配置漏洞:是指用户没有将系统或软件配置成最理想的安全状态;
漏洞:是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。如信息泄漏或执行攻击者代码
三大功能模块:表现(破坏)模块、触发(引导)模块、传染模块;
工作流程:传染源→传染媒介→病毒激活→病毒触发→病毒表现→传染;
一个简单的restart病毒:建立bat文件(shutdown /r)→命名为QQ.bat→建立快捷方式→选择QQ图标→不显示扩展名;
网页木马:表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
挂马:是指在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。
木马的组成:
1 硬件部分:控制端+服务端+Internet(数据传输的网络载体);
2 软件部分:服务端程序(木马)+控制端程序+木马配置程序;
具体连接部分:控制端/服务端IP+控制端/服务端port;
端口(port)可以认为是计算机与外界通信交流的出口。其中硬件领域的端口又称为接口,如USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基本输入/输出)缓冲区;
端口是传输层的内容,是面向连接的,它们对应着网络上常见的一些服务。这些常见的服务可划分为使用TCP端口(面向连接,如打电话)和使用UDP端口(无连接,如写信)两种。
在网络中可以被命名和寻址的通信端口是一种可分配资源,由网络OSI(Open System Interconnection,开放系统互连)参考模型可知,传输层与网络层的区别是传输层提供进程通信能力,网络通信的最终地址不仅包括主机地址,还包括可描述进程的某种标识。因此,当应用程序(调入内存运行后一般称为进程)通过系统调用与某端口建立连接(Binding,绑定)之后,传输层传给该端口的数据被相应进程所接收,相应进程发给传输层的数据都从该端口输出。
端口关闭:可以通过关闭服务实现;
端口限制:
后门:黑客利用某些方法成功地控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置,以使用相应的程序或方法来轻易地与这台电脑建立连接,重新控制这台电脑。通常,大多数的特洛伊木马程序都可以被入侵者用于制作后门。肉鸡是指那些可以随意被黑客控制的电脑。
shell:是一种命令执行环境,如CMD就是windows的shell执行环境;webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。
缓冲区溢出:程序对接收的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。可分为堆溢出和栈溢出。
注入:SQL注入是指用户提交一段数据库查询代码,根据程序返回的结果,获得某些用户想要知道的数据。注入点:是可以实施注入的地方,通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限不同,所得到权限也不同。
加壳:指利用特殊的算法,将exe可执行程序或者DLL动态连接库文件的编码进行改变(比如实施压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX、ASPack、PePack、PECompact、UPack等。
花指令:是几句汇编指令,让汇编语句进行一些跳转,使得杀毒软件不能正常地判断病毒文件的构造。通俗地讲,杀毒软件是从头到脚按顺序来查找病毒的,如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了。
免杀:是指通过加壳、加密、修改特征码、加花指令等技术来修改程序,使其尝过杀毒软件的查杀。
telnet 192.168.0.124 80→use→passwork;
net use \\192.168.1.122\ipc$ "" /user:administrator
| 攻击类型 | 对策 | |
| 系统漏洞 | 修补 | |
| IP地址 | 隐藏 | |
| 端口攻击 | 端口监控 | |
| 网页浏览 | 网页检测 | |
| 上传下载 | 杀毒检测 | |
| 电子邮件 | 加密传输 | |
| 即时通信 | 综合防范 |
| 安全工具 | xfocus | |
| 扫描器 | ||
| 嗅控工具 | ||
| 木马 | ||
| 后门程序 | ||
| 防火墙 | ||
| 口令破解 | ||
| 蠕虫 | ||
| 代理程序 | ||
| 拒绝服务 | ||
| 及侵检测 | ||
| 网络工具 | ||
| 攻击程序 |
| sn | 软件类别 | 软件名称 | ver | size | N ver | company | 介绍 | 备注 |
|---|---|---|---|---|---|---|---|---|
| 1 | 端口扫描 | x-scan | v3.3 | 10.5 | baidu | 下载npptools.dll解压缩→复制到C:\Windows\System32→regsvr32 npptools.dll; | ||
| nMap | v6.4 | nmap -sT 192.168.0.1-255 | ||||||
| FreePortScanner | 3.2.9 | |||||||
| scanPort | 1.2 | |||||||
| PortScan | 1.49 | |||||||
| 扫描防御 | ProtectX | 4.16 | ||||||
| 2 | 嗅探器 | Iris | 4.08 | Network Traffic Analyzer | ||||
| 网络监控 | lansee | 1.75 | ||||||
| 3 | 代理服务器 | |||||||
| sn | 分类 | 软件名称 | ver | 大小 | N ver | 公司 | baidu | remark |
防火墙:检查来自Internet等网络的数据,并根据配置拒绝或允许对方连接到当前电脑;