3.1 黑客概述

本小節(jié)主要是介紹黑客的概念，典型的黑客舉例，以及常用的黑客術(shù)語。目的是全面并概要了解黑客。

3.1.1 黑客的概念

“黑客”一詞是英語Hacker的音譯，是指擁有高深的計(jì)算機(jī)及網(wǎng)絡(luò)知識(shí)，能夠躲過系統(tǒng)安全控制，進(jìn)入或破壞計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的非法用戶。

黑客最早始于20世紀(jì)50年代，起初，他們都是一些高級(jí)的技術(shù)人員，熱衷于挑戰(zhàn)計(jì)算機(jī)領(lǐng)域內(nèi)的困難，崇尚自由，并主張信息的共享。他們對(duì)計(jì)算機(jī)有著狂熱的興趣和執(zhí)著的精神，不斷地研究計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)，發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)中存在的漏洞或弱點(diǎn)，喜歡挑戰(zhàn)高難度的網(wǎng)絡(luò)系統(tǒng)并從中找到漏洞，然后向管理員提出修補(bǔ)漏洞的方法。客觀地講，他們的出現(xiàn)推動(dòng)了計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展與完善。但是今天，黑客一詞已經(jīng)成為那些專門利用計(jì)算機(jī)進(jìn)行惡意破壞或違法犯罪的代名詞，對(duì)這些人還有一種叫法是Cracker，也有人翻譯成“駭客”。

黑客通常有黑客技術(shù)。簡單地說，黑客技術(shù)是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞的發(fā)現(xiàn)，以及針對(duì)這些缺陷實(shí)施攻擊的技術(shù)。這里說的缺陷，包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。

現(xiàn)在的黑客攻擊方式發(fā)展非常迅速，如圖3.1所示為攻擊發(fā)展的歷程。最早從20世紀(jì)80年代開始，是以猜測密碼為主，到現(xiàn)在已經(jīng)發(fā)展成大規(guī)模的分布式拒絕服務(wù)攻擊、蠕蟲攻擊、勒索攻擊等，各種攻擊層出不窮。

3.1.2 典型的黑客舉例

1988年11月2日，還在康奈爾大學(xué)讀研究生的羅伯特·塔潘·莫里斯（圖3.2）制造出了歷史上首個(gè)通過互聯(lián)網(wǎng)傳播的蠕蟲病毒：“莫里斯”（Morris）蠕蟲。這是最早在互聯(lián)網(wǎng)上傳播的蠕蟲病毒之一，這個(gè)蠕蟲病毒對(duì)當(dāng)時(shí)的互聯(lián)網(wǎng)幾乎構(gòu)成了一次毀滅性攻擊：約有6000臺(tái)計(jì)算機(jī)遭到破壞，造成1500萬美元的損失。

莫里斯當(dāng)時(shí)的目的僅僅是探究互聯(lián)網(wǎng)有多大。然而，“莫里斯”蠕蟲卻以無法控制的方式自我復(fù)制，造成很多計(jì)算機(jī)死機(jī)。正因?yàn)槿绱耍蔀槭孜灰罁?jù)1986年美國《計(jì)算機(jī)欺詐和濫用法》被起訴的人。他最后被判處3年緩刑、400小時(shí)社區(qū)服務(wù)和1.05萬美元罰款。他后來還與人合伙創(chuàng)辦了一家為網(wǎng)上商店開發(fā)軟件的公司，并在三年后將這家公司以4800萬美元的價(jià)格賣給雅虎，更名為“Yahoo! Store”。莫里斯后來成為麻省理工學(xué)院計(jì)算機(jī)科學(xué)與人工智能實(shí)驗(yàn)室的終身教授，主攻方向是計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)。

3.1.3 常用的黑客術(shù)語

在黑客的世界里，常常會(huì)用到一些專用術(shù)語，這里概括講解一下。有些內(nèi)容在后面的章節(jié)當(dāng)中還要詳細(xì)描述。

1.肉雞

所謂“肉雞”是一種很形象的比喻。它比喻那些可以隨意被攻擊者控制的計(jì)算機(jī)。受害者可以是Windows操作系統(tǒng)，也可以是UNIX/Linux操作系統(tǒng)，可以是普通的個(gè)人計(jì)算機(jī)，也可以是大型的服務(wù)器，攻擊者可以像操作自己的計(jì)算機(jī)那樣來操作它們，而不被受害者所發(fā)覺。

2.木馬

木馬就是那些表面上正常，但是一旦運(yùn)行，就會(huì)獲取系統(tǒng)整個(gè)控制權(quán)限的偽裝程序。有很多黑客就是熱衷于使用木馬程序來控制別人的。著名的木馬有“冰河”“灰鴿子”“黑洞”等。

3.網(wǎng)頁木馬

網(wǎng)頁木馬表面上偽裝成普通的網(wǎng)頁文件或是將自己的代碼直接插入到正常的網(wǎng)頁文件中。當(dāng)有人訪問該網(wǎng)頁時(shí)，網(wǎng)頁木馬就會(huì)利用對(duì)方系統(tǒng)或者瀏覽器的漏洞自動(dòng)將配置好的木馬的服務(wù)端下載到訪問者的計(jì)算機(jī)上來自動(dòng)執(zhí)行。

4.掛馬

掛馬就是在別人的網(wǎng)站文件里面放入網(wǎng)頁木馬或者是將代碼潛入到對(duì)方正常的網(wǎng)頁文件里，以使瀏覽者感染木馬。

5.后門

后門(Backdoor)是一種形象的比喻，入侵者在利用某些方法成功地控制了目標(biāo)主機(jī)后，可以在對(duì)方的系統(tǒng)中植入特定的程序，或者是修改某些設(shè)置。這些改動(dòng)表面上是很難被察覺的，但是入侵者卻可以使用相應(yīng)的程序或者方法來輕易地與這臺(tái)計(jì)算機(jī)建立連接，重新控制這臺(tái)計(jì)算機(jī)。這就好像是入侵者偷偷地配了一把主人房間的鑰匙，可以隨時(shí)進(jìn)出而不被主人發(fā)現(xiàn)一樣。通常大多數(shù)木馬程序都可以被入侵者用于制作后門。

6. Rootkit

Rootkit是攻擊者用來隱藏自己的行蹤和保留root(根權(quán)限，可以理解成Windows下的system或者管理員權(quán)限)訪問權(quán)限的工具。通常，攻擊者通過遠(yuǎn)程攻擊的方式獲得root訪問權(quán)限，或者是先使用密碼猜解(破解)的方式獲得對(duì)系統(tǒng)的普通訪問權(quán)限，等進(jìn)入系統(tǒng)后，再通過對(duì)方系統(tǒng)內(nèi)存在的安全漏洞獲得系統(tǒng)的root權(quán)限。然后，攻擊者就會(huì)在對(duì)方的系統(tǒng)中安裝Rootkit，以達(dá)到長久控制對(duì)方的目的，Rootkit與木馬和后門類似，但遠(yuǎn)比它們要隱蔽，“黑客守衛(wèi)者”就是很典型的Rootkit。

7. IPC$

IP C$是共享“命名管道”的資源，它是為了進(jìn)程間通信而開放的命名管道，可以通過驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用。如圖3.3所示，在DOS狀態(tài)下輸入“net share”命令后，可以看到IPC$。

8.弱口令

弱口令指那些強(qiáng)度不夠，容易被猜解的，類似“123”“abc”“名字+123”這樣的口令(密碼)。

9.默認(rèn)共享

默認(rèn)共享是Windows系統(tǒng)開啟共享服務(wù)時(shí)自動(dòng)開啟所有硬盤的共享，因?yàn)榧恿耍?＂符號(hào)，所以看不到共享的托手圖標(biāo)，也稱為隱藏共享。圖3.4所示為默認(rèn)硬盤共享。

10. shell

指的是一種命令執(zhí)行環(huán)境，比如我們按下鍵盤上的〈Win+R〉組合鍵時(shí)出現(xiàn)“運(yùn)行”對(duì)話框，在里面輸入“cmd”會(huì)出現(xiàn)一個(gè)用于執(zhí)行命令的窗口，這就是Windows的shell執(zhí)行環(huán)境。通常，我們使用遠(yuǎn)程溢出程序成功溢出遠(yuǎn)程計(jì)算機(jī)后所得到的那個(gè)用于執(zhí)行系統(tǒng)命令的環(huán)境就是對(duì)方的shell。

11. WebShell

WebShell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也可以將其稱作一種網(wǎng)頁后門。黑客在入侵了一個(gè)網(wǎng)站后，通常會(huì)將這些asp或php后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在一起，然后就可以使用瀏覽器來訪問這些asp或者php后門，得到一個(gè)命令執(zhí)行環(huán)境，以達(dá)到控制網(wǎng)站服務(wù)器的目的。可以上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。國內(nèi)常見的WebShell有“海陽ASP木馬”“Phpspy”“c99shell”等。

12.溢出

溢出指的是“緩沖區(qū)溢出”。簡單的解釋就是程序?qū)邮艿妮斎霐?shù)據(jù)沒有執(zhí)行有效的檢測而導(dǎo)致錯(cuò)誤，后果可能是造成程序崩潰或者是執(zhí)行攻擊者的命令。大致可以分為堆溢出和棧溢出兩類。

13.注入

隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫程序的程序員越來越多，但是由于程序員的水平參差不齊，有相當(dāng)一部分應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想要知道的數(shù)據(jù)，這個(gè)就是所謂的SQL注入（SQL injection，詳見3.3.5節(jié)）。

14.注入點(diǎn)

注入點(diǎn)就是可以實(shí)行注入的地方，通常是一個(gè)訪問數(shù)據(jù)庫的連接。根據(jù)注入點(diǎn)數(shù)據(jù)庫的運(yùn)行賬號(hào)的權(quán)限不同，所得到的權(quán)限也不同。

15.內(nèi)網(wǎng)

內(nèi)網(wǎng)通俗地講就是局域網(wǎng)，比如網(wǎng)吧、校園網(wǎng)、公司內(nèi)部網(wǎng)等都屬于此類。通常，IP地址如果是在以下三個(gè)范圍之內(nèi)的話，就說明是處于內(nèi)網(wǎng)之中的：10.0.0.0~10.255.255.255，172.16.0.0~172.31.255.255，192.168.0.0~192.168.255.255。

16.外網(wǎng)

外網(wǎng)直接連入Internet(互聯(lián)網(wǎng))，可以與互聯(lián)網(wǎng)上的任意一臺(tái)計(jì)算機(jī)互相訪問，IP地址不是保留IP(內(nèi)網(wǎng))IP地址。

17.端口

端口(Port)相當(dāng)于一種數(shù)據(jù)的傳輸通道。用于接受某些數(shù)據(jù)，然后傳輸給相應(yīng)的服務(wù)，而計(jì)算機(jī)將這些數(shù)據(jù)處理后，再將相應(yīng)的回復(fù)通過開啟的端口傳給對(duì)方。一般，每一個(gè)端口的開放都對(duì)應(yīng)了相應(yīng)的服務(wù)，要關(guān)閉這些端口只需要將對(duì)應(yīng)的服務(wù)關(guān)閉就可以了。如圖3.5所示，在DOS狀態(tài)下使用“netstat-ano”命令，可以看到計(jì)算機(jī)開放的端口。

18.3389肉雞、4899肉雞

3389是Windows終端服務(wù)(Terminal Services)默認(rèn)使用的端口號(hào)，該服務(wù)是微軟為了方便網(wǎng)絡(luò)管理員遠(yuǎn)程管理及維護(hù)服務(wù)器而推出的，網(wǎng)絡(luò)管理員可以使用遠(yuǎn)程桌面連接到網(wǎng)絡(luò)上任意一臺(tái)開啟了終端服務(wù)的計(jì)算機(jī)上，成功登錄后就會(huì)像操作自己的計(jì)算機(jī)一樣來操作主機(jī)了。這和遠(yuǎn)程控制軟件甚至木馬程序?qū)崿F(xiàn)的功能很相似，終端服務(wù)的連接非常穩(wěn)定，而且任何殺毒軟件都不會(huì)查殺，所以也深受黑客喜愛。黑客在入侵了一臺(tái)主機(jī)后，通常都會(huì)想辦法先添加一個(gè)屬于自己的后門賬號(hào)，然后再開啟對(duì)方的終端服務(wù)，這樣，自己就可以隨時(shí)使用終端服務(wù)來控制對(duì)方了。這樣的主機(jī)，通常叫作“3389肉雞”。

Radmin是一款非常優(yōu)秀的遠(yuǎn)程控制軟件，4899就是Radmin的默認(rèn)端口號(hào)，因此也經(jīng)常被黑客當(dāng)作木馬來使用（正是這個(gè)原因，目前的殺毒軟件也對(duì)Radmin進(jìn)行查殺）。因?yàn)镽admin的控制功能非常強(qiáng)大，傳輸速度也比大多數(shù)木馬快，而且Radmin管理遠(yuǎn)程計(jì)算機(jī)時(shí)使用的是空口令或弱口令，所以黑客就可以使用一些軟件來掃描網(wǎng)絡(luò)上存在Radmin空口令或者弱口令的主機(jī)，然后就可以登錄上去遠(yuǎn)程控制對(duì)方，這樣被控制的主機(jī)通常被稱作“4899肉雞”。

19.免殺

免殺就是通過加殼、加密、修改特征碼、加花指令等技術(shù)來修改程序，使其逃過殺毒軟件的查殺。

20.加殼

就是利用特殊的算法，將EXE（可執(zhí)行程序）或者DLL（動(dòng)態(tài)連接庫文件）的編碼進(jìn)行改變（比如壓縮、加密），以達(dá)到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。較常用的殼有UPX、ASPack、PePack、PECompact、UPack、免疫007、木馬彩衣，等等。

21.花指令

花指令就是幾句匯編指令，讓匯編語句進(jìn)行一些跳轉(zhuǎn)，使得殺毒軟件不能正常判斷出病毒文件的構(gòu)造。說通俗點(diǎn)就是“殺毒軟件是按從頭到腳的順序來查找病毒的，如果我們把病毒的頭和腳顛倒位置，殺毒軟件就找不到病毒了”。

以上是常用的21個(gè)黑客術(shù)語，了解了這些術(shù)語以后，再看到介紹黑客的資料時(shí)就不會(huì)迷茫了。