1、RPC漏洞,Remote Procedure Call( RPC,远程过程调用)是windows使用的一个协议,在处理通过TCPIP进行信息交换过程中,如果遇到畸形数据包,将导致RPC服务无提示的崩溃掉;而且由于许多应用和服务程序都依赖于该RPC(默认安装情况下该服务的135端口是开放的),因此可能遭到这些程序与服务的拒绝。,黑客如果要利用这个漏洞,可以发送畸形请求给远程服务器监听的特定RPC端口,如:135、139、445等任何配置了RPC端口的机器,受到攻击的Windows系统大多出现系统蓝屏、重新启动、自动关机等现象。 在win2000中停止掉此服务后比较明显的特征是复制文件时,鼠标右键
2、的“粘贴”总是禁用的。,RPC漏洞攻击,在攻击之前,一般要用RPC漏洞扫描器先扫描出网络上的存在RPC漏洞的机器。 扫描出漏洞之后即可向有RPC漏洞的机器发起攻击,比如使用冲击波病毒向对方开放的135端口发起攻击。 当系统资源被大量占用,会出现RPC服务终止的对话框,并且系统反复重启,不能收发邮件,不能正常复制文件,无法正常浏览网页,复制粘贴等操作受到影响,DNS和IIS服务遭到非法拒绝等现象。,拒绝服务攻击,拒绝服务攻击,也叫DOS(denial of service)。 拒绝服务攻击就是用超出被攻击目标处理能力的数据包可用系统、带宽资源,致使网络服务瘫痪的一种攻击手段。,什么是拒绝服务,拒
3、绝服务的攻击原理是:攻击者首先通过比较常规的黑客手段侵入并控制某个网站之后,在该网站的服务器上安装并启动一个攻击者发出的特殊指令来进行控制的进程。 当攻击者把攻击对象的IP地址作为指令下达给这些进程时,这些进程就开始对目标主机发起攻击,这种方式可集中成百上千服务器的带宽能力对某个特定目标实施攻击,所以在悬殊的带宽对比下,被攻击目标的剩余带宽会被迅速耗尽,从而导致该服务的瘫痪。,拒绝服务攻击的类型,1、Ping拒绝服务攻击 2、land攻击 3、SYN flood攻击 4、UDP flood攻击 5、Smurf攻击 6、畸形消息攻击 7、DDos(分布式拒绝服务攻击) 8、对安全工具的拒绝服务攻
4、击,恶意代码概述,代码是指计算机程序代码,可以被执行完成特定功能。任何食物事物都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取决于使用工具的人。计算机程序也不例外,软件工程师们编写了大量的有用的软件(操作系统,应用系统和数据库系统等)的同时,黑客们在编写编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码(Malicious Codes)。,恶意代码的发展史,恶意代码经过20多年的发展,破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高,网络传播的恶意代码对人们日常生活影响越来越大。 1988 年11 月泛滥的Morris蠕虫,顷刻之间使得6000 多台计算机(占当时I
5、nternet 上计算机总数的10%多)瘫痪,造成严重的后果,并因此引起世界范围内关注。 1998 年CIH病毒造成数十万台计算机受到破坏。1999 年Happy 99、Melissa 病毒大爆发,Melissa 病毒通过E-mail 附件快速传播而使E-mail 服务器和网络负载过重,它还将敏感的文档在用户不知情的情况下按地址簿中的地址发出。 2000 年5 月爆发的“爱虫”病毒及其以后出现的50 多个变种病毒,是近年来让计算机信息界付出极大代价的病毒,仅一年时间共感染了4000 多万台计算机,造成大约87 亿美元的经济损失。,恶意代码的发展史,2001 年,国信安办与公安部共同主办了我国首
6、次计算机病毒疫情网上调查工作。结果感染过计算机病毒的用户高达73,其中,感染三次以上的用户又占59多,网络安全存在大量隐患。 2001 年8月,“红色代码”蠕虫利用微软Web 服务器IIS 4.0 或5.0 中Index服务的安全漏洞,攻破目标机器,并通过自动扫描方式传播蠕虫,在互联网上大规模泛滥。 2003 年,SLammer 蠕虫在10 分钟内导致互联网90脆弱主机受到感染。同年8月,“冲击波”蠕虫爆发,8天内导致全球电脑用户损失高达20亿美元之多。 2004年到2006年,振荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播,给国家和社会造成了巨大的经济损
7、失。,恶意代码从80 年代发展至今体现出来的3个主要特征,恶意代码日趋复杂和完善 恶意代码编制方法及发布速度更快 从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码,7.1.3 恶意代码长期存在的原因,计算机技术飞速发展的同时并未使系统的安全性得到增强。技术进步带来的安全增强能力最多只能弥补由应用环境的复杂性带来的安全威胁的增长程度。不但如此,计算机新技术的出现还很有可能使计算机系统的安全变得比以往更加脆弱。 AT&T 实验室的S. Bellovin曾经对美国CERT(Computer Emergency Response Team)提供的安全报告进行过分析,分析结果表明,大约50%的计
8、算机网络安全问题是由软件工程中产生的安全缺陷引起的,其中,很多问题的根源都来自于操作系统的安全脆弱性。互联网的飞速发展为恶意代码的广泛传播提供了有利的环境。互联网具有开放性的特点,缺乏中心控制和全局视图能力,无法保证网络主机都处于统一的保护之中。计算机和网络系统存在设计上的缺陷,这些缺陷会导致安全隐患。,恶意代码实现机理,早期恶意代码的主要形式是计算机病毒。80年代,Cohen 设计出一种在运行过程中可以复制自身的破坏性程序,Adleman将它命名为计算机病毒,它是早期恶意代码的主要内容。随后,Adleman把病毒定义为一个具有相同性质的程序集合,只要程序具有破坏、传染或模仿的特点,就可认为是
9、计算机病毒。这种定义有将病毒内涵扩大化的倾向,将任何具有破坏作用的程序都认为是病毒,掩盖了病毒潜伏、传染等其它重要特征。,恶意代码的定义,90 年代末,恶意代码的定义随着计算机网络技术的发展逐渐丰富,Grimes 将恶意代码定义为,经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。它包括计算机病毒(Computer Virus)、蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹(Logic Bombs)、病菌(Bacteria)、用户级RootKit、核心级RootKit、脚本恶意代码(Malicious Scr
10、ipts)和恶意ActiveX 控件等。由此定义,恶意代码两个显著的特点是:非授权性和破坏性。,恶意代码的相关定义,恶意代码攻击机制,恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为6个部分: 侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶意代码的电子邮件;从光盘或软盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码可能
11、会改名、删除源文件或者修改系统的安全策略来隐藏自己。 潜伏。恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。 破坏。恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。 重复至对新的目标实施攻击过程。,恶意代码实现关键技术,一段好的恶意代码,首先必须具有良好隐蔽性,生存性,不能轻松被软件或者用户察觉。然后,必须具有良好的攻击性。,恶意代码生存技术,生存技术主要包括4方面: 反跟踪技术 加密技术 模糊变换技术 自动生产技术。 反跟踪技术可以减少被发现的可能性,加密技术是恶意代码自身保护的重要机制。,1. 反跟踪技术,(1)禁止跟踪中断。针对调试分
12、析工具运行系统的单步中断和断点中断服务程序,恶意代码通过修改中断服务程序的入口地址实现其反跟踪目的。“1575”计算机病毒采用该方法将堆栈指针指向处于中断向量表中的INT 0至 INT 3区域,阻止调试工具对其代码进行跟踪。 (2)封锁键盘输入和屏幕显示,破坏各种跟踪调试工具运行的必需环境; (3)检测跟踪法。检测跟踪调试时和正常执行时的运行环境、中断入口和时间的差异,根据这些差异采取一定的措施,实现其反跟踪目的。例如,通过操作系统的API 函数试图打开调试器的驱动程序句柄,检测调试器是否激活确定代码是否继续运行。 (4)其它反跟踪技术。如指令流队列法和逆指令流法等。,2. 加密技术,加密技术
13、是恶意代码自我保护的一种手段,加密技术和反跟踪技术的配合使用,使得分析者无法正常调试和阅读恶意代码,不知道恶意代码的工作原理,也无法抽取特征串。从加密的内容上划分,加密手段分为信息加密、数据加密和程序代码加密三种。 大多数恶意代码对程序体自身加密,另有少数恶意代码对被感染的文件加密。例如,“Cascade”是第一例采用加密技术的DOS环境下的恶意代码,它有稳定的解密器,可以解密内存中加密的程序体。“Mad ”和“Zombie”是“Cascade”加密技术的延伸,使恶意代码加密技术走向32位的操作系统平台。此外,“中国炸弹”(Chinese bomb)和“幽灵病毒”也是这一类恶意代码。,恶意代码
14、攻击技术,常见的攻击技术包括:进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。,得到管理员密码,用户登录以后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,可以利用程序将当前登录用户的密码解码出来,如图所示。,使用FindPass等工具可以对该进程进行解码,然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录,执行该程序,将得到当前用户得登录名,如图所示。,权限提升,有时候,管理员为了安全,给其他用户建立一个普通用户帐号,认为这样就安全了。 其实不然,用普通用户帐号登录后,可以利用工具GetAd
15、min.exe将自己加到管理员组或者新建一个具有管理员权限的用户。,普通用户建立管理员帐号,利用Hacker帐户登录系统,在系统中执行程序GetAdmin.exe,程序自动读取所有用户列表,在对话框中点击按钮“New”,在框中输入要新建的管理员组的用户名,如图所示。,普通用户建立管理员帐号,输入一个用户名“IAMHacker”,点击按钮“确定”以后,然后点击主窗口的按钮“OK”,出现添加成功的窗口,如图所示。,暴力攻击,暴力攻击的一个具体例子是,一个黑客试图使用计算机和信息去破解一个密码。 一个黑客需要破解段单一的被用非对称密钥加密的信息,为了破解这种算法,一个黑客需要求助于非常精密复杂的方法
16、,它使用120个工作站,两个超级计算机利用从三个主要的研究中心获得的信息,即使拥有这种配备,它也将花掉八天的时间去破解加密算法,实际上破解加密过程八天已是非常短暂的时间了。,字典文件,一次字典攻击能否成功,很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机,可以根据公司管理员的姓氏以及家人的生日,可以作为字典文件的一部分,公司以及部门的简称一般也可以作为字典文件的一部分,这样可以大大的提高破解效率。,一个字典文件本身就是一个标准的文本文件,其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件,图是一个简单的字典文件。字典文
17、件为暴力破解提供了一条捷径,程序首先通过扫描得到系统的用户,然后利用字典中每一个密码来登录系统,看是否成功,如果成功则将密码显示,暴力破解操作系统密码,暴力破解操作系统密码 比如使用图所示的字典文件,利用工具软件GetNTUser依然可以将管理员密码破解出来,如图所示。,暴力破解邮箱密码,邮箱的密码一般需要设置到八位以上,否则七位以下的密码容易被破解。 尤其七位全部是数字,更容易被破解。,电子邮箱暴力破解,破解电子邮箱密码,一个比较著名的工具软件是:黑雨POP3邮箱密码暴力破解器,主界面如图所示。,暴力破解软件密码,目前许多软件都具有加密的功能,比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话,同样容易被破解。,Office文档暴力破解,破解Word文档密码,该密码是三位的,使用工具软件,Advanced Office XP Password Recovery可以快速破解Word文档密码,主界面如图所示。,
