【正文】 網(wǎng)頁惡意代碼一般是修改系統(tǒng)的個人主頁、鎖定注冊表、格式化硬盤、屏蔽鼠標右鍵、彈出窗口以及下載木馬執(zhí)行等。 – 穿透性，因為 IE進程通常是訪問服務器的 80端口，而一般防火墻是不會阻止這個端口的通信的，惡意代碼通過嵌套在網(wǎng)頁的頁面里，可以很輕松的穿透防火墻，直接在目標機器里運行。在通常情況下，很多系統(tǒng)都支持 web中的腳本解釋，這也為腳本程序的執(zhí)行奠定了基礎。 優(yōu)點： ICMP_ECHOREPLY包對防火墻和網(wǎng)關有穿透能力，因為一旦不允許 ICMP_ECHOREPLY報文通過就意味著主機沒有辦法對外進行 ping操作。它是 TCP/IP協(xié)議族 的一個子協(xié)議，用于在 IP主機、 路由 器之間傳遞控制消息 ） 反彈端口 + HTTP隧道技術 使用 ICMP協(xié)議進行數(shù)據(jù)的發(fā)送 由于 ICMP由內(nèi)核或進程直接處理而不需要通過端口。如偽裝成 .dll（ 動鏈庫 ） ， .ocx（控件）等，掛在一個知名的軟件中。例如 WinRAR可實現(xiàn)。一般木馬本身沒有圖標，系統(tǒng)會顯示一個 windows預設的圖標。如把 .exe改變成 .。此外，使用傳統(tǒng)技術的程序會在某端口進行監(jiān)聽，若接收到數(shù)據(jù)就對其進行識別，然后按照識別后的命令在目標計算機上執(zhí)行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計算機等） 攻擊者一般在入侵成功后，將服務端程序拷貝到目標計算機中，并設法使其運行，從而留下后門。 – 服務端：被控端，提供服務，一般會打開一個默認端口進行監(jiān)聽，當偵聽到客戶端的連接請求，便自動運行相應程序。后來我們把進入敵人內(nèi)部攻破防線的手段叫做木馬計，木馬計中使用的里應外合的工具叫做 特洛伊木馬 來源于希臘神話中的特洛伊戰(zhàn)爭 特洛伊木馬 屬于客戶 /服務模式。特洛伊人以為希臘人已走，就把木馬當作是獻給雅典娜的禮物搬入城中。目前的病毒也逐漸融入將一些網(wǎng)絡攻擊的技術，如著名的Nimda 病毒通過電子郵件、共享目錄以及主動攻擊IIS 緩沖區(qū)溢出漏洞等形式達到廣泛傳播的效果。著名的蠕蟲有 1988 年的Morris 蠕蟲、 2022 年的 CodeRed 蠕蟲、 2022 年的 SQL Slammer 蠕蟲和 Blaster 蠕蟲、 2022 年的Sasser 蠕蟲等。 蠕蟲與病毒的區(qū)別 蠕蟲指的是能夠在網(wǎng)絡上 完全地復制自身的獨立可執(zhí)行代碼 。 ? 惡意代碼的分類 – 木馬、 rootkit、病毒、蠕蟲和網(wǎng)頁惡意代碼 Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網(wǎng)絡鏈接等信息，比較多見到的是 Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。屬于被動攻擊。,) password1=replace(trim(request(password)),39。 這里我們就過濾掉其中的單引號? 39。=‘ ‘ 意思是當 admin為空或者空等于空 ， password為空或者空等于空 的時候整個查詢語句就為真。 and password=‘ 39。 OR‘ 39。)。,conn,1 if and then SCRIPT language=JavaScriptalert(39。 password1 amp。 and password=39。 admin1 amp。 dim rs admin1=request(admin) password1=request(password) set rs=() select * from admin where admin=39。 – 禁止建立空連接。 服務安全設置 – 關閉不必要的端口。 – 鎖住注冊表。 – 運行防毒軟件。 – 開啟密碼策略。 Windows2022的安全設置 密碼安全設置 – 使用安全密碼。 – 開啟用戶策略。 – 把系統(tǒng) Administrator賬號改名。 – 限制不必要的用戶。 Windows2022的安全設置可以大致分為用戶安全設置、密碼安全設置、系統(tǒng)安全設置、服務安全設置四個方面。 設置復雜密碼，防止通過 ipc$窮舉出密碼 應用層的主要攻擊 基于 windows操作系統(tǒng)的攻擊 — 防御 NTFS權限設置 4文件系統(tǒng)加密與保護 文件系統(tǒng)保護 Windows2022提供了兩種方式對系統(tǒng)文件進行保護，一種是瀏覽保護，一種是文件保護。 屏蔽 139， 445端口 由于沒有以上兩個端口的支持，是無法建立 ipc$的，因此屏蔽 139， 445端口同樣可以阻止 ipc$入侵。 server版 :找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareServer（ DWORD）的鍵值改為 :00000000。 對于 Windows2022 Pro來說，修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters],把 AUTOShareWks（DWORD）的鍵值該為 00000000。在 Windows2022中將值改為“ 2? ，表示限制所有的匿名訪問，除非明確許可。 攻擊過程： 1). 用掃描軟件搜尋存在弱口令的主機比如流光， SSS， Xscan等，然后鎖定目標，如果掃到了管理員權限的口令，假設現(xiàn)在得到了 administrator的密碼為空 2). 然后，我們先建立起 ipc$連接 use \\\ipc$ /user:administrator 3). 查看遠程主機開了什么共享 view \\ 注釋：聲明用 view命令無法看到默認共享，因此通過上面返回的結(jié)果，并不能判斷對方是否開啟了默認共享。 作用：當在多域環(huán)境中，要在多域中建立信任關系，首先需要找到域中的 pdc來通過安全通道的密碼驗證，使用空會話能夠非常容易地找到 pdc，還有就是關于一些系統(tǒng)服務的問題。 空會話（ Null Session）攻擊 概念： Null會話是同服務器建立的無信任支持的會話。默認 IPC是共享的。 $入侵 什么是 IPC IPC是英文 Inter Process Connection的縮寫，即：命名管道，它是 windows提供的一個通信基礎，用來在兩臺計算機進程之間建立通信連接。 由于 Administrator帳號的特殊性， Administrator帳號無法設置帳號鎖定，即使登錄失敗的次數(shù)達到設置時，該帳號也不可能被鎖住。 點擊 “ 帳戶鎖定策略 ” ，可以看到三個被選項，這里可以對帳戶的時間和帳戶無效訪問的次數(shù)進行設置。 在本地安全策略中選擇 “ 帳戶安全策略 ” ，其中的 “ 密碼策略 ” 可以對密碼的長度、密碼的存留時間等方面進行設置。 – 解決方法： 設置用戶的訪問策略，定義用戶登錄失敗達到一定次數(shù)時鎖定帳號，并限制管理員遠程訪問。注冊表中的 HKEY_LOCAL_MACHINE\\SAM\\SAM HKEY_LOCAL_MACHINE\\SECURITY\\SAM 保存的就是 SAM文件的內(nèi)容，在正常設置下僅對 system是可讀寫的。 SAM文件，一般使用工具 LC SAM文件 SAM文件是 WIN2022里面保存密碼信息的文件。 基于 windows操作系統(tǒng)的攻擊 口令攻擊主要采用以下幾種方法： 猜測攻擊 字典攻擊 窮舉攻擊 混合攻擊 直接破解系統(tǒng)口令文件 網(wǎng)絡嗅探 (sniffer) 鍵盤記錄 中間人攻擊 社會工程學 Windows操作系統(tǒng)的口令破解技術 windows2022 sp2之前的版本。 xscan 選擇‘無條件掃描’，才可以突破防火墻屏蔽 ping，進行端口掃描。 端口掃描分類技術 端口掃描分類 掃描技術分析 掃描分類 TCP全連接 開放掃描 半開放掃描 TCP反向 ident掃描 IP頭信息 dumb掃描 SYN掃描 FIN掃描 隱蔽掃描 TCP分段 ACK掃描 XMAS掃描 空掃描 掃射掃描 SYN/ACK掃描 ping掃射 其它掃描 UDP/ICMP 不可達 FTP彈跳 UDP掃射 UDPrecvfrom /write掃描 ACK掃射 SYN掃射 ICMP掃射 端口掃描工具 Nmap Xscan SuperScan Shadow Security Scanner MS06040Scanner Nmap—— 探測工具王 功能 NMAP是探測網(wǎng)絡主機和開放服務的佼佼者。 5）端口： 80 服務： HTTP 用于網(wǎng)頁瀏覽。入侵者的帳戶被關閉，他們需要連接到高帶寬的 EMAIL服務器上，將簡單的信息傳遞到不同的地址。木馬 Tiny Tel Server就開放這個端口。 常用服務端口漏洞 3）端口： 23 服務： Tel 大多數(shù)情況下掃描這一端口是為了找到機器運行的操作系統(tǒng)。這些服務器帶有可讀