第3章系統(tǒng)入侵與遠程控制的防護策略隨著計算機的發(fā)展以及其功能的強大����,計算機系統(tǒng)的漏洞也相應地多起來,同時,越來越新的操作系統(tǒng)為滿足用戶的需求���,在其中加入了遠程控制功能,這一功能本來是方便用戶使用的���,但也為黑客們所利用�。本章就來介紹系統(tǒng)入侵與遠程控制的防護策略。3.1通過賬號入侵系統(tǒng)的常用手段入侵計算機系統(tǒng)是黑客的首要任務���,無論采用什么手段,只要入侵到目標主機的系統(tǒng)當中�����,這一臺計算機就相當于是黑客的了�����。本節(jié)就來介紹幾種常見的入侵計算機系統(tǒng)的方式�����。3.1.1使用DOS命令創(chuàng)建隱藏賬號入侵系統(tǒng)黑客在成功入侵一臺主機后,會在該主機上建立隱藏賬號���,以便長期控制該主機,下面介紹使用命令創(chuàng)建隱藏賬號的操作步驟���。右擊[開始]按鈕,在彈出的快捷菜單中選擇[命令提示符(管理員)]選項��。
打開[命令提示符]窗口����,在其中輸入net user wyy$ 123455 /add命令,按Enter鍵�����,即可成功創(chuàng)建一個用戶名為“wyy$”�����,密碼為“123455”的隱藏賬號。
輸入net localgroup administrators wyy$ /add命令,按Enter鍵后,即可對該隱藏賬號賦予管理員權限�����。
再次輸入net user命令��,按Enter鍵后���,即可顯示當前系統(tǒng)中所有已存在的賬號信息����,但是卻發(fā)現剛剛創(chuàng)建的wyy$并沒有顯示。
由此可見�,隱藏賬號可以不被命令查看到��,不過,這種方法創(chuàng)建的隱藏賬號并不能被隱藏����。查看隱藏賬號的具體操作步驟如下�����。在桌面上右擊[此電腦]圖標,在彈出的快捷菜單中選擇[管理]選項��,打開[計算機管理]窗口����。
依次展開[系統(tǒng)工具]→[本地用戶和組]→[用戶]選項,這時在右側的窗格中可以發(fā)現創(chuàng)建的wyy$隱藏賬號依然會被顯示�����。
提示:這種隱藏賬號的方法并不實用�����,只能做到在[命令提示符]窗口中隱藏,屬于入門級的系統(tǒng)賬戶隱藏技術。3.1.2在注冊表中創(chuàng)建隱藏賬號入侵系統(tǒng)注冊表是Windows系統(tǒng)的數據庫����,包含系統(tǒng)中非常多的重要信息���,也是黑客最多關注的地方����。下面就來看看黑客是如何使用注冊表來更好地隱藏����。選擇[開始]→[運行]選項,打開[運行]對話框,在[打開]文本框中輸入regedit�����。
單擊[確定]按鈕��,打開[注冊表編輯器]窗口��,在左側窗口中,依次選擇HKEY_LOCAL_MACHINE\SAM\SAM注冊表項,右擊SAM,在彈出的快捷菜單中選擇[權限]選項�。
打開[SAM的權限]對話框�����,在[組或用戶名稱]欄中選擇[Administrators],然后在[Administrators的權限]欄中勾選[控制]和[讀取]復選框,單擊[確定]按鈕保存設置。
依次選擇HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ Names注冊表項��,即可查看到以當前系統(tǒng)中的所有系統(tǒng)賬戶名稱命名的5個項��。
右鍵單擊[wyy$]項,在彈出的快捷菜單中選擇[導出]選項���。
打開[導出注冊表文件]對話框,將該項命名為wyy.reg, 然后單擊[保存]按鈕�,即可導出wyy.reg���。
按照步驟5的方法��,將HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account\Users\下的000001F4和000003E9項分別導出并命名為administrator.reg和user.reg。
用記事本打開administrator.reg�����,選中"F"=后面的內容并復制下來���,然后打開user.reg��,將"F"=后面的內容替換掉�。完成后���,將user.reg進行保存。 打開[命令提示符]窗口���,輸入net user wyy$ /del命令,按Enter鍵后�,即可將建立的隱藏賬號“wyy$”刪除���。
分別將wyy.reg和user.reg導入到注冊表中��,即可完成注冊表隱藏賬號的創(chuàng)建,在[本地用戶和組]窗口中,也查看不到隱藏賬號�����。
提示:利用此種方法創(chuàng)建的隱藏賬號在注冊表中還是可以查看到的�����。為了保障建立的隱藏賬號不被管理員刪除,還需要對HKEY_LOCAL_MACHINE\SAM\SAM注冊表項的權限取消�����。這樣�,即便是真正的管理員發(fā)現了并要刪除隱藏賬號,系統(tǒng)就會報錯�����,并且無法再次賦予權限�。經驗不足的管理員就只能束手無策了。3.1.3使用MT工具創(chuàng)建復制賬號入侵系統(tǒng)建立隱藏賬號是入侵計算機系統(tǒng)后的重要工作����,要建立隱藏的用戶賬號��,好的辦法就是復制管理員賬號,利用MT工具就可以很輕松地創(chuàng)建復制賬號�����,具體的操作步驟如下��。在進行賬號復制之前��,查看遠程主機上的管理員用戶名信息。在遠程主機的溢出窗口中輸入 net localgroup administrators命令��,然后按下Enter鍵執(zhí)行該命令����,即可看到所有管理員的用戶名。
查看遠程主機上的Guest用戶名信息��。在遠程主機的溢出窗口中輸入 net user Guest 命令����,然后按下Enter鍵執(zhí)行該命令�����,從執(zhí)行結果中可以看出Guest用戶的賬號沒有啟動��,且密碼為空。
下面就可以利用MT工具把Guest賬號復制為具有與前面管理員賬號相同的權限。在復制賬號之前��,需要獲取系統(tǒng)的較高權限�����,在溢出窗口中輸入mt -su命令���。
按下Enter鍵執(zhí)行該命令����,打開新的[命令提示符]窗口�����,就可以獲取系統(tǒng)的較高級別的System權限���。
在打開的新的[命令提示符]窗口中就可以進行賬號復制操作了����。復制賬號的參數為-clone,命令格式為mt -clone �����,其中“”表示要復制的源賬號�,“”表示源賬號的目標賬號���。例如要將Guest復制為與“Administrator”賬號相同的權限����,就可以執(zhí)行mt -clone Administrator Guest, 執(zhí)行完成后將返回如下信息。Read value F from 1F4 of administrator.Set value F to 1F5 of guestSuccess!分析上述顯示的信息���,則說明操作成功,此時已經將Guest賬號復制成了管理員組的賬號。
在新打開的[命令提示符]窗口中輸入mt -chkuser命令�,按下Enter鍵執(zhí)行該命令���,可以顯示所有賬號的SID值�����,從中可以看出Guest賬號的CheckedSID值與Administrator賬號的值是相同的,說明兩個賬號具有相同的權限,這樣就在目標主機中建立了一個隱藏賬號。
提示:當Guest賬號被添加到管理員用戶組之中��,就具有了與Administrator相同的管理員權限����,但是在查看Guest賬號信息時,顯示的該賬號依然是Guest組中,而且是未啟用的狀態(tài)。事實上,該賬號已經被暗中激活啟用��,并且當Guest賬號被管理員禁用時����,攻擊者依然可以用Guest賬號進行登錄,執(zhí)行管理員權限的操作。3.2搶救被賬號入侵的系統(tǒng)當確定了自己的計算機遭到了入侵,可以在不重裝系統(tǒng)的情況下采用如下方式“搶救”被入侵的系統(tǒng)�。3.2.1揪出黑客創(chuàng)建的隱藏賬號隱藏賬號的危害是不容忽視的�����,用戶可以通過設置組策略���,使黑客無法使用隱藏賬號登錄�����。具體操作步驟如下���。打開[本地組策略編輯器]窗口�����,依次展開[計算機配置]→[Windows設置]→ [安全設置]→[本地策略]→[審核策略]選項。
雙擊右側窗口中的[審核策略更改]選項�����,打開[審核策略更改 屬性]對話框�,勾選[成功]復選框,單擊[確定]按鈕保存設置�����。
按照上述步驟�����,將[審核登錄事件]選項做同樣的設置�����。
按照Step 02的步驟,在[審核進程跟蹤]選項中做同樣的設置���。
設置完成后,用戶就可以通過[計算機管理]窗口中的[事件查看器]選項��,查看所有登錄過系統(tǒng)的賬號及登錄的時間��,對于有可疑的賬號在這里一目了然����,即便黑客刪除了登錄日志���,系統(tǒng)也會自動記錄刪除了日志的賬號��。
提示:在確定了黑客的隱藏賬號之后�,卻無法刪除�。這時,可以通過[命令提示符]窗口�����,運行net user [隱藏賬號][新密碼]命令來更改隱藏賬號的登錄密碼���,使黑客無法登錄該賬號�。3.2.2批量關閉危險端口眾所周知,網絡上木馬病毒無孔不入���,在各種防護手段中,關閉系統(tǒng)中的危險端口是非常重要的�����,但是對于計算機新手來說�,哪些端口是危險的,哪些端口是不危險的��,并不清楚���。下面就來介紹一些自動關閉危險端口的方法�����,來幫助用戶掃描并關閉危險的端口。對于初學者來說,一個一個地關閉危險端口太麻煩了��,而且也不知道哪些端口應該關閉�����,哪些端口不應該關閉���。不過用戶可以使用一個叫作[危險端口關閉小助手]的工具來自動關閉端口�����,具體的操作步驟如下。下載并解壓縮[危險端口關閉小助手]工具,在解壓的文件中雙擊[自動關閉危險端口.bat]批量處理文件��,則可自動打開[命令]窗口�����,并在其中閃過關閉狀態(tài)信息���。關閉結束后�����,系統(tǒng)中的危險端口就全部被關閉掉了,當程序停止后,不要關閉[命令]窗口�,這時按下任意鍵��,或繼續(xù)運行[Win服務器過濾策略]���,然后再進行木馬服務端口的關閉����,全部完成后�����,系統(tǒng)才做到真正的安全。
使用[危險端口關閉小助手]工具還可以手工修改、自動關閉端口,利用該功能可以把近期的端口添加到關閉的列表中。用記事本打開[關閉危險端口.bat]文件,即可在其中看到關閉端口的重要語句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/138" -f 0:138:UDP -n BLOCK -x >nul�,其中UDP參數用于指定關閉端口使用的協議����,138參數是要關閉的端口�����。
參照上述語句����,可以手工添加語句�����,將一些新的木馬病毒使用的端口加入到關閉列表中����,例如�,要關閉新木馬使用的8080端口,則可以添加如下語句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/8080" -f 0:8080:UDP -n BLOCK -x >nul�����,添加完成后的顯示效果如下圖所示�����。
添加完畢后,將該文件保存為.bat文件����,重新運行即可關閉新添加的端口���。3.3通過遠程控制工具入侵系統(tǒng)通過遠程控制工具入侵目標主機系統(tǒng)的方法有多種����,最常見的有telnet���、ssh���、vnc����、遠程桌面等技術,除此之外還有一些專門的遠程控制工具�,如RemotelyAnywhere�����、PcAnywhere等。
