在电脑的应用中,每一个人都要与密码打交道,以此作为保护重要文件、信息的“防护盾”。不可否认的是,在为文件、银行账户、邮箱、聊天工具等添加密码时,倘若所输密码过于简单,那么就会存在被破解的可能性。因此,自己所打造的密码必须变得更“强壮”,如此才能增加安全系数,让文件及隐秘信息变得更为安全。
如何才能知道所使用的密码是否强悍无敌呢?我用的是微软官方提供的《密码强度测试工具》来测试密码的强度(网址:http://www.microsoft.com/protect/yourself/password/checker.mspx)。打开页面后,在“Password”一栏中键入测试的密码,在“Strength”栏目中就会得到相应的测试结果,非常方便。
测试出来的密码强度共分为Weak、Medium、Strong、BEST四个等级,其中Weak表示密码强度最差、Medium次之、Strong代表密码强度较好、BEST表示密码强度最高。根据这些测试出来的不同结果,我们便可以从中了解到自己所用密码的强度,以降低被暴力破解的概率。
根据微软对于密码安全性的定义,建议大家组成密码的字符最好在8位以上且字符不应重复,字符内容应包含大写字母、小写字母、数字、符号(如#、空格等)。不过,在此需要提醒大家:即便拥有最“强壮”的密码也不能高枕无忧。wWW.itcoMputER.cOM.Cn在电脑操作的过程中,我们一定要保持良好的操作习惯,并提高安全防范意识,如此一来才能尽力确保密码的安全。
如何给木马加壳
重点知识:如何给木马加花加壳免杀
在商业的战场上,竞争对手企业高层管理人员的数据往往记载着攸关企业生死的机密,为了得到这些东西,就需要用一些非常的手段。黑客K为了达到这个目的,精心挑选了免杀木马,准备大干一场……
上期,黑客K成功地入侵了雇主对手UU公司数据服务器,得到了一些机密文档,其中就有该公司的内部通讯录,新的挑战接踵而来……
黑客K浏览着从UU公司数据服务器中下载回来的文件,挑选有价值的资料。他有些失望,毕竟这些资料是不能够让老板杜金满意的,他需要拿到对老板更加有诱惑力的筹码,只有这样才可以拿到更多的报酬。
黑客K很需要这笔钱让父母过上好日子,有汽车、有洋房,让他们知道自己老呆在电脑前不是不务正业。然而在他拿到UU公司真正有价值的文件前,这一切仅仅停留在他的幻想中。
突然他发现了一份详细的公司高管联系方式,详细到了每个人的家庭电话和家庭住址都有,甚至有些还标明了其家属的联系方式。他在电脑中细细翻看着这份名单,思索着下一步的计划:“黑掉”名单中那个叫做李飞的高管,李飞电脑中极有可能保存着老板杜金需要的策划书。
因为李飞的电脑在UU公司的内网中,要入侵他的电脑最好的办法是用木马,其他的方法难度较高。在正式入侵前,先要准备好木马,并确保木马能逃过李飞电脑中杀毒软件的查杀。
黑客K迅速整理着自己的思路,木马运行的第一时间杀毒软件会根据自己的病毒库对木马进行特征码检查,它会检测木马释放出的每一个文件。因此免杀思路在他脑海中清晰地整理出来,首先将木马服务端所有文件都释放出来,然后进行免杀处理,让杀毒软件无法从特征库中识别出它们,最后再将它们合并即可。
释放“潘多拉盒子”里的文件
经过慎重考虑和选择,黑客K选择了黑洞木马,并不是因为它的名气大,而是因为这款木马采用SSDT恢复技术,可以顺利绕过具有主动防御功能的杀毒软件,所以他选择了它。
小知识:SSDT是System Service Dispatch Table的简称,意思是系统服务调度表。这个表可以根据系统调用编号进行索引,以便定位函数的内存地址。而很多杀毒软件就通过修改SSDT表,将自己的服务加载到系统底层中,实现对应用程序行为的分析监控。
黑洞木马在成功入侵后会释放出DLL和SYS文件,这时杀毒软件就会检测到它们,如果不进行免杀就极有可能会被发现,就真的“出师未捷身先死”了,所以黑客K要对它们进行免杀。
在免杀前先要把它们从木马服务端程序中分离出来,而通过常规的方法是无法分离出木马服务端程序中的DLL和SYS文件的。如果无法分离出这两种文件,免杀就无从下手。黑客K决定用针对该版本的特制提取器将这两个文件提取出来。
打开特制提取器软件,在“未加壳EXE文件路径”中选择配置好的黑洞木马服务端,然后在“提取SYS文件路径”中选择好释放文件的文件夹。在选择完成后,点击“提取”按键,就可以成功地将SYS文件和DLL文件提取到指定的文件夹中(图1)。
加花打造免杀木马
在黑客K的整个计划中,给木马释放的文件加花是最重要的一步。加花是黑客的行话,其实就是通过反复跳转等汇编指令(俗称花指令)打乱程序的原有特征,这些纷杂混乱的汇编花指令能够让杀毒软件的特征库无法判断到底是不是病毒,这样就能达到免杀的目的。要加花,首先就要在文件里面加区,给添加花指令预留空间,接着找到程序入口地址,在此处添加花指令,最后再修改程序入口地址迷惑杀毒软件。
首先,黑客K要将分离出来的SYS的驱动文件进行加壳免杀(加壳就是利用特殊的算法对文件进行压缩,可以逃避杀毒软件的查杀),他调出名为EncrptySYS的驱动加壳工具,依次选择分离出的两个SYS文件,点击“加壳”进行驱动免杀操作(图2)。
两个SYS驱动分别加壳完毕后,黑客K用杀毒软件测试了一下,能免杀!黑客K又通过特制提取器的合并功能,将加壳后的“DLL_X.SYS”文件合并到“X.DLL”文件中,再进行加花免杀,这样双重免杀后效果更好。
接着,黑客K决定使用加花手段让DLL躲过杀毒软件的查杀,在之前他要给DLL文件增加区块,这是为了给后面需要添加的花指令留下空间,不然就添加不进去代码。他使用区块添加工具ZeroAdd给DLL文件增加区块。
在ZeroAdd中选好分离出的“X.DLL”文件,在“输入您要添加新区段的区段名”一项中随意填写了几个英文字母,又在下方的“新的区段信息的大小”选项中填入了“100”,点击“生成文件”后,就完成了全部的区块添加(图3)。
小提示:如果要求不高,免杀做到这里也可以了,直接把DLL文件导入到黑洞木马服务端中即可。
增加区块完成后,黑客K喝了口茶,正式开始为DLL文件添加花指令。他又打开汇编工具OllyDbg,加载增加区块后的DLL文件后,程序自动定位在“00501A32”这条汇编语句上,这是该DLL文件的程序入口点。
将滚动条拖到程序的下方全为00的区段处,任意选择了一个地址“00501E20”,并在这个地址处点击右键选择弹出菜单中的“汇编”命令,在弹出的汇编窗口中输入代码(图4)。他认真地填写完这段代码后,又选择右键弹出菜单中的“复制到可执行文件→选择部分”命令,在新弹出的窗口中保存这个文件即可,这样就修改了程序的入口点。
然后,黑客K又调出编辑工具PEditor将程序入口进行修改以便迷惑杀毒软件。通过“浏览”按键选中刚刚修改的DLL文件,在读出的文件信息中将入口点“00501A32”修改成与跳转入口相对应的“00501E 20”,接着点击“应用更改”按键就完成了DLL文件的加花修改全过程。
最后,黑客K还必须先将修改好的DLL文件导入到黑洞木马服务端中。他打开资源管理软件Resscope,在软件左边的列表中选择dllfile里面的getkey文件,再点击“文件→导入资源”,将修改好的DLL文件导入到了文件中保存后,一个新的可以绕过主动防御的免杀黑洞木马诞生了。在接下来正式入侵李飞电脑时,它将成为黑客K最重要的攻击武器……
小提示:木马经过免杀后,就不容易防范了。要对付它们,可以使用一些安全辅助工具,例如SSM。SSM的全称是System Safety Monitor,即系统安全监控器。它异常强大的功能能够监控到你系统中的每一个修改与变动,无论是什么样的穿墙或者免杀技术,在SSM的监控下,都会暴露出原形。
如何利用cookies入侵网站
在抽一支烟的时间里可以做很多事,包括杜金目前所思考的事情。在他所从事的商业领域中,能够与其抗争的公司并没有几家。由于行业透明度不高,导致非常规手段经常出现在竞争中,为了顺利“拿下大客户,有时需要使用一些“特殊策略”。
其实杜金并不在乎丢掉这几个客户,毕竟这一切他已经司空见惯了,他也有办法拿下更多的订单来弥补损失,然而他必须要搞清楚这些原本已经十拿九稳的客户为什么会丢掉,因为这几家客户一直是他亲自跟进的,最终的报价也只有自己知道,甚至连他最得力的助手都不得而知,但竞争对手好像对每件事都了如指掌,自己做每一件事好像都有一双眼睛在背后死死地盯着,这种状况近半年来最为明显。长久的思考后,杜金脸上露出了浅浅的微笑。他拿起手中的电话拨通了一个神秘的号码。
高薪雇用的黑客K在杜金的指引下登录了商业对手的公司网站,发现网站程序为ASP程序之后,黑客K开始用传统的NBSI、Domain之类注入工具疯狂扫描该网站,但是经过一番折腾之后没有寻觅到任何的漏洞,显然该公司的网站做了一些防注入的工作。
黑客K不得已用手工测试寻找漏洞。终于功夫不负有心人,在这个网站的一个子栏目中,当黑客习惯性的在网址后面输入了一个单引号之后,页面弹出了一个警告窗口,上面提示输入了错误的参数。根据经验,黑客K判断出这家公司网站用了一个粗糙的防注入手段。网站显然只检查了Request中GET方式所提交的变量,明显忽略了POST和Cookies,黑客K非常清楚,这意味着这个商业网站很可能存在一个Cookies注入漏洞。
小知识: Request函数获取客户端提交数据常用的是GET和POST两种方式(Get是用来从服务器上获得数据,而POST是用来向服务器上传递数据),由于Request函数在使用时通常不会定义如何提取数据,因此在没有做详细设定时它依次先取GET中的数据,如果没有再取POST中的数据,最后还会提取Cookies中的数据。Cookies是保存在用户自己电脑中的一个文本文件,用户可以随意窜改,这样一来黑客就可以利用Request.cookies方式来提交窜改后的变量值,进行注入攻击。
黑客K返回刚才的网址http://www.sanguoyanyi.com/sanguoyanyi.asp?JiangjiaID=123,在刷新页面后将浏览器地址栏中的网址全部删除,然后再在浏览器地址栏中输入javascript:alert(document.cookie="JiangjiaID="+escape"("123 and 1=1"))就可以修改Cookies中的数值。
修改完成后通过访问http://www.sanguoyanyi.com/sanguoyanyi.asp,发现网页返回正常,随后再一次清空浏览器地址栏,并输入javascript:alert(document.cookie="JiangjiaID"="+escape"("123 and 1=2")),返回的数值结果说明变量的值已经被成功地修改了,网站存在Cookies注入的漏洞(图1)。
利用Cookies成功侵入网站
判断出网站可以Cookies注入后,黑客K开始谋划入侵网站。黑客K在自己的硬盘中“翻箱倒柜”地找出了一款名为《注入中转生成器》的黑客工具。打开软件后,黑客K首先在“注入键名”处填入变量“JiangjiaID=”,在“注入URL地址”中填入存在Cookies注入点的网页地址http://wwww.sanguoyanyi.com/sanguoyanyi.asp(图2),在“来源页”中再一次重复输入上面那个地址。完成上述操作后,选择软件右边的“Cookies注入”,最后点击“生成ASP”,软件提示生成了一个JmCook.asp文件。
此时虽然完成了入侵该网站最重要的一个环节,但是还必须在本地开启IIS服务,搭建能够解析ASP语言的服务环境,这样才能够真正地获取自己想要的东西。点击控制面板中“添加/删除 Windows组件”按钮,在弹出的“Windows 组件向导”中找到“Internet信息服务(IIS)”,在勾选添加安装后,黑客K将JmCook.asp这个文件复制到了IIS指定的wwwroot文件夹中。
然后打开《啊D注入工具》,将http://127.0.0.1/jmcook.asp?jmd cw=123这个网址复制进《啊D注入工具》的地址栏中,再一次扫描检测过后,网站后台的管理员用户名和密码此时全部浮出了水面(图3)。
应对Cookies注入最简单的方法就是运用ASP中的Request函数时(主要是用来读取客户端浏览器的数据),不要直接就是ID=Request("ID"),最好改成Request.QueryString (GET)或Request.Form (POST)。这样Request函数就不会读取Cookies了,也就不能被黑客利用了。
黑客K淡然一笑:“成功了,很简单嘛!”又定了定神,调出《啊D注入工具》扫描后台,大约不到3分钟时间,就得到了网站的后台地址。接下来就准备登录管理员后台,上传网页木马然后获取Webshell,找到敏感数据就只是时间问题了……
From:http://www.itcomputer.com.cn/Article/Network/201309/140.html