第1章 黑客基础知识

1.1 黑客需要了解的基础知识

“黑客”一词最早源自英文“Hacker”,早期在电脑行业内是带有褒义的,泛指擅长IT技术、精通各种编程语言和系统的技术人员。他们具有攻击能力但不具恶意目的,而是专注研究系统漏洞和程序缺陷,并提出修补漏洞的方法。想要成为一个初级黑客,必须了解相关的网络和系统知识,例如黑客的攻击方式、IP地址、端口、服务和进程等。

例1 了解黑客常用的攻击手段

黑客攻击手段可分为非破坏性攻击和破坏性攻击两大类。非破坏性攻击一般只是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击;破坏性攻击是指以入侵他人电脑系统、盗窃用户信息、破坏数据为目的。下面介绍几种黑客常用的攻击手段。

例2 查看本机的IP地址

IP地址是每一台网络设备或主机在接入网络后被分配的一串标识符,具有唯一性。常用的IP地址为IPv4版本(IPv6是128位,本书中除非特别声明,否则均指IPv4),由32位二进制数组成,为了方便人们使用,采用点分十进制表示法表示,例如“192.168.0.2”、“202.152.128.56”等。

在操作系统中可以查看本机的IP地址,下面以Windows 7操作系统为例进行介绍。

01  在系统桌面上,使用鼠标右键单击“网络”图标,然后在弹出的快捷菜单中单击“属性”命令。

02  打开“网络和共享中心”窗口,在“查看活动网络”栏中单击要设置的网络连接名称,如“本地连接”。

03  在弹出的“本地连接状态”对话框中单击“属性”按钮。

04  弹出“本地连接属性”对话框,双击“此连接使用下列项目”列表框中的“Internet协议版本4(TCP/IPv4)”列表项。

05  在弹出的“Internet协议版本4(TCP/IPv4)属性”对话框中,选择“使用下面的IP地址”单选项,在文本框中依次输入本机的IP地址、子网掩码和默认网关,然后连续单击“确定”按钮保存设置即可。

小提示

电脑连入Internet时得到的IP地址是由网络运营商分配的。在局域网中,电脑的IP地址是由用户手动或路由器自动分配的。同一网络内,IP地址具有唯一性。例如在同一局域网内,如果本机的IP地址与某台电脑的设为一样时,会提示IP地址冲突。

例3 使用netstat命令查看端口

电脑上有很多的端口(65535个),这些端口大部分都是关闭的,每个网络连接都要占用一个端口。有些端口有特定的用途,例如,Web服务器要开80端口,FTP服务器要开21端口。这里的“端口”是指网络中面向连接服务和无连接服务的通信协议端口,这类端口也是黑客入侵电脑的主要途径之一。电脑中常用端口的功能如下表所示。

黑客在入侵成功后,通常需要为自己运行的木马打开一个端口,为自己以后回来留下后门。

很多电脑用户对系统中开启的端口并不了解,在需要关闭危险端口时显得不知所措,这时就需要想办法查看电脑中的端口。在Windows操作系统中,我们可以使用netstat命令来查看电脑中端口的状态,具体操作如下。

01  单击系统桌面左下角的“开始”按钮 ,在弹出的开始菜单的搜索框中执行“cmd”命令。

02  在弹出的命令提示符窗口中输入“netstat-a-n”命令,按下“Enter”键,然后在接着出现的界面中即可查看当前电脑中端口的状态。

小提示

“netstat”命令的用法:其后加“-a”表示显示所有活动的连接,以及计算机监听的TCP和UDP端口;加“-n”表示只以数字形式显示所有活动连接的地址和端口号;加“-o”标识显示活动连接并包括每个连接的进程ID;加“-s”表示按协议显示各种连接的统计信息,包括端口号。

例4 使用TCPView软件扫描端口

除了可以使用netstat命令查看端口外,还可以使用第三方软件来扫描系统中的端口,并通过扫描结果查看端口的状态。这里以TCPView端口查看器为例进行介绍。

01  在网上搜索并下载TCPView软件,然后根据提示进行安装,有些版本为绿色版,可直接运行,功能上没有差别。

02  启动TCPView软件,在主界面的网络连接显示框中会显示所有进程的网络连接,包括病毒建立的由内到外的连接,并且会实时显示这些连接的动态变化,以及详细的网络连接参数信息,包括进程名、本地地址和端口号以及远程地址等信息。由此可以分析出每个网络连接的使用情况。

03  在使用TCPView软件查看端口信息时,如果发现程序窗口中有不熟悉的进程名,并且这个进程名的连接数量非常多,变化频率也很快,这就说明这些连接很可能是病毒建立的恶意的由内到外的网络连接。为了防止病毒的蔓延和传播,应记录下病毒进程使用的本地端口号。

04  使用鼠标右键单击不明进程,在弹出的菜单中单击“结束进程”命令,结束病毒由内到外的网络连接,然后关闭前面记录下的端口即可(关闭端口的方法将在后面进行介绍)。

小提示

此外,QQ电脑管家、金山卫士、360安全卫士等安全辅助类软件都提供了网络监控查看功能,通过这类功能同样可以查看当前已建立的所有网络连接和已开启的端口。

例5 通过关闭系统服务来关闭端口

默认情况下,系统中开启了很多不安全的和无用的端口。这类端口通常都是与系统中的某些服务相对应的,关闭相应的服务也就关闭了与其对应的端口。在“开始”菜单的搜索框中执行“services.msc”命令,可在打开的窗口中查看系统服务的状态,根据各服务的描述可了解其对应的作用。

下面以关闭360杀毒全盘扫描辅助服务对应的57575端口为例,介绍关闭端口的方法,具体操作步骤如下。

01  在系统桌面左下角单击“开始”按钮,在“开始”菜单的搜索框中执行“services.msc”命令。

02  在打开的窗口中切换到“标准”视图模式,然后找到并双击“360杀毒全盘扫描辅助服务”项。

03  在打开的服务属性对话框中单击“启动类型”栏的下拉按钮,在弹出的菜单中单击“禁用”命令,然后单击“确定”按钮即可。

小提示

如果需要快速启动该服务,则在该对话框中单击“服务状态”栏的“启动”按钮即可。启动该服务后也可单击“停止”按钮来关闭服务。

例6 通过IP安全策略限制端口

除了可以通过关闭或禁用系统服务来关闭端口外,还可以通过设置IP安全策略来限制相应的端口,以阻止他人访问该端口,下面以限制3389端口为例进行介绍。

01  在系统桌面左下角单击“开始”按钮 ,在“开始”菜单的搜索框中执行“secpol.msc”命令。

02  打开“本地安全策略”窗口,单击左侧目录树中的“IP安全策略,在本地计算机”项,在右侧的空白处单击鼠标右键,然后在弹出的菜单中单击“创建IP安全策略”命令。

03  在弹出的对话框中单击“下一步”按钮。在接着打开的“IP安全策略名称”界面中根据提示设置策略名和策略信息,然后单击“下一步”按钮。

04  在打开的“安全通讯要求”界面单击“下一步”按钮。在接着打开的“正在完成IP安全策略向导”界面保持默认设置,单击“完成”按钮。

05  在弹出的对话框中取消勾选“使用‘添加向导’”复选框,然后单击“添加”按钮。在弹出的“新规则属性”对话框中单击“添加”按钮。

06  在弹出的“IP筛选器列表”对话框中取消勾选“使用‘添加向导’”复选框,然后单击“添加”按钮。

07  在弹出的对话框中单击对应的下拉按钮,将源地址设置为“任何IP地址”,将目标地址设置为“我的IP地址”,然后单击“确定”按钮。

08  在接着打开的对话框中单击“选择协议类型”栏的下拉按钮,将协议类型设置为“TCP”,然后在“设置IP协议端口”组合框中选中“从任意端口”单选项,在其下方再选中“到此端口”单选项,并在该选项下方的文本框中输入“3389”文本,然后单击“确定”按钮。

09  在返回的对话框中,如果读者需要添加其他限制端口,可单击“添加”按钮,按照上述方法继续添加,然后单击“确定”按钮。

10  在返回的“新规则属性”对话框中选中新添加的IP筛选器,然后切换到“筛选器操作”选项卡,取消勾选“使用‘添加向导’”复选框,然后单击“添加”按钮。

11  在弹出的“筛选器操作属性”对话框中选中“阻止”单选项,然后单击“确定”按钮。

12  返回到“新规则属性”对话框,选中“新筛选器操作”选项,然后单击“关闭”按钮。

13  返回到“限制3389端口属性”对话框,勾选新添加的IP筛选器列表,然后单击“确定”按钮。

14  在返回的“本地安全策略”窗口中,右键单击新建的IP安全策略,在弹出的菜单中单击“分配”命令(Windows XP系统中应单击“指派”命令),然后重启电脑即可。

1.2 熟悉系统中的进程

操作系统运行时,进程是无处不在的,只要有程序运行就有进程。病毒、木马等恶意程序也会以“进程”的形式来激活,因此经常被黑客利用。例如许多电脑病毒就是通过伪装成系统进程运行在电脑中,进而破坏电脑系统的。

例1 查看系统中运行的进程

在电脑正常运行时,系统中的进程主要包括系统守护进程和用户启动的程序进程(用户进程)。我们可以通过Windows任务管理器来查看系统中正在运行的进程,具体操作如下。

01  使用鼠标右键单击任务栏空白处,在弹出的菜单中单击“启动任务管理器”命令。

02  打开“Windows任务管理器”窗口后,切换到“进程”选项卡,即可看到当前系统中运行的进程,在“描述”栏可看到对应进程的介绍。

03  勾选“显示所有用户的进程”复选框,可以查看系统中所有正在运行的进程,包括系统守护进程。

小提示

同时按下“Ctrl+Shift+Esc”组合键可以快速打开“Windows任务管理器”窗口,使用Windows XP操作系统的读者同时按下“Ctrl+Alt+Delete”组合键也可打开任务管理器。

此外,可以通过“tasklist”命令查看系统进程。根据本书前面介绍的方法打开“命令提示符”窗口,在其中输入“tasklist”命令,然后按下“Enter”键即可。

例2 查看并关闭可疑的隐藏进程

一般情况下,通过Windows任务管理器就可以查看系统守护进程和用户进程。但现在很多病毒和木马会通过一些特殊手段来进行伪装和隐藏。此时就需要借助其他一些工具来进行查看,这里主要介绍通过使用“ECQ-PS”进程管理工具对隐藏进程进行查看和关闭,具体操作如下。

01  在网上下载“ECQ-PS”软件,然后启动其主程序,在打开的程序窗口中可以看到系统中所有的进程。双击某进程,可在右侧的窗格中看到该进程的详细信息。

02  在“ECQ-PS”软件窗口中,“类型”栏将显示进程的类型,对于一些不明的进程将显示为“可疑”类型,当确定其为危险程序时,可对其单击鼠标右键,然后在弹出的菜单中单击“强行结束进程”命令,关闭该进程。

例3 如何判断进程是否正常

对于一个普通电脑用户来说,想要完全了解系统进程是有难度的。但是,不了解系统进程又无法辨别病毒和木马进程,这让很多用户感到非常头疼。下面就来解决这个问题。

一般来说,刚装完操作系统时的进程是最干净的,很多用户也会通过重装系统来解决很多系统问题。我们可以在刚装完系统时将进程信息记录下来,待怀疑有恶意进程时再拿出记录来对比,就能大致筛选出可疑进程,具体方法如下。

01  系统安装完成后或者在电脑正常运行时,单击系统桌面左下角的“开始”按钮 ,然后在弹出的“开始”菜单中依次单击“所有程序”→“附件”→“系统工具”→“系统信息”菜单命令。

02  在打开的“系统信息”窗口中依次展开“软件环境”→“正在运行任务”目录,在右侧可以看到当前的进程信息,然后在菜单栏中依次单击“文件”→“导出”菜单命令。

03  在打开的“另存为”对话框中将进程信息另存为文本文件,然后单击“保存”按钮保存进程信息,待发现系统进程有异常时,打开该文本文件对比,然后关闭异常进程即可。

例4 关闭正在运行的进程

在查看系统进程的过程中,如果发现危险进程,应立即将其关闭。关闭进程的方法如下。

01  使用鼠标右键单击任务栏空白处,在弹出的菜单中单击“启动任务管理器”命令。

02  打开“Windows任务管理器”窗口后,切换到“进程”选项卡,选中要关闭的进程,然后单击“结束进程”按钮。

03  在弹出的对话框中单击“结束进程”按钮即可。

小提示

系统进程关联着系统的正常运行,如果误删了有用的进程,很可能导致系统出错。

例5 哪些进程不能随意关闭

系统的正常运行需要一些进程的支持,这些进程就是系统守护进程。如果强制关闭这类进程,可能导致系统无法正常运行。例如,如果误删了Explorer.exe进程就会导致Windows图形界面无法使用,鼠标也没有反应。建议电脑初学者在不了解的情况下不要轻易关闭进程。

下面列举一些Windows 7操作系统正常运行时需要的进程。

在查看进程时应该仔细一些。有些病毒会伪装成系统进程,例如svchost.exe进程可能是名为“W32.Welchia.Worm”的蠕虫病毒。如果没有及时发现,可能造成无法估计的损失。

例6 如何查杀顽固的病毒进程

在“Windows任务管理器”窗口中,某些病毒进程是无法使用选中后单击“结束进程”按钮来关闭的,此时就需要通过特殊的命令来执行关闭操作。顽固的病毒进程可以使用“taskkill”命令+PID值来关闭,具体操作如下。

01  按“Ctrl+Shift+Esc”组合键,打开Windows任务管理器,在窗口中依次单击“查看”→“选择列”菜单命令。

02  在弹出的对话框中勾选“PID(进程标识符)”复选项,单击“确定”按钮,然后在返回的对话框中记录下可疑进程的PID值。

03  打开“命令提示符”窗口,在其中执行“taskkill/pid xxx(进程PID值)”命令,即可将对应的进程关闭。

此外,在使用“tasklist”命令查看系统进程时,也可以看到进程的PID值,记录需要关闭进程对应的PID值,然后在“命令提示符”窗口中执行“taskkill/pid xxx”命令(xxx表示进程对应的PID值)即可关闭对应的进程,例如,要关闭“QQ伴侣.exe”进程,而其对应的PID值为2660,则在“命令提示符”窗口中执行taskkill/pid 2660命令即可。

小提示

在“Windows任务管理器”窗口中记录下病毒程序的进程名。直接在“命令提示符”窗口中执行“taskkill/im xxx(进程名称)”,也可以关闭对应的进程。

例7 怎样查看进程起始程序

在Windows任务管理器中关闭可疑进程,只是暂时终止该程序的运行,并不能将该程序彻底从电脑中清除,“治标不治本”。要想除去电脑的安全隐患,还必须查找出危险进程的起始程序。在Windows 7和Windows XP系统中查看进程起始程序的方法有所不同,下面分别进行介绍。

1.在Windows 7中查看

在Windows 7系统中,我们可以使用Windows任务管理器来查看危险进程的起始程序,具体操作如下。

01  按下“Ctrl+Shift+Esc”组合键打开Windows任务管理器,切换到“性能”选项卡,然后单击“资源监视器”按钮。

02  打开“资源监视器”窗口,在“映像”列表框中勾选需要查看起始程序的进程,在下方展开“磁盘”栏,即可查看该进程的相关信息,“文件”列中会显示该进程的起始位置。

2.在Windows XP中查看

在Windows XP系统中,我们可以通过使用“Netstat-abnov”命令来查看危险进程的起始程序:在开始菜单中单击“运行”命令,在弹出的“运行”对话框中输入“cmd”命令。在接着弹出的“命令提示符”窗口中输入“Netstat-abnov”命令,按下“Enter”键,在下方会显示出当前进程的详细信息,用户可根据这些信息查看进程对应的起始位置。

例8 如何查看他人电脑中的进程

查看他人电脑中的系统进程又叫查看远程进程,这也是黑客的基本功。查看远程进程的方法如下。

01  单击系统桌面左下角的“开始”按钮 ,在弹出的开始菜单的搜索框中执行“cmd”命令。

02  在打开的“命令提示符”窗口中输入如下命令“tasklist/s 192.168.1.20/u Administrator/p 000”,然后按下“Enter”键,即可显示远程电脑中运行的进程。

小提示

在上述输入的命令中“/s”参数后的“192.168.1.20”是要查看进程的远程电脑的IP地址;“/u”参数后面的“Administrator”是使用“tasklist”命令的用户账户;“/p”参数后的“000”是“Administrator”账户的登录密码。黑客通过远程电脑的进程列表,就可以判断出自己植入的木马程序是否正常运行,进而进行其他入侵操作。

例9 如何新建系统进程

如果支持系统正常运行的进程一旦被强制关闭,很可能导致系统无法正常工作,此时我们应该根据实际情况新建被误关闭的进程。下面以新建“explorer.exe”进程为例,介绍新建进程的方法。

01  按下“Ctrl+Shift+Esc”组合键打开Windows任务管理器,在窗口中依次单击“文件”→“新建任务(运行…)”菜单命令。

02  在弹出的“创建新任务”对话框中,在“打开”文本框中输入要新建的进程,本例输入“Explorer.exe”,然后单击“确定”按钮即可。