第一篇：攻擊網站

如何攻擊網站（圖文）

說起流光、溯雪、亂刀，可以說是大名鼎鼎無人不知無人不曉，這些都是小榕哥的作品。每次一提起小榕哥來，我的崇拜景仰就如滔滔江水，連綿不絕~~~~（又來了！）讓我們崇拜的小榕哥最新又發(fā)布了SQL注入工具，這回喜歡利用SQL注入入侵網站的黑友們有福了。小榕哥的工具就是強！偶用它來搞定我們本地的信息港，從尋找注入漏洞到注入攻擊成功，通過準確計時，總共只用了3分還差40秒，呵呵，王者風范，就是強??！不信嗎？看看我的入侵過程吧。

一、下載榕哥的工具包是用來掃描某個站點中是否存在SQL注入漏洞的；“wed.exe”則是用來破解SQL注入用戶名密碼的。兩個工具的使用都非常簡單，結合起來，就可以完成從尋找注入點到注入攻擊完成的整個過程。

二、尋找SQL注入點

小提示：在輸入網址時，前面的“http://”;和最后面的“/”是必不可少的，否則將會提示無法進行掃描。

輸入完畢后回車，即可開始進行掃描了。很快得到了掃描結果，可以看到這個網站中存在著很多SQL注入漏洞（如圖2），我們隨便挑其中一個來做試驗，就挑“/rjz/sort.asp?classid=1”吧。

打開瀏覽器，在地

正想著手工注入會有多困難時，“wed.exe”程序已經開始了用戶名和密碼的破解。很快的，就得到了用戶名和密碼了——“admina”、“pbk&7*8r”（如圖6）！天啦，這也太容易了吧！還不到一分鐘呢

四、搜索隱藏的管理登錄頁面

重新回到剛才的軟件下載頁面中，任意點擊了一個軟件下載鏈接，哎呀？怎么可以隨便下載的呢！不像以前碰到的收費網站，要輸入用戶名和密碼才可以下載。看來這是免費下載的網站，我猜錯了攻擊對象，不過既然都來了，就看看有沒有什么可利用的吧？

拿到了管理員的帳號，現(xiàn)在看來我們只有找到管理員登錄管理的入口才行了。在網頁上找遍了也沒有看到什么管理員的入口鏈接，看來還是得讓榕哥出手啦！

再次拿出“wis.exe”程序，這個程序除了可以掃描出網站中存在的所有SQL注入點外，還可以找到隱藏的管理員登錄頁面。在命令窗口中輸入“wis.exe http://004km.cn/rjz/sort.asp?classid=1/ /a”（如圖7）。注意這里輸入了一個隱藏的參數(shù)“/a”。

怎么會掃描不成功呢？呵呵，原來這是掃描注入點，當然不能成功了，管理員登錄頁面只可能隱藏在整個網站的某個路徑下。于是輸入“wis.exe http://004km.cn/ /a”，對整個網站進行掃描。注意掃描語句中網址的格式。程序開始對網站中的登錄頁面進行掃描，在掃描過程中，找到的隱藏登錄頁面會在屏幕上以紅色進行顯示。很快就查找完了，在最后以列表顯示在命令窗口中?？梢钥吹搅斜碇杏卸鄠€以“/rjz/”開頭的登錄頁面網址，包括“/rjz/gl/manage.asp”、“/rjz/gl/login.asp”、“/rjz/gl/admin1.asp”等。就挑“/rjz/gl/admin1.asp”吧，反正這些都是管理員登錄的頁面想用哪個都可以。

在瀏覽器中輸入網址“ http://004km.cn/rjz/gl/admin1.asp”，呵呵，出現(xiàn)了本來隱藏著的管理員登錄頁面（如圖8）。輸入用戶名和密碼，就進入到后臺管理系統(tǒng)，進來了做些什么呢？當然不能搞破壞啦，看到有一個添加公告的地方，好啊，就在這兒給管理員留下一點小小的通知吧！

看看最后我更改過的主頁，冰河洗劍的大名留在了信息港上（如圖9），不過可沒有破壞什么東西??！我和網頁管理員也是朋友，他會原諒我這個小小的玩笑吧！

第二篇：黑客演示網站掛馬攻擊案例

通過本案例可以學到：(1)了解網站掛馬

(2)在網站首頁利用IE漏洞掛馬

網站掛馬攻擊主要是指入侵者在入侵成功后修改了網站的某一些或者全部的網頁文件，如果網站存在SQL注入漏洞，則比較容易取得一定的權限。如果在服務器上對網站目錄等做了較嚴格的權限限制，也是比較容易取得Webshell權限，具有Webshell權限可以對網頁文件進行修改，而掛馬就是在網頁中加入一些代碼。這些代碼往往是利用瀏覽器或者應用程序的漏洞，瀏覽者在訪問這些網頁時，往往會在不知不覺中去下載一些木馬程序來執(zhí)行。網站掛馬的原理就是設置框架網頁的寬度和高度為0，將一些惡意網頁隱藏起來，用戶訪問網站時不容易覺察。目前在網絡上有很多網頁木馬生成器，簡稱“網馬生成器”，本案例以“Ms-0733網馬生成器”為例，來講解如何進行網站掛馬攻擊。

步驟一 配置網頁木馬。在使用“Ms-0733網馬生成器”配置前需要準備好一款已經配置好的木馬服務端，然后直接運行“Ms-0733網馬生成器”在網馬地址中輸入“http://127.0.0.0/test.exe”，如圖1所示，然后單擊“生成木馬”即可生成一網頁文件HACKLL.HTM。

圖1配置Ms-0733網馬生成器

步驟二 修改網站網頁文件。在網站首頁文件index.asp中加入已經配置好的網頁木馬htm文件，一般通過在頁面中加入“ ”來實現(xiàn)，如圖2所示。

圖2加入木馬代碼到正常網頁

網頁木馬利用的是IE瀏覽器存在的漏洞，其網頁木馬最本質的東西有兩個一個是腳本，另外一個是真正的木馬服務端，利用腳本來直接執(zhí)行木馬服務端或者通過下載者來下載木馬服務端然后再執(zhí)行。其網頁木馬文件中多是一些JavaScript代碼，如圖3所示。

圖3網頁木馬源代碼

測試網頁木馬是否能夠正常執(zhí)行。在未安裝微軟的MS0733補丁程序的虛擬機中打開瀏覽器，并在其中輸入網頁木馬的地址，一會兒后，在控制端就看見肉雞上線了。大量傳播網頁木馬。網頁木馬測試成功以后，就可以將其配置好的網頁木馬放入一些提供Web服務的肉雞上，只要訪問者的系統(tǒng)未安裝其網頁木馬利用的漏洞，如果系統(tǒng)未安裝任何對網頁木馬進行防御的軟件，則計算機感染網頁木馬的幾率非常大。J技巧

直接在網站進行“掛馬”攻擊，被攻擊的對象只能是存在安全漏洞的計算機，且攻擊時間不宜太長，否則極易被殺毒軟件查殺。小結

本案例講解了如何來進行網站掛馬攻擊，網站掛馬攻擊相對簡單，先配置好一個木馬服務端，然后直接配置網馬生成器，配置完畢后將木馬服務端和網頁木馬文件一起上傳到服務器上，通過將網頁木馬文件加入到正常的網頁文件中，當用戶訪問這些被修改的網頁時，系統(tǒng)就會自動下載木馬程序并執(zhí)行，從而達到攻擊的目的。不過目前一些主動防御軟件能夠檢網頁木馬，因此在進行網站掛馬攻擊時，需要對網頁木馬進行加密以及防查殺處理。

第三篇：DDoS攻擊以及防范措施

DDoS攻擊以及防范措施.txt舉得起放得下叫舉重，舉得起放不下叫負重。頭要有勇氣，抬頭要有底氣。學習要加，驕傲要減，機會要乘，懶惰要除。人生三難題：思，相思，單相思?；A知識 認識了解DDoS攻擊以及防范措施2008年02月21日 星期四 12:07

商業(yè)利益的驅使，促成DDOS攻擊不斷

隨著Internet互聯(lián)網絡帶寬的增加和多種DDOS黑客工具的不斷發(fā)布，DDOS拒絕服務攻擊的實施越來越容易，DDOS攻擊事件正在成上升趨勢。

在我國，DDOS攻擊多數(shù)來自美國，占39％，而中國是拒絕服務攻擊的主要目標，占63%。這是亞太及日本地區(qū)互聯(lián)網安全威脅報告中的一部分數(shù)據(jù)。中國成為DDoS攻擊的主要目標。據(jù)介紹，凡是能導致合法用戶不能夠訪問正常網絡服務的行為都屬“拒絕服務攻擊”。出于商業(yè)競爭、打擊報復和網絡敲詐等多種因素，導致很多IDC托管機房、商業(yè)站點、游戲服務器、聊天網絡等網絡服務商長期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決DDOS攻擊問題成為網絡服務商必須考慮的頭等大事。

到底什么是DDOS？你被DDOS了嗎？

DDOS是英文Distributed Denial of Service的縮寫，意即“分布式拒絕服務”，那么什么又是拒絕服務（Denial of Service）呢？可以這么理解，凡是能導致合法用戶不能夠訪問正常網絡服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。

雖然同樣是拒絕服務攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務，分布式拒絕服務攻擊一旦被實施，攻擊網絡包就會猶如洪水般涌向受害主機，從而把合法用戶的網絡包淹沒，導致合法用戶無法正常訪問服務器的網絡資源，因此，拒絕服務攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側重于通過對主機特定漏洞的利用攻擊導致網絡棧失效、系統(tǒng)崩潰、主機死機而無法提供正常的網絡服務功能，從而造成拒絕服務，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防范，至于DOS攻擊，通過給主機服務器打補丁或安裝防火墻軟件就可以很好地防范，后文會詳細介紹怎么對付DDOS攻擊。

DDOS的表現(xiàn)形式

DDOS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導致網絡帶寬被阻塞，合法網絡包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務。

如何判斷網站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到服務器主機之間的ICMP協(xié)議沒有被路由器和防火墻等設備屏蔽，否則可采取Telnet主機服務器的網絡服務端口來測試，效果是一樣的。不過有一

點可以肯定，假如平時Ping你的主機服務器和接在同一交換機上的主機服務器都是正常的，突然都Ping不通了或者是嚴重丟包，那么假如可以排除網絡故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠程終端連接網站服務器會失敗。

相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發(fā)現(xiàn)突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務器上用Netstat-na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的服務器則正常，造成這種原因是網站主機遭受攻擊后導致系統(tǒng)內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。

當前主要有三種流行的DDOS攻擊：

1、SYN/ACK Flood攻擊：這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統(tǒng)的網絡服務，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務，由于源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務器無法訪問，但卻可以Ping的通，在服務器上用Netstat-na

命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應鍵盤和鼠標。普通防火墻大多無法抵御此種攻擊。

2、TCP全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對于正常的TCP連接是放過的，殊不知很多網絡服務程序（如：IIS、Apache等Web服務器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量 的TCP連接，直到服務器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。

3、刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網站系統(tǒng)而設計的，特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數(shù)據(jù)庫服務器很少能支持數(shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令，只需數(shù)分鐘就會把服務器資源消耗掉而導致拒絕服務，常見的現(xiàn)象就是網站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態(tài)頁面的網站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。

完全抵御住DDOS攻擊是不可能的

對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產品防住DDOS是不現(xiàn)實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。

以下幾點是防御DDOS攻擊幾點:

1、采用高性能的網絡設備

首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、充足的網絡帶寬保證

網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。

但需要注意的是，主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

3、安裝專業(yè)抗DDOS防火墻

專業(yè)抗DDOS防火墻采用內核提前過濾技術、反向探測技術、指紋識別技術等多項專利技術來發(fā)現(xiàn)和提前過濾DDoS非法數(shù)據(jù)包，做到了智能抵御用戶的DoS攻擊。但也不能100％阻止對DDoS非法數(shù)據(jù)包準確檢查。

DoS（Denial of Service拒絕服務）和DDoS（Distributed Denial of Service分布式拒絕服務）攻擊是大型網站和網絡服務器的安全威脅之一，2000年2月，Yahoo、亞馬遜、CNN被攻擊等事例，曾被刻在重大安全事件的歷史中。

第四篇：網絡攻擊研究和檢測

[摘 要] 隨著計算機技術的不斷發(fā)展，網絡安全問題變得越來越受人關注。而了解網絡攻擊的方法和技術對于維護網絡安全有著重要的意義。本文對網絡攻擊的一般步驟做一個總結和提煉，針對各個步驟提出了相關檢測的方法。

[關鍵詞] 掃描 權限 后門

信息網絡和安全體系是信息化健康發(fā)展的基礎和保障。但是，隨著信息化應用的深入、認識的提高和技術的發(fā)展，現(xiàn)有信息網絡系統(tǒng)的安全性建設已提上工作日程。

入侵攻擊有關方法，主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網絡管理中有關知識和經驗，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進行分析后，我們可以找到在攻擊發(fā)生時數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來檢測攻擊的思路

掃描時,攻擊者首先需要自己構造用來掃描的Ip數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準確地檢測到系統(tǒng)遭受了網絡掃描。考慮下面幾種思路：

1.特征匹配。找到掃描攻擊時數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過分析網絡信息包中是否含有端口掃描特征的數(shù)據(jù)，來檢測端口掃描的存在。如UDp端口掃描嘗試：content:“sUDp”等等。

2.統(tǒng)計分析。預先定義一個時間段，在這個時間段內如發(fā)現(xiàn)了超過某一預定值的連接次數(shù)，認為是端口掃描。

3.系統(tǒng)分析。若攻擊者對同一主機使用緩慢的分布式掃描方法，間隔時間足夠讓入侵檢測系統(tǒng)忽略，不按順序掃描整個網段，將探測步驟分散在幾個會話中，不導致系統(tǒng)或網絡出現(xiàn)明顯異常，不導致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過上面的簡單的統(tǒng)計分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱秘的，若能對收集到的長期數(shù)據(jù)進行系統(tǒng)分析，可以檢測出緩慢和分布式的掃描。

二、檢測本地權限攻擊的思路

行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。

1.行為監(jiān)測法。由于溢出程序有些行為在正常程序中比較罕見，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，如果符合現(xiàn)有的條件規(guī)則就認為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實現(xiàn)起來有一定難度，不容易考慮周全。行為監(jiān)測法從以下方面進行有效地監(jiān)測:一是監(jiān)控內存活動，跟蹤內存容量的異常變化，對中斷向量進行監(jiān)控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。監(jiān)測敏感目錄和敏感類型的文件。對來自www服務的腳本執(zhí)行目錄、ftp服務目錄等敏感目錄的可執(zhí)行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務程序的命令的執(zhí)行。對數(shù)據(jù)庫服務程序的有關接口進行控制,防止通過系統(tǒng)服務程序進行的權限提升。監(jiān)測注冊表的訪問，采用特征碼檢測的方法，阻止木馬和攻擊程序的運行。

2.文件完備性檢查。對系統(tǒng)文件和常用庫文件做定期的完備性檢查?？梢圆捎胏hecksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

3.系統(tǒng)快照對比檢查。對系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)，環(huán)境變量做先驗快照，檢測對這些系統(tǒng)變量的訪問，防止篡改導向攻擊。

4.虛擬機技術。通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內存，能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉等和正常計算機程序不一樣的地方，再結合特征碼掃描法，將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中，完成對一個特定攻擊行為的判定。

虛擬機技術仍然與傳統(tǒng)技術相結合，并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態(tài)分析進入了動態(tài)和靜態(tài)分析相結合的境界，在一個階段里面，極大地提高了已知攻擊和未知攻擊的檢測水平，以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內，虛擬機在合理的完整性、技術技巧等方面都會有相當?shù)倪M展。目前國際上公認的、并已經實現(xiàn)的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。

三、后門留置檢測的常用技術

1.對比檢測法。檢測后門時，重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網絡的主機上駐留時,為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施，因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗和的方式進行生成。

3.系統(tǒng)資源監(jiān)測法。系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機系統(tǒng)資源的方式來檢測木馬程序異常行為的技術。由于黑客需要利用木馬程序進行信息搜集，以及滲透攻擊，木馬程序必然會使用主機的一部分資源，因此通過對主機資源(例如網絡、CpU、內存、磁盤、USB存儲設備和注冊表等資源)進行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

4.協(xié)議分析法。協(xié)議分析法是指參照某種標準的網絡協(xié)議對所監(jiān)聽的網絡會話進行對比分析，從而判斷該網絡會話是否為非法木馬會話的技術。利用協(xié)議分析法能夠檢測出采取了端口復用技術進行端口隱藏的木馬。

第五篇：辯論賽攻擊的技巧

攻擊的技巧

(1）設置兩難。即設置兩難的問題，無論對方怎么回答都會落入設下的圈套。但要把握好辯題，不要偏離主題。

（2）主動引申。即將對方的某個事實、某句話加以擴大化的引申，為本方贏得主動，并使對方陷入被動之中。

（3）以矛攻盾。即將對方論點和論據(jù)間的矛盾，抓住對方隊員隊員與隊員之間的矛盾，并連續(xù)追擊迫使對方緊緊跟隨本方牽著對方打。

（4）簡問深涵。即問題很簡單，但涵義很深刻，與辯題密切相關。一定要以最精煉的語言問出最深刻的問題。使對方無法快速回答，在氣勢上壓倒對方。

（5）熟事新提。人往往對于身邊、自身很熟悉的事物卻不經意，或非常熟悉卻只知道大概卻不明白它的詳細。一般對這類事情提問，也很容易讓對方陷入被動。

（6）多方追問。即從幾個方向、幾個側面、幾個層次上同時問一類問題。但是要注意的是，這類問題必須對準一個核心，即辯論的主要立場和觀點，以造成合圍的陣勢，使對方沒有招架的能力，更沒有回手的能力。

（7）夾擊發(fā)問。即兩個回多個人同時問同一類或一個問題，造成夾擊態(tài)勢，使對方顧此失彼。

（8）問題同異。即面對同一個問題，以不同的角度提問，使對方難以自圓其說，應接不暇。

（9）異題同問。抓住對方的不同問題、不同表述加以歸納，概總而問，從問題的深度與高度上使其無法把握，無力應答。

（10）反復逼問。對本方提出的對方非答不可的問題，對方閃避了，就可以反復逼問，但是一般不能超過三次，不可以無限發(fā)問，那樣反會造成無題可問、或令聽眾厭煩的負面效果。

（11）同義反復。即同一個問題，用不同的語言方式（或角度不同，或問語不同）發(fā)問。這類問題，多為辯論的主要立場、觀點方面的問題。

（12）激情提問。即用心理暗示的手段，直擊對方情緒層，使其激動，引發(fā)情緒連動，從而淹沒對方的理智。但是要注意不能進行人身攻擊，也不要胡攪蠻纏。

（13）布陷發(fā)問。也就是布置一個陷阱，讓對方來鉆，使用連環(huán)的技巧是對方一步一步走進陷阱。

（14）長抽短吊。即忽然提這樣的問題忽然又提那樣的問題，不離辯題卻又忽東忽西，用跳躍性的思維來打斷對手的節(jié)奏。

（15）充分煽情。在提問或回答的時候盡量以幽默詼諧的方式引起公公的共鳴，所謂內行看門道，外行看熱鬧。充分調動觀眾，在氣勢上打壓對方。