隨著手機、平板電腦的普及,無線網絡的防范就變得尤為重要,為此,本書除了講解有線網絡的攻防策略外,還把目前市場上流行的無線攻防、移動端攻防、手機錢包等熱點融入本書中。
本書特色
知識豐富全面:知識點由淺入深,涵蓋了所有黑客攻防知識點,由淺入深地掌握黑客攻防方面的技能。
圖文并茂:注重操作,在介紹案例的過程中,每一個操作均有對應的插圖。這種圖文結合的方式使讀者在學習過程中能夠直觀、清晰地看到操作的過程以及效果,便于更快地理解和掌握。
案例豐富:把知識點融匯于系統的案例實訓當中,并且結合經典案例進行講解和拓展,進而達到“知其然,并知其所以然”的效果。
提示技巧、貼心周到:本書對讀者在學習過程中可能會遇到的疑難問題以“提示”的形式進行了說明,以免讀者在學習的過程中走彎路。
超值贈送
本書將贈送1000分鐘精品教學視頻、107個黑客工具速查手冊、160個常用黑客命令速查手冊、180頁常見故障維修手冊、191頁Windows10系統使用和防護技巧,讀者可掃描二維碼獲取海量王牌資源,也可聯系QQ群獲得更多贈送資源(包括黑客防守工具包),掌握黑客防守方方面面的知識。
讀者對象
本書不僅適用于網絡安全從業人員及網絡管理員,而且適用于廣大網絡愛好者,也可作為大、中專院校相關專業的參考書。
寫作團隊
本書由長期研究網絡安全知識的網絡安全技術聯盟編著,另外還有王莉、方秦、程木香、李小威、劉輝、劉堯、任志杰、王朵朵、王猛、王婷婷、張芳、張桐嘉、王英英、王維維、肖品等人也參與了編寫工作。在編寫過程中,盡所能地將最好的講解呈現給讀者,但也難免有疏漏和不妥之處,敬請不吝指正。若您在學習中遇到困難或疑問,獲得作者的在線指導和本書海量資源。
編者
第3章 系統入侵與
遠程控制的防護策略
隨著計算機的發展以及其功能的強大,計算機系統的漏洞也相應地多起來,同時,越來越新的操作系統為滿足用戶的需求,在其中加入了遠程控制功能,這一功能本來是方便用戶使用的,但也為黑客們所利用。本章就來介紹系統入侵與遠程控制的防護策略。
3.1 通過賬號入侵系統的常用手段
入侵計算機系統是黑客的首要任務,無論采用什么手段,只要入侵到目標主機的系統當中,這一臺計算機就相當于是黑客的了。本節就來介紹幾種常見的入侵計算機系統的方式。
3.1.1 使用DOS命令創建隱藏賬號入侵系統
黑客在成功入侵一臺主機后,會在該主機上建立隱藏賬號,以便長期控制該主機,下面介紹使用命令創建隱藏賬號的操作步驟。
右擊【開始】按鈕,在彈出的快捷菜單中選擇【命令提示符(管理員)】
選項。
打開【命令提示符】窗口,在其中輸入net user wyy$ 123455 /add命令,按Enter鍵,即可成功創建一個用戶名為“wyy$”,密碼為“123455”的隱藏賬號。
輸入net localgroup administrators wyy$ /add命令,按Enter鍵后,即可對該隱藏賬號賦予管理員權限。
再次輸入net user命令,按Enter鍵后,即可顯示當前系統中所有已存在的賬號信息,但是卻發現剛剛創建的wyy$并沒有顯示。
由此可見,隱藏賬號可以不被命令查看到,不過,這種方法創建的隱藏賬號并不能完美被隱藏。查看隱藏賬號的具體操作步驟如下。
在桌面上右擊【此電腦】圖標,在彈出的快捷菜單中選擇【管理】選項,打開【計算機管理】窗口。
依次展開【系統工具】→【本地用戶和組】→【用戶】選項,這時在右側的窗格中可以發現創建的wyy$隱藏賬號依然會被顯示。
提示:這種隱藏賬號的方法并不實用,只能做到在【命令提示符】窗口中隱藏,屬于入門級的系統賬戶隱藏技術。
3.1.2 在注冊表中創建隱藏賬號入侵系統
注冊表是Windows系統的數據庫,包含系統中非常多的重要信息,也是黑客最多關注的地方。下面就來看看黑客是如何使用注冊表來更好地隱藏。
選擇【開始】→【運行】選項,打開【運行】對話框,在【打開】文本框中輸入regedit。
單擊【確定】按鈕,打開【注冊表編輯器】窗口,在左側窗口中,依次選擇HKEY_LOCAL_MACHINE\SAM\SAM注冊表項,右擊SAM,在彈出的快捷菜單中選擇【權限】選項。
打開【SAM的權限】對話框,在【組或用戶名稱】欄中選擇【Administrators】,然后在【Administrators的權限】欄中勾選【完全控制】和【讀取】復選框,單擊【確定】按鈕保存設置。
依次選擇HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ Names注冊表項,即可查看到以當前系統中的所有系統賬戶名稱命名的5個項。
右鍵單擊【wyy$】項,在彈出的快捷菜單中選擇【導出】選項。
打開【導出注冊表文件】對話框,將該項命名為wyy.reg, 然后單擊【保存】按鈕,即可導出wyy.reg。
按照步驟5的方法,將HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account\Users\下的000001F4和000003E9項分別導出并命名為administrator.reg和user.reg。
用記事本打開administrator.reg,選中"F"=后面的內容并復制下來,然后打開user.reg,將"F"=后面的內容替換掉。完成后,將user.reg進行保存。
打開【命令提示符】窗口,輸入net user wyy$ /del命令,按Enter鍵后,即可將建立的隱藏賬號“wyy$”刪除。
分別將wyy.reg和user.reg導入到注冊表中,即可完成注冊表隱藏賬號的創建,在【本地用戶和組】窗口中,也查看不到隱藏賬號。
提示:利用此種方法創建的隱藏賬號在注冊表中還是可以查看到的。為了保證建立的隱藏賬號不被管理員刪除,還需要對HKEY_LOCAL_MACHINE\SAM\SAM注冊表項的權限取消。這樣,即便是真正的管理員發現了并要刪除隱藏賬號,系統就會報錯,并且無法再次賦予權限。經驗不足的管理員就只能束手無策了。
3.1.3 使用MT工具創建復制賬號入侵系統
建立隱藏賬號是入侵計算機系統后的重要工作,要建立隱藏的用戶賬號,最好的辦法就是復制管理員賬號,利用MT工具就可以很輕松地創建復制賬號,具體的操作步驟如下。
在進行賬號復制之前,查看遠程主機上的管理員用戶名信息。在遠程主機的溢出窗口中輸入 net localgroup administrators命令,然后按下Enter鍵執行該命令,即可看到所有管理員的用戶名。
查看遠程主機上的Guest用戶名信息。在遠程主機的溢出窗口中輸入 net user Guest 命令,然后按下Enter鍵執行該命令,從執行結果中可以看出Guest用戶的賬號沒有啟動,且密碼為空。
下面就可以利用MT工具把Guest賬號復制為具有與前面管理員賬號相同的權限。在復制賬號之前,需要獲取系統的最高權限,在溢出窗口中輸入mt -su命令。
按下Enter鍵執行該命令,打開新的【命令提示符】窗口,就可以獲取系統的最高級別的System權限。
在打開的新的【命令提示符】窗口中就可以進行賬號復制操作了。復制賬號的參數為-clone,命令格式為mt -clone ,其中“”表示要復制的源賬號,“”表示源賬號的目標賬號。例如要將Guest復制為與“Administrator”賬號相同的權限,就可以執行mt -clone Administrator Guest, 執行完成后將返回如下信息。
Read value F from 1F4 of administrator.
Set value F to 1F5 of guest
Success!
分析上述顯示的信息,則說明操作成功,此時已經將Guest賬號復制成了管理員組的賬號。
在新打開的【命令提示符】窗口中輸入mt -chkuser命令,按下Enter鍵執行該命令,可以顯示所有賬號的SID值,從中可以看出Guest賬號的CheckedSID值與Administrator賬號的值是相同的,說明兩個賬號具有相同的權限,這樣就在目標主機中建立了一個隱藏賬號。
提示:當Guest賬號被添加到管理員用戶組之中,就具有了與Administrator相同的管理員權限,但是在查看Guest賬號信息時,顯示的該賬號依然是Guest組中,而且是未啟用的狀態。事實上,該賬號已經被暗中激活啟用,并且當Guest賬號被管理員禁用時,攻擊者依然可以用Guest賬號進行登錄,執行管理員權限的操作。
3.2 搶救被賬號入侵的系統
當確定了自己的計算機遭到了入侵,可以在不重裝系統的情況下采用如下方式“搶救”被入侵的系統。
3.2.1 揪出黑客創建的隱藏賬號
隱藏賬號的危害是不容忽視的,用戶可以通過設置組策略,使黑客無法使用隱藏賬號登錄。具體操作步驟如下。
打開【本地組策略編輯器】窗口,依次展開【計算機配置】→【Windows設置】→ 【安全設置】→【本地策略】→【審核策略】選項。
雙擊右側窗口中的【審核策略更改】選項,打開【審核策略更改 屬性】對話框,勾選【成功】復選框,單擊【確定】按鈕保存設置。
按照上述步驟,將【審核登錄事件】選項做同樣的設置。
按照Step 02的步驟,在【審核進程跟蹤】選項中做同樣的設置。
設置完成后,用戶就可以通過【計算機管理】窗口中的【事件查看器】選項,查看所有登錄過系統的賬號及登錄的時間,對于有可疑的賬號在這里一目了然,即便黑客刪除了登錄日志,系統也會自動記錄刪除了日志的賬號。
提示:在確定了黑客的隱藏賬號之后,卻無法刪除。這時,可以通過【命令提示符】窗口,運行net user 【隱藏賬號】【新密碼】命令來更改隱藏賬號的登錄密碼,使黑客無法登錄該賬號。
3.2.2 批量關閉危險端口
眾所周知,網絡上木馬病毒無孔不入,在各種防護手段中,關閉系統中的危險端口是非常重要的,但是對于計算機新手來說,哪些端口是危險的,哪些端口是不危險的,并不清楚。下面就來介紹一些自動關閉危險端口的方法,來幫助用戶掃描并關閉危險的端口。
對于初學者來說,一個一個地關閉危險端口太麻煩了,而且也不知道哪些端口應該關閉,哪些端口不應該關閉。不過用戶可以使用一個叫作【危險端口關閉小助手】的工具來自動關閉端口,具體的操作步驟如下。
下載并解壓縮【危險端口關閉小助手】工具,在解壓的文件中雙擊【自動關閉危險端口.bat】批量處理文件,則可自動打開【命令】窗口,并在其中閃過關閉狀態信息。
關閉結束后,系統中的危險端口就全部被關閉掉了,當程序停止后,不要關閉【命令】窗口,這時按下任意鍵,或繼續運行【Win服務器過濾策略】,然后再進行木馬服務端口的關閉,全部完成后,系統才做到真正的安全。
……
新書資訊