第5章網(wǎng)絡(luò)攻擊技術(shù)攻擊五步曲網(wǎng)絡(luò)踩點(diǎn)網(wǎng)絡(luò)掃描網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)入侵社會工程學(xué)攻擊物理攻擊漏洞攻擊拒絕服務(wù)攻擊網(wǎng)絡(luò)后門網(wǎng)絡(luò)隱身黑客守則任何職業(yè)都有相關(guān)的職業(yè)道德，一名黑客同樣有職業(yè)道德，一些守則是必須遵守的，不讓會給自己招來麻煩。歸納起來就是“黑客十二條守則”。1、不要惡意破壞任何的系統(tǒng)，這樣做只會給你帶來麻煩。2、不要破壞別人的軟件和資料。3、不要修改任何系統(tǒng)文件，如果是因?yàn)檫M(jìn)入系統(tǒng)的需要而修改了系統(tǒng)文件，請?jiān)谀康倪_(dá)到后將他改回原狀。4、不要輕易的將你要黑的或者黑過的站點(diǎn)告訴你不信任的朋友。5、在發(fā)表黑客文章時(shí)不要用你的真實(shí)名字。6、正在入侵的時(shí)候，不要隨意離開你的電腦。7、不要入侵或破壞政府機(jī)關(guān)的主機(jī)。8、將你的筆記放在安全的地方。9、已侵入的電腦中的賬號不得清除或修改。10、可以為隱藏自己的侵入而作一些修改，但要盡量保持原系統(tǒng)的安全性，不能因?yàn)榈玫较到y(tǒng)的控制權(quán)而將門戶大開。11、不要做一些無聊、單調(diào)并且愚蠢的重復(fù)性工作。12、做真正的黑客，讀遍所有有關(guān)系統(tǒng)安全或系統(tǒng)漏洞的書。一、攻擊五步曲隱藏IP肉雞多級Sock跳板代理踩點(diǎn)掃描對攻擊目標(biāo)進(jìn)行全方位的了解掃描計(jì)算機(jī)以尋找漏洞獲得系統(tǒng)或管理員權(quán)限種植后門在網(wǎng)絡(luò)中隱身清除相關(guān)登錄日志清除入侵痕跡2、踩點(diǎn)和掃描踩點(diǎn)就是通過各種途徑對所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時(shí)間和地點(diǎn)。掃描的目的是利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。3、獲得系統(tǒng)或管理員權(quán)限得到管理員權(quán)限的目的是連接到遠(yuǎn)程計(jì)算機(jī)，對其進(jìn)行控制，達(dá)到自己攻擊目的。獲得系統(tǒng)及管理員權(quán)限的方法有：通過系統(tǒng)漏洞獲得系統(tǒng)權(quán)限通過管理漏洞獲得管理員權(quán)限通過軟件漏洞得到系統(tǒng)權(quán)限通過監(jiān)聽獲得敏感信息進(jìn)一步獲得相應(yīng)權(quán)限通過弱口令獲得遠(yuǎn)程管理員的用戶密碼通過窮舉法獲得遠(yuǎn)程管理員的用戶密碼通過攻破與目標(biāo)機(jī)有信任關(guān)系另一臺機(jī)器進(jìn)而得到目標(biāo)機(jī)的控制權(quán)通過欺騙獲得權(quán)限以及其他有效的方法。4、種植后門為了保持長期對自己勝利果實(shí)的訪問權(quán),在已經(jīng)攻破的計(jì)算機(jī)上種植一些供自己訪問的后門。二、網(wǎng)絡(luò)踩點(diǎn)踩點(diǎn)就是通過各種途徑對所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確）。常見的踩點(diǎn)方法包括：在域名及其注冊機(jī)構(gòu)的查詢公司性質(zhì)的了解對主頁進(jìn)行分析郵件地址的搜集目標(biāo)IP地址范圍查詢。踩點(diǎn)的目的就是探察對方的各方面情況，確定攻擊的時(shí)機(jī)。模清除對方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時(shí)刻，為下一步的入侵提供良好的策略。三、網(wǎng)絡(luò)掃描掃描一般可以分成：1、活動主機(jī)探測；2、ICMP查詢；3、網(wǎng)絡(luò)PING掃描；4、端口掃描；5、標(biāo)識UDP和TCP服務(wù)；6、指定漏洞掃描；7、綜合掃描。掃描方式可以分成兩大類：慢速掃描和亂序掃描。1、慢速掃描：對非連續(xù)端口進(jìn)行掃描，并且源地址不一致、時(shí)間間隔長沒有規(guī)律的掃描。2、亂序掃描：對連續(xù)的端口進(jìn)行掃描，源地址一致，時(shí)間間隔短的掃描。掃描的基本注意事項(xiàng)XP下掃描：一定要打上最大連接數(shù)破解補(bǔ)丁運(yùn)行使用專門的最大連接數(shù)破解補(bǔ)丁程序，F(xiàn)TP可下載使用迅雷、PPLIVE等進(jìn)行破解關(guān)閉防火墻使用網(wǎng)絡(luò)：校園網(wǎng)/電信寬帶，掃描的目標(biāo)網(wǎng)絡(luò)：校園網(wǎng)/電信公網(wǎng)掃描弱口令計(jì)算機(jī)軟件NTSCAN：用校園網(wǎng)掃校園網(wǎng)，用以掃描2K、或被人為修改系統(tǒng)存在漏洞的XP系統(tǒng)中用戶賬號為空口令或者弱口令的計(jì)算機(jī)。冬陵ADSL密碼終結(jié)者：任意，用以掃描ADSL賬號和密碼SSPORT：任意，快速端口掃描軟件用迅雷去除系統(tǒng)最大連接數(shù)限制例1：掃描獲取寬帶賬號具體見錄像。。。關(guān)于寬帶上網(wǎng)密碼的盜取和保護(hù)什么情況下可能被盜取：使用寬帶路由器或者設(shè)置ADSL貓工作于路由方式，使得單位或家庭的多臺內(nèi)網(wǎng)計(jì)算機(jī)實(shí)現(xiàn)共享上網(wǎng)的用戶。盜取工具：冬陵ADSL密碼終結(jié)者。不使用共享上網(wǎng)方式，而是電腦直接PPPOE撥號上網(wǎng)的用戶，如果電腦被人入侵，使用DialPass也可得到預(yù)存在電腦中的撥號密碼。上網(wǎng)密碼被盜取的危害：可能造成經(jīng)濟(jì)損失賬號被盜用上網(wǎng)，但現(xiàn)在基本上綁定賬號－電話號碼，或賬號－端口。賬號被盜用在互聯(lián)星空消費(fèi)，如看影視、學(xué)外語、充Q幣等。賬號被盜用到電信WLAN天翼通無線熱點(diǎn)區(qū)域無線上網(wǎng)。廈門電信無線校園：如何防范：使用寬帶路由器或者讓ADSL貓工作于路由方式，使得單位或家庭的多臺內(nèi)網(wǎng)計(jì)算機(jī)實(shí)現(xiàn)共享上網(wǎng)的用戶：更改上述設(shè)備的遠(yuǎn)程管理使用的WEB服務(wù)器端口80為其它端口；關(guān)閉上述設(shè)備的遠(yuǎn)程管理功能；一定要修改進(jìn)入路由器設(shè)置頁面的默認(rèn)出廠賬號對應(yīng)的密碼。不使用共享上網(wǎng)方式，而是電腦直接撥號上網(wǎng)的用戶：電腦不被人入侵。例2：端口掃描：ssport軟件可以掃描一臺計(jì)算機(jī)打開的端口有哪些，進(jìn)而判斷該計(jì)算機(jī)啟用了哪些網(wǎng)絡(luò)服務(wù)或正在運(yùn)行哪些網(wǎng)絡(luò)應(yīng)用程序。如掃描到目標(biāo)計(jì)算機(jī)開啟21端口，按照默認(rèn)情況說明該計(jì)算機(jī)開啟了FTP服務(wù)，是一臺FTP服務(wù)器?？梢話呙枰欢蜪P地址范圍內(nèi)的一片計(jì)算機(jī)中，有哪些計(jì)算機(jī)已經(jīng)打開了相應(yīng)的端口，啟用了相應(yīng)的服務(wù)。如要想知道哪些計(jì)算機(jī)是WEB網(wǎng)站服務(wù)器只要掃描其80端口。例3：遠(yuǎn)程桌面入侵前提條件：早期的盜版系統(tǒng)安裝光盤安裝系統(tǒng)時(shí)將XP默認(rèn)安全選項(xiàng)修改為不安全。如電腦公司特別版。方法：掃描目標(biāo)計(jì)算機(jī)的3389端口，若開放，則用遠(yuǎn)程桌面連接目標(biāo)計(jì)算機(jī)。若目標(biāo)計(jì)算機(jī)為XP，試探用new或administrator賬號和空密碼登錄。例如：電腦公司特別版低版本電腦公司特別版V4.X和5.X版本，存在安全漏洞分組入侵練習(xí)兩個學(xué)生一組，A作為入侵者，B作為被入侵者。B電腦XP默認(rèn)是安全的逐步將其修改成不安全。然后B將自己電腦上的賬號和IP告知A。A用Windows自帶的遠(yuǎn)程桌面客戶端程序連接B電腦。若A連上B并登錄后，B電腦返回登錄畫面。若B重新登錄，A被強(qiáng)制斷線。A、B兩人搶B電腦的桌面。用途：入侵（目前不實(shí)用）；用電腦甚至手機(jī)遠(yuǎn)程控制自己的遠(yuǎn)程計(jì)算機(jī)。B電腦操作之1：啟用遠(yuǎn)程桌面默認(rèn)不啟用，現(xiàn)在啟用B電腦操作之2：設(shè)置防火墻Win自帶防火墻對遠(yuǎn)程桌面服務(wù)端程序默認(rèn)攔截，現(xiàn)在改為放行附：利用注冊表修改遠(yuǎn)程桌面服務(wù)端默認(rèn)端口3389為其它端口開始/運(yùn)行/REGEDIT，進(jìn)入注冊表編輯器打開注冊表項(xiàng)目HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

Server\

Wds\rdpwd\Tds\tcp，看見PortNamber值了嗎？其默認(rèn)值是3389，修改成所希望的端口即可，例如6789。注意選十進(jìn)制值。再打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal

Server\WinStations\RDP\Tcp，其默認(rèn)值也是3389，修改成所希望的端口即可，例如6789。修改完畢，重新啟動電腦。以后遠(yuǎn)程登錄的時(shí)候連接已啟用遠(yuǎn)程桌面功能的遠(yuǎn)程電腦的6789端口。將默認(rèn)的3389修改為其它端口如6789，但不能和其它已打開端口沖突監(jiān)聽軟件防止監(jiān)聽的手段是：建設(shè)交換網(wǎng)絡(luò)、使用加密技術(shù)和使用一次性口令技術(shù)。除了非常著名的監(jiān)聽軟件SnifferPro以外，還有一些常用的監(jiān)聽軟件：嗅探經(jīng)典－－Iris密碼監(jiān)聽工具－－WinSniffer密碼監(jiān)聽工具－－pswmonitor和非交換環(huán)境局域網(wǎng)的fssniffer等等SnifferPro是一款非常著名監(jiān)聽的工具，但是SnifferPro不能有效的提取有效的信息。五、網(wǎng)絡(luò)攻擊常用的網(wǎng)絡(luò)攻擊手段：社會工程學(xué)攻擊物理攻擊暴力攻擊漏洞攻擊DOS攻擊……1、社會工程學(xué)攻擊社交工程是使用計(jì)謀和假情報(bào)去獲得密碼和其他敏感信息的科學(xué)，研究一個站點(diǎn)的策略其中之一就是盡可能多的了解這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息。舉個例子：一組高中學(xué)生曾經(jīng)想要進(jìn)入一個當(dāng)?shù)氐墓镜挠?jì)算機(jī)網(wǎng)絡(luò)，他們擬定了一個表格，調(diào)查看上去顯得是無害的個人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字，這些從學(xué)生轉(zhuǎn)變成的黑客說這種簡單的調(diào)查是他們社會研究工作的一部分。利用這份表格這些學(xué)生能夠快速的進(jìn)入系統(tǒng)，因?yàn)榫W(wǎng)絡(luò)上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。2、物理攻擊與防范物理安全是保護(hù)一些比較重要的設(shè)備不被接觸。物理安全比較難防，因?yàn)楣敉鶃碜阅軌蚪佑|到物理設(shè)備的用戶。3、暴力攻擊暴力攻擊的一個具體例子是，一個黑客試圖使用計(jì)算機(jī)和網(wǎng)絡(luò)去破解一個密碼。一個黑客需要破解—段單一的被用非對稱密鑰加密的信息，為了破解這種算法，一個黑客需要求助于非常精密復(fù)雜的方法，它使用120個工作站，兩個超級計(jì)算機(jī)利用從三個主要的研究中心獲得的信息，即使擁有這種配備，它也將花掉八天的時(shí)間去破解加密算法，實(shí)際上破解加密過程八天已是非常短暫的時(shí)間了。4、漏洞攻擊從安全站點(diǎn)了解最新操作系統(tǒng)和各種軟件漏洞從網(wǎng)上下載相應(yīng)的漏洞攻擊程序利用該漏洞攻擊程序進(jìn)行入侵攻擊1.安全中國2、黑客防線5、拒絕服務(wù)攻擊拒絕服務(wù)攻擊的簡稱是：DoS（DenialofService）攻擊，凡是造成目標(biāo)計(jì)算機(jī)拒絕提供服務(wù)的攻擊都稱為DoS攻擊，其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊是：計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算機(jī)無法再處理合法用戶的請求。第6章網(wǎng)絡(luò)安全技術(shù)手工安全檢查步驟：5查查進(jìn)程查端口查連接查服務(wù)查啟動項(xiàng)操作系統(tǒng)安全配置初級中級高級防火墻的正確使用一、手工安全檢查方法查進(jìn)程查端口查連接查服務(wù)查啟動項(xiàng)1.查進(jìn)程查看當(dāng)前進(jìn)程哪些是正常的，哪些是可疑的，哪些是非法進(jìn)程。了解、熟悉自己電腦中的進(jìn)程，逐步積累、熟悉各種進(jìn)程。假進(jìn)程將自己偽裝成和系統(tǒng)、正常文件盡量相似或相近，甚至完全相同。偽裝方法：將正常進(jìn)程文件中的一個字符修改為相似的字母或數(shù)字，如svchost.exesvohost.exe(假)，winlogon.exewin1ogon.exe(假)。在正常進(jìn)程文件名中增加/減少一個字符如字母或數(shù)字。如explorer.exeexplore.exe(假)，iexplore.exeiexplorer.exe(假)。假進(jìn)程和真進(jìn)程文件名完全相同，但在磁盤中的位置不同。如C:\WINDOWS\explorer.exe和C:\WINDOWS\system32\svchost.exe是正常的，而其它位置出現(xiàn)的同名文件是假冒的。隱藏進(jìn)程。進(jìn)程文件檢查方法：查文件名查文件路徑查文件圖標(biāo)（注意文件圖標(biāo)可能更換）查文件的版本信息、日期（注意可能更改偽裝）查MD5值用冰刃顯示、查看隱藏的進(jìn)程查看和結(jié)束進(jìn)程工具：

任務(wù)管理器安全輔助工具，如360安全衛(wèi)士專門的進(jìn)程管理工具軟件，如ProcessExplorer，冰刃IceSword等。后者結(jié)束進(jìn)程的能力更強(qiáng)1.任務(wù)管理器電腦剛啟動以后和正常運(yùn)行時(shí)進(jìn)程數(shù)越多，運(yùn)行速度越慢CPU使用率越高，電腦運(yùn)行速度越慢可按CPU使用率降序排列，查看哪個進(jìn)程占用大量CPU資源，使電腦變慢，檢查其是否正常左邊數(shù)值代表當(dāng)前內(nèi)存使用量,剛啟動后或正常運(yùn)行時(shí)其值越大，運(yùn)行速度越慢。如果大于物理內(nèi)存則需升級內(nèi)存。右邊數(shù)值代表電腦可用總內(nèi)存（物理內(nèi)存和硬盤上的虛擬內(nèi)存之和）可按內(nèi)存使用率降序排列，查看哪個進(jìn)程占用大量內(nèi)存資源，使電腦變慢，檢查其是否正常r_server.exe進(jìn)程為遠(yuǎn)控軟件RemoteAdministrator的服務(wù)端進(jìn)程，R2PCServ.exe和R2PCSH.exe為遠(yuǎn)控軟件R2PC的服務(wù)端進(jìn)程svchost.exe進(jìn)程數(shù)量不一定，取決于開啟的系統(tǒng)服務(wù)多少。要么全大寫，要么全小寫。2.進(jìn)程瀏覽器ProcessEXP可顯示進(jìn)程文件的圖標(biāo)、描述、出品公司、版本號、日期時(shí)間顯示進(jìn)程文件在磁盤中的位置或路徑結(jié)束進(jìn)程的能力比任務(wù)管理器強(qiáng)可對文件進(jìn)行數(shù)字簽名校驗(yàn)，檢查、判斷其真?zhèn)?60和搜狗的文件也可通過校驗(yàn)ATI顯卡和WINRAR的文件無法校驗(yàn)。不能校驗(yàn)并不意味著文件一定就是假的灰色按鈕該進(jìn)程文件對應(yīng)的服務(wù)有哪些，加載的是哪個DLL文件可以查看該進(jìn)程打開的端口和連接情況向右縮進(jìn)的進(jìn)程為左邊左邊上級的子進(jìn)程，可以查看病毒木馬進(jìn)程的父進(jìn)程，即是哪個進(jìn)程創(chuàng)建的病毒木馬進(jìn)程2.查端口查看當(dāng)前打開端口哪些是正常的，哪些是可疑的，哪些是非法進(jìn)打開的端口。了解、熟悉自己電腦中的端口，逐步積累、熟悉各種端口。假端口偽裝方法：病毒木馬程序?qū)⒆约捍蜷_的端口偽裝成系統(tǒng)正常打開的端口，如445端口、3389端口。隱藏端口，如灰鴿子。端口檢查方法：查看端口號。查看打開該端口的進(jìn)程。用冰刃顯示、查看隱藏的端口。查看端口工具DOS下：NETSTAT–AN命令圖形界面下：aports等軟件遠(yuǎn)控軟件RemoteAdministrator的服務(wù)端打開的端口遠(yuǎn)控軟件Z2R2PC的服務(wù)端作為反彈連接主動連接控制端（上一行），也打開端口等待控制端連接（下一行）3.查連接查看當(dāng)前已建立的連接哪些是正常的，哪些是可疑的，哪些是非法連接。了解、熟悉自己電腦中的連接，逐步積累、熟悉各種連接。假連接偽裝方法：DLL木馬由系統(tǒng)或正常進(jìn)程如IEXPLORE.EXE、EXPLORER.EXE進(jìn)程加載，這時(shí)看到的連接是這些系統(tǒng)或正常進(jìn)程的連接。隱藏連接，如灰鴿子。連接檢查方法：查看當(dāng)前連接。查看當(dāng)前連接對應(yīng)的進(jìn)程是否自己打開的。檢查進(jìn)程加載的DLL文件。使用能監(jiān)控DLL文件訪問網(wǎng)絡(luò)，當(dāng)試圖訪問網(wǎng)絡(luò)時(shí)能給出提示的防火墻。用冰刃等顯示、查看隱藏的連接。查看連接工具DOS下：NETSTAT–AN命令圖形界面下：aports等軟件用冰刃顯示、查看隱藏的連接對于利用UDP端口進(jìn)行數(shù)據(jù)傳輸?shù)哪抉R程序，不能用上述方法查看連接情況，則可用防火墻、監(jiān)聽嗅探軟件查看數(shù)據(jù)傳輸情況。通過查看連接有可能查出入侵者的IP。當(dāng)控制端利用遠(yuǎn)控軟件客戶端程序連接上被控電腦時(shí)，被控服務(wù)端電腦上可查得已經(jīng)建立連接，還可能查得控制端IP360進(jìn)程查看工具可查到一個進(jìn)程加載的所有DLL文件。DLL文件數(shù)量多，手工檢查較為困難，可依靠殺毒軟件防火墻程序規(guī)則已經(jīng)放行并允許其訪問網(wǎng)絡(luò)的應(yīng)用程序列表防火墻模塊規(guī)則已經(jīng)放行并允許其訪問網(wǎng)絡(luò)的模塊列表瑞星防火墻也能檢查試圖訪問網(wǎng)絡(luò)的DLL文件瑞星防火墻可對DLL文件試圖訪問網(wǎng)絡(luò)時(shí)進(jìn)行檢查并給出警告提示，但默認(rèn)未啟用此功能瑞星防火墻檢測到可信任的應(yīng)用程序試圖訪問網(wǎng)絡(luò)時(shí)自動放行，并將其添加至允許訪問網(wǎng)絡(luò)的程序列表中自動放行的網(wǎng)絡(luò)應(yīng)用程序被添加至允許訪問網(wǎng)絡(luò)的程序列表中，下次該應(yīng)用程序試圖訪問網(wǎng)絡(luò)時(shí)不再提示當(dāng)瑞星防火墻檢測到無法自動驗(yàn)證的的應(yīng)用程序試圖訪問網(wǎng)絡(luò)時(shí)給出警告提示，由用戶自己決定是否放行并加入允許訪問網(wǎng)絡(luò)的程序列表中當(dāng)瑞星防火墻檢測到DLL文件試圖訪問網(wǎng)絡(luò)時(shí)也給出警告提示，由用戶自己決定是否放行并將其加入到允許訪問網(wǎng)絡(luò)的模塊列表中4.查服務(wù)所謂服務(wù)，指的是在系統(tǒng)啟動過程中隨著系統(tǒng)啟動而自動加載到內(nèi)存并運(yùn)行的程序，而且在登錄系統(tǒng)、出現(xiàn)桌面前即已加載運(yùn)行。查看系統(tǒng)當(dāng)前已安裝尤其是已啟動的服務(wù)哪些是正常的，哪些是可疑的，哪些是非法服務(wù)。了解、熟悉自己電腦中的服務(wù)，逐步積累、熟悉各種服務(wù)。假服務(wù)偽裝方法：冒充系統(tǒng)或者正常服務(wù)。隱藏服務(wù)，如灰鴿子。服務(wù)檢查方法：查看系統(tǒng)系統(tǒng)當(dāng)前安裝的服務(wù)。重點(diǎn)查看系統(tǒng)當(dāng)前已經(jīng)啟動的服務(wù)。查看服務(wù)名稱、描述、狀態(tài)、啟動類型。更要通過查看服務(wù)對應(yīng)的EXE文件及其路徑查看服務(wù)是否有偽裝。用冰刃等顯示、查看隱藏的服務(wù)。查看服務(wù)工具系統(tǒng)自帶的工具DOS命令：MSCONFIG我的電腦-右鍵管理-服務(wù)和應(yīng)用程序-服務(wù)進(jìn)程瀏覽器ProcessExplorer。360安全衛(wèi)士等輔助安全工具。減少、禁用無關(guān)服務(wù)將加快系統(tǒng)啟動速度，提高安全性。開始/運(yùn)行/MSCONFIG，切換到服務(wù)標(biāo)簽顯示的非微軟的其它服務(wù)數(shù)量大大減少，可減少服務(wù)檢查的工作量隱藏所有微軟的系統(tǒng)服務(wù)，只顯示非微軟的其它服務(wù)開始/運(yùn)行/SERVICES.MSC,可查看服務(wù)相關(guān)情況，如名稱、描述、狀態(tài)和啟動類型等360等殺毒軟件以服務(wù)方式啟動，啟動時(shí)機(jī)較早，使其較早具有實(shí)時(shí)監(jiān)控能力遠(yuǎn)控軟件RemoteAdmnistrator服務(wù)端程序?qū)?yīng)的服務(wù)雖然可以修改、偽裝服務(wù)名稱、顯示名稱和描述等，但可以通過其對應(yīng)的可執(zhí)行文件名稱和路徑來檢查其真?zhèn)芜h(yuǎn)控軟件R2PC服務(wù)端對應(yīng)的服務(wù)對確認(rèn)為可疑和非法的服務(wù)，可將其禁用最好用windows自帶的SC命令將該服務(wù)刪除。該命令也可修改服務(wù)名稱、顯示名稱、描述等用于偽裝服務(wù)5.查啟動項(xiàng)病毒、木馬程序要進(jìn)入系統(tǒng)，必須隨著系統(tǒng)的啟動而自動加載到內(nèi)存并運(yùn)行。查看系統(tǒng)當(dāng)前的自啟動項(xiàng)哪些是正常的，哪些是可疑的，哪些是非法的。了解、熟悉自己電腦中的服自啟動項(xiàng)，逐步積累、熟悉各種自啟動項(xiàng)。除了以服務(wù)方式自動加載外，其它形式自啟動項(xiàng)的查看方法和工具：系統(tǒng)自帶的工具開始—程序—啟動DOS命令：MSCONFIG查看注冊表中的自啟動項(xiàng)：REGEDIT，即HLM\software\Microsoft\windows\CurrentVersion\Run360安全衛(wèi)士等安全輔助工具專門的啟動項(xiàng)查看工具軟件，如AutoRuns減少自啟動項(xiàng)將加快系統(tǒng)啟動速度，不建議將一般軟件隨系統(tǒng)啟動而自動加載，可以禁用其自動加載功能。最簡單明顯的自啟動項(xiàng)，不需要的可直接刪除MSCONFIG打開系統(tǒng)配置實(shí)用程序注冊表啟動項(xiàng)AUTORUNS，顯示啟動項(xiàng)目最全，但檢查起來也最困難例1：取消暴風(fēng)影音自啟動，可以加快系統(tǒng)啟動速度。其它軟件也有類似設(shè)置例2：禁止快車FashGet的自啟動或者在“選項(xiàng)”中禁止例1：網(wǎng)靈一號遠(yuǎn)控服務(wù)端之進(jìn)程，文件名有偽裝進(jìn)程文件在磁盤的位置和路徑，文件夾偽裝成“RealLiveUpdate”網(wǎng)靈一號的三個進(jìn)程分別打開了TCP端口3476、5900和22。服務(wù)：名稱和描述有偽裝查看服務(wù)詳細(xì)信息根據(jù)文件名和路徑使其原形畢露啟動項(xiàng)三個遠(yuǎn)控軟件服務(wù)端程序在屏幕底部托盤位置顯示的圖標(biāo)RA和R2PC兩個圖標(biāo)均可設(shè)置為隱藏不顯示，隱蔽性強(qiáng)網(wǎng)靈一號不可隱藏圖標(biāo)易暴露例2，灰鴿子和冰刃

服務(wù)端配置：文件名偽裝服務(wù)偽裝插入IE進(jìn)程服務(wù)端程序圖標(biāo)偽裝配置好以后的服務(wù)端程序，雖為WORDDOC圖標(biāo)但實(shí)際上是EXE程序文件運(yùn)行服務(wù)端程序后，任務(wù)管理器里看不到任何灰鴿子的異常進(jìn)程電腦根本沒有打開IE瀏覽器，但在冰刃下紅色顯示隱藏的IE進(jìn)程Windows自帶的服務(wù)管理器里也查不到任何灰鴿子的服務(wù)但灰鴿子的服務(wù)在冰刃下以紅色顯示，原形畢露。上面一個為系統(tǒng)正常進(jìn)程，下面一個為灰鴿子的隱藏進(jìn)程即使設(shè)置了顯示隱藏文件和系統(tǒng)文件，但在資源管理器下根本看不到灰鴿子的相關(guān)隱藏文件系統(tǒng)文件夾下灰鴿子偽裝過的隱藏文件在冰刃下原形畢露?；银澴游募窃谧约簜窝b文件名的基礎(chǔ)上加_hook等，可據(jù)此查找并刪除。灰鴿子客戶端，即控制端界面灰鴿子的危害遠(yuǎn)程監(jiān)視遠(yuǎn)程控制遠(yuǎn)程靜默打開攝像頭，可錄像鍵盤記錄，竊取賬號/密碼上傳下載文件其它危害操作……手工查殺病毒方法：找出并結(jié)束病毒/木馬進(jìn)程。對于一些頑固進(jìn)程可用冰刃等清除。有些病毒/木馬進(jìn)程有保護(hù)進(jìn)程，需要將該進(jìn)程和保護(hù)進(jìn)程同時(shí)結(jié)束，也可用冰刃結(jié)束。刪除病毒/木馬程序文件。禁用，最好刪除病毒/木馬程序?qū)?yīng)的服務(wù)。刪除病毒/木馬程序的自啟動項(xiàng)。刪除殘余文件。冰刃的優(yōu)點(diǎn)能使隱藏的進(jìn)程、服務(wù)、文件等原形畢露結(jié)束進(jìn)程、刪除文件的能力較強(qiáng)在注冊表被禁用的情況下可對注冊表進(jìn)行編輯，修復(fù)注冊表使得可以利用REGEDIT打開注冊表編輯器若病毒木馬程序禁止了冰刃的運(yùn)行，只需對冰刃ICESWORD.EXE文件主名進(jìn)行修改即可運(yùn)行。二、OS安全配置目前服務(wù)器常用的操作系統(tǒng)有三類：UnixLinuxWindowsNT/2000/XP/2003/VISTA/2008/Win7。這些操作系統(tǒng)都是符合C2級安全級別的操作系統(tǒng)。但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者。(一)初級篇安全配置方案初級篇主要介紹常規(guī)的操作系統(tǒng)安全配置，包括十二條基本配置原則：物理安全、停止Guest帳號、限制用戶數(shù)量創(chuàng)建多個管理員帳號、管理員帳號改名陷阱帳號、更改默認(rèn)權(quán)限、設(shè)置安全密碼屏幕保護(hù)密碼、使用NTFS分區(qū)運(yùn)行防毒軟件、確保備份盤安全。查看系統(tǒng)賬戶1：控制面板-用戶賬戶（或controluserpasswords命令），顯示用戶數(shù)量少查看系統(tǒng)賬戶2：命令controluserpasswords2查看系統(tǒng)賬戶3：我的電腦右鍵-屬性，即計(jì)算機(jī)管理，顯示賬戶最全(二)中級篇安全配置方案中級篇主要介紹操作系統(tǒng)的安全策略配置，包括十條基本配置原則：操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口、開啟審核策略開啟密碼策略、開啟帳戶策略、備份敏感文件不顯示上次登陸名、禁止建立空連接和下載最新的補(bǔ)丁關(guān)閉139端口的方法:

“網(wǎng)絡(luò)連接”→“屬性”→“TCP/IP”→“屬性”→“選擇WINS設(shè)置、禁用TCP/IP的NETBLOS”選擇之后便關(guān)閉了139端口了關(guān)閉445端口的方法：

(1)運(yùn)行注冊表編輯程序(regedit)

(2)HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NetBT\parameters或查找

parameters

(3)在編輯窗口的右邊空白處點(diǎn)擊鼠標(biāo)右鍵，出現(xiàn)的“新建”菜單中選擇“DWORD值”將新建的DWORD參數(shù)名為“SMBDDeviceEnable”數(shù)值為缺省的“0”

(4)重新啟動計(jì)算機(jī)

(5)運(yùn)行netstat-a此時(shí)發(fā)現(xiàn)445端口不再listening關(guān)閉默認(rèn)共享和禁止空連接關(guān)閉默認(rèn)共享C$、D$、E$……禁用server服務(wù)或者：卸載“文件和打印機(jī)共享”法禁止建立空連接通過修改注冊表來禁止建立空連接：HKEY_Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous

的值改成”1”即可(三)高級篇高級篇介紹操作系統(tǒng)安全信息通信配置，包括十四條配置原則：關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享禁用DumpFile、文件加密系統(tǒng)加密Temp文件夾、鎖住注冊表、關(guān)機(jī)時(shí)清除文件禁止軟盤光盤啟動、使用智能卡、使用IPSec禁止判斷主機(jī)類型、抵抗DDOS禁止Guest訪問日志、數(shù)據(jù)恢復(fù)軟件三、網(wǎng)絡(luò)防火墻的正確使用要仔細(xì)閱讀防火墻的使用說明，并應(yīng)該正確配置和使用。可能需要修改默認(rèn)的設(shè)置選項(xiàng)。保安—防火墻保安檢查人員進(jìn)出—防火墻檢測網(wǎng)絡(luò)應(yīng)用程序(進(jìn)程)EXE文件試圖訪問網(wǎng)絡(luò)保安檢查進(jìn)出人員的行李—防火墻檢測EXE文件加載的DLL動態(tài)鏈接庫文件試圖訪問網(wǎng)絡(luò)—模塊檢查保安檢查窗戶—防火墻檢查端口打開窗戶等待別人來訪，如教秘—傳入連接，自己電腦打開端口等待網(wǎng)絡(luò)上其它電腦主動發(fā)起的連接打開窗戶去訪問別人，如學(xué)生—傳出連接，自己電腦去連接網(wǎng)絡(luò)上其它電腦已經(jīng)打開且在等待連接的端口防火墻可設(shè)置自己電腦允許/禁止通過哪個(些)端口訪問哪臺(些)目標(biāo)計(jì)算機(jī)，以及它們的那(些)端口。防火墻也可設(shè)置網(wǎng)絡(luò)上的那臺(些)計(jì)算機(jī)，以及通過它們的哪個(些)端口來訪問自己電腦，以及自己電腦的那個(些)端口。第7章無線安全技術(shù)無線技術(shù)：WLAN或者WIFI。無線AP或無線路由器的作用脫離網(wǎng)線束縛，隨地上網(wǎng)可以實(shí)現(xiàn)共享上網(wǎng)可能存在的隱患自己的無線網(wǎng)絡(luò)信號可能被人盜用即被蹭網(wǎng)別人可能利用無線網(wǎng)絡(luò)對自己計(jì)算機(jī)進(jìn)行攻擊、入侵自己電腦通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)可能被人嗅探竊聽，賬號/密碼可能被竊取路由器共享上網(wǎng)路由器的WAN接口接寬帶線路，只使用ISP分配的一個外部IP路由器的LAN接口使用內(nèi)部IP，如內(nèi)網(wǎng)外網(wǎng)因特網(wǎng)攻擊者內(nèi)網(wǎng)的多臺計(jì)算機(jī)可以使用內(nèi)部IP，如-254防火墻無線網(wǎng)絡(luò)安全防范1.修改進(jìn)入無線路由器管理頁面的出廠默認(rèn)的管理員賬號和密碼。2.修改無線路由器的LAN默認(rèn)地址(默認(rèn)192.168.0/1.1)。3.關(guān)閉DHCP，LAN內(nèi)電腦手動分配IP。4.設(shè)置IP—MAC地址綁定，即使關(guān)閉DHCP也可為電腦分配固定的IP地址，且可防止內(nèi)網(wǎng)電腦擅自修改IP。5.設(shè)置、啟用MAC地址過濾，阻止非法MAC地址訪問無線網(wǎng)絡(luò)。

6.隱藏SSID。7.設(shè)置無線加密傳輸。WEP加密可靠性低，容易被BT3/BT4等軟件破解。盡量啟用WPA2加密，極難被破解。登錄界面路由器的LANIP已經(jīng)修改，端口也由默認(rèn)的80改為8008進(jìn)入路由器設(shè)置頁面所需的賬號密碼已由默認(rèn)的admin/admin修改成自己的賬號密碼進(jìn)入路由器后的初始頁面網(wǎng)絡(luò)參數(shù)之LAN設(shè)置：LAN內(nèi)網(wǎng)網(wǎng)卡IP已由默認(rèn)的192.168.0/1.1修改為192.168.X.Y(X和Y為1-254間的任意值)，甚至修改為10.X.Y.Z，使得他人不易猜測網(wǎng)絡(luò)參數(shù)之MAC地址克?。簩⒙酚善魍饩W(wǎng)WAN網(wǎng)卡的MAC地址由出廠默認(rèn)值修改為其它值以突破ISP對多臺電腦共享上網(wǎng)的封鎖SSID作為該無線路由器區(qū)別于其它無線路由器的身份證別標(biāo)志，已由默認(rèn)的TP-Link改為自己命名的名字。且設(shè)置為不允許廣播，以免被他人看到開啟安全設(shè)置，設(shè)置無線數(shù)據(jù)加密傳輸，防止被蹭網(wǎng)、竊聽/嗅探。WEP加密強(qiáng)度低易被破解，盡量選后面的加密方式網(wǎng)絡(luò)參數(shù)之MAC地址過濾：啟用無線路由器的MAC地址過濾功能并將自己所有無線設(shè)備的MAC地址加入到允許訪問本無線路由器的列表中，禁止他人的無線設(shè)備訪問此無線路由器需經(jīng)常查看當(dāng)前已無線連接到此無線路由器的無線設(shè)備的MAC地址,檢查其中有無非自己設(shè)備的MAC地址。若有則說明被蹭網(wǎng)盜用啟用DHCP服務(wù)器使得路由器可為內(nèi)網(wǎng)計(jì)算機(jī)