黑客技術

網路是多種信息技術的集合體，它的運行依靠相關的大量技術標準和協定。作為網路的入侵者，黑客的工作主要是通過對技術和實際實現中的邏輯漏洞進行挖掘，通過系統允許的操作對沒有許可權操作的信息資源進行訪問和處理，黑客對網路的攻擊主要是通過網路中存在的拓撲漏洞及對外提供服務的實現漏洞實現成功的滲透。

除了使用這些技術上的漏洞，黑客還可以充分利用人為運行管理中存在的問題對目標網路實施入侵。通過欺騙、信息蒐集等社會工程學的方法，黑客可以從網路運行管理的薄弱環節人手，通過對人本身的習慣的把握，迅速地完成對網路用戶身份的竊取並進而完成對整個網路的攻擊。

黑客的技術範圍很廣，涉及網路協定解析、源碼安全性分析、密碼強度分析和社會工程學等多個不同的學科。入侵一個目標系統，在早期需要黑客具有過硬的協定分析基礎、深厚的數學功底，但由於網路的共享能力以及自動攻擊腳本的成熟與廣泛的散播，現在黑客的行為愈演愈烈，而對黑客的技術要求也在不斷地降低。

目前，在實施網路攻擊中，黑客所使用的入侵技術主要包括以下幾種：協定漏洞滲透、密碼分析還原、套用漏洞分析與滲透、社會工程學、拒絕服務攻擊、病毒或後門攻擊。

黑客技術的種類和傳播方式有如下幾種。

根據2012年2月底QQ電腦管家統計，檢測出新增的獨立URI。掛馬網站數量超過246萬個；隨著大量黑客網站與論壇中的教程對掛馬技術的“掃盲”，預計今後網站掛馬在中國會更加瘋狂地出現，掛馬技術普及更助長了木馬的傳播與黑客的發展壯大。

掛馬網站起著傳播木馬與其他惡意程式的作用。擅長網路攻擊的黑客傳播木馬的主要手段之一就是掛馬。通過掛馬廣泛傳播木馬後．專職盜號者就可以獲得用戶的敏感信息。

當人們日漸明白作業系統打補丁的重要性時，黑客們利用作業系統漏洞的機會便越來越少，為了能夠達到攻入用戶電腦的非法目的，黑客們把目標轉移到套用軟體漏洞上來。被黑客們關注的套用軟體都是裝機量很大、用戶量很多的熱門軟體，例如下載軟體、視頻播放軟體、文字處理軟體等，這些軟體都成為了黑客們重點挖掘漏洞的對象。

大多數的病毒製造者是把別人挖掘的漏洞加入自己的程式中。但隨著黑客人數的日益增多，會有越來越多的第三方軟體漏洞被黑客發現並利用。

網路遊戲的普及性、玩家的大眾化、虛擬遊戲世界的被認知性、虛擬裝備的稀缺性等原因，導致網路遊戲財產方面的市場需求十分旺盛，因此交易內容也多以網路遊戲的賬號、密碼、虛擬錢幣、虛擬遊戲裝備為主。正是在這種市場環境下，網路遊戲盜號者在盜取完成後，在正規的網路交易平台進行正常的交易；交易完成，虛擬世界的錢幣與物品得以兌換成為現實貨幣，最終虛擬財產便就此具備了現實的實際價值。

隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及，網路釣魚事件在我國層出不窮。網路釣魚是黑客使用虛假網站來誘騙瀏覽者提供信用卡賬號、用戶名、密碼、詳細的個人信息等，而欺騙手段一般是假冒成確實需要這些信息的可信方，隨後利用騙得的賬號和密碼竊取受騙者的金錢。從涉及領域來看，大多數釣魚網站案件集中在金融和電子商務兩個行業。釣魚網站實現在黑客技術中並不是很複雜，只需要把一個虛假網站散播出去，讓用戶受騙，即可完成非法獲利的目的。

拒絕服務攻擊最主要的目的是造成被攻擊伺服器資源耗盡或系統崩潰而無法提供服務。這樣的入侵對於伺服器來說可能並不會造成損害，但可以造成人們對被攻擊伺服器所提供服務的信任度下降，影響公司的聲譽及用戶對網路服務的使用。這類攻擊主要還是利用網路協定的一些薄弱環節，通過傳送大量無效請求數據包造成伺服器進程無法短期釋放，大瞪積累耗盡系統資源，使得伺服器無法對正常的請求進行回響，造成服務的癱瘓。

網路安全從其本質上來講就是網路上的信息安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。確保網路系統的信息安全是網路安全的目標，信息安全包括兩個方面：信息的存儲安全和信息的傳輸安全。信息的存儲安全是指信息在靜態存放狀態下的安全，如是否會被非授權調用等。信息的傳輸安全是指信息在動態傳輸過程中安全。為了確保網路信息的傳輸安全，有以下幾個問題：

（1）對網路上信息的監聽；

（2）對用戶身份的仿冒；

（3）對網路上信息的篡改；

（4）對發出的信息予以否認；

（5）對信息進行重發。

所謂口令入侵，就是指用一些軟體解開已經得到但被人加密的口令文檔，不過許多黑客已大量採用一種可以繞開或禁止口令保護的程式來完成這項工作。對於那些可以解開或禁止口令保護的程式通常被稱為“Crack”。由於這些軟體的廣為流傳，使得入侵電腦網路系統有時變得相當簡單，一般不需要很深入了解系統的內部結構，是初學者的好方法。

說到特洛伊木馬，只要知道這個故事的人就不難理解，它最典型的做法可能就是把一個能幫助黑客完成某一特定動作的程式依附在某一合法用戶的正常程式中，這時合法用戶的程式代碼已被改變。一旦用戶觸發該程式，那么依附在內的黑客指令代碼同時被激活，這些代碼往往能完成黑客指定的任務。由於這種入侵法需要黑客有很好的編程經驗，且要更改代碼、要一定的許可權，所以較難掌握。但正因為它的複雜性，一般的系統管理員很難發現。

這是一個很實用但風險也很大的黑客入侵方法，但還是有很多入侵系統的黑客採用此類方法，正所謂藝高人膽大。

網路節點或工作站之間的交流是通過信息流的轉送得以實現，而當在一個沒有集線器的網路中，數據的傳輸並沒有指明特定的方向，這時每一個網路節點或工作站都是一個接口。這就好比某一節點說：“嗨！你們中有誰是我要發信息的工作站。”

此時，所有的系統接口都收到了這個信息，一旦某個工作站說：“嗨！那是我，請把數據傳過來。”聯接就馬上完成。

目前有網路上流傳著很多嗅探軟體，利用這些軟體就可以很簡單的監聽到數據，甚至就包含口令檔案，有的服務在傳輸檔案中直接使用明文傳輸，這也是非常危險的。

使用email加木馬程式這是黑客經常使用的一種手段，而且非常奏效，一般的用戶，甚至是網管，對網路安全的意識太過於淡薄，這就給很多黑客以可乘之機。

作為一個黑客，如此使用應該是一件可恥的事情，不過大家可以學習，畢竟也是一種攻擊的辦法，特殊時間，特殊地點完全可以使用。

防範黑客的技術措施有很多，下面介紹幾種基本的防範技術。

建立防火牆是一種常見的實用技術措施。“防火牆”是一種形象的說法，其實它是一種計算機硬體和軟體的組合體。防火牆使網際網路與內部網之間建立起一個安全網關，從而保護內部網免受外部非法用戶的侵入。防火牆就是網際網路與內部網隔開的屏障。

雖然防火牆是防範外部黑客的最重要手段之一，但是，如果設定不當，會留下漏洞，成為黑客攻擊網路的橋樑。在目前黑客智慧型程度越來越高的情況下，一個要訪問網際網路的防火牆，如果不使用先進認證裝置或者不包含使用先進驗證裝置的連線工具，則這樣的防火牆幾乎是沒有意義的。因此，現代防火牆必須採用綜合安全技術，有時還需加入信息的加密存儲和加密傳輸技術以及數字簽名、數字郵戳、數字認證等安全技術方能有效地保護系統的安全。

需要特別注意的是，防火牆並不能防範內部黑客。

防火牆不是完整解決安全問題的方法。一個有經驗的攻擊者會利用網路的漏洞，採用“好”的黑客工具穿透防火牆。因此，應該結合使用入侵檢測技術，共同防範黑客。

入侵檢測系統是對入侵行為的發覺，是進行入侵檢測的硬體與軟體的結合。它是通過從計算機系統的關鍵點收集信息並進行分析，從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。它的主要任務是：監視、分析用戶及系統活動；系統構造和弱點的審計；對異常行為模式的統計分析；評估重要系統和數據義件的完整性：對作業系統進行審計跟蹤管理，並識別用戶違反安全策略的行為等。

身份識別和數字簽名技術是網路中進行身份證明和保證數據真實性、完整性的一種重要手段。現在身份認證的方式有三種：一是利用本身特徵進行認證，比如人類生物學提供的指紋、聲音、面像鑑別；二是利用所知道的事進行認證，比如口令；三是利用物品進行認證，比如使用智慧卡。網路通信中的認證除了口令、標識符等，目前主要是採用公鑰密碼技術實現的。

根據Websense安全實驗室發布的《Websense 2012年威脅報告》，我們看到三個因素正在成為數據竊取“得力助手”：第一，基於社交網路生成的各種誘餌，這是當前極富成效的攻擊手段；第二，現代惡意軟體在滲入時已具備迴避安全檢測的能力；第三，機密數據的泄露方式日益複雜。為了幫助企業有效的應對威脅現狀，該報告不僅陳列了最新的安全調查發現，還為安全專業人士提供多起案例進行參考，並提出切實可行的防範建議。

Websense中國安全實驗室經理洪敬風表示：“傳統的安全防線已經失去了作用，面對現代威脅環境，只有依靠多點檢測的實時防禦方案，深度檢測和分析入站的每一個網頁與電子郵件內容以及出站敏感數據傳送才能幫助企業有效緩解數據泄露等信息安全風險。在我們的觀察中發現：利用Web和電子郵件進行攻擊幾乎發生在每一起惡意數據竊取行動中；而以人為突破口發起的各種社會工程學攻擊更是越加普遍。因為新一代攻擊者懂得針對一個目標基於多種威脅渠道從多個數據點發起攻擊，所以只有充分了解威脅的整個生命周期，並且能夠將數據安全嵌入各個環節的解決方案才能夠有效防止新的威脅。”

關鍵發現：

82%的惡意網站被託管在已經被惡意份子控制的主機上。主機一旦被惡意份子攻陷則不再能提供可被信任的基準、雲或者託管服務。從大的環境來講，這阻礙了社會經濟的發展，因為雲技術被大量套用於發展商業、交通和文化。

55%的數據竊取源於基於Web的惡意軟體通訊。

43%的Facebook分享為流媒體，其中有不少為病毒式視頻。因為當前的各種Web誘餌（視頻、虛假禮品贈與、虛假調查問卷和詐欺等）都是從吸引人的好奇心出發，並越來越多地被使用在社交網路上。Websense是Facebook的內容安全合作夥伴，致力幫助Facebook掃描其內容更新中的所有 Web連結，所以 Websense調查員對社交網路內容具有深入的了解和敏銳的觀察。

50%的惡意軟體的重定向地址指向美國，其次是加拿大。

60%的釣魚網站主機在美國，還有一大部分在加拿大。而美國亦是託管最多惡意軟體的國家，占總量的36%，緊隨其後的是俄羅斯。

74%的電子郵件是垃圾郵件，在前一年這個數據是84%.總體來說，在對抗垃圾郵件殭屍網路方面的努力頗有成效。而另一方面，在垃圾郵件的總量下降的同時，我們看到92%的垃圾郵件都包含一個URL連結，這說明混合電子郵件和Web威脅的攻擊正在上升。排名前五位的垃圾郵件誘餌有：訂單狀態通知、票務確認、交貨通知、測試郵件，以及退稅通知。另外，魚叉式網路釣魚攻擊也在持續增長，大多數被用於針對性攻擊。

Websense安全實驗室分析了超過20萬個安卓套用，發現了大量的包含惡意目地和許可的軟體。可以預計，未來將會有更多的用戶會成為惡意移動應用程式的受害者。

先進威脅的生命周期可以被分為6個階段：誘惑、重定向、攻擊工具包、dropper木馬檔案、自動通訊，和數據竊取。其中每一個階段都有不同的特徵，需要專門的實時防禦系統。傳統的安全防護手段因為主要關注第四階段，並且只能夠基於已知威脅特徵庫查找惡意軟體，所以在現代威脅面前頓時失靈。先進威脅中使用的dropper木馬可能在數小時或者數天中都無法被傳統安全工具檢測到。

Websense安全實驗室運用Websense ThreatSeeker Network對全球網際網路威脅進行實時監測。Websense ThreatSeeker Network每小時掃描4千多萬個Web網站和1千多萬封電子郵件，以查找不當內容和惡意代碼。利用全球超過5千萬個節點的實時數據採集系統，Websense ThreatSeeker Networks監測並分類Web、郵件以及數據內容，這使得Websense在審查Internet及電子郵件內容方面具有獨一無二的可視能力。

1．肉雞：所謂“肉雞”是一種很形象的比喻，比喻那些可以隨意被我們控制的電腦，對方可以是WINDOWS系統，也可以是UNIX/LINUX系統，可以是普通的個人電腦，也可以是大型的伺服器，我們可以象操作自己的電腦那樣來操作它們，而不被對方所發覺。

2．木馬：就是那些表面上偽裝成了正常的程式，但是當這些被程式運行時，就會獲取系統的整個控制許可權。有很多黑客就是熱衷於使用木馬程式來控制別人的電腦，比如灰鴿子，黑洞，PcShare等等。

3．網頁木馬：表面上偽裝成普通的網頁檔案或是將自己的代碼直接插入到正常的網頁檔案中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。

4．掛馬：就是在別人的網站檔案裡面放入網頁木馬或者是將代碼潛入到對方正常的網頁檔案里，以使瀏覽者中馬。

5．後門：這是一種形象的比喻，入侵者在利用某些方法成功的控制了目標主機後，可以在對方的系統中植入特定的程式，或者是修改某些設定。這些改動表面上是很難被察覺的，但是入侵者卻可以使用相應的程式或者方法來輕易的與這台電腦建立連線，重新控制這台電腦，就好象是入侵者偷偷的配了一把主人房間的鑰匙，可以隨時進出而不被主人發現一樣。

通常大多數的特洛伊木馬(Trojan Horse)程式都可以被入侵者用於製作後門(BackDoor)。

6．rootkit：rootkit是攻擊者用來隱藏自己的行蹤和保留root(根許可權，可以理解成WINDOWS下的system或者管理員許可權)訪問許可權的工具。通常，攻擊者通過遠程攻擊的方式獲得root訪問許可權，或者是先使用密碼猜解(破解)的方式獲得對系統的普通訪問許可權，進入系統後，再通過，對方系統記憶體在的安全漏洞獲得系統的root許可權。然後，攻擊者就會在對方的系統中安裝rootkit，以達到自己長久控制對方的目的，rootkit與我們前邊提到的木馬和後門很類似，但遠比它們要隱蔽，黑客守衛者就是很典型的rootkit，還有國內的ntroorkit等都是不錯的rootkit工具。

7．IPC$：是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的許可權，在遠程管理計算機和查看計算機的共享資源時使用。

8．弱口令：指那些強度不夠，容易被猜解的，類似123，abc這樣的口令(密碼)。

9．默認共享：默認共享是WINDOWS2000/XP/2003系統開啟共享服務時自動開啟所有硬碟的共享，因為加了"$"符號，所以看不到共享的托手圖表，也稱為隱藏共享。

10．shell：指的是一種命令執行環境，比如我們按下鍵盤上的“開始鍵+R”時出現“運行”對話框，在裡面輸入“cmd”會出現一個用於執行命令的黑視窗，這個就是WINDOWS的Shell執行環境。通常我們使用遠程溢出程式成功溢出遠程電腦後得到的那個用於執行系統命令的環境就是對方的shell。

11．WebShell：WebShell就是以asp、php、jsp或者cgi等網頁檔案形式存在的一種命令執行環境，也可以將其稱做是一種網頁後門。黑客在入侵了一個網站後，通常會將這些asp或php後門檔案與網站伺服器WEB目錄下正常的網頁檔案混在一起，然後就可以使用瀏覽器來訪問這些asp 或者php後門，得到一個命令執行環境，以達到控制網站伺服器的目的。可以上傳下載檔案，查看資料庫，執行任意程式命令等。國內常用的WebShell有海陽ASP木馬，Phpspy，c99shell等。

12．溢出：確切的講，應該是“緩衝區溢出”。簡單的解釋就是程式對接受的輸入數據沒有執行有效的檢測而導致錯誤，後果可能是造成程式崩潰或者是執行攻擊者的命令。大致可以分為兩類：(1)堆溢出；(2)棧溢出。

13．注入：隨著B/S模式套用開發的發展，使用這種模式編寫程式的程式設計師越來越來越多，但是由於程式設計師的水平參差不齊相當大一部分應用程式存在安全隱患。用戶可以提交一段資料庫查詢代碼，根據程式返回的結果，獲得某些他想要知的數據，這個就是所謂的SQLinjection，即：SQL注入。

14．注入點：是可以實行注入的地方，通常是一個訪問資料庫的連線。根據注入點資料庫的運行帳號的許可權的不同，你所得到的許可權也不同。

15．區域網路：通俗的講就是區域網路，比如網咖，校園網，公司內部網等都屬於此類。查看IP位址如果是在以下三個範圍之內的話，就說明我們是處於區域網路之中的：10.0.0.0—10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255。

16．外網：直接連入INTERNET(互連網)，可以與互連網上的任意一台電腦互相訪問，IP位址不是保留IP(區域網路)IP位址。

17．連線埠：(Port)相當於一種數據的傳輸通道。用於接受某些數據，然後傳輸給相應的服務，而電腦將這些數據處理後，再將相應的恢復通過開啟的連線埠傳給對方。一般每一個連線埠的開放都對應了相應的服務，要關閉這些連線埠只需要將對應的服務關閉就可以了。

18．3389、4899肉雞：3389是Windows終端服務(Terminal Services)所默認使用的連線埠號，該服務是微軟為了方便網路管理員遠程管理及維護伺服器而推出的，網路管理員可以使用遠程桌面連線到網路上任意一台開啟了終端服務的計算機上，成功登入後就會象操作自己的電腦一樣來操作主機了。這和遠程控制軟體甚至是木馬程式實現的功能很相似，終端服務的連線非常穩定，而且任何防毒軟體都不會查殺，所以也深受黑客喜愛。黑客在入侵了一台主機後，通常都會想辦法先添加一個屬於自己的後門帳號，然後再開啟對方的終端服務，這樣，自己就隨時可以使用終端服務來控制對方了，這樣的主機，通常就會被叫做3389肉雞。Radmin是一款非常優秀的遠程控制軟體，4899就是Radmin默認使以也經常被黑客當作木馬來使用(正是這個原因，有的人在使用的服務連線埠號。因為Radmin的控制功能非常強大，傳輸速度也比大多數木馬快，而且又不被防毒軟體所查殺，所用Radmin管理遠程電腦時使用的是空口令或者是弱口令，黑客就可以使用一些軟體掃描網路上存在Radmin空口令或者弱口令的主機，然後就可以登入上去遠程控制對方，這樣被控制的主機通常就被成做4899肉雞。

19．免殺：就是通過加殼、加密、修改特徵碼、加花指令等等技術來修改程式，使其逃過防毒軟體的查殺。

20．加殼：就是利用特殊的算法，將EXE可執行程式或者DLL動態連線庫檔案的編碼進行改變(比如實現壓縮、加密)，以達到縮小檔案體積或者加密程式編碼，甚至是躲過防毒軟體查殺的目的。較常用的殼有UPX，ASPack、PePack、PECompact、UPack、免疫007、木馬彩衣等等。

21．花指令：就是幾句彙編指令，讓彙編語句進行一些跳轉，使得防毒軟體不能正常的判斷病毒檔案的構造。說通俗點就是“防毒軟體是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳顛倒位置，防毒軟體就找不到病毒了”。