windows安全防御

ARP欺骗篇

ARP欺骗原理

ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网上上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。———— 摘自度娘

ARP欺骗示范

攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request，就可以进行欺骗活动。
主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址，开始攻击。
攻击者发送一个ARP Reply给主机B，把此包protocol header里的sender IP设为A的IP地址，sender mac设为攻击者自己的MAC地址。
主机B收到ARP Reply后，更新它的ARP表，把主机A的MAC地址（IP_A, MAC_A）改为（IP_A, MAC_C）。
当主机B要发送数据包给主机A时，它根据ARP表来封装数据包的Link报头，把目的MAC地址设为MAC_C，而非MAC_A。
当交换机收到B发送给A的数据包时，根据此包的目的MAC地址（MAC_C）而把数据包转发给攻击者C。
攻击者收到数据包后，可以把它存起来后再发送给A，达到偷听效果。攻击者也可以篡改数据后才发送数据包给A，造成伤害。
例如：
使用kali系统进行rip欺骗
实验环境

受害者主机：192.168.1.1

攻击者主机：192.168.1.113

实验过程

1.为使受害者主机的数据包能够顺利收发，我们需在Kali Linux中开启IP转发功能，否则受害者主机就不能进行网络连接：

echo 1 > /proc/sys/net/ipv4/ip_forward；//将1写入所选文件

2.在终端中输入arpspoof -t 192.168.1.1 192.168.1.113 -i eth0，并输入ettercap -Tq -i eth0进行账号密码嗅探；

3.当受害主机登录某网站时，终端上就能显示账号和密码；

4.我们还可以使用driftnet命令截获受害者浏览的图片；

5.我们也可以使用tcpdump、Ettercap或Wireshark工具截获所有流量。

下图为欺骗前与欺骗后的ARP表

选择网卡后即可进行中间人攻击

ARP欺骗防御手段

最理想的防制方法是网上内的每台计算机的ARP一律改用静态的方式，不过这在大型的网上是不可行的，因为需要经常更新每台计算机的ARP表。
另外一种方法，例如DHCP snooping，网上设备可借由DHCP保留网上上各计算机的MAC地址，在伪造的ARP数据包发出时即可侦测到。此方式已在一些厂牌的网上设备产品所支持。
有一些软件可监听网上上的ARP回应，若侦测出有不正常变动时可发送邮箱通知管理者。例如UNIX平台的Arpwatch以及Windows上的XArp v2或一些网上设备的Dynamic ARP inspection功能。

脚本攻击与防御篇

SQL注入

SQL注入说明

SQL注入（SQLi）是一种注入攻击，，可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询，使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施；可以绕过网页或Web应用程序的身份验证和授权，并检索整个SQL数据库的内容；还可以使用SQL注入来添加，修改和删除数据库中的记录。

SQL注入漏洞可能会影响使用SQL数据库（如MySQL，Oracle，SQL Server或其他）的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据：客户信息，个人数据，商业机密，知识产权等。SQL注入攻击是最古老，最流行，最危险的Web应用程序漏洞之一。

SQL注入防御

1.严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害
2.检查输入的数据是否具有所期望的数据格式，严格限制变量的类型
3.对进入数据库的特殊字符（’” \ 尖括号 & * ;等符号）进行转义处理，或编码转换。

跨站脚本攻击（XSS攻击）

跨站脚本攻击说明

跨站攻击，即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

跨站脚本攻击防御

在你的WEB浏览器上禁用java脚本，具体方法，先打开你的IE的internet选项，切换到“安全”页，有个“自定义”级别，点他出现如下窗口，禁用就可以了。但是好象不太可能，因为一旦禁用，很多功能就丧失了，这个方法是下策。
还有不要访问包含〈〉字符的连接，当然一些官方的URL不会包括任何脚本元素。
如果你的站点程序含论坛，留言板，以及其他程序中含提交数据格式的，没有很好过滤机制，请马上下载升级程序或是停止使用ubb这样的功能，避免造成更多的问题。
跨站脚本执行漏洞的成因，形式，危害，利用方式，隐藏技巧

cookie攻击

cookie攻击说明

在网络上，cookie篡改（cookie poisoning）是攻击者修改cookie（网站用户计算机中的个人信息）获得用户未授权信息，进而盗用身份的过程，攻击者可能使用此信息打开新账号或者获取用户已存在账号的访问权限。
Cookie是存储在你计算机硬盘上的一小块信息，它允许你访问的网站鉴别你的身份，加速你的事务处理，监控你的行为和为你个性化显示。然而，cookie也允许未授权的人存取，在缺少安全措施的情况下，攻击者能够检查一个cookie并得到它的用途，编辑它以帮助他们从发送cookie的网站上获得用户的信息。

cookie攻击防御

为预防cookie篡改，网站在向用户的计算机发送cookie前应该实施一些保护措施（比如通过加密），Ingrian Networks公司的Active Application Security就是这样一种防止cookie篡改的平台。当cookie通过平台时，敏感的信息都将被加密。数字签名被创建用来验证发送者和接收者以后通信时的内容，如果内容被篡改，数字签名将和以前的不一样，服务器将拒绝登录。

CSRF攻击

CSRF攻击说明

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

CSRF攻击防御

对于web站点，将持久化的授权方法（例如cookie或者HTTP授权）切换为瞬时的授权方法（在每个form中提供隐藏field），这将帮助网站防止这些攻击。一种类似的方式是在form中包含秘密信息、用户指定的代号作为cookie之外的验证。
另一个可选的方法是“双提交”cookie。此方法只工作于Ajax请求，但它能够作为无需改变大量form的全局修正方法。如果某个授权的cookie在form post之前正被JavaScript代码读取，那么限制跨域规则将被应用。如果服务器需要在Post请求体或者URL中包含授权cookie的请求，那么这个请求必须来自于受信任的域，因为其它域是不能从信任域读取cookie的。
与通常的信任想法相反，使用Post代替Get方法并不能提供卓有成效的保护。因为JavaScript能使用伪造的POST请求。尽管如此，那些导致对安全产生“副作用”的请求应该总使用Post方式发送。Post方式不会在web服务器和代理服务器日志中留下数据尾巴，然而Get方式却会留下数据尾巴。
尽管CSRF是web应用的基本问题，而不是用户的问题，但用户能够在缺乏安全设计的网站上保护他们的帐户：通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie。

木马病毒篇

木马病毒原理

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。———— 摘自度娘

木马病毒示范之冰河木马

冰河木马原理

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!）

冰河木马的使用

控制端界面

首先，配置本地服务器程序，单击从右边数过来第三个图标（或在设置－配置服务器程序）在基本设置中：安装路径指服务器程序运行时，自动安装在哪个文件夹；文件名称指服务器安装后程序的名称，进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名；访问口令指如果您加了密码，访问中此木马的密码；敏感字符指你想要获取对方密码的关键词，比如输入password，冰河服务端将记录 password的密码；提示信息指对方运行服务端出现的窗口，比如说此文件已损坏等骗人的话；监听端口指中冰河者打开的端口，您用冰河控制端通过这个端口访问；自动删除安装文件指对方运行服务端后，是否删除本身（就是运行后，程序不见了，而会在其它地方安装了）禁止自动拨号指运行服务端后，是否马上拨号上网连接。 在自我保护中：已经写的很清楚了，不再重复！在邮件通知中：不再重复。注意SMTP服务器指发送邮件服务器地址，通常申请邮箱时服务商会提供。根据您的需要配置好服务端，把他发送给对方，最好用捆绑软件捆绑加密一下。如果您想找现成的中了木马冰河的机器，就用冰河的搜索计算机功能（速度很慢）扫描。

冰河木马预防手段

1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根，键值为C:/windows/system/Kernel32.exe，删除它。
3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。
4、最后，改注册表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。
也可下载冰河陷阱进行防御诱捕

木马病毒示范之灰鸽子

灰鸽子原理

灰鸽子（ Huigezi），原本该软件适用于公司和家庭管理，其功能十分强大，不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能，如：伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等，并采用反弹链接这种缺陷设计，使得使用者拥有最高权限，一经破解即无法控制。最终导致被黑客恶意使用。原作者的灰鸽子被定义为是一款集多种控制方式于一体的木马程序。———— 摘自度娘

灰鸽子传播方式

灰鸽子自身并不具备传播性，一般通过捆绑的方式进行传播。
灰鸽子传播的四大途径：网页传播、邮件传播、IM聊天工具传播、非法软件传播。
1．网页传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；
2．邮件传播：灰鸽子被捆绑在邮件附件中进行传播；聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件。
3．非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。

灰鸽子病毒构成

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

灰鸽子运行过程

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉中了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子预防手段

手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。
但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。
体积仅70kb隐蔽性更强
体积仅70kb隐蔽性更强
由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。
1．由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。
2．打开Windows的“搜索文件”，文件名称输入“*_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。
3．经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。
4．根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。

手工清除

清除灰鸽子仍然要在安全模式下操作，主要有两步：
1．清除灰鸽子的服务；
2．删除灰鸽子程序文件。
注意：为防止误操作，清除前一定要做好备份。
（一）、清除灰鸽子的服务
灰鸽子(挺进版)文件窗口
灰鸽子(挺进版)文件窗口
注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
2000/XP系统：
1．打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2．点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。
3．删除整个Game_Server项。
98/me系统：
在98下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。
（二）、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005服务端已经被清除干净。
以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。

病毒预防

1． 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序
灰鸽子
灰鸽子
2． 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户。
2． 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护。
3． 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。