键盘的敲击、窗口的标题、浏览的Web页面、执行的程序、访问的文件;还有MSN、ICQ、AIM、YahooMessenger等聊天工具的聊天记录;MSN/Hotmail和Yahoo邮箱的信件内容。另外,在“LogFilePath”文本框中还可以设置RealSpyMonitor记录文件的路径。
步骤04在左侧列表中选择“EmailDelivery”选项,在右侧界面中显示其包含的内容。选中“SendlogsviaEmail”复选框,在“SendMailto”、“SendMailfrom”和“MailSubject”文本框中分别输入接收方、发送方的地址和发送的邮件的主题;取消勾选“UsedefaultSMTPMailHost”复选框,在“SMTPMailHost”、“Username”和“Password”文本框中分别输入发送方的SMTP服务器地址、发送方的用户名及密码;在“Sendenvery”文本框中输入发信的间隔时间,其它选项可根据用户的需要进行设置。
步骤05在左侧列表中选择“SnapshotsSpy”选项,在右侧的界面中可以设置抓图所生成的JPG格式图片的质量、抓图的时间间隔、最大的图片数、图片占用的最大空间以及抓图的对象。打开RealSpyMonitor的记录文件夹(“LogFilePath”文本框中的路径),该文件夹中记录了过去几分钟内用户使用电脑所进行的一切操作的详细记录。
步骤06在左侧列表中选择“HotkeyChoice”选项,在右侧的界面中可以设置启动RealSpyMonitor的热键。在“Selectyourhotkeypatten”下拉列表中选择一种快捷键,如“Ctrl+Alt+V”。
步骤07在左侧列表中选择“ContentFiltering”选项,在右侧的界面中用户可以根据需要设置在哪些情况下不进行记录,不进行记录的内容可以是哪些可信任的Web页面或者某些应用程序。
步骤08在左侧列表中选择“FTPDelivery”选项,即可进入其界面中。该选项和“EmailDelivery”选项的功能相似,只不过是将记录通过FTP协议发送到某个FTP服务器上。
步骤09单击【Ok】按钮,返回RealSpyMonitor的主界面中。界面中的第二列和第三列中的选项是用来查看本机的记录文件的,在有了记录之后,每一栏的记录数量都与刚启动RealSpyMonitor时的数量不一样。“ScreenSnapshots”栏中记录了6张截图。
步骤10选择界面中第二列中的任意一个选项,即可进入【Report】窗口中。在该窗口中可以查看键盘敲击记录、访问的网页记录、打开的windows窗口记录、打开的应用程序记录、抓图记录以及访问过的文件记录等。
步骤11选择界面中第三列中的任意一个选项,可打开聊天记录窗口和邮箱记录窗口中的任意一个窗口。在聊天信息记录窗口中,可以查看RealSpyMonitor监视到的MSN、ICQ等比较流行的聊天软件的聊天记录;在邮箱信息记录窗口中,可以查看Hotmail和Yahoo邮箱的信件记录。
4。4。2FTP漏洞攻防
现在网络上的木马后门非常多,其中很多都是需要用户手动进行各种免杀和伪装操作。而“SUS迷你FTP后门”具备良好的隐身术,它启动后会自动伪装成svchost进程,可以穿透防火墙,是一般杀毒软件不能查杀的。而且“SUS迷你FTP后门”能够将后门融入小巧的FTP服务器中,既能进行快速大量可靠的传输文件,又不失后门强大的控制功能。最重要的是,该后门不像其它后门那样需要特定的客户端程序,它可以在任何时间、任何地点任由用户控制。下面介绍“SUS迷你FTP后门”的具体使用方法。
步骤01将下载的“SUS迷你FTP后门”压缩包解压(将其解压到一个不含空格的目录里),可看到该工具是一个独立的程序文件wmiapsrv。exe。此文件名与Windows系统中的WMI远程服务文件非常相似,在程序文件wmiapsrv。exe上右击,在弹出的快捷菜单中选择【属性】菜单项,即可打开【wmiapsrv属性】对话框,在其中可以看到微软的数字签名。由于这个原因,所以很多安全工具都无法查杀它。
步骤02从网上下载一个UltraEdit编辑器,在该编辑器中打开wmiapsrv。exe。
步骤03按下【Ctrl+F】组合键,即可打开【查找】对话框。在“查找”文本框中输入“3408”,然后单击【查找下一个】按钮,即可定位到木马端口项上。此为“十六进制”数,对应默认木马端口为2100。
步骤04若想将其端口设置为“21”,可在UltraEdit编辑器右侧的列表框中右键单击,在弹出的快捷菜单中选择【数字转换器】菜单项,即可打开【数字转换器】对话框。在“输入格式”文本框中输入“21”,并在下方选择“十进制”选项,在右侧选择“十六进制”选项,即可计算出21对应的十六进制数为“15”。
步骤05在UltraEdit编辑器中将“3408”更改为“1500”,则木马端口被设置为“21”。
步骤06“SUS迷你FTP后门”的默认用户名为“sus”,默认密码为“sus666”。在UltraEdit编辑器中打开【查找】对话框,在“查找”文本框中输入“sus”并选中“查找ASCII”复选框,单击【查找下一个】按钮,即可查找到“SUS迷你FTP后门”的用户名和密码,用户还可以根据需要对其进行修改。
步骤07在其中设置好木马端口、用户名和登录密码后,即可上传到被控端的某个文件夹中,运行后即可完成服务端的安装。用户可通过IE浏览器、FTP专用工具、Tel工具与FTP服务器连接,并可用Tel工具远程控制目标主机。
步骤08在浏览器地址栏中输入木马端口,在弹出的【登录身份】对话框中输入“用户名”和“密码”。单击【登录】按钮,即可与FTP服务器连接。
步骤09利用Windows系统中自带的FTP命令,也可与FTP服务器连接,并远程控制目标主机。打开“命令提示符”窗口,在其中输入ftp命令。
步骤10在“ftp”命令提示符下输入“openIP地址端口”命令(这里是open192。168。0。72100),与FTP服务器连接。按照提示输入用户名sus和密码sus666,即可登录进去。除运行传统的ftp命令外,这里还可以用“quote”加上后门控制命令,如quotepslist,查看目标主机进程。
4。4。3网站数据库漏洞攻防
作为脚本漏洞的头号杀手锏——数据库下载漏洞,现在已经被越来越多的人所熟知。数据基本上都存储在数据库中,数据库文件保存着网站的重要信息,包括管理员用户名和密码等。如果被黑客利用管理员身份登录网站并控制目标计算机,将对目标主机进行破坏,因此,保护数据库就成为了保护数据的重要环节。
1。使用搜索引擎搜索数据库
如果网站使用的编程程序是ASP,则在调用数据库时,需要用到+server。mappath语句设定数据库位置,使用conn。open语句与数据库建立连接。
很多大型搜索引擎可搜索在本搜索引擎注册的网页,所以黑客可通过搜索server。mappath关键词找到网站数据库的位置。由于许多网站的数据库文件使用的是mdb默认后缀,黑客也可以通过搜索。mad关键词找到数据库。
搜索到数据库链接地址后,可以使用IE浏览器下载数据库文件到本地计算机上,打开数据库文件可以查看网站管理员的用户名和登录密码。
2。使用软件搜索数据库
除可以使用搜索引擎搜索到数据库,并使用IE浏览器进行下载外,还可以使用“挖掘鸡”这样的软件搜索很难被搜索引擎直接搜索到的数据库。例如,一些黑客软件(包括网站管理员及管理员工具)往往会在网站生成习惯性的特定路径,这些特定路径很难被搜索引擎直接搜索到,这时就可以使用软件进行扫描来获取敏感信息或webshell等权限,再下载搜索到的数据。“挖掘鸡”可以快速搜索SQL注入漏洞、攻击拿到网站服务器的肉鸡(黑客称被控制的目标主机为肉鸡)等,是网站数据库漏洞攻击的好工具。
下面介绍如何利用“挖掘鸡”软件搜索网站数据库。
步骤01在计算机中安装下载的“挖掘鸡”软件并运行,即可进入其主界面中。在界面上方选择【后缀】选项卡,在下面的列表框中勾选“数据库”节点复选框。
步骤02单击界面上方的【开始】按钮,开始扫描,搜索到的所有数据库链接都会显示在【结果】选项卡下的左侧列表框中。
步骤03双击其中任意一个数据连接,即可打开【文件下载…安全警告】对话框。单击【保存】按钮,即可下载该数据库文件。在使用数据库浏览工具打开数据库文件之后,即可得到管理员用户名与密码。
步骤04如果网站管理员对数据库进行的改名,但隐藏不深,则同样可以使用“挖掘鸡”搜索到数据库。切换到【后缀】选项卡,在列表框中勾选“敏感信息”子选项中的“暴库”复选框。
步骤05单击【开始】按钮,同样可以找到该数据库的链接地址。
步骤06右击其中一个数据库的链接地址,在弹出的快捷菜单中选择【ie浏览】菜单项,使用浏览器打开该链接地址。若打开无效,将//。***。/inc/conn。asp链接地址改为//。***。/inc%5cconn。asp,一般可以在页面是返回数据库的地址。
3.网站数据库安全防范措施
若网站管理员发现网站中存在这样的数据库漏洞,为了避免黑客对网站进行攻击,可采取下面的措施提高网站数据库的安全性。
●为Access数据库文件起一个复杂的非常规名字,并把它存放在多层目录下,这样数据库的名称及存储路径就不容易被猜到。这是防止数据库被找到的最简便方法。
●不要使用默认的数据库路径,否则将可能产生严重的安全问题。
●为防止未经注册的用户绕过注册界面直接进入应用系统,可以采用Session对象进行注册验证。Session对象最大的优点是可以把某用户的信息保留下来,让后续的网页读取。一般情况,在设计网站时都要求用户注册成功后才可登录。
●如果可能,可将数据库文件后缀改名为。asp,从而避免网页浏览器的浏览和下载。
●网站管理员要经常对自己的网站进行安全测试,及时更新各种漏洞,让网站更安全。
●删除前台的程序名称,只需使用记事本打开网站的index。htm等首页文件,将搜索到的程序名称文字删除即可。网站管理员一定不要贪图省事,忽略这些操作,否则将会对网站的安全造成严重的威胁。
第五章 专家课堂(常见问题与解答)
点拨1:为了防止黑客入侵,感染病毒,计算机用户平时应注意哪些问题?
解答:网络上的木马和病毒越来越猖狂,为了保证计算机的安全,一般的计算机用户应注意如下几个方面。
●上网时一定要安装防病毒软件并及时升级,以保护杀毒软件的病毒库是最新的。
●至少安装一个防火墙,ADSL用户最好用路由方式上网,改掉默认密码。
●设置安全级别,关掉Cookies。Cookies是在浏览过程中被有些网站往硬盘写入的一些数据,它们记录下用户的特定信息,因而当用户回到这个页面上时,这些信息就可以被重新利用。
●不要随便下载软件,特别是不可靠的FTP站点。即使要下载,也要在下载前用软件查杀一下,如迅雷自带的杀毒软件。
●要经常对自己的电脑进行漏洞扫描,并安装补丁。Windows用户最好将系统设为自动升级。
●常用TCPView查看自己电脑的IP连接,防止反弹型木马。
●UDP协议是不可靠传输,没有状态,从TCPView中很难看出它是不是在传输数据,我们还可以使用IRIS、Sniffer这类的协议分析工具看看是不是有UDP的数据。
●保持警惕性,不要轻易相信熟人发来的E…mail就一定没有黑客程序,如Happy99就会自动加在E…mail附件当中。
●不要将重要口令和资料存放在上网的电脑里。
点拨2:运行网络嗅探器,出现网络适配器设置错误是怎么回事?
解答:网络嗅探器是SNIFFER等对网络抓包和分析的软件,它是基于网卡的MAC地址进入的流量来分析的,而网络适配器是你网卡的驱动程序。如果运行网络嗅探器,网络适配器没有启动,或启动错误,则可能是因为网卡驱动没安装,也可能是网络嗅探器软件安装错误或出现故障。
第一章 信息搜集与套取
对于黑客们来说,信息搜集是他们非常感兴趣的一个话题。因为他们知道,要想成功地攻击对方,必须知道目标的相关信息。不论是传统的系统入侵还是现在流行的社会工程学攻击,获取对方的敏感信息都是他们进行攻击前需要做的准备工作。
5。1。1冒称与利用权威身份
其实,社会工程学师惯用的那些信息搜集方法与技巧都很简单,只要我们有耐心,能够坚持不懈,就会很快绕过物理层的安全直接向某个员工获取敏感信息。他们之所以费尽心思地想要知道对方的信息(此类信息指的是规章、制度、方法、约定规章,即一个行业的规章,我们可以认为是行规,或是内部约定),是为了处理突发事件。
比如,商家A为了抢掉商家B的生意,故意低压低价格来垄断是不对,违反了不正当经营法。所以,我们要尽量了解各行各业的之间的此类信息,比如校园,只有领导层内的人员才会拥有一份全校的师生的联系名单,服务行业通常有这样和那样的内部约定,了解此类信息对我们非常有利。
而黑客们为了寻找信息,经常会冒充一个权利很大或是重要的人物的身份打电话从其他用户那里获得信息。例如,你可以模仿老师的声音打电话给你父母,告知今天放假不用上课,大多数父母都会相信。
利用虚假身份获取信息是非常有用的,甚至可以使用权威身份直接索取信息,那些企业一般不会去怀疑其真实性。就目前而言,社会工程学师的惯用权威身份是记者(电视台、报刊、杂志等)、政府人员、调查机构,更深入获取信息的身份多是冒称内部人员或客户等。
一般机构的咨询台(或前台)最容易成为这类攻击的目标,黑客可以伪装成是从该机构的内部打电话来欺骗前台人员