黑客常用入侵工具

7.1 扫描工具

黑客都是通过扫描系统漏洞再进行入侵的，第2章中已经介绍了漏洞的概念和扫描漏洞的一些工具软件。下面继续介绍一些常用的黑客扫描工具的使用和防御方法，帮助用户更好地进行扫描操作和反侦查操作。

7.1.1 SSS扫描与防御

SSS(Shadow Security Scaner)是一款著名的系统漏洞扫描器，可以对大范围内的系统漏洞进行安全、高效、可靠的安全检测。

【例7-1】使用SSS扫描器进行系统扫描与安全检查。

启动SSS扫描器，

单击工具栏上的New

Scan Session(新建扫描)按钮，打开New Session对话框。

在New Session对话框中可以设置相关的扫描选项，用户可以使用SSS扫描器预设扫描规则，也可以单击Add rule(新增规则)按钮，打

开Policies(

规则)

对话框，设置新增扫描规则。通常情况下，使用SSS扫描器默认的扫描规则即可。

选中New

Seeion对话框中的Complete

完全扫描)

选项，单击Next

按钮。

继续单击Next按钮。

单击Add Host(添加主机)按钮，打开Add 对话框，在Host Name(主机名称)下拉列表

中输入主机名称，例如test，然后单击Add(添加)

单击Add IP Zone(添加IP字段)按钮，打Add IP Zone对话框，在Starting IP(起始IP)

Ending IP(

结束IP)

文本框中分别输入起始IP

IP地址，然后单击Add按钮。

单击

Done(

完成

)按钮，即可进行扫描。

使用SSS扫描器还可以进行DoS安全检测，单击左侧列表框中的DoS Checker(DoS检测)按钮，打开New DoS Checks对话框。

在New DoS Checks框中可以选择要检测的DoS项，例如选中Buffer Overflows项，在右侧Info(信息)中会显示Default Port(s)(默认端口)和Supported(支持协议)。

单击Next按钮，在打开对话框的文本框中输入IP地址，在Threads(线程)条中可以设置线程数量，设置完成后单击按钮。

104

单击Start按钮，即可开始检测DoS。

7.1.2 Windows系统安全检测器

MBSA(Microsoft

Baseline

Security

Analyzer)是Microsoft基准安全分析器，它允许用户扫描一台或多台基于Windows操作系统的计算机，以发现常见的安全方面的配置错误，并检查操作系统和已安装的其他组件(例如Internet Information Services(IIS)和SQL

Server)，以发现安全方面的配置错误，并及时

通过推荐的安全更新进行修补。

【例7-2】使用MBSA进行系统安全检查。

启动MBSA，在左侧列表框中单击

Welcome(欢迎)链接，在右侧的窗格中可以指定扫描的计算机和扫描选项。

在右侧窗格中单击Scan a computer(扫描计算机

)

链接。

默认情况下在Computer Name(计算机名

称)下拉列表中选择的是本地计算机，在IP address(IP地址)下拉列表中可以输入其他计算机的IP地址，在Security report name(安全报告名称)文本框中可以输入安全检测报告名称，在Options(选项)选项区域中可以选中相应的复选框，选择检测选项。

单击Start Scan按钮，即可开始扫描计算机。

扫描完毕后，会显示扫描报告.

在左侧的列表框中单击Pick multiple

选择多台计算机扫描)链接，在IP address range(IP地址范围)下拉IP地址段，然后设置其他选项后，Start Scan按钮，即可开始扫描IP地址段内

在左侧列表框中单击Pick a security

to view(查看安全报告)链接，可以打开扫在Sort order(排序)下拉列表中可以

105

7.1.3 流光扫描器

流光是一款集成了网络扫描、NT/IIS工具、MSSQL工具和字典工具等功能的扫描软件。

【例7-3】使用流光扫描器扫描目标计算机。

启动流光扫描器，选择【文件】|【高级扫描向导】命令，打开【设置】对话框。

在【起始地址】和【结束地址】文本框中输入扫描的IP

地址段，在【检测项目】列表框中选中要检测的选项所对应的复选框，然后单

击【下一步】按钮，打开PORTS

对话框。

在PORTS对话框中可以选择标准端口

106

扫描或自定义端口扫描范围，一般建议选择标准端口扫描，然后单击【下一步】按钮，打开POP3

对话框。

在POP3对话框中可以设置POP选项，一般建议选中【获取

POP3版本信息】和【尝试

猜解用户】复选框，然后单击【下一步】按钮，

打开

FTP对话框。

在FTP对话框中可以设置FTP选项，一般建议选中所有选项复选框，然后单击【下一步】

按钮，打开SMTP对话框。

在SMTP

对话框中可以设置SMTP

选项，建议选中【

EXPN/VRFY扫描】复选框，然后单击【下一步】按钮，打开IMAP对话框。

在IMAP对话框中可以设置IMAP选项，建议选中【尝试猜解用户帐号】复选框，然后单击【下一步】按钮，打开

TELNET对话框。

在

TELNET

对话框中可以设置是否使用

SunOS

Login

远程溢出功能，建议选中【

SunOS

Login

远程溢出】复选框，然后单击【下一步】按钮，打开CGI对话框。

在CGI对话框中可以为不同的操作系统

设置所需的CGI选项，选中【只有HTTP 200/502有效】复选框，然后单击【下一步】按钮，打开CGI Rules对话框。

在CGI Rules对话框中针对不同的操作系统可以选择不同的CGI规则，然后单击【下一步】按钮，打开SQL对话框。

在SQL对话框中可以进行密码设置，选中【尝试通过漏洞获取密码】和【对SA密码进行猜解】复选框，然后单击【下一步】按钮，打开IPC对话框。

在IPC对话框中可以设置针对漏洞进行攻击的IPC选项，建议选中所有复选框，然后单击【下一步】按钮，打开IIS对话框。

在IIS对话框中，可以设置针对网页页面和代码漏洞的IIS选项，建议选中所有复选框，然后单击【下一步】按钮，

打开FINGER对话框。

在

FINGER对话框，取消选中所有复选

框，然后单击【下一步】按钮，打开RPC

对

话框。

在RPC对话框中，选中【扫描RPC服

务】复选框，然后单击【下一步】按钮，打开

107

然后单击【开始】按钮，即可开始扫描。

扫描完成后，选择【文件】|【探测历史记录】|【探测历史记录】命令，打开【所有探测的密码】对话框，可以查看扫描到的计算机用户名、密码、IP地址等信息。

此时在扫描过程中，会显示一个【探测结果】对话框，显示了扫描到的计算机信息，包括计算机的IP地址和对应开放的端口号。

7.2 数据拦截工具——IRIS

数据拦截工具又称网络嗅探器，是一种监视和收集网络中各种数据信息的软件，利用它通过网卡可以随意对网络中的信息进行查看、监视以及截获，是黑客最得力的信息收集工具。

IRIS(Iris Network Traffic Analyzer)嗅探器可以捕获和查看目标计算机使用网络的情况，可以从进入和发出的信息中查看和统计数据。

【例7-4】使用IRIS嗅探器捕获和查看目标计算机使用情况。

教学视频

源文件

启动IRIS嗅探器，第一次运行该软件时，会打开【设置】对话框，需要手动指定监听的网卡。

在左侧的列表框中选中Adapters(适配器)选项，在右侧的窗格中选中监听网卡。

选择Tools(工具)|Settings(设置)命令，打开Settings(设置)对话框。

108

在左侧的列表框中选择Capture(捕获)选项，在右侧的窗格中设置有关捕获数据包的选项，包括捕获动作(Operation)、使用地址簿(Use Address Book)的选项。

在左侧的列表框中选择Decode(解码)选项，在右侧的窗格中设置有关数据解码的选项，包括DNS反向查找(DNS Reverse Lookup)、解码UDP数据包(Decode UDP datagrams)、HTML查看器选项(HTML Viewer)等选项。

在左侧的列表框中选择Guard(防护)选项，在右侧的窗格中可以设置报警(Enable alarm

sour)和日志(Log to fi)等选项。

在左侧的列表框选择Miscellaneouse(杂项)选项，在右侧的窗格中可以设置内存(Memory)的使用和CPU负载保护(Enable CPU overload protection)等选项。

设置完成后，单击【确定】按钮。

选择Tools|Schedules(计划安排)命令，打Schedules对话框，单击New(新建)按钮，新

在右侧的窗格中单击相应的方块即可变按钮，即可开始扫描。

109

7.3 反弹木马与反间谍软件

反弹木马利用被控端主机主动连接主控端，可以穿过防火墙，隐藏性非常强，因此受到许多黑客的青睐，下面介绍有关反弹木马和反间谍软件的应用。

7.3.1 “网络神偷”反弹木马

“网络神偷”是利用反弹端口技术使被控端与主控端自动连接，从而避开防火墙的拦截，甚至可以从一个局域网连接到另一个局域网，并且可以远程控制目标主机。

【例7-5】使用“网络神偷”实现对目标计算机的控制。

启动“网络神偷”应用程序，单击

【下一步】按钮，在对话框中选择支持的方式，这

里选择【临时支持方式】

，然后单击【下一步】按钮，可以查看有关临时支持方式使用的提示性说明内容。

端口，一般推荐使用默认端口。

单击【下一步】按钮，显示向导设置信息，单击【完成】按钮。

择被控端软件的版本】下拉列表中选择生成的被

控端软件版本，然后单击【开始生成】按钮。

单击【确定】按钮，生成被控端程序。

可以首先在本机运行生成的被控端程

序，查看效果，例如单击工具栏上的【进行远程管理】按钮

，打开【远程进程管理】窗口，

选中要结束的进程，然后单击【结束进程】按钮

即可。

在远程计算机中运行被控程序后，即可

在主控端看到被控端计算机的相关信息并进行控制操作。

7.3.2 “间谍克星”反间谍软件

“间谍克星”(Spybot-Search & Destroy)是专门用来清理间谍程序的工具。一些间谍程序随着共享软件安装到计算机中，可以监视间谍程序的运行，并对系统中的一千多种病毒进行免疫处理，可以说是杀毒软件的一个强有力的补充。

【例7-6】使用Spybot-Search&Destroy检查并消除间谍软件。

启动Spybot-Search&Destroy，在左侧的列表框中选择【检测与修复】选项，在右侧

的窗格中单击【检测】按钮，开始检查系统。

检查完毕后，显示检测到的可疑软件，

选中某个可疑软件，可以查看该软件的相关信息，例如威胁类型、描述等。

选中所需修复的项目，单击【修复】按

钮，即可修复选中项。

如果要还原修复的项目，可以在左侧的列表框中选中【还原】选项，在右侧的窗格中单击【还原】按钮还原项目。

单击【删除】按钮，可以删除所选项。 在左侧的列表框中选中【免疫】选项，自动扫描系统，检查当前系统的免疫情况。

单击【免疫】按钮，可以获得永久性免从而有效地阻止间谍软件和广告程序的

选择【模式】

|【高级模式】命令，可以用户可以根据

111

7.4 系统监控与网站漏洞攻防

每一个系统或网站都会存在一些安全漏洞，用户学习一些黑客攻防知识，可以尽可能保证系统和网站的安全性。

7.4.1 Real Spy Monitor监视器

Real Spy Monitor是一个监测互联网和个人电脑以保障其安全的软件。包括键盘敲击、网页站点、视窗开关、程序执行、屏幕扫描以及文件的出入等都是其监控的对象。网络的监视可以记录的不只是网页的浏览，包含AOL、ICQ、MSN、AIM、Yahoo Messenger等实时通信的软件，都可以留下记录。此外，还有直接在网页上使用邮件系统的Web Mail内容，包含MSN

和Hotmail等，都可以详细地记录所

有资料。

【例7-7】使用Real Spy Monitor监控系统。

启动Real Spy Monitor，单击Hotkey Choice图标，打开Configuration对话框。

在Select your hotkey patten选择弹出热键。

112

单击Real Spy Monitor主界面右上角的Start Monitor按钮，在弹出的对话框中输入设置密码。

单击主界面中的

PC Activity

按钮，打开

Report对话框，在对话框上方选中要监控的对象，例如Windows系统，然后单击Find按钮可以扫描Windows系统。

7.4.2 FSO漏洞攻防

在ASP中，FSO的意思是File System Object，即文件系统对象。我们将要操纵的计算机文件系统，在这里是指位于web服务器之上。所以，确认你对此拥有合适的权限。理想情况下，你可以在自己的机器上建立一个web服务器，这样就能方便地进行测试。

FSO可以检测并显示系统驱动器的信息分配情况，还可以创建、更改、移动和删除文件夹，并探测一些给定的文件夹是否存在，如果存在，提取出该文件夹的信息，例如名称、创建或最后一次修改的日期等。

海阳顶端网ASP木马——xpnet.asp就是利用FSO漏洞攻击目标网站的，它能够实现查看目标主机驱动器信息，并进行相关文件操作的功能。

【例7-8】使用海阳顶端网ASP木马攻击。

教学视频

源文件

将海阳顶端网ASP木马xpnet.asp上传到ASP网站的某一个目录下，例如http://127.0. 0.1:81/asp/xpnet.asp(xpnet.asp为木马文件名)。

执行nc –vv 127.0.0.1 81>xpnet.asp命令，创建连接。

执行Get/asp/xpnet.asp?id=edit&path=/

asp/xpnet.asp&attrib-HTTP/1.1 Host:127.0.0.1:81 Cookie:password=allen命令，进入xpnet.asp木马所在的ASP网站目录。

用户可以将网站所在驱动器的访问权限设置为Guest和【lusR_计算机名】组权限，并且删除everyone组，然后添加访问用户。对虚拟主机的访问权限也进行同样的设置，使只具有访问权限的用户登录并访问限定的内容。

7.4.3 网站数据库漏洞攻防

在动态网站中，数据库文件保存着网站的重要信息，包括管理员用户名和密码等，如果被黑客利用管理员身份登录网站并控制目标计算机，造成的后果无法想象，所以数据库文件必须加以保护。

如果数据库文件保留默认的后缀mdb或113

的保存路径和链接路径，则很可能已经被黑客攻击，从而给网站埋下了安全隐患。

1. 使用搜索引擎搜索数据库

如果网站使用的编程程序是ASP，则在调用数据库时，需要用到+server.mappath语句设定数据库位置，使用conn.open语句与数据库建立连接。

现在很多大型搜索引擎可以搜索在本搜索引擎注册的网页，所以黑客可以通过搜索server.mappath关键词找到网站数据库的位置。由于许多网站的数据库文件使用的是mdb默认后缀，黑客也可以通过搜索.mad关键词找到数据库。

搜索到数据库链接地址后，可以使用IE浏览器下载数据库文件到本地计算机上，打开数据库文件可以查看网站管理员的用户名和登录密码。

2. 使用软件搜索数据库

使用黑客软件可以在网站生成特定路径。这样的路径使用搜索引擎很难直接搜索到，可以使用软件进行扫描来获取敏感信息或114

在【扫描模式】下拉列表中选中【精确扫描】选项，设置扫描模式。

单击【开始】按钮开始扫描，双击某个扫描结果中某个数据库链接，可以下载数据库文件。使用数据库浏览工具打开数据库文件后，可以得到管理员用户名和密码。

3. 网站数据库安全防范措施

采取以下措施可以有效提高网站数据库的安全性。

修改数据库文件后缀为.asp，从而避免网页浏览器的浏览和下载。

件，删除搜索到的程序名称文字。

网站前台不要包含程序的名称，通常情况下，网站程序员只会要求在网站后台包含程序名称。

修改数据库文件链接路径。

检查网站设计是否完善，数据库链接是否安全。

删除前台的程序名称，只需使用记事本打开网站的index.html等首页文

7.5 高手解答

问：如何有效防范在浏览网页时感染木马或病毒程序？

答：网页木马和病毒是经常用户遇到的，在平时浏览网页时，要注意以下几点。

1. 不要轻易运行来历不明和从网上下载的软件。即使通过了一般反病毒软件的检查也不要轻易运行。对于此类软件，要用如Cleaner、Sudo99等专门的黑客程序清除软件检查。

2. 保持警惕性，不要轻易相信熟人发来的E-mail就一定没有黑客程序，如Happy99就会自动加在E-mail附件当中。

3. 不要在聊天室内公开你的E-mail地址，对来历不明的E-mail应立即清除。 4. 不要随便下载软件(特别是不可靠的FTP站点)。 5. 不要将重要口令和资料存放在上网的电脑里。

6. 不管是病毒程序还是黑客程序首先都要骗你在自己的机器上运行它，所以对来历不明的软件不要轻易尝试，并且定期用不同版本的杀毒软件杀毒。

7. 设置安全级别，关掉Cookies。Cookies是在浏览过程中被有些网站往硬盘写入的一些数据，它们记录下用户的特定信息，因而当用户回到这个页面上时，这些信息(称作状态信息)就可以被重新利用。

8. 可将电子邮件内容加密，用加了密码的zip文件做附件就是一个很好的办法。

9. 一旦电脑被人操纵，上网时会出现很多奇怪的现象，比如突然出现蓝屏然后死机；CD-ROM莫名其妙地自己弹出；鼠标左右键功能颠倒或者失灵；文件被删除等。最好查一下注册表下的 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version□cRun(或RunServices)选项，下面有没有类似netspy.exe、空格.exe或其他可疑的文件名。如果有，就需要删除相应的键值，再删除相应的程序。

115

7.1 扫描工具

黑客都是通过扫描系统漏洞再进行入侵的，第2章中已经介绍了漏洞的概念和扫描漏洞的一些工具软件。下面继续介绍一些常用的黑客扫描工具的使用和防御方法，帮助用户更好地进行扫描操作和反侦查操作。

7.1.1 SSS扫描与防御

SSS(Shadow Security Scaner)是一款著名的系统漏洞扫描器，可以对大范围内的系统漏洞进行安全、高效、可靠的安全检测。

【例7-1】使用SSS扫描器进行系统扫描与安全检查。

启动SSS扫描器，

单击工具栏上的New

Scan Session(新建扫描)按钮，打开New Session对话框。

在New Session对话框中可以设置相关的扫描选项，用户可以使用SSS扫描器预设扫描规则，也可以单击Add rule(新增规则)按钮，打

开Policies(

规则)

对话框，设置新增扫描规则。通常情况下，使用SSS扫描器默认的扫描规则即可。

选中New

Seeion对话框中的Complete

完全扫描)

选项，单击Next

按钮。

继续单击Next按钮。

单击Add Host(添加主机)按钮，打开Add 对话框，在Host Name(主机名称)下拉列表

中输入主机名称，例如test，然后单击Add(添加)

单击Add IP Zone(添加IP字段)按钮，打Add IP Zone对话框，在Starting IP(起始IP)

Ending IP(

结束IP)

文本框中分别输入起始IP

IP地址，然后单击Add按钮。

单击

Done(

完成

)按钮，即可进行扫描。

使用SSS扫描器还可以进行DoS安全检测，单击左侧列表框中的DoS Checker(DoS检测)按钮，打开New DoS Checks对话框。

在New DoS Checks框中可以选择要检测的DoS项，例如选中Buffer Overflows项，在右侧Info(信息)中会显示Default Port(s)(默认端口)和Supported(支持协议)。

单击Next按钮，在打开对话框的文本框中输入IP地址，在Threads(线程)条中可以设置线程数量，设置完成后单击按钮。

104

单击Start按钮，即可开始检测DoS。

7.1.2 Windows系统安全检测器

MBSA(Microsoft

Baseline

Security

Analyzer)是Microsoft基准安全分析器，它允许用户扫描一台或多台基于Windows操作系统的计算机，以发现常见的安全方面的配置错误，并检查操作系统和已安装的其他组件(例如Internet Information Services(IIS)和SQL

Server)，以发现安全方面的配置错误，并及时

通过推荐的安全更新进行修补。

【例7-2】使用MBSA进行系统安全检查。

启动MBSA，在左侧列表框中单击

Welcome(欢迎)链接，在右侧的窗格中可以指定扫描的计算机和扫描选项。

在右侧窗格中单击Scan a computer(扫描计算机

)

链接。

默认情况下在Computer Name(计算机名

称)下拉列表中选择的是本地计算机，在IP address(IP地址)下拉列表中可以输入其他计算机的IP地址，在Security report name(安全报告名称)文本框中可以输入安全检测报告名称，在Options(选项)选项区域中可以选中相应的复选框，选择检测选项。

单击Start Scan按钮，即可开始扫描计算机。

扫描完毕后，会显示扫描报告.

在左侧的列表框中单击Pick multiple

选择多台计算机扫描)链接，在IP address range(IP地址范围)下拉IP地址段，然后设置其他选项后，Start Scan按钮，即可开始扫描IP地址段内

在左侧列表框中单击Pick a security

to view(查看安全报告)链接，可以打开扫在Sort order(排序)下拉列表中可以

105

7.1.3 流光扫描器

流光是一款集成了网络扫描、NT/IIS工具、MSSQL工具和字典工具等功能的扫描软件。

【例7-3】使用流光扫描器扫描目标计算机。

启动流光扫描器，选择【文件】|【高级扫描向导】命令，打开【设置】对话框。

在【起始地址】和【结束地址】文本框中输入扫描的IP

地址段，在【检测项目】列表框中选中要检测的选项所对应的复选框，然后单

击【下一步】按钮，打开PORTS

对话框。

在PORTS对话框中可以选择标准端口

106

扫描或自定义端口扫描范围，一般建议选择标准端口扫描，然后单击【下一步】按钮，打开POP3

对话框。

在POP3对话框中可以设置POP选项，一般建议选中【获取

POP3版本信息】和【尝试

猜解用户】复选框，然后单击【下一步】按钮，

打开

FTP对话框。

在FTP对话框中可以设置FTP选项，一般建议选中所有选项复选框，然后单击【下一步】

按钮，打开SMTP对话框。

在SMTP

对话框中可以设置SMTP

选项，建议选中【

EXPN/VRFY扫描】复选框，然后单击【下一步】按钮，打开IMAP对话框。

在IMAP对话框中可以设置IMAP选项，建议选中【尝试猜解用户帐号】复选框，然后单击【下一步】按钮，打开

TELNET对话框。

在

TELNET

对话框中可以设置是否使用

SunOS

Login

远程溢出功能，建议选中【

SunOS

Login

远程溢出】复选框，然后单击【下一步】按钮，打开CGI对话框。

在CGI对话框中可以为不同的操作系统

设置所需的CGI选项，选中【只有HTTP 200/502有效】复选框，然后单击【下一步】按钮，打开CGI Rules对话框。

在CGI Rules对话框中针对不同的操作系统可以选择不同的CGI规则，然后单击【下一步】按钮，打开SQL对话框。

在SQL对话框中可以进行密码设置，选中【尝试通过漏洞获取密码】和【对SA密码进行猜解】复选框，然后单击【下一步】按钮，打开IPC对话框。

在IPC对话框中可以设置针对漏洞进行攻击的IPC选项，建议选中所有复选框，然后单击【下一步】按钮，打开IIS对话框。

在IIS对话框中，可以设置针对网页页面和代码漏洞的IIS选项，建议选中所有复选框，然后单击【下一步】按钮，

打开FINGER对话框。

在

FINGER对话框，取消选中所有复选

框，然后单击【下一步】按钮，打开RPC

对

话框。

在RPC对话框中，选中【扫描RPC服

务】复选框，然后单击【下一步】按钮，打开

107

然后单击【开始】按钮，即可开始扫描。

扫描完成后，选择【文件】|【探测历史记录】|【探测历史记录】命令，打开【所有探测的密码】对话框，可以查看扫描到的计算机用户名、密码、IP地址等信息。

此时在扫描过程中，会显示一个【探测结果】对话框，显示了扫描到的计算机信息，包括计算机的IP地址和对应开放的端口号。

7.2 数据拦截工具——IRIS

数据拦截工具又称网络嗅探器，是一种监视和收集网络中各种数据信息的软件，利用它通过网卡可以随意对网络中的信息进行查看、监视以及截获，是黑客最得力的信息收集工具。

IRIS(Iris Network Traffic Analyzer)嗅探器可以捕获和查看目标计算机使用网络的情况，可以从进入和发出的信息中查看和统计数据。

【例7-4】使用IRIS嗅探器捕获和查看目标计算机使用情况。

教学视频

源文件

启动IRIS嗅探器，第一次运行该软件时，会打开【设置】对话框，需要手动指定监听的网卡。

在左侧的列表框中选中Adapters(适配器)选项，在右侧的窗格中选中监听网卡。

选择Tools(工具)|Settings(设置)命令，打开Settings(设置)对话框。

108

在左侧的列表框中选择Capture(捕获)选项，在右侧的窗格中设置有关捕获数据包的选项，包括捕获动作(Operation)、使用地址簿(Use Address Book)的选项。

在左侧的列表框中选择Decode(解码)选项，在右侧的窗格中设置有关数据解码的选项，包括DNS反向查找(DNS Reverse Lookup)、解码UDP数据包(Decode UDP datagrams)、HTML查看器选项(HTML Viewer)等选项。

在左侧的列表框中选择Guard(防护)选项，在右侧的窗格中可以设置报警(Enable alarm

sour)和日志(Log to fi)等选项。

在左侧的列表框选择Miscellaneouse(杂项)选项，在右侧的窗格中可以设置内存(Memory)的使用和CPU负载保护(Enable CPU overload protection)等选项。

设置完成后，单击【确定】按钮。

选择Tools|Schedules(计划安排)命令，打Schedules对话框，单击New(新建)按钮，新

在右侧的窗格中单击相应的方块即可变按钮，即可开始扫描。

109

7.3 反弹木马与反间谍软件

反弹木马利用被控端主机主动连接主控端，可以穿过防火墙，隐藏性非常强，因此受到许多黑客的青睐，下面介绍有关反弹木马和反间谍软件的应用。

7.3.1 “网络神偷”反弹木马

“网络神偷”是利用反弹端口技术使被控端与主控端自动连接，从而避开防火墙的拦截，甚至可以从一个局域网连接到另一个局域网，并且可以远程控制目标主机。

【例7-5】使用“网络神偷”实现对目标计算机的控制。

启动“网络神偷”应用程序，单击

【下一步】按钮，在对话框中选择支持的方式，这

里选择【临时支持方式】

，然后单击【下一步】按钮，可以查看有关临时支持方式使用的提示性说明内容。

端口，一般推荐使用默认端口。

单击【下一步】按钮，显示向导设置信息，单击【完成】按钮。

择被控端软件的版本】下拉列表中选择生成的被

控端软件版本，然后单击【开始生成】按钮。

单击【确定】按钮，生成被控端程序。

可以首先在本机运行生成的被控端程

序，查看效果，例如单击工具栏上的【进行远程管理】按钮

，打开【远程进程管理】窗口，

选中要结束的进程，然后单击【结束进程】按钮

即可。

在远程计算机中运行被控程序后，即可

在主控端看到被控端计算机的相关信息并进行控制操作。

7.3.2 “间谍克星”反间谍软件

“间谍克星”(Spybot-Search & Destroy)是专门用来清理间谍程序的工具。一些间谍程序随着共享软件安装到计算机中，可以监视间谍程序的运行，并对系统中的一千多种病毒进行免疫处理，可以说是杀毒软件的一个强有力的补充。

【例7-6】使用Spybot-Search&Destroy检查并消除间谍软件。

启动Spybot-Search&Destroy，在左侧的列表框中选择【检测与修复】选项，在右侧

的窗格中单击【检测】按钮，开始检查系统。

检查完毕后，显示检测到的可疑软件，

选中某个可疑软件，可以查看该软件的相关信息，例如威胁类型、描述等。

选中所需修复的项目，单击【修复】按

钮，即可修复选中项。

如果要还原修复的项目，可以在左侧的列表框中选中【还原】选项，在右侧的窗格中单击【还原】按钮还原项目。

单击【删除】按钮，可以删除所选项。 在左侧的列表框中选中【免疫】选项，自动扫描系统，检查当前系统的免疫情况。

单击【免疫】按钮，可以获得永久性免从而有效地阻止间谍软件和广告程序的

选择【模式】

|【高级模式】命令，可以用户可以根据

111

7.4 系统监控与网站漏洞攻防

每一个系统或网站都会存在一些安全漏洞，用户学习一些黑客攻防知识，可以尽可能保证系统和网站的安全性。

7.4.1 Real Spy Monitor监视器

Real Spy Monitor是一个监测互联网和个人电脑以保障其安全的软件。包括键盘敲击、网页站点、视窗开关、程序执行、屏幕扫描以及文件的出入等都是其监控的对象。网络的监视可以记录的不只是网页的浏览，包含AOL、ICQ、MSN、AIM、Yahoo Messenger等实时通信的软件，都可以留下记录。此外，还有直接在网页上使用邮件系统的Web Mail内容，包含MSN

和Hotmail等，都可以详细地记录所

有资料。

【例7-7】使用Real Spy Monitor监控系统。

启动Real Spy Monitor，单击Hotkey Choice图标，打开Configuration对话框。

在Select your hotkey patten选择弹出热键。

112

单击Real Spy Monitor主界面右上角的Start Monitor按钮，在弹出的对话框中输入设置密码。

单击主界面中的

PC Activity

按钮，打开

Report对话框，在对话框上方选中要监控的对象，例如Windows系统，然后单击Find按钮可以扫描Windows系统。

7.4.2 FSO漏洞攻防

在ASP中，FSO的意思是File System Object，即文件系统对象。我们将要操纵的计算机文件系统，在这里是指位于web服务器之上。所以，确认你对此拥有合适的权限。理想情况下，你可以在自己的机器上建立一个web服务器，这样就能方便地进行测试。

FSO可以检测并显示系统驱动器的信息分配情况，还可以创建、更改、移动和删除文件夹，并探测一些给定的文件夹是否存在，如果存在，提取出该文件夹的信息，例如名称、创建或最后一次修改的日期等。

海阳顶端网ASP木马——xpnet.asp就是利用FSO漏洞攻击目标网站的，它能够实现查看目标主机驱动器信息，并进行相关文件操作的功能。

【例7-8】使用海阳顶端网ASP木马攻击。

教学视频

源文件

将海阳顶端网ASP木马xpnet.asp上传到ASP网站的某一个目录下，例如http://127.0. 0.1:81/asp/xpnet.asp(xpnet.asp为木马文件名)。

执行nc –vv 127.0.0.1 81>xpnet.asp命令，创建连接。

执行Get/asp/xpnet.asp?id=edit&path=/

asp/xpnet.asp&attrib-HTTP/1.1 Host:127.0.0.1:81 Cookie:password=allen命令，进入xpnet.asp木马所在的ASP网站目录。

用户可以将网站所在驱动器的访问权限设置为Guest和【lusR_计算机名】组权限，并且删除everyone组，然后添加访问用户。对虚拟主机的访问权限也进行同样的设置，使只具有访问权限的用户登录并访问限定的内容。

7.4.3 网站数据库漏洞攻防

在动态网站中，数据库文件保存着网站的重要信息，包括管理员用户名和密码等，如果被黑客利用管理员身份登录网站并控制目标计算机，造成的后果无法想象，所以数据库文件必须加以保护。

如果数据库文件保留默认的后缀mdb或113

的保存路径和链接路径，则很可能已经被黑客攻击，从而给网站埋下了安全隐患。

1. 使用搜索引擎搜索数据库

如果网站使用的编程程序是ASP，则在调用数据库时，需要用到+server.mappath语句设定数据库位置，使用conn.open语句与数据库建立连接。

现在很多大型搜索引擎可以搜索在本搜索引擎注册的网页，所以黑客可以通过搜索server.mappath关键词找到网站数据库的位置。由于许多网站的数据库文件使用的是mdb默认后缀，黑客也可以通过搜索.mad关键词找到数据库。

搜索到数据库链接地址后，可以使用IE浏览器下载数据库文件到本地计算机上，打开数据库文件可以查看网站管理员的用户名和登录密码。

2. 使用软件搜索数据库

使用黑客软件可以在网站生成特定路径。这样的路径使用搜索引擎很难直接搜索到，可以使用软件进行扫描来获取敏感信息或114

在【扫描模式】下拉列表中选中【精确扫描】选项，设置扫描模式。

单击【开始】按钮开始扫描，双击某个扫描结果中某个数据库链接，可以下载数据库文件。使用数据库浏览工具打开数据库文件后，可以得到管理员用户名和密码。

3. 网站数据库安全防范措施

采取以下措施可以有效提高网站数据库的安全性。

修改数据库文件后缀为.asp，从而避免网页浏览器的浏览和下载。

件，删除搜索到的程序名称文字。

网站前台不要包含程序的名称，通常情况下，网站程序员只会要求在网站后台包含程序名称。

修改数据库文件链接路径。

检查网站设计是否完善，数据库链接是否安全。

删除前台的程序名称，只需使用记事本打开网站的index.html等首页文

7.5 高手解答

问：如何有效防范在浏览网页时感染木马或病毒程序？

答：网页木马和病毒是经常用户遇到的，在平时浏览网页时，要注意以下几点。

1. 不要轻易运行来历不明和从网上下载的软件。即使通过了一般反病毒软件的检查也不要轻易运行。对于此类软件，要用如Cleaner、Sudo99等专门的黑客程序清除软件检查。

2. 保持警惕性，不要轻易相信熟人发来的E-mail就一定没有黑客程序，如Happy99就会自动加在E-mail附件当中。

3. 不要在聊天室内公开你的E-mail地址，对来历不明的E-mail应立即清除。 4. 不要随便下载软件(特别是不可靠的FTP站点)。 5. 不要将重要口令和资料存放在上网的电脑里。

6. 不管是病毒程序还是黑客程序首先都要骗你在自己的机器上运行它，所以对来历不明的软件不要轻易尝试，并且定期用不同版本的杀毒软件杀毒。

7. 设置安全级别，关掉Cookies。Cookies是在浏览过程中被有些网站往硬盘写入的一些数据，它们记录下用户的特定信息，因而当用户回到这个页面上时，这些信息(称作状态信息)就可以被重新利用。

8. 可将电子邮件内容加密，用加了密码的zip文件做附件就是一个很好的办法。

9. 一旦电脑被人操纵，上网时会出现很多奇怪的现象，比如突然出现蓝屏然后死机；CD-ROM莫名其妙地自己弹出；鼠标左右键功能颠倒或者失灵；文件被删除等。最好查一下注册表下的 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version□cRun(或RunServices)选项，下面有没有类似netspy.exe、空格.exe或其他可疑的文件名。如果有，就需要删除相应的键值，再删除相应的程序。

115