在获得一般账户后,黑客经常会试图获得更高的权限,比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。
4窃取(Stealing)
对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文件等)。
5掩盖踪迹(Covering Tracks)
此时最重要就隐藏自己踪迹,以防被管理员发觉,比如清除日志记录、使用rootkits等工具。
6创建后门(Creating Bookdoor)
在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问。
9.什么是漏洞扫描?
系统漏洞检测又称漏洞扫描,就是对重要网络信息进行检查,发现其中可被攻击者利用的漏洞。
第二十二章网络病毒防范
三、问答题
1.掌握恶意代码的概念和分类,以及几种主要的恶意代码。
黑客编写的扰乱社会和个人,甚至起着破坏作用的计算机程序,就是恶意代码。
1)按恶意代码是否需要宿主,即特定的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性,不能脱离宿主而独立运行;不需宿主的恶意代码具有独立性,可不依赖宿主而独立运行。
2)按恶意代码是否能够自我复制,不能自我复制的恶意代码是不感染的,能够自我复制的恶意代码是可感染的。
1.不感染的依附性恶意代码
(1)特洛伊木马
一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能,这些额外的功能往往是有害的(试图访问未授权资源、试图阻止正常访问、试图更改或破坏数据和系统等)。
它一般没有自我复制的机制,但欺骗性是其得以传播的根本原因。电子新闻组和电子邮件是它的主要传播途径。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等,上载到网上直接传播,容易被不知情的用户接收和继续传播。
(2)逻辑炸弹
一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件(特殊日期或指定事件)发生触发其破坏行为。它往往被那些有怨恨的职员使用,一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、计算机死机等。
(3)后门或陷门
是进入系统或程序的一个秘密入口,它能够通过识别某种特定的输入序列或特定帐户,使访问者绕过访问的安全检查、直接获得访问权利,并且通常高于普通用户的特权。
2.不感染的独立性恶意代码
(1)点滴器
为传送和安装其他恶意代码而设计的,它本身不具有直接的感染性和破坏性。它专门对抗反病毒检测,使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时,它将启动,将自身包含的恶意代码释放出来。
3.可感染的依附性恶意代码
计算机病毒是一段附着在其他程序上的可以进行自我复制的代码,由于绝大多数恶意代码都或多或少地具有计算机病毒的特征。
4.可感染的独立性恶意代码
(1)蠕虫
一种通过计算机网络能够自我复制和扩散的程序。蠕虫不需要宿主,不会与其他特定功能程序混合。蠕虫感染的是系统环境(如操作系统或邮件系统)。新感染系统采取同样的方式进行复制和传播,使得蠕虫传播非常迅速。蠕虫可以大量地消耗计算机时间和网络通信带宽,导致整个计算机系统和网络的崩溃,成为拒绝服务攻击的工具。
(2)细菌
在计算机系统中不断复制自己的程序。一个典型的细菌是在多任务系统中生成它的两个副本,然后以指数级增长,最终占用全部的系统资源,无法为用户提供服务。
6.计算机病毒的定义和特征是什么?
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。
1)主动传染性
这是病毒区别于其他程序的一个根本特性。病毒能够将自身代码主动复制到其他文件或扇区中,这个过程并不需要人为的干预。
病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。所谓“感染”,就是病毒将自身嵌入到合法程序的指令序列中,致使执行合法程序的操作会招致病毒程序的共同执行或以病毒程序的执行取而代之。
2)破坏性
这也是计算机病毒的一个基本特性,比如删除文件、毁坏主板BIOS、影响正常的使用等。近年来随着将特洛伊木马程序、蠕虫程序等纳入计算机病毒的范畴,将盗取信息、使用他人计算机的资源等也列入了破坏行为的范围。