基础知识
计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,或则通过软硬件防火墙关闭指定的端口,也可以屏蔽指定IP。
服务器操作系统的远程管理问题:
现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。而Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后,可以通过IIS的一些漏洞,远程建立系统帐户,并且提高自己的权限。
(1)攻击DOS系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。
(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎,Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。
目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。
(3)攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用UNIX作为其主要的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。
(1)攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
(2)攻击小型机的计算机病毒。小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机,也可以作为小的计算机网络的主机。起初,人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰,但自1988年11月份Internet网络受到worm程序的攻击后,使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击,计算机病毒所攻击的对象是计算机系统可执行的部分。
(1)源码型病毒
该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。(自毁,无限循环,改变结果,欺骗)
(2)嵌入型病毒
这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的)一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
(3)外壳型病毒
外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
(4)操作系统型病毒
这种病毒用它自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
按照计算机病毒的破坏情况可分两类:
(1)良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。
有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。
例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
(2)恶性计算机病毒
传染性是计算机病毒的本质属性,根据寄生部位或传染对象分类,也即根据计算机病毒传染方式进行分类,有以下几种:
(1)磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上被移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多,例如,“大麻”和“小球”病毒就是这类病毒。
(2)操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境,它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常,这类病毒作为操作系统的一部分,只要计算机开始工作,病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在,“黑色星期五”即为此类病毒。
(3)可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。
(1)单机病毒
单机病毒的载体是磁盘,常见的是病毒从软盘传人硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
(2)网络病毒
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,
二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOTSECTOR)的内容,软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果用已感染病毒的软盘来启动的话,则会感染硬盘。
引导型病毒是一种在ROMBIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。
引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序被执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒己隐藏在系统中伺机传染、发作。
有的病毒会潜伏一段时间,等到它所设置的日期时才发作。有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件,不然就是显示特定的图形,再不然就是放一段音乐给您听……。病毒发作后,不是摧毁分区表,导致无法启动,就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠,不会破坏硬盘数据,只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中,差别只在于内存中的位置。(所谓“常驻”,是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻,以提高效率)。
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒,BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻(Stoned)、2708等。BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区(即0面0道第1个扇区)。典型的病毒有Brain、小球病毒等。
顾名思义,文件型病毒主要以感染文件扩展名为.COM、.EXE和,OVL等可执行程序为主。它的安装必须借助于病毒的载体程序,即要运行病毒的载体程序,方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓,甚至完全无法执行。有些文件遭感染后,一执行就会遭到删除。大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长,但用户不一定能用DIR命令列出其感染病毒前的长度。也有部分病毒是直接改写“受害文件”的程序码,因此感染病毒后文件的长度仍然维持不变。
感染病毒的文件被执行后,病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒,会在每次进行感染的时候,针对其新宿主的状况而编写新的病毒码,然后才进行感染,因此,这种病毒没有固定的病毒码—以扫描病毒码的方式来检测病毒的查毒软件,遇上这种病毒可就一点用都没有了。但反病毒软件随着病毒技术的发展而发展,针对这种病毒现在也有了有效手段。
大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的,若不进行汇编、链接则无法传染扩散。嵌入型病毒是嵌入在程序的中间,它只能针对某个具体程序,如dBASE病毒。这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒,这类病毒寄生在宿主程序的前面或后面,并修改程序的第一个执行指令,使病毒先于宿主程序执行,这样随着宿主程序的使用而传染扩散。
文件外壳型病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。
混合型病毒综合系统型和文件型病毒的特性,它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透过这两种方式来感染,更增加了病毒的传染性以及存活率。不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件,此种病毒也是最难杀灭的。
引导型病毒相对文件型病毒来讲,破坏性较大,但为数较少,直到90年代中期,文件型病毒还是最流行的病毒。但近几年情形有所变化,宏病毒后来居上,据美国国家计算机安全协会统计,这位“后起之秀”已占目前全部病毒数量的80%以上。另外,宏病毒还可衍生出各种变形变种病毒,这种“父生子子生孙”的传播方式实在让许多系统防不胜防,这也使宏病毒成为威胁计算机系统的“第一杀手”。
随着黑客活动的日益猖獗,信息安全问题越来越多地被各级政府和网络管理部门提到重要议事日程上来。黑客攻击网络的手段十分丰富,令人防不胜防。分析和研究黑客活动的手段和采用的技术,对我们加强网络安全建议、防止网络犯罪有很好的借鉴作用。本文简要介绍了黑客攻击网络的一般过程以及常用的网络攻击工具。
黑客首先要确定攻击的目标。在获取目标机及其所在的网络类型后,还需进一步获取有关信息,如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等,根据这些信息进行分析,可得到有关被攻击方系统中可能存在的漏洞。如运行一个host命令,可以获得目标网络中有关机器的IP地址信息,还可识别出目标机的操作系统类型。利用WHOIS查询,可了解技术管理人员的名字信息。运行一些Usernet和Web查询可了解有关技术人员是否经常上Usernet,等等。
收集有关技术人员的信息是很重要的。系统管理员的职责是维护站点的安全。当他们遇到问题时,有些人会迫不及待地将问题发到Usernet上或邮件列表上寻求解答。而这些邮件中往往有他们的组织结构、网络拓扑和所面临的问题等信息。另外,若一个系统管理员经常在安全邮件列表或论坛中讨论各种安全技术和问题,就说明他有丰富的经验和知识,对安全有深入的了解,并作好了抵御攻击的准备。反之,若一个系统管理员提出的问题是初级的,甚至没有理解某些安全概念,则说明此人经验不丰富。
每个操作系统都有自己的一套漏洞,有些是已知的,有些则需要仔细研究才能发现。而管理员不可能不停地阅读每个平台的安全报告,因此极有可能对某个系统的安全特性掌握的不够。
根据己知的漏洞,实施攻击。通过猜测程序可对截获的用户帐号和口令进行破译;利用破译程序可对截获的系统密码文件进行破译;利用网络和系统本身的薄弱环节和安全漏洞可实施电子引诱(如安放特洛伊木马)等等。黑客们或者修改网页进行恶作剧,或破坏系统程序或放病毒使系统陷入瘫痪,或窃取政治、军事、商业秘密;或进行电子邮件骚扰或转移资金账户,窃取金钱等等。
常用工具介绍
扫描器
在Internet安全领域,扫描器是最出名的破解工具。所谓扫描器,实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通TCP/IP端口和服务,并记录目标机的回答,以此获得关于目标机的信息。理解和分析这些信息,就可能发现破坏目标机安全性的关键因素。常用的扫描器有很多,有些可以在Internet上免费得到,下面做一简要介绍。
NSS(网络安全扫描器):是用Perl语言编写的,可执行Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost等常规检查。
Strobe(超级优化TCP端口检测程序):是一个TCP端口扫描器,可以记录指定机器的所有开放端口,快速识别指定机器上正在运行什么服务,提示什么服务可以被攻击。
SATAN
(安全管理员的网络分析工具):用于扫描远程主机,发现漏洞。包括:FTPD的漏洞和可写的FTP目录、NFS漏洞、NIS漏洞、RSH漏洞、Sendmail、X服务器漏洞等。
Jakal:是一个秘密扫描器,它启动但并不完成与目标主机的SYN/ACK过程,因此可以扫描一个区域而不留下任何痕迹,能够避开端口扫描探测器的探测追踪。
IdengTCPscan:是一个更加专业化的扫描器,能够识别指定TCP端口进程的使用者,即能够测出该进程的UID;
CONNECT:用于扫描TFTP服务器子网。
FSPScan:用于扫描FSP服务器。
XSCAN:扫描具有X服务器漏洞的子网或主机。
SAFESuite:是快速、先进、全面的UNIX网络安全扫描器。可以对指定网络执行各种不同的攻击,探测网络环境中特定的安全漏洞,包括:Sendmail、TFP、NNTP、Telnet、
RPC、NFS等。
扫描器还在不断发展变化,每当发现新的漏洞,检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具,也是维护网络安全的重要工具。系统管理人员必须学会使用扫描器。
口令入侵
所谓的口令入侵,是指破解口令或屏蔽口令保护。但实际上,真正的加密口令是很难逆向破解的。黑客们常用的口令入侵工具所采用的技术是仿真对比,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。
Internet上大多数服务器运行的是UNIX或类UNIX操作系统。在UNIX平台上,用户登录ID和口令都存放在etc/passwd中。UNIX以数据加密标准DES为基础,以ID为密钥,对口令进行加密。而加密算法Crypt(3)是公开的。虽然加密算法分开,但目前还没有能够逆向破解其加密信息的方法。
黑客们破解口令的过程大致如下:首先将大量字表中的单词用一定规则进行变换,再用加密算法进行加密。看是否与/etc/passwd文件中加密口令相匹配者:若有,则口令很可能被破解。单词变换的规则一般有:大小写交替使用;把单词正向、反向拼写后,接在一起(如cannac);在每个单词的开头和/或结尾加上数字1等等。同时,在Internet上有许多字表可用。如果用户选择口令不恰当,口令落入了字表库,黑客们获得了/etc/passwd文件,基本上就等于完成了口令破解任务。
特洛依木马(trojanhorse)
所谓特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能,这些功能可以泄漏一些系统的私有信息,或者控制该系统。
特洛依程序表面上是无害的、有用的程序,但实际上潜伏着很大的危险性。如在WuarchiveFTPdaemon(ftpd)2.2版中发现有特洛依程序,该特洛依程序允许任何用户(本地的和远端的)以root帐户登录UNIX。这样的特洛依程序可以导致整个系统被侵入,因为首先它很难被发现。在它被发现之前,可能已经存在几个星期甚至几个月了。其次在这段时间内,具备了root权限的入侵者,可以将系统按照他的需要进行修改。这样即使这个特洛依程序被发现了,在系统中也留下了系统管理员可能没有注意到的漏洞。
网络嗅探器(Sniffer)
Sniffer用来截获网络上传输的信息,用在以太网或其它共享传输介质的网络上。放置Sniffer,可使网络接口处于广播状态,从而截获网上传输的信息。利用Sniffer可截获口令、秘密的和专有的信息,用来攻击相邻的网络。Sniffer的威胁还在于被攻击方无法发现。Sniffer是被动的程序,本身在网络上不留下任何痕迹。常用的Sniffer有:Gobbler、ETHLOAD、Netman、Esniff.c、LinuxSniffer.c、NitWitc等等。
破坏系统
常见的破坏装置有邮件炸弹和病毒等。其中邮件炸弹的危害性较小,而病毒的危害性则很大。
邮件炸弹是指不停地将无用信息传送给攻击方,填满对方的邮件信箱,使其无法接收有用信息。另外,邮件炸弹也可以导致邮件服务器的拒绝服务。常用的Email炸弹有:UpYours、KaBoom、Avalanche、Unabomber、eXtremeMail、Homicide、Bombtrack、FlameThrower等。
病毒程序与特洛依程序有明显的不同。特洛依程序是静态的程序,存在于另一个无害的被信任的程序之中。特洛依程序会执行一些未经授权的功能,如把口令文件传递给攻击者,或给他提供一个后门。攻击者通过这个后门可以进入那台主机,并获得控制系统的权力。
病毒程序则具有自我复制的功能,它的目的就是感染计算机。在任何时候病毒程序都是清醒的,监视着系统的活动。一旦系统的活动满足了一定的条件,病毒就活跃起来,把自己复制到那个活动的程序中去。
计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,或则通过软硬件防火墙关闭指定的端口,也可以屏蔽指定IP。
服务器操作系统的远程管理问题:
现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。而Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后,可以通过IIS的一些漏洞,远程建立系统帐户,并且提高自己的权限。
病毒基础知识
(1)攻击DOS系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。
(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎,Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。
目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。
(3)攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用UNIX作为其主要的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。
(4)攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒,它虽然简单,但也是一个不祥之兆。
(1)攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
(2)攻击小型机的计算机病毒。小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机,也可以作为小的计算机网络的主机。起初,人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰,但自1988年11月份Internet网络受到worm程序的攻击后,使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
(3)攻击工作站的计算机病毒。近几年,计算机工作站有了较大的进展,并且应用范围也有了较大的发展,所以我们不难想象,攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击,计算机病毒所攻击的对象是计算机系统可执行的部分。
(1)源码型病毒
该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。(自毁,无限循环,改变结果,欺骗)
(2)嵌入型病毒
这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的)一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
(3)外壳型病毒
外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
(4)操作系统型病毒
这种病毒用它自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等,对操作系统进行破坏。
按照计算机病毒的破坏情况可分两类:
(1)良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。
有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。
例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
(2)恶性计算机病毒
恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗基罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。
传染性是计算机病毒的本质属性,根据寄生部位或传染对象分类,也即根据计算机病毒传染方式进行分类,有以下几种:
(1)磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上被移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多,例如,“大麻”和“小球”病毒就是这类病毒。
(2)操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境,它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常,这类病毒作为操作系统的一部分,只要计算机开始工作,病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在,“黑色星期五”即为此类病毒。
(3)可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
对于以上三种病毒的分类,实际上可以归纳为两大类:一类是引导扇区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。
按照计算机病毒激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。
(1)单机病毒
单机病毒的载体是磁盘,常见的是病毒从软盘传人硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
(2)网络病毒
网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,
二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOTSECTOR)的内容,软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果用已感染病毒的软盘来启动的话,则会感染硬盘。
引导型病毒是一种在ROMBIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。
引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序被执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒己隐藏在系统中伺机传染、发作。
有的病毒会潜伏一段时间,等到它所设置的日期时才发作。有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件,不然就是显示特定的图形,再不然就是放一段音乐给您听……。病毒发作后,不是摧毁分区表,导致无法启动,就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠,不会破坏硬盘数据,只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中,差别只在于内存中的位置。(所谓“常驻”,是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻,以提高效率)。
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒,BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻(Stoned)、2708等。BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区(即0面0道第1个扇区)。典型的病毒有Brain、小球病毒等。
顾名思义,文件型病毒主要以感染文件扩展名为.COM、.EXE和,OVL等可执行程序为主。它的安装必须借助于病毒的载体程序,即要运行病毒的载体程序,方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓,甚至完全无法执行。有些文件遭感染后,一执行就会遭到删除。大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长,但用户不一定能用DIR命令列出其感染病毒前的长度。也有部分病毒是直接改写“受害文件”的程序码,因此感染病毒后文件的长度仍然维持不变。
感染病毒的文件被执行后,病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒,会在每次进行感染的时候,针对其新宿主的状况而编写新的病毒码,然后才进行感染,因此,这种病毒没有固定的病毒码—以扫描病毒码的方式来检测病毒的查毒软件,遇上这种病毒可就一点用都没有了。但反病毒软件随着病毒技术的发展而发展,针对这种病毒现在也有了有效手段。
大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的,若不进行汇编、链接则无法传染扩散。嵌入型病毒是嵌入在程序的中间,它只能针对某个具体程序,如dBASE病毒。这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒,这类病毒寄生在宿主程序的前面或后面,并修改程序的第一个执行指令,使病毒先于宿主程序执行,这样随着宿主程序的使用而传染扩散。
文件外壳型病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。
混合型病毒综合系统型和文件型病毒的特性,它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透过这两种方式来感染,更增加了病毒的传染性以及存活率。不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件,此种病毒也是最难杀灭的。
引导型病毒相对文件型病毒来讲,破坏性较大,但为数较少,直到90年代中期,文件型病毒还是最流行的病毒。但近几年情形有所变化,宏病毒后来居上,据美国国家计算机安全协会统计,这位“后起之秀”已占目前全部病毒数量的80%以上。另外,宏病毒还可衍生出各种变形变种病毒,这种“父生子子生孙”的传播方式实在让许多系统防不胜防,这也使宏病毒成为威胁计算机系统的“第一杀手”。
随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及,病毒家族又出现一种新成员,这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
随着黑客活动的日益猖獗,信息安全问题越来越多地被各级政府和网络管理部门提到重要议事日程上来。黑客攻击网络的手段十分丰富,令人防不胜防。分析和研究黑客活动的手段和采用的技术,对我们加强网络安全建议、防止网络犯罪有很好的借鉴作用。本文简要介绍了黑客攻击网络的一般过程以及常用的网络攻击工具。
远程攻击的一般过程
黑客首先要确定攻击的目标。在获取目标机及其所在的网络类型后,还需进一步获取有关信息,如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等,根据这些信息进行分析,可得到有关被攻击方系统中可能存在的漏洞。如运行一个host命令,可以获得目标网络中有关机器的IP地址信息,还可识别出目标机的操作系统类型。利用WHOIS查询,可了解技术管理人员的名字信息。运行一些Usernet和Web查询可了解有关技术人员是否经常上Usernet,等等。
收集有关技术人员的信息是很重要的。系统管理员的职责是维护站点的安全。当他们遇到问题时,有些人会迫不及待地将问题发到Usernet上或邮件列表上寻求解答。而这些邮件中往往有他们的组织结构、网络拓扑和所面临的问题等信息。另外,若一个系统管理员经常在安全邮件列表或论坛中讨论各种安全技术和问题,就说明他有丰富的经验和知识,对安全有深入的了解,并作好了抵御攻击的准备。反之,若一个系统管理员提出的问题是初级的,甚至没有理解某些安全概念,则说明此人经验不丰富。
每个操作系统都有自己的一套漏洞,有些是已知的,有些则需要仔细研究才能发现。而管理员不可能不停地阅读每个平台的安全报告,因此极有可能对某个系统的安全特性掌握的不够。
通过对上述信息的分析,就可以得到对方计算机网络可能存在的漏洞。
根据第一步所获得的信息,建立模拟环境,然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。
收集或编写适当的工具,并在对操作系统分析的基础上,对工具进行评估,判断有哪些漏洞和区域没有覆盖到。然后在尽可能短的时间内对目标进行扫描。完成扫描后,可对所获数据进行分析,发现安全漏洞,如FTP漏洞、NFS输出到未授权程序中、不受限制的X服务器访问、不受限制的调制解调器、Sendmail的漏洞、NIS口令文件访问等。
根据己知的漏洞,实施攻击。通过猜测程序可对截获的用户帐号和口令进行破译;利用破译程序可对截获的系统密码文件进行破译;利用网络和系统本身的薄弱环节和安全漏洞可实施电子引诱(如安放特洛伊木马)等等。黑客们或者修改网页进行恶作剧,或破坏系统程序或放病毒使系统陷入瘫痪,或窃取政治、军事、商业秘密;或进行电子邮件骚扰或转移资金账户,窃取金钱等等。
常用工具介绍
扫描器
在Internet安全领域,扫描器是最出名的破解工具。所谓扫描器,实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通TCP/IP端口和服务,并记录目标机的回答,以此获得关于目标机的信息。理解和分析这些信息,就可能发现破坏目标机安全性的关键因素。常用的扫描器有很多,有些可以在Internet上免费得到,下面做一简要介绍。
NSS(网络安全扫描器):是用Perl语言编写的,可执行Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost等常规检查。
Strobe(超级优化TCP端口检测程序):是一个TCP端口扫描器,可以记录指定机器的所有开放端口,快速识别指定机器上正在运行什么服务,提示什么服务可以被攻击。
SATAN
(安全管理员的网络分析工具):用于扫描远程主机,发现漏洞。包括:FTPD的漏洞和可写的FTP目录、NFS漏洞、NIS漏洞、RSH漏洞、Sendmail、X服务器漏洞等。
Jakal:是一个秘密扫描器,它启动但并不完成与目标主机的SYN/ACK过程,因此可以扫描一个区域而不留下任何痕迹,能够避开端口扫描探测器的探测追踪。
IdengTCPscan:是一个更加专业化的扫描器,能够识别指定TCP端口进程的使用者,即能够测出该进程的UID;
CONNECT:用于扫描TFTP服务器子网。
FSPScan:用于扫描FSP服务器。
XSCAN:扫描具有X服务器漏洞的子网或主机。
SAFESuite:是快速、先进、全面的UNIX网络安全扫描器。可以对指定网络执行各种不同的攻击,探测网络环境中特定的安全漏洞,包括:Sendmail、TFP、NNTP、Telnet、
RPC、NFS等。
扫描器还在不断发展变化,每当发现新的漏洞,检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具,也是维护网络安全的重要工具。系统管理人员必须学会使用扫描器。
口令入侵
所谓的口令入侵,是指破解口令或屏蔽口令保护。但实际上,真正的加密口令是很难逆向破解的。黑客们常用的口令入侵工具所采用的技术是仿真对比,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。
Internet上大多数服务器运行的是UNIX或类UNIX操作系统。在UNIX平台上,用户登录ID和口令都存放在etc/passwd中。UNIX以数据加密标准DES为基础,以ID为密钥,对口令进行加密。而加密算法Crypt(3)是公开的。虽然加密算法分开,但目前还没有能够逆向破解其加密信息的方法。
黑客们破解口令的过程大致如下:首先将大量字表中的单词用一定规则进行变换,再用加密算法进行加密。看是否与/etc/passwd文件中加密口令相匹配者:若有,则口令很可能被破解。单词变换的规则一般有:大小写交替使用;把单词正向、反向拼写后,接在一起(如cannac);在每个单词的开头和/或结尾加上数字1等等。同时,在Internet上有许多字表可用。如果用户选择口令不恰当,口令落入了字表库,黑客们获得了/etc/passwd文件,基本上就等于完成了口令破解任务。
特洛依木马(trojanhorse)
所谓特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能,这些功能可以泄漏一些系统的私有信息,或者控制该系统。
特洛依程序表面上是无害的、有用的程序,但实际上潜伏着很大的危险性。如在WuarchiveFTPdaemon(ftpd)2.2版中发现有特洛依程序,该特洛依程序允许任何用户(本地的和远端的)以root帐户登录UNIX。这样的特洛依程序可以导致整个系统被侵入,因为首先它很难被发现。在它被发现之前,可能已经存在几个星期甚至几个月了。其次在这段时间内,具备了root权限的入侵者,可以将系统按照他的需要进行修改。这样即使这个特洛依程序被发现了,在系统中也留下了系统管理员可能没有注意到的漏洞。
网络嗅探器(Sniffer)
Sniffer用来截获网络上传输的信息,用在以太网或其它共享传输介质的网络上。放置Sniffer,可使网络接口处于广播状态,从而截获网上传输的信息。利用Sniffer可截获口令、秘密的和专有的信息,用来攻击相邻的网络。Sniffer的威胁还在于被攻击方无法发现。Sniffer是被动的程序,本身在网络上不留下任何痕迹。常用的Sniffer有:Gobbler、ETHLOAD、Netman、Esniff.c、LinuxSniffer.c、NitWitc等等。
破坏系统
常见的破坏装置有邮件炸弹和病毒等。其中邮件炸弹的危害性较小,而病毒的危害性则很大。
邮件炸弹是指不停地将无用信息传送给攻击方,填满对方的邮件信箱,使其无法接收有用信息。另外,邮件炸弹也可以导致邮件服务器的拒绝服务。常用的Email炸弹有:UpYours、KaBoom、Avalanche、Unabomber、eXtremeMail、Homicide、Bombtrack、FlameThrower等。
病毒程序与特洛依程序有明显的不同。特洛依程序是静态的程序,存在于另一个无害的被信任的程序之中。特洛依程序会执行一些未经授权的功能,如把口令文件传递给攻击者,或给他提供一个后门。攻击者通过这个后门可以进入那台主机,并获得控制系统的权力。
病毒程序则具有自我复制的功能,它的目的就是感染计算机。在任何时候病毒程序都是清醒的,监视着系统的活动。一旦系统的活动满足了一定的条件,病毒就活跃起来,把自己复制到那个活动的程序中去。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
