版權(quán)所有，盜版必糾第5章網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身版權(quán)所有，盜版必糾概述本章來介紹網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身技術(shù)，主要包括木馬、后門和清除攻擊痕跡等。這個(gè)技術(shù)與方法都是黑客攻擊常用的技術(shù)方法。版權(quán)所有，盜版必糾目錄5.1木馬攻擊5.2網(wǎng)絡(luò)后門5.3清除攻擊痕跡版權(quán)所有，盜版必糾5.1木馬攻擊5.1.1關(guān)于木馬的故事 特洛伊木馬簡(jiǎn)稱木馬，英文叫做“

Trojanhouse”

，其名稱取自希臘神話的特洛伊木馬記。其名稱取自希臘神話的特洛伊木馬記。古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠(yuǎn)征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻(xiàn)了一計(jì)，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵，如圖5.1所示。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，打開了城門，希臘將士一擁而入攻下了城池。版權(quán)所有，盜版必糾5.1木馬攻擊5.1.1關(guān)于木馬的故事

版權(quán)所有，盜版必糾5.1木馬攻擊

計(jì)算機(jī)木馬一般包括兩個(gè)程序，一個(gè)是客戶端，另一個(gè)是服務(wù)器端。如果要給別人計(jì)算機(jī)上種木馬，則受害者一方運(yùn)行的是服務(wù)器端程序，而自己使用的是客戶端來控制受害者機(jī)器的。版權(quán)所有，盜版必糾5.1木馬攻擊木馬的傳播方式主要有兩種:一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。版權(quán)所有，盜版必糾5.1木馬攻擊1.密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。它們大多數(shù)使用25端口發(fā)送E--mail。2.鍵盤記錄型木馬鍵盤記錄型木馬非常簡(jiǎn)單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一件事。版權(quán)所有，盜版必糾5.1木馬攻擊3.毀壞型木馬毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡(jiǎn)單，并且很容易被使用。它們可以自動(dòng)地刪除用戶計(jì)算機(jī)上的所有的.DLL、INI或EXE文件。4.FTP型木馬FTP型木馬打開用戶計(jì)算機(jī)的21端口（FTP所使用的默認(rèn)端口），使每一個(gè)人都可以用一個(gè)FTP客戶端程序來不用密碼連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載。版權(quán)所有，盜版必糾5.1木馬攻擊木馬常用的欺騙方法如下：1.捆綁欺騙：如把木馬服務(wù)端和某個(gè)游戲捆綁成一個(gè)文件在郵件中發(fā)給別人。2.危險(xiǎn)下載點(diǎn)：攻破一些下載站點(diǎn)后，下載幾個(gè)下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載；或直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載。3.文件夾慣性點(diǎn)擊：把木馬文件偽裝成文件夾圖標(biāo)后，放在一個(gè)文件夾中，然后在外面再套三四個(gè)空文件夾。版權(quán)所有，盜版必糾5.1木馬攻擊木馬常用的欺騙方法如下：4.zip偽裝：將一個(gè)木馬和一個(gè)損壞的zip包捆綁在一起，然后指定捆綁后的文件為zip圖標(biāo)。5.網(wǎng)頁木馬法：有的網(wǎng)頁是自帶木馬的，只要打開該網(wǎng)頁，立刻就會(huì)安裝上木馬。 常見的木馬很多，Windows下有Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等。UNIX下有Rhost++、Login后門、rootkit等。版權(quán)所有，盜版必糾5.1.3木馬例子

下面以Windows下的冰河木馬為例子，介紹木馬的原理。冰河實(shí)際上是一個(gè)小小的服務(wù)器程序（安裝在要入侵的機(jī)器中），這個(gè)小小的服務(wù)端程序功能十分強(qiáng)大，通過客戶端（安裝在入侵者的機(jī)器中）的各種命令來控制服務(wù)端的機(jī)器，并可以輕松的獲得服務(wù)端機(jī)器的各種系統(tǒng)信息。1999年上半年，一個(gè)名叫黃鑫的人寫出了冰河木馬軟件。冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，有人說在國(guó)內(nèi)沒用過冰河的人等于沒用過木馬，可見冰河木馬的重要性。版權(quán)所有，盜版必糾5.1.3木馬例子

冰河木馬的服務(wù)器端程序名為G_Server.exe，客戶端程序名為G_Client.exe。冰河木馬目的是遠(yuǎn)程訪問、控制。冰河的開放端口7626據(jù)傳為其生日號(hào)。2.2版本后均非黃鑫制作。如圖5.2所示為冰河不同版本的圖標(biāo)。版權(quán)所有，盜版必糾5.1.3木馬例子冰河木馬的功能如下：1．自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)。

2．記錄各種口令信息：包括開機(jī)口令、屏?？诹睢⒏鞣N共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過的口令信息，且1.2以上的版本中允許用戶對(duì)該功能自行擴(kuò)充，2.0以上版本還同時(shí)提供了擊鍵記錄功能。

3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。版權(quán)所有，盜版必糾5.1.3木馬例子

4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。

5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能。

6．注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能。

7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息。8．點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。版權(quán)所有，盜版必糾5.1.3木馬例子

下面來看看冰河木馬的使用。首選可以采用一些端口掃描工具如X-way、Superscan、X-Scan等掃描一個(gè)網(wǎng)段內(nèi)的所有主機(jī)，看看這些主機(jī)有哪些7626端口是開放的。如圖5.3所示為使用X-way掃描一個(gè)網(wǎng)段中的7626端口。版權(quán)所有，盜版必糾5.1.3木馬例子版權(quán)所有，盜版必糾5.1.3木馬例子X-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)了6臺(tái)機(jī)器的7626端口是開放的，這表明這6臺(tái)機(jī)器可能都有冰河木馬。版權(quán)所有，盜版必糾5.1.3木馬例子如圖5.5所示，為冰河的主界面，可以看到它可以完成屏幕抓圖、控制、修改服務(wù)器配置、冰河信使等功能。版權(quán)所有，盜版必糾5.1.3木馬例子如圖5.6所示為通過冰河可以得到對(duì)方機(jī)器的一些密碼。版權(quán)所有，盜版必糾5.1.3木馬例子如圖5.7所示為受害者的一些信息可以通過郵件發(fā)送給控制方。版權(quán)所有，盜版必糾5.1.3木馬例子如圖5.8所示，為受害者機(jī)器采用netstat–an命令看到的7626端口是開放的版權(quán)所有，盜版必糾5.1.3木馬例子

如圖5.9所示為采用冰河信使給受害者計(jì)算機(jī)發(fā)信息。版權(quán)所有，盜版必糾5.1.3木馬例子 如圖5.10所示為采用冰河控制對(duì)方計(jì)算機(jī)。冰河木馬的運(yùn)行冰河的服務(wù)器端程序?yàn)镚-server.exe，客戶端程序?yàn)镚-client.exe，默認(rèn)連接端口為7626。一旦運(yùn)行G-server，那么該程序就會(huì)在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sysexplr.exe和TXT文件關(guān)聯(lián)。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會(huì)被激活，它將再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢刪不止的原因。版權(quán)所有，盜版必糾冰河木馬的消除1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。2、冰河會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun下扎根，鍵值為C:/windows/system/Kernel32.exe，刪除它。3、在注冊(cè)表的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices下，還有鍵值為C:/windows/system/Kernel32.exe的，也要?jiǎng)h除。4、最后，改注冊(cè)表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默認(rèn)值，由中木馬后的C:/windows/system/Sysexplr.exe%1改為正常情況下的C:/windows/notepad.exe%1，即可恢復(fù)TXT文件關(guān)聯(lián)功能。版權(quán)所有，盜版必糾版權(quán)所有，盜版必糾5.1.4木馬的防范防治木馬的危害，應(yīng)該采取以下措施：第1，安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)。第2，把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)。第3，可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。第4，如果使用IE瀏覽器，應(yīng)該安裝卡卡安全助手、360安全衛(wèi)士等防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。版權(quán)所有，盜版必糾5.1.4木馬的防范(windowsXP等)版權(quán)所有，盜版必糾5.1.4木馬的防范 選中“Internet協(xié)議(TCP/IP)”點(diǎn)擊“屬性”。出現(xiàn)如圖5.12所示的界面。版權(quán)所有，盜版必糾5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。版權(quán)所有，盜版必糾5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。版權(quán)所有，盜版必糾5.1.4木馬的防范點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。

木馬實(shí)現(xiàn)原理：網(wǎng)絡(luò)客戶/服務(wù)模式一臺(tái)主機(jī)提供服務(wù)(服務(wù)器)，另一臺(tái)主機(jī)接受服務(wù)(客戶機(jī))。作為服務(wù)器的主機(jī)一般會(huì)打開一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽(Listen),如果有客戶機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求(ConnectRequest),服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來應(yīng)答客戶機(jī)的請(qǐng)求，這個(gè)程序我們稱為守護(hù)進(jìn)程。對(duì)于冰河，被控制端就成為一臺(tái)服務(wù)器，控制端則是一臺(tái)客戶機(jī)，G_server.exe是守護(hù)進(jìn)程,G_client是客戶端應(yīng)用程序。

基于系統(tǒng)注冊(cè)表檢測(cè)特洛伊木馬

Windows類型的木馬常通過修改注冊(cè)表的鍵值來控制木馬的自啟動(dòng)?；谙到y(tǒng)注冊(cè)表檢測(cè)特洛伊木馬方法的基本原理是檢查計(jì)算機(jī)的注冊(cè)表鍵值異常情況以及對(duì)比已有木馬的修改注冊(cè)表規(guī)律，綜合確認(rèn)系統(tǒng)是否受到木馬侵害。

在Windows系統(tǒng)中，通過regedit命令打開注冊(cè)表編輯器，再點(diǎn)擊至“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下，查看鍵值中有沒有異常的自動(dòng)啟動(dòng)文件，特別是擴(kuò)展名為exe的。例如AcidBatteryv1.0木馬，它將注冊(cè)表“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的Explorer鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”，即木馬程序與真正的explorer之間只有字母“i”與“l(fā)”的差別。

程序?qū)崿F(xiàn)原理

服務(wù)端:

G_Server.LocalPort=7626(冰河的默認(rèn)端口,可以改為別的值)

G_Server.Listen(等待連接)

客戶端:

G_Client.RemoteHost=ServerIP(設(shè)遠(yuǎn)端地址為服務(wù)器地址)

G_Client.RemotePort=7626(設(shè)遠(yuǎn)程端口為冰河的默認(rèn)端，這是冰河的生日哦)

(在這里可以分配一個(gè)本地端口給G_Client,如果不分配,計(jì)算機(jī)將會(huì)自動(dòng)分配一個(gè),建議讓計(jì)算機(jī)自動(dòng)分配)

G_Client.Connect(調(diào)用Winsock控件的連接方法)

一旦服務(wù)端接到客戶端的連接請(qǐng)求ConnectionRequest,就接受連接

PrivateSubG_Server_ConnectionRequest(ByValrequestIDAsLong)

G_Server.AcceptrequestID

EndSub

程序?qū)崿F(xiàn)原理客戶機(jī)端用G_Client.SendData發(fā)送命令,而服務(wù)器在G_Server_DataArrive事件中接受并執(zhí)行命令(幾乎所有的木馬功能都在這個(gè)事件處理程序中實(shí)現(xiàn))

如果客戶斷開連接,則關(guān)閉連接并重新監(jiān)聽端口

PrivateSubG_Server_Close()

G_Server.Close(關(guān)閉連接)

G_Server.Listen(再次監(jiān)聽)

EndSub

其他的部分可以用命令傳遞來進(jìn)行，客戶端上傳一個(gè)命令，服務(wù)端解釋并執(zhí)行命令......

網(wǎng)絡(luò)編程實(shí)驗(yàn)WindowsSocket編程基礎(chǔ)知識(shí)

WindowsSocket網(wǎng)絡(luò)編程WindowsSocket簡(jiǎn)介套接字編程基礎(chǔ)WindowsSocket編程原理Socket編程步驟一、WindowsSocket的由來

加利福尼亞大學(xué)伯克利分校為UNIX系統(tǒng)開發(fā)出了伯克利套接字（BSDsocket），在此基礎(chǔ)上擴(kuò)展形成了windows套接字。 WindowsSocket規(guī)范是一套開放的、支持多協(xié)議的Windows下的網(wǎng)絡(luò)編程接口，它規(guī)范了Internet協(xié)議族（IPS，一般為TCP/IP）的API使用.

針對(duì)多樣的網(wǎng)絡(luò)協(xié)議,WindowsSocket統(tǒng)一了操作，簡(jiǎn)化了編程,使兩個(gè)進(jìn)程之間實(shí)現(xiàn)連接、通信。二、windowssocket的版本 WindowsSocket規(guī)范主要有兩種版本即1.1和2.0版。主要區(qū)別：1.1版本只支持TCP/IP協(xié)議，2.0版本可以支持多協(xié)議三、編程時(shí)的加載事項(xiàng)?需要包含頭文件winsock2.h，需要使用庫(kù)ws2_32.lib，包含辦法可以用語句來告訴編譯時(shí)調(diào)用該庫(kù)

#pragmacomment(lib,”ws2_32.lib”);如果使用VisualC++6.0，可以通過“工程”>“設(shè)置”>“工程設(shè)置”>“鏈接”>“對(duì)象/庫(kù)模塊”中加入“ws2_32.lib”?

WindowsSocket是TCP/IP編程最低級(jí)的WindowsAPI，其代碼的一部分位于winsock32.dll中，另一部分位于Windows核心，使用WindowsAPI可以編寫Internet服務(wù)器和客戶端程序。應(yīng)用程序調(diào)用WindowsSocket的API實(shí)現(xiàn)相互之間的通信。應(yīng)用程序1應(yīng)用程序2網(wǎng)絡(luò)編程接口，如WindowsSockets網(wǎng)絡(luò)通信協(xié)議服務(wù)，如TCP/IP操作系統(tǒng)，如Windows物理通信介質(zhì)應(yīng)用程序與WindowsSocket關(guān)系圖操作系統(tǒng)為保證其安全性可靠性不允許用戶直接使用套接字有三種類型數(shù)據(jù)報(bào)套接字（SOCK_DGRAM）——一種無連接的服務(wù)，數(shù)據(jù)通過相互獨(dú)立的報(bào)文進(jìn)行傳輸，是無序的，并且不保證可靠、無差錯(cuò)。流式套接字(SOCK_STREAM)——一種可靠的面向連接的服務(wù)，實(shí)現(xiàn)了無差錯(cuò)無重復(fù)的順序數(shù)據(jù)傳輸。原始套接字(SOCK_RAW)——允許對(duì)底層協(xié)議如IP或ICMP（因特網(wǎng)控制消息協(xié)議）直接訪問，主要用于新的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的測(cè)試等socket創(chuàng)建套接字bind綁定本機(jī)接口connect建立連接listen監(jiān)聽端口accept接受連接recv，recvfrom數(shù)據(jù)接收send，sendto數(shù)據(jù)發(fā)送close，shutdown關(guān)閉套接字網(wǎng)絡(luò)連接函數(shù)基本概念I(lǐng)P地址：Internet中的主機(jī)要與別的機(jī)器通信必須具有一個(gè)IP地址，IP地址是Internet中主機(jī)的標(biāo)識(shí)。表示形式：常用點(diǎn)分形式，如0，最后都會(huì)轉(zhuǎn)換為一個(gè)32位的整數(shù)。IP地址轉(zhuǎn)換函數(shù)inet_addr()點(diǎn)分十進(jìn)制數(shù)表示的IP地址轉(zhuǎn)換為網(wǎng)絡(luò)字節(jié)序的IP地址inet_ntoa()網(wǎng)絡(luò)字節(jié)序的IP地址轉(zhuǎn)換為點(diǎn)分十進(jìn)制數(shù)表示的IP地址端口號(hào)為了區(qū)分一臺(tái)主機(jī)接收到的數(shù)據(jù)包應(yīng)該遞交給哪個(gè)進(jìn)程來進(jìn)行處理，使用端口號(hào)TCP端口號(hào)與UDP端口號(hào)獨(dú)立端口號(hào)一般由IANA(InternetAssignedNumbersAuthority)管理眾所周知端口：1~1023，1~255之間為大部分眾所周知端口注冊(cè)端口：1024~49151動(dòng)態(tài)或私有端口：49151~65535比喻：

如果把IP數(shù)據(jù)包的投遞過程看成是給遠(yuǎn)方的一位朋友寄一封信，那么

IP地址就是這位朋友的所在位置，如安徽合肥中國(guó)科大計(jì)算系（依靠此信息進(jìn)行路由）

端口號(hào)就是這位朋友的名字（依靠這個(gè)信息最終把這封信交付給這位收信者）字節(jié)序大尾端(Big-Endian):字節(jié)的高位在內(nèi)存中放在存儲(chǔ)單元的起始位置小尾端(Little-Endian):與大尾端相反網(wǎng)絡(luò)字節(jié)序（NBO，NetworkByteOrder）使用統(tǒng)一的字節(jié)順序，避免兼容性問題主機(jī)字節(jié)序（HBO，HostByteOrder）不同的機(jī)器HBO是不一樣的，這與CPU的設(shè)計(jì)有關(guān)Motorola68K系列，HBO與NBO是一致的IntelX86系列，HBO與NBO不一致字節(jié)排序函數(shù)htonl

4字節(jié)主機(jī)字節(jié)序轉(zhuǎn)換為網(wǎng)絡(luò)字節(jié)序ntohl

4字節(jié)網(wǎng)絡(luò)字節(jié)序轉(zhuǎn)換為主機(jī)字節(jié)序htons

2字節(jié)主機(jī)字節(jié)序轉(zhuǎn)換為網(wǎng)絡(luò)字節(jié)序ntohs

2字節(jié)網(wǎng)絡(luò)字節(jié)序轉(zhuǎn)換為主機(jī)字節(jié)序阻塞通信與非阻塞通信阻塞方式：套接字進(jìn)行I/O操作時(shí)，函數(shù)要等待到相關(guān)的操作完成以后才能返回，對(duì)提高處理機(jī)的利用率不利，但編程簡(jiǎn)單。非阻塞方式：套接字進(jìn)行I/O操作時(shí)，無論操作成功與否，調(diào)用都會(huì)立即返回。阻塞方式編程簡(jiǎn)單，一個(gè)套接口的默認(rèn)操作模式為阻塞，可以調(diào)用函數(shù)ioctlsocket()進(jìn)行設(shè)置。面向連接的C/S網(wǎng)絡(luò)通信程序工作流程圖(TCP)無連接的C/S網(wǎng)絡(luò)通信程序工作流程圖(UDP)這個(gè)bind可以是隱式的。注意事項(xiàng)：無連接的數(shù)據(jù)報(bào)傳輸過程中，作為服務(wù)器的一方必須先啟動(dòng)通信的一方可以不用bind()綁定地址和端口，由系統(tǒng)分配不綁定IP地址和端口號(hào)的一方必須首先向綁定地址的一方發(fā)送數(shù)據(jù)無連接客戶端一般不調(diào)用connect()，在數(shù)據(jù)發(fā)送前客戶與服務(wù)器各自通過socket()和bind()建立了半相關(guān)，發(fā)送數(shù)據(jù)時(shí)除指定本地套接口的地址外，還需要指定接收方套接口地址，從而在數(shù)據(jù)收發(fā)過程中動(dòng)態(tài)建立全連接Winsock的啟動(dòng)和終止應(yīng)用程序在使用WindowsSocketsDll之前必須先調(diào)用啟動(dòng)函數(shù)WSAStartup()。該函數(shù)的功能有兩個(gè)：一是由應(yīng)用程序指定所要求的WindowsSocketsDll版本；二是獲得系統(tǒng)WindowsSocketsDll的一些細(xì)節(jié)。調(diào)用終止函數(shù)WSACleanup()來終止WindowsSocketsDLL。Socket編程基本過程使用WSAStartup()函數(shù)檢查系統(tǒng)協(xié)議棧安裝情況使用Socket()函數(shù)創(chuàng)建套接口socket_handle=socket(protocol_family.Socket_type,protocol);配置Socket配置一個(gè)socket需要五種信息：本地和遠(yuǎn)地機(jī)的IP地址本地和遠(yuǎn)地進(jìn)程的協(xié)議端口連接所使用的協(xié)議使用Socket發(fā)送或接收數(shù)據(jù)使用send或sendto方法發(fā)送數(shù)據(jù)，recv或recvfrom方法接收數(shù)據(jù)。使用WSACleanup()函數(shù)關(guān)閉與WindowsSocketsDLL的連接利用Socket編寫基本的數(shù)據(jù)通信程序版權(quán)所有，盜版必糾5.2網(wǎng)絡(luò)后門1.后門介紹早期的電腦黑客，在成功獲得遠(yuǎn)程系統(tǒng)的控制權(quán)后，希望能有一種技術(shù)使得他們?cè)谌我獾臅r(shí)間都可以再次進(jìn)入遠(yuǎn)程系統(tǒng)，于是后門程序就出現(xiàn)了。 后門是指那些繞過安全性控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段，程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門程序以便可以修改程序設(shè)計(jì)中的缺陷。但是，如果這些后門被其他人知道，或是在發(fā)布軟件之前沒有刪除后門程序，那么它就存在安全隱患，容易被黑客當(dāng)成漏洞進(jìn)行攻擊。傳統(tǒng)意義上的后門程序往往只是能夠讓黑客獲得一個(gè)SHELL，通過這個(gè)SHELL進(jìn)而進(jìn)行一些遠(yuǎn)程控制操作。版權(quán)所有，盜版必糾5.2網(wǎng)絡(luò)后門2.后門實(shí)例全球著名黑客米特尼克在15歲的時(shí)候，闖入了“北美空中防務(wù)指揮系統(tǒng)”的計(jì)算機(jī)主機(jī)內(nèi)，他和另外一些朋友翻遍了美國(guó)指向前蘇聯(lián)及其盟國(guó)的所有核彈頭的數(shù)據(jù)資料，然后又悄無聲息地溜了出來，這就是黑客歷史上利用“后門”進(jìn)行入侵的一次經(jīng)典之作。如圖5.16所示為黑客米特尼克。版權(quán)所有，盜版必糾5.2網(wǎng)絡(luò)后門2.后門實(shí)例版權(quán)所有，盜版必糾5.2網(wǎng)絡(luò)后門3.后門的防御方法后門的防范相對(duì)于木馬來說，更加的困難，因?yàn)橄到y(tǒng)本身就包括遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助這些可以進(jìn)行遠(yuǎn)程維護(hù)的后門，所以對(duì)用戶來講更加的困難。(1)首先對(duì)使用的操作系統(tǒng)以及軟件要有充分的了解，確定它們之中是否存在后門。如果存在的話就需要及時(shí)關(guān)閉，以免這些后門被黑客所利用，比如系統(tǒng)的遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助等。(2)關(guān)閉系統(tǒng)中不必要的服務(wù)，這些服務(wù)中有相當(dāng)一部分對(duì)于個(gè)人用戶來說不但沒有作用，而且安全方面也存在很大的隱患，比如RemoteRegistry、TerminalServices等，這樣同樣可以防范系統(tǒng)服務(wù)被黑客利用。版權(quán)所有，盜版必糾5.2網(wǎng)絡(luò)后門

(3)安裝網(wǎng)絡(luò)防火墻，這樣可以有效地對(duì)黑客發(fā)出的連接命令進(jìn)行攔截。即使是自己的系統(tǒng)被黑客安裝了后門程序，也能阻止黑客的進(jìn)一步控制操作。

(4)安裝最新版本的殺毒軟件，并且將病毒庫(kù)升級(jí)到最新的版本。另外再安裝一個(gè)注冊(cè)表監(jiān)控程序，可以隨時(shí)對(duì)注冊(cè)表的變化進(jìn)行監(jiān)控，有效地防范后門的入侵。版權(quán)所有，盜版必糾5.3清除攻擊痕跡

操作系統(tǒng)日志是對(duì)操作系統(tǒng)中的操作或活動(dòng)進(jìn)行的記錄，不管是用戶對(duì)計(jì)算機(jī)的操作還是應(yīng)用程序的運(yùn)行情況都能全面記錄下來。黑客在非法入侵電腦以后所有行動(dòng)的過程也會(huì)被日志記錄在案。所以黑客在攻擊之后，如果刪除這些日志記錄，就顯得很重要了。雖然一個(gè)日志的存在不能提供完全的可記錄性，但日志能使系統(tǒng)管理員和安全官員做到：1.發(fā)現(xiàn)試圖攻擊系統(tǒng)安全的重復(fù)舉動(dòng)（例如：一個(gè)攻擊者試圖冒充administrator或root登錄）。2.跟蹤那些想要越權(quán)的用戶（例如：那些使用sudo命令作為root執(zhí)行命令的用戶）。3.跟蹤異常的使用模式（例如：有人在工作時(shí)間以外的時(shí)間登錄計(jì)算機(jī)）。4.實(shí)