“悄悄的我走了正如我悄悄的采;我挥一挥衣袖,不带走一片云彩”这是著名诗人徐志摩(再剐康桥》中的名句也是黑客在攻击过程中通常要入侵肉鸡们梦寐以求的最高境界
网络入侵的背后将会诞生一场永不落幂的追踪与反追踪游戏,在这场猫捉老鼠的游戏中黑客在攻击过程中通常要入侵肉鸡一旦失敗,可能会有牢狱之灾为了避免被发现,黑客在攻击过程中通常要入侵肉鸡通常会使用各种隐匿行踪的技术手段其中最常用的就是设置及使用跳板(Springboard)。
假如自己使用的电脑为A主机需要^侵的电脑为X主机,那么黑客在攻击过程中通常要入侵肉鸡通常会在A主机使用代理服务讓A主机的所有通信绕道至国外的代理服务器B,然后通过B控制国内另一台被植入木马的主机C从主机C控制另一台被植入木马或存在漏洞的主機D,最后通过主机D发动对X主机的入侵操作从B主机到D主机这一系列作为中继的主机链就是跳板,9.1
为什么要绕这么太一个圈子呢下面我们假设X主机的管理员发现了入侵行为并马上联合网警反追踪入侵者,根据X主机的日志和访问记录他们决定先反向追踪至主机D,如果黑客在攻击过程中通常要入侵肉鸡对主机D的漏洞修补得比较好那么远程获得D主机控制权并从中查出幕后的主机C需要较长时间,即使有网警和服務供应商的全力配合找到D主机并现场取证至少需要数小时,依此类推当跳板延伸至国外时,假如没有获得国际组织的协助反向追踪幾乎成了不可能完成的任务,即使获得协助+其处理难度也将大幅提升黑客在攻击过程中通常要入侵肉鸡就可以有足够的时间安全撤退
其Φ.B、C和D主机就是跳板。作为跳板的主机链越长黑客在攻击过程中通常要入侵肉鸡的安全保障系数越高。不过随着跳板数量的增加,網络延迟会不断累加越洋连接的速度会变得更缓慢,甚至出现操作超时、连接中断的现象这样会导致入侵的过程更漫长,也增加了被發现的风险因此,在实际操作时需要在跳板数量及连接速度方面取’个较佳的平衡点
“肉鸡”和代理服务器混合组成的跳板链是黑客茬攻击过程中通常要入侵肉鸡常用的隐匿方式之一。在这个跳板组合中“肉鸡”由于完全受控于黑客在攻击过程中通常要入侵肉鸡,入侵后可以轻易擦除使用痕迹而代理服务器却不受控于黑客在攻击过程中通常要入侵肉鸡,所以选择时需要更谨慎
代理服务器(ProxyServer)是网络信息的中转站,它接收客户端的访问请求并以自己的身份转发此请求。对于接收信息的一方而占就像代理服务器向它提出请求一样,从洏保护了客户端增加了反向追踪的难度。
根据代理服务的功能划分代理服务器可以分为hrtp代理服务器、sock5代理服务器、VPN代理服务器等。
1http玳理服务器
http代理服器是一种最常见的代理服务器,它的优点是响应速度快、延迟相对较低及数量众多
通常不费吹灰之力就町以找到一个鈈错的http代理服务器。不过它的缺点也比较明显,仅能响应http通信协议并滤除80、8080等Web常用端口外的其他端口访问请求。虽然可毗使用httptogocck5类的软件进行转换但始终不如Socki代理服务器或VPN代理服务器方便。
Sock5代理服务器是黑客在攻击过程中通常要入侵肉鸡们的最爱它对访问协议、访问端口方面均没有限制,可以转发各种协议的通信请求让黑客在攻击过程中通常要入侵肉鸡可咀自由使用各种黑客在攻击过程中通常要入侵肉鸡软件度工具。其缺点是Sock5服务器相对比较难找响应速度会稍慢一点。
VPN代理服务器可以在本机及远端VPN服务器间形成点对点通信通道鉯便防范局域刚侦听及监测。假如黑客在攻击过程中通常要入侵肉鸡所处奉地网络环境比较复杂例如在咖啡厅、机场、校园或企内时,使用VPl.1代理服务器是最佳的选择
如何才能找到合适的代理服务器呢?常用的方法有两个:-是从代理网站搜索i二是使用代理超人这一类智能玳理软件自动搜索及设置
“代理中国”、“代理服务器网”等代理服务器列表网站每天都会分门别类提供许多高速的代理服务器列表由於使用的用户数量相当多,此类代理服务器的隐匿性相当不错遗憾的是其速度比较慢。图9-2为代理中国提供的Sock5代理列表
代理超人是一款集代理搜索、验证、管理和设置于~体的软件。它可以使用多达1∞线程自动搜索及验证代理服务器并依照传输速度迅速排序,为用户提供优质的代理服务器列表它的智能理功能还可以让所有软件无须修改现有的设置即可使用代理服务器上网,大大简化了代理服务器的设置工作略感遗憾的是,它仅提供图形设置界面黑客在攻击过程中通常要入侵肉鸡们无法通过命令行操控及调整该软件。
Stepl单击“搜索”按钮并选择“搜索代理”命令,9-3即可搜索出数量众多的代理服务器。
Step2搜索完毕后单击“搜索”按钮,选择“验证全部代理”命令9-4。即自动检查代理服务器是否可用及连接速度有多快
$top3验证完毕,单击“使用”按钮选择“启用代理”命令,9-5即可完成浏览器的代理垺务嚣设置。若使用其他软件则需要手动设置
启用代理后,用户可以通过浏览器进入一些lP检测网站(如www.xxx.com)检查代理是否成功启用本唎启用了一个美国代理服务器,查询结果97
除了使用代理之外,许多黑客在攻击过程中通常要入侵肉鸡还喜欢使用Tor来隐匿自己Tor的全称是TheOnionRouter,许多黑客在攻击过程中通常要入侵肉鸡称之为洋葱路由在介绍Tor之前,我们先来玩—个智能问答游戏一棵树藏在地面什么地方才会既鈈引人往目,也难以将它找出来呢嗯,体也町以先想五分钟答案是,将树藏在森林里
由于森林有无数大小不一的树木,这些树木提供了天然的掩护要想从中找出藏起来的那棵树还真不是一般的困难。摹于这种构想人们设计了Tor。Tor隐身原理9-8
Tor允许所有加入Tor网络的电脑將自己变成虚拟路由器,使用这些虚拟路由器Tor用户将拥有无穷无尽的可用路径和访问出口。程序需要使用网络时将进行以下动作:
①客廣端的Tor程序将随机选择一个虚拟路由器作为进入结点传送信息并附送跳转的次数要求(N)。
@收到信息的虚拟路由器将随机寻找另一个结点传送信息并附送跳转的次数要求(N-I)而且会临时记录此链路信息来源方、发送方。
③重复上一步的操作直至跳转次数从N降至0,中转的虚拟路甴器为信息寻找一个提供出口功能的虚拟路由器经出r跳出Tor网络。对于接收方而言就像出口虚拟路由器向其发送请求,而无法追寻信息嘚直正来源
④信息返叫时,各虚拟路由器根据记录依次回传信息最终返回给原始信息发送者。
⑤这种临时组建的传输链路将维持l到数汾钟然后重新随机组建一次,9-9
由于每个中继虚拟路由器均可作为入口而每个中继路由器没有完整的路径资料,所以除了入口虚拟路甴器之外,Tor网络中即使存在监测者也难以逆推信息的真实来源。此外频繁变更的传输链路既增加了监测难度,也让入侵防御方难以通過封锁IP地址区段等手段防御入侵
使用Tor的方法如下;
Stepl安装完毕,Tor默认自动搜索中继虚拟路由器作为八口初次使用时,搜索过程可能长达┿多分钟请耐心等候.
假如出现“没有可用链路”的提示信息,说明无法连接入口9-11。用户可以参考以下方法获取及添加初始入口
Stop2在系统托盘区域的Tor图标上右击,选择“控制面板”命令在弹出的对话框中单击“设定”按钮,9-13打开“设置”窗口。
Step3在“设置”窗口中单擊“网络”按钮选择“我的ISP阻挡了对Tor网络的连接”复选框,输入步骤1获取的网桥单击+按钮,最后单击“确定”按钮9-14
Step4返回控制面板,9-15单击“启动Tor”按钮,重新启动Tor即可解决“没有可用链路”的问题
大多数黑客在攻击过程中通常要入侵肉鸡软件并没有详细的使用说明,用户可以尝试打开相关的设之项查看是否有相关的代理服务器设置对于具有代理设置功能的黑客在攻击过程中通常要入侵肉鸡软件,洳NBIS等只需将搜索获得的代理服务器IP地址及端口填写进去即可。
以NBIS为例设置代理服务器的方法为:单击“程序设置”按钮,在“HTTP代理”欄位输入代理9-16。最后单击“确定”按钮这样就町以使用代理服务器为中转扫描指定的网站了
没法设置代理的软件如何使用跳板
相当多嫼客在攻击过程中通常要入侵肉鸡工具和软件的功能比较简单,并没有提供网络代理设置功能那么,这一类软件如何使用代理工作呢方法很简单,只需安装一个转换软件即iT.如SocksCap32此类软件可以截取本机发送的数据包,从而为无法设置代理的telnet等命令行工具插上代理跳板的翅膀
以下是设置SocksCap32,并让Telnet使用跳板的操作过程l
Stepl打开SocksCap32后,单击“文件”按钮选择‘设置”命令,在打开对话框的"SOCKS服务器”文本框中输入Sock玳理服务器的lP地址并在“端口”位置设置服务器的端口,接着单击‘确定”按钮9-17
Step2打开“SocksCap控制台”对话框单击“新建”按钮出的对话框Φ输入标识项名称,在“命令行”栏位设置Telnet命令的详细路径9-18。最后单击“确定”按钮
为了方便管理员了解掌握电脑的运行状态Windows提供了唍善的日志功能,将系统服务、权限设置、软件运行等相关事件分门别类详细记录于日志之中所以,通过观察、分析系统日志有经验嘚管理员不但可以了解黑客在攻击过程中通常要入侵肉鸡对系统做了哪些改动,甚至还可能会找出入侵的来源例如从ftp日志找出黑客在攻擊过程中通常要入侵肉鸡登录的lP地址。为此清除日志几乎成为黑客在攻击过程中通常要入侵肉鸡入门的必修课。
在开始清除工作之前嫼客在攻击过程中通常要入侵肉鸡需要全面了解系统中有哪些日志。以WndowsXP操作系统为例它的日志系统由默认提供的日志、防火墙日志、ns服務器日志三大类组成。图9-20为Telnet服务启动日志留下的信息
Windows系统默认提供应用程序日志、安全性日志和系统日志。应用程序主要记录应用程序運行时出现的错误和特效事件
例如停止响应、数据启动、停止等。安全性日志用于记录管理员指定的审核事项假如管理员没有在组策畧中指定需要审核的内容及审核的方向,说明此日志为空白状态
系统日志用于记录各类系统运行的信息。例如Telnet服务启动后系统日志将會记录该服务启动的时间,并留下一条关elnet服务正处于运行状态的描述
从以上的分析不难看出,对于没有安装附加组件的“肉鸡”而言系统日志是清除的首要目标。
防火墙日志默认处于关闭状态管理员启用了防火墙日志记录功能后,就会在vrindows目录内自动生成pfuwall.log文件并记录楿应的连接内容,9-21假如找不到这个文件,则说明管理员没有启用防火墙日志功能
HTTPERR文件夹中存放的日志文件记录着Web运行、响应出错等信息主要用于排解故障及优化Web服务,对黑客在攻击过程中通常要入侵肉鸡而言其意义不大。
W3SVCl文件夹用于存放lP地址、用户名、服务器端口、鼡户所访问的UiRI资源、发出的URI查求等信息管理员通过分析此文件可以找出黑客在攻击过程中通常要入侵肉鸡入侵的各种痕迹,所以完成SQL紸入、网站挂马等操作后,务必要清除此文件
MSFTPSVC1文件夹保存着FTP日志,与前面介绍的Web、IIS日志相比FTP日志更详细,不但包含用户登录操作还包含用户的各种操作请求,9-22例如记录用户利用UNICODE漏洞入侵服务器,就会留下相当多与cmd.exe有关的记录所以,在成功入侵后此日志须及时清除
默认情况下,Windows闩志保存在以下二个位置:
黑客在攻击过程中通常要入侵肉鸡成功获得管理员权限的Shell后却发现这些文件无法使用delete命令删除,该如何处理呢
事实上,出于安全考虑微软设计了不能暂停、停止的日志记录服务,应用程序日志、安全性日志和系统日志的日志記录文件从载入系统时起便处于使用状态所以无法通过系统自带的文件删除功能将其删除,9-23
虽然微软在图形界面的控制台提供了删除功能,但使用远程桌面需要更高的带宽难以使用多级跳板,因此黑客在攻击过程中通常要入侵肉鸡倾向于使用命令行工具清除Windows臼志文件。其中国内高手小榕编写的elsave就是清除Windows日志最经典的命令行工具。
els8ve不但用于远程清除Windows日志文件也可以备份远程日志文件。运行该工具嘚必要条件是获得管理员权限的commandShell
·一s\\lP或电脑名称:用于指定远程主机,若不指定远程主机默认的操作对象为本机的日志记录。
·一1日誌名称:用于指定需要操作的日志名称其中,应用程序日志的名称为application、系统日志的名称为system、安全日志的名称为secunty
·-F路径及名称:制作日誌的副本并保存至指定位置。
·-c:清空指定的日志
假如找不到elsave这个清除日志的专用工具,没关系!我们可以自己动手写一个简单的VBS脚本上传至需要清除日志的电脑,并在远程Shell中执行就可以
与系统日志一样防火墙日志由对应的服务保护。由于防火墙服务允许停用所以清除防火墙日志比清除系统日志要简单一些。只要Telnet登录的用户具有管理员身份就可以使用netstop命令停止防火墙服务和清除防火墙日志了
具体操作及命令执行反馈如下。
清除lls相关日志记录
当ns的相关服务处于使用状态时Web、FTP等日志也处于锁定状态,用户需要先停止相关的服务才能清除相关的日志记录。
具体操作及命令执行反馈如下
至此,Web、FTP日志文件清除完毕余下的httper日志受http.sys核心程序保护而难以清除,由于其中並没有入侵痕迹所以无须理会此日志。
在《越狱》第一季中男主角迈克将存放越狱计划的硬盘扔到河里就以为万事无忧了。事隔几个朤后FBI在河里捞出了那块泡汤的硬盘,并通过技术恢复了部分数据从而展开了一场追逐男主角的行动。别以为这是电影杜撰的故事事實上,警方数据恢复的手段比你想象的要高明得多所以,对于重要的资料黑客在攻击过程中通常要入侵肉鸡们必须谨慎对待。
许多用戶以为按【Shift+Dell组合键就可以将文件从磁盘彻底抹去事实上这种认识有所偏颇。要深入研究这个问题需要从文件系统的构成谈起。
当用户創建一个文件时操作系统先在文件系统的目录区域创建一个分配条目,指定文件数据保存的区域并将数据保存其中再次创建文件时,操作系统会检查现有的条目找到用于保存数据的区域并创建新的条目,避免新数据覆盖旧数据当用户删除文件时,操作系统仅删除了目标区域的分配条目这样,新创建的文件即可覆盖旧文件的数据从而回收被占用的储存空间。
对于日常使用这种设计非常简便;对於重要资料而言,删除操作有明显的漏洞因为系统仅删除了分配条目,并没有删除文件包含的数据所以,利用一些简单的数据恢复软件(如EasyRecovery、FinalData等).即可直接恢复被删除的数据
与删除操作不同的是,粉碎文件在删除条目之前先通过条目了解文件储存的数据隧域,多佽随机在此区域写入数据让原有的文件内容变得支离破碎,然后才删除文件对应的条目不难看出,粉碎文件比系统默认的删除操作要鈳靠得多所以,对于不再使用的、具有重要内容的文件虽好加以粉碎烈避免后患。
粉碎数字文件的工具有很多在Linux、UNIX环境中可以使用Wipe,而在Windows环境中AnalogXSuperShredder、UltraStuedder都是不错的工县。假如你懒得动手去找这些专业工具不妨使用瑞星、360杀毒软件附带的文件粉碎组件,相对而言它们嘚粉碎效果比专业软件要差一些。下面以AnalogXSuperShredder为例介绍粉碎数字文件的方法。
Stepl打开AnalogXSuperShredder后单击Operation按钮,可以查看粉碎文件的详细操作本倒单击Add按钮,在Priority栏内输入4在Operator栏内选择XOR(异或处理),在Bytepattern设置运算参数为119-24。以上设置新增了一个粉碎步骤它将默认的粉碎结果与十六进制数II異或处理,最后再次将结果入文件相应的内容区域不难看出,新增粉碎的步骤越多粉碎效果就越佳,所需的时间也越长完成设置后,单击OK按钮返回上一个对话框最后单击Done按钮。
Step2单击Config按钮在Numberofpasses栏内设置粉碎次数(默认值为1),最后单击OK按钮9-25。粉碎的次数越高粉碎效果就越佳,所需的时间也越长
$tep3单击SelectFile按钮选择待粉碎的文件,单击“打开”按钮、然后在弹出的对话框中单击“是“按钮,即完成粉誶操作9-2:6。
对于想研究和自行编写文件粉碎工具的黑客在攻击过程中通常要入侵肉鸡不妨参考以下VB源代码。
学习清除痕迹后假如想检驗一下清除的效果,那么最好自己架设一个实验环境,当你用尽所有方法清除痕迹后尝试使用国际警用取证工具-COFEE检测还有哪些痕迹没清除干净。
其大意是说有了COFEE,没有合适的计算机取证能力的执法机构也可以轻松、可靠而且高效地收集现场证据一个只有最基础的计算机知识的人也可以在不超过10分钟的时间里学会如何使用配置COFEE设备,然后像专家一样收集重要的犯罪证据其操作难度就像将U盘插入电脑那样简单。简而言之COFEE是微软为国外执法机构提供的一种专用取证工具,也是用来对付黑客在攻击过程中通常要入侵肉鸡犯罪的重要取证笁具图9-27为COFEE的官方介绍
试用COFEE探查痕迹
由于COFEE的使用是如此简单,假如你想做一个不留痕迹的黑客在攻击过程中通常要入侵肉鸡那么它就是朂好的对练工具。尝试在自己架设的服务器上执行清除痕迹的工作然后使用COFEE来“取证”检查。下面我们来看看如何使用COFEE。图9·28为使用COFEE嘚三个阶段
使用COFEE探查要经过三个阶段:第一阶段安装COFEE并生成COFEEU盘;第二阶段使用
COFEEU盘探查目标电脑;第三阶段将完成收集任务的COFEEU盘重新插入安裝了COFEE的电脑生成探查报告。
安装COFEE操作非常简单只需多次单击Next按钮即可完成,这里就不做介绍了下面将介绍生成COFEEU盘的方法,具体的操莋如下:
2.使用COFEEU盘探查目标电脑
进入操作系统后将COFEEU盘插入待探查的电脑的USB端口,当出现自动运行的提示时选择Executerunner,exe选项,最后单击“确定”按钮COFEE便自动展开探查工作,9-30
探查完毕,命令执行窗口就会自动关闭此时可断开U盘连接,进入下一阶段的工作
完成探查后,将COFEEU盘偅新插入安装了COFEE软件的电脑USB端口参考以下操作,以便生成探查报告
Step2切换至Report选项卡,单击RawInpmFolder栏位旁边的按钮选择COFEEU盘收集原始数据的文件夾,单击“确定”按钮9-31。
Step3单击OutputFolder栏位旁边的按钮然后选择报告文件的存放位置,接着单击“确定”按钮9-32,最后单击Generate按钮
Stt,p4进入存放报告攵件的位置后通过浏览器打开index.html,即可看到COFEE生成的报告9-33。
仔细检查生成的报告查看是否残留泄露行踪的信息。如果清除痕迹的操作完铨让COFEE无可奈何恭喜!你已经向高级黑客在攻击过程中通常要入侵肉鸡又跨进了一步。
追踪与反追踪、隐身与反隐身之间的技术对抗从電脑网络发明之后就一直都没有停止过,倘若你认为掌握了一些反追踪与隐身技术就可以为所欲为,那么这样将会令自己置身于极大嘚危险之中。不要忘记像凯文·米特尼克、凯文·鲍尔森这样的世界头号黑客在攻击过程中通常要入侵肉鸡也有被警察堵住投进监牢的一忝!
