正文

黑客掌握系统控制权的做法包括()（黑客掌握系统控制权的做法包括()A口令猜测B隐藏自身IP）

发布时间：2023-04-19 07:36:54 稿源：创意岭阅读： 59

大家好！今天让创意岭的小编来大家介绍下关于黑客掌握系统控制权的做法包括()的问题，以下是小编对此问题的归纳整理，让我们一起来看看吧。

开始之前先推荐一个非常厉害的Ai人工智能工具，一键生成原创文章、方案、文案、工作计划、工作报告、论文、代码、作文、做题和对话答疑等等

只需要输入关键词，就能返回你想要的内容，越精准，写出的就越详细，有微信小程序端、在线网页版、PC客户端

官网：https://ai.de1919.com。

创意岭作为行业内优秀的企业，服务客户遍布全球各地，如需了解SEO相关业务请拨打电话175-8598-2043，或添加微信：1454722008

本文目录:

1、黑客攻击原理
2、黑客攻击与木马问题
3、ipc突然不显示中文了
4、网络黑客是怎么操作的

黑客掌握系统控制权的做法包括()（黑客掌握系统控制权的做法包括()A口令猜测B隐藏自身IP）

一、黑客攻击原理

黑客入侵常用的攻击手法

1. 利用系统漏洞进行攻击

这是一种最普通的攻击手法，任何一种软件、一种操作系统都有它的漏洞，因而利用操作系统本身的漏洞来入侵、攻击网站也成为了一种最普遍的攻击手法，一方面由于网络安全管理员安全意识低下，没有及时对系统漏洞进行修补或选用默认安装的方式，从而被入侵者攻击得逞；另一方面由于系统漏洞很容易被初学者所掌握。由于服务器在初次安装完成后，都存在着重大安全隐患，正如米特尼克所说，他可以进入世界任何一台默认安装的服务器。不光是米特尼克能进入任何一台默认安装的服务器，任何一个稍懂计算机漏洞的人都可以做到。

2. 通过电子邮件进行攻击

这属于一种简单的攻击方法，一般有3种情况。第1种情况：攻击者给受害人发送大量的垃圾信件，导致受害人信箱的容量被完全占用，从而停止正常的收发邮件；第2种情况：非法使用受害服务器的电子邮件服务功能，向第三方发送垃圾邮件，为自己做广告或是宣传产品等，这样就使受害服务器负荷；第3种情况：一般公司的服务器可能把邮件服务器和Web服务器都放在一起，攻击者可以向该服务器发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。这样，就实现了攻击者的攻击目的。

3. 绿色攻击

绿色攻击是网上攻击最常用的方法，入侵者通过系统常用服务或对网络通信进行监听来搜集账号，当找到主机上的有效账号后，就采用字典穷举法进行攻击，或者他们通过各种方法获取PASSWORD文件，然后用口令猜测，程序破译用户的账号和密码。

4. 后门程序攻击

后门程序攻击是指入侵者躲过日志、使自己重返被入侵系统的技术。后门程序的种类很多，常见的有：调试后门程序、管理后门程序、恶意后门程序、服务后门程序、文件系统后门程序、内核后门程序等。

特洛伊木马就是一种后门程序，伪造合法的程序，偷偷侵入用户系统从而获得系统的控制权。它提供某些功能作为诱饵，当目标计算机启动时木马程序随之启动，然后在某一特定的端口监听，通过监听端口收到命令后，木马程序会根据命令在目标计算机上执行一些操作，如传送或删除文件，窃取口令、重新启动计算机等。

5. 拒绝服务攻击

拒绝服务攻击是入侵者的攻击方法，因为在入侵目标服务器无法得逞时，可以利用拒绝服务攻击使服务器或网络瘫痪。通过发送大量合法请求，进行恶意攻击导致服务器资源耗尽，不能对正常的服务请求做出响应。可以说拒绝服务攻击是入侵者的终极手法。

6. 缓冲区溢出攻击

溢出攻击可以说是入侵者的最爱，是被入侵者使用最多的攻击漏洞。因为它是一个非常具有危险性的漏洞，造成溢出后一般可以获取一个Shell，从而计算机就被入侵者完全控制。接下来认识一下缓冲区溢出攻击。

溢出区是内存中存放数据的地方，在程序试图将数据放到计算机内存中的某一个地方时，因为没有足够的空间就会发生缓冲区溢出，而人为溢出则是攻击者编写一个超出溢出区长度的字符串，然后植入缓冲区，这样就可能导致两种结果。一是过长的字符串覆盖了相邻的存储单元引起程序运行错误，有时可能导致系统崩溃；另一方面是，通过把字符串植入缓冲区，从而获得系统权限，可以执行任意指令。

二、黑客攻击与木马问题

你的问题太大了，一言难尽。先给你发一片转载的文章。

黑客常见攻击步骤

黑客常用的攻击步骤可以说变幻莫测,但纵观其整个攻击过程,还是有一定规律可循的,一般可以分:攻击前奏'实施攻击'巩固控制'继续深入几个过程.下面我们来具体了解一下这几个过程.

1攻击前奏

黑客在发动攻击目标'了解目标的网络结构,收集各种目标系统的信息等.

锁定目标:网络上上有许多主机,黑客首先要寻找他找的站点的.当然能真正标识主机的是lp地址,黑客会利用域名和lp地址就可以顺利地找到目标主机.

了解目标的网络结构:

确定要攻击的目标后,黑客就会设法了解其所在的网络结构,哪里是网关'路由,哪里有防火墙,ids,哪些主机与要攻击的目标主机关系密切等,最简单地就是用tracert命令追踪路由,也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等.当然老练的黑客在干这些的时候都会利用别的计算机来间接的探测,从而隐藏他们真实的lp地址.

收集系统信息:

在收集到目标的第一批网络信息之后,黑客会对网络上的每台主机进行全面的系统分析,以寻求该主机的安全漏洞或安全弱点.收集系统信息的方法有:开放端口分析利用信息服务'利用安全扫描器,社会工程.开放端口分析.首先黑客要知道目标主机采用的是什么操作系统什么版本,如果目标开放telnet服务,那只要telnet www.hackervip.com(目标主机),就会显示"digitalunlx(xx.xx.xx.)(ttypl)login:"这样的系统信息.接着黑客还会检查其开放端口进行服务分析,看是否有能被利用的服务.因特网上的主机大部分都提供。

www、mail、ftp、teinet等日常网络服务,通常情况下telnet服务的端口是23等,www服务的端口是80,ftp服务的口是23,利用信息服务.像snmp服务、traceroute程序、whois服务可用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节,traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数,whois协议服务能提供所有有关的dns域和相关的管理参数,finger协议可以用finger服务来获取一个指一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等).所有如果没有特殊的需要,管理员应该关闭这些服务.利用安扫描器,收集系统信息当然少不了安全扫描器黑客会利用一些安全扫描器来帮他们发现系统的各种漏洞,包括各种系统服务漏洞,应用软件漏洞,cgi,弱口令用户等等.(关于社会工程收集信息在攻击方法篇中有具体介绍).

2实施攻击

当黑客探测到了足够的系统信息,对系统的安全弱点有了了解后就会发动攻击,当然他们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段.一般,黑客攻击的终极目的是能够控制目标系统,窃取其中的机密文件等,但并不是每次黑客攻击都能够得逞控制目标主机的目的的,所以有时黑客也会发动拒绝服务攻击之类的干扰攻击,使系统不能正常工作.关于黑客上具体采用的一些攻击方法我们在下面黑客攻击方法中有详细的介绍,这里就不细说了.

3巩固控制

黑客利用种种手段进入目标主机系统并获得控制权之后,不是像大家想象的那样会马上进行破坏活动,删除数据、涂改网页等,那是毛头小伙子们干的事情.一般入侵成功后,黑客为了能长时间表的保留和巩固他对系统的控制权,不被管理员发现,他会做两件事:清除记录和留下后门.日志往往会记录上一些黑攻击的蛛丝马迹,黑客当然不会留下这些"犯罪证据",他会把它删了或用假日志覆盖它,为了日后面以不被觉察地再次进入系统,黑客会更改某些系统设置、在系统中置入、特洛伊木马或其他一些远程操纵程序.

4继续深入

清除日志、删除拷贝的文件等腰三角形手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动;窃取主机上的各种敏感信息:软件资料、客户名单、财务报表,信用卡号等等,也可能是什么都不动,只是把你的系统作为他存放黑客程序或资料的仓库,也可能黑客会利用这台已经攻陷的主机去继续他下一步的攻击,如:继续入侵内部网络,或者利用这台主机发动d.o.s攻击使网络瘫痪.

网络世界瞬息万变,黑客们各有不同,他们的攻击流程也不会全相同,上面我们提的攻击步骤是对一般情况而言的,是绝大部分黑客正常情况下采用的攻击步骤.

再给你发个网站链接

http://www.enet.com.cn/eschool/zhuanti/begin/

等你都学懂了，这些问题自然就明白了。

三、ipc突然不显示中文了

一、对于你的具体问题的分析

很明显你的QQ被盗了,为什么被盗则是因为中了木马.关于木马如何进入你的计算机及如何盗取你的QQ号及如何防范木马,请看下文.

二、什么是计算机病毒与木马

计算机病毒是一个程序，一段可执行码。它和我们常用的各种软件如播放器、QQ聊天软件等一样都属于应用程序，计算机病毒与普通应用程序的区别在于它一般具有传染性、隐蔽性、破坏性等特点。计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马程序通常由客户端(Client)和服务端(Server)两部分组成，服务端被种植到远程计算机上，客户端由黑客在自己的主机上运行，客户端可以向服务端发送各种指令来控制服务端的电脑。

计算机病毒和木马都是一种应用程序，病毒的主要特点在于传染性和破坏性，木马的主要特点在于远程控制，木马与病毒相比更具有潜在的危险性。

三、什么是计算机漏洞

顾名思义，计算机漏洞就是指计算机软件在程序设计上的缺陷，留下了隐患。黑客利用计算机漏洞可能完全控制你的电脑。微软的操作系统本身就存在着大量的漏洞（微软的主要操作系统有：MS-DOS，Windows 98/Me，Windows NT，Windows 2000，Windows XP，Windows 2003等），比较著名的漏洞有MS05039溢出漏洞、MS0601图形呈形引擎导致的远程执行代码漏洞、HELP控件跨域执行代码漏洞等，黑客利用这些漏洞曾一度使互联网病毒泛滥。

四、流行木马工作过程详解

1. 密码窃取木马，在此以QQ窃密木马“阿拉QQ大盗”为例：

阿拉QQ大盗在互联网上很流行，通过对木马程序进行初步的配置后它可以自动生成一个木马程序，如果你的计算机不幸运行此程序后，你的QQ将会在指定的时间内被强行关闭，当你再次登陆QQ时，你的号码及密码就会被此木马程序悄悄的发送到木马制造者指定的收信程序中，从此你的QQ号就不再是你的了。

2. 远程控制木马，在此以让人望而生畏的“灰鸽子”为例：

灰鸽子是一款很有名的远程控制软件，它由服务端和控制端两部分组成。它属于反弹端口型的木马程序，当你的电脑不幸中了灰鸽子服务端后，服务端会自动向木马制造者设置的地址发送连接请求，当服务端与客户端建立网络连接后，木马制造者将拥有你的电脑的完全控制权，包括密码窃取（如窃取你的宽带上网帐号进行网上消费）、屏幕监控（木马制造者可以远程看到你的桌面，你在做什么他可是了如指掌）、数据下载（你的所有资料都可以被他窃取）、格式化硬盘（让你的所有数据灰飞烟灭）、远程开启视频（如果你安装了摄像头的话，对方可以悄悄的打开你的视频而不被你察觉，真实的你也会展现在黑客面前）。

五、木马、病毒的传播途径

通过上面的介绍，相信大家对木马、病毒的危害巳经有一个感观的认识了，你也许会问：木马、病毒是如何进入我的计算机的呢？下面我就对木马、病毒的几种主要传播手段做一个简单介绍。

1. 通过硬件存储介质传播

前面讲过计算机病毒有自动复制传染的特性，所以如果U盘、MP3、SD卡、软盘、移动硬盘等移动存储设备如果接入感染了病毒的计算机后，其本身可能也会被感染病毒，如果再接入没有被感染病毒的计算机后，该计算机可能也会被传染病毒。

2. 通过局域网共享传播

前面提到了计算机的漏洞，微软的IPC共享就存在严重漏洞，许多病毒可以通过IPC默认共享自动感染局域网内的所有计算机。（我们在局域网内实现共享打印机、共享文件都是利用IPC来实现共享的）

3. 通过与应用软件捆绑传播

此种手段较为高明，木马制作者把木马程序捆绑到一个比较常用的应用软件上，比如Photoshop、QQ、Realplayer、Word等软件上，然后把这些捆绑了木马程序的应用软件放到互联网上提供给网友下载，当你下载下来安装这些软件的时候，被捆绑其上的木马也被你同时安装到自己的电脑中了，这一过程是不被你察觉的。

4. 通过电子邮件附件传播

木马制作者可以直接把木马程序作为附件发送给你，利用社会工程学的知识来骗你打开附件，比如说是你的同学，发给你一张新拍的照片，如果你信以为真，那可能就中计了。直接发送木马程序对于稍有网络安全意识的人来讲还是可以防范的，因为木马程序既然是应用程序，那么它的后缀名必定是.EXE。更高级的附件发送木马手法还是挺高明的，比如把木马程序的图标改为图片文件的图标或是Word文档的图标来进行鱼目混珠，还可以利用Word的宏命令直接把木马程序写入Word文档中，这样就更难察觉了。

5. 通过网页木马传播

什么是网页木马？答：网页木马就是利用计算机漏洞构造出的具有特殊功能的网页，当你打开此网页且你的计算机有此网页利用的漏洞时，你的电脑就会自动从指定的网址下载木马程序到你的电脑上并自动运行。这一切都是在隐蔽状态下进行的，对于你来说，你只不过就是打开了一个网页而巳，没有进行任何其它操作，但是你的电脑巳经中毒了。相对于其它传播手段而言，此种传播手段的传播效率最高！大约90％以上的木马程序都是通过网页木马来进行传播的。你也许会说你没有上什么不正规的网站，怎么也会中毒？事实上目前的许多网站都存在着各种各样的漏洞，黑客利用这些漏洞可以入侵网站，包括有名的网易、搜狐、新浪等大型知名网站都曾遭遇过黑客入侵而被篡改主页。黑客入侵网站后如果在这些网站的首页加上一段调用网页木马的代码，那么当你浏览这一网站时你就可能中了木马了。

6. 通过邮件网页木马传播

前面巳讲到什么是网页木马，那么邮件网页木马顾名思义就是通过邮件传播的网页木马了，木马制造者通过编辑电子邮件的源代码，可以发送一封网页格式的电子邮件给你，此种格式的邮件如果在源代码中加入调用网页木马的代码就称为邮件网页木马，此中邮件没有附件，你只要打开了这封邮就会中马，不需要进行其它任何操作！它相对于网页木马的优点在于可以发送到指定的邮箱指定目标进行攻击。

7. 通过影音文件网页木马传播

不知大家是否有过这样的经历，下载到一部自己喜爱的电影，正在观看时突然弹出来一个网页，这个网页就有可能是网页木马了（也有可能只是做广告），视频文件是可以添加事件的，可以让它在播放到指定时间时打开一个网页，如果打开的网页是网页木马，那么你的电脑从此就中毒了。此种木马常见于一些不正规的小网站提供的电影下载中或是BT等共享视频中。

六、杀毒软件与防火墙的工作原理

杀毒软件杀毒的一个重要依据就是根据自己病毒库中的特征码定义，所谓特征码就是某程序所特有的代码段，病毒特征码就是指某病毒所特有的代码，杀毒软件在对文件进行杀毒时对文件内的内码逐一进行检查，一旦发现此文件中含有某种病毒的特征码那么它就认为是某种病毒，无论这个文件到底是不是病毒。比较高级的杀毒软件通常对同一种病毒有两种特征码定义：文件特征码和内存特征码。程序是运行于内存中的，内存中的代码与文件本身的代码是不同的，有些文件直接用杀毒软件查杀是没有病毒的，但是你一旦运行它就会查出有病毒就是这个原因。

“黑客会打上我的主意吗？”这么想就对了，黑客就想钻鸡蛋缝的苍蝇一样，看到一丝从系统漏洞发出的光亮就会蠢蠢欲动！好，如何保护你的网络呢？计算机的高手们也许一张嘴就提议你安装网络的防火墙，那么第一个问题就来了：到底什么是防火墙呢？防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。天下的防火墙至少都会说两个词：Yes或者No。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。值得一提的是，只要你想上网，你的防火墙就一定会对一些程序和端口说“YES”来放行的。

七、道高一尺魔高一丈，木马病毒如何逃过防火墙与杀毒软件的拦截查杀

前面讲到杀毒软件杀毒的一个重要依据就是特征码，那么如果一个程序中不含有病毒库中定义的所有特征码的话，杀毒软件就自然不会认为这个程序是病毒了！黑客高手们通常的做法是做出来一个木马、病毒程序后，用各种杀毒软件去杀它，而后取得各种杀毒软件对此程序的特征码的定义，然后就是修改特征码，把征征码的代码改用其它的程序代码来实现相同的功能，经过大多数杀毒软件的轮攻与修改后，这个病毒就可以顺利逃过各种杀毒软件的查杀了！前面亦有提到只要你想上网，防火墙就会对某些程序（如IE浏览器）和端口放行，那么病毒木马通过线程插入系统进程的技术可以将自身置入系统进程之中，木马程序通常会利用80端口进行远程连接（WEB服务默认端口），这样只要你的电脑可以上网，那么木马程序同样也会被防火墙放行！对于黑客高手而言，普通的杀毒软件和防火墙（普通用户用到的杀毒软件及防火墙）就等于是花边，对们来说是不起什么作用的！所以当你用杀毒软件把你的所有硬盘都扫了一遍而没有发现病毒时你也不要沾沾自喜，很可能你中了做了免杀处理的病毒，这样虽然你中毒了你的杀毒软件也会视若无睹。-

八、木马隐藏技术，木马程序藏身何处

木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马，于是便出现了下面要介绍的“进程隐藏”技术。

第一代进程隐藏技术：Windows 98的后门

在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

第二代进程隐藏技术：进程插入

一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。

一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，这里以盗QQ密码的木马为便进行简单讲解。

普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！

不要相信自己的眼睛：恐怖的进程“蒸发”

严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！

它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。

什么是Hook？Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

毫无踪迹:全方位立体隐藏

利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

跟杀毒软件对着干：反杀毒软件外壳

木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

什么是壳？顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。

九、普通用户网络安全的出路：防胜于杀

综上可见，依赖于防火墙和杀毒软件想做到百毒不侵那是不可能办到的事情！可以这样说，只要你接入互联网那就有可能中毒，而且有可能中了毒也查不出有毒，那么对于没有专业的网络安全知识的普通用户来说，如何才能保障自身的网络安全呢？

1. 打好系统补丁，修复系统漏洞

前面讲到病毒的最大来源就是网页木马，而网页木马必定依赖于系统漏洞而生存，如果你的系统没有网页木马所利用的漏洞，自然它就不能发挥任何作用了！所以防范木马病毒进入电脑的最佳办法就是及时打好系统补丁，然后用漏洞扫描工具检测一下系统是否存在漏洞，直到修复到没有任何巳公布的漏洞而巳。

2. 及时更新杀毒软件的病毒库

虽然杀毒软件不是万能的，但是安装一个好的杀毒软件还是很有必要的，微软公司每年都会公布出大量的系统漏洞，然后在官方网站提供漏洞补丁供用户下载，然而仍然有许多未被发现的漏洞有可能被黑客利用，所以装个比较好的杀毒软件还是很必要的，推荐卡巴斯基和瑞星，卡巴斯基除了利用特征码杀毒外，还启用了虚拟机技术和行为跟踪技术，其文件查杀与内存查杀能力可谓是出类拔萃！瑞星与其它杀毒软件相比最出色的地方就在于内存查杀能力相当强大，缺点就是许多病毒木马都特别针对瑞星做了反查杀处理。

3. 做好系统备份，做好灾难恢复的准备

既然打补丁和安装杀毒软件都不是万能的，那么就要做好中毒的准备，及时做好系统备份，一旦出现灾难性故障可以迅速恢复操作系统，免去数据丢失的风险和重装系统的麻烦。

四、网络黑客是怎么操作的

Web服务器将成为下一代黑客施展妖术的对象。在很大程度上，进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前，黑客的攻击对象集中在操作系统和网络协议上，但随着这些攻击目标的弱点和漏洞逐渐得到修补，要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健，对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中，网络协议也变得更加安全。此外，防火墙也越来越智能，成为网络和系统的外部保护屏障。

另一方面，电子商务技术正在日益普及开来，其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是，人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢？

有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络，而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是，Web服务器和基于Web的应用程序有时是在“功能第一，安全其次”的思想指导下开发出来的。

当您的Web服务器面临巨大威胁时，怎样保障它们的安全呢？这就需要您不断了解新信息，新情况，每天跟踪您所用服务器的有关网站，阅读相关新闻并向它进行咨询。为了让你着手这方面的工作，下面介绍黑客对NT系统的四种常用攻击手段，同时介绍如何防止这类攻击。

Microsoft IIS ism.dll缓冲区溢出

受影响的服务器：运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器

Microsoft IIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS

eEye，这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时，黑客向目标程序或服务输入超出程序处理能力的数据，导致程序突然终止。另外，还可以通过设置，在执行中的程序终止运行前，用输入的内容来覆盖此程序的某些部分，这样就可以在服务器的安全权限环境下执行任意黑客命令。

eEye发现，IIS用来解释HTR文件的解释程序是ism.dll，它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文件名（大约3,000个字符，或更多）传递给IIS，那么输入值将在ism.dll中造成输入缓冲区溢出，并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码（通常称为“鸡蛋”或“外壳代码”），那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法包括三个步骤：

1．创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号，该程序将执行一个Windows命令外壳程序(cmd.exe)，并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序，其源代码可以免费获得。

2．在IIS的ism.dll中制造缓冲区溢出，并使IIS从外部Web站点下载侦听程序（由步骤1产生）。

3．执行刚下载的程序（由步骤2产生），该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。

由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳，所以该外壳程序将在IIS的安全权限背景下运行，而该安全权限背景等价于NT

Administrator权限。这样，攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接，然后等着出现c:>提示就万事大吉了。现在，攻击者拥有对整个NT服务器的管理权限，可以做任何事，比如，添加新用户、修改服务器的内容、格式化驱动器，甚至将该服务器用作攻击其它系统的踏脚石。

运行IIS 4.0并带有“Service Pack 3/4/5”的Windows

NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack

6也已经修补了该问题。

Microsoft IIS MDAC RDS安全弱点

受影响的服务器：运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器

在发现IIS eEye安全弱点的大约一个月后，IIS

4.0的另一个弱点又暴露出来。使用Microsoft数据访问组件(MDAC)和远程数据服务(RDS)，攻击者可以建立非法的ODBC连接，并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft

Jet OLE DB提供程序或Datashape提供程序，攻击者可以使用Visual Basic for Applications

shell()函数发出能够在服务器上执行的命令。

在安装了MDAC 2.1或更高版本的IIS 4.0上，从位于其公共目录中的msadcmsadcs.dll，可以找到MDAC

RDS弱点。Rain Forest

Puppy在其站点中对该弱点进行了详细说明。该弱点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT

Administrator的IIS Web服务器进程的安全权限背景下，进行这种攻击的黑客可以在NT系统上远程执行任意命令。

MDAC的弱点不是由于技术造成的，而是由于用户对它的配置方式所致。很多站点是通过NT Option Pack 4.0安装IIS

4.0的。如果NT Option Pack

4.0是以典型或默认配置安装的，那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整过这些设置，从而使Web服务器的安全性大大降低。

Foundstone公司的George Kurtz、Purdue大学的Nitesh

Dhanjani和我曾经共同设计了一个只有一行的命令字符串，该命令将利用MDAC

RDS弱点，使远程NT系统启动一个通过FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行Netcat。Netcat将运行Windows命令外壳程序，并建立一个返回攻击者计算机的连接，这样，攻击者就获得了对远程NT系统的完全管理控制权。

Microsoft已经发布了相应的安全公告，并对使IIS 4.0免受该弱点攻击的保护措施进行了说明。

Allaire ColdFusion 4.0弱点

受影响的服务器：运行在Windows NT上的Allaire ColdFusion Server 4.0

作为还算容易使用的、功能强大的脚本语言，ColdFusion已经广泛流行起来。但流行并不意味着安全。ColdFusion的问题不在于该服务器自身，而是在于它附带的脚本。ColdFusion

4.0提供了示范应用程序和范例，它们可以在位于Web服务器根目录中的cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时，将安装这些应用程序和脚本。ColdFusion所附带的部分范例经过修改后，将允许非法访问服务器上所包含的敏感数据。这些弱点表明，基本的应用程序服务器可以被编写得不好的应用程序脚本歪曲利用。

存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为ColdFusion是作为具有Administrator权限的系统服务运行的，所以，该程序可以被用来任意访问和查看NT

Web服务器上的任何文件，包括boot.ini。用这种方法可以检索任何文件。Packet Storm对该弱点做了完整解释。

而更严重的弱点存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可以用来查看服务器上的任何文件，更为严重的是，它们还能将任意文件上载到服务器。对该弱点如何发作的讨论超出了本文的范围，欲了解详细信息请访问L0pht

Heavy

Industries的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的ColdFusion表达式的值。作为预防手段，该脚本在进行表达式计算时便会把被上载的文件删除掉，但要避免删除却是件容易的事。这样，攻击者可以上载恶意文件，并最终控制服务器。

这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题，请从任何运行中的服务器中删除ColdFusion示范脚本。Allaire的Security

Zone提供了补丁程序，并提供了如何保护ColdFusion服务器的进一步信息。

Sambar 4.3 hello.bat

受影响的服务器：运行在Windows NT上的Sambar 4.3 beta 7和更早版本

Sambar是提供给开发者的免费Web服务器。它提供了对CGI和WinCGI脚本、ODBC脚本以及ISAPI的支持。它甚至捆绑了Perl

5解释器。

Sambar 4.3 beta

7版和更早版本附带两个名为hello.bat和echo.bat的文件，它们是将Windows批处理文件用作CGI脚本的范例。这两个脚本本身没有问题，hello.bat显示字符串“Hello

World”，而echo.bat显示字符串“Place

Holder”。但当批处理文件被用作CGI脚本时，Web服务器将使用Windows命令外壳程序cmd.exe来运行它们。这样，攻击者可以利用该弱点针对目标服务器运行任意命令。例如，假如攻击者把URL