记住,永远别被新鲜的词汇吓住。
记住,永远别被新鲜的词汇吓住。(原创文章,转载请申明出处)
作者:黄启清
日期:2009-7-9
小时候,我们都曾调皮过,玩捉迷藏时都喜欢找一个让人很难找得到的地方来藏身,比如钻床底下。钻被窝里面,或者干脆把自己锁在一个小箱里面,让那些想来捉住我们的玩伴找也找不着。
长大了,我们知道冰河木马,灰鸽子木马,这些木马也处处藏身,也处处伪装,或者干脆加那么几层壳,让那些杀毒软件找也找不着。
仔细想想,这些木马的隐藏与伪装技术不正是运用了我们小时候的藏身方法吗?
钻床底下——木马利用Hook 技术挂勾系统的相关API来隐藏自己。
钻被窝里面——木马生成Server端程序时,用一个美女图标,或者一个记事本图标来欺骗用户。
钻箱子里面——木马加壳后,那杀毒软件想看到壳里面的东西,则必须要解壳, 来看看壳里面装的这个应用程序是不是木马。
小时候,我们都有可能当过语文课的小组长,有一天语文课上老师讲了一篇新的课文,假设这篇课文里面出现”漂亮“,”可爱“,”迷人“,”美丽“,”调皮“等十个新的词组,然后了布置作业,要求大家写一篇文掌,里面必须出现至少5个词组以上的文章才会通过,不然就算不通过得重写作业。
长大后,我们碰到了杀毒软件, 杀毒软件通过病毒库(一般由病毒分析人员添加)来判断一个应用软件是不是病毒,基于特征库的杀毒软件会首先搜索一下这个软件中是不是有这个串存在,如果存在,则通知用户这是一个病毒。
仔细想想,杀毒软件基于特征码查毒技术不正是我们小时候的当语文课的小组长时检查别人的作业吗?
”漂亮“,”可爱“,”迷人“,”美丽“,”调皮“在文章中出现——杀毒软件基于特征码查毒时,在十六制化文件后,会检索文件中是否存在类似这样的一些字串“5E 60 C2 44 BB DD"。
老师讲了一篇新的课文——杀毒软件新的病毒库,由病毒分析人员添加,这也就是为什么病毒经常要更新病毒库的原因。
小时候,我们可能很捣蛋,我们可能做过一些小坏事, 比如偷人家果园里面果子,当我们发现果园的正门有凶狗时,我们可能会从侧门进入,进去以后可能会摘走我们认为好吃的果子,但是怕别人发现,还得把我们在边摘边吃过程中所留下的果皮给扔掉,然后又从侧门而出,如果没把果皮扔掉肯定会被主人发现,然后他们就会加强防范,他们就会把每一个侧门都放一条很凶的狗,那就惨了。(申明本人从小没做过坏事,这是其他小朋友告诉我的经验。^_^)
长大后,我们知道什么叫做入侵, 比如我们想入侵一个网站,一般的网站在首页可能不会存在一些安全漏洞,但是在其子页面时可能就会存在一些SQL注入,或者跨站脚本漏洞等漏洞,或者干脆整个网站都不存在漏洞,当整个网站不存在漏洞时,我们就得想想可不可从这个服务器的其他网站入手(安全术语叫旁注),再到这个网站拿东西了,拿到东西可不行,还要清除我们留下的痕迹,要不下次来就没有这么方便了,下次还可能有被建住的可能。
仔细想想,这些所谓的入侵技术不正是我们小时候的偷果园里面果子用到的技术吗?
前门有凶狗,侧门无狗,从侧门入——首先得探测扫描,寻找漏洞点,然后再从漏洞点进入系统。
把果皮扔掉——入侵以后,清除探测扫描时所留下的日志文件。
如果不扔掉果皮——入侵以后,如果不清除日志,则有可能被网管人员发现你的入侵时所留下的日志,如果你的IP是静态的,到时候他通过IP地址就可以找到你噢。
未写完,继续……