黑客武器攻防对拼
网络安全
在《隋唐演义》中有18好汉、46友,个个英勇善战。好汉手持兵器各不相同,威力无比。在黑客的世界中,兵器同样重要,好的兵器将使入侵过程事半功倍。而防御兵器则可以将黑客拒之门外。正因为有了这些兵器,才形成了黑客的攻防世界。
擂鼓瓮金锤——X-Scan
攻击力:★★★
特点:扫描项目全面,提供插件接口,扫描完成后生成扫描报告。
在黑客入侵之前,信息刺探是十分必要的。作为信息刺探之最强武器,X-Scan对目标主机的检测大致可分为开放服务检测、弱口令检测、脚本漏洞和信息收集四个部分。如果目标主机有安全缺陷,是很难逃过X-Scan的追捕的。
X-Scan提供了程序插件接口,这是X-Scan的亮点之一。通过插件接口,我们可以根据自身的需要编写插件,将X-Scan打造成属于个人版的全能扫描器。丰富的插件资源使X-Scan仍是目前最流行的漏洞扫描工具。
雌雄双鞭——天网防火墙
防御力:★★★
特点:自定义规则,拦截能力强大,新版自带入侵检测系统。
如果把X-Scan比作一把利刃的话,那么天网防火墙就是一把坚实的盾,阻挡来自黑客的扫描和入侵。
X-Scan可以扫描主机的端口和其他一些漏洞,这些扫描操作都无法避免要经过“端口”这道坎。对于端口的安全防护,这是天网防火墙的强项。
进入天网防火墙主界面,点击 “IP规则管理”,选择“增加规则”。填写规则“名称”和“说明”。在“数据包方向”下拉框中选择“接收”,“对方IP地址”中选择“任何地址”,“数据包协议类型”选择“TCP”,在“本地端口”处填上需要阻止的端口号,最后在“满足上面条件时”选择“拦截”即可。这样黑客就无法在这个端口上进行扫描操作,X-Scan在天网防火墙面前,成了一堆废铜烂铁。
五钩神飞枪——海阳顶瑞ASP木马
攻击力:★★★★
特点:功能强大,黑客提升权限之利器
黑客在入侵网站后,通常会留下一些后门,以便下次再对网站进行操作,这些在网站上留下的后门我们称其为WebShell。
海阳木马按功能分类主要分为信息刺探类和执行类。通过信息刺探类功能我们可以了解服务器的一些基本信息,这和ASP探针程序类似。
此外,我们还可以了解当前服务器上存在的用户和服务等的重要信息。例如在“服务列表”中找到“RsRavMon”服务,就表示服务器上安装的是瑞星杀毒软件,黑客就可以根据这些信息来策划下一步入侵方案。
亮银枪——雷客图ASP站长安全助手
防御力:★★★★
特点:通过危险函数查找ASP木马,准确性高。
ASP木马的危害如此巨大,我们当然不能让其危害我们的网站数据。“雷客图ASP站长安全助手”(已下简称“安全助手”)是一款专业查杀ASP木马的程序,它通过检测ASP文件内部的函数来确定文件是否是病毒,因此在查杀ASP木马方面,它甚至比杀毒软件还要专业。
登录后台页面后,其左侧有相应的功能模块。点击左侧的“查杀ASP木马”模块,在“填入你要检查的路径”中输入“\”,这样就可以检测网站中的所有ASP文件,不过相应的检测时间也会变长。检测完毕后,程序会显示检测结果,有问题的ASP文件将被列举出来,如果存在特别可疑的函数,那么将会以红色字体显示。
梅花亮银锤——啊D注入工具
攻击力:★★★★
特点:自动化的SQL注入检测。
SQL注入可谓是持续时间最长,影响力最大的的一种攻击方式。随着SQL攻击方式的逐渐成熟,各种SQL注入攻击的辅助工具也如雨后春笋般冒了出来。其中不乏经典之作,“啊D注入工具”就是一款经典的注入辅助工具。
在进行SQL注入攻击之前,我们需要对网站的可用注入点进行查找。运行“啊D注入工具”,选择其“扫描注入点”功能,将待检测的网站域名填入“检测网址”文本框中,单击“打开”按钮即可在“啊D注入工具”内置的浏览器中打开该网站,同时完成对该网站可用注入点的检测。
通过SQL注入得到管理员的账号和密码后,接下来要做的就是检测管理入口,这样我们才能登录后台,进行提权操作。检测方法很简单,单击“管理入口检测”,填入网站域名即可。
熟铜棍——SQL通用防注入系统
防御力:★★★★
特点:附加在网站上的防注入系统,随时防止注入攻击。
SQL注入虽然威力强大,但是原理只有一个。要防止SQL注入只要做好相应的字符过滤即可。但是这对于ASP不熟悉的朋友来说有一些难度,因此我们可以使用“SQL通用防注入系统”这套程序来防御SQL注入工具
将“SQL通用防注入系统”上传到网站目录中。上传完毕后用记事本打开Neeao_sql_admin.asp,这是程序的后台管理文件,我们需要对默认的管理密码进行修改,否则会有安全隐患。然后我们在网站中给所有ASP文件的开始部分添加一段代码:“<!--#Include File="Neeao_SqlIn.Asp"-->”(不含引号),只有添加这段代码后,防注入系统才会起作用(图6)。
凤翅镏金镗——网络执法官
攻击力:★★★★★
特点:在局域网中任何一台主机上执行管理员操作。
很多朋友在通过路由器上网的过程中经常会碰到断线、IP冲突等情况。在出现这种情况时,我们往往会联想到是病毒作怪或是路由器的质量问题,而不会想到在某处一只黑手已经伸向了我们。网络执法官就是这只幕后黑手,很有可能它就是造成断线的真正原因。网络执法官的原理是利用ARP欺骗,从而达到使局域网内任一电脑断开网络的效果。
开始工作后,软件会自动检测当前局域网内活动的主机,列出一个主机列表,并在前面显示绿色图标。对于没有正确检测到的活动主机,我们可以点击工具栏上的“添加新用户”按钮,输入欲添加主机的MAC地址即可。如果我们想要局域网中的某一台主机断线,只要在该用户上点右键,选择“手工管理”,对非法用户可选“IP冲突”、“禁止与关键主机的连接”、“禁止所有用户的连接”三种处理方法中任何一项都可以让用户断开与网络的连接。
金钉枣阳槊——Anti ARP Sniffer
防御力:★★★★★
特点:设置简单,帮助找出进行arp欺骗的主机
“网络执法官”对局域网进行监控的原理是利用ARP欺骗,因此只要我们能防止局域网中的ARP欺骗,“网络执法官”就失去了作用。这里我们使用局域网的ARP欺骗防范工具“Anti ARP Sniffer”,在它面前,利用ARP原理进行局域网监控的软件都将失去作用。
镶金锏——MSN Chat Monitor
攻击力:★★★
特点:监控整个局域网的MSN信息,直接显示聊天内容。
IM软件信息安全的脆弱是人尽皆知的。以MSN Messenger为例,由于它在传输信息过程中加密的脆弱性,我们通过一款名为MSN Chat Monitor&Sniffer的工具,就可以监控局域网中所有MSN的聊天记录。
回到MSN Chat Monitor的主界面,单击工具栏上的“Start”按钮开始嗅探。这时如果有人在局域网中使用MSN,那么MSN Chat Monitor将会把别人的聊天内容一五一十地记录下来。
水火囚龙棍——SimpLite
防御力:★★★
特点:使用简单,加密强度高。
虽然MSN Messenger自身不具备信息加密功能,但是我们可以使用一款名为SimpLite的加密软件,它可以对MSN全系列版本的聊天内容进行加密,它提供了2048bit字符串长度加密功能,符合美国国防等级安全要求。
由于SimpLite的加密需要通过MSN(本地)→SimpLite(加密)→SimpLite(解密)→MSN(对方)这样的过程,这也就意味着使用MSN进行聊天的双方必须都安装SimpLite,这样才可以让聊天内容在SimpLite的保护之下。另一方的SimpLite设置方法相同。
在双方都安装完SimpLite,并获取密匙后,就可以正常登录使用MSN。在使用SimpLite后首次登录MSN,SimpLite会对这个对话进行加密,并显示加密进度。加密结束后我们可以在SimpLite主界面中的“已加密”项目下找到当前的MSN对话。
虎头造金枪——啊拉QQ大盗
攻击力:★★★★
特点:两种收信模式,破解QQ“键盘加密技术”。
不少朋友都有QQ被盗的经历。想必那段经历一定十分的惨痛,那么黑客如何将我们的QQ号盗走的呢?其实这都是QQ盗号木马在幕后作祟。其中“啊拉QQ大盗”是被使用得最多的一款QQ盗号木马。
运行alaqq.exe,出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”,在“邮箱收信”填写电子邮箱地址。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接收QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的SMTP服务器,这里是smtp.163.com。最后填入发信箱的账号、密码、全称即可。
紫金降魔杵——糖糖QQ防盗登录器
防御力:★★★★
特点:高强度加密,保证号码安全
“糖糖QQ防盗登录器”是一款QQ登录加密软件,在QQ登录的过程中,密码会经过“糖糖QQ防盗登录器”的HASH加密。密码经过这种加密后,黑客就束手无策了。
“糖糖QQ防盗登录器”的使用十分简单,软件运行后会自动检测QQ的路径,如果没有检测到,可以将QQ主程序直接拖曳到“糖糖QQ防盗登录器”上,同样可以获取路径。
路径设置完成后,点击程序界面上的“添加”按钮,输入QQ号码和密码,登录即可。
丈八蛇矛枪——PcShare2006
攻击力:★★★★★
特点:驱动级隐藏技术,众多杀毒软件“望毒兴叹”。
如今木马后门等恶意程序已经不再热衷于提高自身功能,而是在隐藏自身方面下足功夫,争取永久性地霸占用户的电脑。在各类木马后门中,“PcShare”木马的隐藏技术可谓名列前茅。
运行PcShare2006,单击其工具栏上的“创建客户”按钮。由于PcShare属于反弹连接型木马,因此我们需要先设置反弹连接参数,包括反弹连接的IP地址和端口号,这里可以按需设定。然后我们再来设置木马的隐藏选项,在“客户宿主进程”中我们可以选择插入iexplore.exe或者svchost.exe,进程插入技术将让木马的进程从“任务管理器”中消失。最后别忘了勾选“驱动隐藏”选项,这项功能将让PcShare成为目前最难清除的木马程序,也让一些安全程序失去了作用。
设置完成后单击“完成”按钮即可生成服务端文件。将该服务端文件发送给目标用户,用户中招后会自动连接本机。我们可以在PcShare客户端中对它进行控制。
青龙郾月刀——IceSword
防御力:★★★★★
特点:系统底层技术编写,破解驱动级隐藏。
IceSword中文名为冰刃,是一款功能强大的后门清除工具,由于同样使用了系统最底层的技术编写,因此那些用驱动隐藏的后门程序在其面前暴露无遗。IceSword目前可以查出Windows系统下绝大部分的后门程序,包括PcShare。
IceSword运行后在其界面左侧有相应的检测项目,包括进程检测,端口检测,甚至更高级内核模块检测和SSDT检测等。在进程检测项目中,不仅可以显示普通的进程,还能显示插入其他进程的隐藏进程。
对于PcShare的驱动级隐藏,我们可以使用IceSword的SSDT检测功能,在这里可以找到隐藏的木马驱动。同样,有问题的驱动会以红色的字体显示。