反黑风暴-第12章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



步骤06单击【允许修改】按钮，确认软件的修复操作。在弹出的对话框中都单击【允许修改】按钮，即可修复选中的项目。当选中的项目所包含的内容都修复完成后，即可弹出【确认】对话框。在其中看到选中的项目中的3个问题已被修复，还有2个问题尚未被修复。

步骤07单击【确定】按钮，即可关闭对话框。若要修复剩余的2个问题，可重新启动计算机，程序会自动进行修复。

步骤08修复选中的项目后，若用户想还原修复的项目，可以在左侧列表中选择“还原”选项，在右侧界面中的列表框中选择要还原的项目，单击【还原】按钮，即可还原修复的项目。

步骤09在左侧列表中选择“免疫”选项，即可自动扫描系统，在其中检查当前系统的免疫情况。在右侧界面中单击【Immunize】按钮，可以获得永久性免疫功能，从而有效地阻止间谍软件和广告程序的入侵。

第四章　系统监控与网站漏洞攻防

为了能够成功入侵用户的电脑，黑客常常利用一些监测软件对用户的电脑进行监视，包括访问的网页、收发的邮件、安装执行的程序等活动，从而盗取重要信息。此外，黑客还常常费尽心思地查找网站中存在的漏洞，然后再利用这些漏洞攻击电脑。本节将介绍RealSpyMonitor监视器的使用方法、FTP漏洞和网站数据库漏洞攻防的详细内容。

4。4。1RealSpyMonitor监视器

RealSpyMonitor是一个功能强大的互联网和个人电脑监测安全软件，它能监视包括键盘敲击、网页站点访问、视窗开关、程序执行、屏幕扫描以及文件访问等所有活动。网络监视器还可以记录聊天对话信息（包括AOL，ICQ，MSN，AIMMessenger等），并监视用户的网页邮件内容（包括MSN，Hotmail等其它资料）。RealSpyMonitor监视器的具体使用方法。

步骤01在计算机中安装RealSpyMonitor软件后，启动程序，进入其主界面中。RealSpyMonitor的主界面共分为四列，分别是“Option”，“PCActivity”，“Inter”以及“Buttons”。

步骤02单击“Option”列中的“HotkeyChoice”选项，即可打开【Configuration】对话框。该对话框的左侧列表中共有7个选项，先选择“GeneralSetting”选项。在右侧的界面中选中“LoadmeonWindowsStartupforallUsers”复选框，可以更有效地发挥RealSpyMonitor的监控功能，而其它选项则保留默认设置就可以了。单击【ResetAccessPassword】按钮，可以重新设置RealSpyMonitor的密码；单击【UninstallMe】按钮，可以快速卸载RealSpyMonitor程序。

步骤03在左侧列表中选择“LoggingRecord”选项，即可进入界面中。在这个界面中，可以设置在RealSpyMonitor启动后所需要记录的事件，包括键盘的敲击、窗口的标题、浏览的Web页面、执行的程序、访问的文件；还有MSN、ICQ、AIM、YahooMessenger等聊天工具的聊天记录；MSN/Hotmail和Yahoo邮箱的信件内容。另外，在“LogFilePath”文本框中还可以设置RealSpyMonitor记录文件的路径。

步骤04在左侧列表中选择“EmailDelivery”选项，在右侧界面中显示其包含的内容。选中“SendlogsviaEmail”复选框，在“SendMailto”、“SendMailfrom”和“MailSubject”文本框中分别输入接收方、发送方的地址和发送的邮件的主题；取消勾选“UsedefaultSMTPMailHost”复选框，在“SMTPMailHost”、“Username”和“Password”文本框中分别输入发送方的SMTP服务器地址、发送方的用户名及密码；在“Sendenvery”文本框中输入发信的间隔时间，其它选项可根据用户的需要进行设置。

步骤05在左侧列表中选择“SnapshotsSpy”选项，在右侧的界面中可以设置抓图所生成的JPG格式图片的质量、抓图的时间间隔、最大的图片数、图片占用的最大空间以及抓图的对象。打开RealSpyMonitor的记录文件夹（“LogFilePath”文本框中的路径），该文件夹中记录了过去几分钟内用户使用电脑所进行的一切操作的详细记录。

步骤06在左侧列表中选择“HotkeyChoice”选项，在右侧的界面中可以设置启动RealSpyMonitor的热键。在“Selectyourhotkeypatten”下拉列表中选择一种快捷键，如“Ctrl＋Alt＋V”。

步骤07在左侧列表中选择“ContentFiltering”选项，在右侧的界面中用户可以根据需要设置在哪些情况下不进行记录，不进行记录的内容可以是哪些可信任的Web页面或者某些应用程序。

步骤08在左侧列表中选择“FTPDelivery”选项，即可进入其界面中。该选项和“EmailDelivery”选项的功能相似，只不过是将记录通过FTP协议发送到某个FTP服务器上。

步骤09单击【Ok】按钮，返回RealSpyMonitor的主界面中。界面中的第二列和第三列中的选项是用来查看本机的记录文件的，在有了记录之后，每一栏的记录数量都与刚启动RealSpyMonitor时的数量不一样。“ScreenSnapshots”栏中记录了6张截图。

步骤10选择界面中第二列中的任意一个选项，即可进入【Report】窗口中。在该窗口中可以查看键盘敲击记录、访问的网页记录、打开的windows窗口记录、打开的应用程序记录、抓图记录以及访问过的文件记录等。

步骤11选择界面中第三列中的任意一个选项，可打开聊天记录窗口和邮箱记录窗口中的任意一个窗口。在聊天信息记录窗口中，可以查看RealSpyMonitor监视到的MSN、ICQ等比较流行的聊天软件的聊天记录；在邮箱信息记录窗口中，可以查看Hotmail和Yahoo邮箱的信件记录。

4。4。2FTP漏洞攻防

现在网络上的木马后门非常多，其中很多都是需要用户手动进行各种免杀和伪装操作。而“SUS迷你FTP后门”具备良好的隐身术，它启动后会自动伪装成svchost进程，可以穿透防火墙，是一般杀毒软件不能查杀的。而且“SUS迷你FTP后门”能够将后门融入小巧的FTP服务器中，既能进行快速大量可靠的传输文件，又不失后门强大的控制功能。最重要的是，该后门不像其它后门那样需要特定的客户端程序，它可以在任何时间、任何地点任由用户控制。下面介绍“SUS迷你FTP后门”的具体使用方法。

步骤01将下载的“SUS迷你FTP后门”压缩包解压（将其解压到一个不含空格的目录里），可看到该工具是一个独立的程序文件wmiapsrv。exe。此文件名与Windows系统中的WMI远程服务文件非常相似，在程序文件wmiapsrv。exe上右击，在弹出的快捷菜单中选择【属性】菜单项，即可打开【wmiapsrv属性】对话框，在其中可以看到微软的数字签名。由于这个原因，所以很多安全工具都无法查杀它。

步骤02从网上下载一个UltraEdit编辑器，在该编辑器中打开wmiapsrv。exe。

步骤03按下【Ctrl＋F】组合键，即可打开【查找】对话框。在“查找”文本框中输入“3408”，然后单击【查找下一个】按钮，即可定位到木马端口项上。此为“十六进制”数，对应默认木马端口为2100。

步骤04若想将其端口设置为“21”，可在UltraEdit编辑器右侧的列表框中右键单击，在弹出的快捷菜单中选择【数字转换器】菜单项，即可打开【数字转换器】对话框。在“输入格式”文本框中输入“21”，并在下方选择“十进制”选项，在右侧选择“十六进制”选项，即可计算出21对应的十六进制数为“15”。

步骤05在UltraEdit编辑器中将“3408”更改为“1500”，则木马端口被设置为“21”。

步骤06“SUS迷你FTP后门”的默认用户名为“sus”，默认密码为“sus666”。在UltraEdit编辑器中打开【查找】对话框，在“查找”文本框中输入“sus”并选中“查找ASCII”复选框，单击【查找下一个】按钮，即可查找到“SUS迷你FTP后门”的用户名和密码，用户还可以根据需要对其进行修改。

步骤07在其中设置好木马端口、用户名和登录密码后，即可上传到被控端的某个文件夹中，运行后即可完成服务端的安装。用户可通过IE浏览器、FTP专用工具、Tel工具与FTP服务器连接，并可用Tel工具远程控制目标主机。

步骤08在浏览器地址栏中输入木马端口，在弹出的【登录身份】对话框中输入“用户名”和“密码”。单击【登录】按钮，即可与FTP服务器连接。

步骤09利用Windows系统中自带的FTP命令，也可与FTP服务器连接，并远程控制目标主机。打开“命令提示符”窗口，在其中输入ftp命令。

步骤10在“ftp”命令提示符下输入“openIP地址端口”命令（这里是open192。168。0。72100），与FTP服务器连接。按照提示输入用户名sus和密码sus666，即可登录进去。除运行传统的ftp命令外，这里还可以用“quote”加上后门控制命令，如quotepslist，查看目标主机进程。

4。4。3网站数据库漏洞攻防

作为脚本漏洞的头号杀手锏——数据库下载漏洞，现在已经被越来越多的人所熟知。数据基本上都存储在数据库中，数据库文件保存着网站的重要信息，包括管理员用户名和密码等。如果被黑客利用管理员身份登录网站并控制目标计算机，将对目标主机进行破坏，因此，保护数据库就成为了保护数据的重要环节。

1。使用搜索引擎搜索数据库

如果网站使用的编程程序是ASP，则在调用数据库时，需要用到＋server。mappath语句设定数据库位置，使用conn。open语句与数据库建立连接。

很多大型搜索引擎可搜索在本搜索引擎注册的网页，所以黑客可通过搜索server。mappath关键词找到网站数据库的位置。由于许多网站的数据库文件使用的是mdb默认后缀，黑客也可以通过搜索。mad关键词找到数据库。

搜索到数据库链接地址后，可以使用IE浏览器下载数据库文件到本地计算机上，打开数据库文件可以查看网站管理员的用户名和登录密码。

2。使用软件搜索数据库

除可以使用搜索引擎搜索到数据库，并使用IE浏览器进行下载外，还可以使用“挖掘鸡”这样的软件搜索很难被搜索引擎直接搜索到的数据库。例如，一些黑客软件（包括网站管理员及管理员工具）往往会在网站生成习惯性的特定路径，这些特定路径很难被搜索引擎直接搜索到，这时就可以使用软件进行扫描来获取敏感信息或webshell等权限，再下载搜索到的数据。“挖掘鸡”可以快速搜索SQL注入漏洞、攻击拿到网站服务器的肉鸡（黑客称被控制的目标主机为肉鸡）等，是网站数据库漏洞攻击的好工具。

下面介绍如何利用“挖掘鸡”软件搜索网站数据库。

步骤01在计算机中安装下载的“挖掘鸡”软件并运行，即可进入其主界面中。在界面上方选择【后缀】选项卡，在下面的列表框中勾选“数据库”节点复选框。

步骤02单击界面上方的【开始】按钮，开始扫描，搜索到的所有数据库链接都会显示在【结果】选项卡下的左侧列表框中。

步骤03双击其中任意一个数据连接，即可打开【文件下载…安全警告】对话框。单击【保存】按钮，即可下载该数据库文件。在