大中型网络入侵要案直击与防御.docx

大中型网络入侵要案直击与防御.docx

《大中型网络入侵要案直击与防御.docx》由会员分享，可在线阅读，更多相关《大中型网络入侵要案直击与防御.docx（32页珍藏版）》请在冰点文库上搜索。

大中型网络入侵要案直击与防御

大中型网络入侵要案直击与防御

肖遥编著

ISBN978-7-121-11740-4

2010年10月出版

定价：

79.00元

16开

624页

作者简介

肖遥，网名“冰河洗剑”，国内著名网络安全技术独立研究人士。

曾从事国防军工设计，参与过J10A、J11B等战斗机配套武器研制，独立开发出HF25火箭发射器，参与DF8GA及导弹发射架等武器设计。

潜心钻研网络安全技术10余年，长期担任国内多家著名网站的安全顾问，专业从事网络渗透测试与网络风险评估。

长年在《黑客X档案》、《黑客防线》等国内安全专业媒体上与同行分享最新研究成果。

出版有《网络渗透攻击与安防修炼》、《网站入侵与脚本安全攻防修炼》、《黑客大曝光》、《黑客攻防大揭秘》等多部安全类畅销技术专著。

其中，《网站入侵与脚本安全攻防修炼》一书已输出至中国台湾等地。

内容简介

本书以解析各种网络环境下攻防案例的形式来讲解各种网络攻击与防护技术，从“黑客攻击”与“安全工作者防守”双向角度来进行介绍。

每一章节的内容按照如下脉络展开：

典型攻防案例再现→案例的简单分析→黑客攻击技术的系统讲解→网管安全防护解决方案→入侵手法与防护难点深度分析。

全书真实呈现完整的攻击与防护事件，可让读者了解到攻击者如何选择攻击目标，如何制订攻击方案，如何绕过攻击中碰到的问题，网管通常采用哪些防护手法，安全漏洞在何处，网管又如何追踪攻击者，等等，因此对学习者和工作者来说都很有吸引力和参考价值。

本书是网络管理员、信息安全管理员、对网络安全感兴趣的人员必备的参考书，也可供大中院校或培训学校教师和学生阅读和参考。

前言

目前互联网应用越来越广泛，黑客与病毒无孔不入，这极大地影响了Internet的可靠性和安全性，保护Internet、加强网络安全建设已经迫在眉睫。

相对于普通个人用户或小型网络来说，各种企业公司的大中型复杂网络的信息安全工作尤其困难。

许多实际经验不足的网络管理员和信息安全工作者，在面对大中型网络安全管理与维护时，常常无从下手，或者步入误区和歧途。

大中型网络安全防御中的误区

在各种企业公司的大中型网络中，网络信息安全尤其重要，一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，企业将遭受巨大的经济损失。

然而在众多大中型网络信息安全管理员和工作者中，却存在着一个很普遍的意识误区。

许多网络信息安全管理员和工作者，在工作中往往过于依赖硬件防火墙、入侵检测系统等安全设备，对各种安全理论也有比较深的认识，然而却无法应付现实工作中的一些“脚本小子”的攻击行为。

尤其是在各种大中型网络管理中，由于网络结构复杂，安全工作常常无法做到位。

借助于各种硬件安全设备和现成的防御方案，建立起一道看似坚固的安全防线，可是由于对黑客入侵攻击的方法与途径并不是很了解，导致表面坚固的安全防线之下，其实却隐藏着许多遗漏的安全死角。

许多结构复杂的大中型企业、公司、政府、网站等网络中，貌似坚固安全，实际不堪一击，黑客可以轻易入侵攻击整个网络。

在本书开篇中，对国内互联网上的四大门户网站进行了入侵检测。

事实证明即使是如此知名的网络公司，拥有众多的信息安全管理员和工作者，依然会被黑客轻易地入侵攻击。

这在很大程度上反映了一个很严重的问题，国内大中型网络安全防御面临着极大的危机和威胁，大中型网络安全防御工作中有着许多不足，必须加以实质性地改进。

“双手互搏”，安全之道

如何才能更好地完善各种大中型网络安全防御工作呢？

国内一位资深网络安全专家曾说过，从事计算机网络管理与信息安全的人员，应该学会“左手画方，右手画圆”的双手互搏之术，让自己的左脑成为网络安全方面的顶尖高手，让自己的右脑成为顶尖的黑客高手，这样才能真正理解和保障网络信息安全。

一个合格的网络信息安全管理员，首先应该是一个技术很好的黑客。

作为经过系统的网络信息安全理论学习的管理员或工作者，往往有一种天生的优越感，看不起一些所谓的黑客，视黑客技术为旁门左道。

正是这样的认识，阻碍了许多网络信息安全管理员和工作者前进的脚步。

正所谓知己知彼，方能百战不殆，学习并且精通黑客技术，才能了解黑客从何处入侵进入，利用哪种方法或漏洞进行攻击，从而更有针对性地进行安全防御，提高安全工作的效率。

特别是在各种环境复杂的大中型网络中，如果对黑客入侵攻击的途径与方法不熟悉，安全工作常常挂一漏万，又或者失之毫厘，谬以千里。

网络信息安全管理员和工作者，是非常有必要了解和学习黑客入侵技术的。

因此，本书对各种常见的大中型网络攻击类型，对黑客入侵攻击大中型网络的途径、方法、利用的工具与防范方法等进行了详细的介绍，以弥补网络信息安全管理员和工作者经验的不足和技术上的欠缺，以期更好地完善安全防御工作。

关于本书的内容安排

本书主要针对大中型网络中最常碰到的木马攻击、网站入侵、内部渗透等进行了介绍，以各种最典型的大中型网络攻击案例解析的形式，来安排讲解各种网络攻击与防护技术。

各篇章的内容按照以下形式进行安排：

1．典型攻防案例再现；2．案例的简单分析；3．黑客攻击技术的系统讲解；4．网管安全防护解决方案；5．入侵手法与防护难点深度分析。

其中，第1部分的典型案例再现真实的黑客攻击大中型网络事件，作为整章内容的引子与线索。

在案例介绍中，读者将会看到黑客入侵攻击的真实过程，从中对黑客入侵的目标、途径与方法有一个直观感性的认识。

在第2部分中，简单分析案例中所涉及的攻击技术与安全防护手段，以对整篇内容提纲携领。

第3部分与第4部分是重点内容。

其中第3部分从黑客攻击者的角度，系统详细全面地讲解相应网络环境下的黑客攻击技术，第4部分则从网络信息安全管理员与工作者的角度介绍详细专业的安全防护方案。

第5部分是各种安全攻击技术及相应理论知识的深度分析，从攻击与防守的角度结合，深入分析一些新技术和有价值的技术难点。

此外，除了每一篇中的典型案例，又加入了许多辅助和参考案例，使所介绍的知识与实际结合更为紧密。

致谢

本书最终能够出版面世，要感谢电子工业出版社的编辑张春雨先生和高洪霞女士，在本书的编辑出版过程中给予的大力帮助。

感谢黑客基地、华夏黑客联盟、黑客组织H.S.T中多位好友给予的帮助与支持。

另外，感谢我的父母肖吉云、吕进英，以及我的妻子张黎，你们的爱让我获得克服困难的力量！

最后，衷心感谢一直给以我人生教导和指引的李老师！

是您的指引给予我信仰的力量，面对行业阴暗面中的物欲与金钱诱惑，诚守本心，恪守一个网络安全技术研究者的职业道德。

感谢您！

本书主要由肖遥编写，其他参与编写的还有张黎、艾进修、韩雨、邓若鹏、高巧枚、雷东、舒仪、高仓麦、严可梅、丁京、尹偌颜、宇文郁庆、钱仪仪、杜弄愿。

郑重声明：

本书的目的绝不是为那些怀有不良动机的人提供支持，也不承担因为技术被滥用所产生的连带责任；本书的目的在于最大限度地唤起大家的网络安全意识，正视我们的网络世界所面临的一场危机，并采取行动。

目录

开篇国内网络安全的现状与危机

Chapter01对四大门户网站的网络安全性检测与分析2

1.1入侵测试目标——新浪网站2

1.2从注入新浪分站到新浪主站的渗透测试3

1.2.1城市联盟网站存在注入漏洞3

1.2.2SQL注入获取管理员信息3

1.2.3登录后台上传WebShell4

1.2.4渗透新浪青岛分站内部网络5

1.2.5关于新浪主站的进一步渗透与挂马测试6

1.3对其他一些门户网站的入侵测试6

1.3.1对搜狐门户网站的注入攻击检测6

1.3.2对TOM门户网站的注入攻击检测6

Chapter02网络安全行业中的误区与纠正8

2.1网络安全的木桶理论与整体观8

2.290%攻击来源于10%安全防护的偏失9

2.3“学”与“术”之辨——不可轻视黑客入侵技术10

2.4堵住已知的漏洞，网络安全就成功了一大半11

上篇大中型网络中的特洛伊木马入侵攻击

Chapter03案例——木马篡改数据，福彩3305万元惊天诈骗案14

3.1案例类型及背景介绍15

3.23305万元福彩诈骗案事件还原16

3.2.1起贪念，并不高明的福彩诈骗计划16

3.2.2诈骗计划开始，制作免杀木马16

3.2.3制作自动运行木马17

3.2.4拇指U盘藏玄机，木马悄悄植入18

3.2.5福彩中心网络权限划分很严格18

3.2.6病毒感染传播，打开入侵通道19

3.2.7键盘记录获取口令，在数据库主机中植入木马20

Chapter04案例分析——各种网络环境中的木马攻击14

4.1福彩诈骗案中的木马入侵攻击流程分析21

4.2“木马”之名的来源及其危害22

Chapter05远控千里之外——远程木马后门攻击23

5.1从灰鸽子看木马远程控制危害23

5.1.1准备诱饵，配置生成木马服务端24

5.1.2监听反弹，肉鸡上线27

5.1.3窃密——木马如何操作远程电脑文件28

5.1.4偷窥——监控远程桌面与摄像头29

5.1.5抢夺——控制远程电脑鼠标与键盘31

5.1.6彻底沦陷——操作远程电脑系统设置32

5.1.7木马控制肉鸡，成为再次入侵的跳板36

5.2四款远程控制木马的配置与使用37

5.2.1强力穿透内网的PcShare木马37

5.2.2集成域名反弹的上兴远程控制42

5.2.3甲壳虫Gh0st上线字串，隐藏入侵来源48

5.2.4黑暗使者——DRAT远程控制木马50

Chapter06打通网络阻碍，各种木马上线方式53

6.1木马难识途，动态IP、内网与木马控制连接的关系53

6.1.1动态IP地址，无法确定连接目标53

6.1.2内网IP地址，无法穿透网关阻碍54

6.2锁定变化IP，动态域名木马连接54

6.2.1DDNS动态域名服务55

6.2.2使用希网动态域名反弹木马55

6.3动态IP使用FTP更新上线57

6.3.1申请FTP空间58

6.3.2配置FTP更新木马服务端59

6.3.3FTP更新反弹IP地址59

6.4端口映射突破内网IP限制60

6.4.1NAT端口映射开辟内网木马连接通道60

6.4.2同维DSL699E2端口映射设置61

6.4.3TP-Link541G路由器端口映射控制木马62

6.5参考案例：

内网动态域名完全解决Bifrost木马内网上线问题64

6.5.1反弹木马Bifrost的配置64

6.5.2内网动态域名设置详解65

6.6不让肉鸡丢失，永久免费内网域名服务69

6.6.1内网域名服务失效导致肉鸡丢失70

6.6.2信使网络通的5天免费期限70

6.6.3域名转发让内网域名服务永久免费71

6.7完全免费的内网域名解析服务72

6.7.1开启“苹果茶”内网域名服务73

6.7.2配置木马DNS域名上线73

6.7.3TCP隧道方式的“苹果茶”74

6.7.4TCP隧道方式木马上线74

Chapter07马行天下，特洛伊之计75

7.1李代桃僵，正常程序中捆绑木马76

7.1.1最简单的木马捆绑机ExeBinder76

7.1.2功能强大的Crucified捆绑器77

7.1.3永不查杀木马捆绑机78

7.1.4WinRAR打造不被查杀的完美木马捆绑79

7.2注入式木马捆绑，将木马分解隐藏至多个文件86

7.2.1准备木马宿主86

7.2.2木马植入前须计算空间86

7.2.3化整为零，分体植入法87

7.2.4添加区块，整体植入88

7.2.5修改文件时间，完美伪装88

7.3克隆文件信息，木马捆绑终极形态89

7.3.1伪装图标89

7.3.2伪装版本信息90

7.3.3伪装文件体积和时间91

7.4利用图标伪装与溢出，制作图片文本木马92

7.4.1将木马伪装成图片附件92

7.4.2文本附件木马92

7.4.3使用双后缀名伪装木马93

7.4.4系统漏洞溢出型图片木马94

7.4.5图片木马的传播97

7.5共享资源藏玄机，伪装成电子书与软件的木马99

7.5.1看书也会中木马？

电子书木马的制作99

7.5.2盗版Windows系统中的变态木马101

7.6声色诱惑，Flash动画木马阴谋105

7.6.1Flash动画木马攻击的原理106

7.6.2Falsh动画手工制作过程106

7.6.3Flash插马器快速生成动画木马108

7.6.4Flash木马的传播利用109

7.7WMV/RM/MOV视频短片难逃木马陷阱110

7.7.1诱惑眼球的视频木马110

7.7.2无处不在的WMV视频木马111

7.7.3免费电影有猫腻——RM视频木马112

7.7.4MOV短片中的视频木马116

7.7.5视频木马的特洛伊之计119

7.8丝竹乱耳，音乐之中藏木马120

7.8.1WMA音乐与DRM加密木马120

7.8.2DRM加密打包制作WMA木马120

7.8.3用插马器简单制作WMA音乐木马121

7.8.4MP3/MP4音乐也会被放马122

7.9针对办公型计算机的木马传播与攻击126

7.9.1通过IM工具传播木马126

7.9.2夹带在办公文档中的木马127

7.10木马后门变蠕虫，自我感染传播131

7.10.1下载者自动更新木马服务端131

7.10.2将木马后门炼成蠕虫病毒132

Chapter08躲过查杀，木马的免杀伎俩135

8.1免杀的原理与常见手段135

8.1.1杀毒软件查杀病毒的原理135

8.1.2常见的木马免杀手段136

8.2文件与内存特征码定位，找到木马被杀之源137

8.2.1“替换法”和“二叉数法”在特征码定位中的应用137

8.2.2MyCCL定位Gh0st木马文件特征码的例子138

8.2.3MyCCL结合TK.Loader定位内存特征码142

8.2.4CCL定位内存特征码144

8.3从黑名单中除名，修改特征码的6种方法146

8.3.1修改特征码免杀的一般操作步骤146

8.3.2VMProtect加密特征码147

8.3.300填充法149

8.3.4通用跳转法修改特征码150

8.3.5ADD与SUB互换153

8.3.6指令顺序调换法153

8.3.7修改字符串特征码153

8.4压缩整容，加壳免杀154

8.4.1壳的分类与木马免杀155

8.4.2加壳免杀前的准备156

8.4.3加壳免杀与壳的伪装156

8.4.4加壳免杀的核心——加密壳157

8.5层层加壳免杀，给木马披上多层彩衣159

8.5.1多重加壳免杀工具——木马彩衣159

8.5.2可多次加壳的“北斗压缩”160

8.5.3BT手术，打造多重加壳木马161

8.6修改加壳的特征码，免杀成功率100%165

8.6.1选定目标，mPack加密工具165

8.6.2定位加壳后的特征码166

8.6.3修改特征码167

8.6.4制作文件补丁，一劳永逸167

8.7修改入口点和加入花指令免杀168

8.7.1Gh0st入口点加1过瑞星内存查杀169

8.7.2修改入口点免杀169

8.7.3使用工具加花指令170

8.7.4手动加花指令免杀171

8.7.5汇编花指令的5种修改方法171

8.8参考案例：

Gh0st远程控制木马服务端程序加花指令免杀180

8.8.1准备花指令180

8.8.2定位入口点地址181

8.8.3写入花指令181

8.8.4跳回真实入口点181

8.8.5修改入口点182

8.9打乱结构，PE文件头免杀法183

8.9.1PE文件结构的知识183

8.9.2MaskPE自动修改木马PE185

8.9.3手工修改PE文件头免杀185

8.9.4参考案例：

使用PE文件头移位法对Gh0st木马免杀185

8.10输入表免杀法188

8.10.1PE文件结构中的输入表188

8.10.2输入表函数名移位免杀189

8.10.3不移动输入表函数的几种修改方法191

8.10.4重建输入表免杀法193

8.10.5输入表函数加密隐藏免杀法195

8.11将免杀进行到底，导出资源的免杀197

8.11.1参考案例：

ByShell木马导出资源免杀197

8.11.2木马服务端资源分析198

8.11.3查壳脱壳198

8.11.4浏览导出资源198

8.11.5修改免杀导出资源199

8.11.6导入免杀资源201

8.12如何彻底免杀木马——关于木马免杀操作方法的总结202

8.12.1综合免杀的顺序202

8.12.2免杀时需要注意的一些事项202

8.12.3深入学习汇编知识204

Chapter09正常远控软件沦为木马后门205

9.1曾经的4899漏洞，Radmin沦为免杀木马205

9.1.1RemoteAdministrator的特点205

9.1.2使用Remote远程控制205

9.1.3堕落，Radmin变免杀木马207

9.2变脸——TeamViewer打造完全免杀的内网木马210

9.2.1超强远控TeamViewer210

9.2.2正常状态下的TeamViewer210

9.2.3TeamViewer的木马改造计划211

9.2.4TeamViewer在肉鸡上的使用213

9.2.5TeamViewer木马的强大控制功能213

Chapter10木马与主动防御的较量216

10.1攻防之间，主动防御技术与木马的突破216

10.1.1主动防御成为杀毒软件的主流216

10.1.2木马突破主动防御的几种方式217

10.2自动恢复SSDT表——最古老的过主动防御木马ByShell220

10.2.1SSDT表与ByShell木马过主动原理221

10.2.2ByShell木马服务端配置222

10.2.3木马无声无息运行223

10.2.4ByShell木马的远程控制功能224

10.2.5关于ByShell的防范224

10.3杀毒软件智能主动防御的软肋——无驱恢复系统SSDT表225

10.4完全过主动防御的木马——PoisonIvy226

10.4.1生成木马服务端程序226

10.4.2监听上线远程控制228

10.4.3关于PoisonIvy的免杀229

10.5强悍的过主动防御木马ZXShell230

10.5.1生成服务端程序231

10.5.2ZXShell悄悄过主动防御231

10.6寻找杀毒软件主动防御的应用层漏洞232

10.6.1寻找漏洞的原理232

10.6.2参考案例：

灰鸽子批处理过杀毒软件主动防御与360安全卫士232

Chapter11捉迷藏的安全游戏——木马后门的隐藏与追踪235

11.1木马后门隐藏技术的发展235

11.1.1Windows9x时代，最原始的隐藏型木马235

11.1.2无进程、无窗口，采用线程注射技术的DLL木马236

11.1.3以服务方式启动的DLL木马236

11.1.4Rootkit木马将隐藏进行到底237

11.2深入线程，揭密DLL注入木马237

11.2.1DLL注入木马揭密238

11.2.2多重注入的DLL木马NuclearRAT239

11.2.3DLL木马病毒的防范241

11.2.4DLL木马清除方案243

11.3系统X光，揪出Rootkit木马后门246

11.3.1Rootkit木马的原理246

11.3.2Windows环境下的Rootkit后门246

11.3.3魔高一尺，道高一丈——Rootkit的清除247

11.4无所遁形——清除木马后门的通用方案249

11.4.1木马后门的常见劫持手段249

11.4.2全面诊断，清除未知木马后门250

Chapter12电子取证，木马后门的追踪分析255

12.1网关嗅探，定位攻击者踪迹255

12.2分析木马服务端程序进行取证257

12.3典型案例：

远控木马SRAT的电子取证257

12.3.1查找定位未知的DLL木马258

12.3.2木马后门分析取证258

Chapter13“一夫当关”不可取，多管齐下保安全——大型网络的网关防毒方案261

13.1网关防毒技术在企业网络中的应用261

13.1.1客户端、服务器防毒方案的缺点261

13.1.2网关防病毒技术的发展与应用261

13.2网关防毒墙在企业防毒整体解决方案中的应用263

13.2.1防毒网关产品的选择263

13.2.2防毒网关的部署与应用264

13.3参考案例：

天津石化网络安全体系中的网关防毒墙应用案例265

13.3.1客户背景265

13.3.2天津石化网络安全分析265

13.3.3方案设计266

13.3.4建设目标266

中篇大中型网络中的Web入侵挂马攻击

Chapter14开篇案例——多家网站被挂“温柔马”，涉案3000余万元的全国

Chapter14特大制售木马案268

14.1案例类型及背景信息268

14.2“温柔”木马案还原269

14.2.1“温柔”盗号木马的诞生269

14.2.2盯上徐州购物网271

14.2.3寻找上传地址272

14.2.4制作网页木马273

14.2.5植入网页，实施挂马攻击274

14.2.6收取盗取的游戏账号274

Chapter15案例分析——“温柔”木马案与“一夜暴富”的木马黑市275

15.1集团化木马攻击网络及暴利的地下信息黑市275

15.1.1网页挂马攻击流程275

15.1.2罪恶的挂马攻击赚钱术曝光276

15.2不只被嫁祸陷害，网站面临更大的危机277

Chapter16嫁祸网站，网页挂马藏危机278

16.1缘何暗藏危机——网页木马揭秘278

16.1.1系统漏洞型网页木马278

16.1.2软件漏洞型网页木马279

16.2浏览器之罪——IE与FireFox等浏览器网马攻击279

16.2.1IE7CFunctionPointer函数内存破坏制作网马280

16.2.2制作IE7XML溢出网马281

16.2.3IE内存破坏大累积，MS09-014网马攻击282

16.2.4FireFox并非很安全，FireFox网马攻击283

16.2.5参考案例——“极光”挂马案，Google及多家企业网络入侵事件284

16.2.6最典型的系统组件溢出网马——M