口令攻击的主要方式及相关防护手段
口令攻击的主要方式及相关防护手段
口令是网络系统的第一道防线。当前的网络系统都是通过口令来验证用户身份、实施访问控制的。口令攻击是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程。
如果口令攻击成功黑客进入了目标网络系统,他就能够随心所欲地窃取、破坏和篡改被侵入方的信息,直至完全控制被侵入方。所以,口令攻击是黑客实施网络攻击的最基本、最重要、最有效的方法之一。
口令攻击的主要方法
1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。
5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。
7、网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
8、键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。
9、其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。
口令攻击的防护手段
要有效防范口令攻击,我们要选择一个好口令,并且要注意保护口令的安全。
1、好口令是防范口令攻击的最基本、最有效的方法。最好采用字母、数字、还有标点符号、特殊字符的组合,同时有大小写字母,长度最好达到8个以上,最好容易记忆,不必把口令写下来,绝对不要用自己或亲友的生日、手机号码等易于被他人获知的信息作密码。
2、注意保护口令安全。不要将口令记在纸上或存储于计算机文件中;最好不要告诉别人你的口令;不要在不同的系统中使用相同的口令;在输入口令时应确保无人在身边窥视;在公共上网场所如网吧等处最好先确认系统是否安全;定期更改口令,至少六个月更改一次,这会使自己遭受口令攻击的风险降到最低,要永远不要对自己的口令过于自信。
学软件破解需要知道的6个最基本概念
1. 断点:
所谓断点就是程序被中断的地方,这个词对于解密者来说是再熟悉不过了。那么什么又是中断呢?中断就是由于有特殊事件(中断事件)发生,计算机暂停当前的任务(即程序),转而去执行另外的任务(中断服务程序),然后再返回原先的任务继续执行。打个比方:你正在上班,突然有同学打电话告诉你他从外地坐火车过来,要你去火车站接他。然后你就向老板临时请假,赶往火车站去接同学,接着将他安顿好,随后你又返回公司继续上班,这就是一个中断过程。我们解密的过程就是等到程序去获取我们输入的注册码并准备和正确的注册码相比较的时候将它中断下来,然后我们通过分析程序,找到正确的注册码。所以我们需要为被解密的程序设置断点,在适当的时候切入程序内部,追踪到程序的注册码,从而达到crack的目的。
2. 领空:
这是个非常重要的概念,但是也初学者是常常不明白的地方。我们在各种各样的破解文章里都能看到领空这个词,如果你搞不清楚到底程序的领空在哪里,那么你就不可能进入破解的大门。或许你也曾破解过某些软件,但那只是瞎猫碰到死老鼠而已(以前我就是这样的^_^,现在说起来都不好意思喔!)。所谓程序的领空,说白了就是程序自己的地方,也就是我们要破解的程序自己程序码所处的位置。也许你马上会问:我是在程序运行的时候设置的断点,为什么中断后不是在程序自己的空间呢?因为每个程序的编写都没有固定的模式,所以我们要在想要切入程序的时候中断程序,就必须不依赖具体的程序设置断点,也就是我们设置的断点应该是每个程序都会用到的东西。在DOS时代,基本上所有的程序都是工作在中断程序之上的,即几乎所有的DOS程序都会去调用各种中断来完成任务。但是到了WINDOWS时代,程序没有权力直接调用中断,WINDOWS系统提供了一个系统功能调用平台(API),就向DOS程序以中断程序为基础一样,WINDOWS程序以API为基础来实现和系统打交道,从而各种功能,所以WINDWOS下的软件破解其断点设置是以API函数为基础的,即当程序调用某个API函数时中断其正常运行,然后进行解密。例如在SOFTICE中设置下面的断点:bpx GetDlgItemText(获取对话框文本),当我们要破解的程序要读取输入的数据而调用GetDlgItemText时,立即被SOFTICE拦截到,从而被破解的程序停留在GetDlgItemText的程序区,而GetDlgItemText是处于WINDWOS自己管理的系统区域,如果我们擅自改掉这部分的程序代码,那就大祸临头了^_^!所以我们要从系统区域返回到被破解程序自己的地方(即程序的领空),才能对程序进行破解,至于怎样看程序的领空请看前面的SOFTICE图解。试想一下:对于每个程序都会调用的程序段,我们可能从那里找到什么有用的东西吗?(怎么样去加密是程序自己决定的,而不是调用系统功能实现的!)
3. API:
即Application Programming Interface的简写,中文叫应用程序编程接口,是一个系统定义函数的大集合,它提供了访问操作系统特征的方法。 API包含了几百个应用程序调用的函数,这些函数执行所有必须的与操作系统相关的操作,如内存分配、向屏幕输出和创建窗口等,用户的程序通过调用API接口同WINDOWS打交道,无论什么样的应用程序,其底层最终都是通过调用各种API函数来实现各种功能的。通常API有两中基本形式:Win16和Win32。 Win16是原来的、API的16位版本,用于Windows 3.1;Win32是现在的、API的32位版本,用于Windows 95/98/NT/ME/2000。Win32包括了Win16,是Win16的超集,大多数函数的名字、用法都是相同的。16位的API函数和32位的API函数的区别在于最后的一个字母,例如我们设置这样的断点:bpx GetDlgItemText、bpx GetDlgItemTextA和bpx GetDlgItemTextW,其中 GetDlgItemText是16位API函数,GetDlgItemTextA和GetDlgItemTextW是32位API函数,而GetDlgItemTextA表示函数使用单字节,GetDlgItemTextW表示函数使用双字节。现在我们破解中常用到的是Win32单字节API函数,就是和GetDlgItemTextA类似的函数,其它的两种(Win16 API和Win32双字节API函数)则比较少见。 Win32 API函数包含在动态链接库(Dynamic Link Libraries,简称DLLs)中,即包含在kernel32.dll、user32.dll、gdi32.dll和comctl32.dll中,这就是为什么我们要在softice中用exp=C:\windows\system\kernel32.dll等命令行将这些动态链接库导入softice中的原因。因为不这样做的话,我们就无法拦截到系统Win32 API函数调用了。
4. 关于程序中注册码的存在方式:
破解过程中我们都会去找程序中将输入的注册码和正确的注册码相比较的地方,然后通过对程序的跟踪、分析找到正确的注册码。但是正确的注册码通常在程序中以两种形态存在:显式的和隐式的,对于显式存在的注册码,我们可以直接在程序所处的内存中看到它,例如你可以直接在SOFTICE的数据窗口中看到类似"297500523"这样存在的注册码(这里是随意写的),对于注册码显式存在的软件破解起来比较容易;但是有些软件的程序中并不会直接将我们输入的注册码和正确的注册码进行比较,比如有可能将注册码换算成整数、或是将注册码拆开,然后将每一位注册码分开在不同的地方逐一进行比较,或者是将我们输入的注册码进行某种变换,再用某个特殊的程序进行验证等等。总之,应用程序会采取各种不同的复杂运算方式来回避直接的注册码比较,对于这类程序,我们通常要下功夫去仔细跟踪、分析每个程序功能,找到加密算法,然后才能破解它,当然这需要一定的8086汇编编程功底和很大的耐心与精力。
5. 关于软件的破解方式:
本人将破解方式分为两大类,即完全破解和暴力破解。所谓完全破解主要是针对那些需要输入注册码或密码等软件来说的,如果我们能通过对程序的跟踪找到正确的注册码,通过软件本身的注册功能正常注册了软件,这样的破解称之为完全破解;但如果有些软件本身没有提供注册功能,只是提供试用(DEMO),或是注册不能通过软件本身进行(例如需要获取另外一个专用的注册程序,通过INTERNET的注册等等),或者是软件本身的加密技术比较复杂,软件破解者的能力、精力、时间有限,不能直接得到正确的注册码,此时我们需要去修改软件本身的程序码。
6. 关于破解教程中程序代码地址问题:
破解教程中都会放上一部分程序代码以帮助讲解程序的分析方法,例如下面的一段程序代码:
......
0167:00408033 PUSH 00
0167:00408035 PUSH EBX
0167:00408036 CALL [USER32!EndDialog]
0167:0040803C JMP 0040812C
......
在这里程序中的代码地址如0167:00408033,其代码段的值(即0167)有可能根据不同的电脑会有区别,不一定一模一样,但偏移值应该是固定的(即00408033不变),所以如果看到破解文章里的程序代码的地址值和自己的电脑里不一样,不要以为搞错地方了,只要你的程序代码正确就不会有问题。
青娱乐或将退出360安全卫士查杀列表
日前,奇虎公司360安全卫士工作小组接到北京锋力信息科技有限公司关于青娱乐客户端软件退出恶意软件列表的申明。360安全卫士技术人员进行了相关的技术鉴定,证实了情况确如北京锋力信息科技有限公司在申请邮件中所述:无强制安装行为、能方便彻底的卸载,符合《360安全卫士恶意软件判别标准》的底线要求。按照《360安全卫士恶意软件退出流程》,360安全卫士将相关技术意见提交督导委员会审核,在获得2/3以上委员通过之后,目前正式进入为期十天的全民举证环节。
举证期间,任何网民均可以通过举反证的方式来否决此次“青娱乐”客户端软件的退出,对这款产品不符合“无强制安装、能方便彻底卸载”的行为予以举报,360安全卫士小组将根据投诉信息进行相关技术鉴定,如经核实,将中止“青娱乐”客户端软件的退出。
网民可以通过发邮件service@360safe.com或者直接登陆到(bbs.360safe.com),以及向督导委员会委员、各大媒体反馈并由其向360安全卫士工作小组转达等多种方式进行举报。
据悉,符合恶意软件判别标准的公司,均可向360安全卫士工作小组提起退出申请,通过技术鉴定、督导委员会审核、全民举证三个环节之后可退出。在退出之后再次被网民投诉的软件,经过核实无误后将立即被加入,并予以公告。
附:北京锋力信息科技有限公司发给360安全卫士工作小组的退出申请邮件
TO:360安全卫士
我公司旗下“青娱乐”客户端下载软件并不存在任何恶意行为。青娱乐客户端下载软件现在完全采用主动安装方式,在安装过程中不存在任何强制或诱导用户安装的因素,也不捆绑任何插件。用户完全可以通过标准的添加/删除程序,方便、安全、彻底的从电脑中卸载青娱乐软件,不会在用户的电脑中遗留任何功能文件。在使用过程中,更不会收集、暴露和分析用户的任何信息,不盗取用户的任何隐私数据,也不会弹出任何广告。
锋力信息科技有限公司将继续以行业健康有序发展为己任,与广大业界合作伙伴携手,彻底打击恶意软件,共同构建积极进步的中国互联网产业。青娱乐软件支持360安全卫士以及业界公认的相关标准,我们也愿意接受来自社会各界的监督,愿青娱乐能够为净化网络环境贡献自己的一份力量!
北京锋力信息科技有限公司“青娱乐”2006年11月21日
多管齐下,一步一步揪出隐藏的木马!
出处:网友世界
作者:佚名
许多黑客工具中,都被作者加得有后门,一不小心就很容易中招。怎么判断自己下载的软件里面到底有没有后门呢?今天笔者就将自己平时检测软件安全性的方法告诉大家……
一、安装程序验身,木马后门不得入内
从网上下载各种软件程序,本身就是一种很危险的行为,许多下载站点网页被恶意者攻击挂马,或是在安装程序中捆绑木马。因此,首先对下载与安装程序过程进行了检测,看看是否包含木马病毒。
1.搭建测试环境
在进行测试前,笔者往往会先对当前系统备份。笔者最常用系统备份工具是“雨过天晴电脑保护系统”(如图1),这个软件可为系统建立多个还原点,可恢复到任何状态,还原速度不超过十秒钟,最适合进行软件安装测试。使用方法很简单,打开程序界面,点击左侧的“创建进度”按钮,输入进度名称为描述信息,确定后即可为当前系统创建一个备份。
图1 装个“雨过天晴”对电脑进行保护
同时,笔者在系统中安装了江民杀毒软件KV2006,并升级了最新的病毒库。然后点击菜单“工具”→“选项”,选择“实时监控”选项卡,开启病毒实时监控的所有项目。
2.检测下载网页及安装程序
因此在打开网页进行下载前,确定开启了杀毒软件网页实时监控项目(如图2),然后从测试网站上下载了一个安全工具,在下载过程中杀毒软件没有提示报警。然后在资源管理器中,右键点击下载来的工具压缩包,选择“江民杀毒”命令,进行彻底的病毒扫描,也未提示有病毒。
图2 江民提示没有病毒
二、监视安装过程,后门别想混进
确认开启了KV2006实时监控中的“文件监控”与“注册表监控”功能,开始安装下载的安全工具,在安装过程中KV2006未提示发现病毒,不过注册表监控功能有了提示(如图3)!
图3 注册表监有了提示
刚才安装程序对注册表动了什么手脚呢?点击KV2006界面菜单“工具”→“木马一扫光”,打开木马一扫光工具窗口。点击菜单“查看”→“拦截记录”,在中间的列表窗口中显示了被修改注册表键值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”,该注册表项用于管理IE插件的加载(如图4)。打开IE浏览器,看到工具栏中居然多出了一个“情色搜索”的按钮。
图4 IE工具栏多出了一个“情色搜索”
没办法,只好在“运行”中输入“regedit.exe”,执行后打开注册表管理器,找到拦截的注册表键,将其删除掉。最后再次用KV2006扫描程序的安装目录及整个系统,确认系统中没有感染木马及病毒,继续下面的检测。
三、勘察程序留下的脚印
有的程序虽然没有为系统带来木马和病毒,但是却无法完全彻底的卸载清除,会在系统中留下一些后门,悄悄记录用户私密数据。恢复干净的系统后,笔者进行了如下的卸载测试:
1.生成快照
在安装程序前,首先运行了快照工具Regshot(下载Regshot),设置“比较记录另存为HTML文档”;勾选“扫描”项,设置“快照目录”为“C:\”;在“输出路径”中设置对比文件保存在“D:\”。然后点击“摄取1”→“摄取并存档”命令,程序开始对当前系统文件及注册表情况生成快照(如图5)。
图5 生成系统快照
然后安装程序,运行一段时间后,将程序卸载掉,切换回Regshot程序。点击界面中的“摄取2”→“摄取并存档”命令,程序开始扫描程序卸载后的系统文件及注册表情况并生成快照文件。
2.快照对比
点击“比较”按钮,程序开始对比两次快照文件的不同,对比完毕自动打开比较记录文件。可以看到程序卸载后,未在硬盘中保留其它多余的文件,但是那个注册表键值还保留着的(如图6)。
图6 比较结果(+上图可点击放大)
四、检测伴生木马进程
有一些程序在运行时会同时在内存中解压并运行隐蔽的后门,因此检测程序的伴生进程是很重要的一个步骤。
1.生成进程记录文件
点击“开始”→“运行”菜单,执行“cmd.exe”命令,打开命令提示符窗口。在命令提示符下执行命令:“tasklist >D:\1.txt”,成功后将会在D盘下生成一个名为“1.txt”的文件,其中记录了当前系统中所有的进程名。
运行程序后,再次执行命令:“tasklist >D:\2.txt”(PConline注:tasklist命令在WinXP Pro中自带,WinXP Home中无。),将会生成新的进程记录文件“2.txt”。
2.对比进程列表
在命令提示符窗口中执行命令:“FC D:\1.txt D:\2.txt >D:\3.txt”,成功后将会自动对比两个进程记录文件中的不同,并生成对比文件。打开对比文件“3.txt”,可以看到程序运行后只产生了一个名为“domain3.5.exe”的进程(如图7)。
图7 对比后发现多了一个“domain3.5.exe”的进程
3.检测隐藏进程
不过Windows中自带的进程管理命令,无法显示一些内核级或带有ROOTKIT隐藏性能的进程,因此还是需要检测程序运行时是否产生了隐藏的间谍进程。可使用IceSword工具,使用方法很简单,这里就不多作介绍了。
五、查出程序后门
有的程序本身就可能有后门组件,开启后没有执行功能即会在后台收集用户私密数据。要发送数据就必须打开端口,因此只要检测系统中是否打开了多余的端口。
运行IceSword,点击左侧“查看”→“端口”,在右侧观察系统端口开放情况。然后运行程序后,在窗口中点击右键,选择“刷新列表”命令,可以看到程序连接了远程主机的8080端口(如图8)!在程序中很有可能包含着某些后门!那就跟踪分析一下后门程序究竟干了些什么!
图8 用IceSword查看程序连接状况
六、嗅探后门程序
首先,运行Winsock Expert,点击工具栏“打开”,在对话框中点击程序进程名,再点击确定按钮,开始嗅探。在嗅探过程中,笔者进行了正常的网络操作,浏览一些网页撰写了一个文档。过了大约二十分钟后,返回嗅探数据窗口。查看其中“Status”栏中有“send”标记的,点击该列数据,下方窗口显示程序向远程服务器发送了数据信息(如图9)。没想到其中居然有“Username”之类的字符串!虽然发送的数据串看起来比较奇怪,但肯定是发送用户名数据的,那密码之类的信息肯定也被记录发送了!
图9 用Winsock Expert嗅探发送状况
没想到随便下载的一个所谓“黑客工具”,里面居然有这样的猫腻,笔者赶快关闭了程序并将其彻底清除出系统。网上下载的软件使用时真的要慎重啊!如果碰上一些可疑的程序,可以按笔者介绍的方法时行检测,看看这个程序是不是真的干净!
