上网必学的网络安全攻防知识

应梦天之要求，写这么一篇网络安全相关的东西。我会将各种网络术语和各种攻防流程以及原理用相对通俗的说法来解释清楚。对菜鸟应该是非常有用的。不要相信杀毒软件是万能的，也不要认为重装系统就是根治病毒的最后保障。首先要说一些基础的概念，很多人概念不清造成电脑知识一知半解，最终导致电脑越用越坏。病毒，简单说就是会对电脑安全造成影响的程序。注意，只是对电脑“安全”造成影响，并不代表病毒的任务只是破坏。木马，这是很多人容易和病毒混淆的东西，曾经有人对我说电脑中木马了，我看了一下，仅仅是个恶意软件，和木马完全不相干。所以请记住，木马只是病毒的一种。假设现在有A和B两台电脑，B想要破坏A，就需要传播破坏性病毒，例如熊猫烧香，而不是木马。如果B想有针对性的破坏或下载或更改A电脑上的某些文件，又或者想彻底操纵A电脑，这时才使用木马。木马是具有即时的可操纵性，而其他病毒不具备。比较常用的木马是灰鸽子、PcShare等等，老牌的还有冰河。这里所指的木马都是远程控制类，盗号类木马稍候会讲到。再从传播方式来说，木马的传播是以“欺骗”的方式进入A电脑。例如将木马捆绑在QQ传输的文件或网上下载的文件内，也就是说木马必须要A电脑的使用者亲自运行了才可以运行。但随着技术的发展，欺骗方式并不能满足黑客的入侵的需要，各种自动运行方法出现，这里就要先说说什么是入侵。入侵，就是非法进入对方的电脑。依然是用A电脑和B电脑为例子。B想入侵A，首先需要扫描A电脑上的漏洞没，这里有人也许要问：如何扫描A电脑？扫描一般都有工具，例如X-scan和流光都是很著名的扫描器。扫描还需要知道对方的IP。通俗的讲IP地址相当于身份证，或者说相当于你家门牌号码，是代表你这台电脑的唯一标识。（IP还分为动态和静态，静态的一般是网站，动态的一般都是拨号上网用户。）回到扫描A电脑漏洞的问题上来，扫描到漏洞之后，B就会开始尝试建立空连接，在DOS下输入一系列命令，在A电脑内新建管理员或者提升来宾权限等等。这一系列动作，A电脑的用户是无法知晓的，如果有防火墙，那么在B向A发出建立空连接请求时会有提示出现，并自动阻止。一旦B得到了A电脑的管理员权限，B就会传一个木马到A电脑上，这个传木马的步骤称为上传木马，和“挂马”不同，挂马稍候会说到。此时传到A电脑上的木马需要提前做好隐藏和免杀工作，这里不详细说。上传木马完成后，此时木马是尚未运行的状态，那么就需要A电脑的用户去运行，虽然现在白痴比较多，但让白痴去运行那个木马文件也是需要伤脑筋的……所以，有了自动运行木马的方法出现。方法一，利用系统自带的“计划任务”功能运行木马。方法二，利用autorun.inf文件实现木马运行。方法三，添加或替换服务运行木马。方法四，将木马伪装成驱动。“计划任务”是Windows一直都有的一个功能，只不过很少有人去用。它的功能就是在指定的时间执行某一个操作，例如在某时某分运行某个程序。入侵者想要在A电脑上运行木马就利用这一点，先用命令获取A电脑的时间，例如11:20，然后在计划任务里添加一个新计划，让木马在11:21的时候运行。因为木马的运行都是没有窗口和任何提示的，所以A电脑的用户中了木马是毫无知觉的。（前提是A电脑上没有杀毒软件或的杀毒软件无法发现该木马。）经验：如果发现在没有运行什么软件的时候，鼠标莫名其妙出现小沙漏就该注意了，那说明有软件正在偷偷运行。防御方法是禁用“计划任务”的系统服务。autorun.inf是一种“安装信息”文件，用于自动运行某些程序，编写方法也很简单。一般在正规的游戏光盘根目录下就能看到。它的作用是当用户双击光盘时自动运行某个程序而不打开光盘。这个文件不仅仅可用于光盘，包括本地硬盘、移动硬盘、U盘、MP3等移动存储设备都可以通过autorun.inf来运行某个程序。入侵者编写一个指向木马的autorun.inf，然后放到A电脑任意一个磁盘分区下，例如E盘，那么一旦A电脑的用户双击了E盘，木马就被运行了。这也往往是造成重装系统后病毒仍无法根治的原因，装系统一般人都是只格式化系统盘，而病毒或木马在其它盘里，所以就算重装了系统，一旦双击了有autorun.inf的磁盘分区，恭喜……你又中毒了……经验：发现网速有拖慢的情况时，打开“我的电脑”，在每个磁盘分区上点右键，看有没有出现“自动播放”或“Auto”的字样。如果有，那么就是中毒了。添加或替换服务，服务是从NT内核的系统开始出现的东西，通俗的理解就是系统正常运行所必须的后台程序。服务在进入系统前就会自动运行，用来运行木马是非常好的选择。打个比方，系统就像一个大企业的运作，幕后有很多重要人物，董事长、CEO等等，这些人相当于电脑的“服务”，其底下的员工就相当于电脑里后来装的那些软件，随时可以去掉的，对整体运作没有影响。添加服务就相当于在这个大企业的管理层硬加进去一个人，这个人，就是木马。而替换服务就是把这个大企业的管理层中不是非常重要的人干掉一个，将自身伪装成这个人，也能够起到自动运行的作用。经验：定期检查“服务”里面有没有可疑服务，这个需要长期的经验积累，新手不要随便更改服务设置。伪装成驱动是今年刚出现的技术，大家应该都知道电脑的硬件和软件能够很好的协调运作都是靠良好的驱动程序来完成。这些驱动程序都会在系统启动之前加载完成，XP开机画面那时候就是在加载硬件驱动程序。所以将木马伪装成驱动来运行是最高级的技术，一般以DLL或SYS为扩展名，难以清除。经验：这种情况一般难以预防，但使用这个技术放马的人的很少，发现驱动类病毒清除很麻烦，不如重装系统来的方便。木马中的盗号木马就是专门用来盗取账号的木马。传播方式与上面几种类似。常见的有啊拉QQ大盗，落雪等等。这类木马有一部分已经有了真正的病毒特征，例如感染大面积文件等等。前面说的远程控制类木马，仅仅有一个或3~5个文件组成，木马的运作也仅仅靠这几个文件。而盗号木马有很大一部分已经向感染其他文件的方向发展。例如早期的盗传奇账号的木马“落雪”，虽然不是纯粹的感染，但它的感染意识对今后的木马病毒发展起了很大的影响。落雪的工作方式是改变电脑内EXE文件的关联方式，使得用户一旦运行任何EXE文件都会同时运行木马。而后来的熊猫烧香是通过将自身写入EXE文件内部，以达到使用户运行EXE文件都会执行熊猫的作用。注意，熊猫烧香本身不是木马，它是蠕虫病毒，它的感染功能已具备自主破坏的特征。而熊猫烧香运行后会自动下载多种盗号木马，这些木马与熊猫烧香本身没有关系。所以熊猫烧香本身不属于木马。以上是入侵方式传播木马，是主动式传播。（熊猫烧香只是和落雪起对比作用，不属于入侵传播。）还有一种传播方式叫“挂马”，是被动传播，也就是愿者上钩。某人想要多几台“肉鸡”（就是没任何保护可以任意蹂躏的电脑）玩玩，他就会在某个网站上挂接一个木马，这个木马在你打开这个网页的时候就会偷偷下载到你的电脑里并运行，可以说防不胜防，这个想要防御只能用好一点的浏览器再加上一些辅助工具，例如卡卡助手和360安全卫士。如果病毒比较新，卡卡和360都无法抵御，那么就只能靠细心了，在打开网页时发现速度慢，鼠标连续出现小沙漏而不是一直出现（读取网页较慢时应该是一直在读取，沙漏是一直存在。而网页挂马一般都有好几个木马同时挂着，所以一旦偷偷运行也是一个个运行，沙漏会读取一会就恢复正常然后再读取一会。）这时就该关掉网页进行杀毒了……现在的木马有很多保护技术，最常见的是两个或多个进程相互检测的技术。例如一个木马的主体文件是1.exe，而往往它还有2.exe和3.exe甚至4.exe来辅助2.exe和3.exe还有4.exe都是用来检测1.exe是否在运行中，如果用户强制结束或删除掉1.exe，那么2.exe和3.exe还有4.exe就会重新生成一个1.exe并运行，同样，2.exe和3.exe和4.exe之间也有保护，无论某一个被结束或删除，都会重新生成并运行，这样互相保护使得手动清除病毒成为妄想，只能借助杀毒软件。说到木马技术不得不说到反弹式木马和ASP木马。最初的木马是直连式，典型的是冰河等老牌木马。也就是B入侵A，要下载A电脑的某个文件，在木马已经成功运行的情况下，在本机B发送指令，由A接受并顺利下载。防火墙的出现使直连式木马失去作用，这就产生了反弹式木马。反弹式就是B入侵A，要下载A电脑的某个文件，在木马已经成功运行的情况下，在本机B发送一条指令，再由A返回一个指令，以A主动把文件传给B的方式实现。用个拟人的比喻来理解：A被B抢劫，B不许A有任何行动，B直接伸手掏出A的钱包。这是直连式木马。A被B抢劫，B迷惑A，让A主动交出钱包给B。这是反弹式木马。ASP木马是一种网页木马，一般用于入侵网站，下面会说到。以上是木马病毒感染个人电脑的情况，下面说说入侵网站。入侵网站的前几个步骤和入侵个人电脑的差不多，也是先扫描后空连再提权。但网站往往都有防火墙，空连接大多都无法连接。黑客的智慧是无限的，操作系统上做不了文章，就在网站系统上下功夫吧。一般入侵网站流程是：1 数据库类型和漏洞检测2 检测到漏洞后，在有漏洞的连接上注入代码。（注入就像医生给你打针，只不过给你打了个病毒而已。）注入代码无破坏性，仅仅是为了撕开漏洞好为下一步做准备。3 检测数据库表单（包括管理员账户和密码。）4 检测网站后台登陆地址。（到了这一步，你的网站已经基本是被别人掌握了。有个很笨但很有效的防御方法：把网站后台删了。）5 用管理员登入网站后台，想干什么就干什么了……如果对方没有后台，没有关系，还有别的方法。大多数BBS都有上传附件功能，利用这个功能的漏洞，可以上传木马。木马一旦上传成功，就会利用“计划任务”启动（网站服务器是不会关闭“计划任务”的。）。那时，操纵对方服务器就和操纵自己电脑一样了……对付网站一般都用ASP或PHP木马，很少用EXE木马，因为网站服务器的端口管理比较严格，EXE木马与网络通信的端口很容易被服务器管理员发现。而ASP木马是通过浏览器来访问，占用的是http的80端口，有很强的隐蔽性。这个只需要了解就行了……不要指望网站都那么容易入侵……得到网站的后台或通过木马操纵服务器后。可以修改对方的网页了吧？那么就可以挂马了。最常用的就是HTML的IFRAME标记，插入一个窗口，这个窗口高和宽都为0，浏览时根本看不出和原来有什么区别。这个窗口里代码的具体内容就是将木马病毒下载到任何一个打开该网页的电脑里的某个位置并运行。这就是挂马……差不多就这些……也许还有不到位的地方，因为木马的散播和防御完全是一个斗智的过程，所涵盖的知识面太广，要全都整合来说实在无法面面俱到，但要是详细摊开来说又要牵涉好多知识面……先写这么多，不懂的就跟帖吧……YULIANGMAX 原创版权所有 转载注明

应梦天之要求，写这么一篇网络安全相关的东西。我会将各种网络术语和各种攻防流程以及原理用相对通俗的说法来解释清楚。对菜鸟应该是非常有用的。不要相信杀毒软件是万能的，也不要认为重装系统就是根治病毒的最后保障。首先要说一些基础的概念，很多人概念不清造成电脑知识一知半解，最终导致电脑越用越坏。病毒，简单说就是会对电脑安全造成影响的程序。注意，只是对电脑“安全”造成影响，并不代表病毒的任务只是破坏。木马，这是很多人容易和病毒混淆的东西，曾经有人对我说电脑中木马了，我看了一下，仅仅是个恶意软件，和木马完全不相干。所以请记住，木马只是病毒的一种。假设现在有A和B两台电脑，B想要破坏A，就需要传播破坏性病毒，例如熊猫烧香，而不是木马。如果B想有针对性的破坏或下载或更改A电脑上的某些文件，又或者想彻底操纵A电脑，这时才使用木马。木马是具有即时的可操纵性，而其他病毒不具备。比较常用的木马是灰鸽子、PcShare等等，老牌的还有冰河。这里所指的木马都是远程控制类，盗号类木马稍候会讲到。再从传播方式来说，木马的传播是以“欺骗”的方式进入A电脑。例如将木马捆绑在QQ传输的文件或网上下载的文件内，也就是说木马必须要A电脑的使用者亲自运行了才可以运行。但随着技术的发展，欺骗方式并不能满足黑客的入侵的需要，各种自动运行方法出现，这里就要先说说什么是入侵。入侵，就是非法进入对方的电脑。依然是用A电脑和B电脑为例子。B想入侵A，首先需要扫描A电脑上的漏洞没，这里有人也许要问：如何扫描A电脑？扫描一般都有工具，例如X-scan和流光都是很著名的扫描器。扫描还需要知道对方的IP。通俗的讲IP地址相当于身份证，或者说相当于你家门牌号码，是代表你这台电脑的唯一标识。（IP还分为动态和静态，静态的一般是网站，动态的一般都是拨号上网用户。）回到扫描A电脑漏洞的问题上来，扫描到漏洞之后，B就会开始尝试建立空连接，在DOS下输入一系列命令，在A电脑内新建管理员或者提升来宾权限等等。这一系列动作，A电脑的用户是无法知晓的，如果有防火墙，那么在B向A发出建立空连接请求时会有提示出现，并自动阻止。一旦B得到了A电脑的管理员权限，B就会传一个木马到A电脑上，这个传木马的步骤称为上传木马，和“挂马”不同，挂马稍候会说到。此时传到A电脑上的木马需要提前做好隐藏和免杀工作，这里不详细说。上传木马完成后，此时木马是尚未运行的状态，那么就需要A电脑的用户去运行，虽然现在白痴比较多，但让白痴去运行那个木马文件也是需要伤脑筋的……所以，有了自动运行木马的方法出现。方法一，利用系统自带的“计划任务”功能运行木马。方法二，利用autorun.inf文件实现木马运行。方法三，添加或替换服务运行木马。方法四，将木马伪装成驱动。“计划任务”是Windows一直都有的一个功能，只不过很少有人去用。它的功能就是在指定的时间执行某一个操作，例如在某时某分运行某个程序。入侵者想要在A电脑上运行木马就利用这一点，先用命令获取A电脑的时间，例如11:20，然后在计划任务里添加一个新计划，让木马在11:21的时候运行。因为木马的运行都是没有窗口和任何提示的，所以A电脑的用户中了木马是毫无知觉的。（前提是A电脑上没有杀毒软件或的杀毒软件无法发现该木马。）经验：如果发现在没有运行什么软件的时候，鼠标莫名其妙出现小沙漏就该注意了，那说明有软件正在偷偷运行。防御方法是禁用“计划任务”的系统服务。autorun.inf是一种“安装信息”文件，用于自动运行某些程序，编写方法也很简单。一般在正规的游戏光盘根目录下就能看到。它的作用是当用户双击光盘时自动运行某个程序而不打开光盘。这个文件不仅仅可用于光盘，包括本地硬盘、移动硬盘、U盘、MP3等移动存储设备都可以通过autorun.inf来运行某个程序。入侵者编写一个指向木马的autorun.inf，然后放到A电脑任意一个磁盘分区下，例如E盘，那么一旦A电脑的用户双击了E盘，木马就被运行了。这也往往是造成重装系统后病毒仍无法根治的原因，装系统一般人都是只格式化系统盘，而病毒或木马在其它盘里，所以就算重装了系统，一旦双击了有autorun.inf的磁盘分区，恭喜……你又中毒了……经验：发现网速有拖慢的情况时，打开“我的电脑”，在每个磁盘分区上点右键，看有没有出现“自动播放”或“Auto”的字样。如果有，那么就是中毒了。添加或替换服务，服务是从NT内核的系统开始出现的东西，通俗的理解就是系统正常运行所必须的后台程序。服务在进入系统前就会自动运行，用来运行木马是非常好的选择。打个比方，系统就像一个大企业的运作，幕后有很多重要人物，董事长、CEO等等，这些人相当于电脑的“服务”，其底下的员工就相当于电脑里后来装的那些软件，随时可以去掉的，对整体运作没有影响。添加服务就相当于在这个大企业的管理层硬加进去一个人，这个人，就是木马。而替换服务就是把这个大企业的管理层中不是非常重要的人干掉一个，将自身伪装成这个人，也能够起到自动运行的作用。经验：定期检查“服务”里面有没有可疑服务，这个需要长期的经验积累，新手不要随便更改服务设置。伪装成驱动是今年刚出现的技术，大家应该都知道电脑的硬件和软件能够很好的协调运作都是靠良好的驱动程序来完成。这些驱动程序都会在系统启动之前加载完成，XP开机画面那时候就是在加载硬件驱动程序。所以将木马伪装成驱动来运行是最高级的技术，一般以DLL或SYS为扩展名，难以清除。经验：这种情况一般难以预防，但使用这个技术放马的人的很少，发现驱动类病毒清除很麻烦，不如重装系统来的方便。木马中的盗号木马就是专门用来盗取账号的木马。传播方式与上面几种类似。常见的有啊拉QQ大盗，落雪等等。这类木马有一部分已经有了真正的病毒特征，例如感染大面积文件等等。前面说的远程控制类木马，仅仅有一个或3~5个文件组成，木马的运作也仅仅靠这几个文件。而盗号木马有很大一部分已经向感染其他文件的方向发展。例如早期的盗传奇账号的木马“落雪”，虽然不是纯粹的感染，但它的感染意识对今后的木马病毒发展起了很大的影响。落雪的工作方式是改变电脑内EXE文件的关联方式，使得用户一旦运行任何EXE文件都会同时运行木马。而后来的熊猫烧香是通过将自身写入EXE文件内部，以达到使用户运行EXE文件都会执行熊猫的作用。注意，熊猫烧香本身不是木马，它是蠕虫病毒，它的感染功能已具备自主破坏的特征。而熊猫烧香运行后会自动下载多种盗号木马，这些木马与熊猫烧香本身没有关系。所以熊猫烧香本身不属于木马。以上是入侵方式传播木马，是主动式传播。（熊猫烧香只是和落雪起对比作用，不属于入侵传播。）还有一种传播方式叫“挂马”，是被动传播，也就是愿者上钩。某人想要多几台“肉鸡”（就是没任何保护可以任意蹂躏的电脑）玩玩，他就会在某个网站上挂接一个木马，这个木马在你打开这个网页的时候就会偷偷下载到你的电脑里并运行，可以说防不胜防，这个想要防御只能用好一点的浏览器再加上一些辅助工具，例如卡卡助手和360安全卫士。如果病毒比较新，卡卡和360都无法抵御，那么就只能靠细心了，在打开网页时发现速度慢，鼠标连续出现小沙漏而不是一直出现（读取网页较慢时应该是一直在读取，沙漏是一直存在。而网页挂马一般都有好几个木马同时挂着，所以一旦偷偷运行也是一个个运行，沙漏会读取一会就恢复正常然后再读取一会。）这时就该关掉网页进行杀毒了……现在的木马有很多保护技术，最常见的是两个或多个进程相互检测的技术。例如一个木马的主体文件是1.exe，而往往它还有2.exe和3.exe甚至4.exe来辅助2.exe和3.exe还有4.exe都是用来检测1.exe是否在运行中，如果用户强制结束或删除掉1.exe，那么2.exe和3.exe还有4.exe就会重新生成一个1.exe并运行，同样，2.exe和3.exe和4.exe之间也有保护，无论某一个被结束或删除，都会重新生成并运行，这样互相保护使得手动清除病毒成为妄想，只能借助杀毒软件。说到木马技术不得不说到反弹式木马和ASP木马。最初的木马是直连式，典型的是冰河等老牌木马。也就是B入侵A，要下载A电脑的某个文件，在木马已经成功运行的情况下，在本机B发送指令，由A接受并顺利下载。防火墙的出现使直连式木马失去作用，这就产生了反弹式木马。反弹式就是B入侵A，要下载A电脑的某个文件，在木马已经成功运行的情况下，在本机B发送一条指令，再由A返回一个指令，以A主动把文件传给B的方式实现。用个拟人的比喻来理解：A被B抢劫，B不许A有任何行动，B直接伸手掏出A的钱包。这是直连式木马。A被B抢劫，B迷惑A，让A主动交出钱包给B。这是反弹式木马。ASP木马是一种网页木马，一般用于入侵网站，下面会说到。以上是木马病毒感染个人电脑的情况，下面说说入侵网站。入侵网站的前几个步骤和入侵个人电脑的差不多，也是先扫描后空连再提权。但网站往往都有防火墙，空连接大多都无法连接。黑客的智慧是无限的，操作系统上做不了文章，就在网站系统上下功夫吧。一般入侵网站流程是：1 数据库类型和漏洞检测2 检测到漏洞后，在有漏洞的连接上注入代码。（注入就像医生给你打针，只不过给你打了个病毒而已。）注入代码无破坏性，仅仅是为了撕开漏洞好为下一步做准备。3 检测数据库表单（包括管理员账户和密码。）4 检测网站后台登陆地址。（到了这一步，你的网站已经基本是被别人掌握了。有个很笨但很有效的防御方法：把网站后台删了。）5 用管理员登入网站后台，想干什么就干什么了……如果对方没有后台，没有关系，还有别的方法。大多数BBS都有上传附件功能，利用这个功能的漏洞，可以上传木马。木马一旦上传成功，就会利用“计划任务”启动（网站服务器是不会关闭“计划任务”的。）。那时，操纵对方服务器就和操纵自己电脑一样了……对付网站一般都用ASP或PHP木马，很少用EXE木马，因为网站服务器的端口管理比较严格，EXE木马与网络通信的端口很容易被服务器管理员发现。而ASP木马是通过浏览器来访问，占用的是http的80端口，有很强的隐蔽性。这个只需要了解就行了……不要指望网站都那么容易入侵……得到网站的后台或通过木马操纵服务器后。可以修改对方的网页了吧？那么就可以挂马了。最常用的就是HTML的IFRAME标记，插入一个窗口，这个窗口高和宽都为0，浏览时根本看不出和原来有什么区别。这个窗口里代码的具体内容就是将木马病毒下载到任何一个打开该网页的电脑里的某个位置并运行。这就是挂马……差不多就这些……也许还有不到位的地方，因为木马的散播和防御完全是一个斗智的过程，所涵盖的知识面太广，要全都整合来说实在无法面面俱到，但要是详细摊开来说又要牵涉好多知识面……先写这么多，不懂的就跟帖吧……YULIANGMAX 原创版权所有 转载注明