如何通过暴库入侵
现在,很多网络用户在不知不觉中,就成为黑客手中的一只“肉鸡”。出现这种情况很多时候都是因为,网络用户访问的网站含有木马病毒等恶意文件。同时,现在很多网站都使用网上可以下载的网站系统。这也造成了黑客只要下载一个相应的网络系统,就可能轻易入侵一个采用默认设置的网站。
最常见的漏洞
制作过网站的朋友都知道,网站系统既可以自己进行编写,也可以下载现成的网络系统使;用。虽然各个网络系统的作用有所差异,但是它们的工作原理却是十分相似,管理员的账号密码都保存在网站系统的数据库文件中。
由于网站系统的开发人员为了能让系统正常运行,在开发的时候都默认设置了一些系统相关的信息,比如管理员的账号密码、网站系统的数据库位置、系统后台的位置等等。
可是很多网站在正常运作的后,并没有按照说明文件中的内容进行相关内容的更改,于是黑客就可以通过默认位置查找数据库的位置,然后利用数据库中的信息,成功进入系统后台对网站系统进行控制操作。
暴库获取控制权
先从网上下载一套网站系统的源代码,在这里我们就用动易网站系统的源代码,以确定数据库文件的默认位置。通过系统搜索MDB格式的文件,找到后基本就可以确定是数据库文件,由此可以得到动易系统数据库的地址为“Database\PowerEasy2006.mdb”。
打开挖掘机程序(下载地址:http://www.3800hk.com/Soft/smgj/17472.html),在“URL后缀”标签中点击“添加后缀”按钮,将动易系统的数据库后缀添加进去。wWw.ITcOMpUTER.cOm.Cn
点击“开始”按钮即可自动在网络中进行搜索。大约几分钟后,程序就可以搜索到大量含有这个后缀的网址。任意在“检测结果”列表中选择一个网址后,进行双击就可以进行网站数据库文件的下载(图1)。
利用辅臣数据库浏览器(下载地址:http://www.cnxhacker.com/Soft/other/database/200608/533.html),打开下载到的MDB文件数据库。在数据库列表中找到“PE_Admin”这一项,这里就是该数据库文件存放管理员密码的地方,从中记录下“AdminName”和“Password”项目中的内容(图2)。其中的“Password”项目是经过MD5编码加密的,需要到专门的MD5码破解网站进行破解。
小知识:什么是MD5编码
MD5是一种不可逆散列算法,被广泛用于加密和解密技术上,任何一段字符都有唯一的散列编码,是目前常用的数字保密中间技术。
破解了管理员密码和账号后,同样可利用动易系统默认的设置找到系统后台,然后利用管理员的账号和密码成功登录系统后台。在“系统设置”中选择“自定义页面管理”项目,接着点击“添加自定义页面”,根据网页系统的提示进行相应的设置,将ASP木马的源代码粘贴到“网页内容”里面即可(图3)。
设置完成后点击“添加”按钮提交ASP木马,点击“自定义页面管理首页”选项,找到网页木马名称后点击“生成本页”按钮激活ASP木马。
最后通过浏览器地址栏直接访问设置的木马地址,成功得到远程服务器系统的权限,这样以后就可以控制远程服务器,进行挂马等任意的操作。
防范方法
网站管理员要想保护好自己的网站不被黑客入侵,需要从网站的多个方面入手进行防范。首先我们要确保网站系统没有已知的安全漏洞,有的话应该及早安装好安全补丁防止入侵。除此以外,我们还需要进行进一步的安全设置。
1.更改系统的默认设置
如果管理员从网站下载的是现成的网站系统的话,下载完成后应该按照说明修改重要信息的路径,尤其是默认的管理员密码、数据库的路径、后台管理页面等信息。
2.加强账号密码的安全强度
从最近出现的一系列网站系统漏洞我们可以看出,黑客在入侵后的第一步往往想得到的是管理员的账号密码。
而管理员的账号密码常常是经过MD5编码加密过的,因此黑客只有破解了账号密码后才能最后成功的入侵。因此管理员要加强自己的密码安全强度,可以利用现在网络中的MD5编码破解网站来验证密码的安全性。
如何破解免杀的流氓软件
现在流氓软件大行其道,这段时间好像一下子销声匿迹了。其实它们依然存在,只不过“隐身”了而已,为什么会这样?因为流氓软件采用了木马、病毒常用的免杀技术,换了个马甲就实现了“来无影”。
由于不同的安全工具采用的查杀方法是不一样的,杀毒软件主要利用病毒特征码进行分辨,而反流氓软件一般利用流氓软件的进程名称等信息进行查杀。
所以流氓软件喜欢针对杀毒软件采用一些病毒木马常用的免杀方法,而针对反流氓软件就需要对程序的内部特征消息进行修改,但也有二者兼有的流氓软件,这就更难防范了。下面我们以“360安全卫士”能检测出的“很棒小秘书”(未免杀版)为例,演示流氓软件是如何制作针对杀毒软件和反流氓软件免杀的以及我们应该如何防范。
免杀怎样做出来的
首先,利用检测工具PEiD(软件下载地址:http://www.cpcw.com/bzsoft )对“很棒小秘书”的安装包进行检测,从检查的结果为“什么都没找到”得知该安装包没有进行过任何加壳处理(图1)。我们知道很多安全工具都是利用某些关键字为查杀的目标,所以要对程序中的关键字进行修改,这些关键字包括“很棒小秘书”、“很棒公司”、“henbang”等。
接着,运行修改程序C32Asm(软件下载地址:http://www.cpcw.com/bzsoft),点击“文件”菜单中的“打开十六进制文件”命令选择安装程序,再点击“搜索”菜单中的“搜索”命令,在弹出的窗口中的搜索选项中分别填入上面这些关键字进行搜索(图2)。
搜索到后,在它们的路径上面点击鼠标右键,选择“粘贴”命令,用其他的关键字进行复制。需要注意的是复制的关键字长度要一样,此外不能使用“替换”功能,它在十六进制下不起作用。
然后,运行调试工具OllyDbg(软件下载地址:http://www.cpcw.com/bzsoft)载入修改后的流氓软件,对它的文件头进行简单的修改。选中文件头的第一句后,点击鼠标右键中的“汇编”命令,在弹出的汇编窗口分别将这些语句更改为“NOP”即可(图3)。 选择刚刚修改的这些语句,选择右键中的“复制到可执行文件”菜单中的“选择”命令,最后在弹出的窗口通过右键中的“保存文件”命令将修改的服务端程序进行保存就可以了。
最后,再利用加壳程序对“很棒小秘书”进行处理,这样更具有欺骗性。运行加壳程序ASProtect(软件下载地址:http://www.cpcw.com/bzsoft),在“保护文件”和“输出文件”选项中分别设置服务端程序以及程序加壳处理后的输出地址,直接点击“保护”标签中的“保护”按钮即可(图4)。
免杀制作完成后,用户还需要修改“很棒小秘书”的程序安装,对安装目录中的文件名和文件目录等重要的信息进行修改,以免反流氓软件利用这些信息对程序进行查杀,再利用WinRAR等程序将该流氓软件和其他程序进行封装即可。
现在我们到多引擎在线杀毒网页(http://virusscan.jotti.org/)上,对修改的“很棒小秘书”程序进行检测,发现仅有一个杀毒引擎能检测出来,其他的都无能为力(图5)。另外我们再利用反流氓软件中的佼佼者“360安全卫士”,对修改版 “很棒小秘书”系统进行检测,同样也没有检测到有什么流氓软件的“生命迹象”。
防范方案
1.使用主动防御软件
说到主动防御就不得不说“System Safety Monitor”(软件下载地址:http://www.cpcw.com/bzsoft)这款软件,该软件属于Host-based Intrusion Prevention System(HIPS),可以小到每个进程大到整个磁盘底层保护系统免受不良程序的危害。该软件的功能包括最常见的注册表保护、文件保护、磁盘系统保护、防止进程注入等。当它检测到程序存在危险的操作的时候,就会弹出一个对话窗口提示用户,这样就可以比较好的起到防范作用。
小提示:HIPS是一种能监控用户电脑中文件运行的软件,如果文件运用了其他程序并且要对注册表进行修改,就会发出报告请求允许,如果选择了“阻止”,程序就不会运行。
2.分解流氓软件
用户可以利用“Universal Extractor” (软件下载地址:http://www.cpcw.com/bzsoft)这款万能的提取器,将程序封装包中的流氓软件先分离出来。这款工具几乎可以提取任何安装格式的文档,无论是简单的压缩文件,还是现在流行的打包工具等,甚至连 Windows Installer (.msi) 程序包,它也能轻松自如地提取出其中的文件。这样我们就可以将捆绑其中的流氓软件清除后,再进行相关软件的安装操作了。
攻防博弈
黑客 小恐龙:道高一尺魔高一丈,只要我们想做就可以轻易地躲过任何软件的检测。除了使用免杀外,还可以利用“映像劫持”技术来屏蔽一些杀毒和安全软件。这样在它们还没有进行检测的时候,就已经让它们“残废”了,哈哈!
编辑:对那些藏得越来越隐蔽的流氓软件,最有效的防范方法就是及时更新安全软件,并且只到可靠的大网站下载软件。此外,“映像劫持”技术并不是破解不了的,使用映像劫持修复工具即可。
如何防止外挂盗装备 现在网游非常流行,经常有玩家装备被盗!现在一些网游玩家很浮躁,他们为了快速提高自己的游戏级别,要么请人帮助自己进行游戏代练,要么干脆使用网络游戏外挂进行操作。但是当玩家正在为自己的级别自鸣得意的时候,他们的游戏账号、游戏装备等虚拟财产正面临着被盗走的危险。
现在无论是国内的还是国外的网络游戏推出后不久,很快就会出现相应的游戏外挂。游戏玩家之所以青睐各种各样的游戏外挂,主要就是它们可以帮助自己在游戏中快速消灭敌人、迅速提升游戏级别。
网络游戏外挂是一种修改游戏系统并且对服务器进行欺骗的作弊程序。它直接作用于网络游戏主程序,实现加速、看血、封包等目的。为了能够在网络游戏中快速取得较高的等级,很多玩家通过这种作弊程序来进行游戏。同时,在获得较高等级的同时,获得极品装备的几率也提高了。
虽然大多数网络游戏外挂本身没有危害性,但是为了偷窃玩家的虚拟装备等虚拟财富,很多网络盗贼会利用木马捆绑工具将游戏外挂捆绑上木马。当游戏玩家运行游戏外挂后就会成功激活木马程序,然后网络盗贼就会利用木马程序来盗窃玩家账户。
因此对于那些想通过游戏外挂来投机取巧的玩家来说,常常“是偷鸡不成蚀把米”,刚刚升级到的游戏账号或高级装备,就成为网络盗贼的“囊中之物”。有数据显示,80%以上的游戏玩家使用过各种各样的游戏外挂,而在这些人群中就有60%的玩家因此导致游戏账号和装备丢失。
真实案例再现
受害人:刘星
损失金额:游戏装备+上网时间+耗费精力≈1000元人民币
刘星是个《热血江湖》游戏迷,苦于游戏水平有限迟迟不能升到较高级别,因此他在一些玩家的提示下,准备利用游戏外挂来快速提升自己的游戏级别。
他通过搜索引擎找到了很多《热血江湖》游戏外挂,经过使用该游戏外挂刘星发现,自己不但移动速度比以前快了,而且常常可以提早发现对方并消灭之。没过多久,刘星的游戏人物等级提高了,同时,他还在游戏中获得了一个价值不菲的“潜能戒指”。
没过多久当刘星再次登录《热血江湖》的账号后,竟然发现自己的潜能戒指、刀、衣服、护手、耳环等装备都不翼而飞,这些装备在网上能够卖到上千元人民币。也就是说,刘星相当于损失了上千元的钱财。
案例解剖
各种各样的游戏外挂层出不穷,甚至很多人通过编写游戏外挂来卖钱。可是这些人很多都不满足通过贩卖游戏外挂来赚钱,所以它们在贩卖的游戏外挂上捆绑木马程序,通过木马程序盗取玩家的游戏账号来转移游戏装备等虚拟财产。
当然也有其他人在获得某款主流网络游戏的外挂程序后,在把它捆绑上游戏木马后,再通过游戏论坛、游戏网站等多种渠道发布出去,从而成功窃取网络玩家的账号密码信息。
更有甚者在编写游戏外挂的时候,直接在源代码里面添加上后门代码,在玩家登录游戏账号的时候记录账号密码。开始网络盗贼不盗你的号,等到玩家的级别高了后,再盗取价值不菲的极品装备。
两法则防范外挂盗号
针对网络盗贼利用游戏外挂进行游戏账号、游戏装备等的盗窃行为,各位游戏玩家可以利用下面两条法则进行相应的防范。
第一法则:不要用任何游戏外挂
不管是网络游戏还是单机游戏,都是用来给人们娱乐消遣的,想利用外挂投机取巧来获得高的游戏级别,不但会被人所鄙视,成为游戏运营商严打的对象,同时存在被盗取账号的风险。所以玩家应该本着轻松游戏、公平游戏的原则,同时为自身账号及角色安全着想,远离游戏外挂。
由于部分网友已经下载或使用了所谓的外挂程序,虽然自己目前游戏账号依然完整,但是最好马上更改游戏登录密码,这样可以保证账号的安全;立即彻底卸载外挂程序,避免外挂自带的后门进行账号盗窃;立即使用正版杀毒软件进行杀毒,从而有效清除系统中的木马程序。
第二法则:检测下载文件安全性
如果你已经下载了游戏外挂,想知道它是否捆绑了木马,该怎么办?我们可以利用PEID、LordPE等工具(以上工具均可以在http://www.cpcw.com/bzsoft下载),对游戏外挂进行检测。
辨别外挂是否捆绑木马
我们首先利用PEID(下载地址:http://www.cpcw.com/bzsoft)这款工具来进行检测,熟悉文件破解的用户都知道,PEID是一款强大的查壳工具,其自动脱壳器插件可以应对现在大部分的软件脱壳任务。
运行PEID后点击“文件”选项后的按钮,从弹出的窗口选择要检测的可疑程序,现在我们来操作工具的检查结果。不管PEID检测出程序使用什么壳进行的加密,只要是在检测结果里面发现了有“[Overlay]”这样的结果,那么就说明这个程序被捆绑了其他的文件。
如果用户要运行这个程序的话,那么就一定要提高警惕。PEID软件可以查很多的壳信息,有的可以直接查找出带有捆绑的文件,有的则要进行深度或者核心扫描才能查找出带有捆绑的文件。
如果没有出现这样的字样的话,还可以点击“扩展”按钮中的“深度扫描”命令再次进行检测。如果真的没有出现类似字样的话,就表示这个文件是安全的。
接下来我们利用另一款名为LordPE(下载地址:http://www.cpcw.com/bzsoft)的工具来进行检测。运行LordPE后点击“PE编辑器”按钮来选择需要查看的文件,确定文件后程序会自动弹出一个“PE编辑”窗口。
点击窗口“目录”按钮后,在弹出的“目录表”窗口中点击“导入表”后面的按钮,然后在弹出的“导入表”窗口中的“DLL文件”列表中进行查找。
如果列表中只有一个USER32文件的话,那么一般都可以放心进行使用,如果要是文件带有两个USER32文件的话,那么就表示这个文件被进行过捆绑操作。
这里要对用户特别强调的是,利用LordPE工具进行检测,其准确度比不上利用PEID检测的准确度。所以大家在进行文件捆绑检测的时候最好将两种方法配合使用,毕竟这两种方法只需要点击几下鼠标即可。