之一节、黑客的类型和个人行为

以我的了解，“黑客”大致应当分成“正”、“邪”两大类，正直黑客靠自己把握的专业知识协助计算机管理员找到系统软件中的漏洞并多方面健全，而邪派黑客则是根据各种各样黑客专业技能系统对开展进攻、侵入或是做别的一些危害于互联网的事儿，由于邪派黑客所从业的事儿违反了《黑客守则》，因此 她们真实的姓名叫“黑客” （Cracker）并非“黑客”（Hacker），也就是大家平常常常听闻的“黑客”（Cacker）和“红客”（Hacker）。

不管那种黑客，她们最开始的学习內容都将是本一部分所涉及到的內容，并且把握的专业技能也全是一样的。就算今后她们分别踏入了不一样的路面，可是所做的事儿也类似，只不过是立足点和目地不一样罢了。

很多人以前跟我说：“做黑客平常都干什么？是否十分 *** 性？”也有些人对黑客的理解是“天天做无趣且反复的事儿”。事实上这种也是一个不正确的了解，黑客平常必须用很多的時间学习，我也不知道这一全过程是否有终点站，只了解“多多益善”。因为学习黑客彻底出自于个人兴趣爱好，因此 不在乎“无趣”；反复是难以避免的，由于“勤能补拙”，仅有历经持续的联络、实践活动，才很有可能自身领略到一些只能意会、不知其所以然的体会心得。

在学习闲暇，黑客应当将自身所把握的专业知识运用到具体之中，不论是哪样黑客做出去的事儿，压根目地只不过是在具体中把握自身所学习的內容。黑客的个人行为关键有下列几类：

一、学习技术性：

互联网技术上的新技术应用一旦出現，黑客就务必马上学习，并且用最少的時间把握此项技术性，这儿常说的把握并并不是一般的掌握，只是阅读文章相关的“协议”（rfc）、深入了解此技术性的原理，不然一旦终止学习，那麼借助他之前把握的內容，并不可以保持他的“黑客真实身份”超出一年。

初中级黑客要学习的知识是较为艰难的，由于她们沒有基本，因此 学习起來要触碰十分多的基础內容，殊不知今日的互联网技术给阅读者产生了许多 的信息，这就必须初中级学习者开展挑选：过深的內容很有可能会给学习产生艰难；太“花里胡哨”的內容又对学习黑客沒有用途。因此 新手不可以贪大求全，应当尽可能找寻一本书和自身的详细教材内容、由浅入深的开展学习。

二、掩藏自身：

黑客的一举一动都是会被 *** 服务器记下来，因此 黑客务必掩藏自身促使另一方没法鉴别其真正真实身份，这必须有娴熟的 *** ，用于掩藏自身的IP地址、应用起点、跳板躲避追踪、清除纪录搅乱另一方案件线索、恰当避开服务器防火墙等。

掩藏是必须十分扎实的基本技能才可以完成的，这针对新手而言成的上“大德人生境界”了，换句话说新手不太可能用短期内学好掩藏，所以我并不激励新手利用自身学习的专业知识对互联网开展进攻，不然一旦自身的踪迹东窗事发，最后害的害是自身。

假如有朝一日你变成了真实的黑客，因为我一样不赞同你对互联网开展进攻，终究黑客的发展是一种学习，而不是一种违法犯罪。

三、发觉漏洞：

漏洞对黑客而言是最重要的信息，黑客要常常学习他人发觉的漏洞，并勤奋自身找寻不明漏洞，并从大量的漏洞中找寻有使用价值的、可被利用的漏洞开展实验，自然她们最后的目地是根据漏洞开展毁坏或着修复上这一漏洞。

黑客对找寻漏洞的执着是平常人无法想象的，她们的宣传口号说“摆脱权威性”，从一次又一次的黑客实践活动中，黑客也用自身的身体力行向大家证实了这一点——全世界沒有“不会有漏洞”的程序流程。在黑客眼里，说白了的“无懈可击”不过是“沒有寻找”罢了。

四、利用漏洞：

针对正直黑客而言，漏洞要被修复；针对邪派黑客而言，漏洞要用于捣乱。而她们的前提条件是“利用漏洞”，黑客利用漏洞能够 做下边的事儿：

1、得到系统软件信息：一些漏洞能够 泄露系统软件信息，曝露比较敏感材料，进而进一步侵入系统软件；

2、侵入系统软件：根据漏洞进到系统软件內部，或获得 *** 服务器上的教学资料、或彻底执掌 *** 服务器；

3、找寻下一个总体目标：一个获胜代表着下一个总体目标的出現，黑客应当充足利用自身早已执掌的 *** 服务器做为专用工具，找寻并侵入下一个系统软件；

4、做一些好事儿：正直黑客在进行上边的工作中后，便会修补漏洞或是通告计算机管理员，作出一些维护保养 *** 信息安全的事儿；

5、做一些错事：邪派黑客在进行上边的工作中后，会分辨 *** 服务器是不是也有利用使用价值。如果有利用使用价值，她们会在 *** 服务器上嵌入木马病毒或是侧门，有利于下一次到访；而对沒有利用使用价值的 *** 服务器她们决不会沾花惹草，崩溃会让她们觉得无尽的快乐！

第二节、黑客应把握的专业技能

从这一节刚开始，大家就真实踏入学习黑客的路面了，更先要详细介绍的是作为一名初中级黑客所务必把握的专业技能，学习这能够 根据这一节的阅读文章掌握到黑客并不神密，并且学习起來非常容易入门。为了更好地确保新手对黑客的兴趣爱好，因此 这书采用了循环式进展，换句话说每一章节目录的內容全是单独、全方位的，学习者仅有详细的学习过一章的內容，才可以从而学习下一章的內容。

一、掌握一定量的英语：

学习英语针对黑客而言十分关键，由于如今大部分材料和实例教程全是英语版本号，并且相关黑客的新闻报道也是以海外回来的，一个漏洞从发觉到出現汉语详细介绍，必须大概一个星期的時间，在这段时间内 *** 工程师就早已有充足的時间修复漏洞了，因此 在我们见到汉语详细介绍的情况下，这一漏洞很有可能早已早已不会有了。因而学习黑客从一开始就需要尽可能阅读英文材料、应用英文软件、而且立即关心海外知名的 *** 信息安全网址。

二、学好基础手机软件的应用：

这儿常说的基础手机软件就是指2个內容：一个是大家平时应用的各种各样电脑上常用命令，比如ftp、ping、net等；另一方面也要学好相关黑客专用工具的应用，这关键包含端口扫描器、漏洞扫描枪、信息捕获专用工具和密码破解专用工具等。由于这种手机软件种类多，作用不尽相同，因此 这书在后面可能详细介绍几种时兴的软件应用方式 ，学习者在把握其基本概念之后，既能够 挑选合适自身的，还可以在“第二一部分”中寻找相关手机软件的开发设计手册，撰写自身的黑客专用工具。

三、基本掌握互联网协议和原理：

说白了“基本掌握”便是“依照自身的了解 *** ”弄搞清楚互联网的原理，由于协议涉及到的专业知识多且繁杂，因此 假如在一开始就开展深入分析，必定会大大的伤害到学习主动性。在这儿我建议学习者基本掌握相关tcp/ip协议，尤其是网页浏览的情况下互联网是怎样传送信息、手机客户端电脑浏览器怎样申请“挥手信息”、服务端怎样“回复挥手信息”并“接纳要求”等內容，此一部分內容可能在后面的章节目录中开展实际详细介绍。

四、了解几类时兴的计算机语言和脚本 *** ：

同上边上述一样，这儿都不规定学习者开展深层次学习，要是可以看懂相关語言、了解程序运行結果就可以了。提议学习者基本学习C语言、asp和cgi开发语言，此外针对htmHTML文件語言和php、java等做基础掌握，关键学习这种語言中的“自变量”和“数字能量数组”一部分，由于語言中间存有相互关系，因此 要是灵活运用在其中一们，别的語言还可以一脉同样，提议学习C语言和htmHTML文件語言。

五、了解 *** 技术应用程序流程：

*** 技术应用程序流程包含各种各样服务器软件后台运行，比如：wuftp、Apache等 *** 服务器后台管理；也有在网上时兴的各种各样社区论坛、电子器件小区。有标准的学习者更好是将自身的电脑上制成 *** 服务器，随后安裝并运作一些论坛代码，历经一番试着以后，可能理性的搞清楚 *** 运营基本原理，这比借助基础理论学习要非常容易很多，可以做到事倍功半的实际效果！

之一章、基本理论和基础知识

之一节、 *** 信息安全专业术语表述

一、协议：

互联网是一个信息互换的场地，全部连接互联网的电子计算机都能够根据相互间的物理学连机器设备行信息互换，这类物理学机器设备包含最普遍的电缆线、光缆电缆、无线 *** WAP和微波加热等，可是单纯性有着这种物理学机器设备并不可以完成信息的互换，这就仿佛人们的人体不可以缺乏人的大脑的操纵一样，信息互换也要具有手机软件自然环境，这类“手机软件自然环境”是人们完成要求好的一些标准，称之为“协议”，拥有协议，不一样的电脑上能够 遵循同样的协议应用物理学机器设备，而且不容易导致彼此之间的“不理解”。

这类协议很类似“摩斯码”，简易的一点一横，历经排序能够 有千般转变，可是倘若沒有“对应表”，谁也没法了解一分乱七八糟的电码所描述的內容是啥。电脑上也是一样，他们根据各种各样预先规定的协议进行不一样的重任，比如RFC1459协议能够 完成IRC *** 服务器与手机客户端电脑上的通讯。因而不论是黑客還是 *** 工程师，都务必根据学习协议做到掌握互联网运行原理的目地。

每一个协议全是历经很多年改动持续应用迄今的，新造成的协议也大多数是在农村基层协议基本上创建的，因此协议相对而言具备较高的安全性体制，黑客难以发觉协议中存有的安全隐患立即下手开展黑客攻击。可是针对一些新式协议，由于出現时间较短、考虑到欠周全，也很有可能会因为安全隐患而被黑客利用。

针对互联网协议的探讨，大量人觉得：现如今应用的农村基层协议在设计方案之初就存有安全风险，因此不管互联网开展哪些的修改，要是现如今这类 *** 体系结构不开展压根转型，从源头上就没法避免互联网黑客的出現。可是这类黑客功能早已超过了这书的范畴，因此没有这儿详解。

二、 *** 服务器与手机客户端：

非常简单的互联网服务方式是：多个台电脑上作为手机客户端，应用一台电脑上作为 *** 服务器，每一个手机客户端都具备向 *** 服务器明确提出要求的工作能力，然后由 *** 服务器回复并进行要求的姿势，最终 *** 服务器会将实行結果回到给手机客户端电脑上。那样的协议许多 。比如大家平常触碰的电子邮箱 *** 服务器、 *** 服务器、在线聊天室 *** 服务器等都归属于这类种类。此外也有一种接口方式，它不用 *** 服务器的适用，只是立即将2个手机客户端电脑上开展联接，换句话说每一台电脑上都即是 *** 服务器、也是手机客户端，他们中间具备同样的作用，对等的进行联接和信息互换工作中。比如DCC传送协议即归属于此类种类。

此后看得出，手机客户端和 *** 服务器分别是各种各样协议中要求的要求申请办理电脑上和回复电脑上。做为一般的网上客户，全是实际操作着自身的电脑上（手机客户端），别且向网站服务器传出基本要求进行例如网页浏览、收取和发送电子邮箱等姿势的，而针对黑客而言则是根据自身的电脑上（手机客户端）对别的电脑上（有可能是手机客户端，也是有可能是 *** 服务器）开展进攻，以做到侵入、毁坏、盗取信息的目地。

三、系统软件与系统软件自然环境：

电脑上要运行务必安裝电脑操作系统，现如今时兴的电脑操作系统关键由UNIX、Linux、Mac、BSD、Windows2000、 Windows95/98/Me、Windows NT等，这种电脑操作系统分别单独运作，他们有自身的文档管理、代码优化、进程管理等体制，在互联网上，这种不一样的电脑操作系统既能够 做为 *** 服务器、还可以做为手机客户端被使用人实际操作，他们中间根据“协议”来进行信息的互换工作中。

不一样的电脑操作系统相互配合不一样的程序运行就组成了系统软件自然环境，比如Linux系统软件相互配合Apache手机软件能够 将电脑上构设成一台 *** 服务器，别的应用手机客户端的电脑上能够 应用电脑浏览器来得到 *** 服务器上贡访问者阅读文章的文字信息；再如Windows2000相互配合Ftpd手机软件能够 将电脑上构设成一台文件服务器，根据远程控制ftp登陆能够 得到系统软件上的各种各样文档資源等。

四、IP地址和端口号：

大家网上，很有可能会另外网页浏览、收取和发送电子邮箱、开展语音通话……这般多的互联网服务新项目，全是根据不一样的协议进行的，殊不知互联网这般之大，大家的电脑怎么可以寻找服务所必须的电脑上？怎样在一台电脑另外进行这般多的工作中的呢？这儿就需要详细介绍到IP地址了。

每一台网上的电脑上都具备独一无二的IP地址，这一详细地址类似日常生活大家的家庭地址，根据 *** 路由器等多种多样物理学机器设备（不用初中级学习者了解），互联网能够 进行从一个电脑上到另一个电脑上中间的信息互换工作中，由于她们的IP地址不一样，因此 不容易出現找不着总体目标的错乱局势。可是黑 客可以通过特殊的 *** 伪造自己电脑的IP地址，这样当服务器接受到黑客电脑（伪IP地址）的请求后，服务器会将应答信息传送到伪IP地址上，从而造成 *** 的混乱。当然，黑客也可以根据IP地址轻易的找到任何上网者或服务器，进而对他们进行攻击（想想现实中的入室抢劫），因而如今我们会看到很多关于《如何隐藏自己IP地址》的文章。

　　接下来我解释一下上面提到的第二个问题：一台电脑上为什么能同时使用多种 *** 服务。这好像北京城有八个城门一样，不同的协议体现在不同的 *** 服务上，而不同的 *** 服务则会在客户端电脑上开辟不同的端口（城门）来完成它的信息传送工作。当然，如果一台 *** 服务器同时开放了多种 *** 服务，那么它也要开放多个不同的端口（城门）来接纳不同的客户端请求。

　　 *** 上经常听到的“后门”就是这个意思，黑客通过特殊机能在服务器上开辟了一个 *** 服务，这个服务可以用来专门完成黑客的目的，那么服务器上就会被打开一个新的端口来完成这种服务，因为这个端口是供黑客使用的，因而轻易不会被一般上网用户和 *** 管理员发现，即“隐藏的端口”，故“后门”。

　　每一台电脑都可以打开65535个端口，因而理论上我们可以开发出至少65535种不同的 *** 服务，然而实际上这个数字非常大， *** 经常用到的服务协议不过几十个，例如浏览网页客户端和服务端都使用的是80号端口，进行IRC聊天则在服务端使用6667端口、客户端使用1026端口等。

　　五、漏洞：

　　漏洞就是程序中没有考虑到的情况，例如最简单的“弱口令”漏洞是指系统管理员忘记屏蔽某些 *** 应用程序中的账号；Perl程序漏洞则可能是由于程序员在设计程序的时候考虑情况不完善出现的“让程序执行起来不知所措”的代码段，“溢出”漏洞则属于当初设计系统或者程序的时候，没有预先保留出足够的资源，而在日后使用程序是造成的资源不足；特殊IP包炸弹实际上是程序在分析某些特殊数据的时候出现错误等……

　　总而言之，漏洞就是程序设计上的人为疏忽，这在任何程序中都无法绝对避免，黑客也正是利用种种漏洞对 *** 进行攻击的，本章开始的字眼儿“ *** 安全”实际就是“漏洞”的意思。黑客利用漏洞完成各种攻击是最终的结果，其实真正对黑客的定义就是“寻找漏洞的人”，他们并不是以 *** 攻击为乐趣，而是天天沉迷在阅读他人的程序并力图找到其中的漏洞。应该说，从某种程度上讲，黑客都是“好人”，他们为了追求完善、建立安全的互联网才投身此行的，只不过因为有的黑客或者干脆是伪黑客经常利用具有攻击性的漏洞，近些年人们才对黑客有了畏惧和敌视的心理。

　　六、加密与解密：

　　在“协议”的讲解中，我提到了“由于 *** 设计的基层存在问题……”，简单的说这一问题是允许所有上网者参与信息共享，因而对某些商业、个人隐私在 *** 上的传送，就会暴露在众目睽睽之下，我们的信用卡、个人电子邮件等都可以通过监听或者截获的方式被他人的到，如何才能让这些信息安全呢？读者也许想到了“二战中”的间谍战：参战国家在使用电报的时候，都对代码进行了加密处理，只有知道了“密码薄”的接收者，才可以进行译码工作。正是这种古老的加密方式，在现代化的 *** 上也依然存在它旺盛的生命力，通过加密处理的信息在 *** 上传送，无论谁拿到了这份文件，只要没有“密码薄”仍然是白费力气的。

　　 *** 上最长使用的是设置个人密码、使用DES加密锁，这两种加密方式分别可以完成用户登陆系统、网站、电子邮件信箱和保护信息包的工作，而黑客所要进行的工作，就是通过漏洞、暴力猜测、加密算法反向应用等方式获得加密档案的明文，有人把“魔高一尺、道高一仗”用在这里，的确是在恰当不过了！ *** 上的加密 *** 和需要验证密码的系统层出不穷，黑客也在寻找破解这些系统的种种办法。

　　可以说，“漏洞”和“解密”是两个完全不同的黑客领域，对于不同的学习者对他们的偏好，将会直接影响到今后将会成为的黑客类型，因而在二者之间的选择，应根据个人喜好进行，本书将会侧重学习“漏洞”方面的知识。

　　七、特洛伊木马：

　　特洛伊木马是一个程序，这个程序可以做程序设计者有意设计的未出现过的事情。但是对于特洛伊木马所做的操作，不论是否用户了解，都是不被赞同的。根据某些人的认识，病毒是特洛伊木马的一个特例，即：能够传播到其他的程序当中（也就是将这些程序也变成特洛伊木马）。根据另外的人的理解，不是有意造成任何损坏的病毒不是特洛伊木马。最终，不论如何定义，许多人仅仅用“特洛伊木马”来形容不能复制的带有恶意的程序，以便将特洛伊木马与病毒区分开.

　　第三节、常用黑客软件用途分类

　　一、防范：

　　这是从安全的角度出发涉及的一类软件，例如防火墙、查病毒软件、系统进程监视器、端口管理程序等都属于此类软件。这类软件可以在更大程度上保证电脑使用者的安全和个人隐私，不被黑客破坏。 *** 服务器对于此类软件的需要也是十分重视的，如日志分析软件、系统入侵软件等可以帮助管理员维护服务器并对入侵系统的黑客进行追踪。

　　二、信息搜集：

　　信息搜集软件种类比较多，包括端口扫描、漏洞扫描、弱口令扫描等扫描类软件；还有监听、截获信息包等间谍类软件，其大多数属于亦正亦邪的软件，也就是说无论正派黑客、邪派黑客、系统管理员还是一般的电脑使用者，都可以使用者类软件完成各自不同的目的。在大多数情况下，黑客使用者类软件的频率更高，因为他们需要依靠此类软件对服务器进行全方位的扫描，获得尽可能多的关于服务器的信息，在对服务器有了充分的了解之后，才能进行黑客动作。

　　三、木马与蠕虫：

　　这是两种类型的软件，不过他们的工作原理大致相同，都具有病毒的隐藏性和破坏性，另外此类软件还可以由拥有控制权的人进行操作，或由事先精心设计的程序完成一定的工作。当然这类软件也可以被系统管理员利用，当作远程管理服务器的工具。

　　四、洪水：

　　所谓“洪水”即信息垃圾炸弹，通过大量的垃圾请求可以导致目标服务器负载超负荷而崩溃，近年来 *** 上又开始流行DOS分散式攻击，简单地说也可以将其归入此类软件中。洪水软件还可以用作邮件炸弹或者聊天式炸弹，这些都是经过简化并由 *** 安全爱好者程序化的“傻瓜式”软件，也就是本书一开始指责的“伪黑客” 手中经常使用的软件。

　　五、密码破解：

　　 *** 安全得以保证的最实用 *** 是依靠各种加密算法的密码系统，黑客也许可以很容易获得一份暗文密码文件，但是如果没有加密算法，它仍然无法获得真正的密码，因此使用密码破解类软件势在必行，利用电脑的高速计算能力，此类软件可以用密码字典或者穷举等方式还原经过加密的暗文。

　　六、欺骗：

　　如果希望获得上面提到的明文密码，黑客需要对暗文进行加密算法还原，但如果是一个复杂的密码，破解起来就不是那么简单了。但如果让知道密码的人直接告诉黑客密码的原型，是不是更加方便？欺骗类软件就是为了完成这个目的而设计的。

　　七、伪装：

　　 *** 上进行的各种操作都会被ISP、服务器记录下来，如果没有经过很好的伪装就进行黑客动作，很容易就会被反跟踪技术追查到黑客的所在，所以伪装自己的 IP地址、身份是黑客非常重要的一节必修课，但是伪装技术需要高深的 *** 知识，一开始没有坚实的基础就要用到这一类软件了。

　　四节、学习黑客的基本环境

　　一、操作系统的选择：

　　我们经常听说黑客酷爱Linux系统，这是因为Linux相对Windows提供了更加灵活的操作方式，更加强大的功能。例如对于IP地址的伪造工作，利用Linux系统编写特殊的IP头信息可以轻松完成，然而在Windows系统下却几乎不可能做到。但是Linux也有它不足的一面，这个系统的命令庞杂、操作复杂，并不适合初学者使用，而且对于个人学习者，并没有过多的人会放弃“舒适”的Windows、放弃精彩的电脑游戏和便捷的操作方式，去全心投入黑客学习中。而且对于初学黑客的学习者来说，大多数 *** 知识都可以在Windows系统中学习，相对Linux系统，Windows平台下的黑客软件也并不在少数，另外通过安装程序包，Windows系统中也可以调试一定量的程序，因此初步学习黑客没有必要从Linux入手。

　　本书使用的平台WindowsME，因为对于个人用户来说，NT或者2000多少有些苛刻——系统配置要求太高；然而使用95或者98又缺少某些必要的功能——NET、TELNET命令不完善。但是本书的大部分内容测试漏洞，从远程服务器出发，所以也不是非要WindowsME操作系统进行学习，对于少数系统版本之间的差异，学习者可以和我联系获得相应系统的学习 *** 。

　　二、需要的常用软件：

　　如果你的系统是WindowsME，那么告诉你一个好消息——你没有必要安装过多的额外软件，因为我们接触的黑客知识依靠系统提供给我们的命令和内置软件就足可以完成了！除了基本的操作系统以外，学习者还需要安装各类扫描器，之后下载一个比较优秀的木马软件、一个监听类软件，除此以外别无它求。如果有必要，读者可以自行安装本文上述软件，然后学习其用法，但是我要告诉你，对于各类炸弹、还有 *** 上各式各样的黑客软件，在学习完本书后，你都可以自己 *** 、自己开发，根本没有必要使用他人编写的软件。

　　对于扫描器和监听软件，我给出以下建议，并且在本书的后面还会对这几个软件进行详细介绍：

　　扫描器：x-scanner

　　下载地址：

　　监听软件： *** yzer

　　下载地址：

　　木马：BackOffice

　　下载地址：

　　这三个软件都是免费的，而且功能异常强大。像xscanner是国产软件，他集成了多种扫描功能于一身，并且同时支持控制台和图形界面两种操作方式，另外提供了详细的漏洞使用说明。对于初学者来说，具备了这两个工具，学习黑客已经绰绰有余了。

　　三、额外的工具：

　　如果可以安装下面的工具，将会对学习黑客有莫大的帮助，当然下面的软件主要是学习额外内容并为“第二部分”学习作铺垫用的，所以没有也不会妨碍本书的学习。

　　1、后台服务器：

　　拥有某些 *** 应用的后台服务程序，可以将自己的电脑设置成一个小型服务器，用来学习相应的 *** 应用，从“内部”了解其运作机理，这将会大大提高自己对服务器的感性认识，同时还能够在激活服务器的时候；监测自己服务器上的数据，如果有其他黑客来攻击，则可以清晰的记录下对方的攻击过程，从而学习到更多的黑客攻击 *** 。对于本书而言，主要介绍网站的Perl和asp等脚本语言漏洞，所以可以安装一个IIS或者HTTPD。然后在安装ActivePerl，使自己的服务器具备编译cgi和pl脚本的能力。使用自己的服务器还有一个好处，可以节省大量的上网时间，将学习、寻找漏洞的过程放到自己的电脑上，既节省了金钱、有不会对 *** 构成威胁，一举两得。

　　2、C语言编译平台：

　　今后在学习黑客的路途中，将会遇到很多“属于自己的问题”，这些问题 *** 上的其他人可能不会注意，所以无法找到相应的程序，这个时候学习者就要自己动手开发有关的工具了，所以安装一个Borland C++将会非常便捷，通过这个编译器，学习者既可以学习C语言，也能够修改本书后面列出的一些小程序，打造一个属于自己的工具库。

　　四、 *** 安全软件分类

　　现在我们来了解一下有关 *** 安全软件的分类，因为学习黑客知识是两个相互联系的过程：既学习如何黑，还要学会如何防止被黑。

　　1、防火墙：

　　这是 *** 上最常见的安全机制软件，防火墙有硬件的、也有软件的，大多数读者看到的可能更多都是软件防火墙。其功能主要是过滤垃圾信息（保证系统不会受到炸弹攻击）、防止蠕虫入侵、防止黑客入侵、增加系统隐私性（对敏感数据进行保护）、实时监控系统资源，防止系统崩溃、定期维护数据库，备份主要信息……防火墙可以将系统本身的漏洞修补上，让黑客没有下手的机会。另外对于拥有局域网的企业来说，防火墙可以限制系统端口的开放，禁止某些 *** 服务（杜绝木马）。

　　2、检测软件：

　　互联网上有专门针对某个黑客程序进行清除的工具，但是这类软件更多是集成在杀毒软件或者防火墙软件内的，对于系统内的木马、蠕虫可以进行检测并清除，软件为了保护系统不受侵害，会自动保护硬盘数据、自动维护注册表文件、检测内容可以代码、监测系统端口开放状态等。如果用户需要，软件还可以编写有关的脚本对指定端口进行屏蔽（防火墙一样具备此功能）。

　　3、备份工具：

　　专门用来备份数据的工具可以帮助服务器定期备份数据，并在制定时间更新数据，这样即便黑客破坏了服务器上的数据库，软件也可以在短时间内完全修复收到入侵的数据。另外对于个人用户，这类软件可以对硬盘进行完全映像备份，一旦系统崩溃，用户利用这类软件可以将系统恢复到原始状态，例如Ghost就是这类软件中的佼佼者。

　　4、日志纪录、分析工具：

　　对于服务器来说，日志文件是必不可少的，管理员可以通过日志了解服务器的请求类型和请求来源，并且根据日志判断系统是否受到黑客攻击。通过日志分析软件，管理员可以轻松的对入侵黑客进行反追踪，找到黑客的攻击来源，进而抓不黑客。这也就是为什么黑客在攻击的时候多采用IP地址伪装、服务器跳转，并在入侵服务器之后清除日志文件的原因。

　　第五节、 *** 流行黑客软件简介

　　一、国产软件简介

　　溯雪

　　密码探测器：利用溯雪可以轻松的完成基于web形式的各种密码猜测工作，例如email、forum中的注册用户密码等。软件采取多线程编写，除了支持字典和穷举以外，软件更大的特色是可以自己编写猜测规则，例如可以按照中文拼音或者英文单词拼写规则随机组合出字典文件，更大程度上保证了猜测的准确性。

　　软件下载地址：

　　乱刀

　　密码破解：乱刀可以破解unix系统中的密码暗文，对于取得了etc/passwd文件的黑客来说这是必不可少的。

　　软件下载地址：

　　天网

　　防火墙软件：中国之一套通过公安部认证的软硬件集成防火墙，能有效的防止黑客入侵，抵御来自外部 *** 的攻击，保证内部系统的资料不被盗取，它根据系统管理者设定的安全规则把守企业 *** ，提供强大的访问控制、身份认证、应用选通、 *** 地址转换、信息过滤、虚拟专网、流量控制、虚拟网桥等功能。

　　软件下载地址：

　　冰河

　　木马类软件：国内响当当的木马软件，知名度绝不亚于BO，主要用于远程监控。自动跟踪屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、任意操作文件及注册表、远程关机、发送信息等多种监控功能。此软件的一大特色是可以由使用者自己设置需要占用的端口，如此一来监控类软件就很难从端口号上直接判断系统是否存在冰河了。

　　软件下载地址：

　　绿色警戒

　　防火墙软件：绿色警戒是中联绿盟信息技术公司开发的Win2000下个人防火墙软件，具有可靠的稳定性，能够对发送和接收信息进行分析过滤、能够编写规则防止系统受到攻击。

　　软件下载地址：

　　小分析家

　　监测类软件：免费 *** 协议分析工具，这个工具的特点是界面简单实用，与国外的一些sniffer产品相比，如Netxray，结果更为直观。此软件为免费版本，只能运行在NT系统下，同时编写此软件的公司还提供了软件的商业版本“网警“。

　　软件下载地址：

　　 *** 精灵

　　木马类软件：更具威力的远程控制软件之一。中国木马软件的开山鼻祖。国内用户最多、使用范围最广的国产远程控制软件。自从1998年初NetSpy1.0版发布以来，历经多次升级和完善，已经成为非常成熟、稳定的远程控制软件。

　　软件下载地址：

　　快速搜索

　　端口扫描器：快速搜索是一个在 *** 上搜索服务器的软件，可以根据给定的地址和端口号查找机器。具有多线程同时搜索技术，可以将搜索速度提高到单线程的十倍以上。

　　软件下载地址：

　　二、常见 *** 安全软件简介

　　Local Port Scanner

　　本地端口扫描器：通过这个软件可以监测本地电脑被打开的端口。此软件可以监测大多数黑客入侵或者木马占用的端口，它有五种不同的扫描方式并可以获得有关端口的详细扫描信息。

　　软件下载地址：

　　A-spy

　　系统进程察看器：A-spy可以监测Windows系统启动过程中调用的所有程序、执行的进程，并将结果保存在日志文件中。这个软件的用途是检察系统是否被安置了木马程序，同时软件还可以对系统启动需要调用的程序进行增加、删除和编辑等操作，改变调用程序之间的先后顺序，软件支持包括NT、2000在内的所有Windows平台，具有17种方式清楚木马程序。

　　软件下载地址：

　　Netmon

　　图形化Netstat命令：Netmon是图形化的Netstat命令，它运行在Windows系统中，可以察看系统的TCP、UDP连接状态，同时此软件提供了一份完整的木马、蠕虫占用端口清单，可以快速了解系统是否存在安全问题。

　　软件下载地址：

　　LANguard Network Scanner

　　局域网资料收集器：LANguard允许使用者扫描局域网内部的搜索电脑，搜集他们的netbios信息、打开端口、共享情况和其他相关资料，这些资料及可以被黑客利用进行攻击，也可以被管理员利用进行安全维护，通过它可以强行关闭指定端口和共享目录。

　　软件下载地址：

　　Leechsoft's NetMonitor

　　TCP/IP状态分析程序：这个软件使用于系统安全管理员、 *** 程序开发员、一般的拥护。此工具可以显示电脑在上网状态下存在的TCP/IP连接，同时还能分析是否有其他人正在监视上网者电脑中的某个端口，同时此工具内部还有一个功能强大的端口扫描程序。

　　软件下载地址：

　　Win Trinoo Server Sniper

　　清除Win.Trinoo Server程序：Win.Trinoo是一个类似DOS攻击的木马程序，被植入它的电脑将变成一台Win.Trinoo Server，黑客通过这个Server能够“借刀杀人”攻击其他电脑系统。Win Trinoo Server Sniper可以高速的监测电脑是否存在此问题。

　　软件下载地址：

　　SubSeven Server Sniper

　　清除SubSeven Server程序：同上面的工具一样，SubSeven也是一个木马程序，而SubSeven Server Sniper则是用来检测并清除SubSeven而设计的。不同的是，这个软件不但可以清楚SubSeven，而且还能搜集攻击者在您电脑中留下的蛛丝马迹，找到攻击者的ICQ号码、email地址等内容，从而为反跟踪提供了详尽的信息。

　　软件下载地址：

　　Attacker

　　端口监听程序：这是一个TCP/UDP端口监听程序，它可以常驻系统并在危险端口打开的时候发出警告信息，保证个人上网隐私的安全性。

　　软件下载地址：

　　ICEWatch

　　BlackICE插件：这个插件可以完善BlackICE的结果列表，让列表更加详尽，同时该插件还提供了更好的结果分类查询功能，并且可以对结果进行复制、编辑等操作。另外此插件为BlackICE提供了声音，可以设置软件使用过程中的提醒、警告的音效。

　　软件下载地址：

　　StartupMonitor

　　系统进程监视程序：这个程序在系统启动的时候自动执行，可以实时监视系统注册表的更新情况，防止了类似Netbus、BackOrifice等木马程序的入侵行为。软件环境系统：Windows98或更高版本。

　　软件下载地址：

　　Isecure IP Scanner

　　netbios共享扫描器：黑客利用netbios的共享可以进入存在问题的电脑并对硬盘进行操作，同时还可以获得入侵电脑上的隐私资料。这个扫描器就是专门为防止此类事件发生开发的，运行软件会自动扫描目标并报告有关资料。

　　软件下载地址：

　　AnalogX Port Blocker

　　端口屏蔽程序：当使用者的电脑上开放某个端口的时候，任何人都可以通过其开放端口访问相应资源，而AnalogX Port Blocker可以屏蔽某个端口，或者设置特殊IP地址禁止对指定端口的请求，这从一定程度上方便了程序调试人员为在本地系统上从事软件的测试工作。

　　软件下载地址：

　　Tambu Dummy Server

　　端口屏蔽程序：这个工具同上面一个程序的功能是一样的，不过不同的是，这个工具是基于控制台模式，更加适合于高手。

　　软件下载地址：

　　Tambu Registry Edit

　　注册表修改程序：该程序可以让使用者手动修改系统注册表中的各项键值，从而改变系统的性能，同时软件中保存了 *** 上常见的具有破坏性程序的资料，可以迅速确定系统注册表中是否有可疑程序，并提供了清除和备份等功能。

　　软件下载地址：

　　第二章、工具的使用

　　之一节、常用系统命令

　　一、ping命令

　　在Windows的控制窗口中（Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器），运行ping可以看到这个命令的说明，它是一个探测本地电脑和远程电脑之间信息传送速度的命令，这个命令需要 TCP/IP协议的支持，ping将会计算一条信息从本地发送到远程再返回所需要的时间，黑客使用这个命令决定是否对服务器进行攻击，因为连接速度过慢会浪费时间、花费过多的上网费用。

　　另外这个命令还可以透过域名找到对方服务器的IP地址，我们知道域名只是提供给浏览网页用的，当我们看到一个不错的域名地址后，要想通过telnet连接它，就必须知道对方的IP地址，这里也要使用ping命令的。

　　这个命令的基本使用格式可以通过直接运行ping获得，现在假设目标是则可以在控制台下输入ping 经过等待会得到如下信息：

　　Pinging [204.202.136.32] with 32 bytes of data:

　　Reply from 204.202.136.32: bytes=32 time=302ms TTL=240

　　Reply from 204.202.136.32: bytes=32 time=357ms TTL=240

　　Reply from 204.202.136.32: bytes=32 time=288ms TTL=240

　　Reply from 204.202.136.32: bytes=32 time=274ms TTL=240

　　Ping statistics for 204.202.136.32:

　　Packets: Sent=4, Received=4, Lost=0 (0% loss),

　　Approximate round trip times in milli-seconds:

　　Minimum=274ms, Maximum=357ms, Average=305ms

　　这些信息的意思是：的IP 地址是204.202.136.32，对他发送了四次数据包，数据包的大小是32字节，每一次返回的时间分别是302ms、357ms、288ms、 274ms。综合看，发送了四个数据包全部返回，最小时间是274ms，更大时间357ms，他们的平均时间是305ms。

　　这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法，例如可以通过IP地址反查服务器的NetBIOS名，现在以 211.100.8.87为例，使用ping配合“-a”，在控制台下输入命令ping -a 211.100.8.87，它的返回结果是：

　　Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data:

　　Reply from 211.100.8.87: bytes=32 time=96ms TTL=120

　　Reply from 211.100.8.87: bytes=32 time=110ms TTL=120

　　Reply from 211.100.8.87: bytes=32 time=110ms TTL=120

　　Reply from 211.100.8.87: bytes=32 time=109ms TTL=120

　　Ping statistics for 211.100.8.87:

　　Packets: Sent=4, Received=4, Lost=0 (0% loss),

　　Approximate round trip times in milli-seconds:

　　Minimum=96ms, Maximum=110ms, Average=106ms

　　从这个结果会知道服务器的NetBIOS名称是POPNET-FBZ9JDFV。另外在一般情况下还可以通过ping对方让对方返回给你的TTL值大小，粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间，例如上面的返回的TTL是240，对方的系统很可能是Linux，而第二个目标的TTL是120，那么说明它使用的系统也许是Windows。

　　另外ping还有很多灵活的应用，我不在这里过多的介绍，读者请另行查阅此命令相关帮助文件。

　　二、net命令：

　　NET命令是很多 *** 命令的 *** ，在Windows ME/NT/2000内，很多 *** 功能都是以net命令为开始的，通过net help可以看到这些命令的详细介绍：

　　NET CONFIG 显示系统 *** 设置

　　NET DIAG 运行MS的DIAGNOSTICS程序显示 *** 的DIAGNOSTIC信息

　　NET HELP 显示帮助信息

　　NET INIT 不通过绑定来加载协议或网卡驱动

　　NET LOGOFF 断开连接的共享资源

　　NET LOGON 在WORKGROUP中登陆

　　NET PASSWORD 改变系统登陆密码

　　NET PRINT 显示或控制打印作业及打印队列

　　NET START 启动服务，或显示已启动服务的列表

　　NET STOP 停止 *** 服务

　　NET TIME 使计算机的时钟与另一台计算机或域的时间同步

　　NET USE 连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息

　　NET VER 显示局域网内正在使用的 *** 连接类型和信息

　　NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表

　　这些命令在Win95/98中支持的比较少，只有几个基本常见的，而在NT或者2000中又元元多于上面的介绍，不过大多数对于初学者也没有必要掌握，所以我选择了WindowsME进行介绍，其中最常用到的是NET VIEW和NET USE，通过者两个命令，学习者可以连接 *** 上开放了远程共享的系统，并且获得资料。这种远程共享本来是为便捷操作设计的，但是很多 *** 管理员忽视了它的安全性，所以造成了很多不应该共享的信息的暴露，对于学习者来说，则可以轻易获得它人电脑上的隐私资料。

　　例如在控制台下输入net view //202.96.50.24则可以获得对应IP的系统共享目录，进而找到他们的共享文件，当然这需要202.96.50.24系统的确存在共享目录，具体如何找到这些存在共享的系统，我将会在后面的文章中进行介绍。

　　三、telnet和ftp命令：

　　这两个命令分别可以远程对系统进行telnet登陆和ftp登陆，两种登陆使用的不同的协议，分别属于两种不同的 *** 服务，ftp是远程文件共享服务，也就是说学习者可以将自己的资料上传、下载，但是它并没有过多的权利，无法在远程电脑上执行上传的文件；而telnet则属于远程登陆服务，也就是说可以登陆到远程系统上，并获得一个解释器权限，拥有解释器就意味着拥有了一定的权限，这种权限可能是基本的文件操作、也可能是可以控制系统的管理员权限。

　　四、netstat命令：

　　这个程序有助于我们了解 *** 的整体使用情况。它可以显示当前正在活动的 *** 连接的详细信息，如采用的协议类型、当前主机与远端相连主机（一个或多个）的IP地址以及它们之间的连接状态等。 使用netstat ？可以显示它的命令格式和参数说明：

　　netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下：

　　-a 显示所有主机的端口号；

　　-e 显示以太网统计信息；

　　-n 以数字表格形式显示地址和端口；

　　-p proto 显示特定的协议的具体使用信息；

　　-r 显示本机路由表的内容；

　　-s 显示每个协议的使用状态（包括TCP、UDP、IP）；

　　interval 重新显示所选的状态，每次显示之间的间隔数（单位秒）。

　　netstat命令的主要用途是检测本地系统开放的端口，这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马，因为常见的 *** 服务开放的默认端口轻易不会被木马占用，例如：用于FTP（文件传输协议）的端口是21；用于TELNET（远程登录协议）的端口是23；用于 *** TP（邮件传输协议）的端口是25；用于DNS（域名服务，即域名与IP之间的转换）的端口是53；用于HTTP（超文本传输协议）的端口是80；用于POP3（电子邮件的一种接收协议）的端口是110；WINDOWS中开放的端口是139，除此以外，如果系统中还有其他陌生的到口，就可能是木马程序使用的了。通过 netstat或者netstat -a可以观察开放的端口，如果发现下面的端口，就说明已经有木马程序在系统中存在：

　　31337号端口是BackOffice木马的默认端口；1999是Yai木马程序；2140或者3150都是DEEP THROAT木马使用的端口；还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口，因此发现了陌生端口一定要提高警惕，使用防火墙或者查病毒软件进行检测。

　　五、tracert命令：

　　这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。tracert命令的格式如下：

　　tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

　　命令行中的参数-d是要求tracert不对主机名进行解析，-h是指定搜索到目的地址的更大轮数，-j的功能是沿着主机列表释放源路由，-w用来设置超时时间间隔。

　　通过tracert可以判断一个服务器是属于国内还是国际（ *** 服务器的物理未知不能依靠域名进行判断），根据路由路经可以判断信息从自己的系统发送到 *** 上，先后经过了哪些IP到大对方服务器，这就好像乘公共汽车的时候从起点出发到达终点站的时候，中途会出现很多路牌一个道理，我们清楚了自己的信息的传送路径，才能够更清晰的了解 *** 、对服务器进行攻击。

　　六、winipcfg：

　　winipcfg和ipconfig都是用来显示主机内IP协议的配置信息。只是winipcfg适用于Windows 95/98，而ipconfig适用于Windows NT。winipcfg不使用参数，直接运行它，它就会采用Windows窗口的形式显示具体信息。这些信息包括： *** 适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，点击其中的“其他信息”，还可以查看主机的相关信息如：主机名、DNS服务器、节点类型等。其中 *** 适配器的物理地址在检测 *** 错误时非常有用。

　　ipconfig的命令格式如下：ipconfig [/ | /all | /release [adapter] | /renew [adapter]]

　　其中的参数说明如下：

　　使用不带参数的ipconfig命令可以得到以下信息：IP地址、子网掩码、默认网关。而使用ipconfig

　　/ 显示ipconfig的格式和参数的英文说明；

　　/all 显示所有的配置信息；

　　/release 为指定的适配器（或全部适配器）释放IP地址（只适用于DHCP）；

　　/renew 为指定的适配器（或全部适配器）更新IP地址（只适用于DHCP）。

　　/all，则可以得到更多的信息：主机名、DNS服务器、节点类型、 *** 适配器的物理地址、主机的IP地址、子网掩码以及默认网关等。

　　第二节、扫描器

　　一、扫描器的使用：

　　这里我使用x-scanner作为介绍对象，原因是x-scanner集成了多种扫描功能于一身，它可以采用多线程方式对指定IP地址段（或独立IP地址）进行安全漏洞扫描，提供了图形界面和命令行两种操作方式，扫描内容包括：标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL- SERVER默认帐户、FTP弱口令，NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中， index_*.htm为扫描结果索引文件。对于一些已知的CGI和RPC漏洞，x-scanner给出了相应的漏洞描述、利用程序及解决方案，节省了查找漏洞介绍的时间。

　　首先x-scanner包括了两个运行程序：xscann.exe和xscan_gui.exe，这两个程序分别是扫描器的控制台版本和窗口版本，作为初学者可能更容易接受窗口版本的扫描软件，因为毕竟初学者使用最多的还是“应用程序”，无论运行那一个版本，他们的功能都是一样的。首先让我们运行窗口版本看看：窗口分为左右两部分，左面是进行扫描的类型，这包括前面提到的漏洞扫描、端口扫描等基本内容；另一部分是有关扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入211.100.8.1- 211.100.8.255就会扫描整个C类的255台服务器（如果存在的话），这样黑客可以针对某一个漏洞进行搜索，找到大范围内所有存在某个漏洞的服务器。当然如果只输入一个IP地址，扫描程序将针对单独IP进行扫描。

　　剩下的端口设定在前面已经介绍过，一般对于网站服务器，这个端口选取80或者8080，对于某些特殊的服务器也许还有特殊的端口号，那需要通过端口扫描进行寻找。多线程扫描是这个扫描器的一大特色，所谓多线程就是说同时在本地系统开辟多个socket连接，在同一时间内扫描多个服务器，这样做的好处是提高了扫描速度，节省时间，根据系统的资源配置高低，线程数字也可以自行设定（设定太高容易造成系统崩溃）。

　　在图形界面下我们看到了程序连接地址“这实际上就是xscanner的控制台程序，也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理，程序运行真正执行的还是控制台程序。因此学习控制台是黑客所必需的，而且使用控制台模式的程序也是真正黑客喜爱的操作方式。

　　现在我们进行一个简单的cgi漏洞扫描，这次演练是在控制台模式下进行的：xscan 211.100.8.87 -port

　　这个命令的意思是让xscanner扫描服务器211.100.8.87的开放端口，扫描器不会对65535个端口全部进行扫描（太慢），它只会检测 *** 上最常用的几百个端口，而且每一个端口对应的 *** 服务在扫描器中都已经做过定义，从最后返回的结果很容易了解服务器运行了什么 *** 服务。扫描结果显示如下：

　　Initialize dynamic library succeed.

　　Scanning 211.100.8.87 ......

　　[211.100.8.87]: Scaning port state ...

　　[211.100.8.87]: Port 21 is listening!

　　[211.100.8.87]: Port 25 is listening!

　　[211.100.8.87]: Port 53 is listening!

　　[211.100.8.87]: Port 79 is listening!

　　[211.100.8.87]: Port 80 is listening!

　　[211.100.8.87]: Port 110 is listening!

　　[211.100.8.87]: Port 3389 is listening!

　　[211.100.8.87]: Port scan completed, found 7.

　　[211.100.8.87]: All done.

　　这个结果还会同时在log目录下生成一个html文档，阅读文档可以了解发放的端口对应的服务项目。从结果中看到，这台服务器公开放了七个端口，主要有 21端口用于文件传输、80端口用于网页浏览、还有110端口用于pop3电子邮件，如此一来，我们就可以进行有关服务的漏洞扫描了。

　　然后可以使用浏览看看这个服务器到底是做什么的，通过浏览发现原来这是一家报社的电子版面，这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在perl漏洞，之后进行进一步进攻。

　　漏洞扫描的道理和端口扫描基本上类似，例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台服务器上所有开放了80 端口的服务器上是否存在漏洞，并且找到存在什么漏洞，则可以使用xscan 61.135.50.1-61.135.50.255 -cgi进行扫描，因为结果比较多，通过控制台很难阅读，这个时候xscanner会在log下生成多个html的中文说明，进行阅读这些文档比较方便。

　　二、扫描器使用问题：

　　载使用漏洞扫描器的过程中，学习者可能会经常遇到一些问题，这里给出有关问题产生的原因和解决办法。扫描器的使用并不是真正黑客生涯的开始，但它是学习黑客的基础，所以学习者应该多加练习，熟练掌握手中使用的扫描器，了解扫描器的工作原理和问题的解决办法。

　　1、为什么我找不到扫描器报告的漏洞？

　　扫描器报告服务器上存在某个存在漏洞的文件，是发送一个GET请求并接收服务器返回值来判断文件是否存在，这个返回值在HTTP的协议中有详细的说明，一般情况下“200”是文件存在，而“404”是没有找到文件，所以造成上面现象的具体原因就暴露出来了。

　　造成这个问题的原因可能有两种：之一种可能性是您的扫描器版本比较低，扫描器本身存在“千年虫”问题，对于返回的信息扫描器在判断的时候，会错误的以为时间信息2000年x月x日中的200是“文件存在”标志，这样就会造成误报；

　　另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改，如果GET申请的文件不存在，服务器会自动指向一个“没有找到页面”的文档，所以无论文件是否存在，都不会将“404”返回，而是仍然返回成功信息，这样做是为了迷惑漏洞扫描器，让攻击者不能真正判断究竟那个漏洞存在于服务器上。

　　这一问题的解决办法也要分情况讨论，一般说来之一种情况比较容易解决，直接升级漏洞扫描器就可以了，对于第二种情况需要使用者对 *** 比较熟悉，有能力的话可以自己编写一个漏洞扫描器，自己编写的扫描器可以针对返回文件的大小进行判断，这样就可以真正确定文件是否存在，但这种 *** 对使用者的能力要求较高。

　　2、我使用的扫描器速度和 *** 速度有关系嘛？

　　另外对于很多 *** 服务器来说，为了防止黑客的扫描行为，可能会在防火墙上设置同一IP的单位时间GET申请数量，这样做目的就是避免黑客的扫描和攻击，所以在提高本地扫描速度之前，应该先确认服务器没有相应的过滤功能之后再使用。

　　3、扫描器报告给我的漏洞无法利用是什么原因？

　　确切地说扫描器报告的不是“找到的漏洞”，而是找到了一个可能存在漏洞的文件，各种 *** 应用程序都可能存在漏洞，但是在更新版本的过程中，老版本的漏洞会被修补上，被扫描器找到的文件应该经过手工操作确认其是否是存在漏洞的版本，这可以通过阅读 *** 安全网站的“安全公告”获得相应知识。

　　对于已经修补上漏洞的文件来说，也不代表它一定不再存有漏洞，而只能说在一定程度上没有漏洞了，也许在明天，这个新版本的文件中又会被发现还存在其他漏洞，因此这需要 *** 安全爱好者时刻关注安全公告。当然如果攻击者或者 *** 管理员对编程比较熟悉，也可以自己阅读程序并力图自己找到可能的安全隐患，很多世界著名的黑客都是不依靠他人，而是自己寻找漏洞进行攻击的。

　　4、扫描器版本比较新，然而却从来没有找到过漏洞是什么原因？

　　有一些扫描器专门设计了“等待时间”，经过设置可以对等待返回信息的时间进行调整，这就是说在“ *** 连接超时”的情况下，扫描器不会傻傻的一直等待下去。但如果你的 *** 速度比较慢，有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下面的扫描，这样当然是什么也找不到啦。

　　如果问题真的如此，可以将等待时间设置的长一些，或者换个ISP拨号连接。

　　5、扫描器报告服务器没有提供HTTP服务？

　　 *** 上大多数HTTP服务器和漏洞扫描器的默认端口都是80，而有少量的HTTP服务器并不是使用80端口提供服务的，在确认服务器的确开通了网站服务的情况下，可以用端口扫描器察看一下对方究竟使用什么端口进行的HTTP服务， *** 上常见的端口还有8080和81。

　　另外这种情况还有一种可能性，也许是使用者对扫描器的参数设置不正确造成的，很多扫描器的功能不仅仅是漏洞扫描，有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能，因此在使用每一款扫描器之前，都应该自己阅读有关的帮助说明，确保问题不是出在自己身上。

　　6、扫描器使用过程中突然停止响应是为什么？

　　扫描器停止响应是很正常的，有可能是因为使用者连接的线程过多，本地系统资源不足而造成系统瘫痪、也可能是因为对方服务器的响应比较慢，依次发送出去的请求被同时反送回来而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙，一旦察觉有人扫描就发送特殊的数据报回来造成系统瘫痪……

　　因此扫描器停止响应不能简单的说是为什么，也没有一个比较全面的解决方案，不过一般情况下遇到这种问题，我建议你可以更换其他扫描器、扫描另外一些服务器试试，如果问题还没有解决，就可能是因为扫描器与你所使用的系统不兼容造成的，大多数基于微软视窗的漏洞扫描器都是运行在Windows9X下的，如果是 Win2000或者NT也有可能造成扫描器无法正常工作。

　　7、下载回来的扫描器里面怎么没有可执行文件？

　　扫描器不一定非要是可执行的exe文件，其他例如perl、cgi脚本语言也可以编写扫描器，因此没有可执行文件的扫描器也许是运行在 *** 服务器上的，这种扫描器可以被植入到 *** 上的其它系统中，不需要使用者上网就能够24小时不停的进行大面积地址扫描，并将结果整理、分析，最后通过Email发送到指定的电子信箱中，因此这是一种比较高级的扫描器，初学者不适合使用。

　　另外注意载下在扫描器的时候注意压缩报文件的扩展名，如果是tar为扩展名，那么这个扫描器是运行在Linux系统下的，这种其它操作平台的扫描器无法在视窗平台下应用，文件格式也和FAT32不一样。

　　8、扫描器只报告漏洞名称，不报告具体文件怎么办？

　　只要漏洞被发现， *** 安全组织即会为漏洞命名，因此漏洞名称对应的文件在相当广泛的范围内都是统一的，只要知道了漏洞的名称，黑客就可以通过专门的漏洞搜索引擎进行查找，并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在 *** 上非常多，例如我国“绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。

　　第三节、木马与后门

　　现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么，同时还要搞清楚木马的类型，并且学习一些流行的木马程序的用法，这是一个相辅相成的学习进程，当黑客利用漏洞进入服务器之后，就可以选择两条路：一、破坏系统、获得资料、显示自己；二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统。

　　由此看来，木马程序是为第二种情况涉及的一种可以远程控制系统的程序，根据实现木马程序的目的，可以知道这种程序应该具有以下性质：

　　1、伪装性：程序将自己的服务端伪装成合法程序，并且具有诱惑力的让被攻击者执行，在程序被激活后，木马代码会在未经授权的情况下运行并装载到系统开始运行进程中；

　　2、隐藏性：木马程序通病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其他程序的运行进行的，因此在一般情况下使用者很难发现系统中木马的存在；

　　3、破坏性：通过远程控制，黑客可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作；

　　4、窃密性：木马程序更大的特点就是可以窥视被入侵电脑上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。

　　看了上面的介绍，学习者应该对木马程序的用途有了一个初步了解，并且区分清除木马程序和病毒之间的相同点和不同点，由于黑客手段的日益增多，许多新出现的黑客手段（例如 D.O.S）经常会让学习者思维混乱，但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的，因而对于初学者来说，并不需要急于接触过多的新技术，而是要对最基本的也是最有效的黑客技术进行深入学习。

　　一、木马的原理：

　　大多数木马程序的基本原理都是一样的，他们是由两个程序配合使用——被安装在入侵系统内的Server程序；另一个是对Server其控 *** 用的 Client程序。学习者已经了解了木马和病毒的区别，大多数Server程序不会像病毒一样主动传播，而是潜伏在一些合法程序内部，然后由目标操作者亲手将其安装到系统中，虽然这一切都是没有经过目标操作者授权的，然而从某种程度上说，这的确是在经过诱惑后目标“心甘情愿”接收木马的，当Server安装成功后，黑客就可以通过Client控制程序对Server端进行各种操作了。

　　木马程序的Server端为了隐藏自己，必须在设计中做到不让自己显示到任务栏或者系统进程控制器中，同时还不会影响其他程序的正常运行，当使用者电脑处于断线状态下，Server段不会发送任何信息到预设的端口上，而会自动检测 *** 状态直到 *** 连接好，Server会通过email或者其他形式将 Server端系统资料通知Client端，同时接收Client发送出来的请求。

　　二、BackOffice使用说明：

　　1、BackOffice简介：

　　Back Orifice（以下简称BO）是一个客户机、服务器(Client/Server)木马应用程序，其客户机程序可以用于监视、管理和使用其他 *** 中运行服务器程序所在的 *** 资源。要与BO服务器连接，基于文本或图形方式的BO客户机需要运行在微软视窗系统中。

　　2、服务器端程序的安装：

　　在安装BO以前，先要对有关服务器端程序进行一些参数设置：如安装后的BO文件名、监听端口、加密密码，这些设置可以使用boconfig.exe工具。在不进行上述设置的情况下，BO缺省是监听31337端口、不使用加密密码。

　　配置完毕后，将BO服务端交给目标系统并想办法让服务端程序在目标系统中执行，BO就可以自动进行安装了，并且会在安装完毕删除服务端程序，这样做有助于黑客，因为黑客入侵系统并将BO服务端上传完毕后，并不用考虑有关运行和删除服务端程序的问题，只要将这个程序上传到视窗系统的startup目录中就可以了，系统会在启动的时候自动执行startup目录中的程序，BO服务端安装完毕，相关程序会驻留在系统内部，所以即便删除了服务端程序，也不会将BO 从系统中清除。安装好BO服务端之后，BO会在系统每次启动的时候自动执行，此操作既不需要黑客考虑，也不会引起使用者的注意。

　　如果黑客需要远程更新BO服务端的版本，可以再一次将新版本的BO服务端上传到服务器上，然后利用手中的客户端使用Process spawn命令，BO会自动覆盖原系统中的老版本服务端程序。

　　3、客户端程序的使用：

　　BO客户端与服务端程序之间的信息是经过加密的UDP包，使用客户端确定目标的IP地址和端口，然后发送连接请求并验证密码，确认无误后就可以利用客户端对服务端系统进行控制了。BO的客户端程序分为图形界面和控制台界面两种操作方式，无论哪一种都可以实现其提供的所有功能。当试图进行连接的时候，控制台模式需要使用“-p”参数设置服务端程序端口。

　　如果入侵系统安装了防火墙，可能会屏蔽某些常见的木马占用端口，这就需要在开始设置时改变端口为一个防火墙没有屏蔽的端口，这一步是否能成功关键取决于黑客经验的多少。

　　输入对方的IP地址有两种情况：如果服务端系统拥有静态IP地址，可以在每次运行BO客户端时直接输入对方地址，并通过sweep或者ping命令进行连接申请；如果对方使用的是动态IP地址，需要在开始设置服务端时要求BO服务端在每次系统上网时将分配到的IP地址通过email方式传送到指定信箱中，然后由黑客到信箱中接收最新的服务器端系统的IP地址。

　　4、常用的BO命令和说明：

　　App add/appadd - 在TCP端口输出一个基于文本的应用程序。

　　App del/appdel - 从监听的连接中关闭一个应用程序。

　　Apps list/applist - 列出当前监听的连接中的应用程序。

　　Directory create/md - 创建目录。

　　Directory remove/rd - 删除目录。

　　Directory list/dir - 列出文件和目录，支持使用通配符。

　　Export add/shareadd - 在BO服务器上创建一个共享目录。

　　Export delete/sharedel - 删除一个共享目录。

　　Exports list/sharelist - 列出当前共享驱动器、目录、权限和密码等信息。

　　File copy/copy - 复制文件。

　　File delete/del - 删除文件。

　　File find/find - 在目录中查找符合条件的文件。

　　File view/view - 查看文件内容。

　　HTTP Disable/httpoff - 使HTTP服务器失效。

　　HTTP Enable/httpon - 使HTTP服务器有效。

　　Keylog begin/keylog - 记录服务器上的键盘操作。

　　Keylog end - 停止击键记录。基于文本的BO客户机使用“keylog stop”命令。

　　Net connections/netlist - 列出当前接入和接出的连接。

　　Net delete/netdisconnect - 断开BO服务器的一个 *** 资源连接。

　　Net use/netconnect - 把BO服务器连接到一个 *** 资源。

　　Net view/netview - 查看所有的 *** 接口、域名、服务器和可见的共享目录。

　　Ping host/ping - Ping主机，返回主机名和BO版本。

　　Process kill/prockill - 终止一个进程。

　　Process list/proclist - 列出运行中的进程。

　　Redir add/rediradd - 重定向接入的TCP连接或UDP数据包到另一个IP地址。

　　Redir del/redirdel - 停止端口重定向。

　　Redir list/redirlist - 列出激活的端口重定向。

　　Resolve host/resolve - 解析BO服务器主机名的IP地址，主机名可能是一个Internet主机名或本地 *** 机器名。

　　System info/info - 显示BO服务器上的系统信息，包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器信息。

　　System lockup/lockup - 锁住BO服务器机器。

　　System passwords/passes - 显示缓存中的用户密码和屏幕保护密码。

　　System reboot/reboot - 关闭BO服务器主机并重启动。

　　TCP file receive/tcprecv - 将BO服务器主机连接到一个特定的IP地址和端口，并保存所接收到的数据到特定文件中。

　　TCP file send/tcpsend - 将BO服务器主机连接到一个特定的IP地址和端口，发送特定文件中的内容，然后断开此连接。

　　三、有争议的程序：

　　可以肯定木马程序是专门为黑客开发的，随着时间的推移一些功能象大的木马程序也被用来当作远程管理工具，然而这些木马程序都是“明目张胆”出现在我们面前的，另外还有一些隐藏的非常巧妙的类木马程序，他们的发现给 *** 带来了不小的争议，这是些正常的、无破坏性的电脑软件，而且这些软件中的大多数都是免费软件，软件作者为了获得收入，在开发软件的时候在程序中加入了收集使用者电脑信息的代码，也就是说当使用者运行这些软件的时候，软件会自动为使用者进行“注册”，将系统中的各种个人信息发送给软件作者，然后再由软件作者将这些资料出卖给第三方人员，以此赚取收入。

　　这种作为 *** 软件所应该付出的回报的做法并无可厚非，但是问题出现在软件究竟从使用者电脑上获得了那些资料？如果单纯是电脑的类型、硬件配置等也还能够让人接受，但如果是关于个人信用卡或者个人email地址等隐私性问题，这种软件是否构成了木马的性质就很难说清楚了，当然这是否称得上侵犯个人隐私也还是一个悬而未决的问题。

　　第四节、如何防范黑客

　　黑客对服务器进行扫描是轻而易举的，一旦找到了服务器存在的问题，那么后果将是严重的。这就是说作为 *** 管理员应该采取不要的手段防止黑客对服务器进行扫描，本节我将谈谈如何才能让自己的服务器免遭黑客扫描。

　　一、防范黑客心得体会：

　　1、屏蔽可以IP地址：

　　这种方式见效最快，一旦 *** 管理员发现了可疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客就无法在连接到服务器上了。但是这种 *** 有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能会伪造 IP地址，屏蔽的也许是正常用户的地址。

　　2、过滤信息包：

　　通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成系统崩溃。

　　3、修改系统协议：

　　对于漏洞扫描，系统管理员可以修改服务器的相应协议，例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的，这个数值如果是200则表示文件存在于服务器上，如果是404则表明服务器没有找到相应的文件，但是管理员如果修改了返回数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。

　　4、经常升级系统版本：

　　任何一个版本的系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。

　　5、及时备份重要数据：

　　亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。数据的备份更好放在其他电脑或者驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。

　　然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击 *** ，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

　　6、使用加密机制传输数据：

　　对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该仙经过加密处理在进行发送，这样做的目的是防止黑客监听、截获。对于现在 *** 上流行的各种加密机制，都已经出现了不同的破解 *** ，因此在加密的选择上应该寻找破解困难的，例如DES加密 *** ，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。

　　二、防火墙使用说明：

　　1．什么是防火墙？

　　防火墙的英文叫做firewall，它能够在 *** 与电脑之间建立一道监控屏障，保护在防火墙内部的系统不受 *** 黑客的攻击。逻辑上讲，防火墙既是信息分离器、限制器，也是信息分析器，它可以有效地对局域网和Internet之间的任何活动进行监控，从而保证局域网内部的安全。

　　 *** 上最著名的软件防火墙是LockDown2000，这套软件需要经过注册才能获得完整版本，它的功能强大，小到保护个人上网用户、大到维护商务网站的运作，它都能出色的做出惊人的表现。但因为软件的注册需要一定费用，所以对个人用户来说还是选择一款免费的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了，天网防火墙个人版是一套给个人电脑使用的 *** 安全程序，它能够抵挡 *** 入侵和攻击，防止信息泄露。

　　2、天网防火墙的基本功能：

　　天网防火墙个人版把 *** 分为本地网和互联网，可以针对来自不同 *** 的信息，来设置不同的安全方案，以下所述的问题都是针对互联网而言的，故所有的设置都是在互联网安全级别中完成的。 怎样防止信息泄露？如果把文件共享向互联网开放，而且又不设定密码，那么别人就可以轻松的通过互联网看到您机器中的文件，如果您还允许共享可写，那别人甚至可以删除文件。你可以在个人防火墙的互联网安全级别设置中，将NETBIOS 关闭，这样别人就不能通过INTERNET访问你的共享资源了（这种设置不会影响你在局域网中的资源共享）。

　　当拨号用户上网获得了分配到的IP地址之后，可以通过天网防火墙将ICMP关闭，这样黑客用PING的 *** 就无法确定使用者的的系统是否处于上网状态，无法直接通过IP地址获得使用者系统的信息了。

　　需要指出的是：防火墙拦截的信息并不完全是攻击信息，它记录的只是系统在安全设置中所拒绝接收的数据包。在某些情况下，系统可能会收到一些正常但又被拦截的数据包，例如某些路由器会定时发出一些IGMP包等；或有些主机会定时PING出数据到本地系统确认连接仍在维持着，这个时候如果利用防火墙将ICMP 和IGMP屏蔽了，就会在安全记录中见到这些被拦截的数据包，因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。

　　3、使用防火墙的益处：

　　使用防火墙可以保护脆弱的服务，通过过滤不安全的服务，Firewall可以极大地提高 *** 安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，同时可以拒绝源路由和ICMP重定向封包。

　　另外防火墙可以控制对系统的访问权限，例如某些企业允许从外部访问企业内部的某些系统，而禁止访问另外的系统，通过防火墙对这些允许共享的系统进行设置，还可以设定内部的系统只访问外部特定的Mail Server和Web Server，保护企业内部信息的安全。

　　4、防火墙的种类：

　　防火墙总体上分为包过滤、应用级网关和 *** 服务器等三种类型：

　　（1）数据包过滤

　　数据包过滤(Packet Filtering)技术是在 *** 层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， *** 性能和透明性好，它通常安装在路由器上。路由器是内部 *** 与Internet连接必不可少的设备，因此在原有 *** 上增加这样的防火墙几乎不需要任何额外的费用。

　　数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

　　（2）应用级网关

　　应用级网关(Application Level Gateways)是在 *** 应用层上建立协议过滤和转发功能。它针对特定的 *** 应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

　　数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的 *** 结构和运行状态，这有利于实施非法访问和攻击。

　　（3） *** 服务

　　 *** 服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的 *** 通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"，由两个终止 *** 服务器上的" 链接"来实现，外部计算机的 *** 链路只能到达 *** 服务器，从而起到了隔离防火墙内外计算机系统的作用。此外， *** 服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向 *** 管理员发出警报，并保留攻击痕迹。

　　三、防病毒从杀毒开始：

　　2001年的七、八两月对反病毒厂家无疑是一段"幸福时光"，先后爆发的Sircam和"红色代码"让国内的杀毒厂家们忙的不亦乐乎，上门求助的用户络绎不绝， *** 商的订货单频频发来，用火爆形容此时的杀毒行业一点也不为过。病毒横行互联网并不一定是黑客所谓，但这也同样影响着互联网的安全，所以要做好 *** 安全工作还要时刻警惕病毒的产生。

　　使用好的杀毒软件是防范病毒的明智选择，一个商家如何让自己的杀毒软件立于不败之地、一个用户如何选择优秀的杀毒软件？这些问题主要从下面三个方面来衡量：

　　1、迅速消灭病毒

　　从2001年4月至今，CIH、"欢乐时光"、"陷阱"、Sircam和红色代码病毒在世界各地大面积疯狂肆虐，对让人心有余悸的CIH，众多杀毒厂家已有了充分准备，但真正让他们经受考验的是紧随其后的几个恶性病毒。

　　当这些病毒在国内出现苗头之际，兼备国内和国际病毒库的江民公司迅速查杀并发布了解决方案和升级程序，及时消灭了这些恶性病毒，将广大计算机用户的损失减小到更低程度。据江民公司技术人员透露，近来江民网站的访问量急剧上升，大量的计算机用户到江民网站了解病毒知识、下载升级程序、学习杀毒 *** 。这些现象都说明实效性对衡量杀毒软件好坏起到至关重要的影响。

　　2、软件升级方便

　　病毒的不可预期使得频频升级成了杀毒软件一大特点。而性能稳定，升级方便，则无疑会使用户在病毒到来时没有后顾之忧。例如 *** 上各种新病毒的产生，随之而来的是全新的杀毒概念—— *** 杀毒，用户上网通过浏览器就可以检测自己的系统中是否存在病毒、并进行清除，这对于今后的杀毒市场无疑是一个新方向、新概念。

　　 *** 杀毒具有更高的时效性，并且可以轻松升级杀毒软件的病毒识别库，软件升级方便，让更多的病毒在没有大面积流行之前就断绝了它的传播途径，这种杀毒新概念的优越性是显而易见的。

　　3、技术引领潮流

　　说到底，技术还是决定一个杀毒软件的命脉。在反病毒领域，技术是检验真理的唯一标准。

　　杀毒软件的牌子是杀出来的，谁最能杀，谁最能防，谁能在病毒发作后恢复丢失的文件和数据，谁又能引导该行业的技术潮流，不断推陈出新，与国际领先水平相比毫不逊色，谁就是最终的胜者，这也是广大计算机用户多年来形成的检验标准。如果哪个杀毒软件因为一点小漏洞给用户带来损失，那它自然就会失宠。

　　占用资源少，扫描速度快，杀毒能力强，这是广大用户心目中理想的杀毒软件模型。对于 *** 蠕虫病毒查杀、宏病毒查杀、邮件防毒、未知病毒查杀、硬盘修复、智能升级和防黑客等在国际上领先的技术，是今天成功杀毒软件必不可少的功能。

　　四、2001年流行病毒一览：

　　这本《攻学兼防》是2001年8月写成的，而面对 *** 的瞬息万变，我也没有能力预测今后若干年会出现什么变故，因而只能做个简单的抛砖引玉，看看病毒流行和防范工作是如何进行的。

　　公安部日前指出，目前我国计算机系统遭病毒感染和破坏的情况比较严重。据最近的一次调查表明，我国约73％的计算机用户曾感染过病毒，其中感染三次以上的用户高达59％，而且病毒的破坏性较大，全部数据被病毒破坏的占14％，部分损失的占57％。

　　在随后美国一家反病毒公司的调查中显示，41%的调查者安装了杀毒软件，但这一部分人中，只有26%的人至少每月升级一次杀毒软件来防止最新病毒。而真正令人担忧的是，即使知道最近潜伏病毒威胁，比如Sircam、红色代码等病毒，大多数调查者仍然表示没有兴趣改变他们的在线安全习惯。

　　从以上数据不难看出，全球的计算机信息安全问题依然任重道远，仍有许多计算机用户因缺乏足够的防范病毒意识和知识使病毒得以横行。这一点在我国更为明显，尤其是7、8月份以来，一些用户屡遭几种复发率较高的病毒如"欢乐时光"、CIH等的毒手。日前，国内权威反病毒专家王江民指出，虽然近期国内暂时没有大的疫情出现，但7、8月份延续而来的病毒高发期并没有过去， 9月，计算机用户应密切关注反病毒厂家的动态信息，重点防范四大病毒。

　　1、“欢乐时光”首当其冲

　　“欢乐时光”是今年4月底出现的一种通过电子邮件传播的VBS/HTM蠕虫类病毒，这种针对微软信件浏览器的弱点而编写的病毒已经被公认为上半年国内更具危险性的十大恶性病毒之一，它的传播性和危害性丝毫不比7、8月份流行的Sircam和"红色代码"逊色，而且它的复发率极强，当染毒计算机的日期为日+ 月=13时，该病毒就会死灰复燃。自5月8日之一次大规模爆发以来，尽管该病毒已被广大用户所熟知，但由于该病毒在感染上的特殊性，即作为邮件内容而不是作为附件传染，而且还有可能通过浏览被感染网站而遭受感染，所以几个月来，被该病毒感染的用户数量始终不减。

　　2、Sircam“毒”占鳌头

　　相信“Hi! How are you”、“See you later.Thanks”这样的句子大家早已不再陌生了，这就是不断在肆意散发用户邮件及机密文档，但因只占用资源并未出现较大危害而使得许多用户在感染后还不知道的Sircam病毒。

　　Sircam病毒是一种首发于英国的恶性 *** 蠕虫病毒，主要通过电子邮件附件进行传播，目前有A，B，C3个变种，在传播自身的同时，它也要大量将用户的 DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发，已有相当多的 *** 机密文档和企业资料被泄密。如果受感染的机器上的日期的格式是：日 /月/年的话，那么在每年的10月16日该 *** 蠕虫程序会将C盘上的所有文件以及目录删除；在该 *** 蠕虫程序发现自身不完全时，该 *** 蠕虫程序就会将 WINDOWS安装目录所在的驱动器上的文件和所有的子目录完全删除；同时还会在系统的回收站中写入文件：Sircam.sys一直到硬盘的剩余空间为零。

　　Sircam病毒在感染电脑后会自我复制，然后根据受感染电脑内的电子邮件地址寄出副本，并随机夹带出一个档案。同时该病毒并不针对任何特定的电子邮件软件，如微软(Microsoft)的Outlook等，该病毒拥有自己的电子邮件引擎，所以可能感染任何电子邮件的使用者。因此Sircam病毒比专家预期的更难以对付且存活时间更长，可以断言，该病毒在未来一段时期内仍将是全球电脑用户的头号大敌，对该病毒的防范意识和措施应继续加强。

　　3、“红色代码”阴魂不散

　　2001年8月份，尽管危害性最强的是迅速蹿至全球头号杀手的Sircam，尽管有权威专家在人们谈红色变时及时出来降了温，但近日“红色代码”再生变种的消息又让心有余悸的人不禁胆寒。

　　公安部近期对“红毒”专门发布的通告称，“红色代码Ⅱ”病毒是一种具有严重危害后果的恶性病毒，该病毒具有传播速度快、可造成 *** 通讯阻塞、服务器瘫痪、含黑客远程控制程序等特征，它主要威胁使用Windows2000或NT操作系统的局域网、企业网和互联网，但没有像最近社会上传说的那样对全国 *** 系统造成巨大影响。截止2001年8月22日，我国受“红色代码Ⅱ”病毒感染的单位近600家，服务器1000余台，涉及全国20多个省区市。

　　4、Funlove死缠烂打

　　WIN32.FunLove.4099病毒是驻留内存的Win32病毒，它感染本地和 *** 中的PE-EXE文件，属于一种易监测、难杀除的顽劣病毒。当染毒的文件被运行时，该病毒将在Windows/system目录下创建FLCSS.EXE文件，在其中只写入纯代码部分，并运行这个生成的文件。

　　一旦在创建FLCSS.EXE文件的时候发生错误，病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行，主机程序在执行时几乎没有可察觉的延时。

　　传染模块将扫描本地从 C: to Z:的所有驱动器，然后搜索 *** 资源，扫描 *** 中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件，当感染一个文件时，该病毒将其代码写到文件的尾部并且添加启动程序（8字节长的代码）将控制权传递给病毒体。当被激活，病毒将首先恢复这8字节的代码然后运行它的主程序。并在机器间完全共享的文件中极为迅速地传播，致使计算机长期处于“病态”。

　　 *** 时代的病毒常常是不可预见的，正如2001年7月涌现Sircam、8月泛滥"红色代码"，9月是否新的计算机安全杀手又将横空出世尚不可知。时至今日，通过 *** 滋生和传播的病毒已达60％以上，让人类从经济和精神上饱受打击，对病毒的防范，除了呼唤更好的单机版杀毒软件为个人用户筑起一道坚实的防护墙，除了期盼更安全的 *** 版防杀毒系统为企事业单位竖起牢固的盾牌，除了希望杀毒厂家能提供更优质及时的升级服务和技术支持外，其余能做的，只有牢记象与病毒征战了十余年的王江民那样的专家不断重复的几句话：一是要养成备份文件的习惯，二是及时升级杀毒软件以更大限度地减少损失，三是学会利用杀毒软件进行灾难恢复。

　　与病毒抗争，永远都是：亡羊补牢犹为晚

　　之一节、最简单的几种攻击和防范 ***

　　本节介绍的攻击 *** 是为后面专门介绍相关内容做铺垫，读者在学习的时候应该多了解一些有关Perl和网站的知识，如果可能，更好在自己的系统中安装一套网站服务程序，然后寻找一些免费的Perl代码进行调试、研究。

　　一、攻击免费论坛：

　　这里介绍的攻击非常简单，它所达到的效果就是获得论坛管理员密码、具有修改论坛的权限等，所以并不设计漏洞扫描和清除痕迹等步骤。首先介绍一下问题的起源：在 *** 上很多网站都提供了论坛或者电子留言版，这些服务大多数使用asp、php、cgi或者perl编写完成，而对于这些免费的论坛代码黑客也能够获得，因此只要经过分析就可以找到“免费软件中的缺陷”，进而对网站上提供的论坛进行攻击。

　　例如网站提供的“稿件管理系统”就存在一个很严重的问题（本人已经和他们联系并说明此漏洞、相关漏洞现已修复），让我们看看通过浏览器访问它的形式，当我们阅读其中的稿件时，会发现在URL内的地址是/list.asparticleid=nnnn，显然list.asp是显示文章的程序，而后面的 articleid=nnnn则是它的参数，nnnn是文章的编号。当黑客申请成为tougao网站的一员后，便拥有了上传文章和修改、删除自己发表文章的权利，修改文章使用editarticleself.asparticleid=nnnn，其中的nnnn应该是自己的文章代码，但是如果黑客将文章代码改变会怎么样呢？

　　修改了文章代码后发现，可以对其他文章进行修改！也就是说任何经过免费注册成为tougao网站的用户都可以拥有修改任意文章的权利，同时使用delarticleself.asp则可以删除任何文章！

　　一次攻击过程我已经叙述完了，是不是非常简单？其实像这种问题 *** 上随处可见，好好想一下，如果对nnnn的修改进行的更“不着边际”，例如输入几个英文字母或者标点符号会出现什么情况？经过尝试发现，当属的数值为“单引号”是，系统会出现错误并报告数据库文件的名称、磁盘物理路径等敏感信息，这样就可以直接通过下载软件将他们的数据库下载到本地并从中找到管理员账号。

　　在早期的YukiBBS3000上，当注册者的注册信息内包含单引号时，也会出现“程序运行错误”的提示，并且造成论坛的内部数据错误，彻底终止论坛的正常运行。

　　二、防范攻击：

　　相对来说，网易、新浪等大型门户网站在这方面做的比较好，他们对文章ID号进行了判断，防止特殊字符的介入，如果使用者输入了非法的字符，经过检测系统会提示输入的ID号码非法，并且拒绝接受请求，返回一个“输入字符非法”的界面。

　　另外对于文章的修改，他们也考虑的非常周到，在进行每一次文章修改的时候，系统都会检测用户身份，确定准备修改的文章是否属于登陆身份，如果不属于则会提出警告信息。而实际上，这种问题在早期他们的网站上也是存在的，只不过因管理员 *** 安全意识比较强，因此即使的发现并修补了漏洞。

　　cgi、perl等程序在设计的时候，必须考虑到各种可能出现的情况，例如对文件名的提交必须考虑周到，一个程序没有考虑到的特殊名称也许会对系统造成非常严重的后果，用户输入一个文件名,有可能就试图打开输入危险字符串！例如用户输入的文件名中包含路径字符，如目录斜杠和双点！尽管你期望的是输入公用的文件名（例如report.txt），但结果却可能是/report.txt或等等，系统中所有文件就有可能泄露出去，后果是可想而知的。

　　设计cgi、perl程序，更好能够在代码中加入下面的非常字符检测代码：

　　if(($file_name=~/[^a-zA-Z_/.]/)||($file_name=~/^/))

　　{ #文件包含有不合法字符 }

　　另外还要注意对大于号、小于号的判断，因为这两种符号是html文档中的属性符号，不进行屏蔽会对论坛造成严重的后果， *** 上不是有很多“小儿科”的聊天室踢人术吗？简单的方式是不允许小于号和大于号的出现，因为所有HTML语法必须包含在这两个字符间，如果程序检测到它们就返回一个错误提示，下面一行 Perl代码快速地清除了这两个字符：

　　$user_input=~s///g;

　　当然还有比较好的选择，就是将这两个字符转换成它们的HTML换码(特殊的代码),用于表示每个字符而不使用该字符本身。下面的代码通过全部用替换了大于符号，从而完成了转换过程:

　　$user_input=~s//& gt;/g;

　　三、编写简单的邮件炸弹：

　　利用Perl程序可以非常快速的编写邮件炸弹程序，这种 *** 比起直接使用别人编写的邮件炸弹要好的多，至少学习者能够真正“体会一下”什么才是黑客。有关这个炸弹的编译环境是具备一台有CGI权限的 *** 服务器，同时这台服务器上提供了sendmail命令（当然这一切可以在自己的系统上进行设置），并且学习着还要初步了解有关perl语言的知识。

　　程序的原理非常简单，就是利用sendmail命令向目标重复发送相同内容的电子邮件，为了控制发送邮件的数量，我们声明一个计数器变量，同时将程序用while()函数做循环，下面我们看一下程序的源代码：

　　#!/bin/perl

　　$file='/user/lib/sendmail';

　　$target='';

　　$count=0;

　　while($count