【正文】 6040漏洞攻擊工具和 NetCat工具。 (2) 程序開發(fā)人員書寫正確的、安全的代碼。 例如：要完全避免緩沖區(qū)溢出造成的安全威脅是不可能的，但系統(tǒng)管理員可以構(gòu)建完善的防范體系來降低緩沖區(qū)溢出攻擊的威脅。 例如：黑客李某 在入侵某公司管理員的主機(jī)后，為了獲得更多 “ 肉雞 ” ，對內(nèi)網(wǎng)中的其他主機(jī)進(jìn)行漏洞掃描，并發(fā)現(xiàn)了緩沖區(qū)溢出漏洞，他立即根據(jù)這些漏洞精心設(shè)計了獲取超級第五章 任務(wù) 5 緩沖區(qū)溢出 12 用戶權(quán)限的溢出程序，開始對存在漏洞的主機(jī)實施攻擊，在很隱蔽的情況下得到了超級用戶的權(quán)限，從而實現(xiàn)了對其他主機(jī)的控制。 (6) 緩沖區(qū)溢出攻擊在沒有發(fā)生攻擊時攻擊程序并不會有任何變化，攻擊的隨機(jī)性和不可預(yù)測性都使得防御緩沖區(qū)溢出攻擊變得異常困難。 (4) 由于漏洞存在于防火墻內(nèi)部，攻擊者所發(fā)送的字符串一般情況下不會受到防火墻的阻 攔，而且，攻擊者通過執(zhí)行核心級代碼所獲得的本來不運行或沒有權(quán)限的操作，在防火墻看來是合法的，因此，防火墻是無法檢測遠(yuǎn)程緩沖區(qū)溢出攻擊的。 (2) 漏洞在發(fā)現(xiàn)之前，一般程序員是不會意識到自己的程序存在漏洞，從而疏忽監(jiān)測。 緩沖區(qū)益處危害 緩沖區(qū)溢出漏洞的危害性非常大，與其他一些黑客攻擊手段相比更具破壞力和隱蔽性。 緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運行的程序的功能，這樣可以使得攻擊者取得程序的控制權(quán)。一些高明的 “ 黑客 ” 或者病毒制造者利用緩沖區(qū)溢出漏洞，精心編制出 “ 木馬 ” 程序或者病毒，伴隨覆蓋緩沖區(qū)的數(shù)據(jù)侵入被攻擊的電腦，造成 系統(tǒng)破壞、數(shù)據(jù)泄密、甚至可以取得系統(tǒng)特權(quán)，給用戶造成重大的損失。 在各個操作進(jìn)程之間，指令會被臨時儲存在 “ 堆棧 ” 當(dāng)中， “ 堆棧 ” 也會出現(xiàn)緩沖區(qū)溢出。緩沖區(qū)溢出是指在向緩沖區(qū)內(nèi)填充數(shù)據(jù)時，數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量，致使溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，而引起系統(tǒng)異常的一種現(xiàn)象。 (7) 重新啟動計算機(jī)。選中右側(cè)詳細(xì)列表中的“ Windows XP Vista”條目，單擊右鍵，在彈出菜單中選中“屬性”菜單項，在彈出的對話框中，將“啟動類型”改為“禁用”，單擊“確定”按鈕。 (4) 刪除“ C:\Windows\”文件。 (3) 關(guān)閉已打開的 Web頁，啟動“ Windows 任務(wù)管理器”。 4. 主機(jī) B卸載 木馬 程序 (1) 主機(jī) B啟動 IE瀏覽器，單擊菜單欄“工具”｜“ Inter 選項”，彈出“ Inter 選項”配置對話框，單擊“刪除文件”按鈕，在彈出 的“刪除文件”對話框中，選中“刪除所有脫機(jī)內(nèi)容”復(fù)選框，單擊“確定”按鈕直到完成。 第四章 任務(wù) 4 木馬植入 10 2. 下載木馬后門 主機(jī) B運行 ，使用命令形式如下： 主機(jī) B運行灰鴿子服務(wù)器程序，使用命令如下： 3. 主機(jī) B驗證木馬現(xiàn)象 (1) 主機(jī) B查看任務(wù)管理器中有幾個 “ ” 進(jìn)程。（遠(yuǎn)程緩沖區(qū)溢出部分內(nèi)容將在后續(xù)知識學(xué)習(xí)中進(jìn)行詳細(xì)介紹） 1. 生成下載腳本 主機(jī) B在命令行下 逐條輸入如下命令生成木馬自動下載腳本 。 方法二：緩沖區(qū)溢出 與 木馬 植入 攻擊者通 過遠(yuǎn)程緩沖區(qū)溢出攻擊受害者主機(jī)后，得到受害者主機(jī)的命令行窗口，在其命令行窗口下使用 VBE腳本程序?qū)崿F(xiàn)木馬植入。 5. 主機(jī) A卸載掉主機(jī) B的木馬器程序 主機(jī) A通過使用“灰鴿子遠(yuǎn)程控制”程序卸載木馬的“服務(wù)器”程序。 4. 主機(jī) B驗證木馬現(xiàn)象 (1) 主機(jī) B查看任務(wù)管理器中有幾個 “ ” 進(jìn)程。 3. 查看肉雞是否上線，并嘗試進(jìn)行控制 主機(jī) A等待 “ 灰鴿子遠(yuǎn)程控制 ” 程序主界面的 “ 文件管理器 ” 屬性頁中 “ 文件目錄瀏覽 ”樹中出現(xiàn) “ 自動上線主機(jī) ” 。 2. 木馬的植入 主機(jī) B啟動 IE瀏覽器，訪問 A的 IP 地址 /。 鼠標(biāo)右鍵單擊 “ 我的電腦 ” ，選擇 “ 管理 ” 。 「注」注意查看生成的 是否允許 Inter來賓賬戶的讀權(quán)限訪問。 主機(jī) A在 Web資源庫中下載惡意網(wǎng)頁模板 ，并編輯內(nèi)容，將腳本第 15行 “ 主機(jī) IP 地址 ” 替換成主機(jī) A 的 IP 地址。 第四章 任務(wù) 4 木馬植入 9 主機(jī) A 運行 “ 灰鴿子 ” 木馬，參考知識點二配置生產(chǎn)木馬被控制端安裝程序 ， 并 將 其 放 置 于 Inter 信 息 服 務(wù) (IIS) 默 認(rèn) 網(wǎng) 站 目 錄“ C:\Ipub\root” 下。 方法一 ：網(wǎng)頁木馬與木馬植入 「注」實驗過程兩主機(jī)可同步進(jìn)行，即主機(jī) B同時制作網(wǎng)頁木馬，最后主機(jī) A訪問主機(jī)B制作的網(wǎng)頁木馬，實現(xiàn)中馬的過程。 (7) 通過將自身注冊成系統(tǒng)服務(wù)，并添加注冊表服務(wù)項，常駐內(nèi)存。 (5) *.INI：即應(yīng)用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動木馬的目的了。 (4) ：在 C 盤根目錄下的這兩個文件也可以啟動木馬。 (2) ： C:\WINDOWS目錄下有一個配置文件 ，用文本方式打開，在 [windows]字段中有啟動命令 load=和 run=，在一般情況下是空白的，如果有啟動程序，可能是木馬。安裝后就可以啟動木馬了。 木馬的運行方式 服務(wù)端用戶運行木馬或捆綁木馬的程序后，木馬就會自動進(jìn)行安裝。 ● 網(wǎng)頁瀏覽：將木馬的 “ 服務(wù)器程序 ” 放入網(wǎng)頁中植入到遠(yuǎn)程主機(jī)。常見的植入過程有如下幾種方法。 (2) 觀察軟件運行過程中出現(xiàn)的現(xiàn)象，能否發(fā)現(xiàn)除 zsoft軟件外其它程序的運行過程。生成捆綁完成的文件 “ ” 。t save” 選項，點擊 “ 下一步 ” 按鈕。 (13) 進(jìn)入 “ Configure restart” 頁簽，選擇 “ No restart” 選項，點擊 “ 下一步 ”按鈕。 (12) 進(jìn)入 “ Package Name and Options” 頁簽，填入捆綁后程序路徑，文件名為。 (10) 進(jìn)入 “ Show window” 頁簽，選擇 “ Hidden” 選項，點擊 “ 下一步 ” 按鈕。 (9) 進(jìn)入 “ Install Program to” 頁簽，在 “ install Program” 選擇 木馬程序，在 “ Post Install Command” 中選擇 zsoft軟件程序 。 (7) 進(jìn)入 “ License agreement” 頁簽，選擇 “ Do not display a license” ，點擊 “ 下一步 ” 按鈕。 (5) 進(jìn)入 “ Package title” 頁簽，在空白處 輸入 “ ” （空格），點擊 “ 下一步 ” 按鈕。 (3) 選擇 “ Create new Self Extraction Directive file” ，點擊 “ 下一步 ” 。 (1) 主機(jī) A登陸 zsoft文件到本地。 2. 捆綁過程實現(xiàn) 第三章 任務(wù) 3 木馬捆綁 7 運行捆綁工具，通過設(shè)置將 zsoft軟件程序與木馬被控制端程序打包在一起，并設(shè)置打包后的程序?qū)傩詾椋褐伙@示正常程序；木馬程序在后臺隱藏運行；運行后刪除木馬程序在系統(tǒng)中的痕跡等。主機(jī) B對主機(jī) A進(jìn)行控制。 實驗步驟 實驗操作前實驗主機(jī)需從 Web資源庫下載實驗所需木馬程序（灰鴿子）、 zsoft軟件程序（一個即時通信工具）及捆綁工具（學(xué)生可以選擇使用系統(tǒng)自帶的 IExpress 或?qū)ｉT用于打包的軟件） 。下圖說明了攻擊者如何使用包裝程序。 木 馬捆綁原理 為了將兩個可執(zhí)行程序結(jié)合在一起，攻擊者會使用一個包裝工具。 這種偽裝手段是將木馬捆綁到一個安裝程序上，當(dāng)安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷的進(jìn)入了系統(tǒng)。第三章 任務(wù) 3 木馬捆綁 6 (3) 點擊 “ 遠(yuǎn)程屏幕 ” 中 “ 傳送鼠標(biāo)和鍵盤 ” 按鈕，對主機(jī) B進(jìn)行遠(yuǎn)程控制。 主機(jī) A 6. 查看肉雞是否上線并嘗試對其進(jìn)行控制 (1) 在主機(jī) B運行免殺后的木馬安裝程序后，在木馬程序的 “ 文件目錄瀏覽 ” 視圖中會出現(xiàn)上線主機(jī)。使用 AVG反病毒軟件對主機(jī) A發(fā)送的兩個安裝程序進(jìn)行病毒掃描。 (2) 在灰鴿子中觀察文件目錄瀏覽視圖，等待被控制主機(jī)出現(xiàn)。 (6) 對 “ ” 進(jìn)行掃描，若殺毒軟件查殺不到，則證明免殺成功。 (5) 返回到 0049C5C1處，右鍵點擊代碼，選擇匯編，寫入跳轉(zhuǎn)指令 “ jmp 004A21E4” ，點擊 “ 匯編 ” 保存設(shè)置。 單擊鼠標(biāo)右鍵，選擇 “ 匯編 ” ，在彈出窗口填入特征碼段內(nèi)容 “ MOV EAX,DWORD PTR SS:[EBP101C] ” ，點擊 “ 匯編 ” 保存設(shè)置。 向上滾動鼠標(biāo)滑輪，自動歸位到指令首址 0049C5C1，內(nèi)容為 “ MOV EAX,DWORD PTR SS:[EBP101C] ” （特征碼包含在該段指令中）。 (2) 關(guān)閉 OC，打開 OllyDBG工具，依次點擊 “ 文件 ” |“ 打開 ” 選擇木馬安裝程序。得到 [特征 ]0009B9C3_00000002即為特征碼的精確位置，如圖所示。重新生成 OUTPUT文件夾，對 OUTPUT文件夾進(jìn)行病毒查殺。 MyCCL再次進(jìn)行二次處理，這時會產(chǎn)生特征碼分布示意圖，證明含有特征碼的模塊已經(jīng)定位完畢，其它位置無特征碼。 (8) 查殺完成后，清除病毒，再次進(jìn)行 MyCCL 的二次處理。 [特征 ]0009A509_00001DB3即為特征碼的位置區(qū)間，選擇 [特征 ] 0009A509_00001DB3，點擊右鍵，選擇 “ 復(fù)合定位此處特征 ” ，回到 MyCCL主界面，再次設(shè)定分塊個數(shù)為 100，點擊 “ 生成 ” 按鈕。 (6) MyCCL再 次進(jìn)行二次處理，這時會產(chǎn)生特征碼分布示意圖，證明含有特征碼的區(qū)段已經(jīng)定位完畢。 (4) 點擊 “ MyCCL” 中 “ 二次處理 ” 按鈕，重新對生成文件進(jìn)行分析， MyCCL 會提示文件 0009A509_00001DB3出現(xiàn)特征碼。 (3) 右鍵點擊 OUTPUT文件夾，在彈出菜單中選擇 “ 用 AVG AntiSpyware掃描 ” 進(jìn)行查殺。在 “ 開始位置 ” 填入程序的起始位置 “ 00000400” ， 分塊個數(shù)中 填入 “ 100” ，其它選擇默認(rèn)。 2. 定位木馬服務(wù)器程序特征碼位置 (1) 啟動 AVG 反病毒軟件（保證 AVG服務(wù)啟動，開啟方法：點擊 “ 開始 ” |“ 運行 ” ，輸入 ，啟動 “ AVG AntiSpyware Guard” 服務(wù)；保證 AVG主界面打開，方法：依次單擊 “ 程序 \AVG AntiSpyware \AVG AntiSpyware” ）。主機(jī) B對主機(jī) A進(jìn)行控制。 具體實驗步驟 實驗操作前各實驗主機(jī)需從 Web資源庫下載實驗所需木馬程序（灰鴿子）、特征碼定位工具（ MyCCL）、偏移量轉(zhuǎn)化器（ OC） 及匯編分析調(diào)試器（ OllyDBG）。此時，即使被攻擊者安裝了殺毒軟件，并對發(fā)送來的程序進(jìn)行殺毒，殺毒軟件也會熟視無睹。 ● 適用范圍：通用的改法，建議大家要掌握這種改法（在【學(xué) 習(xí)模式】的【應(yīng)用再現(xiàn)】第二章 任務(wù) 2 木馬免殺 4 中使用的就是該方法）。 ● 適用范圍：具有一定的局限性，代碼互換后必須不能影響程序的正常執(zhí)行。 ● 適用范圍：特征碼中必須有可以替換的匯編指令，比如 JE， JNE 換成 JMP等。 ● 適用范圍：特征碼所對應(yīng)的內(nèi)容必須是字符串，否 則不能成功。 ● 適用范圍：一定要精確定位特征碼所對應(yīng)的十六進(jìn)制，修改后一定要測試一下文件能否正常使用。殺毒軟件通過特征碼查殺病毒，相應(yīng)的，通過修改特征碼的方法來實現(xiàn)木馬免殺。行為檢測法是新出現(xiàn)的一種定義病毒的方法，它利用的原理是某些特定的病毒會有某些特定的行為來做出是否為病毒的判斷。特征碼定位法分為文件查殺和內(nèi)存查殺，殺毒軟件公司拿到病毒的樣本以后，定義一段病毒特征碼到病毒庫中，然后與掃描的文件比對，如果一致則認(rèn)為是病毒。 木馬免殺原理 (1) 殺毒原理 當(dāng)前殺毒軟件對病毒的查殺主要有特征代碼法和行為監(jiān)測法兩種。 木馬免殺可以將其看為一種能使木馬避免被殺毒軟件查殺的技術(shù)。就這樣釣魚網(wǎng)站輕松地獲取到了網(wǎng)銀用戶的賬號。 (4) 釣魚網(wǎng)站引導(dǎo)用戶到正常網(wǎng)站，此時觀察域名的變化（由 跳轉(zhuǎn)為）。釣魚網(wǎng)站提示“您輸入的卡號或者查詢密碼錯誤，請重新輸入”。 3. 釣魚網(wǎng)站 (1) 關(guān)閉正常網(wǎng)站頁面。 第一章 任務(wù) 1 社會工程學(xué) 2 (3) 對比正常網(wǎng)站與釣魚網(wǎng)站在頁面信息的內(nèi)容上的異同與域名信息上的異同。 實現(xiàn)步驟 主機(jī) A 1. 啟動 tomcat服務(wù) 控制臺下進(jìn)入 C:\Program Files\Tomcat5\bin目錄，執(zhí)行以下命令啟動 tomcat服務(wù)： 主機(jī) B 2. 網(wǎng)站對比 (1) 在 IE地址欄中輸入 A IP:8080/Bank/，觀察頁面信息與域名信息。在基于技術(shù)的入侵攻擊中，最重要的內(nèi)容不僅是成功侵入主機(jī)，還包括清除痕跡，不要讓管理者發(fā)現(xiàn)被入侵及數(shù)據(jù)被偽造。攻擊者通過獲得的各種信息來制定種種針對性的欺騙方案，并且利用各種手段獲取目標(biāo)的信任，從而達(dá)成自己的目的。 (2) 心理學(xué)的應(yīng)用 由上面的內(nèi)容可知人性的弱點在 “ 社會工程學(xué) ” 中是重