[科普中国]-黑客技术

黑客技术，简单地说，是对计算机系统和网络的缺陷和漏洞的发现，以及针对这些缺陷实施攻击的技术。这里说的缺陷，包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。

简介网络是多种信息技术的集合体，它的运行依靠相关的大量技术标准和协议。作为网络的入侵者，黑客的工作主要是通过对技术和实际实现中的逻辑漏洞进行挖掘，通过系统允许的操作对没有权限操作的信息资源进行访问和处理，黑客对网络的攻击主要是通过网络中存在的拓扑漏洞及对外提供服务的实现漏洞实现成功的渗透。1

除了使用这些技术上的漏洞，黑客还可以充分利用人为运行管理中存在的问题对目标网络实施入侵。通过欺骗、信息搜集等社会工程学的方法，黑客可以从网络运行管理的薄弱环节人手，通过对人本身的习惯的把握，迅速地完成对网络用户身份的窃取并进而完成对整个网络的攻击。1

黑客的技术范围很广，涉及网络协议解析、源码安全性分析、密码强度分析和社会工程学等多个不同的学科。入侵一个目标系统，在早期需要黑客具有过硬的协议分析基础、深厚的数学功底，但由于网络的共享能力以及自动攻击脚本的成熟与广泛的散播，现在黑客的行为愈演愈烈，而对黑客的技术要求也在不断地降低。1

目前，在实施网络攻击中，黑客所使用的入侵技术主要包括以下几种：协议漏洞渗透、密码分析还原、应用漏洞分析与渗透、社会工程学、拒绝服务攻击、病毒或后门攻击。1

种类及传播方式黑客技术的种类和传播方式有如下几种。2

挂马网站根据2012年2月底QQ电脑管家统计，检测出新增的独立URI。挂马网站数量超过246万个；随着大量黑客网站与论坛中的教程对挂马技术的“扫盲”，预计今后网站挂马在中国会更加疯狂地出现，挂马技术普及更助长了木马的传播与黑客的发展壮大。2

挂马网站起着传播木马与其他恶意程序的作用。擅长网络攻击的黑客传播木马的主要手段之一就是挂马。通过挂马广泛传播木马后．专职盗号者就可以获得用户的敏感信息。2

利用第三方漏洞当人们日渐明白操作系统打补丁的重要性时，黑客们利用操作系统漏洞的机会便越来越少，为了能够达到攻入用户电脑的非法目的，黑客们把目标转移到应用软件漏洞上来。被黑客们关注的应用软件都是装机量很大、用户量很多的热门软件，例如下载软件、视频播放软件、文字处理软件等，这些软件都成为了黑客们重点挖掘漏洞的对象。2

大多数的病毒制造者是把别人挖掘的漏洞加入自己的程序中。但随着黑客人数的日益增多，会有越来越多的第三方软件漏洞被黑客发现并利用。2

网游木马网络游戏的普及性、玩家的大众化、虚拟游戏世界的被认知性、虚拟装备的稀缺性等原因，导致网络游戏财产方面的市场需求十分旺盛，因此交易内容也多以网络游戏的账号、密码、虚拟钱币、虚拟游戏装备为主。正是在这种市场环境下，网络游戏盗号者在盗取完成后，在正规的网络交易平台进行正常的交易；交易完成，虚拟世界的钱币与物品得以兑换成为现实货币，最终虚拟财产便就此具备了现实的实际价值。2

网络钓鱼随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络钓鱼事件在我国层出不穷。网络钓鱼是黑客使用虚假网站来诱骗浏览者提供信用卡账号、用户名、密码、详细的个人信息等，而欺骗手段一般是假冒成确实需要这些信息的可信方，随后利用骗得的账号和密码窃取受骗者的金钱。从涉及领域来看，大多数钓鱼网站案件集中在金融和电子商务两个行业。钓鱼网站实现在黑客技术中并不是很复杂，只需要把一个虚假网站散播出去，让用户受骗，即可完成非法获利的目的。2

恶意拒绝服务攻击拒绝服务攻击最主要的目的是造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。这样的入侵对于服务器来说可能并不会造成损害，但可以造成人们对被攻击服务器所提供服务的信任度下降，影响公司的声誉及用户对网络服务的使用。这类攻击主要还是利用网络协议的一些薄弱环节，通过发送大量无效请求数据包造成服务器进程无法短期释放，大瞪积累耗尽系统资源，使得服务器无法对正常的请求进行响应，造成服务的瘫痪。1

初级技术举例网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全，有以下几个问题：

（1）对网络上信息的监听；

（2）对用户身份的仿冒；

（3）对网络上信息的篡改；

（4）对发出的信息予以否认；

（5）对信息进行重发。

口令入侵所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

特洛伊木马术说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被改变。一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。

监听法这是一个很实用但风险也很大的黑客入侵方法，但还是有很多入侵系统的黑客采用此类方法，正所谓艺高人胆大。

网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：“嗨！你们中有谁是我要发信息的工作站。”

此时，所有的系统接口都收到了这个信息，一旦某个工作站说：“嗨！那是我，请把数据传过来。”联接就马上完成。

目前有网络上流传着很多嗅探软件，利用这些软件就可以很简单的监听到数据，甚至就包含口令文件，有的服务在传输文件中直接使用明文传输，这也是非常危险的。

E-mail技术使用email加木马程序这是黑客经常使用的一种手段，而且非常奏效，一般的用户，甚至是网管，对网络安全的意识太过于淡薄，这就给很多黑客以可乘之机。

病毒技术作为一个黑客，如此使用应该是一件可耻的事情，不过大家可以学习，毕竟也是一种攻击的办法，特殊时间，特殊地点完全可以使用。

反黑客技术防范黑客的技术措施有很多，下面介绍几种基本的防范技术。3

防火墙技术建立防火墙是一种常见的实用技术措施。“防火墙”是一种形象的说法，其实它是一种计算机硬件和软件的组合体。防火墙使互联网与内部网之间建立起一个安全网关，从而保护内部网免受外部非法用户的侵入。防火墙就是因特网与内部网隔开的屏障。3

虽然防火墙是防范外部黑客的最重要手段之一，但是，如果设置不当，会留下漏洞，成为黑客攻击网络的桥梁。在目前黑客智能程度越来越高的情况下，一个要访问因特网的防火墙，如果不使用先进认证装置或者不包含使用先进验证装置的连接工具，则这样的防火墙几乎是没有意义的。因此，现代防火墙必须采用综合安全技术，有时还需加入信息的加密存储和加密传输技术以及数字签名、数字邮戳、数字认证等安全技术方能有效地保护系统的安全。3

需要特别注意的是，防火墙并不能防范内部黑客。3

入侵检测技术防火墙不是完整解决安全问题的方法。一个有经验的攻击者会利用网络的漏洞，采用“好”的黑客工具穿透防火墙。因此，应该结合使用入侵检测技术，共同防范黑客。3

入侵检测系统是对入侵行为的发觉，是进行人侵检测的硬件与软件的结合。它是通过从计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。它的主要任务是：监视、分析用户及系统活动；系统构造和弱点的审计；对异常行为模式的统计分析；评估重要系统和数据义件的完整性：对操作系统进行审计跟踪管理，并识别用户违反安全策略的行为等。3

身份识别和数字签名技术身份识别和数字签名技术是网络中进行身份证明和保证数据真实性、完整性的一种重要手段。现在身份认证的方式有三种：一是利用本身特征进行认证，比如人类生物学提供的指纹、声音、面像鉴别；二是利用所知道的事进行认证，比如口令；三是利用物品进行认证，比如使用智能卡。网络通信中的认证除了口令、标识符等，目前主要是采用公钥密码技术实现的。3

威胁报告根据Websense安全实验室发布的《Websense 2012年威胁报告》，我们看到三个因素正在成为数据窃取“得力助手”：第一，基于社交网络生成的各种诱饵，这是当前极富成效的攻击手段；第二，现代恶意软件在渗入时已具备回避安全检测的能力；第三，机密数据的泄露方式日益复杂。为了帮助企业有效的应对威胁现状，该报告不仅陈列了最新的安全调查发现，还为安全专业人士提供多起案例进行参考，并提出切实可行的防范建议。

Websense中国安全实验室经理洪敬风表示：“传统的安全防线已经失去了作用，面对现代威胁环境，只有依靠多点检测的实时防御方案，深度检测和分析入站的每一个网页与电子邮件内容以及出站敏感数据传送才能帮助企业有效缓解数据泄露等信息安全风险。在我们的观察中发现：利用Web和电子邮件进行攻击几乎发生在每一起恶意数据窃取行动中；而以人为突破口发起的各种社会工程学攻击更是越加普遍。因为新一代攻击者懂得针对一个目标基于多种威胁渠道从多个数据点发起攻击，所以只有充分了解威胁的整个生命周期，并且能够将数据安全嵌入各个环节的解决方案才能够有效防止新的威胁。”

关键发现：

82%的恶意网站被托管在已经被恶意份子控制的主机上。主机一旦被恶意份子攻陷则不再能提供可被信任的基准、云或者托管服务。从大的环境来讲，这阻碍了社会经济的发展，因为云技术被大量应用于发展商业、交通和文化。

55%的数据窃取源于基于Web的恶意软件通讯。

43%的Facebook分享为流媒体，其中有不少为病毒式视频。因为当前的各种Web诱饵（视频、虚假礼品赠与、虚假调查问卷和诈骗等）都是从吸引人的好奇心出发，并越来越多地被使用在社交网络上。Websense是Facebook的内容安全合作伙伴，致力帮助Facebook扫描其内容更新中的所有 Web链接，所以 Websense调查员对社交网络内容具有深入的了解和敏锐的观察。

50%的恶意软件的重定向地址指向美国，其次是加拿大。

60%的钓鱼网站主机在美国，还有一大部分在加拿大。而美国亦是托管最多恶意软件的国家，占总量的36%，紧随其后的是俄罗斯。

74%的电子邮件是垃圾邮件，在前一年这个数据是84%.总体来说，在对抗垃圾邮件僵尸网络方面的努力颇有成效。而另一方面，在垃圾邮件的总量下降的同时，我们看到92%的垃圾邮件都包含一个URL链接，这说明混合电子邮件和Web威胁的攻击正在上升。排名前五位的垃圾邮件诱饵有：订单状态通知、票务确认、交货通知、测试邮件，以及退税通知。另外，鱼叉式网络钓鱼攻击也在持续增长，大多数被用于针对性攻击。

Websense安全实验室分析了超过20万个安卓应用，发现了大量的包含恶意目地和许可的软件。可以预计，未来将会有更多的用户会成为恶意移动应用程序的受害者。

先进威胁的生命周期可以被分为6个阶段：诱惑、重定向、攻击工具包、dropper木马文件、自动通讯，和数据窃取。其中每一个阶段都有不同的特征，需要专门的实时防御系统。传统的安全防护手段因为主要关注第四阶段，并且只能够基于已知威胁特征库查找恶意软件，所以在现代威胁面前顿时失灵。先进威胁中使用的dropper木马可能在数小时或者数天中都无法被传统安全工具检测到。

Websense安全实验室运用Websense ThreatSeeker Network对全球互联网威胁进行实时监测。Websense ThreatSeeker Network每小时扫描4千多万个Web网站和1千多万封电子邮件，以查找不当内容和恶意代码。利用全球超过5千万个节点的实时数据采集系统，Websense ThreatSeeker Networks监测并分类Web、邮件以及数据内容，这使得Websense在审查Internet及电子邮件内容方面具有独一无二的可视能力。

相关术语1．肉鸡：所谓“肉鸡”是一种很形象的比喻，比喻那些可以随意被我们控制的电脑，对方可以是WINDOWS系统，也可以是UNIX/LINUX系统，可以是普通的个人电脑，也可以是大型的服务器，我们可以象操作自己的电脑那样来操作它们，而不被对方所发觉。

2．木马：就是那些表面上伪装成了正常的程序，但是当这些被程序运行时，就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑，比如灰鸽子，黑洞，PcShare等等。

3．网页木马：表面上伪装成普通的网页文件或是将自己的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

4．挂马：就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。

5．后门：这是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置。这些改动表面上是很难被察觉的，但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接，重新控制这台电脑，就好象是入侵者偷偷的配了一把主人房间的钥匙，可以随时进出而不被主人发现一样。

通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用于制作后门(BackDoor)。

6．rootkit：rootkit是攻击者用来隐藏自己的行踪和保留root(根权限，可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限，进入系统后，再通过，对方系统内存在的安全漏洞获得系统的root权限。然后，攻击者就会在对方的系统中安装rootkit，以达到自己长久控制对方的目的，rootkit与我们前边提到的木马和后门很类似，但远比它们要隐蔽，黑客守卫者就是很典型的rootkit，还有国内的ntroorkit等都是不错的rootkit工具。

7．IPC$：是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。

8．弱口令：指那些强度不够，容易被猜解的，类似123，abc这样的口令(密码)。

9．默认共享：默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享，因为加了"$"符号，所以看不到共享的托手图表，也称为隐藏共享。

10．shell：指的是一种命令执行环境，比如我们按下键盘上的“开始键+R”时出现“运行”对话框，在里面输入“cmd”会出现一个用于执行命令的黑窗口，这个就是WINDOWS的Shell执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell。

11．WebShell：WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做是一种网页后门。黑客在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问这些asp 或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。可以上传下载文件，查看数据库，执行任意程序命令等。国内常用的WebShell有海阳ASP木马，Phpspy，c99shell等。

12．溢出：确切的讲，应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误，后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类：(1)堆溢出；(2)栈溢出。

13．注入：随着B/S模式应用开发的发展，使用这种模式编写程序的程序员越来越来越多，但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想要知的数据，这个就是所谓的SQLinjection，即：SQL注入。

14．注入点：是可以实行注入的地方，通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同，你所得到的权限也不同。

15．内网：通俗的讲就是局域网，比如网吧，校园网，公司内部网等都属于此类。查看IP地址如果是在以下三个范围之内的话，就说明我们是处于内网之中的：10.0.0.0—10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255。

16．外网：直接连入INTERNET(互连网)，可以与互连网上的任意一台电脑互相访问，IP地址不是保留IP(内网)IP地址。

17．端口：(Port)相当于一种数据的传输通道。用于接受某些数据，然后传输给相应的服务，而电脑将这些数据处理后，再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放都对应了相应的服务，要关闭这些端口只需要将对应的服务关闭就可以了。

18．3389、4899肉鸡：3389是Windows终端服务(Terminal Services)所默认使用的端口号，该服务是微软为了方便网络管理员远程管理及维护服务器而推出的，网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上，成功登陆后就会象操作自己的电脑一样来操作主机了。这和远程控制软件甚至是木马程序实现的功能很相似，终端服务的连接非常稳定，而且任何杀毒软件都不会查杀，所以也深受黑客喜爱。黑客在入侵了一台主机后，通常都会想办法先添加一个属于自己的后门帐号，然后再开启对方的终端服务，这样，自己就随时可以使用终端服务来控制对方了，这样的主机，通常就会被叫做3389肉鸡。Radmin是一款非常优秀的远程控制软件，4899就是Radmin默认使以也经常被黑客当作木马来使用(正是这个原因，有的人在使用的服务端口号。因为Radmin的控制功能非常强大，传输速度也比大多数木马快，而且又不被杀毒软件所查杀，所用Radmin管理远程电脑时使用的是空口令或者是弱口令，黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机，然后就可以登陆上去远程控制对方，这样被控制的主机通常就被成做4899肉鸡。

19．免杀：就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。

20．加壳：就是利用特殊的算法，将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密)，以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀的目的。较常用的壳有UPX，ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。

21．花指令：就是几句汇编指令，让汇编语句进行一些跳转，使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置，杀毒软件就找不到病毒了”。

本词条内容贡献者为:

孙锐 - 教授 - 合肥工业大学