第3章+黑客常用的攻击方法

第3章黑客常用攻击方法了解黑客常用的攻击方法。了解黑客攻击的原理。本章内容3.1口令猜解攻击3.2恶意代码攻击3.3缓冲区溢出攻击3.4网络欺骗攻击3.5黑客实战1——恢复被恶意篡改的IE首页3.6黑客实战2——暴力破解压缩包的密码高手私房菜3.1口令猜解攻击3.1.1攻击原理3.1.2攻击实战——使用SAMInside破解计算机密码3.1.1攻击原理由于网络上的用户一般都习惯采用自己姓名的汉语拼音或生日数字作为密码，这就为黑客进行口令猜解提供了突破口。针对这一现象，进行口令猜测攻击的原理是：通过一些专门的软件，攻击者可以自动地从电脑字典中取出一个单词或一组数字，作为用户的口令输入给远端的主机，申请进入系统。如果密码有误，会自动就按序取出下一个单词或数字组，再一次进行同样的尝试，这样一直循环下去，直到字典中的单词试完为止。这个破译过程是由计算机程序来自动完成，因此，几个小时就可以把字典的所有单词或数字组都试一遍，这样对于那些用英语单词、姓氏拼音或生日作为密码的口令，很容易会被猜解出来。3.1.2SAMInside破解计算机密码下载SAMInsidev2.6.0版本，该软件支持暴力破解、模糊破解、字典攻击、多台电脑分布式破解等多种破解方式，破解密码的速度可以达到几百万次/秒。操作：查看本地账户的密码，选择第三个导入方式。3.2恶意代码攻击3.2.1攻击原理3.2.2攻击实战3.2.1攻击原理恶意代码攻击主要是通过插在网页中代码的形式，来修改浏览者的注册表，IE浏览器等，从而破坏目标主机的系统。常见的攻击方式有禁用注册表、修改IE首页、修改IE标题栏、系统启动时弹出对话框、查看“源文件”菜单被禁用、部分菜单被禁止等。⑴禁用注册表⑵修改IE主页⑶修改IE标题栏⑷系统启动时弹出对话框⑸查看“源文件”菜单被禁用（1）禁用注册表这是由于注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其项值恢复为“0”即可恢复注册表的使用。（2）修改IE主页有些IE被修改了起始页后，即使设置“使用默认页”仍然无效，这是由于IE起始页的默认页也被篡改了。具体表现在注册表项：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL中的“Default_Page_URL”子项的项值被修改了。（3）修改IE标题栏在系统默认状态下，是由应用程序本身来提供标题栏信息，但也允许用户自行在注册表项目中填加信息，正是因为这一点，一些恶意的网站就将WindowTitle下的项值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。具体是修改注册表如下项目：HKEY_LOCAL_MACHINE\SOFTWAR\Microsoft\InternetExplorer\Main\WindowTitleHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\WindowTitle(4)系统启动时弹出对话框受到更改的注册表项目为：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon.在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。利用这两个项值，使得用户每次登录到Windows桌面前都出现一个提示窗口，显示那些网页的广告信息。（5）查看“源文件”菜单被禁用在IE窗口中选择“查看”－“源文件”菜单项，发现“源文件”子菜单已经被禁用，这是由于恶意网页病毒修改了注册表，具体位置如下：①在注册表HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer下建立子项“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”，并将这两个DWORD值赋为“1”②在注册表HKEY_USERS\DEFAULT\Software\Policies\Microsoft\InternetExplorer\Restrictions下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的项值都改为“1”.通过以上修改达到了在IE中使用鼠标右键失效，使“查看”－“源文件”子菜单被禁用。3.2.2攻击实战曾经风靡一时的“万花谷”病毒就是一个比较有代表性的恶意代码病毒，该病毒是在一个叫“万花谷”的网站上传出的，利用Java最新技术进行破坏系统。该病毒的破坏特征表现在如下几个方面。⑴用户不能正常使用Windows系统的DOS功能程序。⑵用户不能正常退出Windows系统。⑶开始菜单上的“关闭系统”、“运行”等栏目被屏蔽，防止用户重新以DOS方式启动，关闭DOS命令、关闭REGEDIT命令等。⑷将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。3.3缓冲区溢出攻击3.3.1攻击原理3.3.2攻击实战——IDA和IDQ扩展漏洞攻击3.3.2攻击实战——RPC溢出漏洞攻击3.3.1攻击原理缓冲区是内存中存放数据的地方，操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，当然堆栈也会出现缓冲区溢出。缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量，从而造成数据的溢出。溢出的数据会覆盖在合法数据上，这就为缓冲区溢出埋下了安全隐患。黑客正是利用这一安全隐患，将精心设置的病毒数据溢出覆盖在合法的数据上，一旦溢出数据被编译执行后，“黑客”或病毒就有可能获取系统的控制权，这就是缓冲区溢出攻击的原理。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面一段代码。example1.cvoidfunc1(char*input){charbuffer[16];strcpy(buffer,input);}其中strcpy()将直接把input中的内容copy到buffer中，这样，只要input的长度大于16，就会造成buffer的溢出，使程序运行出错。3.4网络欺骗攻击3.4.1攻击原理3.4.2攻击实战网络欺骗的技术主要有：HONEYPOT和分布式HONEYPOT、欺骗空间技术等，常见的攻击方式有IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子右键欺骗、源路由欺骗等多种方式。3.4.1攻击原理网络欺骗就是黑客使目标主机用户相信信息资源存在有价值，当然这些资源是伪造的，将用户引向带有病毒或恶意代码的资源，实施网络欺骗可显著提高入侵的成功率。欺骗能够成功的关键是在受攻击者和其他Web服务器之间，建立起攻击者的Web服务器，这种攻击方法在安全问题中被称为“来自中间的攻击”。1．通过改变地址攻击者先改写Web网页中的所有URL链接地址，这样其就不会指向真正的Web服务器，而是指向了攻击者自己的Web服务器。比如攻击者所处的Web服务器是xxx.yyy，攻击者通过在所有链接前增加。如此一来，当用户点击任何一个链接，都会直接进入攻击者的服务器，而不会进入真正的URL。如果用户由此依次进入其他网页，将永远不会摆脱掉受攻击的可能.2．通过填写表单由于表单的确定信息被编码到URL中后，其内容再以HTML形式返回，那么，即使前面的URL被黑客篡改了，表单的确定信息依然还会传送给指定的URL，从表面上看，填写的信息和正常的表单一样。但是，这些提交的信息被送到了攻击者的服务器，从而实现网络欺骗。3.4.2攻击实战下面以网络钓鱼为例，来讲述一下网络欺骗的具体的攻击实战。网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。网络钓鱼攻击技术有很多，比较常见的有向用户发送电子邮件、建立假冒的网上银行和网上证券等。下面列出了几种较为常见攻击技术。3.4.2攻击实战⑴黑客向用户发送电子邮件，采用虚假信息引诱用户。黑客以垃圾邮件的形式发送大量的欺诈性邮件，如中奖、顾问、对账等极具诱惑性的内容，引诱用户在邮件中填入自己的金融帐号和密码，或以各种紧迫的理由要求收件人登录某网页提交用户名、密码、省份证号、信用卡号等信息，继而盗窃用户资金。⑵通过建立假冒的网上银行、网上证券等网站，来骗取用户的账号密码。犯罪分子建立起与真正的网上银行系统、网上证券交易平台域名和网页内容都极为相似的网站，引诱用户输入信息。例如假冒网站，而真正的银行网站。⑶利用虚假的电子商务进行诈骗。这种欺骗行为往往通过建立电子商务网站，或在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物款后就销声匿迹了。3.4.2攻击实战⑷利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户帐号和密码，并发送给指定的邮箱，用户资金将受到严重威胁。⑸利用用户弱口令等漏洞破解、猜测用户账号和密码。还有通过手机短信、QQ和MSN等工具进行各种各样的“网络钓鱼”的不法活动。3.5黑客实战1——恢复被恶意篡改的IE首页恶意代码就是一段对计算机用户有害的程序。它包括病毒，蠕虫，特洛伊木马，还有一些广告软件，它们可以在没有经过授权的情况下收集计算机用户的信息。那么如何清除计算机系统中的恶意代码呢？对于高级计算机用户来说，通常在注册表中彻底清除恶意代码键值来清除，不过，用户也可以借助一些系统防护软件进行修复。打开“注册表编辑器”，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main,单击“StartPage”修改地址即可。3.6黑客实战2——暴力破解压缩包的密码有时，从网络上下载的压缩包带有密码，要想打开该压缩包，就需要事先把其密码破解出来，那么如何才能破解出压缩包的密码呢？使用RARPasswordCracker工具可以暴力破解出压缩包的密码，RARPasswordCracker是一款专门用来破解RAR压缩文件密码的工具，它通过暴力破解、密码字典等方法，来快速破解被密码保护的文件。演示并操作：ARPRv1.53.48.12汉化美化版高手私房菜技巧1：查看ARP缓存表在利用网络欺骗攻击的过程中，经常用到的一种欺骗方式是ARP欺骗，但在实施ARP欺骗之前，需要查看ARP缓存表。那么如何查看系统的ARP缓存表信息呢？1）“开始”－“运行”－“cmd”－“arp-a”即显示本机系统的ARP缓存表中的内容。2）“arp-d”删除ARP表中所有的内容。高手私房菜技巧2：在【网络邻居】中隐藏自己的计算机法1:通过修改注册表来隐藏计算机“开始”－“运行”－“regedit”－HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters－选中“Hidden”并右击，选择“修改”将数值数据从0改为1，确定即可。高手私房菜法2：“开始”－“运行”－cmd－输入netconfigserver/hidden:yes即可若想取消则netconfigse