下面是小编整理的攻防技术内幕十(4.1 Windows 98常见安全漏洞)(共含9篇),欢迎您阅读分享借鉴,希望对您有所帮助。同时,但愿您也能像本文投稿人“EstherEstraven”一样,积极向本站投稿分享好文章。
4.1 Windows 98常见安全漏洞
本节将介绍Windows98操作系统的一些常见漏洞,
攻防技术内幕十(4.1 Windows 98常见安全漏洞)
。
微软Net BIOS协议的口令校验服务端在对客户端的口令进行校验时,是以客户端发送的长度数据为依据。如果客户端设置数据包中密码长度域为1,并发送一个字节的明文口令给服务端。服务端就会将客户端发来的口令与服务端保存的共享口令的第一个字节进行明文比较,如果匹配就认为通过了验证。
补丁程序:support.microsoft.com/support/kb/articles/Q154/1/74.asp
关于ICMP的攻击程序有很多,如WINNUKE、SPING和TEARDROP。WINNUKE可对使用Windows 3.11/95/NT操作系统的上网者进行攻击。它可向某一IP地址发送OOB(OUT OF BAND)数据,并攻击139端口(NetBIOS)。如果攻击者进行端口监听的话,还可攻击其他端口。当被攻击的计算机收到OOB数据后,就无法对数据进行处理,并出现Internet连接中断或蓝屏死机等现象。
ICMP通常报告在处理数据报过程中的错误并在以下几种情况下发送:
●当数据报不能到达目的地时。
●当网关已经失去缓存功能。
●当网关能够引导主机在更短路由上发送。一般上网用户可能用不到ICMP,因此可以关闭ICMP。
shotgun早提出关于ICMP木马的设计思路,这种木马对只分析端口的防火墙是杀手。
它会影响Window 98系统。当向运行Windows的主机发送大量无关的ARP数据包时,会导致系统耗尽所有的CPU和内存资源而停止响应。如果向广播地址发送ARP请求时,可能导致整个局域网停止响应。
该类攻击程序有arpkill.exe。
违规通过端口0x456发送一些不规范的IPX/SPX Ping包,可能导致服务器出现拒绝服务。IPX/SPX协议在Windows 98默认安装的情况下是不安装的,但在Windows 95默认安装时如果系统检测到网卡后此协议将会自动安装。如果IPX/SPX协议被禁止,Windows 9x将接受特殊的畸形IPX Ping包,而且发送源地址已被修改为广播地址,而且会导致广播紊乱,促使带宽饱和,出现拒绝服务。如果源地址已被修改为广播地址,这样此网段中的每个机器都将响应此Ping请求,大量的响应将导致网络瘫痪。
在Windows 95/98/NT 4.0/中的NetBIOS高速缓存执行允许远程插入动态缓存条目,而且可以移走动态和静态缓存条目。这是由NetBIOS缓存的实现和CIFS(Common Internet File System)浏览协议之间的交互引起的。CIFS浏览协议用来生成网络资源的列表,该协议被用在【网上邻居】和【我的网络】等服务中。它还定义了一些浏览帧,这些帧被封装在NetBIOS数据包中。当从138号UDP端口接收到一个浏览帧的请求时,NetBIOS数据包中的信息被提取出来并添加到NetBIOS缓存中,
这些信息包括源和目的地的NetBIOS名字、第二源IP地址以及IP头。远程的恶意用户可以通过发送单播或广播类型的UDP数据包,从而使目标计算机对NetBIOS名字到IP地址的解析进行重定向,在其控制之下转发到任意的IP地址。一旦NetBIOS缓存被UDP数据包破坏,就不再需要预测事务标识(事务标识是一个很容易预测的16位的标识)。为了刷新缓存中的动态条目,用户可以发送一个正向名称查询(Positive Name Query)响应,在该响应中提供另一个IP地址给NetBIOS名字映射。
安全建议:Windows的NetBIOS有很多缺陷,建议对NetBIOS进行安全配置。
当Windows 95/98收到一个NetBIOS会话包,这个包中源主机名被设置成NULL,那么将导致发生不可预料的错误,如系统崩溃、蓝屏、重启动、死锁或者丢失网络连接等。
攻击程序见netbios空原主机名.txt。
如果一个Microsoft Windows 9x客户端连接到一个文件/打印共享服务器时,服务器返回一个错误驱动器类型,那么将导致客户端崩溃,必须重新启动来恢复正常正常功能。下列驱动器类型是Windows 9x能识别的:
●驱动器号
●LPTx
●COMMx
●IPC
返回给客户端的所有其他的驱动器类型会引起拒绝服务。
执行微软的NetBIOS可能由于一个远程开发漏洞而导致拒绝服务攻击。攻击者能够通过连接NBT端口而促使系统耗尽网络资源并停止工作。
攻击可通过如下方式来进行:初始化许多连接,然后关闭它们,让目标机器上的TCP管接字(socket)处于FINWAIT_1状态。尽管这些管接字最终将超时并被释放,但攻击者可以持续地发送更多请求,初始化并关闭新的连接,耗尽任何空闲的网络资源。结果将导致NetBIOS拒绝正常的服务,直到攻击停止。微软在Windows NT 4.0 sp6中发布了一个补丁程序来修补该漏洞。
简单说来,DOS攻击基本是无法解决的,从SYN Flood理论上来说只要是有限带宽的服务都会遭到拒绝服务,服务器可能只是拒绝服务,一般的PC可能就是系统资源耗尽。而且大量的DOS攻击可以造成防火墙增加大量日志,甚至日志满或者日志爆满。天网防火墙据说是6万记录即满,而6万日志可以很快就可以达到,只要知道天网防火墙过滤哪些东西就攻击哪些东西。这就是强行突破FIREWALL或者IDS的前奏。
解决方法:微软已经针对此漏洞开发了补丁程序程序,下载地址为
www.microsoft.com/Downloads/Release.asp?ReleaseID=25114
可以说,这也是Windows 9x中的一个很老的漏洞了。在Windows 9x中有3个设备驱动程序:CON(输入及输出设备驱动程序)、NUL(空设备驱动程序)、AUX(辅助设备驱动程序)。这3个程序只要被运行,就会引起系统的死机,如运行C:\CON\CON或C:\AUX\AUX等。严重的是此漏洞可以通过资源共享来远程执行,如运行\\192.168.0.2\C\CON\CON(其中\\192.168.0. 2为对方的IP,C为对方的共享盘符)。
解决办法:将系统升级至Windows Me及以上版本、下载安装补丁程序程序conconfix并添加到“启动”组中或安装网络防火墙。
懂得网络的人都知道我们常用Ping命令来检查网络是否畅通的一个简单的手段,可是这个Ping也能给Windows系统带来不可预测的灾难,那就是Ping入侵即是ICMP入侵,后果是相当严重的,所以这里我们要详细讨论一下ICMP攻击方法及防范措施。
ICMP攻击及欺骗技术
所谓:“知己知彼,百战不怠”,要学会防范就必须知道攻击是怎样的。使用ICMP攻击的原理实际上就是通过Ping大量的数据包使得计算机的CPU使用率居高不下而崩溃,一般情况下 通常在一个时段内连续向计算机发出大量请求而导致CPU占用率太高而死机。基于ICMP的攻击可以分为两大类,一是ICMP攻击导致拒绝服务(DoS);另外一个是基于重定向(redirect)的路由欺骗技术。
服务拒绝攻击是最容易实施的攻击行为,目前,基于ICMP的攻击绝大部分都可以归类为拒绝服务攻击,其又可以分成3个小类:
针对带宽的DoS攻击
针对带宽的DoS攻击,主要是利用无用的数据来耗尽网络带宽。Pingflood、pong、echok、flushot、fraggle 和 bloop是常用的ICMP攻击工具。通过高速发送大量的ICMP Echo Reply数据包,目标网络的带宽瞬间就会被耗尽,阻止合法的数据通过网络。ICMP Echo Reply数据包具有较高的优先级,在一般情况下,网络总是允许内部主机使用PING命令。
这种攻击仅限于攻击网络带宽,单个攻击者就能发起这种攻击。更厉害的攻击形式,如smurf和papa-smurf,可以使整个子网内的主机对目标主机进行攻击,从而扩大ICMP流量。使用适当的路由过滤规则可以部分防止此类攻击,如果完全防止这种攻击,就需要使用基于状态检测的防火墙。
针对连接的DoS攻击
针对连接的DoS攻击,可以终止现有的网络连接。针对网络连接的DoS攻击会影响所有的IP设备,因为它使用了合法的ICMP消息。Nuke通过发送一个伪造的ICMP Destination Unreachable或Redirect消息来终止合法的网络连接。更具恶意的攻击,如puke和smack,会给某一个范围内的端口发送大量的数据包,毁掉大量的网络连接,同时还会消耗受害主机CPU的时钟周期。
还有一些攻击使用ICMP Source Quench消息,导致网络流量变慢,甚至停止。Redirect和Router Announcement消息被利用来强制受害主机使用一个并不存在的路由器,或者把数据包路由到攻击者的机器,进行攻击。针对连接的DoS攻击不能通过打补丁的方式加以解决,通过过滤适当的ICMP消息类型,一般防火墙可以阻止此类攻击。
基于重定向(redirect)的路由欺骗技术
首先我们应该知道,微软的Windows98和NT系统都保持着一张已知的路由器列表,列表中位于第一项的路由器是默认路由器,如果默认路由器关闭,则位于列表第二项的路由器成为缺省路由器。缺省路由向发送者报告另一条到特定主机的更短路由,就是ICMP重定向。
攻击者可利用ICMP重定向报文破坏路由,并以此增强其 能力。除了路由器,主机必须服从ICMP重定向。如果一台机器想网络中的另一台机器发送了一个ICMP重定向消息,这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包,这样就形成了 。通过ICMP技术还可以抵达防火墙后的机器进行攻击和 。
据笔者观察,目前所有基于ICMP路由欺骗的技术都是停留在理论上的论述, 没有找到相关的具体攻击实例和原程序
配置防火墙以预防攻击
一旦选择了合适的防火墙,用户应该配置一个合理的安全策略。一般除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外,所有的ICMP消息类型都应该被阻止,
现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用,只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。
配置系统自带的默认防火墙以预防攻击
虽然很多防火墙可以对PING进行过滤,但对于没有安装防火墙时我们如何有效的防范ICMP攻击呢?先面我们介绍一下配置一下系统自带的默认防火墙的预防攻击的方法。方法如下:
第一步:打开在电脑的桌面,右键点击“网上邻居→属性→本地连接→属性→Internet协议(TCP/IP)→属性→高级→选项-TCP/IP筛选-属性”。
第二步:“TCP/IP筛选”窗口中,点击选中“启用TCP/IP筛选(所有适配器)”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上,点击“只允许”,后按添加按钮,然后在跳出的对话框输入端口,通常我们用来上网的端口是:80、8080,而邮件服务器的端口是:25、110,FTP的端口是20、21,同样将UDP端口和IP协议相关进行添加。
第三步:打开“控制面板→管理工具→本地安全策略”,然后右击“IP安全策略,在本地机器”选“管理IP筛选器和IP筛选器操作”,在管理IP筛选器和IP筛选器操作列表中添加一个新的过滤规则,名称输入“防止ICMP攻击”,然后按添加,在源地址选任何IP地址,目标地址选我的IP地址,协议类型为ICMP,设置完毕。
第四步:在“管理筛选器操作”,取消选中“使用添加向导”,添加,在常规中输入名字“Deny的操作”,安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。
第五步:点击“IP安全策略,在本地机器”,选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”,通过增加过滤规则向导,把刚刚定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器,然后选择刚刚定义“Deny的操作”,然后右击“防止ICMP攻击”并启用。
通过对注册表的修改以预防攻击
通过对注册表的修改我们可以使ICMP更安全。修改注册表主要有两种方式:
(A)禁止ICMP重定向报文
ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息,这样虽然方便了用户,但是有时也会被他人利用来进行网络攻击,这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应ICMP的重定向报文,从而使网络更为安全。
修改的方法是:打开注册表编辑器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0(0为禁止ICMP的重定向报文)即可。
(B)禁止响应ICMP路由通告报文
“ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被 、计算机被用于流量攻击等,因此建议关闭响应ICMP路由通告报文。
修改的方法是:打开注册表编辑器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右侧窗口中将子键“PerformRouterDiscovery”REG_DWORD型的值修改为0(0为禁止响应ICMP路由通告报文,2为允许响应ICMP路由通告报文)。修改完成后退出注册表编辑器,重新启动计算机即可。
ICMP常见的攻防战略大概就是如此,至于选择何种操作方式就因人而异了,大家视具体情况而定吧!
很多朋友还是不知道“DLL木马”是什么东东,
追根溯源DLL技术木马进程内幕大揭密
。那到底什么是“DLL木马”呢?它与一般的木马又有什么不同?带着这些疑问,一起开始这次揭密之旅吧!一、追根溯源从DLL说起
要了解什么是“DLL木马”,就必须知道“DLL”是什么意思!说起DLL,就不能不涉及到久远的DOS时代。在DOS大行其道的时代,写程序是一件繁琐的事情,因为每个程序的代码都是需要独立的,这时为了实现一个普通的功能,甚至都要为此编写很多代码。后来随着编程技术发展与进步,程序员们开始把很多常用的代码集合(也就是通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library)。在写程序的时候,把这个库文件加入编译器,就能使用这个库包含的所有功能而不必自己再去写一大堆代码,这个技术被称为“静态链接”(Static Link)。静态链接技术让劳累的程序员松了口气,一切似乎都很美好。然而静态链接技术的最大缺陷就是极度消耗和浪费资源,当一个程序只想用到一个库文件包含的某个图形效果时,系统将把这个库文件携带的所有的图形效果都加入程序,这样就使得程序非常臃肿。虽然这并不重要,可是这些臃肿的程序却把道路都阻塞了――静态链接技术让最终的程序成了大块头,因为编译器把整个库文件都加载进去了。
技术永远是在发展的,静态链接技术由于无法避免的弊端,不能满足程序员和编程的需要,人们开始寻找一种更好的方法来解决代码重复的难题。随着Windows系统的出现, Windows系统使用一种被称为“动态链接库”(Dynamic Link Library)的新技术,它同样也是使用库文件,DLL的名字就是这样来的。动态链接本身和静态链接没什么区别,也是把通用代码写进一些独立文件里,但是在编译方面,微软把库文件做成已经编译好的程序文件,给它们开发一个交换数据的接口。程序员编写程序的时候,一旦要使用某个库文件的一个功能函数,系统就把这个库文件调入内存,连接上这个程序占有的任务进程,然后执行程序要用的功能函数,并把结果返回给程序显示出来。完成需要的功能后,这个DLL停止运行,整个调用过程结束。微软让这些库文件能被多个程序调用,实现了比较完美的共享,程序员无论要写什么程序,只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。这样,写出来的程序就不能再携带一大堆无用的垃圾了。
DLL技术的诞生,使编写程序变成一件简单的事情,Windows为我们提供了几千个函数接口,足以满足大多数程序员的需要。而且,Windows系统自身就是由几千个DLL文件组成,这些DLL相互扶持,组成了庞大的Windows系统,
如果Windows依然使用静态链接技术,那将是不可想象的。
二、什么是API
在前面提到的“接口”又是什么呢?因为DLL不能像静态库文件那样塞进程序里,如何让程序知道实现功能的代码和文件成了问题,微软就为DLL技术做了标准规范,为每个DLL文件都明确地标注好它的功能名称,程序只要根据标准规范找到相关的名称进行调用就行了,这就是API(Application Programming Interface)应用程序接口,每个DLL带的接口都不尽相同,最大限度地减少了程序代码的重复。在Windows里,最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。
三、DLL与木马
DLL是编译好的代码,与一般程序没什么大差别,只是它不能独立运行,需要程序调用。那么,DLL与木马能扯上什么关系呢?如果你学过编程并且写过DLL,就会发现,其实DLL的代码和其他程序几乎没什么两样,仅仅是接口和启动模式不同,只要改动一下代码入口,DLL就变成一个独立的程序了。
当然,DLL文件是没有程序逻辑的,其实DLL并不等于EXE。不过,依然可以把DLL看做缺少了main入口的程序,DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API,在别人看来,这只是一个普通的DLL,但是这个DLL却携带了完整的木马功能,这就是DLL木马的概念。也许有人会问,既然同样的代码就可以实现木马功能,那么直接做程序就可以,为什么还要多此一举写成DLL呢?这是为了隐藏,因为DLL运行时是直接挂在调用它的程序的进程里的,并不会另外产生进程,所以相对于传统EXE木马来说,它很难被查到。[next]
四、DLL的运行
虽然DLL不能自己运行,可是Windows在加载DLL的时候,需要一个入口函数,就如同EXE的main一样,否则系统无法引用DLL。所以根据编写规范,Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据,这个函数不作为API导出,而是内部函数。DllMain函数使DLL得以保留在内存里,有的DLL里面没有DllMain函数,可是依然能使用,这是因为Windows在找不到DllMain的时候,会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入,并不是说DLL可以放弃DllMain函数。
五、DLL木
很多朋友还是不知道“DLL木马”是什么东东,那到底什么是“DLL木马”呢?它与一般的木马又有什么不同?带着这些疑问,一起开始这次揭密之旅吧!
一、追根溯源从DLL说起
要了解什么是“DLL木马”,就必须知道“DLL”是什么意思!说起DLL,就不能不涉及到久远的DOS时代。在DOS大行其道的时代,写程序是一件繁琐的事情,因为每个程序的代码都是需要独立的,这时为了实现一个普通的功能,甚至都要为此编写很多代码。后来随着编程技术发展与进步,程序员们开始把很多常用的代码集合(也就是通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library)。在写程序的时候,把这个库文件加入编译器,就能使用这个库包含的所有功能而不必自己再去写一大堆代码,这个技术被称为“静态链接”(Static Link)。静态链接技术让劳累的程序员松了口气,一切似乎都很美好。然而静态链接技术的最大缺陷就是极度消耗和浪费资源,当一个程序只想用到一个库文件包含的某个图形效果时,系统将把这个库文件携带的所有的图形效果都加入程序,这样就使得程序非常臃肿。虽然这并不重要,可是这些臃肿的程序却把道路都阻塞了——静态链接技术让最终的程序成了大块头,因为编译器把整个库文件都加载进去了。
技术永远是在发展的,静态链接技术由于无法避免的弊端,不能满足程序员和编程的需要,人们开始寻找一种更好的方法来解决代码重复的难题。随着Windows系统的出现, Windows系统使用一种被称为“动态链接库”(Dynamic Link Library)的新技术,它同样也是使用库文件,DLL的名字就是这样来的。动态链接本身和静态链接没什么区别,也是把通用代码写进一些独立文件里,但是在编译方面,微软把库文件做成已经编译好的程序文件,给它们开发一个交换数据的接口。程序员编写程序的时候,一旦要使用某个库文件的一个功能函数,系统就把这个库文件调入内存,连接上这个程序占有的任务进程,然后执行程序要用的功能函数,并把结果返回给程序显示出来。完成需要的功能后,这个DLL停止运行,整个调用过程结束。微软让这些库文件能被多个程序调用,实现了比较完美的共享,程序员无论要写什么程序,只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。这样,写出来的程序就不能再携带一大堆无用的垃圾了。
DLL技术的诞生,使编写程序变成一件简单的事情,Windows为我们提供了几千个函数接口,足以满足大多数程序员的需要。而且,Windows系统自身就是由几千个DLL文件组成,这些DLL相互扶持,组成了庞大的Windows系统。如果Windows依然使用静态链接技术,那将是不可想象的。
二、什么是API
在前面提到的“接口”又是什么呢?因为DLL不能像静态库文件那样塞进程序里,如何让程序知道实现功能的代码和文件成了问题,微软就为DLL技术做了标准规范,为每个DLL文件都明确地标注好它的功能名称,程序只要根据标准规范找到相关的名称进行调用就行了,这就是API(Application Programming Interface)应用程序接口,每个DLL带的接口都不尽相同,最大限度地减少了程序代码的重复。在Windows里,最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。
三、DLL与木马
DLL是编译好的代码,与一般程序没什么大差别,只是它不能独立运行,需要程序调用。那么,DLL与木马能扯上什么关系呢?如果你学过编程并且写过DLL,就会发现,其实DLL的代码和其他程序几乎没什么两样,仅仅是接口和启动模式不同,只要改动一下代码入口,DLL就变成一个独立的程序了。
当然,DLL文件是没有程序逻辑的,其实DLL并不等于EXE。不过,依然可以把DLL看做缺少了main入口的程序,DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API,在别人看来,这只是一个普通的DLL,但是这个DLL却携带了完整的木马功能,这就是DLL木马的概念。也许有人会问,既然同样的代码就可以实现木马功能,那么直接做程序就可以,为什么还要多此一举写成DLL呢?这是为了隐藏,因为DLL运行时是直接挂在调用它的程序的进程里的,并不会另外产生进程,所以相对于传统EXE木马来说,它很难被查到。
四、DLL的运行
虽然DLL不能自己运行,可是Windows在加载DLL的时候,需要一个入口函数,就如同EXE的main一样,否则系统无法引用DLL,
所以根据编写规范,Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据,这个函数不作为API导出,而是内部函数。DllMain函数使DLL得以保留在内存里,有的DLL里面没有DllMain函数,可是依然能使用,这是因为Windows在找不到DllMain的时候,会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入,并不是说DLL可以放弃DllMain函数。
五、DLL木马技术分析
编写DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马,需要了解更多关于操作系统底层的知识。
1.木马的主体
千万别把木马模块写得真的像个API库一样,这不是开发WINAPI。DLL木马可以导出几个辅助函数,但是必须有一个过程负责主要执行代码,否则这个DLL只能是一堆零碎API函数,别提工作了。如果涉及一些通用代码,可以在DLL里写一些内部函数,供自己的代码使用,而不是把所有代码都开放成接口,这样它自己本身都难调用了,更不可能发挥作用。
DLL木马的标准执行入口为DllMain,所以必须在DllMain里写好DLL木马运行的代码,或者指向DLL木马的执行模块。
2.动态嵌入技术
Windows中,每个进程都有自己的私有内存空间,别的进程是不允许对这个私人领地进行操作的,但是,实际上我们仍然可以利用种种方法进入并操作进程的私有内存,这就是动态嵌入,它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种,最常见的是钩子、API以及远程线程技术,现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见,罗技的MouseWare驱动就挂着每一个系统进程。远程线程技术就是通过在另一个进程中创建远程线程(RemoteThread)的方法进入那个进程的内存地址空间。在DLL木马的范畴里,这个技术也叫做“注入”,当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时,木马就挂上去执行了,没有新进程产生,要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是,很多时候我们只能束手无策——它和Explorer.exe挂在一起了。
3.木马的启动
DLL不能独立运行,所以无法在启动项目里直接启动它。要想让“马儿”顺利地跑起来,就需要一个EXE使用动态嵌入技术让DLL挂上其他正常进程,让被嵌入的进程调用这个DLL的DllMain函数,激活木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE非常重要,它被称为加载(Loader)。所以,一个相对比较成熟的DLL木马会想办法保护它的Loader不会那么容易被发现和毁灭。
Loader可以是多种多样的,Windows的rundll32.exe也被一些DLL木马用来做了Loader,这种木马一般不带动态嵌入技术,它直接挂着rundll32进程运行,用rundll32的方法像调用API一样去引用这个DLL的启动函数激发木马模块开始执行,即使你杀了rundll32,木马本体还是在的,一个最常见的例子就是3721中文实名,虽然它不是木马。
注册表的AppInit_DLLs键也被一些木马用来启动自己,如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。有一些更复杂点的DLL木马通过svchost.exe启动,这种DLL木马必须写成NT-Service,入口函数是ServiceMain,一般很少见,但是这种木马的隐蔽性也不错,而且Loader有保障。
4.寥寥无几
由于DLL木马挂着系统进程运行,如果它本身写得不好,例如没有防止运行错误的代码或者没有严格规范用户的输入,DLL就会很容易出错并崩溃。但是DLL崩溃会导致它挂着的程序跟着遭殃,别忘记它挂接的可是系统进程啊,结局就是……惨不忍睹。所以写一个能公布的DLL木马,在排错检查方面做的工作要比一般的EXE木马多,甚至写得多了连编写者自己都会烦躁不已!
六、DLL木马的发现和查杀
经常看看启动项有没有多出莫名其妙的项目,这是Loader的所在。而DLL木马本体比较难发现,,在Loader里查找DLL名称,或者从进程里看有没有挂接什么陌生的DLL!但是,对于一些计算机的初级用户来说,这样的发现过程是非常困难的!因此,最简单的方法:杀毒软件和防火墙!
来源:IT专家网
Clickjacking是OWASP_NYC_AppSec__Conference的一个保密的议题,以下是一些攻击的描叙:
当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件,除非你使用lynx一类的字符浏览器,
这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按钮或网站上的任意东西。
该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲,
最近国外的安全研究人员已经放出了该漏洞的攻击例子,以及部分细节,这种攻击是利用的CSS样式表的网页渲染功能配合IFRAME帧框架页进行的一种钓鱼网页攻击。这个攻击涉及网页设计相关的技巧,步骤是:
1.在第三方站点的网页先用IFRAME引入一个需要攻击的页面,将这个引入的框架页长宽设置成整个浏览窗口的大小。
2.在网页中使用一个CSS滤镜,将整个网页用白色滤镜遮蔽。
3.使用span或div设计一个层伪造一个表单提交按钮、输入框或者链接,然后利用CSS样式表设置层在网页中的位置,遮蔽住需要劫持的网页按钮、输入框或者链接。
攻击者使用这种方法可以制作钓鱼网页,诱导用户在不察觉的情况下,完成一些受攻击WEB程序的敏感操作。
漏洞危害:
攻击者可以制作一个精美的钓鱼网页,让用户在不知不觉中被控制摄像头,或完成密码修改、网银转帐等的恶意操作,给用户造成巨大的损失。
接上一篇文章,最后做的那个实验,我是想证明mysql innodb存储引擎,commit操作与flush数据到磁盘之间的关系,当与同事交流之后,他说,你应该把innodb_buffer_size的大小考虑到里面,其实我是有考虑的,在开始的部分就有做过假设,假如buffer大小为1G,数据大小为2G,那么在进行事务插入操作时,势必是要在commit操作之前,将缓存数据进行写入磁盘的吧,
再者而言,接上篇实验,我分别进行了两组,一组是进行了rollback操作,另外一组是进行了commit,发现,rollback的操作时间远远大于commit操作的,
是否可以假象为,其实数据已经落盘,只不过在数据页面上,存在一个事务标识符,实现事务的隔离机制,对于其他session不可见。而此时rollback操作就要把数据一条一条的从磁盘中清除,这个速度肯定会比较缓慢,当然这个删除的机制,我还是不太清楚,是重新走一边buffer,还是直接消失掉;而且,在进行了rollback操作之后,数据文件大大小并没有改变,是否可以假象为,曾经分配的物理空间,并没有及时收回,以便下次重新利用。再说commit操作,它是在极短的时间内完成的,有可能的原因就是,这个操作只是把磁盘中数据页上的事务标识信息移除掉,就ok了。好吧,秉着严谨的实验态度,再来进行一次实验。(下班回去再做吧)
innodb_buffer_size= ,确保足够新插入数据的缓冲。
版权声明:本文为博主原创文章,未经博主允许不得。
对联11字1
1. 上联:大地春回祖国山川放异彩 下联:艳阳高照中华儿女绘新图
2. 上联:大地回春锦绣河山添秀色 下联:长征跃马英雄儿女着先鞭
3. 上联:大地回春千山披翠千山美 下联:春风送暖万水扬波万水欢
4. 上联:大地回春山山水水风光美 下联:政策归心行行业业气象新
5. 上联:大业有望东风习习送冬去 下联:气象更新红旗猎猎迎春来
6. 上联:东风浩荡大江南北春光好 下联:万马奔腾长城内外气象新
7. 上联:多难兴邦古来华夏多人杰 下联:发愤图强当代中国出奇才
8. 上联:发扬民主祖国山河春似海 下联:解放思想神州大地势如潮
9. 上联:放宽政策千里早苗逢甘雨 下联:器重贤才九天文厦赖栋梁
10. 上联:风景秀丽五州朋友慕名至 下联:江山多娇四海嘉宾接踵来
11. 上联:改天换地祖国江山风景好 下联:描山绣水中华儿女手艺高
12. 上联:工家兵学商人人争当模范 下联:农林牧副渔样样齐夺丰收
13. 上联:共举红旗合家幸福生活好 下联:同迎新岁满室春风笑语多
14. 上联:柜台内外五彩缤纷添新色 下联:货架上下琳琅满目绽奇葩
15. 上联:国富家富乡村富九州皆富 下联:山新水新天地新万象更新
对联11字2
鴻福齊天富贵雙全昌萬代
新春大吉人財兩盛旺千秋
平安富貴當思勤俭傳家久
發達榮華恒念詩書繼世長
五福臨門春夏秋冬行好運
三星在戶東南西北遇貴人
吉宅迎春物阜年豐歌大有
華堂納福人興財旺慶新春
公平交易貨如輪轉財源廣
誠信經營客似雲來利路通
福祿雙全富貴花開家業旺
源流兩盛平安竹報人財興
对联11字3
福宅迎春如意吉祥添富貴
源泉啟泰興家順遂慶榮華
新年大吉發家好運時時到
佳歲平安致富財神日日來
年年順景招財進寶家聲運
歲歲平安納福呈祥世澤長
大业有望东风习习送冬去
气象更新红旗猎猎迎春来
年年迎春年年添福年年乐
岁岁丰收岁岁有余岁岁欢
喜贴春联副副春联抒斗志
观燃鞭炮声声鞭炮振豪情
春风春雨育春花春满大地
喜山喜水织喜景喜溢神州
对联11字4
共举红旗合家幸福生活好,同迎新岁满室春风笑语多。
勤勤恳恳为人民群众服务,踏踏实实替社会主义立功。
工家兵学商人人争当模范,农林牧副渔样样齐夺丰收。
披荆斩棘勇跨新长征大道,移山填海齐绘现代化宏图。
银幕荧屏五光十色春意闹,文坛艺苑万紫千红气象新。
三尺柜台一颗红心尘不染,八方顾客百问不厌热情高。
红日吐辉伟大祖国更兴旺,江山多娇锦绣前程倍光明。
人人学科学学技术当模范,个个争先进争上游攀高峰。
大业有望东风习习送冬去,气象更新红旗猎猎迎春来。
对联11字5
长征路上花开一路红一路,四化宏图美景一幅胜一幅。
万里河山绿树丛中皆春色,十亿神州红旗底下尽美景。
喜看大地满眼都是胜利花,欣听长空无时不响报春雷。
太行山下红梅点点春正好,汾河岸上柳枝翩翩景更娇。
改天换地祖国江山风景好,描山绣水中华儿女手艺高。
望塞北松青柏翠风光正好,喜江南梅红竹绿气象一新。
浓墨重彩写不完人间春秋,千歌万曲唱不尽党的恩情。
妙笔千支画不完人间春色,美喉万啭唱不尽世纪凯歌。
胸怀准则不正风中身自正,心向人民坚险路上险能平。
项目名称::___________________________
委托人(甲方):___________________________
受托人(乙方):___________________________签订地点::___________________________
签订日期::年月日
有效期限:年月日至年月日
依据《中华人民共和国合同法》的规定,合同双方就_____________________项目的技术咨询(该项目属_____________计划※)经协商一致,签订本合同。
一、咨询内容、形式和要求
二、履行期限、地点和方式
本合同自年月日至年月日
在履行。
三、甲方的协作事项
在合同生效后:________(时间)内,甲方应向乙方提供下列资料和工作条件:
四、技术情报和资料的保密※五、验收、评价方法
五、咨询报告达到了本合同第一条所列的要求,采用:___________方式验收,由出具技术咨询验收证明。
评价方法:
六、报酬及其支付方式
(一)本项目报酬(大写)元。
(二)支付方式
①一次总付元,时间:
②分期支付元,时间:
元,时间:
③其它方式:
七、违约金或者损失赔偿额的计算
违反本合同约定,违约方应当按照《中华人民共和国合同法》有关条款的规定承担违约责任。
(一)违反本合同第条约定,方应承担以下违约责任:(二)违反本合同第条约定,方应承担以下违约责任:
八、解决合同纠纷的方式
在履行本合同的过程中发生争议,双方当事人和解或调解不成,可采取仲裁或按司法程序解决。
(一)双方同意由仲裁委员会仲裁。
(二)双方约定向(被告住所地、合同履行地、合同签订地、原告住所地、标的物所在地)的人民法院起诉。九、其它
甲方:(盖章)___________________________
法定代表人/委托代理人:(签名)_________
年月日
乙方:(盖章)___________________________
法定代表人/委托代理人:(签名)_________
年月日
混水摸鱼DD以太网广播攻击
将以太网接口置为乱模式(promiscuous),截获局部范围的所有数据包,为我所用,
金蝉脱壳DD删除系统运行日志
攻击者攻破系统后,常删除系统运行日志,隐藏自己的痕迹,以便日后再次入侵。
借尸还魂DD重新发送(Replay)攻击
收集特定的IP数据包,篡改其数据,然后再一一重新发送,欺骗接收的主机。
笑里藏刀DD远端操纵
缺省的登录界面(shellscripts)、配置和客户文件是另一个问题区域,它们提供了一个简单的方法来配置一个程序的执行环境。这有时会引起远端操纵的攻击:在被攻击主机上启动一个可执行程序,该程序显示一个伪造的登录界面。当用户在这个伪装的界面上输入登录信息(用户名、密码等)后,该程序将用户输入的信息传送到攻击者主机,然后关闭界面给出提示信息说“系统故障”,要求用户重新登录。此后,才会出现真正的登录界面。在我们能够得到新一代更加完善的操作系统版本之前,类似的攻击仍会发生。防火墙的一个重要作用就是防止非法用户登录到受保护网的主机上。例如可以在进行报文过滤时,禁止外部主机Telnet登录到内部主机上。
无中生有DD伪造信息攻击
通过发送伪造的路由信息,构造系统源主机和目标主机的虚假路径,从而使流向目标主机的数据包均经过攻击者的系统主机。这样就给人提供敏感的信息和有用的密码。
得陇望蜀DD“跳跃式”攻击
现在许多站点使用UNIX操作系统。 们会设法先登录到一台UNIX的主机上,通过该操作系统的漏洞来取得系统特权,然后再以此为据点访问其余主机,这被称为“跳跃”(IslandDhopping)。 们在达到目标主机之前往往会这样跳几次。
例如一个在美国的 在进入美联邦调查局的网络之前,可能会先登录到亚洲的一台主机上,再从那里登录到加拿大的一台主机,然后再跳到欧洲,最后从法国的一台主机向联邦调查局发起攻击。这样被攻击网络即使发现了 是从何处向自己发起攻击,管理人员也很难顺藤摸瓜找回去,更何况 在取得某台主机的系统特权后,可以在退出时删掉系统日志,把“藤”割断。你只要能够登录到UNIX系统上,就能相对容易成为超级用户,这使得它同时成为 和安全专家们的关注点。
偷梁换柱DD窃取TCP协议连接
网络互连协议也存在许多易受攻击的地方。而且互连协议的最初产生本来就是为了更方便信息的交流,因此设计者对安全方面很少甚至不去考虑。针对安全协议的分析成为攻击的最厉害一招。
在几乎所有由UNIX实现的协议族中,存在着一个久为人知的漏洞,这个漏洞使得窃取TCP连接成为可能。当TCP连接正在建立时,服务器用一个含有初始序列号的答报文来确认用户请求。这个序列号无特殊要求,只要是唯一的就可以了。客户端收到回答后,再对其确认一次,连接便建立了。
TCP协议规范要求每秒更换序列号25万次,
但大多数的UNIX系统实际更换频率远小于此数量,而且下一个更换的数字往往是可以预知的。而 正是有这种可预知服务器初始序列号的能力使得攻击可以完成。
惟一可以防治这种攻击的方法是使初始序列号的产生更具有随机性。最安全的解决方法是用加密算法产生初始序列号。额外的CPU运算负载对现在的硬件速度来说是可以忽略的。
暗渡陈仓DD针对信息协议弱点攻击
IP地址的源路径选项允许IP数据包自己选择一条通往系统目的主机的路径。设想攻击者试图与防火墙后面的一个不可到达主机A连接。他只需要在送出的请求报文中设置IP源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机A。当报文到达防火墙时被允许通过,因为它指向防火墙而不是主机A。防火墙的IP层处理该报文的源路径被改变,并发送到内部网上,报文就这样到达了不可到达的主机A。
调虎离山DD对ICMP报文的攻击
尽管比较困难, 们有时也使用ICMP报文进行攻击。重定向消息可以改变路由列表,路由器可以根据这些消息建议主机走另一条更好的路径。攻击者可以有效地利用重定向消息把连接转向一个不可靠的主机或路径,或使所有报文通过一个不可靠主机来转发。
对付这种威胁的方法是对所有ICMP重定向报文进行过滤,有的路由软件可对此进行配置。单纯地抛弃所有重定向报文是不可取的:主机和路由器常常会用到它们,如一个路由器发生故障时。
口令入侵
所谓口令入侵,就是指用一些软件解开已经得到但被人加密的口令文档。不过现在很多 已经大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传,使得入侵电脑网络系统有时变得相当简单,一般不需要很深入了解系统的内部结构,是初学者的好方法。
特洛伊木马
说到特洛伊木马,只要知道这个故事的人就不难理解,它最典型的做法可能就是把一个能帮助 完成某一特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已被该变。一旦用户触发该程序,那么依附在内的 指令代码同时被激活,这些代码往往能完成 指定的任务。由于这种入侵法需要 有很好的编程经验,且要更改代码、要一定的权限,所以较难掌握。但正因为它的复杂性,一般的系统管理员很难发现。
监听法
这是一个很实用但风险也很大的 入侵方法,但还是有很多入侵系统的 采用此类方法,正所谓艺高人胆大。
网络节点或工作站之间的交流是通过信息流的传送得以实现,而当在一个没有集线器的网络中,数据的传输并没有指明特定的方向,这时每一个网络节点或工作站都是一个接口。这就好比某一节点说:“嗨!你们中有谁是我要发信息的工作站?”此时,所有的系统接口都收到了这个信息,一旦某个工作站说:“嗨!那是我,请把数据传过来。”连接就马上完成。
此外常用的入侵方法还有EDmail技术、病毒技术和隐藏技术等。世界各地的 们正以飞快的速度创造出各种最新的入侵技术,真可谓“道高一尺,魔高一丈”,令人防不胜防。
