1.肉鸡,或者留了后门,可以被我们远程操控的机器,现在许多人把有WEBSHELL权限的机器也叫肉鸡。
2、木马:特洛伊木马,大家在电影《特洛伊》里应该看到了,战争是特络伊故意留下了个木马,多方以为是战利品,带回城后,木马里面全是战士,这种东西,就叫做木马,可以说木马就是一方给肉鸡留下的东西,可以做到远程控制的目的,木马还分不同的作用,有盗号专用的木马,有远程控制专用的木马,下面介绍点:盗号专用的有许多,盗QQ的有 啊拉QQ大盗,强强盗QQ,传奇木马生成器,魔兽木马生成器等;远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,PCshare,
网络神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧。
3、病毒:这个我想不用解释了吧,相信大家都和它打过交道,病毒大多具有破坏性,传播性,隐秘性,潜伏性。
4、后门:这个就是入侵后为方便我们下次进入肉鸡方便点所留下的东西,亲切的称为后门,现在好点的后门有REDMAIN等。
5、CRACK:这个名词很容易和HACK混淆,但是许多人不理解CRACK这个东西,但是接触过软件破解的人一定了解这个词 CRACKER分析下就是软件破解者的意思(注意这里有多了个ER),许多共享软件就是我们的CRACKER来完成破解的,就是现在俗称的XX软件破解版。
6、漏洞:这个名词相信也不用太多的介绍,根据字面意思也可以理解,就好象一个房子,门很结实,可是有个窗户却不好,这就很可能造成被别人进入,入侵是也是相对的,必须要有漏洞才可以入侵,这里顺便介绍下打补丁的意思,还是用上面的例子门很结实,可窗户不好,这里我们需要把窗户补上,就叫打补丁了,许多人问过我怎样知道自己的机器有漏洞?怎样打补丁?这里也回答下,首先介绍怎样检查自己奇迹有什么样的漏洞,有款工具简称为MBSA是微软公司针对windows
系统的安全检测工具,大家可以去网上找到自己下下来检测下自己机器有什么样的漏洞,还介绍下微软的漏洞名称 MS05-001 MS05-002 这种形式的前面MS应为是微软的意思吧,05呢是2005年,001是在2005年第一个漏洞(不知道解释的对不,自己的理解)大家还可以下个金山毒霸,金山可以有个漏洞检测功能,还可以帮你补上相应的补丁,那么怎么打补丁呢?其实这个很简单,在微软的官方网站里可以输入 MS05-001(如果你有这个漏洞的话)微软就找出了响应的补丁,下载下来 安装下其实就可以了,呵呵,打补丁也不是什么困难的事情哦。
7、端口:这个是入侵是很重要的一个环节,端口这个东西就好象是我要买东西,需要在1号窗口来结帐,而开放的1号窗口就好比响应的端口,端口可以形象的比喻成窗口,呵呵,不同的端口开放了不同的服务,大家可以在网上找到端口对照表来看下不同的端口开放的是什么服务。
8、权限:这个东西和人权一个效果,我们有自己的权利,但是我们的权利不能超出自己的范围,比如法律可以控制人的生命,这种最高权限呢就是
计算机中的 Admin权限 最高权限,法官呢是执行法律的人,比法律底点,这个呢就是SYSTEM权限,系统权限,以下每种人有着自己不同的权限,比如我们得到了个WEBSHELL权限,许多人不知道这个是什么权限,其实就是个WEB(网业)的管理权限,权限一般比较低,但是有时想得到个服务器的ADMIN权限,就可以先丛WEBSHELL权限来入手,也就是长说的提权。
1。肉鸡: 不是吃的那种,是中了我们的木马,或者留了后门,可以被我们远程操控的机器,现在许多人把有WEBSHELL 权限的机器也叫肉鸡
2。木马:特洛伊木马,大家在电影《特洛伊》里应该看到了,战争是特络伊故意留下了个木马,多方以为是战利品,带回城后,木马里面全是战士,(呵呵,自己看电影吧)这种东西,就叫做木马,可以说木马就是一方给肉鸡留下的东西,可以做到远程控制的目的,木马还分不同的作用,有盗号专用的木马,有远程控制专用的木马,下面介绍点:盗号专用的有许多,盗QQ的有 啊拉QQ大盗,强强盗QQ,传奇木马生成器,魔兽木马生成器等;远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧
3。病毒:这个我想不用解释了吧,相信大家都和它打过交道,病毒大多具有 破坏性,传播性,隐秘性,潜伏性
4。后门:这个就是入侵后为方便我们下次进入肉鸡方便点所留下的东西,亲切的称为后门,现在好点的后门有 REDMAIN 等
5。CRACK 这个名词很容易和HACK混淆,但是许多人不理解CRACK这个东西,但是接触过软件破解的人一定了解这个词 CRACKER分析下就是软件破解者的意思(注意这里有多了个ER),许多共享软件就是我们的CRACKER来完成破解的,就是现在俗称的 XX软件破解版
6。漏洞:这个名词相信也不用太多的介绍,根据字面意思也可以理解,就好象一个房子,门很结实,可是有个窗户却不好,这就很可能造成被别人进入,入侵是也是相对的,必须要有漏洞才可以入侵,这里顺便介绍下打补丁的意思,还是用上面的例子门很结实,可窗户不好,这里我们需要把窗户补上,就叫打补丁了,许多人问过我怎样知道自己的机器有漏洞?怎样打补丁?这里也回答下,首先介绍怎样检查自己奇迹有什么样的漏洞,有款工具简称为MBSA是微软公司针对windows系统的安全检测工具,大家可以去网上找到自己下下来检测下自己机器有什么样的漏洞,还介绍下微软的漏洞名称 MS05-001 MS05-002 这种形式的前面MS应为是微软的意思吧,05呢是2005年,001是在2005年第一个漏洞(不知道解释的对不,自己的理解)大家还可以下个金山毒霸,金山可以有个漏洞检测功能,还可以帮你补上相应的补丁,那么怎么打补丁呢?其实这个很简单,在微软的官方网站里可以输入 MS05-001(如果你有这个漏洞的话)微软就找出了响应的补丁,下载下来 安装下其实就可以了,呵呵,打补丁也不是什么困难的事情哦
7。端口:这个是入侵是很重要的一个环节,端口这个东西就好象是我要买东西,需要在1号窗口来结帐,而开放的1号窗口就好比响应的端口,端口可以形象的比喻成窗口,呵呵,不同的端口开放了不同的服务,大家可以在网上找到端口对照表来看下不同的端口开放的是什么服务
8。权限:这个东西和人权一个效果,我们有自己的权利,但是我们的权利不能超出自己的范围,比如法律可以控制人的生命,这种最高权限呢就是计算机中的 Admin权限 最高权限,法官呢是执行法律的人,比法律底点,这个呢就是SYSTEM权限 系统权限,以下每种人有着自己不同的权限,比如我们得到了个WEBSHELL权限,许多人不知道这个是什么权限,其实就是个WEB(网业)的管理权限,权限一般比较低,但是有时想得到个服务器的ADMIN权限,就可以先丛WEBSHELL权限来入手,也就是长说的提权。
8.什么是溢出?
为了便于理解,我们不妨打个比方。缓冲区溢出好比是将十磅的糖放进一个只能装五磅的容器里。一旦该容器放满了,余下的部分就溢出在柜台和地板上,弄得一团糟。由于计算机程序的编写者写了一些编码,但是这些编码没有对目的区域或缓冲区——五磅的容器——做适当的检查,看它们是否够大,能否完全装入新的内容——十磅的糖,结果可能造成缓冲区溢出的产生。如果打算被放进新地方的数据不适合,溢得到处都是,该数据也会制造很多麻烦。但是,如果缓冲区仅仅溢出,这只是一个问题。到此时为止,它还没有破坏性。当糖溢出时,柜台被盖住。可以把糖擦掉或用吸尘器吸走,还柜台本来面貌。与之相对的是,当缓冲区溢出时,过剩的信息覆盖的是计算机内存中以前的内容。除非这些被覆盖的内容被保存或能够恢复,否则就会永远丢失。
在丢失的信息里有能够被程序调用的子程序的列表信息,直到缓冲区溢出发生。另外,给那些子程序的信息——参数——也丢失了。这意味着程序不能得到足够的信息从子程序返回,以完成它的任务。就像一个人步行穿过沙漠。如果他依赖于他的足迹走回头路,当沙暴来袭抹去了这些痕迹时,他将迷失在沙漠中。这个问题比程序仅仅迷失方向严重多了。入侵者用精心编写的入侵代码(一种恶意程序)使缓冲区溢出,然后告诉程序依据预设的方法处理缓冲区,并且执行。此时的程序已经完全被入侵者操纵了。
入侵者经常改编现有的应用程序运行不同的程序。例如,一个入侵者能启动一个新的程序,发送秘密文件(支票本记录,口令文件,或财产清单)给入侵者的电子邮件。这就好像不仅仅是沙暴吹了脚印,而且后来者也会踩出新的脚印,将我们的迷路者领向不同的地方,他自己一无所知的地方。
缓冲区溢出的处理
你屋子里的门和窗户越少,入侵者进入的方式就越少……
由于缓冲区溢出是一个编程问题,所以只能通过修复被破坏的程序的代码而解决问题。如果你没有源代码,从上面“堆栈溢出攻击”的原理可以看出,要防止此类攻击,我们可以:
1、开放程序时仔细检查溢出情况,不允许数据溢出缓冲区。由于编程和编程语言的原因,这非常困难,而且不适合大量已经在使用的程序;
2、使用检查堆栈溢出的编译器或者在程序中加入某些记号,以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序,对新程序来讲,需要修改编译器;
3、经常检查你的操作系统和应用程序提供商的站点,一旦发现他们提供的补丁程序,就马上下载并且应用在系统上,这是最好的方法。但是系统管理员总要比攻击者慢一步,如果这个有问题的软件是可选的,甚至是临时的,把它从你的系统中删除。举另外一个例子,你屋子里的门和窗户越少,入侵者进入的方式就越少。
稳:什么是网络安全?
答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。
问:什么是计算机病毒?
答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
问:什么是木马?
答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
问:什么是防火墙?它是如何确保网络安全的?
答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
问:什么是后门?为什么会存在后门?
答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。
问:什么叫入侵检测?﹖
答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象
问:什么叫数据包监测?它有什么作用?
答:数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
问:什么是NIDS?
答:NIDS是Network Intrusion Detection System的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
问:什么叫SYN包?
答:TCP连接的第一个包,非常小的一种数据包。SYN攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。
问:加密技术是指什么?
答:加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。
加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
问:什么叫蠕虫病毒?
答:蠕虫病毒(Worm)源自第一种在网络上传播的病毒。1988年,22岁的康奈尔大学研究生罗伯特?莫里斯(Robert Morris)通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”(Worm)的病毒。蠕虫造成了6000个系统瘫痪,估计损失为200万到6000万美元。由于这只蠕虫的诞生,在网上还专门成立了计算机应急小组(CERT)。现在蠕虫病毒家族已经壮大到成千上万种,并且这千万种蠕虫病毒大都出自黑客之手。
问:什么是操作系统型病毒?它有什么危害?
答:这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作,具有很强的破坏力,会导致整个系统瘫痪。而且由于感染了操作系统,这种病毒在运行时,会用自己的程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用,以及病毒取代操作系统的取代方式等,对操作系统进行破坏。同时,这种病毒对系统中文件的感染性也很强。
问:莫里斯蠕虫是指什么?它有什么特点?
答:它的编写者是美国康乃尔大学一年级研究生罗特?莫里斯。这个程序只有99行,利用了Unix系统中的缺点,用Finger命令查联机用户名单,然后破译用户口令,用Mail系统复制、传播本身的源程序,再编译生成代码。
最初的网络蠕虫设计目的是当网络空闲时,程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时,该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫里斯蠕虫不是“借取资源”,而是“耗尽所有资源”。
问:什么是DDoS?它会导致什么后果?
答:DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法,但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机,当获得该主机的适当的访问权限后,攻击者在主机中安装软件的服务或进程(以下简称代理)。这些代理保持睡眠状态,直到从它们的主控端得到指令,对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用,分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响,而分布于全球的几千个攻击将会产生致命的后果。
问:局域网内部的ARP攻击是指什么?
答:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
问:什么叫欺骗攻击?它有哪些攻击方式?
答:网络欺骗的技术主要有:HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
1、 上传漏洞
利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
怎样利用:在网站的地址栏中网址后加上/upfile.asp如果显示“上传格式不正确[重新上传]”这样的字样就是有上传漏洞了,找个可以上传的工具直接可以得到WEBSHELL。
工具介绍:上传工具,老兵的上传工具、DOMAIN3.5,这两个软件都可以达到上传的目的,用NC也可以提交。
WEBSHELL是什么:许多人都不理解,这里就详细讲下,其实WEBSHELL并不什么深奥的东西,是个WEB的权限,可以管理WEB,修改主页内容等权限,但是并没有什么特别高的权限,(这个看管理员的设置了)一般修改别人主页大多都需要这个权限,接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马,海阳2006也是WEB木马)。我们上传漏洞最终传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。
2、暴库
这个漏洞现在很少见了,但是还有许多站点有这个漏洞可以利用,暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法:比如一个站的地址为
http://www.xxx.com/dispbbs.asp?boardID=7&ID=161,我门就可以把com/dispbbs中间的/换成%5c,如果有漏洞直接得到数据库的绝对路径,用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径
http://www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)。
为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了,为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。
3、注入漏洞
这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料。
怎样利用:我先介绍下怎样找漏洞比如这个网址
http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多(NBSI、NDSI、啊D、DOMAIN等),都可以用来猜解帐号密码,因为是菜鸟接触,我还是建议大家用工具,手工比较烦琐。
4、旁注
我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。
工具介绍:还是名小子的DOMIAN3.5不错的东西,可以检测注入,可以旁注,还可以上传!
5、COOKIE诈骗
许多人不知道什么是COOKIE,COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的。
怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了,但是破解不出来密码(MD5是加密后的一个16位的密码)。我们就可以用COOKIE诈骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的,有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。
今天的介绍就到这里了,比较基础,都是概念性的东西,所有的都是我的个人理解,如有不正确的地方希望大家指
2、 网络安全术语解释
一、协议:
网络是一个信息交换的场所,所有接入网络的计算机都可以通过彼此之间的物理连设备行信息交换,这种物理设备包括最常见的电缆、光缆、无线WAP和微波等,但是单纯拥有这些物理设备并不能实现信息的交换,这就好像人类的身体不能缺少大脑的支配一样,信息交换还要具备软件环境,这种“软件环境”是人类实现规定好的一些规则,被称作“协议”,有了协议,不同的
电脑可以遵照相同的协议使用物理设备,并且不会造成相互之间的“不理解”。
这种协议很类似于“摩尔斯电码”,简单的一点一横,经过排列可以有万般变化,但是假如没有“对照表”,谁也无法理解一分杂乱无章的电码所表述的内容是什么。电脑也是一样,它们通过各种预先规定的协议完成不同的使命,例如RFC1459协议可以实现IRC服务器与客户端电脑的通信。因此无论是黑客还是网络管理员,都必须通过学习协议达到了解网络运作机理的目的。
每一个协议都是经过多年修改延续使用至今的,新产生的协议也大多是在基层协议基础上建立的,因而协议相对来说具有较高的安全机制,黑客很难发现协议中存在的安全问题直接入手进行网络攻击。但是对于某些新型协议,因为出现时间短、考虑欠周到,也可能会因安全问题而被黑客利用。
对于网络协议的讨论,更多人则认为:现今使用的基层协议在设计之初就存在安全隐患,因而无论网络进行什么样的改动,只要现今这种网络体系不进行根本变革,从根本上就无法杜绝网络黑客的出现。但是这种黑客机能已经超出了本书的范围,因而不在这里详细介绍。
二、服务器与客户端:
最简单的网络服务形式是:若干台电脑做为客户端,使用一台电脑当作服务器,每一个客户端都具有向服务器提出请求的能力,而后由服务器应答并完成请求的动作,最后服务器会将执行结果返回给客户端电脑。这样的协议很多。例如我们平时接触的电子邮件服务器、网站服务器、聊天室服务器等都属于这种类型。另外还有一种连接方式,它不需要服务器的支持,而是直接将两个客户端电脑进行连接,也就是说每一台电脑都既是服务器、又是客户端,它们之间具有相同的功能,对等的完成连接和信息交换工作。例如DCC传输协议即属于此种类型。
从此看出,客户端和服务器分别是各种协议中规定的请求申请电脑和应答电脑。作为一般的上网用户,都是操作着自己的电脑(客户端),别且向网络服务器发出常规请求完成诸如浏览网页、收发电子邮件等动作的,而对于黑客来说则是通过自己的电脑(客户端)对其他电脑(有可能是客户端,也有可能是服务器)进行攻击,以达到入侵、破坏、窃取信息的目的。
三、系统与系统环境:
电脑要运作必须安装操作系统,如今流行的操作系统主要由UNIX、Linux、Mac、BSD、Windows2000、Windows95/98/Me、Windows NT等,这些操作系统各自独立运行,它们有自己的文件管理、内存管理、进程管理等机制,在网络上,这些不同的操作系统既可以作为服务器、也可以作为客户端被使用者操作,它们之间通过“协议”来完成信息的交换工作。
不同的操作系统配合不同的应用程序就构成了系统环境,例如Linux系统配合Apache软件可以将电脑构设成一台网站服务器,其他使用客户端的电脑可以使用浏览器来获得网站服务器上供浏览者阅读的文本信息;再如Windows2000配合Ftpd软件可以将电脑构设成一台文件服务器,通过远程ftp登陆可以获得系统上的各种文件资源等。
四、IP地址和端口:
我们上网,可能会同时浏览网页、收发电子邮件、进行语音聊天……如此多的网络服务项目,都是通过不同的协议完成的,然而网络如此之大,我们的电脑怎么能够找到服务项目所需要的电脑?如何在一台电脑上同时完成如此多的工作的呢?这里就要介绍到IP地址了。
每一台上网的电脑都具有独一无二的IP地址,这个地址类似于生活中人们的家庭地址,通过网络路由器等多种物理设备(无需初级学习者理解),网络可以完成从一个电脑到另一个电脑之间的信息交换工作,因为他们的IP地址不同,所以不会出现找不到目标的混乱局面。但是黑客可以通过特殊的方法伪造自己电脑的IP地址,这样当服务器接受到黑客电脑(伪IP地址)的请求后,服务器会将应答信息传送到伪IP地址上,从而造成网络的混乱。当然,黑客也可以根据IP地址轻易的找到任何上网者或服务器,进而对他们进行攻击(想想现实中的入室抢劫),因而如今我们会看到很多关于《如何隐藏自己IP地址》的文章。
接下来我解释一下上面提到的第二个问题:一台电脑上为什么能同时使用多种网络服务。这好像北京城有八个城门一样,不同的协议体现在不同的网络服务上,而不同的网络服务则会在客户端电脑上开辟不同的端口(城门)来完成它的信息传送工作。当然,如果一台网络服务器同时开放了多种网络服务,那么它也要开放多个不同的端口(城门)来接纳不同的客户端请求。
网络上经常听到的“后门”就是这个意思,黑客通过特殊机能在服务器上开辟了一个网络服务,这个服务可以用来专门完成黑客的目的,那么服务器上就会被打开一个新的端口来完成这种服务,因为这个端口是供黑客使用的,因而轻易不会被一般上网用户和网络管理员发现,即“隐藏的端口”,故“后门”。
每一台电脑都可以打开65535个端口,因而理论上我们可以开发出至少65535种不同的网络服务,然而实际上这个数字非常大,网络经常用到的服务协议不过几十个,例如浏览网页客户端和服务端都使用的是80号端口,进行IRC聊天则在服务端使用6667端口、客户端使用1026端口等。
五、漏洞:
漏洞就是程序中没有考虑到的情况,例如最简单的“弱口令”漏洞是指系统管理员忘记屏蔽某些网络应用程序中的账号;Perl程序漏洞则可能是由于程序员在设计程序的时候考虑情况不完善出现的“让程序执行起来不知所措”的代码段,“溢出”漏洞则属于当初设计系统或者程序的时候,没有预先保留出足够的资源,而在曰后使用程序是造成的资源不足;特殊IP包炸弹实际上是程序在分析某些特殊数据的时候出现错误等……
总而言之,漏洞就是程序设计上的人为疏忽,这在任何程序中都无法绝对避免,黑客也正是利用种种漏洞对网络进行攻击的,本章开始的字眼儿“网络安全”实际就是“漏洞”的意思。黑客利用漏洞完成各种攻击是最终的结果,其实真正对黑客的定义就是“寻找漏洞的人”,他们并不是以网络攻击为乐趣,而是天天沉迷在阅读他人的程序并力图找到其中的漏洞。应该说,从某种程度上讲,黑客都是“好人”,他们为了追求完善、建立安全的互联网才投身此行的,只不过因为有的黑客或者干脆是伪黑客经常利用具有攻击性的漏洞,近些年人们才对黑客有了畏惧和敌视的心理。
六、加密与解密:
在“协议”的讲解中,我提到了“由于网络设计的基层存在问题……”,简单的说这一问题是允许所有上网者参与信息共享,因而对某些商业、个人隐私在网络上的传送,就会暴露在众目睽睽之下,我们的信用卡、个人电子邮件等都可以通过监听或者截获的方式被他人的到,如何才能让这些信息安全呢?读者也许想到了“二战中”的间谍战:参战国家在使用电报的时候,都对代码进行了加密处理,只有知道了“密码薄”的接收者,才可以进行译码工作。正是这种古老的加密方式,在现代化的网络上也依然存在它旺盛的生命力,通过加密处理的信息在网络上传送,无论谁拿到了这份文件,只要没有“密码薄”仍然是白费力气的。
网络上最长使用的是设置个人密码、使用DES加密锁,这两种加密方式分别可以完成用户登陆系统、网站、电子邮件信箱和保护信息包的工作,而黑客所要进行的工作,就是通过漏洞、暴力猜测、加密算法反向应用等方式获得加密档案的明文,有人把“魔高一尺、道高一仗”用在这里,的确是在恰当不过了!网络上的加密方法和需要验证密码的系统层出不穷,黑客也在寻找破解这些系统的种种办法。
可以说,“漏洞”和“解密”是两个完全不同的黑客领域,对于不同的学习者对他们的偏好,将会直接影响到今后将会成为的黑客类型,因而在二者之间的选择,应根据个人喜好进行,本书将会侧重学习“漏洞”方面的知识。
七、特洛伊木马:
特洛伊木马是一个程序,这个程序可以做程序设计者有意设计的未出现过的事情。但是对于特洛伊木马所做的操作,不论是否用户了解,都是不被赞同的。根据某些人的认识,病毒是特洛伊木马的一个特例,即:能够传播到其他的程序当中(也就是将这些程序也变成特洛伊木马)。根据另外的人的理解,不是有意造成任何损坏的病毒不是特洛伊木马。最终,不论如何定义,许多人仅仅用“特洛伊木马”来形容不能复制的带有恶意的程序,以便将特洛伊木马与病毒区分开。
【WAP攻击】
黑客们在网络上疯狂肆虐之后,又将“触角”伸向了WAP(无线应用协议的英文简写),继而WAP成为了他们的又一个攻击目标。“WAP攻击”主要是指攻击WAP服务器,使启用了WAP服务的手机无法接收正常信息。由于目前WAP无线网络的安全机制并非相当严密,因而这一领域将受到越来越多黑客的“染指”。现在,我们使用的手机绝大部分都已支持WAP上网,而手机的WAP功能则需要专门的WAP服务器来支持,若是黑客们发现了WAP服务器的安全漏洞,就可以编制出针对该WAP服务器的病毒,并对其进行攻击,从而影响到WAP服务器的正常工作,使WAP手机无法接收到正常的网络信息。
【ICMP协议】
ICMP(全称是Internet Control Message Protocol,即Internet控制消息协议)用于在IP主机、路由器之间传递控制消息,包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。例如,我们在检测网络通不通时常会使用Ping命令,Ping执行操作的过程就是ICMP协议工作的过程。“ICMP协议”对于网络安全有着极其重要的意义,其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。例如,曾经轰动一时的海信主页被黑事件就是以ICMP攻击为主的。由于操作系统规定ICMP数据包最大尺寸不超过64KB,因而如果向目标主机发送超过64KB上限的数据包,该主机就会出现内存分配错误,进而导致系统耗费大量的资源处理,疲于奔命,最终瘫痪、死机。
【时间戳】
“时间戳”是个听起来有些玄乎但实际上相当通俗易懂的名词,我们查看系统中的文件属性,其中显示的创建、修改、访问时间就是该文件的时间戳。对于大多数一般用户而言,通过修改“时间戳”也许只是为了方便管理文件等原因而掩饰文件操作记录。但对于应用数字时间戳技术的用户就并非这么“简单”了,这里的“时间戳”(time-stamp)是一个经加密后形成的凭证文档,是数字签名技术的一种变种应用。在电子商务交易文件中,利用数字时间戳服务(DTS:digita1 time stamp service)能够对提供电子文件的日期和时间信息进行安全保护,以防止被商业对手等有不良企图的人伪造和篡改的关键性内容。
【MySQL数据库】
我们在黑客文章中常会看到针对“MySQL数据库”的攻击,但很多朋友却对其不大了解。“MySQL数据库”之所以应用范围如此广泛,是由于它是一款免费的开放源代码的多用户、多线程的跨平台关系型数据库系统,也可称得上是目前运行速度最快的SQL语言数据库。“MySQL数据库”提供了面向C、C++、Java等编程语言的编程接口,尤其是它与PHP的组合更是黄金搭档。“MySQL数据库”采用的是客户机/服务器结构的形式,它由一个服务器守护程序Mysqld和很多不同的客户程序和库组成。但若是配置不当,“MySQL数据库”就可能会受到攻击,例如若是设置本地用户拥有对库文件读权限,那么入侵者只要获取“MySQL数据库”的目录,将其复制本机数据目录下就能访问进而窃取数据库内容。
【MD5验证】
MD5(全称是message-digest algorithm 5)的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”为一种保密的格式。它的典型应用是对一段信息(message)产生信息摘要(message-digest),以防止被篡改。通俗地说MD5码就是个验证码,就像我们的个人身份证一样,每个人的都是不一样的。MD5码是每个文件的唯一校验码(MD5不区分大小写,但由于MD5码有128位之多,所以任意信息之间具有相同MD5码的可能性非常之低,通常被认为是不可能的),凭借此特性常被用于密码的加密存储、数字签名及文件完整性验证等功能。通过MD5验证即可检查文件的正确性,例如可以校验出下载文件中是否被捆绑有其它第三方软件或木马、后门(若是校验结果不正确就说明原文件已被人擅自篡改)。
黑客术语
Unicode漏洞
Unicode漏洞是一个16位的字符集,它可以移植到所有主要的计算机平台并且覆盖几乎整个世界。微软IIS4。0和5。0都存在利用扩展Unicode字符取代“/”和“╲”而能利用“。。/”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename帐号的上下文空间访问任何以知的文件。该帐号在默认的情况下属于Every-one和Users组的成员,因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问文件都能被删除,修改或执行,就如同一个用户成功登陆所能完成的一样。
CGI漏洞
CGI是Common Gateway Interface(公用网关接口)的简称,并不特指一种语言。Web服务器的安全问题包括,一是Web服务器软件编制中的BUG;二是服务器配置错误。这可能导致CGI源代码泄露,物理路径信息泄露,系统敏感信息泄露或远程执行任意指令。CGI语言漏洞分为以下几种;配置错误,边界条件错误,访问验证错误,策略错误,使用错误等等。
IIS漏洞
IIS的英文全称是Internet Information Service, 是微软公司的Web服务器。IIS支持多种需要服务器处理的文件类型,当一个web用户从客户端请求此类文件时,相应的DLL文件将自动对其进行处理。然而在ISM.DLL这个负责处理HTR文件的文件中被发现存在严重的安全漏洞。它可能对WEB服务器的安全造成威胁。
IPC$漏洞
IPC$是共享‘命名管道’的资源,他对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源时使用。利用IPC我们可以与目标主机建立一个空的连接,而利用这个空的连接,我们还可以得到目标主机上的用户列表。但是,一些别有用心者会利用IPC$,查找我们的用户列表,并使用一些字典工具,对我们的主机进行攻击。
SSL漏洞
SSL的英文全称是Secure socket layer,是网上传输信用卡和帐户密码等信息时广泛采用的行业加密标准。
NTLM验证
NTML(NT LAN Manager)是微软公司开发的一种身份验证机制,从NT4开始就一直使用,主要用于本地的帐户管理。
IPC管道
为了更好地控制和处理不同进程之间的通信和数据交换,系统会通过一个特殊的连接管道来调度各个进程。
3389漏洞
由于微软在中国的输入法原因,使得安装了微软终端服务和全拼的Win2k服务器存在着远程登陆并能获得超级用户权限的严重漏洞。
术 语 表
广告软件(Adware):显示广告的程序,这种软件通常从Internet下载获得。请参考术语“免费软件”、“开放源程序”和“共享软件”。
AES (Advanced Encryption Standard,高级加密标准):一种由美国政府制定的加密标准。请参考术语“DES”。
匿名重邮器(Anonymous remailer):一种能够从邮件信息中剥离出邮件地址,然后发送邮件的程序或站点,您可以通过它来发送邮件,同时不暴露自己的身份或位置。
反病毒程序(Antivirus program):一种能够检测并删除计算机病毒的程序。
AOL(America Online):世界上最著名的在线服务。
汇编语言(Assembly language):一种低级的机器编程语言。每一个系列的微处理器(如Intel或Motorola的微处理器)都有自己的汇编语言,它们可以以最大限度的灵活性控制计算机。大多数的病毒用汇编语言编写,只有一小部分是用BASIC、C或Pascal语言编写的。
后门(Back door):一种隐藏的计算机或程序入口。黑客常常在计算机中创建后门,从而可以在下一次绕开正常情况下需要的安全或登陆过程。
Back Orifice:最流行的远程访问特洛伊木马程序之一。请参考术语“远程访问的特洛伊木马”和“特洛伊木马”。
黑帽黑客(Black hat hacker):形容那些利用自己的技能进行恶意攻击(如删除文件和摧毁计算机)的黑客。请参考术语“白帽黑客”。
Blowfish:流行的加密算法,任何人都可以免费使用。
引导扇区(Boot sector):标识磁盘类型(软盘或硬盘)、文件分配表大小、隐藏文件的数量以及引导目录下的文件数量的磁盘区域。每一个磁盘都有一个引导扇区,从而导致磁盘容易感染引导病毒。请参考术语“引导病毒”。
引导病毒(Boot virus):一种感染磁盘引导扇区的计算机病毒。
暴力攻击(Brute-force attack):通过尝试所有单词和数字的可能组合(直到找出正确的一个)来破解密码的方法。
C/C++:流行的编程语言。大多数操作系统和应用程序都采用这种编程语言,如Linux、Windows和Microsoft Word。C是最早用来开发Unix的语言,而C++是C语言的面向对象版本。
审查软件(Censorware):用来阻止或限制对某些Web站点或新闻组进行访问的软件,如家长监控软件。请参考术语“家长监控软件(Parental control software)”。
校验和(Checksum):基于文件实际内容的一些计算所得到的数字结果,它可以惟一标识特定文件。如果文件以任意的方式被修改,那么其校验和也会发生变化。校验和通常存储在一个独立的文件中,这个文件可能加密、隐藏,或保存在一张软盘上。反病毒和反特洛伊木马程序使用校验和来识别一个文件是否已经被修改(这意味着可能感染了病毒)。同样,计算机法医专家通常使用校验和来验证文件自警方获取后没有进行过修改。
簇(Clusters):磁盘上的一个或多个扇区,包含一个文件的全部或部分内容。请参考术语“松散空间(Slack space)”。
CMOS:一个由电池驱动的芯片,用来存储计算机的配置信息。因为CMOS会导致计算机的工作失常,所以许多病毒把CMOS作为攻击目标。
冷启动(Cold boot):关闭计算机然后重新启动。请参考术语“热启动(Warm boot)”
伴随病毒(Companion virus):一种早期的MS-DOS病毒,通常以扩展名为.com的文件形式出现。伴随病毒以被感染的文件名称(如wp.exe)为自己命名,并把扩展名修改为.com。
编译器(Compiler):一种用来把源代码转换为可执行程序的程序。请参考术语“反编译器(Decompiler)”。
Cracker:1.恶意的黑客 2. 可以击败加密或版权保护的破解程序。
破解(Cracking):击败程序的复制保护手段或避开密码和加密措施。
信用卡号码生成器(Credit card generator):可以创建信用卡号码的程序,它使用了与信用卡公司相同的数学公式。
跨平台(Cross-platform):能够在多个操作系统中运行。
反编译程序(Decompiler):用户重建从一个可执行文件得到的程序源代码的程序。反编译程序有Visual Basic、Java以及其他编程语言的版本。请参考术语“反汇编程序(Disassembler)”。
Delphi:一种基于Pascal语言的快速开发工具。Delphi常常用于编写远程访问的特
洛伊木马程序。请参考术语“RAT”和“Visual Basic”。
拒绝服务攻击(Denial-of-service attack):通过阻塞计算机资源来达到无法为其他用户提供服务的目的,也称为DOS。
DES (Data Encryption Standard,数据加密标准):一种加密方法。DES可以被破解,因而被认为是一种对于重要信息或敏感信息无用的加密方法。请参考术语“AES”。
桌面监视程序(Desktop-monitoring program):这种程序可以在计算机用户不知情的情况下对其计算机操作进行监视和记录。请参考术语“间谍软件(Spyware)”。
字典攻击(Dictionary attack): 通过搜索一个常用密码的列表(如演艺界常用的词汇、车的名称或流行电影的名称)来破解密码的方法。
直接运行病毒(Direct action virus):当每次运行病毒程序时,立即开始破坏操作的病毒,如攻击硬盘或在屏幕显示一条信息。
反汇编程序(Disassembler):从一个可执行文件生成汇编语言源程序的程序。请参考术语“汇编语言”和“反编译程序”。
邮件轰炸(Email bombing):通过发送大量邮件信息或若干大文件来阻塞邮件帐户的方法。请参考术语“传真轰炸”和“电话轰炸”。
加密(Encryption):搅乱数据,使他人难以理解的方法。请参考术语“AES”和“DES”。
EXE文件:一种常见的文件类型,如字处理程序或游戏程序都属于这种类型。EXE文件是可重定位程序,可以用来存储更大的程序。
误否认(False negative):当程序(如反病毒程序或反特洛伊木马程序)未能检测到结果时。当反病毒程序未能检测到病毒时,这个结果叫做误否认。
误确认(False positive):当程序(如反病毒程序或反特洛伊木马程序)错误地报告结果时。当反病毒程序报告的一个病毒并不存在时,这个结果叫做误确认。
Fast 病毒:只要计算机加载或分析病毒文件就会立即感染程序文件的病毒类型。
文件分配表(file allocation table,FAT):包含磁盘文件大小和位置信息的磁盘区域。每次格式化磁盘时,都会创建两个相同的文件分配表,分配表在簇中存储每一个文件的信息。如果磁盘的文件分配表遭到破坏,文件仍然在磁盘中,但计算机无法找到或使用这些文件。
传真轰炸(Fax bombing): 向传真机发送多条信息以使得其他人无法使用。请参考术语“邮件轰炸”和“电话轰炸”。
文件病毒(File infector):程序病毒的又一名称。
防火墙(Firewall):用来阻止入侵者进入网络或个人计算机的实用程序。
Flooder:向目标计算机发送超过其处理能力的数据的恶意程序。请参考术语“拒绝服务攻击”和“邮件轰炸”。
计算机法医(Forensics):恢复已删除的文件作为证据的科学。
堡式电话(Fortress phone):付费电话的别名,指其对非法入侵的防护功能。
免费软件(Freeware):在无需付费的情况下可以复制、发布及赠送的软件。请参考术语“广告软件”和“共享软件”。
Gnutella:允许人们通过分布式网络相互共享音频和视频文件的程序。请参考术语“Napster”。
黑客(Hacker):形容那些计算机知识非常渊博的人。黑客在一些情况下带有贬义(本书中没有贬义)。请参考术语“Cracker”。
Hacking:为了了解某物(如电话系统或计算机)的工作原理,对它进行分析和试验的过程。这个过程通常在所有者不知情或不允许的情况下进行。
黑客行动:使用计算机技能(主要是扭曲Web站点)来散布消息的一种抗议形式。请参考术语“扭曲Web站点”。
仇恨群体(Hate group):主张对另一群体实施暴力和歧视的组织。他们的思想通常是由宗教或种族差异导致的。
启发式分析(Heuristic analysis):有时叫做基于规则的分析或人工智能分析,它使用智能推测,通常能够比标准算法更快地找到解决方案。反病毒程序使用启发式分析来检查一个文件,并且根据典型的病毒特征来推测文件是否受到病毒感染。
16进制编辑器(Hex editor):能够直接对文件或磁盘进行检查和修改的程序。
Honeypot:一种用来诱惑黑客的虚拟目标。它通常用于使黑客长时间驻留于一个系统以追踪其所在位置,或者引诱黑客进入一个不会造成危害的网络区域,进入之后无法离开同时也不会造成实际的损失。Honeypot也叫做goat文件。
ICQ:一种流行的即时消息传递程序。
身份盗窃(Identity theft ):在网络中把自己伪装成另一个人。
信息战(Information warfare):形容对个人、商务和跨国际的系统入侵。
完整性检验程序(Integrity checker):根据文件的大小、时间和日期等信息来检查每一个文件并计算出一个数字结果的程序。如果完整性检查程序发现文件的大小、时间或日期发生了变化,它会认为文件受到了病毒感染或者黑客的篡改。请参考术语“校验和”。
入侵检测系统(Intrusion-detection system):用来检测黑客入侵的程序。它通常简称为IDS。
IRC(Internet Relay Chat,Internet即时聊天):一种结构松散的网络,人们可以利用它来实时地输入信息和发送信息。
Java:一种跨平台的编程语言,用来创建Web页面Java程序和成熟的应用程序。
按键记录器(Keystroke recorder):一种可以记录在计算机上的键盘输入和单击鼠标操作的程序,程序的运行通常不为用户所知。
Linux:为个人计算机设计的Unix的免费版本。虽然Linux可以自由地复制和发布,但许多公司出售自己推出的Linux版本以及技术支持、软件或其他附加服务。
术 语 表
逻辑炸弹(Logic bomb):一种隐藏在其他程序中的程序,这种程序被设定为在某一特定日期或由一个特殊事件触发,触发后的逻辑炸弹会删除数据或摧毁计算机。一些不满的程序员常常把逻辑炸弹插入自己编写的程序中,以获得老板的重视。
宏病毒(Macro virus):使用某一程序的宏编程语言编写的病毒。最常见的宏病毒用WordBasic或Visual Basic for Applications编写,还有一些宏病毒用WordPerfect和Lotus 1-2-3的宏编程语言编写。请参考术语“Visual Basic for Applications”。
主引导记录(Master Boot Record ,MBR):在硬盘中存储的信息,计算机可以从中了解硬盘的分区信息。多数硬盘只有一个分区,但它一般划分为4个分区。
米开朗基罗病毒(Michelangelo virus):在1992年成为全世界各主要报纸的头条的病毒。它并不像其他许多病毒一样常见。
MP3:Moving Picture Experts Group (MPEG) Audio Layer-3的缩写,存储数字音频的压缩格式文件。请参考术语“Napster”和“Gnutella”。
多元复合型病毒(Multipartite virus):可以同时感染文件和引导扇区的病毒类型。
Mutation engine:帮助病毒编写者创建多态性病毒的编程工具包,多态性病毒可以对自身进行修改以避免被反病毒扫描程序检测到。请参考术语“多态性病毒”。
Napster:通过Internet共享MP3音频文件的程序。请参考术语“Gnutella”和“MP3”。
Newbie:形容新手或初学者的一个行话。
Nuker:一种对其他计算机进行恶意攻击的程序。
在线骚扰程序(Online harassment program):在某在线服务(如AOL或聊天室)中骚扰用户的程序。这样的程序通常用来骗取用户的信用卡号码或密码。
开放源程序(Open source):可以不受限制(或很少限制)地研究或修改源代码的程序类型。对开放源程序所作的任何修改都意味着要和其他人共享。Linux是开放源程序的典范。请参考术语“广告软件”、“免费软件”和“共享软件”。
重写病毒(Overwriting infector):一种文件感染型病毒,它会在文件感染后删除部分文件的内容。
包嗅探器(Packet sniffer):一种能够秘密捕获通过Internet传递的信息的程序。通常用来截取信用卡号码和密码。
寄生病毒(Parasitic infector):一种文件感染型病毒,附于文件的头或尾。
家长监控软件(Parental control software):一种限制对特定Internet资源(如Web站点或FTP站点)进行访问的程序,受限制的站点通常包含面向成人提供内容。这种软件还能够过滤电子邮件或聊天室,并控制本机程序的使用。请参考术语“审查软件”。
分区表(Partition table):硬盘引导扇区的区域,它定义硬盘的容量和分区,每个分区的操作系统以及计算机的引导分区。
补丁(Patch):用来修正程序错误或程序缺陷的程序。请参考术语“服务包”。
PGP (Pretty Good Privacy):Internet最为流行和最为有效的加密程序之一。请参考术语“加密”。
Phishing:通过欺骗的手段在聊天室中获取他人的密码、信用卡号码或其他有价值的信息。phishing是在线骚扰程序的一个常见特性。请参考术语“在线骚扰程序”。
电话轰炸(Phone call flooding):无休止地拨打同一电话号码,通常用于骚扰某个人或某个公司,例如发送垃圾邮件的公司和个人。请参考术语“传真轰炸”。
盗用电话线路(Phreaking):操纵电话系统。
盗版软件(Pirated software):通过非法复制获得的软件。如果检查公司内任一台计算机,您可能会或多或少发现一些盗版软件。
多态性病毒(Polymorphic virus): 在每次传播过程中都对自身进行修改以避免被反病毒扫描程序检测到的病毒。请参考术语\" Mutation engine\"。
庞氏骗局(Ponzi scheme ):引诱别人向虚设的企业投资,以后来投资者的钱作为快速盈利付给最初投资者以诱使更多人上当。请参考术语“金字塔骗局”。
弹出广告(Pop-up/under ads) :当浏览Internet时在屏幕中出现的广告。Pop-up广告会覆盖正在浏览的网页,而pop-under广告只在关闭当前网页时才出现。
端口(Port): 计算机用来发送和接收数据的通道口。当计算机与Internet建立连接时,它会打开若干端口,其中每一个端口执行一项特定的操作,如发送、接收Web页面或电子邮件。请参考术语“扫描程序”。
私钥加密(Private-key encryption):只使用单一密钥的进行加密和解密的方法。请参考术语“公钥加密”。
程序病毒(Program infector):一种感染程序文件的病毒,如字处理程序或电子制表软件。
公钥加密(Public-key encryption):使用两个独立的密钥(私钥和公钥)进行加密、解密的方法。私钥只由一个人所知,公钥可以向任何人公布。采用一个密钥加密的数据只能通过另一个密钥才能解密。请参考术语“私钥加密”。
金字塔骗局(Pyramid scheme):一个人收取其他人的金钱,并向他们承诺,如果招募其他人加入,就能够以同样的方式来挣钱。
远程访问的特洛伊木马(RAT,remote access Trojan):允许黑客从一台远程计算机来访问另一台计算机的程序。请参考术语“特洛伊木马”。
回滚程序(Rollback program):能够把硬盘内容恢复为之前状态的程序。常用于修复非正常软件安装导致的故障,也可以用于修复由黑客、病毒或特洛伊木马导致的故障。
Rootkit:一个或多个程序的集合,用来隐藏黑客在一台计算机中的踪迹并在计算机中安装其他后门,以确保黑客可以再次重新进入这台计算机。
SATAN:全称是Security Administrator Tool for Analyzing Networks,即用于分析网络的安全管理员工具。该工具用于探查Web站点的安全缺陷。
扫描程序(Scanner):1.包含已知病毒特征的数据库的反病毒程序。通过将文件与数据库进行比较,scanner能够判断出病毒的确切类型。2.一种在Internet或网络中搜索计算机的程序。
Script kiddie(脚本少年):形容那些不了解技术细节而利用别人编写的工具进行攻击的黑客。
服务包(Service pack):对一个程序的多处缺陷或错误进行修正的多个程序的集合。请参考术语“补丁”。
共享软件(Shareware):一种软件发布的方法,它允许用户无需付费就可以自由地复制和试用软件。如果打算长期使用该软件,那么必须支付一定费用。请参考“广告软件”、“免费软件”和“开发源程序”。
签名(Signature):病毒或特洛伊木马的惟一结构特征,类似于人的指纹。每一种病毒和木马程序都有惟一的签名,反病毒和反特洛伊木马程序根据它来检测并识别病毒或木马程序。
松散空间(Slack space):一个磁盘簇中的未使用区域,其中常常包含可以删除或用作证据的文件内容或碎片。请参考术语“簇”。
Slow病毒:只有在创建或修改自身代码时才感染文件的病毒。它可以避免被反病毒程序(如完整性检验程序)的扫描。请参考术语“Fast病毒”。
嗅探器(Sniffer):用来复制在网络中传递的数据的程序。
源代码(Source code):组成程序的实际指令。如果您获得了一个病毒的源代码,就可以修改它的行为。病毒源代码通常用汇编语言编写或Visual Basic for Applications编写,在线骚扰程序通常用Visual Basic编写,而特洛伊木马通常用C/C++或Delphi编写。请参考术语“汇编语言”,“C/C++”和“Visual Basic for Applications”。
Spam:垃圾邮件。
Sparse病毒:只是间或地感染文件的病毒,以避免被反病毒程序发现。
Sploit漏洞:也叫做exploit漏洞。黑客通常利用它来鉴别某程序(如操作系统或防火墙)的最新缺陷。
间谍软件(Spyware):从硬盘中检索信息并把信息发送给另一台计算机的程序。通常用于有广告赞助的共享软件或桌面监视程序(用来监视其他人对计算机的使用)。请参考术语“广告软件”。
Stealth病毒:试图避免自己被反病毒程序发现的病毒。
Steganography(隐藏):把信息(如文本)隐藏在其他媒介(如图形文件、音频文件或另一文本文件)的技术。请参考术语“加密”。
触发事件(Trigger):导致病毒程序执行的事件。该事件可以把病毒设置为在某一日期(如第13个星期五或4月15日)或在特定条件(如数据占用了80%的硬盘空间)满足时爆发。
特洛伊木马(Trojan horse):能够把自己伪装成有用(通常是著名的)程序,实际上执行其他操作(如删除计算机的文件)的程序。特洛伊木马与计算机病毒的区别在于它不对自身进行复制。
Unix:20世纪70年代早期在贝尔实验室开发的操作系统。虽然Unix的免费版本Linux在个人电脑中日益流行,但Unix仍然是全世界最受欢迎的操作系统之一,它主要用于较大规模的计算机,如大型机和小型机。请参考术语“Linux”。
疫苗(Vaccine):一种号称能够保护文件不受病毒感染的反病毒程序。
病毒监控器(Virus monitor):一种驻留在计算机内存中的程序,用来监视病毒感染的信号。
Visual Basic:Microsoft推出的一种程序,利用Basic语言进行可视化编程。
Visual Basic for Applications:Visual Basic的特殊版本,简称为VBA,用于在Microsoft应用程序(如Word、Excel、PowerPoint和Access)中创建程序。
War dialer:可以对一定范围内的所有电话号码进行拨号的程序,它会搜索与电话线相连的调制解调器。这种程序还可以用来反复拨打一个电话号码,从而达到骚扰的目的。它也叫做demon dialer。
Warez:盗版软件的别名,通常指游戏软件。它也叫做appz。
热启动(Warm boot):无需关闭计算机就重启的方法。多数计算机都有重启或复位键,也可以通过ctrl+alt+del来实现热启动。
Web窍听器(Web bug):一种微小的、不可见的图形文件,可以用来追踪用户在Internet上的活动。
丑化Web站点(Website defacing):修改Web页面或将其替换为新的内容,通常是污秽的、色情的或政治的信息。请参考术语“黑客行动”。
Web欺骗(Web spoofing):截取用户的Web请求,并将其引入一个不同的Web站点以进行欺骗行为。
白帽黑客(White hat hacker):形容那些利用其计算机技能进行有益工作的黑客,如追捕恋童癖者或防止黑帽黑客的攻击。请参考术语“黑帽黑客”。
蠕虫(Worm):能够把自身从一台计算机复制到另一台计算机的程序。与病毒不同,蠕虫不会感染文件或磁盘,而只是对自身进行复制。
包装程序(Wrapper):一种能够把两个独立的程序组合成一个文件的程序。它通常用来把一个特洛伊木马程序和一个安装程序合并起来以生成一个合法的程序。它也叫做binder或joiner。
1.什么叫肉鸡?
答:肉鸡就是具有最高管理权限的远程电脑。简单的说就是受hacker控制的远程电脑。肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要你有这本事入侵并控制他。呵呵,莱鸟所说用的肉鸡一般是开了3389端口的Win系列系统的服务器。要登陆肉鸡,必须事先得到3个参数:远程电脑的IP、用户名、密码。
2.什么叫SHELL?
答:操作系统与外部最主要的接口就叫做shell。 shell是操作系统最外面的一层。shell管理你与操作系统之间的交互:等待你的输入,它向操作系统解释你的输入,并且处理各种各样的操作系统的输出结果。
shell提供了你与操作系统之间通讯的方式。这种通讯可以以交互方式(从键盘输入,并且可以立即得到响应)。
Shell基本上是一个命令解释器,类似于DOS下的command.com。它接收用户命令(如ls等),然后调用相应的应用程序。较为通用的shell有标准的Bourne shell (sh)和C shell 3.(csh)。 所以一旦我们拥有远程服务器的SHELL就可以在它上面运行相关的命令,前提是拥有适当的权限。
3.什么叫WEBSHELL?
答:webshell是web入侵的脚本攻击工具。简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。使用方法就是把ASP或PHP木马放到对方WEB目录中然后在IE中输入
www.xxx.com/muma.asp这样的相对路径来使用你安排好的木马.
4.什么是超级管理员?
答:超级管理员没什么好解释的,相信大家都知道,就是一个系统中权利最高的一个管理员.在一个系统中超级管理员权利是最大的.可以在服务器上运行任意命令,所以如果你有超级管理员密码 还有一个SHELL那么你就可以控制整台服务器了.
5.什么叫提权?
答:提权就是合法获得低权限用户再通过漏洞获得最高权限的过程. 假如当你得到一个系统用户,但是有一些事情你做不了,你就想要怎么才可以有那种权限呢?你把的这个用户的权利通过漏洞变高的过程就叫提权.
6.什么叫溢出?
答:服务程序代码对数据格式检测不够完全导致绕过程序限制以管理员权限在服务器上运行任意代码,所以如果对方存在溢出漏洞,你可以通过溢出代码攻击远程服务器并运行添加自己为超级管理员的命令.
7.什么叫暴力破解?
答:就是用某种暴力破解软件,对某种需要密码才能使用的服务,把可能的密码尽量多得聚集在一起,列成一个表格然后一个接一个的试,直到试验出正确的密码,也就是破解成功了。不过这种破解方式成功几率不高,耗费时间多,技术成分低,不是迫不得已是不使用的。
8.什么叫弱口令?
答:某种服务或系统的合法用户由于密码过于简单导致攻击者破解密码后侵入服务器 常见的弱口令 123 123456 123456789 987654321 iloveyou 等等.
9.什么是SQL?
一句话
什么是一句话
俗称的“一句话木马”就是一段代码,它是基于B/S结构的,即包括客户端和服务端,与客户端来控制服务器。例如黑客在注册信息的电子邮箱或个人主页处插入类似于\"<%execute resquest(\"value\")%>\" \"<S criptlanguage=VBS cript runat=server>execute resquest(\"value\")</S cript>\",进而将这个服务端代码插入到数据库中。此后再用本地浏览器打开客户端,上传ASP木马,连接后就可以得到一个Shell。
严格意义上“一句话”并不是真正的木马,它只是利用一句话给网站打开一个口子,进而使黑客继而得到服务器控制权。
目前一句话仍未被杀毒软件有效查杀,所以作为站长如果要检测此代码建议使用雷克图ASP站长安全助手 官方网站:
http://www.0x54.org/
加花
加花的全称是“加花指令”,病毒完成某项功能都得依赖特定的程序代码,杀毒软件以此为特征码杀毒,而添加花指令技术就是在程序代码中加入一段没有用途的代码,以此来迷惑杀毒软件,让原先的特征码失效。
变种
简单来说就是当一个木马被我们做成免杀木马若干时间后,杀毒软件发现了你的免杀木马,于是就把这个免杀木马定义为一个新变种。
答:SQL是Structured Quevy Language(结构化查询语言)的缩写。SQL是专为数据库而建立的操作命令集,是一种功能齐全的数据库语言。在使用它时,只需要发出“做什么”的命令,“怎么做”是不用使用者考虑的。SQL功能强大、简单易学、使用方便,已经成为了数据库操作的基础,并且现ms的数据库均支持SQL。
10.什么是MSSQL?
答:MSSQL是指微软的SQL Server数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个数据库管理系统,用于建立、使用和维护数据库.
11.什么是MYSQL?
答:MySQL是一个精巧的SQL数据库管理系统,虽然它不是开放源代码的产品,但在某些情况下你可以自由使用。由于它的强大功能、灵活性、丰富的应用编程接口(API)以及精巧的系统结构,受到了广大自由软件爱好者甚至是商业软件用户的青睐,特别是与Apache和PHP/PERL结合,为建立基于数据库的动态网站提供了强大动力。特别是在与PHP的配合使用中被Linux下WEB开发者称为PHP的黄金搭档。
12.什么是SQL注入?
答:随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 例如:目标服务器的网页脚本(ASP或PHP)与数据库的数据交换过程存在检测不够严格的漏洞,攻击者通过构建特殊代码暴出数据库信息,包括用户信息,管理员密码等敏感信息以入侵远程服务器的网站系统
13.什么是ASP、PHP?
答:ASP与PHP均为HTTP协议使用的脚本程序,所有代码均在服务器上运行完成并将结果返回给IE浏览器供用户查看。
14.什么是IIS?
答:IIS是MICROSOFT公司出产的系统自带的提供HTTP网站服务的程序,通常使用80端口。
15.什么是SERV-U?
答:SERV-U是网络上广泛使用的提供FTP服务的三方程序。通常使用21端口。
IP卡
狗仔卡
发表于 2008-12-22 10:42:09
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2008-12-26 08:49:45
楼主
