網路犯罪過程分析與應急回響紅黑演義實戰寶典

本書第一篇從介紹網路犯罪的認知出發，讓讀者深刻理解網路犯罪的心理和常見路線，講述網路犯罪相關法律，讓讀者把握網路犯罪的三要素和偵查路線；第二篇，沿著網路犯罪的發展路線，讓作者理解網路犯罪每個環節中常用的技術和預防辦法；第三篇，主要從用戶方、網路犯罪偵查方角度入手，講解如何開展網路犯罪過程追蹤和應急工作。

張勝生

省級產業教授/碩士生導師，現任北京中安國發信息技術研究院院長，北京市職工技術協會網路安全專委會理事長。

從事信息與網路安全工作18年，曾工作於原信息產業部電子信息中心。北京市總工會和北京市科學技術委員會聯合授予行業帶頭人稱號暨“信息安全應急演練關鍵技術——張勝生工作室”，曾榮獲2013年中國信息安全技術大會“中國信息安全技術優秀人物獎”。

致力於信息安全應急演練與網路犯罪研究10年，開展大中型企業信息安全實戰教學與國際認證已有10年，申請國家專利2項、著作權2項，作為“紅黑演義”雲端攻防演練平台總設計師，成功打造“網路犯罪偵查實驗室”及系列網路安全實訓室，曾榮獲“中國信息安全攻防實驗室產品實戰性和實用性一等獎”。主持翻譯了國際信息安全認證教材《CISSP認證考試指南（第6版）》。

第 一篇 網路犯罪路線與心理分析

第　1章 眾里尋他千百度　3

1．1　背景　3

1．2　場景分析　4

1．2．1　Whois查詢　4

1．2．2　DNS解析查詢　6

1．2．3　默認404頁面信息泄露　6

1．2．4　HTTP狀態碼分類　7

1．2．5　連線埠掃描　7

第　2章 知己知彼百戰百勝　8

2．1　背景　8

2．2　場景分析　9

2．2．1　網站模板　9

2．2．2　檔案上傳漏洞　9

第3章　重金開發新網站　12

3．1　背景　12

3．2　場景分析　15

3．2．1　自動化漏洞挖掘　17

3．2．2　SQL注入　17

3．2．3　XSS跨站腳本攻擊　18

第4章　真真假假請君入甕　19

4．1　背景　19

4．2　場景分析　21

4．2．1　跨站請求偽造　21

4．2．2　旁站入侵（旁註）　23

4．2．3　ARP欺騙　23

4．2．4　HTTPS　24

第5章　最後的稻草　25

5．1　背景　25

5．2　場景分析　26

5．2．1　釣魚郵件　26

5．2．2　DNS劫持　27

第6章　不入虎穴焉得虎子　28

6．1　背景　28

6．2　場景分析　30

6．2．1　人員背景審查　30

6．2．2　黑市數據售賣　30

第二篇　網路犯罪技術分析

第7章　網路攻擊前奏——信息收集技術分析　33

7．1　信息收集簡介　33

7．2　搜尋引擎信息收集　33

7．3　連線埠掃描重現與防範　34

7．3．1　連線埠掃描類型　34

7．3．2　連線埠掃描重現　36

7．3．3　連線埠掃描防範　37

7．4　指紋檢測重現與防範　40

7．4．1　指紋識別原理　40

7．4．2　指紋檢測攻擊實驗　40

7．4．3　HTTP指紋探測防範　44

7．5　相關知識鏈條擴展與自查清單　44

7．5．1　知識鏈條擴展　44

7．5．2　自查清單　46

第8章　典型Web攻擊之SQL注入攻擊分析　47

8．1　SQL注入攻擊簡介　47

8．2　SQL注入攻擊原理　48

8．3　SQL注入攻擊過程　48

8．4　SQL注入攻擊重現　49

8．4．1　尋找注入點　49

8．4．2　繞過登錄驗證　52

8．4．3　讀取資料庫版本　53

8．4．4　獲取資料庫列長度　53

8．4．5　讀取資料庫信息　56

8．4．6　提取用戶和密碼信息　58

8．4．7　作業系統檔案讀寫　62

8．5　SQL注入攻擊檢測　63

8．6　SQL注入攻擊防範　65

8．7　相關知識鏈條擴展與自查清單　68

8．7．1　知識鏈條擴展　68

8．7．2　自查清單　70

第9章　典型Web攻擊之上傳漏洞利用分析　71

9．1　上傳漏洞簡介　71

9．2　上傳漏洞利用方法　71

9．2．1　漏洞利用前提條件　71

9．2．2　常見繞過技術　72

9．3　上傳漏洞利用重現　73

9．4　上傳漏洞利用監測與防範　77

9．4．1　上傳漏洞監測　77

9．4．2　上傳漏洞防範　78

9．5　相關知識鏈條擴展與自查清單　79

9．5．1　知識鏈條擴展　79

9．5．2　自查清單　81

第　10章 典型Web攻擊之跨站腳本攻擊分析　82

10．1　跨站腳本攻擊簡介　82

10．2　跨站攻擊過程重現與分析　82

10．2．1　反射型跨站攻擊　82

10．2．2　存儲型跨站攻擊　83

10．2．3　利用跨站篡改網站　85

10．2．4　利用跨站釣魚騙取密碼　86

10．2．5　利用跨站盜取Cookie　89

10．2．6　跨站攻擊平台　93

10．2．7　跨站請求偽造　98

10．3　跨站攻擊檢測與防範　100

10．4　相關知識鏈條擴展與自查清單　101

10．4．1　知識鏈條擴展　101

10．4．2　自查清單　101

第　11章 典型Web攻擊之系統提權分析　104

11．1　系統提權簡介　104

11．2　系統提權過程重現　105

11．2．1　Linux核心UDEV漏洞提權　105

11．2．2　NetCat反彈CmdShell提權　109

11．3　系統提權防禦實踐　111

11．3．1　Linux UDEV漏洞提權防禦　111

11．3．2　NetCat反彈CmdShell提權防禦　111

11．4　相關知識鏈條擴展與自查清單　111

11．4．1　知識鏈條擴展　111

11．4．2　自查清單　113

第　12章 典型Web攻擊之後門植入分析　115

12．1　後門植入簡介　115

12．2　後門植入與利用重現　115

12．2．1　Windows系統隱藏賬戶後門　115

12．2．2　常見Linux後門　120

12．3　後門植入監測與防範　124

12．3．1　後門監測　124

12．3．2　後門防範　124

12．4　相關知識鏈條擴展與自查清單　125

12．4．1　知識鏈條擴展　125

12．4．2　自查清單　125

第　13章 作業系統層攻擊分析　128

13．1　Windows“永恆之藍”攻擊過程　128

13．1．1　漏洞簡介　128

13．1．2　實驗環境信息　128

13．2　Unix/Linux系統漏洞利用重現與分析　135

13．2．1　Sudo本地提權漏洞介紹　135

13．2．2　利用惡意腳本篡改密碼　136

13．2．3　shadow檔案篡改前後內容對比　137

13．3　作業系統口令獲取方法　138

13．3．1　Windows系統口令獲取　138

13．3．2　Linux系統口令獲取　139

13．4　相關知識鏈條擴展與自查清單　139

13．4．1　知識鏈條擴展　139

13．4．2　自查清單　140

第　14章 資料庫層攻擊分析　142

14．1　資料庫攻擊簡介　142

14．2　MySQL攻擊重現與分析　142

14．2．1　MySQL資料庫簡介　142

14．2．2　攻擊重現與分析　142

14．3　Oracle攻擊重現與分析　147

14．3．1　Oracle資料庫簡介　147

14．3．2　攻擊重現與分析　147

14．4　MSSQL攻擊重現與分析　149

14．4．1　MSSQL資料庫簡介　149

14．4．2　攻擊重現與分析　150

14．5　資料庫安全防範實踐　151

14．5．1　MySQL安全防範實踐　151

14．5．2　Oracle安全防範實踐　155

14．5．3　MSSQL安全防範實踐　159

14．6　相關知識鏈條擴展與自查清單　160

14．6．1　知識鏈條擴展　160

14．6．2　自查清單　162

第　15章 網路層攻防重現與分析　163

15．1　MAC地址表攻擊重現與分析　163

15．2　ARP洪水攻擊重現與分析　165

15．3　TCP SYN洪水攻擊過程分析　167

15．4　Socket Stress CC攻擊　169

15．5　UDP 洪水攻擊重現與分析　170

15．6　DNS放大攻擊重現與分析　172

15．7　常見網路層DDoS攻擊的防禦方法　173

15．8　網路抓包重現與分析　174

15．9　無線ARP欺騙與訊息監聽重現分析　176

15．10　使用Wireshark進行無線監聽重現分析　181

第三篇　網路犯罪線索追蹤與應急回響

第　16章 電子商務系統入侵路線追蹤　189

16．1　電子商務系統入侵過程重現　189

16．2　電子商務系統入侵偵查分析　197

16．3　電子商務系統入侵應急處置　197

第　17章 網站掛馬入侵路線追蹤　199

17．1　網站掛馬入侵過程重現　199

17．1．1　網站掛馬　199

17．1．2　區域網路滲透　209

17．2　網站掛馬入侵偵查分析　216

17．2．1　用戶系統入侵分析　216

17．2．2　網站入侵分析　222

17．2．3　資料庫入侵分析　226

17．3　網站掛馬入侵應急回響　227

17．3．1　網站應急處置與加固　227

17．3．2　資料庫應急處置與加固　232

17．3．3　用戶系統應急處置與加固　232

第　18章 計算機取證實踐　233

18．1　計算機取證技術的研究範圍　233

18．1．1　計算機證據收集技術　233

18．1．2　計算機證據分析技術　236

18．1．3　計算機證據呈堂技術　238

18．2　計算機取證中的常用技術分析　238

18．2．1　數據恢復技術　238

18．2．2　基於後門程式的主機信息監控技術　239

18．2．3　基於網路嗅探的網路信息監控技術　241

18．2．4　基於網路搜尋的Internet信息監控技術　250

18．2．5　串匹配技術　251

18．3　計算機取證技術的發展趨勢　251

18．4　計算機取證實踐　252

18．4．1　使用DumpIt提取Windows的記憶體信息　252

18．4．2　使用Volatility進行Windows記憶體取證　256

18．4．3　使用Guymager獲得磁碟鏡像檔案　276

18．4．4　使用Bro進行入侵流量分析　278

18．4．5　使用Python對火狐瀏覽器的歷史信息進行取證分析　283