高级模式   | 热搜 : 资讯  安全  漏洞  工具  系统安全 
查看: 225952 | 回复: 3
只看楼主
离线
Mersion(好ID:4666701)   发表于 2015-08-19 16:19:29     
1#
0×00 安全的测试环境

1.1 黑客攻防基础知识

木马进程、DOS命令、注册表信息等名词平时我们都有所接触,这些知识可是黑客技术中最基础,也是经常遇到的。只有充分了解黑客、认识黑客,才能真正把黑客引向正途,让黑客技术为社会服务。为什么会受到黑客攻击,遭到黑客入侵后应该采取哪些措施?在网络安全受到极大威胁时,我们该怎么办?

1.1.1 进程、端口和服务概述
进程、端口和服务是黑客经常攻击的对象,它们对网络安全起着非常重要的作用。

1.进程
在操作系统中,当用户启动一个应用程序,系统便会在后台加载相应的进程。进程是系统或应用程序的一次动态执行活动。进程可以分为系统管理计算机和完成各种操作的必需进程;还有用户开启或执行的其他进程,其中包括用户并不知道但会自动运行的非法进程,这些进程就很有可能是间谍或木马进程。


如何查看自己的进程呢?在系统中,可以同时按下(Ctrl+Shift+Del)组合键打开【Windows任务管理器】窗口(也可以按下(Ctrl+Shift+Esc)组合键来实现),在【进程】选项卡F就可以看到当前系统中所有运行的进程。如图所示:

下面列出最基本的系统进程,这些进程是操作系统能够正常运行的保障,前提条件是这些进程没有被木马文件伪装。
● smss.exe 会话管理
● csrss.exe 子系统服务进程
● winlogon.exe 管理用户登录
● service.exe 系统服务进程
● lsass.exe 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全启动程序
● svchost.exe 从动态链接库运行服务的通用主机进程名称(在Windows XP系统中,通常有6个svchost.exe进程)
● spoolsv.exe 将文件加成到内存中,以便打印
● explorer.exe 资源管理进程
● intemat.exe 输入法管理进程


2.端口
计算机“端口”的英文名为“port”,可以理解为计算机与外部设备通讯交流的出入口。端口可以分为物理端口(如:ADST、集线器、交换机、路由器等用于连接其它设备的接口)和逻辑端口(如:TCP端口、UTP端口等)两种。


在Wiondows操作系统中,端口可以根据端口号划分为以下3类:
● 公认端口(Well-known ports):端口号范围为0~1023,通常固定分配一些服务。这些端口的通信明确表明某些服务的协议,例如FTP服务的端口号为21,HTTP服务的端口号为80等。
● 注册端口(Registered Ports):端口号范围为1024~49151,这一类的端口号并不固定绑定于某个服务,只有运行的程序向系统提出访问请求时,系统才会从这些端口号中随机分配一个给该程序使用。
● 动态端口(Dynamic and/or Privat ports):端口号范围为49152~65535。此类端口不为服务分配,通常从1024起分配动态端口。动态端口常常被病毒木马所利用,如冰河木马默认的连接端口是7626。


3.服务

服务是一种后台运行的应用程序类型。服务应用程序通常可以在本地和网络连接为用户提供特殊功能。也可以说,服务只是为操作系统所调用,并且在后台为系统提供各种功能,再由系统负责将这些功能的操作权交给用户。

在服务器的入侵中,服务也是一个很重要的入口。每项服务在系统中都有一个具体的文件存在,服务对应的这些文件一般存储在“C:\Windows\system32”或“C:\Windows\system32\drivers”文件夹中,文件扩展名为.exe、.dll、.sys等。

如何查看系统中的服务呢?在【运行】对话框中运行“services.msc”命令,即可打开服务窗口,如图所示:

1.1.2 DOS系统的常用命令
虽然现在操作系统的界面越来越人性化,平时的操作基本接触不到DOS系统,但DOS系统对黑客的入侵有着重要作用。DOS命令其实是DOS系统中提供的运行程序,这些运行程序通过相应的命令运行,来完成各种特定的任务。下面介绍一些DOS系统中的常用命令。

1. cd 命令
功能:改变当前路径。
格式:cd[盘符\路径名\子目录]
● 如果省略了cd后面的目录,则表示当前目录。
● 使用“cd\”格式表示直接退回到根目录。
● 使用“cd..”表示,退回到上一级目录。

实例:从当前目录直接退回到根目录,输入命令“cd\”,按回车后显示结果如图:

2. dir 命令
功能:显示磁盘目录清单。
格式:dir[盘符\路径][/w]
● /p:当目录的清单过多,无法在一屏的范围内显示完,屏幕会一直滚动显示,直到该列表最后一行,这样就不容易看到所有列表内容。/p的作用是能够让目录清单分屏显示,一屏显示23行文件信息,然后提示暂停,按任意键继续显示下一屏。
● /w:省略目录清单中文件大小、建立的时间等信息。每行可以显示五个文件名。

实例:
1)分屏显示目录清单。输入命令“dir C:\Windows/p”,按回车键后显示结果如图:

2)省略显示目录清单。输入命令“dir C:\Windows/w”,按回车键后显示结果如图:

3. ping 命令
功能:测试计算机名和计算机IP地址。通过回响应答消息的接受情况和往返过程的次数,来检测网络连接性、可达到性和名称解析并显示出来。如果不带参数,ping将显示使用帮助。
格式:ping[-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-r count] [-s count] [-j computer -list] [-k computer -list] [-w timeout] [destination-list]


● -t:验证在中断前与指定计算机的连接。按组合键可中断并显示信息;按可中断并退出ping命令。(不认为中断则一直ping下去)
● -a:对目的地IP进行名称解析。
● -n Count:发送回响请求的信息次数,默认值为4。
● -l length:发送length大小的ECHO报文。默认值为64B,最大值为8192B。
● -f:设置包为“不分段”标示。该包通过路由网关时不被分段。
● -i ttl:指定发送回响请求信息IP中的ttl字段值。默认值为128,最大值为255。
● -r count:在“记录路由”字段中记录发出和返回报文的路由。count最小值为1,最大值为9。
● -s count:在“记录路由”字段中记录发出和返回报文的时间。count最小值为1,最大值为4。
● -j computer-list:经过指定计算机列表的路由报文。在经过网关时可能会分隔连续的计算机。最大IP地址数位9。
● -w timeout:指点连接超时时间间隔,单位为ms(毫秒)
● destination:指定目的地计算机。


实例:查看与 www.baidu.com 的连接情况。输入命令”ping www.baidu.com“,按回车键显示结果如图:

4. netstat 命令
功能:用于显示活动的 TCP 连接、计算机侦听端口、IP路由表、IP统计信息以及以太网统计信息、不带参数的 netstat 命令只显示活动 TCP 连接。
格式:netstat[-a] [-e] [-n] [-o] [-p portocol] [-r] [-s] [Interval]

● -a:显示所有的 TCP 连接,包括正在监听的。
● -e:显示关于以太网的统计信息,包括发送和接受的字节数、数据包数(可与-s参数结合使用)。
● -n:显示所有已经建立的 TCP 有效连接。
● -o:显示每个有效 TCP 连接的进程 PID (可与-a、-n和-p参数结合使用)
● -p portocol:显示所有由 portocol 指定的协议连接。
● -r:显示IP路由列表。
● -s:显示每个协议连接的统计信息。
● Interval:每个 Interval 秒就重新选定一次显示信息。按<Ctrl+C>组合键可停止。如果省略该参数,将只显示一次选定信息。

实例:查看以太网统计信息和所有协议的统计信息。输入命令“netstat -e -s”,按回车键后显示结果如图:


5.ipconfig 命令
功能:诊断并显示所有 TCP/TP 网络配置值,如IP地址,子网掩码以及默认网关。没有参数的 ipconfig 命令将向用户提供所有的当前 TCP/IP 配置值。
格式:ipconfig[/all][/renew[adapter]][/release[adapter]][/displaydns][/registerdns]


● /all:显示所有适配器的完整 TCP/IP 配置信息。
● /renew[adapter]:更新所有适配器的信息或指定适配器的 DHCP 配置。该选项只能运行在 DHCP 客户端服务的系统上。如果需要指定适配器,可通过不带参数的 ipconfig 命令查看所有适配器名称。
● /release[adapter]:发布所有适配器的信息或指导 DHCP 配置。该参数不能使用本地系统上的 TCP/IP,只能在 DHCP 客户端上运行。如果需要指定适配器,可通过不带参数的 ipconfig 命令查看所有适配器名称。
● /displaydns:显示 DNS 客户端解析缓存内容
● /registerdns:初始化计算机配置的 DNS 名称和 IP 地址的手工动态注册。可以在不重启客户端计算机的情况下,排除注册失败的 DNS 名称故障或解决客户和 DNS 服务器之间的动态更新问题。

实例:查看计算机所有适配器的完整 TCP/IP 配置信息。键入命令“ipconfig/all”,按回车键后显示结果如图:



6.tracert 命令
功能:显示数据包到达目标计算机所经过的路径,并显示到达每个节点的时间。该命令的功能类似于 ping 命令,但是所获得的信息要比 ping 命令详细。该命令适用于大型网络的测试。
格式:tracert[-d][-h MaximumHops][-j Hostlist][-w Timeout][TargetName]

● -d:防止解析目标主机的名字,可以加速显示 tracert 命令结果。
● -h MaximumHops:指定搜索到目标地址的最大跳跃数,默认值为30个跳跃点。
● -j Hostlist:按照主机列表中的地址释放源路由。
● -w Timeout:指定超时的时间间隔,默认为ms(毫秒)。
● TargetName:指定目标计算机。



实例:查看 www.baidu.com 的路由与局域网络连接情况。输入命令“tracert www.baidu.com”,按回车键后显示结果如图:



7.nslookup 命令
功能:用于检测网络中 DNS 服务器是否能正确实现域名。一般情况下,只要用户设置好域名服务器,就可以使用该命令查看不同主机的 IP 地址对应的域名。
格式:nslookup[IP地址或域名]
说明:nslookup 命令必须在安装 TCP/IP 协议的网络环境中使用。
实例:查看 www.baidu.com 的 IP 地址。输入命令“nslookup www.baidu.com”,按回车键后显示结果如图:



8.at 命令
功能:显示在指定的时间和日期中计算机上运行的已计划命令和程序。在不使用任何参数的情况下,会显示出所有已计划的命令。
格式:at[\\ip][[ID][/delete]/delete [/yse]]
.      at[\\computcmame]time[/interactive][/every:date[,...]next:date[,...]]command
● 在使用 at 命令之前,需要保证“计划”服务已启动。
● \\IP:指定目标计算机,在此输入目标计算机的 IP 地址。如果省略该参数,则表示对本地计算机操作。
● ID:指定已计划命令的识别号。
● /delete:删除指定计划。若省略 ID 参数,将删除计算机所有已计划命令。
● /yes:不再显示删除已计划时的提示,对删除命令进行强制肯定的回答。
● /time:指定命令运行的时间。时间显示格式为:00:00~23:59.
● /interactive:允许作业与在作业运行时对登录用户进行桌面交互。
● /every:date[,...]:指定运行命令的日期为每星期几或月,如每星期一或每个月的第十天。如果指定的日期为多天,用逗号分隔多个日期项。

例子:1.每天10:00运行1.exe。
代码:at 10:00 /every:m,t,w,th,f,s,su "start 1.exe"

● next:date[,...]:在重复出现下一天(例如:下个月第十天)时,运行指定命令将 date 指定为一个星期的一天或多天,或一个月的一天或多天。用逗号分隔多个日期项。
● command:该命令只要用于指定要运行的 Windows 2000 命令和程序(.exe、.com 文件)或批处理程序(.bat、.cmd 文件)。参数所使用的路径必须使用绝对路径。如果命令不是可执行文件(.exe 文件),就需要在命令前加上“cmd/c”。
实例:指定“C:\cmd.exe”程序于17:35在 IP 为 192.168.0.88 的计算机上运行。输入命令“at\\192.168.0.88 17:35 c:\cmd.exe”,按回车键后显示运行结果如图:


已更新:http://vcccc.cn/posts/list/223242/5168057.html


*作者/编辑:yfmx(墨燅),转载请注明来自OFTEFS - SOSF (VCCCC.CN)




这篇文章被编辑了 7 次. 最近一次更新是在 2015-09-09 22:06:12

赞 2
评分记录: 2 条评分
Machine F豆 +1 2015-08-20 感谢楼主分享,自己写很累吧。
yfmxo F豆 +1 2015-08-20 新手交流版里就是缺这样的帖子。
    最近浏览:

m4hx
2015-11-21

鬼影
2015-11-21

血 影
2015-11-20

admin帝权
2015-11-14

    
2015-11-08

yangen123
2015-11-04

hcs61256cs
2015-11-03

叫我过客
2015-10-31

wujunhao
2015-10-26

①墨齾
2015-10-23

82252731
2015-10-16

小刘称霸
2015-10-10

SST'Oath
2015-10-04

HK鬼影
2015-09-24

#夜#
2015-09-04

709043798
2015-08-19
 
 
Mersion社区版权声明1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。
2、本站所有主题由该帖子发布者发表,该帖子作者发布者享有帖子相关版权。
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者的同意。
4、帖子作者与发布者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
7、文字管理员和版主有权不事先通知发贴者而删除本文。
 
离线
追梦人456(好ID:6989685)   发表于 2016-06-07 16:40:12     
2#
楼主总结的很详细,很不错
 
离线
QQ15860975647(好ID:8080279)   发表于 2016-12-29 20:18:10     
3#
我要吐槽:66666666666
 
离线
Continuity(好ID:8089019)   发表于 2017-01-14 01:19:26     
4#
我要好好学
 
你需要登录入才可以回帖  登入  |  会员注册

备案号: 版权所有:Mersion社区
当前时间:UTC+8:00, 2019-05-25 02:16:33