全面防护Windows与无线-课件(第三章)

回顾：PART2入侵之源-ip隐藏与破解在黑客攻防战中能否抓到真正黑客的关键在于ip地址。一方面黑客会想尽办法不让被黑者找到自己的ip，另一方面从防黑的角度要全力防堵各种可能使用的隐藏ip方式。本章主要讨论如下内容：黑客隐藏ip的时机与情况黑客隐藏ip的最佳方法黑客利用tor网络达到隐藏ip的目的黑客在寄出的邮件中不包含ipPART3入侵目标-ip查找与攻防黑客在进行各种入侵或攻击等行动之前必须要先有下手目标才行，黑客要使用哪些方法来查找下手对象呢？一般上网的电脑与各种网络服务器应该采取怎样的应对措施？本章要点1、黑客找出特定下手目标电脑ip地址的几种方法。2、黑客如何准确找出使用动态ip电脑的当前地址？3、黑客如何设计获取ip地址的工具？如何随时掌握被黑电脑的动态ip？4、由地址、ftp地址、域名称来找出目标ip。5、由电子邮件、网络聊天、各种实时通讯软件（skype、qq等）来找出目标ip。6、黑客如何随意查找下手目标？如何避免被黑客选中？7、让黑客找不到你ip的几种方法。日本三菱公司军工企业遭黑客攻击资料外泄

中新网9月20日电综合媒体20日报道，日本军工生产企业三菱重工旗下打造潜舰、生产导弹、以及制造核电站零组件等工厂的电脑网络遭到黑客攻击，并有资料可能外泄，这是日本国防产业首度成为黑客攻击目标。

旗下多厂遭入侵资料外泄日本《读卖新闻》19日引述知情人士的消息指出，在这次网络攻击事件中，该公司电脑系统中的资料已被窃取。消息人士称，“爱国者”地对空导弹和AIM-7“麻雀”空对空导弹等武器的生产商三菱重工业公司，其电脑近期遭黑客入侵，总社加上8处制造及研发据点共80部服务器和个人电脑遭殃，涉及最尖端的潜舰、导弹、核电站等信息。据报攻击很可能与间谍活动有关。报道指，目前确定遭病毒入侵“中毒”的包括三菱重工东京总部、三菱重工旗下神户造船厂(神户市)、长崎造船厂(长崎市)、名古屋引导推进系统制作所(爱知县小牧市)等。自卫队及三菱重工人士指出，神户造船厂正建造核电站、潜舰；长崎造船厂正建造护卫舰；爱知县的制作所是制造及开发拦截弹道导弹引导弹、太空火箭引擎等的重要据点。

中毒达8种可删除入侵痕迹上月中旬，三菱重工发现部分服务器中毒，邀请网络保安公司调查。他们在中毒的服务器和个人电脑中，优先分析存有核能、国防数据的服务器后，发现电脑系统信息等外泄、在其它服务器的信息被胡乱移动，可能有几个档案被窃。网络保安公司发现到的病毒至少有8种，其中一部分是“特洛伊木马”病毒。初步推断可能是黑客从外部透过电脑任意操作、窥视电脑荧幕，并将信息送到外部；也有病毒具有通过中毒麦克风窃听对话，以及以隐藏式摄影机监视的功能。有的病毒可删除入侵痕迹，故甚至不知究竟中了何种病毒。

最大承包商资料或长期被盗网络保安公司指出，电脑可能在8月之前已中毒，数据或早已长期被窃，目前正积极分析黑客入侵途径。三菱重工发表声明称，公司于上月11日发觉遭受网络攻击，一些系统数据如IP地址已外泄，但有关产品或科技的重要数据，至今仍然安全。据介绍，三菱重工是日本最大国防合约承包商，截至3月的一年间，合共从防卫省取得215份合约，总值2600亿日元，相当于防卫省同年总开支近1/4。公司亦与美国波音公司合作生产787“梦幻客机”机翼。另外，警察厅昨日称，日本警察厅、人事院等政府机关的网站周六(17日)至周日(18日)遭黑客攻击，一度无法正常浏览，但未造成实际损失。什么是特洛伊木马病毒？

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（DenialofService，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害.TrojanRemoverUpdate6.4.7Date01.27一个专门用来清除特洛伊木马和自动修复系统文件的工具。/trojan/1070.htmlZoneAlarmFree6.1.737.000ZoneAlarm来保护你的电脑。/soft/1017.htm

TrojanRemover6.4.7Date01.27专门用来清除特洛伊木马和自动修复系统文件的工具/trojan/7704.htmlTrojanRemover6.46(Database6461)是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描等。/soft/2902.htm

一、为何黑客必须找出被黑者ip地址才可进行攻击或入侵？二、黑客是如何找出使用动态ip上网电脑当前的ip？三、我使用动态ip上网，为何还经常会被同一个黑客找到？如何防护？不要ip地址的黑客任务(电子邮件攻击)虚拟ip的优点一般电脑都是通过无线基站、路由器、经由局域网来连接internet，而这样的电脑都是使用虚拟ip地址，因此对黑客而言很难进行直接入侵或攻击，但可以通过以下方法来达到目的。1、利用反向连接木马来入侵。2、利用木马偷取各种隐私或重要文件、各类账户密码。3、利用网页钓鱼来骗取用户名与密码。4、攻击分配虚拟ip地址的无线基站、路由器、或与internet直接连接的调制解调器等来让使用这些设备的电脑无法上网。反向连接技术,顾名思义:也就是被攻击者主动连接攻击者的过程.举个例子:就如同你需要喝一杯水,而水杯通过科学技术自动移送到你的手中.不修改已经存在的网页，而要求其链接指向新产生的网页.反向连接技术最早出现在DOS命令操作系统中溢出攻击获取SHELL(权限)的技术,而随着病毒与反病毒技术的发展,出现在木马程序中的技术.反向连接技术主要应用于逃避防火墙对木马监控者的监视.动态ip地址之攻防说明

除了虚拟ip外，许多人认为使用动态ip上网也会减少被黑客入侵与攻击的概率，基本上没错，不过也并非如想象中的安全。因为isp为了便于管理与诸多因素，造成虽然是动态ip上网，但每次分配到的ip地址几乎都是同一个，或是附近几个号码轮换，因此黑客只要有一次机会获取你的ip地址，就可查找到你使用其他ip地址的可能，因此安全保障不见得好。另外注意以下两点：1、一般而言，使用电话拨号或有线电视电缆上网最常见到使用同一个或者相近ip地址的情况，所以也特别注意。2、每次上网的动态ip是否一样或者相近，主要由isp决定。有些木马程序在成功植入被黑电脑之后，每次运行时都会将被黑电脑当前ip地址自动寄送给黑客(如optix_pro)。查找特定被黑电脑的ip地址1、若黑客下手目标是某种服务器，则可以直接从地址或域名称来找。2、有些黑客是从实时通讯软件（如MSN、雅虎通、skype、qq等）中的在线好友下手。3、有时从网络聊天室里查找下手目标。4、询问。5、电子邮件。1、若黑客下手目标是某种服务器，则可以直接从地址或域名称来找。（1）使用ping命令（2）netinfo2、有些黑客是从实时通讯软件（如MSN、雅虎通、skype、qq等）中的在线好友下手。讨论：如果在线好友是虚拟ip上网，所找到的有可能是无线基站、路由器等的ip地址，而不是好友的ip。3、从网络聊天室里查找下手目标。如果下手目标是网络聊天室的某个目标，没有邮箱地址，如何找到对方的ip呢？方法：当黑客与被黑者交谈时，会创建点对点的连接，此时可借助工具查看当前所有的连接状况，就可能找到ip。这与实时通讯软件的查找ip方法基本相同。提示：此方法取决于聊天室的编程结构，若所有的操作必须通过聊天室的服务器，则此方法失效。4、询问。5、电子邮件。大多数smtp在寄出信件是都会在信件源文件最前面加上一些信息，其中多半会有ip。因此只要：（1）有被黑者寄来的邮件。（2）想办法让被黑者寄邮件，若不寄则失败。（3）随便找个理由寄封信过去并要求回执。分析：由于并不是每封信一定包含寄件者的ip地址，而且有ip也不一定显示在固定的地方，应依照寄出邮件smtp而定。通常只要查看源文件前面10~15行即可，后面信件内容可以不看。范例一：这是一个由台湾地区hinet寄出的信件，由于该邮件服务器都会自动附加寄件者的ip，所以很容易找到。Received：fromms29.H([34]By(8.8.8/8.8.8)withSMTPidXAA11293For<hawkes@ms293:20MessageID:<3B642AA6.F9309A86@>Date:Sun,29jul200123:24;22+0800From:HawkeCheng<>X-Mailer:Mozilla4.5[zhtw]C-CCK-MCD(WinNT;I)X-Accept-Aanguage:zh-TW范例二：这是一个有台湾地区亚太在线寄出到yahoo的信箱再转发到hinet信箱的信件，Received:from([9]By(8.8.8/8.8.8)withSMTPidSAA15906For<hawkes@>;Fri,27jul200118:47:58+0800(CST)Received:from154..tw(HELOhp)(55)BywithSMTP;27jul200110;47:240000X-Apparently-From:<hen@>Reply-To:<hen@com>From:“hen@com”<henTo：“HawkeCheng”<hawkes@>范例三：这封信是由公司内部通过notes系统将信寄到hinet信箱，当然这样内部局域网的ip很难由外部进行入侵或攻击。Received:from.tw(www.ming????.com.tw[2??.72.178.42])By(8.8.8/8.8.8)withESMTPidIAA14182For<hawkes@ma29.hinet>;Mon,30jul200108:58:30+0800(CST)Received:fromcom01([])Bynotes.ming????.com.tw(LotusDominoRelease5.0.1(Intl)withSMTPid2002073008585458:3984;Mon,30jul200108:58:54+0800Message-ID:<003D01C11892＄a26e1620＄0600a8c0@com01>FROM:=?big5?B?wsWnu76n?=<billlan.tw@.tw>To:<Undisclosed-Recipient:;>Subject:=?big5?B?vdCxTr7jsWnBWaRwrN0=?=Date:Mon,30jul200108:57:39+0800

范例四：这封信比较特别，是从一个美国web-mail寄到hinet信箱，而且在该web-mail的smtp服务器中转了两次才将信寄出，所以看到好几个received，不过很特别的是寄件者的ip加在信件头中而不是放在信息中，通常比较少见。Received:from([5])By(8.8.8/8.8.8)withEAMTPidNAA09097For<hawkes@>;thu,26jul200113:36:35+080(cst)Received:from(reports[2])By(postfix)withesmtpid7b17d1c4869For<hawkes@>wed,25jul200122:36:33-0700(pdt)Received:by(postfix,fromuserid99)id6A8102753；Wed，25Jul200122:36:33-0700(PDT)Content-Type:text/plainContent-Disposition:inlineMime-Version:1.0X-Mailer:MIME-tools4.104(Entity4.117)Date:Wed,25Jul200122:36:33-0700(PDT)From:aass<nobody@>To:hawkes@Subject:TESTIPfound!?Reply-To:nobody@

X-Originating-Ip:[63]查看ip是否为发信服务器的工具

Angryipscanner回顾1、黑客找出特定下手目标电脑ip地址的几种方法。2、由地址、ftp地址、域名称来找出目标ip。3、由电子邮件、网络聊天、各种实时通讯软件（skype、qq等）来找出目标ip。4、黑客如何准确找出使用动态ip电脑的当前地址？四、对于使用动态ip上网的特定电脑，黑客如何快速、有效地获取ip？对于使用动态ip上网的特定被黑者，若黑客无法通过一般方法获取ip，就得自行设计一个简单的工具来实现。是否第一次运行播放被黑者有兴趣的影片来制造借口，并降低被黑者的警觉心设置10分钟后再运行一次复制自己一份到系统文件夹被黑电脑是否连接到了internet退出程序注册表中设置自动运行这个小工具获取被黑电脑的ip将被黑电脑当前ip传给黑客退出程序yesnoyesno1、无安装画面的运行2、查看是否第一次运行

由于被黑电脑每次上网的ip地址不尽相同，因此这个小工具会设置每次启动进入windows就自动运行，不过有些工作只需要在第一次运行时做（特别是播放多媒体文件，总不能每次启动windows都会播放吧），因此一开始就先要判断是否为第一次运行，要如何判断？很简单，第一次运行时在windows系统文件夹下的system32文件夹中创建一个get_ip0.tmp文件，以后每次运行时都查看是否有该文件，如果没有就是第一次运行；反之则否。3、复制小工具

为了避免这个小工具被删除，因此需要将自己保存在被黑电脑的隐秘之处，并设置每次进入windows就自动运行。4、播放影片5、是否已连接到internet盲区说明：

因为这个工具不常驻内存，而是利用命令at每隔10分钟运行一次，一旦被黑电脑上网就不会再运行。如果这时被黑电脑因为其他原因中断在上网，就不会运行这个工具了，就无法得知ip地址了。解决办法：每隔10分钟运行一次，不间断的运行，直到得到ip为止（不过这样增大了被发现的风险）。6、设置自动运行7、获取被黑电脑ip地址-方法①现在ip地址已经存在于c:\ip.txt中，要如何传给黑客呢？使用ftp上传是最简单方便的方法，电脑中一定有ftp.exe可以作为上传文件的工具，因此黑客自己要有一个接收文件的ftp服务器，其实不难找，许多网页空间都提供ftp上传服务，找到后记下登录该服务器的名称与密码。8、获取被黑电脑ip地址-方法②

若被黑电脑没有ftp.exe或黑客未找到可使用的ftp服务器，只好找一台经常与internet连接的电脑作为ftp简易服务器。有经验的黑客不会使用固定ip的电脑作为ftp简易服务器，如果使用动态的，被黑电脑如何知道此ip来上传ip.txt?

方法：将简易服务器的ip保存在一个ipx文本文件中，然后上传到某个网页空间，工具运行时都会将ipx.txt下载到被黑电脑中，然后被黑电脑使用tftp.exe将c:\ip.txt上传到ftp简易服务器。这样可以使被黑电脑与ftp同时顺利进行。9、创建程序文件以上任务完成后，就可以进行黑客任务了。步骤1、让被黑者获取。步骤2、设置ftp服务器与上传ip。

将ipx.txt上传到指定的网页空间。将电脑设置成简易ftp服务器。步骤3、获取被黑电脑的ip。步骤4、进行黑客任务。

(1)使用资源管理器以端口139连接进入被黑电脑（端口139入侵），若黑客需要在被黑电脑中打开磁盘共享与创建一个最高权限账户，则会一并设计在这个获取ip的工具中。(2)入侵该电脑与internet连接的路由器或调制解调器。(3)可利用适合的漏洞与相关工具进行瘫痪攻击。最常见的还是与被黑电脑已经打开的后门进行连接后入侵，例如telnet后门、终端机服务后门或各种木马创建的后门。因此以上工具在实际黑客工作中用处不大，必须配合其他任务一起才有意义。139NetBIOS通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows"文件和打印机共享"和SAMBA。在Internet上共享自己的硬盘可能是最常见的问题。

IPC$漏洞使用的是139,445端口

其实IPC$漏洞不是一个真正意义的漏洞.通常说的IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。

空会话是在未提供用户名和密码的情况下与服务器建立的会话,利用空会话我们可以做很多事比如:查看远程主机共享,得到远程主机用户名,原本这些功能是用来方便管理员的,不过问题也就出现在这里,如果你主机的管理员密码过于简单,黑客就可以通过一些工具(比如:流光)破解管理员密码,进而轻松的控制整台主机,所以这个漏洞不能不防。当用户打开了139，黑客却猜不出可登录的用户名和密码，肯定很遗憾。打开磁盘共享并、创建一个最高权限账户的两种方法：1、批处理文件批处理文件是无格式的文本文件，它包含一条或多条命令。它的文件扩展名为.bat或.cmd。在命令提示下键入批处理文件的名称，或者双击该批处理文件，系统就会调用Cmd.exe按照该文件中各个命令出现的顺序来逐个运行它们。使用批处理文件（也被称为批处理程序或脚本），可以简化日常或重复性任务。批处理，也称为批处理脚本，英文译为BATCH，批处理文件后缀BAT就取的前三个字母。它的构成没有固定格式，只要遵守以下这条就ok了：每一行可视为一个命令，每个命令里可以含多条子命令，从第一行开始执行，直到最后一行结束，它运行的平台是DOS。批处理有一个很鲜明的特点：使用方便、灵活，功能强大，自动化程度高。它有什么用呢？比如，在启动wps软件时，每次都必须执行

C:\>cdwps

C:\WPS>spdos

C:\WPS>py

C:\WPS>wbx

C:\WPS>wps如果每次用WPS之前都这样执行一次，您是不是觉得很麻烦呢？如果有一个方法，只需编写一个批处理文件，就会自动执行刚才的所有命令。黑客让被黑者运行这个批处理文件方法：电子邮件、实时通讯软件、聊天室、上传网络空间等。失败原因：被黑者没运行、运行时不具备最高权限、发现创建的账户并删除了、磁盘共享打开了又关闭了、被防火墙阻隔了。2、使用小工具如果以上办法不行，可将创建最高权限账户、打开磁盘共享服务与打开任务计划服务等与前面的小工具合并在一起。

设计完成创建程序文件后就可以用各种方式让被黑者获取后运行它，当黑客获取被黑电脑ip后，就可以通过139，使用工具中创建的用户名和密码登陆被黑电脑进行各种工作。失败原因：被黑者没运行或者被防火墙阻拦。讨论与研究：（1）以上实现的功能不算是个完整的工具，只能算是部分工作，通常被包含在一个完整任务中。（2）虽然以上程序不会被杀毒软件查杀，但有些杀毒软件都是宁可错杀一千，不可放过一个，为了保险起见，要想跳过杀毒软件的查杀并不困难，只要修改、添加一些设计项目就有机会逃过一劫。为何失败？可能1、被黑者下线或没开机。可能2、上传信息时被防火墙阻拦或被杀毒软件查杀。解决方案：◆依照常理杀毒软件不会将.exe视为木马、病毒或恶意源码，但是如果要硬杀，也没办法。不过可以将设计流程改一下或者加入一些不相关的操作（例如，打开某个文件再关闭，增加个没有的循环设计等等），然后制作出的.exe，杀毒软件就无可奈何了。◆可以设计关闭防火墙功能的工具，先关闭（netstop防火墙服务名称），再设置禁用（scconfig防火墙服务名称start=disabled）。关闭杀毒软件具体做法：（1）利用at命令在被黑电脑中运行tasklist>tasklist.txt找出当前被黑电脑运行的哪些程序。（2）查看tasklist.txt，找出杀毒软件程序文件。（3）利用at命令在被黑电脑中运行taskkill来停止杀毒软件运行。问题：由于黑客可能不知道被黑电脑中到底运行那个杀毒软件，因此必须对各种常见杀毒软件的程序文件有所了解才行。杀毒软件名称程序文件名称服务名称卡巴斯基Avp.exekavsvc.exeAvpkavsvc瑞星Ravmond.exeravmon.exeRsravmonrsvscannerNortonNavw32.exenavapsvc.exeNavengnavex15SavscandefwatchAT命令

您可以使用“控制面板”中的“任务计划”工具来安排任务。您也可以使用at

命令手动安排任务。本文介绍如何使用at

命令创建和取消计划任务。AT命令概述您可以使用at

命令来安排命令、脚本或程序在指定的日期和时间运行。您也可以使用此命令查看现有的计划任务。

要使用at

命令，“任务计划程序”服务必须在运行中，而且您必须以本地管理员组成员的身份登录。使用at

命令创建任务时，您必须对任务进行配置，使之在同一用户帐户下运行。

at

命令使用以下语法：at\\computername

time/interactive|/every:date,.../next:date,...command

at\\computernameid/delete|/delete/yes

\\computername：此参数用于指定远程计算机。如果省略此参数，则任务将安排在本地计算机上运行。time：此参数用于指定运行任务的时间。时间是按24小时制的hour:minutes

形式指定的。例如，0:00代表午夜，20:30代表晚上8:30。/interactive：此参数用于允许任务运行时与处于登录状态的用户的桌面进行交互。/every:date,...：此参数用于安排任务在指定的日期或在一周或一月内指定的一天或多天运行，例如每星期五或每月的第八天。将date

指定为一周内的一天或多天（使用下面的缩写形式：M、T、W、Th、F、S、Su）或一月内的一天或多天（使用数字1至31）。多个日期项之间一定要用逗号隔开。如果省略此参数，则任务将安排在当天执行。/next:date，...：此参数用于安排任务在当天之后的某个时间运行（例如，下个星期一）。将date

指定为一周内的一天或多天（使用下面的缩写形式：M、T、W、Th、F、S、Su）或一月内的一天或多天（使用数字1至31）。多个日期项之间一定要用逗号隔开。如果省略此参数，则任务将安排在当天执行。command：此参数用于指定要运行的Windows2000命令、程序（.exe或.com文件）或批处理程序（.bat或.cmd文件）。如果该命令要求使用路径作为参数，请使用绝对路径名（以驱动器号开头的完整路径）。如果该命令位于远程计算机上，请使用统一命