本書(shū)在剖析用戶(hù)進(jìn)行黑客防御中迫切需要或想要用到的技術(shù)時(shí),力求對(duì)其進(jìn)行傻瓜式的講解,使讀者對(duì)網(wǎng)絡(luò)防御技術(shù)有一個(gè)系統(tǒng)的了解,能夠更好地防范黑客的攻擊。全書(shū)共分為17章,包括電腦安全快速入門(mén)、系統(tǒng)漏洞與安全的防護(hù)策略、系統(tǒng)入侵與遠(yuǎn)程控制的防護(hù)策略、電腦木馬的防護(hù)策略、電腦病毒的防護(hù)策略、系統(tǒng)安全的終極防護(hù)策略、文件密碼數(shù)據(jù)的防護(hù)策略、磁盤(pán)數(shù)據(jù)安全的防護(hù)策略、系統(tǒng)賬戶(hù)數(shù)據(jù)的防護(hù)策略、網(wǎng)絡(luò)賬號(hào)及密碼的防護(hù)策略、網(wǎng)頁(yè)瀏覽器的防護(hù)策略、移動(dòng)手機(jī)的防護(hù)策略、平板電腦的防護(hù)策略、網(wǎng)上銀行的防護(hù)策略、手機(jī)錢(qián)包的防護(hù)策略、無(wú)線藍(lán)牙設(shè)備的防護(hù)策略、無(wú)線網(wǎng)絡(luò)安全的防護(hù)策略等內(nèi)容。 另外,本書(shū)還贈(zèng)送海量王牌資源,包括1000分鐘精品教學(xué)視頻、107個(gè)黑客工具速查手冊(cè)、160個(gè)常用黑客命令速查手冊(cè)、180頁(yè)常見(jiàn)故障維修手冊(cè)、191頁(yè)Windows 10系統(tǒng)使用和防護(hù)技巧、教學(xué)用PPT課件以及隨書(shū)攻防工具包,幫助讀者掌握黑客防守方方面面的知識(shí)。 本書(shū)內(nèi)容豐富、圖文并茂、深入淺出,不僅適用于網(wǎng)絡(luò)安全從業(yè)人員及網(wǎng)絡(luò)管理員,而且適用于廣大網(wǎng)絡(luò)愛(ài)好者,也可作為大、中專(zhuān)院校相關(guān)專(zhuān)業(yè)的參考書(shū)。
本書(shū)涵蓋了所有黑客攻防知識(shí)點(diǎn),把知識(shí)點(diǎn)融匯于系統(tǒng)的案例實(shí)訓(xùn)當(dāng)中,并且結(jié)合經(jīng)典案例進(jìn)行講解和拓展,同時(shí)贈(zèng)送1000分鐘實(shí)戰(zhàn)教學(xué)視頻、107個(gè)黑客工具速查手冊(cè)、160個(gè)常用黑客命令速查手冊(cè)、180頁(yè)常見(jiàn)故障維修手冊(cè)、191頁(yè)Windows 10系統(tǒng)使用和防護(hù)技巧和黑客防守工具包,不僅適用于網(wǎng)絡(luò)安全從業(yè)人員及網(wǎng)絡(luò)管理員,而且適用于廣大網(wǎng)絡(luò)愛(ài)好者,也可作為大、中專(zhuān)院校相關(guān)專(zhuān)業(yè)的參考書(shū)。
第1章電腦安全快速入門(mén) 1
1.1IP地址與MAC地址 1
1.1.1認(rèn)識(shí)IP地址 1
1.1.2認(rèn)識(shí)MAC地址 2
1.1.3查看IP地址 2
1.1.4查看MAC地址 3
1.2什么是端口 3
1.2.1認(rèn)識(shí)端口 3
1.2.2查看系統(tǒng)的開(kāi)放端口 3
1.2.3關(guān)閉不必要的端口 4
1.2.4啟動(dòng)需要開(kāi)啟的端口 5
1.3黑客常用的DOS命令 6
1.3.1cd命令 6
1.3.2dir命令 7
1.3.3ping命令 7
1.3.4net命令 9
1.3.5netstat命令 9
1.3.6tracert命令 10
1.4實(shí)戰(zhàn)演練 11
實(shí)戰(zhàn)演練1——使用netstat命令
快速查找對(duì)方IP地址 11
實(shí)戰(zhàn)演練2——使用代碼檢查
指定端口開(kāi)放狀態(tài) 12
1.5小試身手 12
第2章系統(tǒng)漏洞與安全的防護(hù)
策略 13
2.1了解系統(tǒng)漏洞 13
2.1.1什么是系統(tǒng)漏洞 13
2.1.2系統(tǒng)漏洞產(chǎn)生的原因 13
2.1.3常見(jiàn)系統(tǒng)漏洞類(lèi)型 13
2.2RPC服務(wù)遠(yuǎn)程漏洞的防護(hù)
策略 15
2.2.1什么是RPC服務(wù)遠(yuǎn)程
漏洞 15
2.2.2RPC服務(wù)遠(yuǎn)程漏洞入
侵演示 18
2.2.3RPC服務(wù)遠(yuǎn)程漏洞的
防御 18
2.3WebDAV漏洞的防護(hù)策略 20
2.3.1什么是WebDAV緩沖
區(qū)溢出漏洞 20
2.3.2WebDAV緩沖區(qū)溢出漏
洞入侵演示 20
2.3.3WebDAV緩沖區(qū)溢出漏
洞的防御 21
2.4系統(tǒng)漏洞的防護(hù)策略 23
2.4.1使用“Windows更新”
及時(shí)更新系統(tǒng) 23
2.4.2使用360安全衛(wèi)士下
載并安裝補(bǔ)丁 24
2.4.3使用瑞星安全助手修
復(fù)系統(tǒng)漏洞 25
2.5系統(tǒng)安全的防護(hù)策略 26
2.5.1使用任務(wù)管理器管理
進(jìn)程 26
2.5.2卸載流氓軟件 28
2.5.3查殺惡意軟件 29
2.5.4刪除上網(wǎng)緩存文件 30
2.5.5刪除系統(tǒng)臨時(shí)文件 31
2.5.6使用Windows Defender
保護(hù)系統(tǒng) 32
2.6實(shí)戰(zhàn)演練 33
實(shí)戰(zhàn)演練1——使用系統(tǒng)工具
整理碎片 33
實(shí)戰(zhàn)演練2——關(guān)閉開(kāi)機(jī)時(shí)多
余的啟動(dòng)項(xiàng)目 35
2.7小試身手 35
第3章系統(tǒng)入侵與遠(yuǎn)程控制的
防護(hù)策略 36
3.1通過(guò)賬號(hào)入侵系統(tǒng)的常用手段 36
3.1.1使用DOS命令創(chuàng)建隱
藏賬號(hào)入侵系統(tǒng) 36
3.1.2在注冊(cè)表中創(chuàng)建隱藏
賬號(hào)入侵系統(tǒng) 37
3.1.3使用MT工具創(chuàng)建復(fù)制
賬號(hào)入侵系統(tǒng) 39
3.2搶救被賬號(hào)入侵的系統(tǒng) 41
3.2.1揪出黑客創(chuàng)建的隱藏
賬號(hào) 41
3.2.2批量關(guān)閉危險(xiǎn)端口 42
3.3通過(guò)遠(yuǎn)程控制工具入侵系統(tǒng) 43
3.3.1什么是遠(yuǎn)程控制 43
3.3.2通過(guò)Windows遠(yuǎn)程桌面
實(shí)現(xiàn)遠(yuǎn)程控制 43
3.4使用RemotelyAnywhere工具入
侵系統(tǒng) 46
3.4.1安裝RemotelyAnywhere 46
3.4.2連接入侵遠(yuǎn)程主機(jī) 48
3.4.3遠(yuǎn)程操控目標(biāo)主機(jī) 49
3.5遠(yuǎn)程控制的防護(hù)策略 54
3.5.1關(guān)閉Window遠(yuǎn)程桌面
功能 54
3.5.2開(kāi)啟系統(tǒng)的防火墻 54
3.5.3使用天網(wǎng)防火墻防護(hù)
系統(tǒng) 55
3.5.4關(guān)閉遠(yuǎn)程注冊(cè)表管理
服務(wù) 58
3.6實(shí)戰(zhàn)演練 59
實(shí)戰(zhàn)演練1——禁止訪問(wèn)控制
面板 59
實(shí)戰(zhàn)演練2——啟用和關(guān)閉快
速啟動(dòng)功能 60
3.7小試身手 60
第4章電腦木馬的防護(hù)策略 61
4.1什么是電腦木馬 61
4.1.1常見(jiàn)的木馬類(lèi)型 61
4.1.2木馬常用的入侵方法 61
4.2木馬常用的偽裝手段 62
4.2.1偽裝成可執(zhí)行文件 63
4.2.2偽裝成自解壓文件 65
4.2.3將木馬偽裝成圖片 67
4.3木馬的自我保護(hù) 67
4.3.1給木馬加殼 67
4.3.2給木馬加花指令 69
4.3.3修改木馬的入口點(diǎn) 70
4.4常見(jiàn)的木馬啟動(dòng)方式 71
4.4.1利用注冊(cè)表啟動(dòng) 71
4.4.2利用系統(tǒng)文件啟動(dòng) 71
4.4.3利用系統(tǒng)啟動(dòng)組啟動(dòng) 71
4.4.4利用系統(tǒng)服務(wù)啟動(dòng) 72
4.5查詢(xún)系統(tǒng)中的木馬 72
4.5.1通過(guò)啟動(dòng)文件檢測(cè)木馬 72
4.5.2通過(guò)進(jìn)程檢測(cè)木馬 73
4.5.3通過(guò)網(wǎng)絡(luò)連接檢測(cè)木馬 74
4.6使用木馬清除軟件清除木馬 75
4.6.1使用木馬清除大師清除
木馬 75
4.6.2使用木馬清除專(zhuān)家清除
木馬 77
4.6.3金山貝殼木馬專(zhuān)殺清除
木馬 80
4.6.4使用木馬間諜清除工具
清除木馬 82
4.7實(shí)戰(zhàn)演練 84
實(shí)戰(zhàn)演練1——將木馬偽裝成
網(wǎng)頁(yè) 84
實(shí)戰(zhàn)演練2——在組策略中啟動(dòng)
木馬 86
4.8小試身手 87
第5章電腦病毒的防護(hù)策略 88
5.1認(rèn)識(shí)電腦病毒 88
5.1.1電腦病毒的特征和種類(lèi) 88
5.1.2電腦病毒的工作流程 89
5.1.3電腦中毒的途徑 89
5.1.4電腦中病毒后的表現(xiàn) 89
5.2Windows系統(tǒng)病毒 89
5.2.1PE文件病毒 90
5.2.2VBS腳本病毒 90
5.2.3宏病毒 92
5.3電子郵件病毒 93
5.3.1郵件病毒的特點(diǎn) 93
5.3.2識(shí)別“郵件病毒” 93
5.3.3編制郵箱病毒 93
5.4查殺電腦病毒 95
5.4.1安裝殺毒軟件 95
5.4.2升級(jí)病毒庫(kù) 96
5.4.3設(shè)置定期殺毒 98
5.4.4快速查殺病毒 98
5.4.5自定義查殺病毒 100
5.4.6查殺宏病毒 100
5.4.7自定義360殺毒設(shè)置 101
5.5實(shí)戰(zhàn)演練 102
實(shí)戰(zhàn)演練1——在Word 2016中預(yù)
防宏病毒 102
實(shí)戰(zhàn)演練2——在安全模式下
查殺病毒 103
5.6小試身手 104
第6章系統(tǒng)安全的終極防護(hù)
策略 105
6.1什么情況下重裝系統(tǒng) 105
6.2重裝前應(yīng)注意的事項(xiàng) 105
6.3常見(jiàn)系統(tǒng)的重裝 106
6.3.1重裝Windows 7 106
6.3.2重裝Windows 10 108
6.4系統(tǒng)安全提前準(zhǔn)備之備份 111
6.4.1使用系統(tǒng)工具備份
系統(tǒng) 111
6.4.2使用系統(tǒng)映像備份
系統(tǒng) 112
6.4.3使用Ghost工具備份
系統(tǒng) 113
6.4.4制作系統(tǒng)備份光盤(pán) 115
6.5系統(tǒng)崩潰后的修復(fù)之還原 115
6.5.1使用系統(tǒng)工具還原
系統(tǒng) 116
6.5.2使用Ghost工具還原
系統(tǒng) 117
6.5.3使用系統(tǒng)映像還原
系統(tǒng) 118
6.6系統(tǒng)崩潰后的修復(fù)之重置 119
6.6.1使用命令修復(fù)系統(tǒng) 119
6.6.2重置電腦系統(tǒng) 120
6.7實(shí)戰(zhàn)演練 122
實(shí)戰(zhàn)演練1——設(shè)置系統(tǒng)啟動(dòng)
密碼 122
實(shí)戰(zhàn)演練2——設(shè)置虛擬內(nèi)存 123
6.8小試身手 124
第7章文件密碼數(shù)據(jù)的防護(hù)
策略 125
7.1黑客常用破解文件密碼的
方式 125
7.1.1利用Word Password Recovery破解Word文檔密碼 125
7.1.2利用AOXPPR破解Word
文件密碼 126
7.1.3利用Excel Password Recovery破解Excel文檔密碼 127
7.1.4利用APDFPR破解PDF
文件密碼 128
7.1.5利用ARCHPR破解壓縮
文件密碼 130
7.2各類(lèi)文件密碼的防護(hù)策略 131
7.2.1利用Word自身功能給Word文件加密 131
7.2.2利用Excel自身功能給Excel文件加密 132
7.2.3利用Adobe Acrobat Professional加密PDF文件 134
7.2.4利用PDF文件加密器給PDF
文件加密 136
7.2.5利用WinRAR的自加密
功能加密壓縮文件 137
7.2.6給文件或文件夾進(jìn)行
加密 138
7.3使用BitLocker加密磁盤(pán)或U盤(pán)
數(shù)據(jù) 139
7.3.1啟動(dòng)BitLocker 139
7.3.2為磁盤(pán)進(jìn)行加密 140
7.4實(shí)戰(zhàn)演練 141
實(shí)戰(zhàn)演練1——利用命令隱藏
數(shù)據(jù) 141
實(shí)戰(zhàn)演練2——顯示文件的
擴(kuò)展名 142
7.5小試身手 143
第8章磁盤(pán)數(shù)據(jù)安全的終極
防護(hù)策略 144
8.1數(shù)據(jù)丟失的原因 144
8.1.1數(shù)據(jù)丟失的原因 144
8.1.2發(fā)現(xiàn)數(shù)據(jù)丟失后的操作 144
8.2備份磁盤(pán)各類(lèi)數(shù)據(jù) 144
8.2.1分區(qū)表數(shù)據(jù)的防護(hù)策略 145
8.2.2引導(dǎo)區(qū)數(shù)據(jù)的防護(hù)策略 145
8.2.3驅(qū)動(dòng)程序的防護(hù)策略 147
8.2.4電子郵件的防護(hù)策略 149
8.2.5磁盤(pán)文件數(shù)據(jù)的防護(hù)策略 150
8.3各類(lèi)數(shù)據(jù)丟失后的補(bǔ)救策略 153
8.3.1分區(qū)表數(shù)據(jù)丟失后的補(bǔ)救 153
8.3.2引導(dǎo)區(qū)數(shù)據(jù)丟失后的補(bǔ)救 153
8.3.3驅(qū)動(dòng)程序數(shù)據(jù)丟失后的
補(bǔ)救 154
8.3.4電子郵件丟失后補(bǔ)救 155
8.3.5磁盤(pán)文件數(shù)據(jù)丟失后
的補(bǔ)救 157
8.4恢復(fù)丟失的數(shù)據(jù) 159
8.4.1從回收站中還原 159
8.4.2清空回收站后的恢復(fù) 159
8.4.3使用Easy Recovery
恢復(fù)數(shù)據(jù) 161
8.4.4使用Final Recovery
恢復(fù)數(shù)據(jù) 163
8.4.5使用Final Data恢復(fù)
數(shù)據(jù) 164
8.4.6使用“數(shù)據(jù)恢復(fù)大師Data Explore”恢復(fù)數(shù)據(jù) 166
8.4.7格式化硬盤(pán)后的恢復(fù) 170
8.5實(shí)戰(zhàn)演練 172
實(shí)戰(zhàn)演練1——恢復(fù)丟失的
磁盤(pán)簇 172
實(shí)戰(zhàn)演練2——還原已刪除
或重命名的文件 173
8.6小試身手 173
第9章系統(tǒng)賬戶(hù)數(shù)據(jù)的
防護(hù)策略 174
9.1了解Windows 10的賬戶(hù)類(lèi)型 174
9.1.1認(rèn)識(shí)本地賬戶(hù) 174
9.1.2認(rèn)識(shí)Microsoft賬戶(hù) 174
9.1.3本地賬戶(hù)和Microsoft
賬戶(hù)的切換 174
9.2破解管理員賬戶(hù)的方法 176
9.2.1強(qiáng)制清除管理員賬戶(hù)
的密碼 176
9.2.2繞過(guò)密碼自動(dòng)登錄
操作系統(tǒng) 177
9.3本地系統(tǒng)賬戶(hù)的防護(hù)
第3章系統(tǒng)入侵與遠(yuǎn)程控制的防護(hù)策略隨著計(jì)算機(jī)的發(fā)展以及其功能的強(qiáng)大,計(jì)算機(jī)系統(tǒng)的漏洞也相應(yīng)地多起來(lái),同時(shí),越來(lái)越新的操作系統(tǒng)為滿(mǎn)足用戶(hù)的需求,在其中加入了遠(yuǎn)程控制功能,這一功能本來(lái)是方便用戶(hù)使用的,但也為黑客們所利用。本章就來(lái)介紹系統(tǒng)入侵與遠(yuǎn)程控制的防護(hù)策略。3.1通過(guò)賬號(hào)入侵系統(tǒng)的常用手段入侵計(jì)算機(jī)系統(tǒng)是黑客的首要任務(wù),無(wú)論采用什么手段,只要入侵到目標(biāo)主機(jī)的系統(tǒng)當(dāng)中,這一臺(tái)計(jì)算機(jī)就相當(dāng)于是黑客的了。本節(jié)就來(lái)介紹幾種常見(jiàn)的入侵計(jì)算機(jī)系統(tǒng)的方式。3.1.1使用DOS命令創(chuàng)建隱藏賬號(hào)入侵系統(tǒng)黑客在成功入侵一臺(tái)主機(jī)后,會(huì)在該主機(jī)上建立隱藏賬號(hào),以便長(zhǎng)期控制該主機(jī),下面介紹使用命令創(chuàng)建隱藏賬號(hào)的操作步驟。右擊[開(kāi)始]按鈕,在彈出的快捷菜單中選擇[命令提示符(管理員)]選項(xiàng)。
打開(kāi)[命令提示符]窗口,在其中輸入net user wyy$ 123455 /add命令,按Enter鍵,即可成功創(chuàng)建一個(gè)用戶(hù)名為“wyy$”,密碼為“123455”的隱藏賬號(hào)。
輸入net localgroup administrators wyy$ /add命令,按Enter鍵后,即可對(duì)該隱藏賬號(hào)賦予管理員權(quán)限。
再次輸入net user命令,按Enter鍵后,即可顯示當(dāng)前系統(tǒng)中所有已存在的賬號(hào)信息,但是卻發(fā)現(xiàn)剛剛創(chuàng)建的wyy$并沒(méi)有顯示。
由此可見(jiàn),隱藏賬號(hào)可以不被命令查看到,不過(guò),這種方法創(chuàng)建的隱藏賬號(hào)并不能被隱藏。查看隱藏賬號(hào)的具體操作步驟如下。在桌面上右擊[此電腦]圖標(biāo),在彈出的快捷菜單中選擇[管理]選項(xiàng),打開(kāi)[計(jì)算機(jī)管理]窗口。
依次展開(kāi)[系統(tǒng)工具]→[本地用戶(hù)和組]→[用戶(hù)]選項(xiàng),這時(shí)在右側(cè)的窗格中可以發(fā)現(xiàn)創(chuàng)建的wyy$隱藏賬號(hào)依然會(huì)被顯示。
提示:這種隱藏賬號(hào)的方法并不實(shí)用,只能做到在[命令提示符]窗口中隱藏,屬于入門(mén)級(jí)的系統(tǒng)賬戶(hù)隱藏技術(shù)。3.1.2在注冊(cè)表中創(chuàng)建隱藏賬號(hào)入侵系統(tǒng)注冊(cè)表是Windows系統(tǒng)的數(shù)據(jù)庫(kù),包含系統(tǒng)中非常多的重要信息,也是黑客最多關(guān)注的地方。下面就來(lái)看看黑客是如何使用注冊(cè)表來(lái)更好地隱藏。選擇[開(kāi)始]→[運(yùn)行]選項(xiàng),打開(kāi)[運(yùn)行]對(duì)話框,在[打開(kāi)]文本框中輸入regedit。
單擊[確定]按鈕,打開(kāi)[注冊(cè)表編輯器]窗口,在左側(cè)窗口中,依次選擇HKEY_LOCAL_MACHINE\SAM\SAM注冊(cè)表項(xiàng),右擊SAM,在彈出的快捷菜單中選擇[權(quán)限]選項(xiàng)。
打開(kāi)[SAM的權(quán)限]對(duì)話框,在[組或用戶(hù)名稱(chēng)]欄中選擇[Administrators],然后在[Administrators的權(quán)限]欄中勾選[控制]和[讀取]復(fù)選框,單擊[確定]按鈕保存設(shè)置。
依次選擇HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ Names注冊(cè)表項(xiàng),即可查看到以當(dāng)前系統(tǒng)中的所有系統(tǒng)賬戶(hù)名稱(chēng)命名的5個(gè)項(xiàng)。
右鍵單擊[wyy$]項(xiàng),在彈出的快捷菜單中選擇[導(dǎo)出]選項(xiàng)。
打開(kāi)[導(dǎo)出注冊(cè)表文件]對(duì)話框,將該項(xiàng)命名為wyy.reg, 然后單擊[保存]按鈕,即可導(dǎo)出wyy.reg。
按照步驟5的方法,將HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account\Users\下的000001F4和000003E9項(xiàng)分別導(dǎo)出并命名為administrator.reg和user.reg。
用記事本打開(kāi)administrator.reg,選中"F"=后面的內(nèi)容并復(fù)制下來(lái),然后打開(kāi)user.reg,將"F"=后面的內(nèi)容替換掉。完成后,將user.reg進(jìn)行保存。 打開(kāi)[命令提示符]窗口,輸入net user wyy$ /del命令,按Enter鍵后,即可將建立的隱藏賬號(hào)“wyy$”刪除。
分別將wyy.reg和user.reg導(dǎo)入到注冊(cè)表中,即可完成注冊(cè)表隱藏賬號(hào)的創(chuàng)建,在[本地用戶(hù)和組]窗口中,也查看不到隱藏賬號(hào)。
提示:利用此種方法創(chuàng)建的隱藏賬號(hào)在注冊(cè)表中還是可以查看到的。為了保障建立的隱藏賬號(hào)不被管理員刪除,還需要對(duì)HKEY_LOCAL_MACHINE\SAM\SAM注冊(cè)表項(xiàng)的權(quán)限取消。這樣,即便是真正的管理員發(fā)現(xiàn)了并要?jiǎng)h除隱藏賬號(hào),系統(tǒng)就會(huì)報(bào)錯(cuò),并且無(wú)法再次賦予權(quán)限。經(jīng)驗(yàn)不足的管理員就只能束手無(wú)策了。3.1.3使用MT工具創(chuàng)建復(fù)制賬號(hào)入侵系統(tǒng)建立隱藏賬號(hào)是入侵計(jì)算機(jī)系統(tǒng)后的重要工作,要建立隱藏的用戶(hù)賬號(hào),好的辦法就是復(fù)制管理員賬號(hào),利用MT工具就可以很輕松地創(chuàng)建復(fù)制賬號(hào),具體的操作步驟如下。在進(jìn)行賬號(hào)復(fù)制之前,查看遠(yuǎn)程主機(jī)上的管理員用戶(hù)名信息。在遠(yuǎn)程主機(jī)的溢出窗口中輸入 net localgroup administrators命令,然后按下Enter鍵執(zhí)行該命令,即可看到所有管理員的用戶(hù)名。
查看遠(yuǎn)程主機(jī)上的Guest用戶(hù)名信息。在遠(yuǎn)程主機(jī)的溢出窗口中輸入 net user Guest 命令,然后按下Enter鍵執(zhí)行該命令,從執(zhí)行結(jié)果中可以看出Guest用戶(hù)的賬號(hào)沒(méi)有啟動(dòng),且密碼為空。
下面就可以利用MT工具把Guest賬號(hào)復(fù)制為具有與前面管理員賬號(hào)相同的權(quán)限。在復(fù)制賬號(hào)之前,需要獲取系統(tǒng)的較高權(quán)限,在溢出窗口中輸入mt -su命令。
按下Enter鍵執(zhí)行該命令,打開(kāi)新的[命令提示符]窗口,就可以獲取系統(tǒng)的較高級(jí)別的System權(quán)限。
在打開(kāi)的新的[命令提示符]窗口中就可以進(jìn)行賬號(hào)復(fù)制操作了。復(fù)制賬號(hào)的參數(shù)為-clone,命令格式為mt -clone ,其中“”表示要復(fù)制的源賬號(hào),“”表示源賬號(hào)的目標(biāo)賬號(hào)。例如要將Guest復(fù)制為與“Administrator”賬號(hào)相同的權(quán)限,就可以執(zhí)行mt -clone Administrator Guest, 執(zhí)行完成后將返回如下信息。Read value F from 1F4 of administrator.Set value F to 1F5 of guestSuccess!分析上述顯示的信息,則說(shuō)明操作成功,此時(shí)已經(jīng)將Guest賬號(hào)復(fù)制成了管理員組的賬號(hào)。
在新打開(kāi)的[命令提示符]窗口中輸入mt -chkuser命令,按下Enter鍵執(zhí)行該命令,可以顯示所有賬號(hào)的SID值,從中可以看出Guest賬號(hào)的CheckedSID值與Administrator賬號(hào)的值是相同的,說(shuō)明兩個(gè)賬號(hào)具有相同的權(quán)限,這樣就在目標(biāo)主機(jī)中建立了一個(gè)隱藏賬號(hào)。
提示:當(dāng)Guest賬號(hào)被添加到管理員用戶(hù)組之中,就具有了與Administrator相同的管理員權(quán)限,但是在查看Guest賬號(hào)信息時(shí),顯示的該賬號(hào)依然是Guest組中,而且是未啟用的狀態(tài)。事實(shí)上,該賬號(hào)已經(jīng)被暗中激活啟用,并且當(dāng)Guest賬號(hào)被管理員禁用時(shí),攻擊者依然可以用Guest賬號(hào)進(jìn)行登錄,執(zhí)行管理員權(quán)限的操作。3.2搶救被賬號(hào)入侵的系統(tǒng)當(dāng)確定了自己的計(jì)算機(jī)遭到了入侵,可以在不重裝系統(tǒng)的情況下采用如下方式“搶救”被入侵的系統(tǒng)。3.2.1揪出黑客創(chuàng)建的隱藏賬號(hào)隱藏賬號(hào)的危害是不容忽視的,用戶(hù)可以通過(guò)設(shè)置組策略,使黑客無(wú)法使用隱藏賬號(hào)登錄。具體操作步驟如下。打開(kāi)[本地組策略編輯器]窗口,依次展開(kāi)[計(jì)算機(jī)配置]→[Windows設(shè)置]→ [安全設(shè)置]→[本地策略]→[審核策略]選項(xiàng)。
雙擊右側(cè)窗口中的[審核策略更改]選項(xiàng),打開(kāi)[審核策略更改 屬性]對(duì)話框,勾選[成功]復(fù)選框,單擊[確定]按鈕保存設(shè)置。
按照上述步驟,將[審核登錄事件]選項(xiàng)做同樣的設(shè)置。
按照Step 02的步驟,在[審核進(jìn)程跟蹤]選項(xiàng)中做同樣的設(shè)置。
設(shè)置完成后,用戶(hù)就可以通過(guò)[計(jì)算機(jī)管理]窗口中的[事件查看器]選項(xiàng),查看所有登錄過(guò)系統(tǒng)的賬號(hào)及登錄的時(shí)間,對(duì)于有可疑的賬號(hào)在這里一目了然,即便黑客刪除了登錄日志,系統(tǒng)也會(huì)自動(dòng)記錄刪除了日志的賬號(hào)。
提示:在確定了黑客的隱藏賬號(hào)之后,卻無(wú)法刪除。這時(shí),可以通過(guò)[命令提示符]窗口,運(yùn)行net user [隱藏賬號(hào)][新密碼]命令來(lái)更改隱藏賬號(hào)的登錄密碼,使黑客無(wú)法登錄該賬號(hào)。3.2.2批量關(guān)閉危險(xiǎn)端口眾所周知,網(wǎng)絡(luò)上木馬病毒無(wú)孔不入,在各種防護(hù)手段中,關(guān)閉系統(tǒng)中的危險(xiǎn)端口是非常重要的,但是對(duì)于計(jì)算機(jī)新手來(lái)說(shuō),哪些端口是危險(xiǎn)的,哪些端口是不危險(xiǎn)的,并不清楚。下面就來(lái)介紹一些自動(dòng)關(guān)閉危險(xiǎn)端口的方法,來(lái)幫助用戶(hù)掃描并關(guān)閉危險(xiǎn)的端口。對(duì)于初學(xué)者來(lái)說(shuō),一個(gè)一個(gè)地關(guān)閉危險(xiǎn)端口太麻煩了,而且也不知道哪些端口應(yīng)該關(guān)閉,哪些端口不應(yīng)該關(guān)閉。不過(guò)用戶(hù)可以使用一個(gè)叫作[危險(xiǎn)端口關(guān)閉小助手]的工具來(lái)自動(dòng)關(guān)閉端口,具體的操作步驟如下。下載并解壓縮[危險(xiǎn)端口關(guān)閉小助手]工具,在解壓的文件中雙擊[自動(dòng)關(guān)閉危險(xiǎn)端口.bat]批量處理文件,則可自動(dòng)打開(kāi)[命令]窗口,并在其中閃過(guò)關(guān)閉狀態(tài)信息。關(guān)閉結(jié)束后,系統(tǒng)中的危險(xiǎn)端口就全部被關(guān)閉掉了,當(dāng)程序停止后,不要關(guān)閉[命令]窗口,這時(shí)按下任意鍵,或繼續(xù)運(yùn)行[Win服務(wù)器過(guò)濾策略],然后再進(jìn)行木馬服務(wù)端口的關(guān)閉,全部完成后,系統(tǒng)才做到真正的安全。
使用[危險(xiǎn)端口關(guān)閉小助手]工具還可以手工修改、自動(dòng)關(guān)閉端口,利用該功能可以把近期的端口添加到關(guān)閉的列表中。用記事本打開(kāi)[關(guān)閉危險(xiǎn)端口.bat]文件,即可在其中看到關(guān)閉端口的重要語(yǔ)句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/138" -f 0:138:UDP -n BLOCK -x >nul,其中UDP參數(shù)用于指定關(guān)閉端口使用的協(xié)議,138參數(shù)是要關(guān)閉的端口。
參照上述語(yǔ)句,可以手工添加語(yǔ)句,將一些新的木馬病毒使用的端口加入到關(guān)閉列表中,例如,要關(guān)閉新木馬使用的8080端口,則可以添加如下語(yǔ)句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/8080" -f 0:8080:UDP -n BLOCK -x >nul,添加完成后的顯示效果如下圖所示。
添加完畢后,將該文件保存為.bat文件,重新運(yùn)行即可關(guān)閉新添加的端口。3.3通過(guò)遠(yuǎn)程控制工具入侵系統(tǒng)通過(guò)遠(yuǎn)程控制工具入侵目標(biāo)主機(jī)系統(tǒng)的方法有多種,最常見(jiàn)的有telnet、ssh、vnc、遠(yuǎn)程桌面等技術(shù),除此之外還有一些專(zhuān)門(mén)的遠(yuǎn)程控制工具,如RemotelyAnywhere、PcAnywhere等。
給單位圖書(shū)館買(mǎi)的書(shū),還不錯(cuò)。
實(shí)用性強(qiáng),利于解讀