就得到了账号和口令,在有大量的监听程序可以用,甚至自己可以编写一个监听程序。监听程序可以在windows95和windowsNT中运行。
除了这些工具以外,入侵者还可以利用特洛伊木马程序。例如:攻击者运行了一个监听程序,但有时不想让别人从ps命令中看到这个程序在执行(即使给这个程序改名,它的特殊的运行参数也能使系统管理员一眼看出来这是一个网路监听程序)。
攻击者可以将ps命令移到一个目录或换名,例如换成pss,再写一个shell程序,给这个shell程序起名为ps,放到ps所在的目录中:
#!/bin/ksh
ps-ef|grep-vsniffit|grep-vgrep
以后,当有人使用ps命令时,就不会发现有人在使用网路监听程序。这是一个简单的特洛伊木马程序。
另外,蠕虫病毒也可以成为网路攻击的工具,它虽然不修改系统信息,但它极大地延缓了网路的速度,给人们带来了麻烦。
随着互联网黑客技术的飞速发展,网路世界的安全性不断受到挑战。对于黑客自身来说,要闯入大部分人的电脑实在是太容易了。如果你要上网,就免不了遇到黑客。所以必须知己知彼,才能在网上保持安全。那么黑客们有哪些常用攻击手段呢?
这种方式有三种方法:一是预设的登录界面(ShellScripts)攻击法。在被攻击主机上启动一个可执行程序,该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息(用户名、密码等)后,程序将用户输入的信息传送到攻击者主机,然后关闭界面给出提示信息「系统故障」,要求用户重新登录。此后,才会出现真正的登录界面。二是通过网路监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对区域网安全威胁巨大;三是在知道用户的账号后(如电子邮件「@」前面的部分)利用一些专门软体强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;尤其对那些口令安全系数极低的用户,只要短短的一两分钟,甚至几十秒内就可以将其破解。
这种方式一般是采用电子邮件炸弹(E-mailBomb),是黑客常用的一种攻击手段。指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的恶意邮件,也可称之为大容量的垃圾邮件。由于每个人的邮件信箱是有限的,当庞大的邮件垃圾到达信箱的时候,就会挤满信箱,把正常的邮件给冲掉。同时,因为它占用了大量的网路资源,常常导致网路塞车,使用户不能正常地工作,严重者可能会给电子邮件伺服器操作系统带来危险,甚至瘫痪。
「特洛伊木马程序」技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序,采用伺服器/客户机的运行方式,从而达到在上网时控制你电脑的目的。黑客利用它窃取你的口令、浏览你的驱动器、修改你的文件、登录注册表等等,如流传极广的冰河木马,现在流行的很多病毒也都带有黑客性质,如影响面极广的「Nimda」、「求职信」和「红色代码」及「红色代码II」等。攻击者可以佯称自己为系统管理员(邮件地址和系统管理员完全相同),将这些东西通过电子邮件的方式发送给你。如某些单位的网路管理员会定期给用户免费发送防火墙升级程序,这些程序多为可执行程序,这就为黑客提供了可乘之机,很多用户稍不注意就可能在不知不觉中遗失重要信息。
黑客编写一些看起来「合法」的程序,上传到一些FTP站点或是提供给某些个人主页,诱导用户下载。当一个用户下载软体时,黑客的软体一起下载到用户的机器上。该软体会跟踪用户的电脑操作,它静静地记录著用户输入的每个口令,然后把它们发送给黑客指定的Internet信箱。例如,有人发送给用户电子邮件,声称为「确定我们的用户需要」而进行调查。作为对填写表格的回报,允许用户免费使用多少小时。但是,该程序实际上却是搜集用户的口令,并把它们发送给某个远方的「黑客」。
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软体本身具有的,如Sendmail漏洞,Windows98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你不上网。
有些黑客不会用常用的办法
现在,你该知道黑客惯用的一些攻击手段了吧?当我们对黑客们的这些行为有所了解后,(有些黑客不会用常用的办法)就能做到「知己知彼,百战不殆」,从而更有效地防患于未然,拒黑客于「机」外。网路的开放性决定了它的复杂性和多样性,随着技术的不断进步,各种各样高明的黑客还会不断诞生,同时,他们使用的手段也会越来越先进。我们惟有不断提高个人的安全意识,再加上必要的防护手段,斩断黑客的黑手。相信通过大家的努力,黑客们的舞台将会越来越小,个人用户可以高枕无忧地上网冲浪,还我们一片宁静的天空。
程序在任务栏的隐藏比较简单,首先要保证程序主界面的隐藏,一般是通过修改应用程序类的初始化实例函数InitInstance()的ShowWindow()语句的SW_SHOW参数为SW_HIDE来实现的。主界面隐藏的同时任务栏虽然也会消失,但在程序启动时会闪一下,因此需要修改程序的扩展属性。一种方法是SDK的写法,即直接利用GetWindowLong()获取到当前的扩展属性然后通过逻辑运算去掉原有的WS_EX_APPWINDOW属性,并新添加一个WS_EX_TOOLWINDOW属性,这样系统会将其认为是一个工具条窗口而不会再在任务栏中加以显示。最后需要将修改过的扩展属性通过SetWindowLong()函数将其写回。这两个函数的声明分别如下:
LONGGetWindowLong(HWNDhWnd,intnIndex);
LONGSetWindowLong(HWNDhWnd,intnIndex,LONGdwNewLong);
另一种很简便的是MFC的写法:在程序框架类的预创建窗口函数里通过直接对CREATESTRUCT结构对象的逻辑操作而将程序属性进行改变:
cs.style=WS_POPUP;
cs.dwExStyle|=WS_EX_TOOLWINDOW;
这两种写法虽然表现形式各不相同,其本质都是一样的。
程序在任务列表中的隐藏原理
任务列表(Ctrl+Alt+Del时弹出的对话框)显示了当前系统正在运行的一些应用程序,如果实现了上一步,虽然在任务栏看不见程序,但有经验的用户可以通过观察任务列表而发现一些值得怀疑的应用程序而在此将其关闭。所以大多数黑软也都通过较复杂的手段实现了自身在任务列表中的隐藏,使被发现的机会大大降低。
在Win9x中,一般每个应用程序都要通过一个API(应用程序介面)函数RegisterServiceProcess()向系统申请注册成为一个服务进程,并且也是通过这个函数注销其服务进程来结束这个服务进程的运行。如果一个进程注册为一个服务进程,通过Ctrl+Alt+Del就可以在任务列表里看见该进程的标题。而如果一个进程运行了但没有向系统申请注册成为服务进程那么就不会在任务列表里显示。黑软也正是利用这个原理使自身在运行时能在任务列表中实现隐藏。该函数存放于系统内核Kernel32.dll中,具体声明如下:
DWORDRegisterServiceProcess(DWORDdwProcessId,DWORDdwType);
其第一个参数指定为一个服务进程的进程标识,如果是0则注册当前的进程;第二个参数指出是注册还是注销当前的进程,其状态分别为:RSP_SIMPLE_SERVICE和RSP_UNREGISTER_SERVICE。黑软一般是在程序启动初始化时首先从Kernel32.dll动态连接库中将RegisterServiceProcess()函数载入到内存,然后再通过该函数将程序从任务列表中隐藏:
//从Kernel32.dll中载入RegisterServiceProcess()
HMODULEm_hKernel=::GetModuleHandle(「Kernel32.DLL」);
RSPm_rsp=(RSP)::GetProcAddress(m_hKernel,「RegisterServiceProcess」);
m_rsp(::GetCurrentProcessId(),1);//此时为隐藏,当第二个参数为0时显示
另外,还有一部分黑软是通过ShowWindowAsync()函数启动一个新的线程来显示一个新窗口的。该函数的原形为:
BOOLShowWindowAsync(HWNDhWnd,intnCmdShow);
而黑软正是钻了该函数的第二个参数可以设置窗体显示状态的空子,在设置成SW_HIDE时就可以使目标窗体(黑软)从任务列表中隐藏。
以上就是Win9x下的黑客程序所具备的一些基本功能,在此基础上我们可以借助于其实现技巧来编写出一些诸如后台监控之类的实用程序。并且可以通过对黑客类软体的隐藏机理的分析能使广大用户对此类黑软采取一些必要的措施,通过加强防范来使自己的损失防患于未然。
防止黑客攻击的技术分为被动防范技术与主动防范技术两类,被动防范技术主要包括:防火墙技术、网路隐患扫描技术、查杀病毒技术、分级限权技术、重要数据加密技术、数据备份和数据备份恢复技术等。主动防范技术主要包括:数字签名技术、入侵检测技术、黑客攻击事件响应(自动报警、阻塞和反击)技术、伺服器上关键文件的抗毁技术、设置陷阱网路技术、黑客入侵取证技术等。
在现实的网路环境中,要防范黑客攻击的措施主要是从两方面入手:建立具有安全防护能力的网路和改善已有网路环境的安全状况;强化网路专业管理人员和计算机用户的安全防范意识,提高防止黑客攻击的技术水平和应急处理能力。具体地说,对于国家企事业单位新建或改建计算机管理中心和网站时,一定要建成具有安全防护能力的网站,在硬体配置上要采用防火墙技术、设置陷阱网路技术、黑客入侵取证技术,进行多层物理隔离保护;在软体配置上要采用网路隐患扫描技术、查杀病毒技术、分级限权技术、重要数据加密技术、数据备份和数据备份恢复技术、数字签名技术、入侵检测技术、黑客攻击事件响应(自动报警、阻塞和反击)技术、伺服器上关键文件的抗毁技术等;在网路专业管理人员的配备中必须有专门的安全管理人员,始终注意提高他们的安全防范意识和防黑客攻击的技术水平、应急处理能力。对于普通计算机用户而言,要安装查杀病毒和木马的软体,及时修补系统漏洞,重要的数据要加密和备份,注意个人的帐号和密码保护,养成良好的上网习惯。总之,随着国家网路信息安全法律法规的健全,随着国家机关和企事业单位网路信息安全环境的改善,随着全民网路信息安全意识的提高,防范黑客攻击和减少攻击破坏力的效果会越来越好。
1、当你感觉电脑中毒而杀毒软体无能为力而且也不知道所中毒的名称时,你首先想到的应该是查看进程。按住「Ctrl+Alt+Del」打开「windows任务管理器」,检查其中是否有可疑的进程。
2、当系统运行非常缓慢,而在进程中你又可发现某个进程的CPU占用率非常高,而在你打开的相应程序中又没有可与其对应的,那么很有可能就是木马。找到可疑进程后,我们就要找出它的位置了并停止该进程。事实上,以上方法对于新的病毒木马一般是无效的,因为目前的木马或病毒的进程和线程都是互相挂钩的。因此我们需要更强大的工具,推荐两个:tasklist和taskill。
taskill/F/PID
调试工具命令ntsdntsd-cq-pPID。
1、Hijackthis+killbox。Hijackthis和Icesword可以对系统的整体状况进行查看Killbox可以对进程,线程及各种文件进行修改或删除。
2、iceSword。Icesword还能对进程等进行监控,能有效防止木马进程反复生成。Icesword可以对进程,线程及各种文件进行修改或删除。
3、autoruns。Autoruns则对于注册表的查看与修改有很大帮助。大家可以在网上下载这些软体,他们会借你一双慧眼,找出木马的藏身地!