木马常见植入方法大曝光
(2005-06-27 10:20:30)
伴随着Windows操作系统核心技术的日益成熟,“木马植入技术”也得到发展,使得潜入到系统的木马越来越隐蔽
,对网络安全的危害性将越来越大。所以,全面了解木马植入的方法和技术,有
Windows下基于远程线程插入的木马植入技术。
1利用E-MAIL
控制端将木马程序以附件的形式夹在电子邮件中发送出去,收信人只要打开附件,系统就会感染木马。
2软件下载
一般的木马执行文件非常小,大小也就是几K到几十K。如果把木马捆绑到其他正常文件上,是很难被发现的。一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
3利用共享和Autorun文件
学校或单位的局域网里为了学习和工作方便,会将许多硬盘或文件夹共享出来,有时甚至不加密码。更有甚者,竟将共享设为可写。
大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个Autorun.inf 文件,这个文件可以决定是否自动运行程序。同样,如果硬盘的根目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。Autorun.inf文件一般是如下格式(“//”后面是加的注释,使用时去掉):
[AutoRun]//这是AutoRun部分开始,必须输入
Icon=E:\sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标
Open=E:\sexual.exe//指定要运行程序的路径和名称,在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序,那我们的电脑就危险了。
将sexual.ico和sexual.exe文件以及Autorun.inf放在E盘根目录,然后进入“我的电脑”,你会发现E盘的磁盘图标变了,双击进入E盘,还会自动执行E盘下的sexual.exe 文件!
对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改Autorun.inf
文件的属性,将该文件隐藏起来。然后按F5键刷新,这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。
4把木马文件转换为图片格式
这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。
原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。改过的图片是花的,会被人看出破绽,用<imgscr=″xxx.bmp″higth=″0″width=″0″>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。IE把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,运行程序完成木马植入。下一次启动时木马就运行了,无声无息非常隐蔽。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL 中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。
举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的软件中,例如QQ中。当受害者打开QQ时,这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相较一般特洛伊木马可说是“踏雪无痕”。目前,有些木马就是采用的这种内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都达到了良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是小心小心再小心!
6利用WinRar制作成自释放文件
这是最新的伪装方法,把木马服务端程序和WinRar捆绑在一起,将其制作成自释放文件,这样做了以后是非常难以检查的,即使是用最新的杀毒软件也无法发现!识别的方法是:对着经过WinRar捆绑的木马文件点击鼠标右键,查看“属性”,在弹出的“属性”对话框中,会发现多出两个标签“档案文件”和“注释”,点选“注释”标签,你就会发现木马文件了。
7在Word文档中加入木马文件
这是最近才流行起来的一种方法,比较奇特。这种方法很隐蔽,在Word文档末尾加入木马文件,只要别人点击这个所谓的Word文件就会中木马。这种方法主要是通过把一个EXE格式的木马文件接在一个DOC文件的末尾,使别人察觉不到木马的存在,因此使之上当受骗。
大家知道,Word的宏是使用VBA来编写的,而这种植入木马的方法就是利用VBA写一段代码,新建一个DOC文件,打开VISUALBASIC编辑器,新建一个模块,输入VB函数的声明,然后回到“ThisDocument”代码视图,选择DocumentOpen的事件,同样输入代码。注意其中的文件大小(做好后的DOC大小)就可以了。
接着把DOC和EXE合并:copy/banyname.doc+anyname.exeany name.doc。打开这个DOC文档,隐藏在其中的木马就会自动运行。不过还需要满足一个条件HKEY_CURRENT _USER\Software\Microsoft\Office\9.0\Word\Security中的Level值必须是1或者0。
然后编写一个特殊的宏(太长了这里就不介绍了),接下来把EXE文件接到DOC文件后面。方法很简单,把你要接的EXE放到和这个DOC文件同一个目录下,运行如下命令:copy/bxxxx.doc+xxxxx.exenew doc.doc就可以了。当你打开这个newdoc.doc的时候,宏就会把后面的EXE文件读出来并保存在C:\AU TOEXEC.EXE中,然后运行,是不是很恐怖啊!不过这需要你的WORD2000安全度为最低的时候才能实现,请大家看注册表中如下键:HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security
中的Level值,当Level值为3(代表安全度为高)的时候,WORD不会运行任何宏;为2时(安全度中),WORD会询问你是否运行宏,为1(安全度低)的时候WORD就会自动运行所有的宏!聪明的你一定想到如果这个值为0的时候会怎么样?哈,如果设为0的话,WORD就会显示安全度为高,但却能自动运行任何的宏!是不是很恐怖啊?
对于这种欺骗方式,最重要的是小心防范,陌生人的附件千万不要收看!
8把木马和其他文件捆绑在一起
这是最为常见的手段,将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件。例如,把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人,运行后他会看到游戏程序正常打开,却不知木马程序已经悄悄在后台运行了,这样做对一般人的迷惑性很大,而且即使他以后重装系统了,如果他的系统中还保存了那个“游戏”的话,就有可能再次中招。
用来执行捆绑任务的工具软件非常多,如exe文件捆绑机,Exe Bind等,这类程序的原理:该类程序可以将指定的黑客程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序(黑客程序)也在后台被执行。当您再次上网时,您已经在不知不觉中被控制住了。您说这个文件捆绑专家恐怖不?而且它支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。
利用上述方法投放的木马程序最终都是以独立的进程运行于目标主机中,这些木马进程利用进程查看工具很容易被识别。这些方法有的将木马程序注册为一个系统服务进程,这样也只能避免在任务列表中出现。
9基于DLL和远程线程插入的木马植入技术
在Windows环境下,一种更为隐蔽的木马投放方案是结合DLL(动态链接库)和远程线程插入技术来实现木马植入。这种技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
DLL文件的特点决定了这种实现形式的木马的可行性和隐蔽性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机中的级别未经授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。
(中国网友报)
目录 1. IPS IDS IRS (2) 2.攻击 (3) 3. 80端口 (3) 4. 404 (4) 5. Application Firewall (4) 6. SHELL (5) 8. ISP/ICP (8) 9. IIS (9) 10.SQL注入 (9) 11.XSS攻击 (10) 12.DDOS攻击 (11) .
1.IPS IDS IRS 入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gatew ay)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为 (HIPS: Hostbased Intrusion Prevension System) 单机入侵预防系统和 (NIPS: Network Intrusion Prevension System)网路入侵预防系统 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
查木马的简单方法 当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍。 1.Windows本身自带的netstat命令 关于netstat命令,我们先来看看windows帮助文件中的介绍: Netstat 显示协议统计和当前的TCP/IP 网络连接。该命令只有在安装了TCP/IP 协议后才可以使用。 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 参数 -a 显示所有连接和侦听端口。服务器连接通常不显示。 -e 显示以太网统计。该参数可以与-s 选项结合使用。 -n 以数字格式显示地址和端口号(而不是尝试查找名称)。 -s 显示每个协议的统计。默认情况下,显示TCP、UDP、ICMP 和IP 的统计。-p 选项可以用来指定默认的子集。 -p protocol 显示由protocol 指定的协议的连接;protocol 可以是tcp 或udp。如果与-s 选项一同使用显示每个协议的统计,protocol 可以是tcp、udp、icmp 或ip。 -r 显示路由表的内容。 interval 重新显示所选的统计,在每次显示之间暂停interval 秒。按CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。 好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数: C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0
常见木马病毒清除的方法 来源:互联网 | 2009年09月23日 | [字体:小大] | 网站首页 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan 木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序, 如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在
超级兔子的功能 系统体检能够及时的发现系统存在的问题,从而提醒用户及时的查看并优化自己的系统。超级兔子是一个完整的系统维护工具,可能清理你大多数的文件、注册表里面的垃圾,同时还有强力的软件卸载功能,专业的卸载可以清理一个软件在电脑内的所有记录。 超级兔子共有8大组件,可以优化、设置系统大多数的选项,打造一个属于自己的Windows。超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能,还能防止其它人浏览网站,阻挡色情网站,以及端口的过滤。 超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度,由此检测电脑的稳定性及速度,还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式,同时超级兔子网站提供大多数进程的详细信息,是国内最大的进程库。 超级兔子安全助手可能隐藏磁盘、加密文件,超级兔子系统备份是国内唯一能完整保存Windows XP注册表的软件,彻底解决系统上的问题。 超级兔子魔法设置软件是一个系统设置软件,能够以修改系统注册表等操作来达到大家的要求。完整的超级兔子软件包括以下4个软件:超级兔子魔法设置:常用的Windows设置软件,清晰的分类让你迅速找到相关功能,提供几乎所有Windows的隐藏参数调整。超级兔子注册表优化:维护注册表的工具,经常备份可以保护你的Windows,最神奇的是还有注册表的加速功能。超级兔子终极加速:简单易用的系统加速软件,10秒即可完成Windows的所有设置,并且还能对常用的其它软件进行设置。 超级兔子的魔法软件主要有以下作用: 1. 自动运行:在这里,你可以随意添加或者删除任务栏中自动运行的程序。(但是奉劝各位,还是不要随意改动的好哦,要不然,启动不了可别说是我教的哦!) 2. 删除反安装:里面罗列了所有本地应用软件的目录(比控制面板中添加/删除程序项的内容丰富多了!甚至连在Inerter上查找都有),你可以按你的需要对这些软件进行删除或是运行,需要注意的是,当不能修改命令行被选中时,你是无法修改命令的。和自动运行一样,尽量不要去乱改它! 3. 输入法:你可以按照你的习惯重新排列输入法的顺序(也不要随意地去添加或是删除输入法,以免引起混乱)。 4. 开始菜单:你可以选择禁止显示程序/文档/收藏夹/查找/运行/注销/关闭系统中的任何一项,同时还可以在其中添加回收站/网络邻居/信箱/控制面板/打印机/历史记录/我的公文包等内容,并且你能对这些快捷方式重新命名,比如将我的电脑改为xxx的电脑,嘿,这个很不错吧!但是修改开始菜单的项目名字比较
介绍一下木马病毒的种类 随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。2. 网银木马网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技
术干扰网银登录安全控件的运行。随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。3. 即时通讯软件木马现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。三、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ 木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。4. 网页点击类木马网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。 一、网页木马的攻击原理 首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。 有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。 ⒈自动下载程序 小提示:代码说明 a. 代码中“src”的属性为程序的网络地址,本例中 “https://www.doczj.com/doc/9b15162036.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的
木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改Autorun.inf文件的属性,将该文件隐藏起来。然后按F5键刷新,这样,当有人双击这个盘符,程序就运行了。 这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。 4把木马文件转换为图片格式 这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。 原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。改过的图片是花的,会被人看出破绽,用<imgscr=″xxx.bmp″higth=″0″width=″0″>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。IE 把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,运行程序完成木马植入。下一次启动时木马就运行了,无声无息非常隐蔽。 5伪装成应用程序扩展组件 此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。 举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的软件中,例如QQ中。当受害者打开QQ时,这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相较一般特洛伊木马可说是“踏雪无痕”。目前,有些木马就是采用的这种内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL 线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都达到了良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是小心小心再小心! 6利用WinRar制作成自释放文件 这是最新的伪装方法,把木马服务端程序和WinRar捆绑在一起,将其制作成自释放文件,这样做了以后是非常难以检查的,即使是用最新的杀毒软件也无法发现!识别的方法是:对着经过WinRar捆绑的木马文件点击鼠标右键,查看“属性”,在弹出的“属性”对话框中,会发现多出两个标签“档案文件”和“注释”,点选“注释”标签,你就会发现木马文件了。
相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。今天,笔者就以最新的一款木马程序——黑洞2004,从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是,在使用木马程序的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀。 操作步骤: 一、种植木马 现在网络上流行的木马基本上都采用的是C/S结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 二、使用木马 成功的给别人植入木马服务端后,就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中,随便选择一台已经上线的电脑,然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。 文件管理:服务端上线以后,你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。简单吧? 进程管理:查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。 窗口管理:管理服务端电脑的程序窗口,你可以使对方窗口中的程序最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。你可以搞很多恶作剧,比如让对方的某个窗口不停的最大化和最小化。 视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为MediaPlay可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧? 除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单,明白了吧?做骇客其实很容易。 3隐藏
【导读】本文含概了windows几乎所有常见的病毒、木马的进程名程,检查你的系统进程,看看是否中招。 exe → BF Evolution Mbbmanager.exe →聪明基因 _.exe → Tryit Mdm.exe → Doly 1.6-1.7 Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者 Absr.exe → Backdoor.Autoupder Mmc.exe →尼姆达病毒 Aplica32.exe →将死者病毒 Mprdll.exe → Bla Avconsol.exe →将死者病毒 Msabel32.exe → Cain and Abel Avp.exe →将死者病毒 Msblast.exe →冲击波病毒 Avp32.exe →将死者病毒 Mschv.exe → Control Avpcc.exe →将死者病毒 Msgsrv36.exe → Coma Avpm.exe →将死者病毒 Msgsvc.exe →火凤凰 Avserve.exe →震荡波病毒 Msgsvr16.exe → Acid Shiver Bbeagle.exe →恶鹰蠕虫病毒 Msie5.exe → Canasson Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup Cfiadmin.exe →将死者病毒 Mstesk.exe → Doly 1.1-1.5 Cfiaudit.exe →将死者病毒 Netip.exe → Spirit 2000 Beta Cfinet32.exe →将死者病毒 Netspy.exe →网络精灵 Checkdll.exe →网络公牛 Notpa.exe → Backdoor Cmctl32.exe → Back Construction Odbc.exe → Telecommando Command.exe → AOL Trojan Pcfwallicon.exe →将死者病毒 Diagcfg.exe →广外女生 Pcx.exe → Xplorer
黑客木马入侵个人电脑的方法 要想使自己的电脑安全,就好扎好自己的篱笆,看好自己的门,电脑也有自己的门,我们叫它端口。 你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。 如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出TCP/IP 协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。 当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑的。 黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入 你的个人电脑的。 如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。 除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电 脑。 如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。 举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netsp y.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.e xe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的73 06端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。 特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。 接下来,奇奇就让你利用软件如何发现自己电脑中的木马。 奇奇再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。 你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址 是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入http://10.10.10. 10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。
木马伪装植入的方法 如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。一般来讲,木马主要有两种隐藏手段: ①把自己伪装成一般的软件 很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩或是很有用的小程序,拿下来执行,但系统报告了内部错误,程序退出了。一般人都会认为是程序没有开发好,不会疑心到运行了木马程序这上面。等到运行自己的QQ等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想起检查自己的机器是否被人安装了木马这回事情。 提示: 这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。 ②把自己绑定在正常的程序上面 对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。 伪装之后,木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了,或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“CuteFTP5.0完全解密版!!!”等。 一点不骗人,在安装了这个CuteFTP之后,你的机器就被“完全解密”了,那些喜欢免费盗版的朋友们也要小心了! 下面介绍几种常见的伪装植入木马的方法: 修改木马图标 将木马服务端程序更改图标,如设为图片图标,并将其扩展名设置为***.jpg.exe格式,直接发给对方,由于Windows的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。对方运行后,结果毫无反应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。 虽然有些木马制作工具中带有修改图标的功能,但是黑客还常常使用其他辅助工具来修改图标。如IconChanger,就是一个更换文件图标工具,其运行界面如图1所示。
常见100种木马排除方法! 1.Acid Battery 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。 重新启动。 2.Acid Shiver 重新启动到MSDOS方式 删除C:\windows\MSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。 3.Ambush 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = "zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。 4.AOL Trojan 启动到MSDOS方式 删除C:\ command.exe(删除前取消文件的隐含属性) 注意:不要删除真的https://www.doczj.com/doc/9b15162036.html,文件。 删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性) 删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性) 打开WIN.INI文件
如果ping不通,在三层交换机下: Show ip cef 查看三层路由信息是否正确 Shou adjacency detail 查看二层信息是否正确 Show vlan-switch Show vtp status 1? 缺省配置信息 关于Trunk的缺省配置信息下表所示: ???????????? ?Trunk缺省配置信息 内容缺省设置备注最大传输单元(MTU)1500可更改配置硬件类型(hardware)Ethernet不可更改配置MAC地址(address)交换机MAC不可更改设置三层端口(layer3)disable可更改设置策略(policy)srcdstmac-based(基于目的、源MAC地址)可更改配置所属VLAN(VLAN name)Default可更改配置接口管理状态(interface admin state)admin up可更改设置?2? 配置TRUNK端口 配置步骤 步骤1interface trunk < trunkname >从全局配置模式创建一个trunk步骤2grouping
常见的分类有: (1)按产生后果分为良性病毒和恶性病毒 <1>良性病毒这类病毒只是占用计算机资源或干扰计算机的正常运行,并不破坏系统和数据。常见的有“小球”和“毛虫”病毒等。 <2>恶性病毒该类病毒一旦发作,就会破坏系统或数据,如重新格式化硬盘、删除文件、系统不能启动造成瘫痪等。这种病毒危害性极大,有些病毒发作后将给用户造成不可挽回的损失。学见的有“CIH”、“黑色星期五”、冲击波,以为宏病毒和电子邮件中的常见病毒等。(2)按寄生方式分为引导型、文件型和复合型病毒 <1>引导型病毒又称操作系统型病毒,其病毒隐藏在操作系统的引导区,在系统启动时进入内存,监视系统运行,待机传染和破坏。常见的有“大麻”,“小球”和“火炬”病毒等。 <2>文件型病毒是寄生在文件中的计算机病毒,这种病毒感染可执行文件或数据文件。常见的有“CIH”,“DIR-2”等。影响Word文档(.doc)和Excle工作簿(.xls)进行打开、存储、 关闭和清除等操作的宏病毒也是一种文件型病毒,它目前占全部病毒的80%,是病毒历史上发展最快的病毒。 <3>复合型病毒同时具有引导型和文件型病毒寄生方式的计算机病毒。它既感染磁盘的引导区又感染可执行文件。常见的有“Filp”,“One-half”等病毒. 盗号木马下载器A(Trojan.PSW.Win32.Mapdimp.a)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 “安德夫木马变种IBP(Trojan.Win32.Undef. ibp)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 “安德夫木马变种IEX(Trojan.Win32.Undef. iex)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 据介绍,所谓“Clicker病毒”中文名叫做木马点击器,它们侵入用户电脑后,会根据病毒编写者预先设定的网址,去点击网上的广告,如百度竞价排名、Google AdSense等,让广告主支付更多的广告费,而病毒犯罪团伙及其合作伙伴则会分享这些额外的“利润”。 木马病毒以“木马群”的形式,利用最新的Flash漏洞攻击用户电脑
十大最常见的电脑病毒有哪些 电脑病毒想必大家都有一些了解,但是电脑中毒的时候自己也不知道中的是哪一类型的病毒。为此小编给大家详细介绍一下电脑病毒有哪些?什么电脑病毒最厉害等内容,希望对你有帮助。 十大最常见的电脑病毒十大最常见的电脑病毒1、系统病毒 系统病毒的前缀为:W i n32、P E、W i n95、W32、W95等。这些病毒的一般公有的特性是可以感染W i n d o w s操作系统的 *.e x e和 *.d l l文件,并通过这些文件进行传播。如C I H病毒。 十大最常见的电脑病毒2、蠕虫病毒 蠕虫病毒的前缀是:W o r m。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。 十大最常见的电脑病毒3、木马病毒、黑客病毒 木马病毒其前缀是:T r o j a n,黑客病毒前缀名一般为 H a c k。木马病毒的公有特性是通过网络或者系统漏
洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如Q Q消息尾巴木马 T r o j a n.Q Q3344,还有大家可能遇见比较多的针对网络游戏的木马病毒如T r o j a n.L M i r.P S W.60。这里补充一点,病毒名中有P S W 或者什么P W D之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为密码的英文p a s s w o r d的缩写)一些黑客程序如:网络枭雄(H a c k.N e t h e r.C l i e n t)等。 十大最常见的电脑病毒4、脚本病毒 脚本病毒的前缀是:S c r i p t。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(S c r i p t.R e d l o f)可不是我们的老大代码兄 哦。脚本病毒还会有如下前缀:V B S、J S(表明是何种脚本编写的),如欢乐时光(V B S.H a p p y t i m e)、十四曰 (J s.F o r t n i g h t.c.s)等。 十大最常见的电脑病毒5、宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊
第一步:进入系统 1. 扫描目标主机。 2. 检查开放的端口,获得服务软件及版本。 3. 检查服务软件是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。 4. 检查服务软件的附属程序(*1)是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。 5. 检查服务软件是否存在脆弱帐号或密码,如果是,利用该帐号或密码系统;否则进入下一步。 6. 利用服务软件是否可以获取有效帐号或密码,如果是,利用该帐号或密码进入系统;否则进入下一步。 7. 服务软件是否泄露系统敏感信息,如果是,检查能否利用;否则进入下一步。 8. 扫描相同子网主机,重复以上步骤,直到进入目标主机或放弃。 第二步:提升权限 1. 检查目标主机上的SUID和GUID程序是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。 2. 检查本地服务是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。 3. 检查本地服务是否存在脆弱帐号或密码,如果是,利用该帐号或密码提升权限;否则进入下一步。 4. 检查重要文件的权限是否设置错误,如果是,利用该漏洞提升权限,否则进入下一步。 5. 检查配置目录(*2)中是否存在敏感信息可以利用。 6. 检查用户目录中是否存在敏感信息可以利用。 7. 检查临时文件目录(*3)是否存在漏洞可以利用。 8. 检查其它目录(*4)是否存在可以利用的敏感信息。 9. 重复以上步骤,直到获得root权限或放弃。 第三步:放置后门 最好自己写后门程序,用别人的程序总是相对容易被发现。 第四步:清理日志 最好手工修改日志,不要全部删除,也不好使用别人写的工具。 附加说明: *1 例如WWW服务的附属程序就包括CGI程序等 *2 这里指存在配置文件的目录,如/etc等 *3 如/tmp等,这里的漏洞主要指条件竞争 *4 如WWW目录,数据文件目录等 /*****************************************************************************/ 好了,大家都知道了入侵者入侵一般步骤及思路那么我们开始做入侵检测了。