反黑风暴-第22部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


●在本地硬盘、U盘或移动硬盘生成autorun。inf和相应的病毒程序文件，然后通过自动播放功能进行传播。很多用户格式化系统分区后重装系统，当访问其他磁盘时，系统就会立即再次中毒。

●破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

当计算机中了“AV终结者”病毒，用户可以利用“AV终结者”专杀工具进行查杀。具体的操作步骤如下：

步骤01在工作正常的计算机（非中“AV终结者”病毒的计算机）上下载“AV终结者”专杀工具，并禁止自动播放功能，避免插入的U盘和移动硬盘感染病毒。

步骤02单击【开始】按钮，在弹出的面板中选择【运行】菜单项，在弹出的【运行】对话框中输入“gpedit。msc”，即可打开【组策略】窗口。在窗口的左侧依次展开“计算机配置”→“管理模板”→“系统”选项，在窗口的右侧选择“关闭自动播放”选项并右键单击，在弹出的快捷菜单中选择【属性】菜单项。

步骤03打开【关闭自动播放属性】对话框，在其中选中“已禁用”单选按钮，单击【确定】按钮。

步骤04将“AV终结者”专杀工具从工作正常的计算机中拷贝到中毒的计算机中，并运行该软件。在其主窗口中单击【禁用自动播放】按钮，禁止自动播放功能。

步骤05单击【开始扫描】按钮，即可对计算机中的病毒进行查杀，修复被破坏的系统配置。查杀结束后，不要立即重新启动计算机，先将计算机中安装的杀毒软件的病毒库升级到最新版本，然后进行全盘扫描，查杀“AV终结者”下载的其他病毒后，再重新启动计算机。

3。“股票盗贼”病毒

“股票盗贼”病毒主要以偷盗用户的账号和密码为目的，它会记录下用户的操作信息，把账户密码信息发送给指定电子邮箱，这一切都在用户完全不知情的状况下发生。目前，这种主要针对银行、网络游戏、即时通讯工具的木马病毒对网络安全已造成严重威胁。要清除这种病毒，可利用“金山毒霸肉鸡检测器——金山系统急救箱”工具进行查杀。

具体的操作步骤如下：

步骤01从网上下载“金山毒霸肉鸡检测器——金山系统急救箱”工具，双击其安装图标，即可打开【欢迎使用系统急救箱安装向导】对话框。

步骤02单击【下一步】按钮，即可弹出【选择目标位置】对话框，在其中设置系统急救箱的安装位置。

步骤03单击【下一步】按钮，即可弹出【选择额外任务】对话框。若要安装“金山网盾”软件，可选中其中的“金山网盾”复选项；若要在桌面上创建图标和快速启动图标，可选中“创建桌面图标”和“创建快速启动图标”复选项。

步骤04单击【下一步】按钮，即可弹出【准备安装】对话框。

步骤05单击【安装】按钮，即可打开【安装中】对话框，在其中可按照用户的设置安装软件。安装初步完成后，即可弹出【信息】对话框。

步骤06仔细阅读【信息】对话框中的内容后，单击【下一步】按钮，即可弹出【完成系统急救箱安装向导】对话框。

步骤07单击【完成】按钮，即可弹出【金山系统急救箱…315特别版】窗口，并自动对系统进行各项检测。

步骤08在检测完毕后，即可在【金山系统急救箱…315特别版】窗口中显示出“检测报告”和“诊断结果”。其中提示用户系统中存在有风险的加载项，这台计算机可能是肉鸡。

步骤09单击【详细》》】按钮，即可查看检测的详细结果，其中列出了存在风险的启动项。

步骤10若要清除存在风险的启动项，可选中项目前的复选框，单击【立即清除】按钮，即可进行查杀。此时，即可弹出【提示信息】对话框。单击【是】按钮，重新启动计算机，即可完成病毒的查杀。

木马和病毒能够在用户毫无防备的情况下侵入电脑，盗取用户的账号、密码等私人信息。因此，也要防备这些无形的“杀手”，以免信息泄漏。在社会工程学的入侵中，木马不只局限于传统的黑客攻击，而是呈多样化的。心怀恶意的人可能会在公司账务部门的计算机中植入木马，以达到获取个人利用，甚至于商业窃密的目的。

9。2。2从数据包中嗅探秘密

对于网络管理员来说，嗅探器是一个不可多得的监视网络状态的工具，但黑客常常利用它们作为网络监听的攻击工具，来窃听计算机程序在网络上发送和接收到的数据。目前的嗅探技术从传统形式发展到利用ARP缓存欺骗，并能成为内网数据传输的“中间人”，即过滤内网不同端口间的数据包。

下面以ARP欺骗利器——zxarps。exe为例，从隐私角度利用嗅探截获目标主机的网页浏览记录，即80端口的HTTP协议数据包。zxarps。exe程序大小仅有几百K，且需要在CMD环境下使用。这个基于ARP欺骗的小工具，可以在网页插马，进行DNS欺骗等。但使用这个工具前必须先安装WinpCap驱动才能运行，并正常使用。

使用zxarps。exe截获目标主机的网页浏览记录的操作步骤如下：

步骤01从网上下载zxarps。exe，并安装好WinpCap驱动后，在命令提示符下运行zxarps。exe，即可看到帮助信息。其中白色方框中的四条信息分别表示网卡信息、本机IP地址、MAC地址和网关地址。

步骤02在命令提示符下输入命令“xzarps。exeidx0…ip192。168。0。1…192。168。0。12…port80…save_hsni。log”，在运行后，zxarps。exe即可扫描设置的IP地址范围内活动的主机，嗅探的数据包越多，生成的文件就越大。

【提示】

命令“xzarps。exe…idx0…ip192。168。0。1…192。168。0。12port80save_hsni。log”中的各个参数的含义分别为：…idx0表示要使用索引号为0的网卡；…ip192。16

8。0。1…192。168。0。12指定要嗅探的内网IP地址范围；…port80表示嗅探80端口传输的数据，即HTTP协议服务的网页浏览；…save_hsni。log表示将嗅探到的数据保存到sin。log文件中。

步骤03过一段时间后，打开sni。log文本文档，可以看到截获的IP数据包记录。从截获的IP地址为192。168。0。9的数据包中可以发现，该用户正在浏览的网页地址是//blackskyer。spaces。live。/。

步骤04在IE浏览器的地址栏中输入这个网址，即可打开这个网站，可以看到这是一个博客网站。

从上面的例子中可以看出，利用嗅探工具可以从网络传输的数据包中挖掘出用户的信息，泄露用户的隐私。而且，嗅探程序是不可能被检测出来的，因为嗅探程序是一种被动的接收程序，属于被动触发的，它只会收集数据包，而不发送出任何数据，但是当它安装在一台正常的局域网内的计算机上的时候会产生一些数据流。

因此，为了防止黑客利用嗅探技术截获用户的重要信息，用户应采取一些有效地措施抵御嗅探器的攻击。

9。2。3很难查杀的间谍软件

间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它通过记录击键动作以及捕获电子邮件和即时消息就可以完成这一任务。

因为间谍软件可以在敏感信息被加密（以便对其进行传输）前将其捕获，因此，它能够绕过防火墙、安全连接和VPN这样的安全措施。用户计算机中的间谍软件都不是用户主动安装的，下面介绍几种可能导致用户不小心安装间谍软件的形式。

1．软件捆绑

软件捆绑方式是间谍软件采用得较多的一种，它通常和某实用软件放在一起，当用户在安装这款实用软件时，间谍软件便悄悄进行自动安装。

2．浏览网站

当用户在浏览一些不健康网站或一些黑客站点时，单击其中某些链接后，便会自动在你的浏览器或系统中安装上间谍程序。安装后，当用户在上网时，这些间谍程序即可使你的浏览器不定时地访问其站点，或者截获你的私人信息并发送给他人。

3．邮件发送

由于电子邮件的方便、快捷性，也成了间谍软件关注的目标。现在网络上的一些间谍公司，通过向对方发送一张含有该公司间谍程序的贺卡，对方阅读后可轻松监控其网上行踪。

一旦用户的电脑上安装间谍软件后，一个任意的升级与指令即可致使大量的用户电脑成为一台僵尸电脑，受人控制的傀儡电脑。因此，用户在日常使用中，要注意防范间谍软件。

从一般用户能做到的方法，要避免间谍软件的侵入，先得从间谍软件寄生的三种途径入手：不去不健康站点浏览；不到非正规站点下载软件；不收阅陌生人发送的邮件。还可以安装防火墙对自己的系统进行监控预防，不定期地利用最新版本的反间谍软件进行搜索、查杀。

第三章　专家课堂（常见问题与解答）

点拨1：如何清除对话框中“打开”下拉列表中的记录？

解答：用户可以在【运行】对话框中的“打开”下拉列表文本框中输入一些命令来快速地执行相应的操作，比如输入“cmd”命令，可以快速地打开【命令提示符】窗口。和其他Windows中的功能一样，【运行】对话框中的这个“打开”下拉列表文本框也可以将用户使用过的一些命令、访问过的一些磁盘路径以及IP地址记录下来，当用户下次输入相同的命令或路径时，它即可将这些用户曾经输入过的信息显示在下拉列表中。

这些记录虽然能够方便用户的操作，但也有可能将用户的一些隐私泄露出去，因此，也需要及时地清理。具体操作方法如下：

步骤01打开【注册表编辑器】窗口，在窗口的左侧依次展开“HKEY_CURRENT_USERSoftwareMircrosoftWindowsCurrentVersionExplorerRunMRU”项，在右侧的窗格中即可看到该注册表项包含的子键。

步骤02删除除“（默认）”以外的全部子键并关闭【注册表编辑器】窗口，重新启动计算机。当再次打开【运行】对话框时，即可发现“打开”下拉列表文本框中已经没有记录了。

点拨2：如何清除表单和密码记录

解答：默认情况下，IE浏览器具有“自动完成”功能，也很容易使用户的隐私泄露出去。为保护用户信息安全也应及时清除自动完成历史记录。具体的操作步骤如下：

步骤1：打开【Inter选项】对话框，选择【内容】选项卡，单击其中的【自动完成】按钮。

步骤2：打开【自动完成设置】对话框，单击【清除表单】按钮，即可清除表单记录；单击【清除密码】按钮，即可清除IE缓存中的密码记录。

第一章　Cookies欺骗

“Cookies”是保存在用户计算机中，用于记录用户在网页访问过程中输入、保存的一些数据的信息文件，用户可以打开并修改它。Cookies发起的攻击主要分成两种，一种是Cookies欺骗攻击，另一种是基于Cookies的注入攻击。利用Cookies欺骗攻击可以轻而易举地获得管理权限，进而盗取用户的重要信息。

10。1。1认识Cookies欺骗

Cookies是当用户浏览某网站时，由Web服务器置于硬盘上的一个非常小的文本文件，它可以记录浏览者访问一个特定站点的信息，如用户ID、密码、浏览过的网页、停留的时间等信息。当用户再次来到该网站时，网站通过读取Cookies，获得用户的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者不用输入ID、密码就直接登录等。

由于Cookies是用户浏览的网站传输到用户计算机硬盘中的文本文件或内存中的数据，因此，它在硬盘中存放的位置与使用的操作系统和浏览器密切相关。在WindowsNT/2000/XP的计算机中，Cookies文件存放在C：/DocumentsandSettings/用户名/Cookies文件夹中。

储存在Cookies中的大部分信息都是普通信息，如每一次的击键信息和被访站点的地址等。但是许多Web站点使用Cookies来储存针对私人的数据，如注册口令、用户名、信用卡编号等。

这样，当用户被恶意攻击者攻击时，恶意攻击者在获得用户的Cookies文件后会实施信息分析，找出其中有用的信息，再通过相应手段破解后即可获得用户的身份或某些高级权限，然后利用用户的登录信息实施欺骗登录了，从而成功获得它们想要得到的信息，其危害的程度自然就不言而喻了。

10。1。2Cookies欺骗的原理

当计算机被cookies欺骗攻击后，很多管理员都不明白自己的系统是怎么被攻击入侵的。因为cookies文件中虽然记录着用户的账户ID、密码之类的信息，但在网络中传递的时候，cookies是经过加密的，而且还是用了很安全的MD5加密。

这样，经过加密处理后的cookies信息，即使被网络上的攻击者截获，能看到的也只是一些无意义的字母和数字。攻击者是通过什么手段成功盗取用户的账户、密码等信息的呢？

实质上攻击者要想冒充别人的身份登录网站，并不需要知道截获的cookies文件中那些经过加密的字符串的含义，他们只要把别人的cookies向服务器提交，并且能够通过服务器的验证就可以了。

从以上分析可以看出，cookies欺骗实现的前提条件是服务器的验证程序存在漏洞，且攻击者要获得被冒充的人的cookies信息。就目前的网络情况来看，攻击者要获得别人的cookies，一般会用支持cookies的语言编写一小段代码，再把这段代码放到想要cookies的网络中，这样，访问了这个代码的用户的cookies都能被盗取，这个过程对攻击者来说非常简单。

下面是某脚本系统中的一个登录过程判断代码，这里以这个代码为例，来说明cookies欺骗在脚本程序员编程的时候是如何产生，又是如何被攻击者利用的。

…

Iflogin=falsethentl=〃登录失败〃mes=mes&〃。返回重新填写〃elseResponse。cookies（prefix）（〃lgname〃）=lgnamesession（prefix〃lgname〃）=lgname

Response。cookies（prefix）（〃lgpwd〃）=lgpwd

Response。cookies（prefix）（〃lgpwd〃）=lgtype

Response。cookies（prefix）（〃lgcook〃）=cookifcook》0then

Response。cookies（prefix）。Expires=date＋cookendif

…

这段代码的含义是，如果用户登录失败，页面就会返回提示信息，告诉用户登录失败，并引导用户返回上一页。如果登录成功，程序就会进行cookies操作，将信息写进cookies中。如果用户的cookies已经存在，则网站将读取系统中的cookies信息，比如已经存在的cookies文件中的过期时间就是用户cookies的过期时间。

需要注意的是，这时网站是直接读取系统中的cookies信息。因为网站默认cookies信息是安全且真实的，并没有进行判断。

由于cookies在本地是可以修改和伪造的，因此，如果遇上类似以上的代码，攻击者可以非常容易地通过cookies欺骗入侵计算机。

10。1。3Cookies欺骗攻击案例

Cookies欺骗的典型步骤主要有如下4步：

（1）找到存在cookies欺骗漏洞的代码。

（2）获得权限用户的本地即时Cookies信息。

（3）利用脚本系统正常功能，获得管理员或者其他高权限用户的账户等信息。

（4）修改、构造、提交非法Cookies信息，达到欺骗系统，获得高级用户的权限的目的。

下面通过两个案例说明攻击者是如何进行Cookies欺骗的。

1．利用IECookiesView获得目标计算机中的Cookies信息

从上一小节中介绍的Cookie