黑客 – Tengs

黑道——黑客攻防初探

2009年8月20日 / Leave a Comment

在家看了一个多星期的《黑客攻防技术擂台－木马任务大作战》，自我感觉不良好。无意间瞄了一下页码，才发现已经啃了大半本。古语有云：半部论语治天下。我看了半部《黑客》，连黑客的门都还没摸着，估计再看下去也不会有什么前景，罢了罢了，就当自己生性驽钝，非可塑之材算了。

但鸡肋到底是鸡肋，虽说啃不下，能够义无反顾放弃者，又有多少人？这或许是人性的一大怪圈吧！我非圣人，自然跳不出这凡人的魔咒，思索再三，遂决定写下一点东西，就当是我李某人也曾“涉黑”的见证吧。于是乎，在翻找了很多资料的基础上，这篇不成日志的日志就此光荣诞生了。这是前话——也是废话。

记得父亲跟我提起《封神演义》时有一句经典的评语：漫天神鬼。今天引申一下，看完半部《黑客攻防技术擂台－木马任务大作战》之后的感觉就是：漫天木马。当然，感觉总是由外界环境或环境中的人事物强加给你的，具体情况如何——是否真如书上所说的满世界都是木马，就有待考证了……这或者是后话，或者根本无话，当然是取决于本人日后是否还有闲暇涉足黑客之道，就表过不提了。废话少说，转入正题。

却说要转入正题，想想还是先说明一下，我在这里无意于写读后感，也不想教你诈，只是希望自己的一点点认识能够对您的防黑大业有所裨益，若能如此，我也算功德无量了。当然，作为一个不折不扣的菜鸟，此文中纰漏误解自然是不可避免的，倘有高手路过发现，还望多多指教，先谢谢了。

在这里，首先要声明的是两个概念。第一个是木马与病毒的关系，也许在很多人的潜意识里，木马是一种病毒，其实这是错误的理解。所谓病毒，只不过是一种能够破坏你机器上的资料、软件、系统（大不了连硬件也搞瘫了）的计算机程序。而木马（特洛伊木马相信大家都听说过）是一段潜伏在你的电脑上的外表斯文（这个修饰貌似有问题），看来无公害（起码不会污染环境）事实上却又无恶不作的程序（典型的老奸巨猾）。当然，当年希腊人在木马里藏的并不仅仅是只会杀人放火搞破坏的士兵，更有专事偷窃信息搜集情报的间谍。从这个层面上来看，毫无疑问，病毒只是一种专门从事破坏的木马，讲白了，病毒是一种木马，而非木马是一种病毒。第二个是黑客与骇客的关系：或许你不会忘记某年某月的某一天，当你的机器因病毒发作而无法正常进入你的windows时的痛心疾首；也许你不会忘记当你正兴趣怏然得观看某部“艺术”影片时，接连跳出的一连串莫名其妙的窗口……于是乎，你开始诅咒那些吃饱了撑着的黑客……事实上很少有人知道，原来自己骂错人了。黑客的英文是“Hacker”，原意是“开辟、开创”，就是说黑客应该是开辟道路为人类的伟大事业做贡献的人（听来是有点虚）。黑客源于20世纪70年代的麻省理工学院实验室，当时由一群崇尚“共享主义”、热衷于“为人民服务”的计算机高手本着解决问题、建立事物、相信自由的态度聚在一起工作而得名。真正该骂的骇客（Cracker）是“解密、破译”的意思，指那些专门闯入电脑系统搞破坏的人。由此可见，黑客是建设性的，而骇客才是破坏性的。至于所谓的红客（honker），就纯属中国人自己说了算（99年中美黑客之间进行了一场技术较量，导致中国红客网诞生，红客也就出现了）。

接下来要树立的是一个理念：你的个人计算机其实并不比你家安全。说得明白点就是你pc上所谓的防火墙和杀毒软件并不比你家的防盗门和狗可靠。事实上防火墙的确的一道很好的屏障，只可惜很少有人肯花功夫去进行一些细微的设置，因而导致防火墙形同虚设。对于杀毒软件，更是无话可说：现在的杀毒软件之所以能够杀毒，基本上都是通过不断地升级病毒数据库，然后对照数据库查阅你电脑上的程序，发现与数据库里的文件类似的才予以查杀。这就是说，数据库里没有的，即使它摆明了就叫木马，杀毒软件们也会任其逍遥（当然，现在貌似有些杀毒软件可以依靠木马运行时的一些特征发现木马，不过估计效率也不怎么高）。而那些充当我们伟大救世主的所谓最新病毒数据库，事实上不过都是靠安全专家们（善良的大黑客）发现已经存在的并且正在大范围泛滥的木马后才能给出的。说白了，如果一个木马纯属某个黑客的专用工具（一般情况下由黑客自己写出，或者是用木马组装工具组装而来），而这个黑客又不是到处作恶，只捡你下手的话，你那号称无毒不杀的杀毒软件就未必能杀出来的，当然，前提是那个木马要伪装得足够好（很多木马靠压缩软件压一压、重组软件组一组就能轻易地改头换面）。真正智能的能自动判断病毒的杀毒软件至今还没开发出来，这不得不说是杀毒界的一大悲剧。入侵者们不断重写木马、被黑者们不断受害、杀毒软件不断更新数据库···周而复始，自从有木马这么一回事以来，杀毒软件就是这样一直疲于应付。由此也可见我们老祖先的高明：“道高一尺，魔高一丈”这句话在今天还是经得起考验的真理。

我无意于吓唬你，不过我承认以上内容的确有点耸人听闻。无论如何，要保证你的爱机的安全，除了自求多福之外，我们能做的，就是尽量切断木马的来源。事实上对于今天的木马，来源也就两个，一个是通过网络连接进入你的pc，另一个是通过移动设备（u盘啦、光盘啦）拷贝到你的电脑上的。对于网络连接，我的建议是不要轻易点击一些莫名其妙的链接，即使那是一个网页链接，而非很容易分辨的下载链接（事实上现在要做一个一点开网页就自动下载病毒的网页并不是很困难的事）。通常这些链接会在邮件啊、论坛啊、不知名的网站啊、QQ空间啊、聊天室啊、或者其他的实施通信软件上人家发给你的啊这些地方发现，所以当你下次要点开一个链接的时候，请千万记起我今天的话，然后花几秒钟认真想想你是不是必须点开这个链接（当然，入侵者们为了链接有足够的吸引力，通常会编一些很诱惑的链接说明，至于都是什么样的诱惑说明我就不明说了，若有太过纯洁的准小孩不明就里，请与本人单独联系~hihi~）。如果你能做到这一点的话，起码你安全系数就比别人高很多了。然后值得注意的是从网上下载的东西，下完东西后记得杀一下毒就像拉完屎后记得冲冲厕所一样是一种美德。也许很多人认为我下的不过是一张图片或者一部影片，不可能有毒，从而放轻了戒备心。事实上这是很笨的想法，很多.exe文件可以通过隐藏文件名（不知什么原因，很多系统默认都设置了不显示已知文件的扩展名），再换个图标，就能堂而皇之的变身成为.jpg文件。当然，这个还算是技术含量比较低的做法，现在用的较多的是通过拼合技术把木马程序隐藏在一部影片甚至一张图片中（不信的话试试BDVDataHider这款软件，它能很容易的把其他任何类型的文件编到一幅图片中，而这幅图片是可以正常显示的，本人试验过了）。

研究发现：QQ的确是一个传播木马的很好手段。只要成功盗取一个账号（有时根本不必盗取）然后以受害人的名义编出各种各样花俏的名堂把木马发送给受害人的好友，在不知不觉中就能随便捕获数十个“肉鸡”。比较懒的入侵者甚至连自己发木马也省了，直接交给QQ信息自动发送器去做了事。所以面对这种情况，我们能做的就是不要轻易接收来自好友的任何东西，因为你的好友账号随时可能被人盗取，或者事实上你的那个好友本身就是一个黑客。

通常一个入侵者在做完上述的工作之后还未能成功入侵的话，那他就不得不直接入侵了。比较常用的是通过各种漏洞或者139端口入侵。到了这种地步，我只能说，很不幸，你碰上高手了。当然，除了等死之外，还是有一点措施可以采取的。比如经常打补丁（怎么打补丁就不用我说了吧）、设置比较复杂的登陆系统密码（特别是管理员那个账号），所谓复杂密码必须要多于六位，而且是数字加字母加其他一些字符（比如：？^&$#@!{~……），不要用老掉牙的生日啊什么的作为密码，这个东西很容易通过社会工程学猜到。除此之外，采用重要文件加密也是一个可行的办法（网上有很多加密文件的软件），类似于又加了一把锁。

不要轻易让人接触你的电脑，使用别人的移动硬盘时要相当小心，值得提醒的是：千万不要轻易相信你的那个据说是电脑高手的男朋友，如果他别有用心，有意窥探你的隐私的话，在你的电脑上随便放上一点什么，你的麻烦就来了。（收集键盘信息，屏幕窥探？！）说到这里读者诸君可能就有疑惑了：那电脑要是坏了，怎么办？答案很简单：自己修，或者重新买一台……事实上还有一个选择，那就是给我修，相信我，不会错，哈哈……

网络世界就是这样的凶险，令人防不胜防。既然防不胜防,也就没必要防了，免得白费力，干脆交给杀毒软件和防火墙了事。虽然现在的杀毒软件的确很烂。

值得推荐（其实是黑客推荐的）的一款杀毒软件是“avast”（据说占用系统资源相当少），本人试用过了，确实可以。至于防火墙，推荐使用“COMODO”，这款防火墙的最大优点是可以查看活动连接——也就是查看应用程序正在连接的网络端口、地址、协议和传输流量级别。（2010年4月30日注：现在使用360安全卫士也是一个很好的选择，具体可看我的另一篇文字“体验360安全卫士7.0”）这对于防止信息被盗很有益，因为无论是什么木马，只要它想盗取你的个人信息资料，必须通过网络连接发送出去，而一旦和网络连接产生数据流，就能为COMODO所监控。不过前提是你要有足够的注意力时不时查看活动连接，而且必须知道正在连接的都是什么软件，有来历不明的当然十有八九就是木马了。

树大招风，世人都知道当前盖茨MS的产品用户群最广，所以入侵者们如果是为了找肉鸡的话，他们写的木马也大多是针对微软的东西的（起码成功率高一点）。出于安全考虑，解决的最好方法就是不用微软的产品。但到底说着容易，要我们放弃windows，确实不是一件易事；至于ie浏览器和office之类的微软产品，说来还是有替代品的，换掉也非难事。

经常查看系统启动项也能很好的防范木马，因为作为一个木马，最理想的状态是你一开机它就运行，这样的话入侵者就能最大限度地得到他想要的东西。所以很多木马会花很多心思设置开机自动运行。当然，能够阻止的话对我们来说，是再好不过的了。具体操作方法很多，比如查看注册表（必须有一定经验），比较简单的是用360或者其他的第三方软件查看，或者直接运行“msconfig”启动系统配置实用程序修改亦可。

当然，如果木马是以系统服务的形式隐藏在进程里的话（有时根本就没出现在进程里），就有点麻烦了。必须对进程有一定了解才能发现。

另外一个很重要的原则是软件尽量到官网上下载，毕竟官方网站还是比较安全的（注意，这里是比较级，因为不能排除有没别有用心的软件商会在自己的软件上嵌木马）。当然，如果你的软件已经在别的地方下载了，而又不方便再到官网上下（如果那东西有几百兆的话，这种事确实不是人干的），这种情况下或许你可以到官网上查看一下是否有提供MD5值，用专门的软件（如Windows MD5 Check等）做一次MD5校验。

暂时想不出其他的了，以后有空补充吧。