MS07-004通用溢出方法补完
[ 2007-03-25 03:02:06 | 作者: sun ]
本文以ms07-004为例子,探讨了此类漏洞的通用方法,恢复ie方法,以及heap spray的技术。
抛砖引玉!
by axis
Date: 2007-02-13
Email: axis_at_ph4nt0m.org
MS07-004出来也有段时间了,我之前写过一个分析的paper,并且针对此发布了一个POC。
事实上,因为我们可以控制指向内存中的地址为0x00xxxxxx,除了第一个字节是00无法控制外,后面三个字节都是可以控制的,这样其实我们就有了一个很大范围的选择。
很多人为了通用而头疼,这里我针对这个exp给出一个通用地址。
因为这个漏洞比较特殊,所以可能这个地址只能适用于这一个地址。
0x00420001
00420000 00 00 00 00 00 00 00 00 00 00 01 00 48 1B DD BB ...........H莼
00420010 00 00 00 00 0C 00 01 00 C8 9A F2 E1 08 EA A4 E1 .......葰蜥辘
注意0x00420011的地方是0c
而在漏洞中利用的指针是 call [ecx+10h]
所以覆盖的地址需要减去10h
而这个0x00420011的地址,是和ie有关的,在目前所有的windows平台,不论语言和版本,以及所有的ie版本中,都是固定不变的为0c
所以我们利用了这个地址,就变成了call 0x00420011
就跑去0x0c000000去执行代码去了
而这个时候,堆里已经被我们heap spray过了,所以代码就会一直执行到我们的shellcode去。
这里选用0c的好处是因为双字节指令,非常方便用来做heap spray。
其实这类ie漏洞,主要的问题有几个
1.通用性 (上面已经解决了)
2.稳定性 (触发漏洞概率) ms07-004这个的稳定性我觉得还是不错的
3.不挂ie
关于这点可能要详细说一下, 之前以为只要单纯的恢复栈平衡就可以了,事实上恢复了栈平衡是没用的,因为这是个堆溢出,覆盖了堆内的指针,而堆已经被我们破坏干净了,所以后面总会在某个dll里出错。而栈本来就是平衡的,也不需要恢复。
所以这类漏洞,要达到不挂ie的效果(我说的是不挂ie,不是让ie僵死),就需要恢复堆。与牛人讨论后,得到两种方法:一个是hook RtlCreateHeap, hook RtlAllocHeap 重新分配个堆;另一个方法是:hook RtlFreeHeap不让挂掉就可以了。或者大家还有什么别的好方法,欢迎补充。
4.健壮性
由于是堆溢出,所以对于访问了多网页,内存中0x0c0c0c0c处已经被别的东西占用了,所以运行不到shellcode去,也是这个漏洞为什么不好的原因。
这个问题属于这类漏洞的先天缺陷。swan曾经提出用内存空洞的办法把堆地址推到内存高位去,可是我试过发现行不通。luoluo提出来用java分配内存,做heap spray。这个是个可行的方法,并且也已经poc实现了,分配的内存在0x21xxxxxx附近,而0x24这个指令又非常好,可以做heap spray。
ms07-004除了最后一点多网页的我问题没解决,其他都已经解决了,包括bypass firewall。poc代码不方便给出来,本文就到此为止。
抛砖引玉!
by axis
Date: 2007-02-13
Email: axis_at_ph4nt0m.org
MS07-004出来也有段时间了,我之前写过一个分析的paper,并且针对此发布了一个POC。
事实上,因为我们可以控制指向内存中的地址为0x00xxxxxx,除了第一个字节是00无法控制外,后面三个字节都是可以控制的,这样其实我们就有了一个很大范围的选择。
很多人为了通用而头疼,这里我针对这个exp给出一个通用地址。
因为这个漏洞比较特殊,所以可能这个地址只能适用于这一个地址。
0x00420001
00420000 00 00 00 00 00 00 00 00 00 00 01 00 48 1B DD BB ...........H莼
00420010 00 00 00 00 0C 00 01 00 C8 9A F2 E1 08 EA A4 E1 .......葰蜥辘
注意0x00420011的地方是0c
而在漏洞中利用的指针是 call [ecx+10h]
所以覆盖的地址需要减去10h
而这个0x00420011的地址,是和ie有关的,在目前所有的windows平台,不论语言和版本,以及所有的ie版本中,都是固定不变的为0c
所以我们利用了这个地址,就变成了call 0x00420011
就跑去0x0c000000去执行代码去了
而这个时候,堆里已经被我们heap spray过了,所以代码就会一直执行到我们的shellcode去。
这里选用0c的好处是因为双字节指令,非常方便用来做heap spray。
其实这类ie漏洞,主要的问题有几个
1.通用性 (上面已经解决了)
2.稳定性 (触发漏洞概率) ms07-004这个的稳定性我觉得还是不错的
3.不挂ie
关于这点可能要详细说一下, 之前以为只要单纯的恢复栈平衡就可以了,事实上恢复了栈平衡是没用的,因为这是个堆溢出,覆盖了堆内的指针,而堆已经被我们破坏干净了,所以后面总会在某个dll里出错。而栈本来就是平衡的,也不需要恢复。
所以这类漏洞,要达到不挂ie的效果(我说的是不挂ie,不是让ie僵死),就需要恢复堆。与牛人讨论后,得到两种方法:一个是hook RtlCreateHeap, hook RtlAllocHeap 重新分配个堆;另一个方法是:hook RtlFreeHeap不让挂掉就可以了。或者大家还有什么别的好方法,欢迎补充。
4.健壮性
由于是堆溢出,所以对于访问了多网页,内存中0x0c0c0c0c处已经被别的东西占用了,所以运行不到shellcode去,也是这个漏洞为什么不好的原因。
这个问题属于这类漏洞的先天缺陷。swan曾经提出用内存空洞的办法把堆地址推到内存高位去,可是我试过发现行不通。luoluo提出来用java分配内存,做heap spray。这个是个可行的方法,并且也已经poc实现了,分配的内存在0x21xxxxxx附近,而0x24这个指令又非常好,可以做heap spray。
ms07-004除了最后一点多网页的我问题没解决,其他都已经解决了,包括bypass firewall。poc代码不方便给出来,本文就到此为止。
使用杀毒软件的十大误区
[ 2007-03-25 03:01:54 | 作者: sun ]
几乎每个用电脑的人都遇到过计算机病毒,也使用过杀毒软件。但是,对病毒和杀毒软件的认识许多人还存在误区。杀毒软件不是万能的,但也绝不是废物。撰写此文的目的就是让更多的人能够对杀毒软件有正确的认识,更合理地使用杀毒软件。
误区一:好的杀毒软件可以查杀所有的病毒
许多人认为杀毒软件可以查杀所有的已知和未知病毒,这是不正确的。对于一个病毒,杀毒软件厂商首先要先将其截获,然后进行分析,提取病毒特征,测试,然后升级给用户使用。
虽然,目前许多杀毒软件厂商都在不断努力查杀未知病毒,有些厂商甚至宣称可以100%杀未知病毒。不幸的是,经过专家论证这是不可能的。杀毒软件厂商只能尽可能地去发现更多的未知病毒,但还远远达不到100%的标准。
甚至,至于一些已知病毒,比如覆盖型病毒。由于病毒本身就将原有的系统文件覆盖了。因此,即使杀毒软件将病毒杀死也不能恢复操作系统的正常运行。
误区二:杀毒软件是专门查杀病毒的,木马专杀才是专门杀木马的
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。随着信息安全技术的不断发展,病毒的定义已经被扩大化。
随着技术的不断发展,计算机病毒的定义已经被广义化,它大致包含:引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本、恶意程序、键盘记录器、黑客工具等等。
可以看出木马是病毒的一个子集,杀毒软件完全可以将其查杀。从杀毒软件角度讲,清除木马和清除蠕虫没有配制的区别,甚至查杀木马比清除文件型病毒更简单。因此,没有必要单独安装木马查杀软件。
误区三:我的机器没重要数据,有病毒重装系统,不用杀毒软件
许多电脑用户,特别是一些网络游戏玩家,认为自己的计算机上没有重要的文件。计算机感染病毒,直接格式化重新安装操作系统就万事大吉,不用安装杀毒软件。这种观点是不正确的。
几年前,病毒编写者撰写病毒主要是为了寻找乐趣或是证明自己。这些病毒往往采用高超的编写技术,有着明显的发作特征(比如某月某日发作,删除所有文件等等)。
但是,近几年的病毒已经发生了巨大的变化,病毒编写者以获取经济利益为目的。病毒没有明显的特征,不会删除用户计算机上的数据。但是,它们会在后台悄悄运行,盗取游戏玩家的账号信息、QQ密码甚至是银行卡的账号。由于这些病毒可以直接给用户带来经济损失。对于个人用户来说,它的危害性比传统的病毒更大。
对于此种病毒,往往发现感染病毒时,用户的账号信息就已经被盗用。即使格式化计算机重新安装系统,被盗的账号也找不回来了。误区四:查毒速度快的杀毒软件才好
不少人都认为,查毒速度快的杀毒软件才是最好的。甚至不少媒体进行杀毒软件评测时都将查杀速度作为重要指标之一。不可否认,目前各个杀毒软件厂商都在不断努力改进杀毒软件引擎,以达到更高的查杀速度。但仅仅以查毒速度快慢来评价杀毒软件的好坏是片面的。
杀毒软件查毒速度的快慢主要与引擎和病毒特征有关。举个例子,一款杀毒软件可以查杀10万个病毒,另一款杀毒软件只能查杀100个病毒。杀毒软件查毒时需要对每一条记录进行匹配,因此查杀100个病毒的杀毒软件速度肯定会更快些。
一个好的杀毒软件引擎需要对文件进行分析、脱壳甚至虚拟执行,这些操作都需要耗费一定的时间。而有些杀毒软件的引擎比较简单,对文件不做过多的分析,只进行特征匹配。这种杀毒软件的查毒速度也很快,但它却有可能会漏查比较多的病毒。
由此可见,虽然提高杀毒速度是各个厂商不断努力奋斗的目标,但仅从查毒速度快慢来衡量杀毒软件好坏是不科学的。
误区五:杀毒软件不管正版盗版,随便装一个能用的就行
目前,有很多人机器上安装着盗版的杀毒软件,他们认为只要装上杀毒软件就万无一失了,这种观点是不正确的。杀毒软件与其他软件不太一样,杀毒软件需要经常不断升级才能够查杀最新最流行的病毒。
此外,大多数盗版杀毒软件都在破解过程中或多或少地损坏了一些数据,造成某些关键功能无法使用,系统不稳定或杀毒软件对某些病毒漏查漏杀等等。更有一些居心不良的破解者,直接在破解的杀毒软件中捆绑了病毒、木马或者后门程序等,给用户带来不必要的麻烦。
杀毒软件买的是服务,只要正版的杀毒软件,才能得到持续不断的升级和售后服务。同时,如果盗版软件用户真的遇到无法解决的问题也不能享受和正版软件用户一样的售后服务,使用盗版软件看似占了便宜,实际得不偿失。
误区六:根据任务管理器中的内存占用判断杀毒软件的资源占用
很多人,包括一些媒体进行杀毒软件评测,都用Windows自带的任务管理器来查看杀毒软件的内存占用,进而判断一款杀毒软件的资源占用情况,这是值得商榷的。
不同杀毒软件的功能不尽相同,比如一款优秀的杀毒软件有注册表、漏洞攻击、邮件发送、接收、网页、引导区、内存等监控系统。比起只有文件监控的杀毒软件,内存占用肯定会更多,但却提供了更全面的安全防护。
同时,也有一小部分杀毒软件厂商为了对付评测,故意在程序中限定杀毒软件可占用内存数的大小,使这些数值看上去很小,一般在100KB甚至几十KB左右。实际上,内存占用虽然小了,但杀毒软件却要频繁的进行硬盘读写,反倒降低了软件的运行效率。误区七:只要不用软盘,不乱下东西就不会中毒
目前,计算机病毒的传播有很多途径。它们可以通过软盘、U盘、移动硬盘、局域网、文件,甚至是系统漏洞等进行传播。一台存在漏洞的计算机,只要连入互联网,即使不做任何操作,都会被病毒感染。
因此,仅仅从使用计算机的习惯上来防范计算机病毒难度很大,一定要配合杀毒软件进行整体防护。
误区八:杀毒软件应该至少装三个才能保障系统安全
尽管杀毒软件的开发厂商不同,宣称使用的技术不同,但他们的实现原理却可能是相似或相同的。同时开启多个杀毒软件的实时监控程序很可能会产生冲突,比如多个病毒防火墙同时争抢一个文件进行扫描。安装有多种杀毒软件的计算机往往运行速度缓慢并且很不稳定,因此,我们并不推荐一般用户安装多个杀毒软件,即使真的要同时安装,也不要同时开启它们的实时监控程序(病毒防火墙)。
误区九:杀毒软件和个人防火墙装一个就行了
许多人把杀毒软件的实时监控程序认为是防火墙,确实有一些杀毒软件将实时监控称为“病毒防火墙”。实际上,杀毒软件的实时监控程序和个人防火墙完全是两个不同的产品。
通俗地说,杀毒软件是防病毒的软件,而个人防火墙是防黑客的软件,二者功能不同,缺一不可。建议用户同时安装这两种软件,对计算机进行整体防御。
误区十:专杀工具比杀毒软件好 有病毒先找专杀
不少人都认为杀毒软件厂商推出专杀工具是因为杀毒软件存在问题,杀不干净此类病毒,事实上并非如此。针对一些具有严重破坏能力的病毒,有及传播较为迅速的病毒,杀毒软件厂商会义务地推出针对该病毒的免费专杀工具,但这并不意味着杀毒软件本身无法查杀此类病毒。如果你的机器安装有杀毒软件,完全没有必要再去使用专杀工具。
专杀工具只是在用户的计算机上已经感染了病毒后进行清除的一个小工具。与完整的杀毒软件相比,它不具备实时监控功能,同时专杀工具的引擎一般都比较简单,不会查杀压缩文件、邮件中的病毒,并且一般也不会对文件进行脱壳检查。
误区一:好的杀毒软件可以查杀所有的病毒
许多人认为杀毒软件可以查杀所有的已知和未知病毒,这是不正确的。对于一个病毒,杀毒软件厂商首先要先将其截获,然后进行分析,提取病毒特征,测试,然后升级给用户使用。
虽然,目前许多杀毒软件厂商都在不断努力查杀未知病毒,有些厂商甚至宣称可以100%杀未知病毒。不幸的是,经过专家论证这是不可能的。杀毒软件厂商只能尽可能地去发现更多的未知病毒,但还远远达不到100%的标准。
甚至,至于一些已知病毒,比如覆盖型病毒。由于病毒本身就将原有的系统文件覆盖了。因此,即使杀毒软件将病毒杀死也不能恢复操作系统的正常运行。
误区二:杀毒软件是专门查杀病毒的,木马专杀才是专门杀木马的
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。随着信息安全技术的不断发展,病毒的定义已经被扩大化。
随着技术的不断发展,计算机病毒的定义已经被广义化,它大致包含:引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本、恶意程序、键盘记录器、黑客工具等等。
可以看出木马是病毒的一个子集,杀毒软件完全可以将其查杀。从杀毒软件角度讲,清除木马和清除蠕虫没有配制的区别,甚至查杀木马比清除文件型病毒更简单。因此,没有必要单独安装木马查杀软件。
误区三:我的机器没重要数据,有病毒重装系统,不用杀毒软件
许多电脑用户,特别是一些网络游戏玩家,认为自己的计算机上没有重要的文件。计算机感染病毒,直接格式化重新安装操作系统就万事大吉,不用安装杀毒软件。这种观点是不正确的。
几年前,病毒编写者撰写病毒主要是为了寻找乐趣或是证明自己。这些病毒往往采用高超的编写技术,有着明显的发作特征(比如某月某日发作,删除所有文件等等)。
但是,近几年的病毒已经发生了巨大的变化,病毒编写者以获取经济利益为目的。病毒没有明显的特征,不会删除用户计算机上的数据。但是,它们会在后台悄悄运行,盗取游戏玩家的账号信息、QQ密码甚至是银行卡的账号。由于这些病毒可以直接给用户带来经济损失。对于个人用户来说,它的危害性比传统的病毒更大。
对于此种病毒,往往发现感染病毒时,用户的账号信息就已经被盗用。即使格式化计算机重新安装系统,被盗的账号也找不回来了。误区四:查毒速度快的杀毒软件才好
不少人都认为,查毒速度快的杀毒软件才是最好的。甚至不少媒体进行杀毒软件评测时都将查杀速度作为重要指标之一。不可否认,目前各个杀毒软件厂商都在不断努力改进杀毒软件引擎,以达到更高的查杀速度。但仅仅以查毒速度快慢来评价杀毒软件的好坏是片面的。
杀毒软件查毒速度的快慢主要与引擎和病毒特征有关。举个例子,一款杀毒软件可以查杀10万个病毒,另一款杀毒软件只能查杀100个病毒。杀毒软件查毒时需要对每一条记录进行匹配,因此查杀100个病毒的杀毒软件速度肯定会更快些。
一个好的杀毒软件引擎需要对文件进行分析、脱壳甚至虚拟执行,这些操作都需要耗费一定的时间。而有些杀毒软件的引擎比较简单,对文件不做过多的分析,只进行特征匹配。这种杀毒软件的查毒速度也很快,但它却有可能会漏查比较多的病毒。
由此可见,虽然提高杀毒速度是各个厂商不断努力奋斗的目标,但仅从查毒速度快慢来衡量杀毒软件好坏是不科学的。
误区五:杀毒软件不管正版盗版,随便装一个能用的就行
目前,有很多人机器上安装着盗版的杀毒软件,他们认为只要装上杀毒软件就万无一失了,这种观点是不正确的。杀毒软件与其他软件不太一样,杀毒软件需要经常不断升级才能够查杀最新最流行的病毒。
此外,大多数盗版杀毒软件都在破解过程中或多或少地损坏了一些数据,造成某些关键功能无法使用,系统不稳定或杀毒软件对某些病毒漏查漏杀等等。更有一些居心不良的破解者,直接在破解的杀毒软件中捆绑了病毒、木马或者后门程序等,给用户带来不必要的麻烦。
杀毒软件买的是服务,只要正版的杀毒软件,才能得到持续不断的升级和售后服务。同时,如果盗版软件用户真的遇到无法解决的问题也不能享受和正版软件用户一样的售后服务,使用盗版软件看似占了便宜,实际得不偿失。
误区六:根据任务管理器中的内存占用判断杀毒软件的资源占用
很多人,包括一些媒体进行杀毒软件评测,都用Windows自带的任务管理器来查看杀毒软件的内存占用,进而判断一款杀毒软件的资源占用情况,这是值得商榷的。
不同杀毒软件的功能不尽相同,比如一款优秀的杀毒软件有注册表、漏洞攻击、邮件发送、接收、网页、引导区、内存等监控系统。比起只有文件监控的杀毒软件,内存占用肯定会更多,但却提供了更全面的安全防护。
同时,也有一小部分杀毒软件厂商为了对付评测,故意在程序中限定杀毒软件可占用内存数的大小,使这些数值看上去很小,一般在100KB甚至几十KB左右。实际上,内存占用虽然小了,但杀毒软件却要频繁的进行硬盘读写,反倒降低了软件的运行效率。误区七:只要不用软盘,不乱下东西就不会中毒
目前,计算机病毒的传播有很多途径。它们可以通过软盘、U盘、移动硬盘、局域网、文件,甚至是系统漏洞等进行传播。一台存在漏洞的计算机,只要连入互联网,即使不做任何操作,都会被病毒感染。
因此,仅仅从使用计算机的习惯上来防范计算机病毒难度很大,一定要配合杀毒软件进行整体防护。
误区八:杀毒软件应该至少装三个才能保障系统安全
尽管杀毒软件的开发厂商不同,宣称使用的技术不同,但他们的实现原理却可能是相似或相同的。同时开启多个杀毒软件的实时监控程序很可能会产生冲突,比如多个病毒防火墙同时争抢一个文件进行扫描。安装有多种杀毒软件的计算机往往运行速度缓慢并且很不稳定,因此,我们并不推荐一般用户安装多个杀毒软件,即使真的要同时安装,也不要同时开启它们的实时监控程序(病毒防火墙)。
误区九:杀毒软件和个人防火墙装一个就行了
许多人把杀毒软件的实时监控程序认为是防火墙,确实有一些杀毒软件将实时监控称为“病毒防火墙”。实际上,杀毒软件的实时监控程序和个人防火墙完全是两个不同的产品。
通俗地说,杀毒软件是防病毒的软件,而个人防火墙是防黑客的软件,二者功能不同,缺一不可。建议用户同时安装这两种软件,对计算机进行整体防御。
误区十:专杀工具比杀毒软件好 有病毒先找专杀
不少人都认为杀毒软件厂商推出专杀工具是因为杀毒软件存在问题,杀不干净此类病毒,事实上并非如此。针对一些具有严重破坏能力的病毒,有及传播较为迅速的病毒,杀毒软件厂商会义务地推出针对该病毒的免费专杀工具,但这并不意味着杀毒软件本身无法查杀此类病毒。如果你的机器安装有杀毒软件,完全没有必要再去使用专杀工具。
专杀工具只是在用户的计算机上已经感染了病毒后进行清除的一个小工具。与完整的杀毒软件相比,它不具备实时监控功能,同时专杀工具的引擎一般都比较简单,不会查杀压缩文件、邮件中的病毒,并且一般也不会对文件进行脱壳检查。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子Vip2005的服务端程序。本文大部分内容摘自互联网。
G_Server.exe运行后将自己拷贝到Windows目录下(Windows98/xp下为系统盘的windows目录,Windows2000/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
Windows2000/WindowsXP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
Windows98/WindowsME系统:
在Windows9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005服务端已经被清除干净。
灰鸽子的运行原理
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子Vip2005的服务端程序。本文大部分内容摘自互联网。
G_Server.exe运行后将自己拷贝到Windows目录下(Windows98/xp下为系统盘的windows目录,Windows2000/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
Windows2000/WindowsXP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
Windows98/WindowsME系统:
在Windows9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005服务端已经被清除干净。
系统安全的最小特权原则
[ 2007-03-25 03:01:27 | 作者: sun ]
1、前言
系统安全的根本目标是数据资料的安全,而数据资料是由它的使用者进行存取和维护的。传统的数据存取和维护,都是以新的数据覆盖旧的数据,对于数据的无心错误,或有心的更改数据,一个管理者并无法有效地查出蛛丝马迹。因此,对数据的存取控制是系统安全的一个重要方面。为此,Sandhu等学者提出了一套以角色为基础的存取控制(Role-based Access Control,RBAC)理论,其基本组件包括使用者(User)、角色(Role)、授权(Authorization)及会话(Session)。如何为每个使用者分配相应的权力(即授权)将是本文将要分析的一个重要原则--最小特权原则(Least Privilege Theorem)。
2、最小特权原则简介
最小特权原则是系统安全中最基本的原则之一。所谓最小特权(Least Privilege),指的是"在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权"。最小特权原则,则是指"应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。
最小特权原则一方面给予主体"必不可少"的特权,这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作;另一方面,它只给予主体"必不可少"的特权,这就限制了每个主体所能进行的操作。
最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权,而角色允许主体以参与某特定工作所需要的最小特权去签入(Sign)系统。被授权拥有强力角色(Powerful Roles)的主体,不需要动辄运用到其所有的特权,只有在那些特权有实际需求时,主体才去运用它们。如此一来,将可减少由于不注意的错误或是侵入者假装合法主体所造成的损坏发生,限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜在的相互作用,从而使对特权无意的、没必要的或不适当的使用不太可能发生。这种想法还可以引申到程序内部:只有程序中需要那些特权的最小部分才拥有特权。
3、最小特权原则的应用
3.1 安全操作系统
操作系统对于系统安全来说好比是大楼的地基,如果没有了它,大楼就无从谈起。在计算机系统的各个层次上,硬件、操作系统、网络软件、数据库管理系统软件以及应用软件,各自在计算机安全中都肩负着重要的职责。在软件的范畴中,操作系统处在最底层,是所有其他软件的基础,它在解决安全上也起着基础性、关键性的作用,没有操作系统的安全支持,计算机软件系统的安全就缺乏了根基。对安全操作系统的研究首先从1967年的Adept-50项目开始,随后安全操作系统的发展经历了奠基时期、食谱时期、多政策时期以及动态政策时期。国内对安全操作系统的开发大多处于食谱时期,即以美国国防部的TCSEC(又称橙皮书)或我国的计算机信息系统安全保护等级划分准则为标准进行的开发。
最小特权在安全操作系统中占据了非常重要的地位,它适应UNIX操作系统、超级用户/根目录体系结构的固有特征,以便了解如何到达根目录的的任何用户提供总体系统控制棗而且几乎在UNIX环境工作的所有程序员都了解这一点。
角色管理机制依据"最小特权"原则对系统管理员的特权进行了分化,每个用户只能拥有刚够完成工作的最小权限。然后根据系统管理任务设立角色,依据角色划分权限,每个角色各负其责,权限各自分立,一个管理角色不拥有另一个管理角色的特权。例如当入侵者取得系统管理员权限后欲访问一个高安全级别的文件,则很有可能被拒绝。因为用户(包括系统管理员)在登录后默认的安全级别是最低的,他无法访问高级别的文件,而安全级别的调整只有通过安全管理员才能完成。因此,安全管理员只要对敏感文件配置了合理的安全标记,系统管理员就无法访问这些文件。由此可知,安全管理员对系统管理员的权限进行了有力的限制。
Windows NT操作系统的某些漏洞也与最小特权的应用有关,例如:缺省组的权利和能力总是不能被删除,它们包括:Administrator组,服务器操作员组,打印操作员组,帐户操作员组。这是因为当删除一个缺省组时,表面上,系统已经接受了删除。然而,当再检查时,这些组并没有被真正删除。有时,当服务器重新启动时,这些缺省组被赋予回缺省的权利和能力。为了减小因此而带来的风险,系统管理员可以创建自己定制的组,根据最小特权的原则,定制这些组的权利和能力,以迎合业务的需要。可能的话,创建一个新的Administrator组,使其具有特别的指定的权利和能力。
下面介绍目前几种安全操作系统及最小特权的应用:
惠普的Praesidium/Virtual Vault
它通过以最小特权机制将根功能分成42种独立的特权,仅赋予每一应用程序正常运行所需的最小特权。因而,即便一名黑客将Trojan Horse(特洛伊木马)程序安装在金融机构的Web服务器上,入侵者也无法改变网络配置或安装文件系统。最小特权是在惠普可信赖操作系统Virtual Vault的基本特性。
红旗安全操作系统(RFSOS)
RFSOS在系统管理员的权限、访问控制、病毒防护方面具有突出的特点,例如在系统特权分化方面,红旗安全操作系统根据"最小特权"原则,对系统管理员的特权进行了分化,根据系统管理任务设立角色,依据角色划分特权。典型的系统管理角色有系统管理员、安全管理员、审计管理员等。系统管理员负责系统的安装、管理和日常维护,如安装软件、增添用户账号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。
中科安胜安全操作系统
安胜安全操作系统是参照美国国防部《可信计算机系统评估准则》B2级安全需求和我国新颁布的《计算机信息系统安全保护等级划分准则》,结合我国国情和实际需求,自行开发的高级别安全操作系统,即安胜安全操作系统(SecLinux),并通过国家信息安全测评认证中心认证,同时获得公安部的销售许可。
最小特权管理是SecLinux的一个特色,它使得系统中不再有超级用户,而是将其所有特权分解成一组细粒度的特权子集,定义成不同的"角色",分别赋予不同的用户,每个用户仅拥有完成其工作所必须的最小特权,避免了超级用户的误操作或其身份被假冒而带来的安全隐患。
3.2 Internet安全
Internet的发展可谓一日千里,而对Internet安全的要求却比Inerternet本身发展得更快。目前Internet上的安全问题,有相当多的是由于网络管理员对于角色权利的错误分配引起的。因此,最小特权原则在Internet安全上也大有用武之地。
在日常生活里,最小特权的例子也很多。一些汽车制造厂制造汽车锁,用一个钥匙开车门和点火器,而用另一个钥匙开手套箱和衣物箱;停车场的服务员有安排停车的权而没有从汽车衣物箱里取东西的权力;同样是最小特权,可以给人汽车的钥匙而不给他大门的钥匙。
在Internet上,需要最小特权的例子也很多,例如:不是每个用户都需要使用所有的网络服务;不是每个用户都需要去修改(甚至去读)系统中的所有文件;不是每个用户都需要知道系统的根口令(Root Password);不是每个系统管理员都必须知道系统的根口令;也不是每个系统都需要去申请每一个其他系统的文件等等。
Internet上出现的一些安全问题都可看成是由于最小特权原则的失败。例如Unix上最常用的邮件传输协议Sendmail,它是一个庞大而又复杂的程序。这样的程序肯定会有很多隐患。它经常运行全部解密(Setuid)根目录,这对很多攻击者是很有利的。系统上运行的程序希望是尽可能简单的程序,如果是一个较复杂的程序,那么应该找出办法从复杂部分里去分开或孤立需要特权的模块。
为了保护站点而采取的一些措施也是使用最小特权原则的,如包过滤系统就设计为只允许进入所需要的服务,而过滤掉不必要的服务。在堡垒主机里也使用了最小特权原则。
最小特权原则还有助于建立严格的身份认证机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限;并且按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。具体实现用户身份认证时,可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份等等。
4、结束语
最小特权原则有效地限制、分割了用户对数据资料进行访问时的权限,降低了非法用户或非法操作可能给系统及数据带来的损失,对于系统安全具有至关重要的作用。但目前大多数系统的管理员对于最小特权原则的认识还不够深入。尤其是对于UNIX、Windows系列操作系统下,因为系统所赋予用户的默认权限是最高的权限,例如Windows NT下的目录和文件的默认权限是Everyone(所有人)均具有完全的权限,而Administrator(系统管理员)则有对整个系统的完全控制。如果系统的管理员不对此进行修改,则系统的安全性将非常薄弱。
当然,最小特权原则只是系统安全的原则之一,如纵深防御原则、特权分离原则、强制存取控制等等。如果要使系统的达到相当高的安全性,还需要其他原则的配合使用。
系统安全的根本目标是数据资料的安全,而数据资料是由它的使用者进行存取和维护的。传统的数据存取和维护,都是以新的数据覆盖旧的数据,对于数据的无心错误,或有心的更改数据,一个管理者并无法有效地查出蛛丝马迹。因此,对数据的存取控制是系统安全的一个重要方面。为此,Sandhu等学者提出了一套以角色为基础的存取控制(Role-based Access Control,RBAC)理论,其基本组件包括使用者(User)、角色(Role)、授权(Authorization)及会话(Session)。如何为每个使用者分配相应的权力(即授权)将是本文将要分析的一个重要原则--最小特权原则(Least Privilege Theorem)。
2、最小特权原则简介
最小特权原则是系统安全中最基本的原则之一。所谓最小特权(Least Privilege),指的是"在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权"。最小特权原则,则是指"应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。
最小特权原则一方面给予主体"必不可少"的特权,这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作;另一方面,它只给予主体"必不可少"的特权,这就限制了每个主体所能进行的操作。
最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权,而角色允许主体以参与某特定工作所需要的最小特权去签入(Sign)系统。被授权拥有强力角色(Powerful Roles)的主体,不需要动辄运用到其所有的特权,只有在那些特权有实际需求时,主体才去运用它们。如此一来,将可减少由于不注意的错误或是侵入者假装合法主体所造成的损坏发生,限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜在的相互作用,从而使对特权无意的、没必要的或不适当的使用不太可能发生。这种想法还可以引申到程序内部:只有程序中需要那些特权的最小部分才拥有特权。
3、最小特权原则的应用
3.1 安全操作系统
操作系统对于系统安全来说好比是大楼的地基,如果没有了它,大楼就无从谈起。在计算机系统的各个层次上,硬件、操作系统、网络软件、数据库管理系统软件以及应用软件,各自在计算机安全中都肩负着重要的职责。在软件的范畴中,操作系统处在最底层,是所有其他软件的基础,它在解决安全上也起着基础性、关键性的作用,没有操作系统的安全支持,计算机软件系统的安全就缺乏了根基。对安全操作系统的研究首先从1967年的Adept-50项目开始,随后安全操作系统的发展经历了奠基时期、食谱时期、多政策时期以及动态政策时期。国内对安全操作系统的开发大多处于食谱时期,即以美国国防部的TCSEC(又称橙皮书)或我国的计算机信息系统安全保护等级划分准则为标准进行的开发。
最小特权在安全操作系统中占据了非常重要的地位,它适应UNIX操作系统、超级用户/根目录体系结构的固有特征,以便了解如何到达根目录的的任何用户提供总体系统控制棗而且几乎在UNIX环境工作的所有程序员都了解这一点。
角色管理机制依据"最小特权"原则对系统管理员的特权进行了分化,每个用户只能拥有刚够完成工作的最小权限。然后根据系统管理任务设立角色,依据角色划分权限,每个角色各负其责,权限各自分立,一个管理角色不拥有另一个管理角色的特权。例如当入侵者取得系统管理员权限后欲访问一个高安全级别的文件,则很有可能被拒绝。因为用户(包括系统管理员)在登录后默认的安全级别是最低的,他无法访问高级别的文件,而安全级别的调整只有通过安全管理员才能完成。因此,安全管理员只要对敏感文件配置了合理的安全标记,系统管理员就无法访问这些文件。由此可知,安全管理员对系统管理员的权限进行了有力的限制。
Windows NT操作系统的某些漏洞也与最小特权的应用有关,例如:缺省组的权利和能力总是不能被删除,它们包括:Administrator组,服务器操作员组,打印操作员组,帐户操作员组。这是因为当删除一个缺省组时,表面上,系统已经接受了删除。然而,当再检查时,这些组并没有被真正删除。有时,当服务器重新启动时,这些缺省组被赋予回缺省的权利和能力。为了减小因此而带来的风险,系统管理员可以创建自己定制的组,根据最小特权的原则,定制这些组的权利和能力,以迎合业务的需要。可能的话,创建一个新的Administrator组,使其具有特别的指定的权利和能力。
下面介绍目前几种安全操作系统及最小特权的应用:
惠普的Praesidium/Virtual Vault
它通过以最小特权机制将根功能分成42种独立的特权,仅赋予每一应用程序正常运行所需的最小特权。因而,即便一名黑客将Trojan Horse(特洛伊木马)程序安装在金融机构的Web服务器上,入侵者也无法改变网络配置或安装文件系统。最小特权是在惠普可信赖操作系统Virtual Vault的基本特性。
红旗安全操作系统(RFSOS)
RFSOS在系统管理员的权限、访问控制、病毒防护方面具有突出的特点,例如在系统特权分化方面,红旗安全操作系统根据"最小特权"原则,对系统管理员的特权进行了分化,根据系统管理任务设立角色,依据角色划分特权。典型的系统管理角色有系统管理员、安全管理员、审计管理员等。系统管理员负责系统的安装、管理和日常维护,如安装软件、增添用户账号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。
中科安胜安全操作系统
安胜安全操作系统是参照美国国防部《可信计算机系统评估准则》B2级安全需求和我国新颁布的《计算机信息系统安全保护等级划分准则》,结合我国国情和实际需求,自行开发的高级别安全操作系统,即安胜安全操作系统(SecLinux),并通过国家信息安全测评认证中心认证,同时获得公安部的销售许可。
最小特权管理是SecLinux的一个特色,它使得系统中不再有超级用户,而是将其所有特权分解成一组细粒度的特权子集,定义成不同的"角色",分别赋予不同的用户,每个用户仅拥有完成其工作所必须的最小特权,避免了超级用户的误操作或其身份被假冒而带来的安全隐患。
3.2 Internet安全
Internet的发展可谓一日千里,而对Internet安全的要求却比Inerternet本身发展得更快。目前Internet上的安全问题,有相当多的是由于网络管理员对于角色权利的错误分配引起的。因此,最小特权原则在Internet安全上也大有用武之地。
在日常生活里,最小特权的例子也很多。一些汽车制造厂制造汽车锁,用一个钥匙开车门和点火器,而用另一个钥匙开手套箱和衣物箱;停车场的服务员有安排停车的权而没有从汽车衣物箱里取东西的权力;同样是最小特权,可以给人汽车的钥匙而不给他大门的钥匙。
在Internet上,需要最小特权的例子也很多,例如:不是每个用户都需要使用所有的网络服务;不是每个用户都需要去修改(甚至去读)系统中的所有文件;不是每个用户都需要知道系统的根口令(Root Password);不是每个系统管理员都必须知道系统的根口令;也不是每个系统都需要去申请每一个其他系统的文件等等。
Internet上出现的一些安全问题都可看成是由于最小特权原则的失败。例如Unix上最常用的邮件传输协议Sendmail,它是一个庞大而又复杂的程序。这样的程序肯定会有很多隐患。它经常运行全部解密(Setuid)根目录,这对很多攻击者是很有利的。系统上运行的程序希望是尽可能简单的程序,如果是一个较复杂的程序,那么应该找出办法从复杂部分里去分开或孤立需要特权的模块。
为了保护站点而采取的一些措施也是使用最小特权原则的,如包过滤系统就设计为只允许进入所需要的服务,而过滤掉不必要的服务。在堡垒主机里也使用了最小特权原则。
最小特权原则还有助于建立严格的身份认证机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限;并且按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。具体实现用户身份认证时,可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份等等。
4、结束语
最小特权原则有效地限制、分割了用户对数据资料进行访问时的权限,降低了非法用户或非法操作可能给系统及数据带来的损失,对于系统安全具有至关重要的作用。但目前大多数系统的管理员对于最小特权原则的认识还不够深入。尤其是对于UNIX、Windows系列操作系统下,因为系统所赋予用户的默认权限是最高的权限,例如Windows NT下的目录和文件的默认权限是Everyone(所有人)均具有完全的权限,而Administrator(系统管理员)则有对整个系统的完全控制。如果系统的管理员不对此进行修改,则系统的安全性将非常薄弱。
当然,最小特权原则只是系统安全的原则之一,如纵深防御原则、特权分离原则、强制存取控制等等。如果要使系统的达到相当高的安全性,还需要其他原则的配合使用。
恶意网页修改11种系统配置的处理办法
[ 2007-03-25 03:01:15 | 作者: sun ]
恶意网页越来越厉害,本文就给大家讲霁恶意网页修改11种系统配置的处理办法。
1.禁止使用电脑
现象描述:尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:"关闭系统"、"运行"、"注销"、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入"实模式"、驱动器被隐藏。
解决办法:一般来说上述八大现象你都遇上了的话,基本上系统就给"废"了,建议重装。
2.格式化硬盘
现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。只要你浏览了含有它的网页,浏览器就会弹出一个警告说"当前的页面含有不安全的ctiveX,可能会对你造成危害",问你是否执行。如果你选择"是"的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:除非你知道自己是在做什么,否则不要随便回答"是"。该提示信息还可以被修改,如改成"Windows正在删除本机的临时文件,是否继续",所以千万要注意!此外,将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
3.下载运行木马程序
现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。上网者浏览到该恶意网页,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告!
解决办法:第一个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当作病毒迅速查截杀。
4.注册表的锁定
现象描述:有时浏览了恶意网页后系统被修改,想要用Regedit更改时,却发现系统提示你没有权限运行该程序,然后让你联系管理员。晕了!动了我的东西还不让改,这是哪门子的道理!
解决办法:能够修改注册表的又不止Regedit一个,找一个注册表编辑器,例如:Reghance。将注册表中的HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值"DisableRegistryTools"键值恢复为"0",即可恢复注册表。
5.默认主页修改
现象描述:一些网站为了提高自己的访问量和做广告宣传,利用IE的漏洞,将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页,为了不让你改回去,甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。
解决办法:1.起始页的修改。展开注册表到HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main,在右半部分窗口中将"Start Page"的键值改为"about:blank"即可。同理,展开注册表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main,在右半部分窗口中将"Start Page"的键值改为"about:blank"即可。
注意:有时进行了以上步骤后仍然没有生效,估计是有程序加载到了启动项的缘故,就算修改了,下次启动时也会自动运行程序,将上述设置改回来,解决方法如下:
运行注册表编辑器Regedit.exe,然后依次展开HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run主键,然后将下面的"registry.exe"子键(名字不固定)删除,最后删除硬盘里的同名可执行程序。退出注册编辑器,重新启动计算机,问题就解决了。
2.默认主页的修改。运行注册表编辑器,展开HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/,将Default-Page-URL子键的键值中的那些恶意网站的网址改正,或者设置为IE的默认值。
3.IE选项按钮失效。运行注册表编辑器,将HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改为"0",将HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel下的DWORD值"homepage"的键值改为"0"。
1.禁止使用电脑
现象描述:尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:"关闭系统"、"运行"、"注销"、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入"实模式"、驱动器被隐藏。
解决办法:一般来说上述八大现象你都遇上了的话,基本上系统就给"废"了,建议重装。
2.格式化硬盘
现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。只要你浏览了含有它的网页,浏览器就会弹出一个警告说"当前的页面含有不安全的ctiveX,可能会对你造成危害",问你是否执行。如果你选择"是"的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:除非你知道自己是在做什么,否则不要随便回答"是"。该提示信息还可以被修改,如改成"Windows正在删除本机的临时文件,是否继续",所以千万要注意!此外,将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
3.下载运行木马程序
现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。上网者浏览到该恶意网页,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告!
解决办法:第一个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当作病毒迅速查截杀。
4.注册表的锁定
现象描述:有时浏览了恶意网页后系统被修改,想要用Regedit更改时,却发现系统提示你没有权限运行该程序,然后让你联系管理员。晕了!动了我的东西还不让改,这是哪门子的道理!
解决办法:能够修改注册表的又不止Regedit一个,找一个注册表编辑器,例如:Reghance。将注册表中的HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值"DisableRegistryTools"键值恢复为"0",即可恢复注册表。
5.默认主页修改
现象描述:一些网站为了提高自己的访问量和做广告宣传,利用IE的漏洞,将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页,为了不让你改回去,甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。
解决办法:1.起始页的修改。展开注册表到HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main,在右半部分窗口中将"Start Page"的键值改为"about:blank"即可。同理,展开注册表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main,在右半部分窗口中将"Start Page"的键值改为"about:blank"即可。
注意:有时进行了以上步骤后仍然没有生效,估计是有程序加载到了启动项的缘故,就算修改了,下次启动时也会自动运行程序,将上述设置改回来,解决方法如下:
运行注册表编辑器Regedit.exe,然后依次展开HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run主键,然后将下面的"registry.exe"子键(名字不固定)删除,最后删除硬盘里的同名可执行程序。退出注册编辑器,重新启动计算机,问题就解决了。
2.默认主页的修改。运行注册表编辑器,展开HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/,将Default-Page-URL子键的键值中的那些恶意网站的网址改正,或者设置为IE的默认值。
3.IE选项按钮失效。运行注册表编辑器,将HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改为"0",将HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel下的DWORD值"homepage"的键值改为"0"。
小心QQ密码被远程破解
[ 2007-03-25 03:01:03 | 作者: sun ]
“远程破解”与前面的“本地破解”正好相反,是指QQ盗号者通过网络盗窃远端QQ用户的密码。这种QQ破解有很多方法,如在线密码破解、登录窗口破解、邮箱破解、消息诈骗以及形形色色的QQ木马病毒等。下面就让我们一同来看看这些QQ密码的远程破解是怎么实现的。
1、在线密码破解 大家知道QQ可以利用代理服务器登录,这是一种保护措施。它不仅可以隐藏用户的真实IP地址,以避免遭受网络攻击,还可以加快登录速度,保证登录的稳定性。 在线密码破解和本地密码破解采用的技术方法类似,都是穷举法,只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描,只要想盗的QQ号码在线,就可利用在线盗号工具实现远程TCP/IP的追捕,从而神不知鬼不觉地盗取QQ密码! 在线破解改变了本地破解那种被动的破解方式,只要是在线的QQ号码都可以破解,适用范围较广。但是由于它仍然采用穷举法技术,所以在枚举密钥位数长度以及类型时,校验时间很长,破解效率不高。同样,这种方法还受到电脑速度、网速等诸多因素的影响,因此比前面的本地破解更麻烦。
目前功能比较强大的一款QQ密码在线破解软件叫QQExplorer。它的破解操作分四步:第一步,在QQ起始号码和结束号码中填上想要盗取的QQ号码(此号码必须在线);第二步,在“添加或删除HTTP代理服务器”中输入代理服务器的IP地址和端口号码(如果你嫌自己寻找QQ代理服务器麻烦,可以使用一些现代的QQ代理公布软件);第三步,点击“添加&测试”按钮,软件先自动检测此服务器是否正常,确定后将它加入代理服务器列表(此软件可填入多个代理服务器的地址,并且能够自动筛选不可用或者速度慢的服务器);第四步,点击“开始”按钮,开始在线密码破解…… QQExporer是一款QQ密码在线破解软件
1、在线密码破解 大家知道QQ可以利用代理服务器登录,这是一种保护措施。它不仅可以隐藏用户的真实IP地址,以避免遭受网络攻击,还可以加快登录速度,保证登录的稳定性。 在线密码破解和本地密码破解采用的技术方法类似,都是穷举法,只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描,只要想盗的QQ号码在线,就可利用在线盗号工具实现远程TCP/IP的追捕,从而神不知鬼不觉地盗取QQ密码! 在线破解改变了本地破解那种被动的破解方式,只要是在线的QQ号码都可以破解,适用范围较广。但是由于它仍然采用穷举法技术,所以在枚举密钥位数长度以及类型时,校验时间很长,破解效率不高。同样,这种方法还受到电脑速度、网速等诸多因素的影响,因此比前面的本地破解更麻烦。
目前功能比较强大的一款QQ密码在线破解软件叫QQExplorer。它的破解操作分四步:第一步,在QQ起始号码和结束号码中填上想要盗取的QQ号码(此号码必须在线);第二步,在“添加或删除HTTP代理服务器”中输入代理服务器的IP地址和端口号码(如果你嫌自己寻找QQ代理服务器麻烦,可以使用一些现代的QQ代理公布软件);第三步,点击“添加&测试”按钮,软件先自动检测此服务器是否正常,确定后将它加入代理服务器列表(此软件可填入多个代理服务器的地址,并且能够自动筛选不可用或者速度慢的服务器);第四步,点击“开始”按钮,开始在线密码破解…… QQExporer是一款QQ密码在线破解软件
网络安全之注意警惕DoS的路由器攻击
[ 2007-03-25 03:00:52 | 作者: sun ]
现在,Dos已经由最初的“恶作剧”越来越演变成了一种有目的、有选择的攻击路由器的恶性行为,它像一股凶险的暗流正在向我们涌来。
用Dos来攻击路由器将对整个因特网造成严重影响。因为路由协议会遭到直接攻击,从而在大范围内带来严重的服务器的可用性问题。路由器攻击之所以吸引黑客有几个原因。
不同于计算机系统,路由器通常处于企业的基础设施内部。与计算机相比,它们受监视器和安全政策的保护相对薄弱,从而为不法之徒提供了为非作歹的躲藏之处。许多路由器配置不当,厂商提供的默认口令是网络安全与遭受毁坏的主要原因。一旦受到危害,路由器就可以被用作扫描行动、欺骗连接的平台,并作为发动dos攻击的一块跳板。
Cahners in-stat集团的高级分析家劳里·维科斯声称,“路由器是通向公司的门户。它成为黑客的目标已经有了一段时间,现在的黑客似乎变得更加老谋深算。他们往往会这样,当发现锁定的目标前门被锁上后,就会改而寻找露台的大门是否敞开。”
维科斯坚称,路由器攻击会对网络造成毁灭性的后果。因为路由器常常集成了vpn服务或者防火墙,因而使其成为更吸引黑客的目标。因为,一旦路由器岌岌可危,整个网络便立刻变得十分危险了。
另一个问题是卡内基·梅隆大学的计算机紧急响应队(cert)协调中心提到的“利用时间”(time-to-exploit)的缩短。即一旦系统或设备的一个漏洞被发现,在短时间内就打上安全补丁往往来不及。
那么如何采取适当的对策来抵御dos呢?传统的安全解决方案对付现在的dos只能是隔靴搔痒。因为防火墙和入侵检测系统(ids)的目的在于检测针对个别网络服务器或主机的攻击,而不是网络基础设施。
为了解决这个问题,目前已经有几家公司想出了专门防御dos攻击的方案。arbor networks凭借产品peakflow dos成为这个领域的先驱。peakflow会部署数据收集程序,由此分析通信流量(到达企业路由器或防火墙之前),并搜寻反常现象。这类信息会转发给控制程序,进而对攻击进行追根溯源的审查。同时,控制程序会把过滤建议发给网络管理人员,从而进行相应部署以避开攻击。他们提供的企业解决方案的起始价为13万美元,arbor另有计划为规模较小的网络以按月收费的方式来提供这种服务。
Tripwire的tripwire for routers则采取价格比较适中的方案,以监视cisco路由器的启动和配置文件。只要该设备的安全状态出现任何变动,它就会通知你。目前只有针对solaris 7或8工作站的版本。适用windows 2000的版本即将推出,其价格随路由器数量不同而异,有一个评估版软件可供下载。
总地来说,具备一些基本常识是首要的,可能也是最佳的防御方法,这可以确保你时刻关注外部接入路由器的每个连接,并且确保改变了默认安全配置,尤其是口令。
Dos攻击的这些新动向表明:服务可用性面临的危胁,无论针对网络还是整个因特网都可能会更让人防不胜防。除了你的网络受到影响外,路由器和基础设施缺乏安全审查也会使你无意当中成为攻击dos的帮凶。密切关注事态发展,并肩负起保护网络各方面安全的责任,这样你才能够避免灾难。
用Dos来攻击路由器将对整个因特网造成严重影响。因为路由协议会遭到直接攻击,从而在大范围内带来严重的服务器的可用性问题。路由器攻击之所以吸引黑客有几个原因。
不同于计算机系统,路由器通常处于企业的基础设施内部。与计算机相比,它们受监视器和安全政策的保护相对薄弱,从而为不法之徒提供了为非作歹的躲藏之处。许多路由器配置不当,厂商提供的默认口令是网络安全与遭受毁坏的主要原因。一旦受到危害,路由器就可以被用作扫描行动、欺骗连接的平台,并作为发动dos攻击的一块跳板。
Cahners in-stat集团的高级分析家劳里·维科斯声称,“路由器是通向公司的门户。它成为黑客的目标已经有了一段时间,现在的黑客似乎变得更加老谋深算。他们往往会这样,当发现锁定的目标前门被锁上后,就会改而寻找露台的大门是否敞开。”
维科斯坚称,路由器攻击会对网络造成毁灭性的后果。因为路由器常常集成了vpn服务或者防火墙,因而使其成为更吸引黑客的目标。因为,一旦路由器岌岌可危,整个网络便立刻变得十分危险了。
另一个问题是卡内基·梅隆大学的计算机紧急响应队(cert)协调中心提到的“利用时间”(time-to-exploit)的缩短。即一旦系统或设备的一个漏洞被发现,在短时间内就打上安全补丁往往来不及。
那么如何采取适当的对策来抵御dos呢?传统的安全解决方案对付现在的dos只能是隔靴搔痒。因为防火墙和入侵检测系统(ids)的目的在于检测针对个别网络服务器或主机的攻击,而不是网络基础设施。
为了解决这个问题,目前已经有几家公司想出了专门防御dos攻击的方案。arbor networks凭借产品peakflow dos成为这个领域的先驱。peakflow会部署数据收集程序,由此分析通信流量(到达企业路由器或防火墙之前),并搜寻反常现象。这类信息会转发给控制程序,进而对攻击进行追根溯源的审查。同时,控制程序会把过滤建议发给网络管理人员,从而进行相应部署以避开攻击。他们提供的企业解决方案的起始价为13万美元,arbor另有计划为规模较小的网络以按月收费的方式来提供这种服务。
Tripwire的tripwire for routers则采取价格比较适中的方案,以监视cisco路由器的启动和配置文件。只要该设备的安全状态出现任何变动,它就会通知你。目前只有针对solaris 7或8工作站的版本。适用windows 2000的版本即将推出,其价格随路由器数量不同而异,有一个评估版软件可供下载。
总地来说,具备一些基本常识是首要的,可能也是最佳的防御方法,这可以确保你时刻关注外部接入路由器的每个连接,并且确保改变了默认安全配置,尤其是口令。
Dos攻击的这些新动向表明:服务可用性面临的危胁,无论针对网络还是整个因特网都可能会更让人防不胜防。除了你的网络受到影响外,路由器和基础设施缺乏安全审查也会使你无意当中成为攻击dos的帮凶。密切关注事态发展,并肩负起保护网络各方面安全的责任,这样你才能够避免灾难。
2006年100款最佳安全工具谱
[ 2007-03-25 03:00:41 | 作者: sun ]
在2000和2003年非常成功的推出了安全工具调查后,Insecure.Org 非常高兴为大家带来2006年度的安全工具调查。我-Fyodor对nmap-hackers 邮件列表中的用户进行了调查,让大家来分享他们最喜欢用的工具,结果有3243名用户提供了反馈信息。我从反馈信息中选取了大家最喜欢的前100种工具,并将它们进行了分类。建议安全界人士仔细阅读这份列表,并对不熟悉或未听说过的工具进行研究,相信会有很大帮助。我自己就从中发现了很多以前没有使用过但非常好用的工具。当很多菜鸟问我“我不知道当一个黑客该从何开始”时,我就让他们来读读这篇文章。
受访者被要求列出各种平台上的开源和商业工具。商业工具会在列表中进行标注。Nmap Security Scanner 没有参与投票,因为调查是在Nmap的邮件列表中进行的。因为受访者多为黑客的原因,所以此列表中攻击型的工具偏多一些,防守型的则少一些。
列表中每个工具都含有以下一种或几种属性:2003年调查列表中未出现的工具;相对于2003年调查列表排名升或降;需要花钱购买。但可以免费获得限制、演示、试用版本软件;可以工作于Linux平台之上;可以工作于OpenBSD、FreeBSD、Solaris 或其它UNIX平台之上;可以工作于苹果Mac OS X平台之上;可以工作于微软Windows平台之上;提供命令行操作方式;提供图形化用户界面;在互联网上可以找到源代码。
如果您发现列表中的工具有更新或者有其它建议--或者有更好的工具图标 可以发送邮件给我。如果您的工具入选此列表了,或者您认为您网站的访客也许会对此列表感兴趣,欢迎您通过link banners把本文链接到您网站上。以下开始为正式列表,按受欢迎程度降序排列:
#1 Nessus:最好的UNIX漏洞扫描工具
Nessus 是最好的免费网络漏洞扫描器,它可以运行于几乎所有的UNIX平台之上。它不止永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance--终端用户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的一种图形界面)图形界面,内置脚本语言编译器,可以用其编写自定义插件,或用来阅读别人写的插件。Nessus 3 已经开发完成(now closed source),其现阶段仍然免费,除非您想获得最新的插件。
--------------------------------------------------------------------------------
#2 Wireshark:网络嗅探工具
Wireshark (2006年夏天之前叫做 Ethereal)是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据,也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性:包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;它更支持上百种协议和媒体类型; 拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。不得不说一句,Ethereal已经饱受许多可远程利用的漏洞折磨,所以请经常对其进行升级,并在不安全网络或敌方网络(例如安全会议的网络)中谨慎使用之。
--------------------------------------------------------------------------------
#3 Snort:一款广受欢迎的开源IDS(Intrusion Detection System)(入侵检测系统)工具
这款小型的入侵检测和预防系统擅长于通讯分析和IP数据包登录(packet logging)。Snort除了能够进行协议分析、内容搜索和包含其它许多预处理程序,还可以检测上千种蠕虫病毒、漏洞、端口扫描以及其它可疑行为检测。Snort使用一种简单的基于规则的语言来描述网络通讯,以及判断对于网络数据是放行还是拦截,其检测引擎是模块化的。 用于分析Snort警报的网页形式的引擎 Basic Analysis and Security Engine (BASE)可免费获得。
开源的Snort为个人、小企业、集团用户提供良好的服务。其母公司SourceFire提供丰富的企业级特性和定期升级以丰富其产品线。提供(必须注册)5天免费的规则试用,您也可以在Bleeding Edge Snort找到很多免费规则。
--------------------------------------------------------------------------------
#4 Netcat:网络瑞士军刀
这个简单的小工具可以读和写经过TCP或UDP网络连接的数据。它被设计成一个可靠的可以被其它程序或脚本直接和简单使用的后台工具。同时,它也是一个功能多样的网络调试和检查工具,因为它可以生成几乎所有您想要的网络连接,包括通过端口绑定来接受输入连接。Netcat最早由Hobbit在1995年发布,但在其广为流传的情况下并没有得到很好的维护。现在nc110.tgz已经很难找了。这个简单易用的工具促使了很多人写出了很多其它Netcat应用,其中有很多功能都是原版本没有的。其中最有趣的是Socat,它将Netcat扩展成可以支持多种其它socket类型,SSL加密,SOCKS代理,以及其它扩展的更强大的工具。它也在本列表中得到了自己的位置(第71位)。还有Chris Gibson's Ncat,能够提供更多对便携设备的支持。其它基于Netcat的工具还有OpenBSD's nc,Cryptcat,Netcat6,PNetcat,SBD,又叫做GNU Netcat。
--------------------------------------------------------------------------------
#5 Metasploit Framework:黑掉整个星球
2004年Metasploit的发布在安全界引发了强烈的地震。没有一款新工具能够一发布就挤进此列表的15强(也就是说2000年和2003年的调查没有这种情况),更何况此工具更在5强之列,超过了很多广为流传的诞生了几十年的老牌工具。它是一个强大的开源平台,供开发、测试和使用恶意代码。这种可扩展的模型将负载控制、编码器、无操作生成器和漏洞整合在一起,使得Metasploit Framework成为一种研究高危漏洞的途径。它自带上百种漏洞,还可以在online exploit building demo(在线漏洞生成演示)看到如何生成漏洞。这使得您自己编写漏洞变得更简单,它势必将提升非法shellcode代码的水平,扩大网络阴暗面。与其相似的专业漏洞工具,例如Core Impact和Canvas已经被许多专业领域用户使用。Metasploit降低了这种能力的门槛,将其推广给大众。
--------------------------------------------------------------------------------
#6 Hping2:一种网络探测工具,是ping的超级变种
这个小工具可以发送自定义的ICMP,UDP和TCP数据包,并接收所有反馈信息。它的灵感来源于ping命令,但其功能远远超过ping。它还包含一个小型的路由跟踪模块,并支持IP分段。此工具可以在常用工具无法对有防火墙保护的主机进行路由跟踪/ping/探测时大显身手。它经常可以帮助您找出防火墙的规则集,当然还可以通过它来学习TCP/IP协议,并作一些IP协议的实验。
--------------------------------------------------------------------------------
#7 Kismet:一款超强的无线嗅探器
Kismet是一款基于命令行(ncurses)的802.11 layer2无线网络探测器、嗅探器、和入侵检测系统。它对网络进行被动嗅探(相对于许多主动工具,例如NetStumbler),可以发现隐形网络(非信标)。它可以通过嗅探TCP、UDP、ARP和DHCP数据包来自动检测网络IP段,以Wireshark/TCPDump兼容格式记录通讯日志,更加可以将被检测到的网络分块并按照下载的分布图进行范围估计。如您所想,这款工具一般被wardriving所使用。嗯!还有warwalking、warflying和warskating……
--------------------------------------------------------------------------------
#8 Tcpdump:最经典的网络监控和数据捕获嗅探器
在Ethereal(Wireshark)出现之前大家都用Tcpdump,而且很多人现在还在一直使用。它也许没有Wireshark那么多花里胡哨的东西(比如漂亮的图形界面,亦或数以百计的应用协议逻辑分析),但它能出色的完成很多任务,并且漏洞非常少,消耗系统资源也非常少。它很少添加新特性了,但经常修复一些bug和维持较小的体积。它能很好的跟踪网络问题来源,并能监控网络活动。其Windows下的版本叫做WinDump。Libpcap/WinPcap的包捕获库就是基于TCPDump,它也用在Nmap等其它工具中。
--------------------------------------------------------------------------------
#9 Cain and Abel:Windows平台上最好的密码恢复工具
UNIX用户经常声称正是因为Unix平台下有很多非常好的免费安全工具,所以Unix才会成为最好的平台,而Windows平台一般不在他们的考虑范围之内。他们也许是对的,但Cain & Abel确实让人眼前一亮。这种只运行于Windows平台的密码恢复工具可以作很多事情。它可以通过嗅探网络来找到密码、利用字典破解加密密码、暴力破解密码和密码分析、记录VoIP会话、解码非常复杂的密码、星号查看、剥离缓存密码以及分析路由协议。另外其文档也很齐全(well documented)。
--------------------------------------------------------------------------------
#10 John the Ripper:一款强大的、简单的以及支持多平台的密码破解器
John the Ripper是最快的密码破解器,当前支持多种主流Unix (官方支持11种,没有计算不同的架构)、DOS、Win32、BeO和OpenVMS。它的主要功能就是检测弱Unix密码。它支持主流Unix下的多种(3种)密码哈希加密类型,它们是Kerberos、AFS以及Windows NT/2000/XP LM。其它哈希类型可以通过补丁包加载。如果您希望从一些单词表开始的话,您可以在这里、这里和这里找到。
--------------------------------------------------------------------------------
#11 Ettercap:为交换式局域网提供更多保护
Ettercap是一款基于终端的以太网络局域网嗅探器/拦截器/日志器。它支持主动和被动的多种协议解析(甚至是ssh和https这种加密过的)。还可以进行已建立连接的数据注入和实时过滤,保持连接同步。大部分嗅探模式都是强大且全面的嗅探组合。支持插件。能够识别您是否出在交换式局域网中,通过使用操作系统指纹(主动或被动)技术可以得出局域网结构。
--------------------------------------------------------------------------------
#12 Nikto:非常全面的网页扫描器
Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3200种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
--------------------------------------------------------------------------------
#13 Ping/telnet/dig/traceroute/whois/netstat:基本命令
虽然有很多重型的高科技网络安全工具,但是不要忘记其基础!所有网络安全人士都要对这些基本命令非常熟悉,因为它们对大多数平台都适用(在Windows平台上whois为tracert)。它们可以随手捏来,当然如果需要使用一些更高级的功能可以选择Hping2和Netcat。
--------------------------------------------------------------------------------
#14 OpenSSH / PuTTY / SSH:访问远程计算机的安全途径
SSH(Secure Shell)现在普遍应用于登录远程计算机或在其上执行命令。它为不安全网络上的两台不互信计算机间通讯提供安全加密,代替非常不可靠的telnet/rlogin/rsh交互内容。大多UNIX使用开源的OpenSSH服务器和客户端程序。Windows用户更喜欢免费的PuTTY客户端,它也可以运行在多种移动设备上。还有一些Windows用户喜欢使用基于终端的OpenSSH模拟程序Cygwin。还有其它很多收费和免费的客户端。您可以在这里和这里找到。
--------------------------------------------------------------------------------
#15 THC Hydra:支持多种服务的最快的网络认证破解器
如果您需要暴力破解一个远程认证服务,Hydra经常会是选择对象。它可以同时对30个以上的端口进行基于字典的快速破解,包括telnet、ftp、http、https、smb、多种数据库及其它服务。和THC Amap一样,此Hydra版本来自于民间组织THC。
--------------------------------------------------------------------------------
#16 Paros proxy:网页程序漏洞评估代理
基于Java的网页程序漏洞评估代理。支持实时编辑和浏览HTTP/HTTPS信息,修改例如Cookie和表字段中的内容。它包含有网页通讯记录器、网页小偷(web spider)、哈希计算器和一个常用网页程序攻击扫描器,例如SQL注入和跨网站脚本等。
--------------------------------------------------------------------------------
#17 Dsniff:一款超强的网络评估和渗透检测工具套装
由Dug Song精心设计并广受欢迎的这款套装包含很多工具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和webspy通过被动监视网络以获得敏感数据(例如密码、邮件地址、文件等)。Arpspoof、dnsspoof和macof能够拦截一般很难获取到的网络通讯信息(例如由于使用了第二层转换(layer-2 switching))。Sshmitm和webmitm通过ad-hoc PKI中弱绑定漏洞对ssh和https会话进行重定向实施动态monkey-in-the-middle(利用中间人攻击技术,对会话进行劫持)攻击。Windows版本可以在这里获取。总之,这是一个非常有用的工具集。它能完成几乎所有密码嗅探需要作的工作。
--------------------------------------------------------------------------------
#18 NetStumbler:免费的Windows 802.11嗅探器
Netstumbler是广为人知的寻找开放无线访问接入点的Windows工具("wardriving")。其PDA上的WinCE系统版本名叫Ministumbler。此软件当前免费,但只能够运行在Windows平台上,且代码不公开。它使用很多主动方法寻找WAP,而Kismet或KisMAC则更多使用被动嗅探。
--------------------------------------------------------------------------------
#19 THC Amap:一款应用程序指纹扫描器
Amap是一款很棒的程序,它可以检测出某一端口正在被什么程序监听。因为其独有的version detection特性,所以其数据库不会象Nmap一样变得很大,在Nmap检测某一服务失败或者其它软件不起作用时可以考虑使用之。Amap的另一特性是其能够解析Nmap输出文件。这也是THC贡献的另一款很有价值的工具。
--------------------------------------------------------------------------------
#20 GFI LANguard:一款Windows平台上的商业网络安全扫描器
GFI LANguard通过对IP网络进行扫描来发现运行中的计算机,然后尝试收集主机上运行的操作系统版本和正在运行的应用程序。我曾经尝试收集到了Windows主机上的service pack级别、缺少的安全更新、无线访问接入点、USB设备、开放的共享、开放的端口、正在运行的服务和应用程序、主要注册表项、弱密码、用户和组别以及其它更多信息。扫描结果保存在一份可自定义/可查询的HTML报告文档中。它还含有一个补丁管理器,可以检查并安装缺少的补丁。试用版可以免费获得,但只能使用30天。
--------------------------------------------------------------------------------
#21 Aircrack:最快的WEP/WPA破解工具
Aircrack是一套用于破解802.11a/b/g WEP和WPA的工具套装。一旦收集到足够的加密数据包它可以破解40到512位的WEP密匙,它也可以通过高级加密方法或暴力破解来破解WPA 1或2网络。套装中包含airodump(802.11数据包捕获程序)、aireplay (802.11数据包注入程序)、aircrack(静态WEP和WPA-PSK破解),和airdecap(解密WEP/WPA捕获文件)。
--------------------------------------------------------------------------------
#22 Superscan:只运行于Windows平台之上的端口扫描器、ping工具和解析器
SuperScan是一款Foundstone开发的免费的只运行于Windows平台之上的不开源的TCP/UDP端口扫描器。它其中还包含许多其它网络工具,例如ping、路由跟踪、http head和whois。
--------------------------------------------------------------------------------
#23 Netfilter:最新的Linux核心数据包过滤器/防火墙
Netfilter是一款强大的运行于标准Linux核心上的包过滤器。它集成了用户空间IP列表工具。当前,它支持包过滤(无状态或有状态)、所有类型的网络地址和端口转换(NAT/NAPT)并支持多API层第三方扩展。它包含多种不同模块用来处理不规则协议,例如FTP。其它UNIX平台请参考Openbsd PF(只用于OpenBSD)或者IP Filter。许多个人防火墙(personal firewalls)都支持Windows (Tiny、Zone Alarm、Norton、Kerio...),但都不提供上述IP列表。微软在Windows XP SP2中集成了一款非常基础的防火墙,如果您不安装它,它就会不断地提示您安装。
--------------------------------------------------------------------------------
#24 Sysinternals:一款强大的非常全面的Windows工具合集
Sysinternals为Windows低级入侵提供很多非常有用的小工具。其中一部分是免费的,有些还附有源代码,其它是需要付费使用的。受访者最喜欢此集合中的以下工具:
ProcessExplorer 监视所有进程打开的所有文件和目录(类似Unix上的LSoF)。
PsTools 管理(执行、挂起、杀死、查看)本地和远程进程。
Autoruns 发现系统启动和登陆时加载了哪些可执行程序。
RootkitRevealer 检测注册表和文件系统API异常,用以发现用户模式或内核模式的rootkit工具。
TCPView 浏览每个进程的TCP和UDP通讯终点(类似Unix上的Netstat)。
生产此软件的公司已被微软于2005年收购,所以其未来产品线特征无法预测。
--------------------------------------------------------------------------------
#25 Retina:eEye出品的商业漏洞评估扫描器
象Nessus一样,Retina的功能是扫描网络中所有的主机并报告发现的所有漏洞。eEye出品,此公司以其security research而闻名。
--------------------------------------------------------------------------------
#26 Perl / Python / Ruby:简单的、多用途的脚本语言
常用的安全问题都能在网上找到工具解决,但使用脚本语言您可以编写您自己的(或编辑现有的)工具,当您需要解决某种特定问题的时候。快速、简单的脚本语言可以测试、发现漏洞甚至修复系统漏洞。CPAN上充满了类似Net::RawIP和执行协议的程序模块,可以使您的工作更加轻松。
--------------------------------------------------------------------------------
#27 L0phtcrack:Windows密码猜测和恢复程序
L0phtCrack也叫作LC5,用来尝试通过哈希(通过某种访问方式获得的)方法破解诸如Windows NT/2000工作站、联网服务器、主域控制器、或活动目录密码,有时它也可以通过嗅探获得密码的哈希值。它还可以通过多种手段来猜测密码(字典、暴力破解等等)。Symantec公司2006年已经停止了LC5的开发,但LC5 installer的安装文件随处可以找到。免费试用版只能使用15天,Symantec已经停止出售此软件的注册码,所以如果您不想放弃使用它,就必须找到一个与其对应的注册码生成器(key generator)。因为Symantec不再维护此软件,所以最好尝试用Cain and Abel或John the Ripper来代替之。
--------------------------------------------------------------------------------
#28 Scapy:交互式数据包处理工具
Scapy是一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。它提供多种类别的交互式生成数据包或数据包集合、对数据包进行操作、发送数据包、包嗅探、应答和反馈匹配等等功能。Python解释器提供交互功能,所以要用到Python编程知识(例如variables、loops、和functions)。支持生成报告,且报告生成简单。
--------------------------------------------------------------------------------
#29 Sam Spade:Windows网络查询免费工具
Sam Spade为许多网络查询的一般工作提供了图形界面和方便的操作。此工具设计用于跟踪垃圾信息发送者,但它还可以用于许多其它的网络探查、管理和安全工作。它包含许多有用的工具,例如ping、nslookup、whois、dig、路由跟踪、查找器、原始HTTP网页浏览器、DNS地址转换、SMTP中继检查、网站搜索等等。非Windows用户可以在线使用更多其它工具。
--------------------------------------------------------------------------------
#30 GnuPG / PGP :对您的文件和通讯进行高级加密
PGP是Phil Zimmerman出品的著名加密程序,可以使您的数据免受窃听以及其它危险。GnuPG是一款口碑很好的遵守PGP标准的开源应用(可执行程序名为gpg)。GunPG是免费的,而PGP对某些用户是收费的。
--------------------------------------------------------------------------------
#31 Airsnort:802.11 WEP加密破解工具
AirSnort是一款用来恢复加密密码的无线LAN(WLAN)工具。Shmoo Group出品,工作原理是被动监控传输信息,当收集到足够多的数据包后开始计算加密密码。Aircrack和它很像。
--------------------------------------------------------------------------------
#32 BackTrack:一款极具创新突破的Live(刻在光盘上的,光盘直接启动) 光盘自启动Linux系统平台
这款卓越的光盘自启动Linux系统是由Whax和Auditor合并而成。它以其超级多的安全和防护工具配以丰富的开发环境而闻名。重点在于它的用户模块化设计,用户可以自定义将哪些模块刻到光盘上,例如自己编写的脚本、附加工具、自定义内核等等。
--------------------------------------------------------------------------------
#33 P0f:万能的被动操作系统指纹工具
P0f能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题。P0f不增加任何直接或间接的网络负载,没有名称搜索、没有秘密探测、没有ARIN查询,什么都没有。某些高手还可以用P0f检测出主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等等!
--------------------------------------------------------------------------------
#34 Google:人人喜爱的搜索引擎
Google当然不是什么安全工具,但是它超级庞大的数据库却是安全专家和入侵者最好的资源。如果您想了解某一公司,您可以直接用它搜索 “site:target-domain.com”,您可以获得员工姓名、敏感信息(通常公司不对外公开的,但在Google上就难说了)、公司内部安装的软件漏洞等等。同样,如果您在Google上发现一个有某个漏洞的网站,Google还会提供给您其它有相同漏洞的网站列表。其中利用Google进行黑客活动的大师Johny Long建立了一个Google黑客数据库(Google Hacking Database)还出版了一本如何用Google进行黑客活动的书Google Hacking for Penetration Testers。
--------------------------------------------------------------------------------
#35 WebScarab:一个用来分析使用HTTP和HTTPS协议的应用程序框架
它的原理很简单,WebScarab记录它检测到的会话内容(请求和应答),使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;也可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。
--------------------------------------------------------------------------------
#36 Ntop:网络通讯监控器
Ntop以类似进程管理器的方式显示网络使用情况。在应用程序模式下,它能显示用户终端上的网络状况。在网页模式下,它作为网页服务器,以HTML文档形式显示网络状况。它是NetFlow/sFlow发射和收集器,通过一个基于HTTP的客户端界面来生成以ntop为中心的监控程序,RRD(Round Robin Database)(环形数据库)用来持续储存网络通讯状态信息。
--------------------------------------------------------------------------------
#37 Tripwire:很老的文件完整性检查器
一款文件和目录完整性检查器。Tripwire是一种可以帮助系统管理员和一般用户监控某一特定文件或目录变化的工具。可以用以对系统文件作日常(例如:每天)检查,Tripwire可以向系统管理员通报文件损坏或被篡改情况,所以这是一种周期性的文件破坏控制方法。免费的开源Linux版本可以在Tripwire.Org下载到。AIDE是UNIX平台的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的选择。Windows用户请使用Sysinternals出品的RootkitRevealer。
--------------------------------------------------------------------------------
#38 Ngrep:方便的数据包匹配和显示工具
ngrep尽可能多的去实现GNU grep的功能,将它们应用于网络层。Ngrep是一款pcap-aware工具,它允许指定各种规则式或16进制表达式去对数据负载或数据包进行匹配。当前支持TCP、UDP、以太网上的ICMP、PPP、SLIP、FDDI、令牌环(Token Ring)和空接口(null interfaces),还能理解类似Tcpdump和snoop等一样形式的bpf过滤器逻辑。
--------------------------------------------------------------------------------
#39 Nbtscan:在Windows网络上收集NetBIOS信息
NBTscan是一款在IP网络上扫描NetBIOS名称信息的工具。它通过给指定范围内所有地址发送状态查询来获得反馈信息并以表形式呈现给使用者。每一地址的反馈信息包括IP地址、NetBIOS计算机名、登录用户、MAC地址。
--------------------------------------------------------------------------------
#40 WebInspect:强大的网页程序扫描器
SPI Dynamics' WebInspect应用程序安全评估工具帮您识别已知和未知的网页层漏洞。它还能检测到Web服务器的配置属性,以及进行常见的网页攻击,例如参数注入、跨网站脚本、目录游走等等。
--------------------------------------------------------------------------------
#41 OpenSSL:最好的SSL/TLS加密库
OpenSSL项目的目的是通过开源合作精神开发一种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应用于SSL v2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)协议的普遍适用的加密库工具集。本项目由世界范围内的志愿者们维护,他们通过互联网联络、计划和开发OpenSSL工具集及其相关文档。
--------------------------------------------------------------------------------
#42 Xprobe2:主动操作系统指纹工具
XProbe是一款远程主机操作系统探查工具。开发者基于和Nmap相同的一些技术(same techniques),并加入了自己的创新。Xprobe通过ICMP协议来获得指纹。
--------------------------------------------------------------------------------
#43 EtherApe:EtherApe是Unix平台上的模仿etherman的图形界面网络监控器
包含连接层、IP和TCP三种模式,EtherApe网络活动图通过不同颜色来标识不同协议。主机和连接的图形大小随通讯情况而变化。它支持以太网、FDDI、令牌环、ISDN、PPP和SLIP设备。它可以实施过滤网络通讯,也可以抓取网络通讯快照文件。
--------------------------------------------------------------------------------
#44 Core Impact:全自动的全面入侵检测工具
Core Impact可不便宜(先准备个上万美元吧),但它却是公认的最强的漏洞检测工具。它有一个强大的定时更新的专业漏洞数据库,它可以轻易的黑掉一台计算机,并以它为跳板再去作别的事情。如果您买不起Core Impact,可以看看比较便宜的Canvas或者免费的Metasploit Framework。当然,三个同时用是最好的了。
--------------------------------------------------------------------------------
#45 IDA Pro:Windows或Linux反编译器和调试器
反编译器是一块很重要的安全研究方向。它可以帮您拆解微软的补丁,以了解微软未公开并悄悄修补的漏洞,或直接以二进制的方式对某个服务器进行检测,以找出为何某个存在的漏洞不起作用。反编译器有很多,但IDA Pro是遵守二进制包事实标准(de-facto standard)的恶意代码和漏洞研究分析工具。这个图形化的、可编程的、可扩展的、支持多处理器的反编译器现在有了一个和Windows一模一样的Linux(命令行模式)版本。
--------------------------------------------------------------------------------
#46 SolarWinds:网络发现/监控/攻击系列工具
SolarWinds生产和销售了许多专业的系统管理工具。安全相关的包括许多网络发现扫描器、一个SNMP暴力破解器、路由器密码解密器、TCP连接重置程序、最快最易用的一个路由器设置下载和上传程序等等。
--------------------------------------------------------------------------------
#47 Pwdump:一款Windows密码恢复工具
Pwdump可以从Windows主机中取得NTLM和LanMan哈希值,无论系统密码是否启用。它还能显示系统中存在的历史密码。数据输出格式为L0phtcrack兼容格式,也可以以文件形式输出数据。
--------------------------------------------------------------------------------
#48 LSoF:打开文件列表
这是一款Unix平台上的诊断和研究工具,它可以列举当前所有进程打开的文件信息。它也可以列举所有进程打开的通讯socket(communications sockets)。Windows平台上类似的工具有Sysinternals。
--------------------------------------------------------------------------------
#49 RainbowCrack:极具创新性的密码哈希破解器
RainbowCrack是一款使用了大规模内存时间交换(large-scale time-memory trade-off)技术的哈希破解工具。传统的暴力破解工具会尝试每一个可能的密码,要破解复杂的密码会很费时。RainbowCrack运用时间交换技术对破解时间进行预计算,并将计算结果存入一个名叫"rainbow tables"的表里。预计算确实也会花费较长时间,但相对暴力破解来说则短多了,而且一旦预计算完成破解开始,那么破解所需要的时间就非常非常短了。
--------------------------------------------------------------------------------
#50 Firewalk:高级路由跟踪工具
Firewalk使用类似路由跟踪的技术来分析IP数据包反馈,以确定网关ACL过滤器类型和网络结构。这款经典的工具在2002年十月由scratch重写。这款工具的大部分功能Hping2的路由跟踪部分也都能实现。
--------------------------------------------------------------------------------
#51 Angry IP Scanner:一款非常快的Windows IP 扫描器和端口扫描器
Angry IP Scanner能够实现最基本的Windows平台上的主机发现和端口扫描。它的体积非常的小,它还可以通过挂载插件(a few plugins)来获得主机其它信息。
--------------------------------------------------------------------------------
#52 RKHunter:一款Unix平台上的Rootkit检测器
RKHunter是一款检测例如rootkit、后门、漏洞等恶意程序的工具。它采用多种检测手段,包括MD5哈希值对比、rootkits原始文件名检测、文件权限检测,以及LKM和KLD模块中的可疑字符串检测。
--------------------------------------------------------------------------------
#53 Ike-scan:VPN检测器和扫描器
Ike-scan是一款检测IKE(Internet Key Exchange)服务传输特性的工具,IKE是VPN网络中服务器和远程客户端建立连接的机制。在扫描到VPN服务器的IP地址后,将改造过的IKE数据包分发给VPN网中的每一主机。只要是运行IKE的主机就会发回反馈来证明它存在。此工具然后对这些反馈数据包进行记录和显示,并将它们与一系列已知的VPN产品指纹进行对比。Ike-scan的VPN指纹包含来自Checkpoint、Cisco、Microsoft、Nortel和Watchguard的产品。
--------------------------------------------------------------------------------
#54 Arpwatch:持续跟踪以太网/IP地址配对,可以检查出中间人攻击
Arpwatch是LBNL网络研究组出品的一款经典的ARP中间人(man-in-the-middle)攻击检测器。它记录网路活动的系统日志,并将特定的变更通过Email报告给管理员。Arpwatch使用LibPcap来监听本地以太网接口ARP数据包。
--------------------------------------------------------------------------------
#55 KisMAC:一款Mac OS X上的图形化被动无线网络搜寻器
这款Mac OS X下非常流行的搜寻器和Kismet功能差不多,但和Kismet不同的是Kismet是基于命令行的,而KisMac有很漂亮的图形化界面,在OS X上出现得也比Kismet早。它同时还提供映射、Pcap兼容格式数据输入、登录和一些解密、验证破解功能。
--------------------------------------------------------------------------------
#56 OSSEC HIDS:一款开源的基于主机的入侵检测系统
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。
--------------------------------------------------------------------------------
#57 Openbsd PF:OpenBSD数据包过滤器
象其它平台上的Netfilter和IP Filter一样,OpenBSD用户最爱用PF,这就是他们的防火墙工具。它的功能有网络地址转换、管理TCP/IP通讯、提供带宽控制和数据包分级控制。它还有一些额外的功能,例如被动操作系统检测。PF是由编写OpenBSD的同一批人编写的,所以您完全可以放心使用,它已经经过了很好的评估、设计和编码以避免暴露其它包过滤器(other packet filters)上的类似漏洞。
--------------------------------------------------------------------------------
#58 Nemesis:简单的数据包注入
Nemesis项目设计目的是为Unix/Linux(现在也包含Windows了)提供一个基于命令行的、小巧的、人性化的IP堆栈。此工具套装按协议分类,并允许对已注入的数据包流使用简单的shell脚本。如果您喜欢Nemesis,您也许对Hping2也会感兴趣,它们是互补的关系。
--------------------------------------------------------------------------------
#59 Tor:匿名网络通讯系统
Tor是一款面向希望提高其网络安全性的广大组织和大众的工具集。Tor的功能有匿名网页浏览和发布、即时信息、irc、ssh以及其它一些TCP协议相关的功能。Tor还为软件开发者提供一个可开发内置匿名性、安全性和其它私密化特性的软件平台。在Vidalia可以获得跨平台的图形化界面。
--------------------------------------------------------------------------------
#60 Knoppix:一款多用途的CD或DVD光盘自启动系统
Knoppix由一系列典型的GNU/Linux软件组成,可以自动检测硬件环境,支持多种显卡、声卡、SCSI和USB设备以及其它外围设备。KNOPPIX作为一款高效的Linux光盘系统,可以胜任例如桌面系统、Linux教学光盘、救援系统等多种用途,经过这次在nmap中调查证实,它也是一款很小巧的安全工具。如果要使用更专业的Linux安全系统请看BackTrack。
--------------------------------------------------------------------------------
#61 ISS Internet Scanner:应用程序漏洞扫描器
Internet Scanner是由Christopher Klaus在92年编写的一款开源的扫描器工具。现在这款工具已经演变成了一个市值上亿美元生产无数安全产品的公司。
--------------------------------------------------------------------------------
#62 Fport:Foundstone出品的加强版netstat
Fport可以报告所有本地机上打开的TCP/IP和UDP端口,并显示是何程序打开的端口。所以用它可以快速识别出未知的开放端口以及与其相关的应用程序。它只有Windows版本,但现在很多UNIX系统上的netstat也提供同样的功能(Linux请用'netstat -pan')。SANS article有Fport的使用说明和结果分析方法。
--------------------------------------------------------------------------------
#63 chkrootkit:本地rootkit检测器
chkrootkit是一款小巧易用的Unix平台上的可以检测多种rootkit入侵的工具。它的功能包括检测文件修改、utmp/wtmp/last日志修改、界面欺骗(promiscuous interfaces)、恶意核心模块(malicious kernel modules)。
--------------------------------------------------------------------------------
#64 SPIKE Proxy:HTTP攻击
Spike Proxy是一款开源的以发现网站漏洞为目的的HTTP代理。它是Spike Application Testing Suite的一部分,功能包括自动SQL注入检测、 网站爬行(web site crawling)、登录列表暴力破解、溢出检测和目录游走检测。
--------------------------------------------------------------------------------
#65 OpenBSD:被认为是最安全的操作系统
OpenBSD是将安全作为操作系统首要任务的操作系统之一,甚至有时安全性级别要高于易用性,所以它骄人的安全性是不言而喻的。OpenBSD也非常重视系统的稳定性和对硬件的支持能力。也许他们最伟大的创举就是创造了OpenSSH。 OpenBSD用户对此系统之上的[pf](OpenBSD上的防火墙工具,本列表中第57位有介绍)也褒奖有佳。
--------------------------------------------------------------------------------
#66 Yersinia:一款支持多协议的底层攻击工具
Yersinia是一款底层协议攻击入侵检测工具。它能实施针对多种协议的多种攻击。例如夺取生成树的根角色(生成树协议:Spanning Tree Protocol),生成虚拟CDP(Cisco发现协议:Cisco Discovery Protocol)邻居、在一个HSRP(热等待路由协议:Hot Standby Router Protocol)环境中虚拟成一个活动的路由器、制造假DHCP反馈,以及其它底层攻击。
--------------------------------------------------------------------------------
#67 Nagios:一款开源的主机、服务和网络监控程序
Nagios是一款系统和网络监控程序。它可以监视您指定的主机和服务,当被监视对象发生任何问题或问题被解决时发出提示信息。它的主要功能有监控网络服务(smtp、pop3、http、nntp、ping等等)、监控主机资源(进程负载、硬盘空间使用情况等等)、当发现问题或问题解决时通过多种形式发出提示信息(Email、寻呼机或其它用户定义的方式)。
--------------------------------------------------------------------------------
#68 Fragroute/Fragrouter:一款网络入侵检测逃避工具集
Fragrouter 是一款单向分段路由器,发送(接收)IP数据包都是从攻击者到Fragrouter,将数据包转换成分段数据流发给受害者。很多入侵检测系统都不能重建一段被视为一个整体的网络数据(通过IP分段和TCP流重组),详情请见这篇文章(this classic paper)。Fragrouter可以帮助骇客在逃避入侵检测后发起基于IP的攻击。它是Dug Song出品的NIDSbench套装中的一部分。Fragroute是Dug song出品的另一款和Fragrouter相似的工具。
--------------------------------------------------------------------------------
#69 X-scan:一款网络漏洞扫描器
一款多线程、支持插件的漏洞扫描器。X-Scan主要功能有全面支持NASL(Nessus攻击脚本语言:Nessus Attack Scripting Language)、检测服务类型、远程操作系统类型(版本)检测、弱用户名/密码匹配等等。最新版本可以在这里获取。请注意这是一个中文网站(原文为英文,所以原文作者提醒英文读者这是个中文网站)。
--------------------------------------------------------------------------------
#70 Whisker/libwhisker:Rain.Forest.Puppy出品的CGI漏洞扫描器和漏洞库
Libwhisker是一款Perl模板集用来测试HTTP。它的功能是测试HTTP服务器上是否存在许多已知的安全漏洞,特别是CGI漏洞。Whisker是一款基于libwhisker的扫描器,但是现在大家都趋向于使用Nikto,它也是基于libwhisker的。
--------------------------------------------------------------------------------
#71 Socat:双向数据传输中继
类似于Netcat的工具,可以工作于许多协议之上,运行于文件、管道、设备(终端或调制解调器等等)、socket(Unix、IP4、IP6-raw、UDP、TCP)、Socks4客户端、代理服务器连接、或者SSL等等之间。它提供forking、logging和dumping,和不同模式的交互式处理通讯,以及更多其它选项。它可以作为TCP中继(单次触发:one-shot或者daemon(Internet中用于邮件收发的后台程序))、作为基于daemon的动态Sockes化(socksifier)、作为Unix平台上sockets的shell接口、作为IP6中继、将面向TCP的程序重定向成串行线路(Serial Line)程序、或者建立用来运行客户端或服务器带有网络连接的shell脚本相关安全环境(su和chroot)。
--------------------------------------------------------------------------------
#72 Sara:安全评审研究助手
SARA是一款源于infamous SATAN扫描器的漏洞评估工具。此工具大约两个月更新一次,出品此工具的开源社区还维护着Nmap和Samba。
--------------------------------------------------------------------------------
#73 QualysGuard:基于网页的漏洞扫描器
在网站上以服务形式发布, 所以QualysGuard没有开发、维护和升级漏洞管理软件或ad-hoc安全应用程序的负担。客户端可以安全的通过一个简单易用的网页访问QualysGuard。QualysGuard含有5000种以上的单一漏洞检查,一个基于推理的扫描引擎,而且漏洞知识库自动天天升级。
--------------------------------------------------------------------------------
#74 ClamAV:一款UNIX平台上的基于GPL(通用公开许可证:General Public License)的反病毒工具集
ClamAV是一款强大的注重邮件服务器附件扫描的反病毒扫描器。它含有一个小巧的可升级的多线程daemon、一个命令行扫描器和自动升级工具。Clam AntiVirus基于AntiVirus package发布的开源病毒库,您也可以将此病毒库应用于您自己的软件中,但是别忘了经常升级。
--------------------------------------------------------------------------------
#75 cheops / cheops-ng:提供许多简单的网络工具,例如本地或远程网络映射和识别计算机操作系统
Cheops提供许多好用的图形化用户界面网络工具。它含有主机/网络发现功能,也就是主机操作系统检测。Cheops-ng用来探查主机上运行的服务。针对某些服务,cheops-ng可以探查到运行服务的应用程序是什么,以及程序的版本号。Cheops已经停止开发和维护,所以请最好使用cheops-ng。
--------------------------------------------------------------------------------
#76 Burpsuite:一款网页程序攻击集成平台
Burp suite允许攻击者结合手工和自动技术去枚举、分析、攻击网页程序。这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用从而发动攻击。
--------------------------------------------------------------------------------
#77 Brutus:一款网络验证暴力破解器
这款Windows平台上的暴力破解器通过字典猜测远程系统网络服务密码。它支持HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不开放源码,UNIX平台上的类似软件有THC Hydra。
--------------------------------------------------------------------------------
#78 Unicornscan:另类端口扫描器
Unicornscan是一款通过尝试连接用户系统(User-land)分布式TCP/IP堆栈获得信息和关联关系的端口扫描器。它试图为研究人员提供一种可以刺激TCP/IP设备和网络并度量反馈的超级接口。它主要功能包括带有所有TCP变种标记的异步无状态TCP扫描、异步无状态TCP标志捕获、通过分析反馈信息获取主动/被动远程操作系统、应用程序、组件信息。它和Scanrand一样都是另类扫描器。
--------------------------------------------------------------------------------
#79 Stunnel:用途广泛的SSL加密封装器
stunnel用来对远程客户端和本地机(可启动inetd的:inetd-startable)或远程服务器间的SSL加密进行封装。它可以在不修改任何代码的情况下,为一般的使用inetd daemon的POP2、POP3和IMAP服务器添加SSL功能。它通过使用OpenSSL或SSLeay库建立SSL连接。
--------------------------------------------------------------------------------
#80 Honeyd:您私人的蜜罐系统
Honeyd是一个可以在网络上创建虚拟主机的小型daemon。可以对此虚拟主机的服务和TCP进行配置,使其在网络中看起来是在运行某种操作系统。Honeyd可以使一台主机在局域网中模拟出多个地址以满足网络实验环境的要求。虚拟主机可以被ping通,也可以对它们进行路由跟踪。通过对配置文件进行设置可以使虚拟计算机模拟运行任何服务。也可以使用服务代理替代服务模拟。它的库有很多,所以编译和安装Honeyd比较难。
--------------------------------------------------------------------------------
#81 Fping:一个多主机同时ping扫描程序
fping是一款类似ping(1)(ping(1)是通过ICMP(网络控制信息协议Internet Control Message Protocol)协议回复请求以检测主机是否存在)的程序。Fping与ping不同的地方在于,您可以在命令行中指定要ping的主机数量范围,也可以指定含有要ping的主机列表文件。与ping要等待某一主机连接超时或发回反馈信息不同,fping给一个主机发送完数据包后,马上给下一个主机发送数据包,实现多主机同时ping。如果某一主机ping通,则此主机将被打上标记,并从等待列表中移除,如果没ping通,说明主机无法到达,主机仍然留在等待列表中,等待后续操作。
--------------------------------------------------------------------------------
#82 BASE:基础分析和安全引擎(Basic Analysis and Security Engine)
BASE是一款基于PHP的可以搜索和实施安全事件的分析引擎,她的安全事件数据库来源于很多入侵检测系统、防火墙、网络检测工具生成的安全事件。它的功能包括一个查找生成器和搜索界面,用来搜索漏洞;一个数据包浏览器(解码器);还可以根据时间、传感器、信号、协议和IP地址等生成状态图。
--------------------------------------------------------------------------------
#83 Argus:IP网络事务评审工具
Argus是一款固定模型的实时的流量监视器,用来跟踪和报告数据网络通讯流中所有事务的状态和性能。Argus为流量评估定制了一种数据格式,其中包括连通性、容量、请求、丢包、延迟和波动,这些就作为评估事务的元素。这种数据格式灵活易扩展,支持常用流量标识和度量,还可以获得指定的应用程序/协议的信息。
--------------------------------------------------------------------------------
#84 Wikto:网页服务器评估工具
Wikto是一款检查网页服务器漏洞的工具。它和Nikto类似,但是添加了很多其它功能,例如一个整合了Google的后台发掘器。Wikto工作于MS ..NET环境下,下载此软件和源代码需要注册。
--------------------------------------------------------------------------------
#85 Sguil:网络安全监控器命令行分析器
Sguil(按sgweel发音)是由network security analysts出品的网络安全分析工具。Sguil的主要组件就是一个Snort/barnyard实时事件显示界面。它还包含一些网络安全监控的辅助工具和事件驱动的入侵检测系统分析报告。
--------------------------------------------------------------------------------
#86 Scanrand:一个异常快速的无状态网络服务和拓朴结构发现系统
Scanrand是一款类似Unicornscan的无状态主机发现和端口扫描工具。它以降低可靠性来换取异常快的速度,还使用了加密技术防止黑客修改扫描结果。此工具是Dan Kaminsky出品的Paketto Keiretsu的一部分。
--------------------------------------------------------------------------------
#87 IP Filter:小巧的UNIX数据包过滤器
IP Filter是一款软件包,可以实现网络地址转换(network address translation)(NAT)或者防火墙服务的功能。它可以作为UNIX的一个核心模块,也可以不嵌入核心,强烈推荐将其作为UNIX的核心模块。安装和为系统文件打补丁要使用脚本。IP Filter内置于FreeBSD、NetBSD和Solaris中。OpenBSD可以使用Openbsd PF,Linux用户可以使用Netfilter。
--------------------------------------------------------------------------------
#88 Canvas:一款全面的漏洞检测框架
Canvas是Aitel's ImmunitySec出品的一款漏洞检测工具。它包含150个以上的漏洞,它比Core Impact便宜一些,但是它也价值数千美元。您也可以通过购买VisualSploit Plugin实现在图形界面上通过拖拽就可以生成漏洞。Canvas偶尔也会发现一些ODay漏洞。
--------------------------------------------------------------------------------
#89 VMware:多平台虚拟软件
VMware虚拟软件允许您在一个系统中虚拟运行另一个系统。这对于安全专家在多平台下测试代码和漏洞非常有用。它只运行在Windows和Linux平台上,但它可以虚拟运行几乎所有的x86操作系统。它对建立沙箱(sandboxes)也非常有用。在VMware虚拟系统上感染了恶意软件不会影响到宿主机器,可以通过加载快照文件恢复被感染了的虚拟系统。VMware不能创建虚拟系统的镜像文件。VMware最近刚刚宣布免费。另一款在Linux下颇受瞩目的虚拟平台软件是Xen。
--------------------------------------------------------------------------------
#90 Tcptraceroute:一款基于TCP数据包的路由跟踪工具
现代网络广泛使用防火墙,导致传统路由跟踪工具发出的(ICMP应答(ICMP echo)或UDP)数据包都被过滤掉了,所以无法进行完整的路由跟踪。尽管如此,许多情况下,防火墙会准许反向(inbound)TCP数据包通过防火墙到达指定端口,这些端口是主机内防火墙背后的一些程序和外界连接用的。通过发送TCP SYN数据包来代替UDP或者ICMP应答数据包,tcptraceroute可以穿透大多数防火墙。
--------------------------------------------------------------------------------
#91 SAINT:安全管理综合网络工具
SAINT象Nessus、ISS Internet Scanner和Retina一样,也是一款商业漏洞评估工具。它以前是运行在UNIX系统之上的免费开源工具,但现在收费了。
--------------------------------------------------------------------------------
#92 OpenVPN:全功能SSL VPN解决方案
OpenVPN是一款开源的SSL VPN工具包,它可以实现很多功能,包括远程登录、站对站VPN、WiFi安全、带有负载平衡的企业级远程登录解决方案、节点控制移交(failover)、严密的访问控制。OpenVPN运行于OSI 2层或3层安全网络,使用SSL/TLS工业标准协议,支持灵活的基于证书、智能卡、二元验证的客户端验证方法,允许在VPN虚拟接口上使用防火墙规则作为用户或指定用户组的访问控制策略。OpenVPN使用OpenSSL作为其首选加密库
--------------------------------------------------------------------------------
#93 OllyDbg:汇编级Windows调试器
OllyDbg是一款微软Windows平台上的32位汇编级的分析调试器。因其直接对二进制代码进行分析,所以在无法获得源代码的时候它非常有用。OllyDbg含有一个图形用户界面,它的高级代码分析器可以识别过程、循环、API调用、交换、表、常量和字符串,它可以加载运行时程序,支持多线程。OllyDbg可以免费下载,但不开源。
--------------------------------------------------------------------------------
#94 Helix:一款注重安全防护的Linux版本
Helix是一款自定义版本的Knoppix自启动Linux光盘系统。Helix远不止是一张自启动光盘。除了光盘启动到自定义的Linux环境,还具有超强的硬件支持能力,包含许多应付各种问题的软件。Helix尽量少的接触主机软硬资源。Helix不自动加载交换(swap)空间,不自动加载其它任何外围设备。Helix还可以自动加载Windows,以应对意外情况。
--------------------------------------------------------------------------------
#95 Bastille:Linux、Mac OS X和HP-UX的安全加强脚本
Bastille使操作系统固若金汤,减少系统遭受危险的可能,增加系统的安全性。Bastille还可以评估系统当前的安全性,周期性的报告每一项安全设置及其工作情况。Bastille当前支持Red Hat(Fedora Core、Enterprise和Numbered/Classic版本)、SUSE、Debian、Gentoo和Mandrake这些Linux版本,还有HP-UX和Mac OS X。Bastille旨在使系统用户和管理员了解如何加固系统。在其默认的最坚固模式下,它不断的询问用户问题,并对这些问题加以解释,根据用户对问题不同的回答选择不同的应对策略。在其评估模式下,它会生成一份报告旨在告诉用户有哪些安全设置可用,同时也提示用户哪些设置被加固了。
--------------------------------------------------------------------------------
#96 Acunetix Web Vulnerability Scanner:商业漏洞扫描器
Acunetix WVS自动检查您的网页程序漏洞,例如SQL注入、跨网站脚本和验证页面弱密码破解。Acunetix WVS有着非常友好的用户界面,还可以生成个性化的网站安全评估报告。
--------------------------------------------------------------------------------
#97 TrueCrypt:开源的Windows和Linux磁盘加密软件
TrueCrypt是一款非常出色的开源磁盘加密系统。用户可以加密整个文件系统,它可以实时加密/解密而不需要用户干涉,只要事先输入密码。非常巧妙的hidden volume特性允许您对特别敏感的内容进行第二层加密来隐藏它的存在。所以就算加密系统的密码暴露,黑客也不知道还有隐藏内容存在。
--------------------------------------------------------------------------------
#98 Watchfire AppScan:商业网页漏洞扫描器
AppScan按照应用程序开发生命周期进行安全测试,早在开发阶段就进行单元测试和安全保证。Appscan能够扫描多种常见漏洞,例如跨网站脚本、HTTP应答切开、参数篡改、隐藏值篡改、后门/调试选项和缓冲区溢出等等。
--------------------------------------------------------------------------------
#99 N-Stealth:网页服务器扫描器
N-Stealth是一款网页服务器安全扫描器。它比Whisker/libwhisker和Nikto这些免费的网页扫描器升级得更频繁,但是它网站上声称的可以扫描30000种漏洞(30000 vulnerabilities and exploits)和每天添加数十种漏洞(Dozens of vulnerability checks are added every day)的说法是很值得怀疑的。象Nessus、ISS Internet Scanner、Retina、SAINT和Sara这些防入侵工具都含有网页扫描组件,它们都很难做到每日更新。N-Stealth运行于Windows平台之上,且不开源。
--------------------------------------------------------------------------------
#100 MBSA:微软基准安全分析器(Microsoft Baseline Security Analyzer)
Microsoft Baseline Security Analyzer(MBSA)是一款简单易用的工具,帮助IT专业人员检测其小型和中型商业应用的安全性,将用户系统与微软安全建议(Microsoft security recommendations)进行比对,并给出特定的建议指导。通过与Windows内置的Windows自动升级代理器(Windows Update Agent)和微软自动升级基础架构(Microsoft Update infrastructure)的协作,MBSA能够保证和其它微软管理产品的数据保持一致,它们包括微软自动升级(Microsoft Update(MU))、Windows服务器自动升级服务(Windows Server Update Services(WSUS))、系统管理服务器(Systems Management Server(SMS))和微软运行管理器(Microsoft Operations Manager(MOM))。MBSA平均每周要扫描3百万台电脑。
--------------------------------------------------------------------------------
受访者被要求列出各种平台上的开源和商业工具。商业工具会在列表中进行标注。Nmap Security Scanner 没有参与投票,因为调查是在Nmap的邮件列表中进行的。因为受访者多为黑客的原因,所以此列表中攻击型的工具偏多一些,防守型的则少一些。
列表中每个工具都含有以下一种或几种属性:2003年调查列表中未出现的工具;相对于2003年调查列表排名升或降;需要花钱购买。但可以免费获得限制、演示、试用版本软件;可以工作于Linux平台之上;可以工作于OpenBSD、FreeBSD、Solaris 或其它UNIX平台之上;可以工作于苹果Mac OS X平台之上;可以工作于微软Windows平台之上;提供命令行操作方式;提供图形化用户界面;在互联网上可以找到源代码。
如果您发现列表中的工具有更新或者有其它建议--或者有更好的工具图标 可以发送邮件给我。如果您的工具入选此列表了,或者您认为您网站的访客也许会对此列表感兴趣,欢迎您通过link banners把本文链接到您网站上。以下开始为正式列表,按受欢迎程度降序排列:
#1 Nessus:最好的UNIX漏洞扫描工具
Nessus 是最好的免费网络漏洞扫描器,它可以运行于几乎所有的UNIX平台之上。它不止永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance--终端用户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的一种图形界面)图形界面,内置脚本语言编译器,可以用其编写自定义插件,或用来阅读别人写的插件。Nessus 3 已经开发完成(now closed source),其现阶段仍然免费,除非您想获得最新的插件。
--------------------------------------------------------------------------------
#2 Wireshark:网络嗅探工具
Wireshark (2006年夏天之前叫做 Ethereal)是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据,也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性:包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;它更支持上百种协议和媒体类型; 拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。不得不说一句,Ethereal已经饱受许多可远程利用的漏洞折磨,所以请经常对其进行升级,并在不安全网络或敌方网络(例如安全会议的网络)中谨慎使用之。
--------------------------------------------------------------------------------
#3 Snort:一款广受欢迎的开源IDS(Intrusion Detection System)(入侵检测系统)工具
这款小型的入侵检测和预防系统擅长于通讯分析和IP数据包登录(packet logging)。Snort除了能够进行协议分析、内容搜索和包含其它许多预处理程序,还可以检测上千种蠕虫病毒、漏洞、端口扫描以及其它可疑行为检测。Snort使用一种简单的基于规则的语言来描述网络通讯,以及判断对于网络数据是放行还是拦截,其检测引擎是模块化的。 用于分析Snort警报的网页形式的引擎 Basic Analysis and Security Engine (BASE)可免费获得。
开源的Snort为个人、小企业、集团用户提供良好的服务。其母公司SourceFire提供丰富的企业级特性和定期升级以丰富其产品线。提供(必须注册)5天免费的规则试用,您也可以在Bleeding Edge Snort找到很多免费规则。
--------------------------------------------------------------------------------
#4 Netcat:网络瑞士军刀
这个简单的小工具可以读和写经过TCP或UDP网络连接的数据。它被设计成一个可靠的可以被其它程序或脚本直接和简单使用的后台工具。同时,它也是一个功能多样的网络调试和检查工具,因为它可以生成几乎所有您想要的网络连接,包括通过端口绑定来接受输入连接。Netcat最早由Hobbit在1995年发布,但在其广为流传的情况下并没有得到很好的维护。现在nc110.tgz已经很难找了。这个简单易用的工具促使了很多人写出了很多其它Netcat应用,其中有很多功能都是原版本没有的。其中最有趣的是Socat,它将Netcat扩展成可以支持多种其它socket类型,SSL加密,SOCKS代理,以及其它扩展的更强大的工具。它也在本列表中得到了自己的位置(第71位)。还有Chris Gibson's Ncat,能够提供更多对便携设备的支持。其它基于Netcat的工具还有OpenBSD's nc,Cryptcat,Netcat6,PNetcat,SBD,又叫做GNU Netcat。
--------------------------------------------------------------------------------
#5 Metasploit Framework:黑掉整个星球
2004年Metasploit的发布在安全界引发了强烈的地震。没有一款新工具能够一发布就挤进此列表的15强(也就是说2000年和2003年的调查没有这种情况),更何况此工具更在5强之列,超过了很多广为流传的诞生了几十年的老牌工具。它是一个强大的开源平台,供开发、测试和使用恶意代码。这种可扩展的模型将负载控制、编码器、无操作生成器和漏洞整合在一起,使得Metasploit Framework成为一种研究高危漏洞的途径。它自带上百种漏洞,还可以在online exploit building demo(在线漏洞生成演示)看到如何生成漏洞。这使得您自己编写漏洞变得更简单,它势必将提升非法shellcode代码的水平,扩大网络阴暗面。与其相似的专业漏洞工具,例如Core Impact和Canvas已经被许多专业领域用户使用。Metasploit降低了这种能力的门槛,将其推广给大众。
--------------------------------------------------------------------------------
#6 Hping2:一种网络探测工具,是ping的超级变种
这个小工具可以发送自定义的ICMP,UDP和TCP数据包,并接收所有反馈信息。它的灵感来源于ping命令,但其功能远远超过ping。它还包含一个小型的路由跟踪模块,并支持IP分段。此工具可以在常用工具无法对有防火墙保护的主机进行路由跟踪/ping/探测时大显身手。它经常可以帮助您找出防火墙的规则集,当然还可以通过它来学习TCP/IP协议,并作一些IP协议的实验。
--------------------------------------------------------------------------------
#7 Kismet:一款超强的无线嗅探器
Kismet是一款基于命令行(ncurses)的802.11 layer2无线网络探测器、嗅探器、和入侵检测系统。它对网络进行被动嗅探(相对于许多主动工具,例如NetStumbler),可以发现隐形网络(非信标)。它可以通过嗅探TCP、UDP、ARP和DHCP数据包来自动检测网络IP段,以Wireshark/TCPDump兼容格式记录通讯日志,更加可以将被检测到的网络分块并按照下载的分布图进行范围估计。如您所想,这款工具一般被wardriving所使用。嗯!还有warwalking、warflying和warskating……
--------------------------------------------------------------------------------
#8 Tcpdump:最经典的网络监控和数据捕获嗅探器
在Ethereal(Wireshark)出现之前大家都用Tcpdump,而且很多人现在还在一直使用。它也许没有Wireshark那么多花里胡哨的东西(比如漂亮的图形界面,亦或数以百计的应用协议逻辑分析),但它能出色的完成很多任务,并且漏洞非常少,消耗系统资源也非常少。它很少添加新特性了,但经常修复一些bug和维持较小的体积。它能很好的跟踪网络问题来源,并能监控网络活动。其Windows下的版本叫做WinDump。Libpcap/WinPcap的包捕获库就是基于TCPDump,它也用在Nmap等其它工具中。
--------------------------------------------------------------------------------
#9 Cain and Abel:Windows平台上最好的密码恢复工具
UNIX用户经常声称正是因为Unix平台下有很多非常好的免费安全工具,所以Unix才会成为最好的平台,而Windows平台一般不在他们的考虑范围之内。他们也许是对的,但Cain & Abel确实让人眼前一亮。这种只运行于Windows平台的密码恢复工具可以作很多事情。它可以通过嗅探网络来找到密码、利用字典破解加密密码、暴力破解密码和密码分析、记录VoIP会话、解码非常复杂的密码、星号查看、剥离缓存密码以及分析路由协议。另外其文档也很齐全(well documented)。
--------------------------------------------------------------------------------
#10 John the Ripper:一款强大的、简单的以及支持多平台的密码破解器
John the Ripper是最快的密码破解器,当前支持多种主流Unix (官方支持11种,没有计算不同的架构)、DOS、Win32、BeO和OpenVMS。它的主要功能就是检测弱Unix密码。它支持主流Unix下的多种(3种)密码哈希加密类型,它们是Kerberos、AFS以及Windows NT/2000/XP LM。其它哈希类型可以通过补丁包加载。如果您希望从一些单词表开始的话,您可以在这里、这里和这里找到。
--------------------------------------------------------------------------------
#11 Ettercap:为交换式局域网提供更多保护
Ettercap是一款基于终端的以太网络局域网嗅探器/拦截器/日志器。它支持主动和被动的多种协议解析(甚至是ssh和https这种加密过的)。还可以进行已建立连接的数据注入和实时过滤,保持连接同步。大部分嗅探模式都是强大且全面的嗅探组合。支持插件。能够识别您是否出在交换式局域网中,通过使用操作系统指纹(主动或被动)技术可以得出局域网结构。
--------------------------------------------------------------------------------
#12 Nikto:非常全面的网页扫描器
Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3200种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
--------------------------------------------------------------------------------
#13 Ping/telnet/dig/traceroute/whois/netstat:基本命令
虽然有很多重型的高科技网络安全工具,但是不要忘记其基础!所有网络安全人士都要对这些基本命令非常熟悉,因为它们对大多数平台都适用(在Windows平台上whois为tracert)。它们可以随手捏来,当然如果需要使用一些更高级的功能可以选择Hping2和Netcat。
--------------------------------------------------------------------------------
#14 OpenSSH / PuTTY / SSH:访问远程计算机的安全途径
SSH(Secure Shell)现在普遍应用于登录远程计算机或在其上执行命令。它为不安全网络上的两台不互信计算机间通讯提供安全加密,代替非常不可靠的telnet/rlogin/rsh交互内容。大多UNIX使用开源的OpenSSH服务器和客户端程序。Windows用户更喜欢免费的PuTTY客户端,它也可以运行在多种移动设备上。还有一些Windows用户喜欢使用基于终端的OpenSSH模拟程序Cygwin。还有其它很多收费和免费的客户端。您可以在这里和这里找到。
--------------------------------------------------------------------------------
#15 THC Hydra:支持多种服务的最快的网络认证破解器
如果您需要暴力破解一个远程认证服务,Hydra经常会是选择对象。它可以同时对30个以上的端口进行基于字典的快速破解,包括telnet、ftp、http、https、smb、多种数据库及其它服务。和THC Amap一样,此Hydra版本来自于民间组织THC。
--------------------------------------------------------------------------------
#16 Paros proxy:网页程序漏洞评估代理
基于Java的网页程序漏洞评估代理。支持实时编辑和浏览HTTP/HTTPS信息,修改例如Cookie和表字段中的内容。它包含有网页通讯记录器、网页小偷(web spider)、哈希计算器和一个常用网页程序攻击扫描器,例如SQL注入和跨网站脚本等。
--------------------------------------------------------------------------------
#17 Dsniff:一款超强的网络评估和渗透检测工具套装
由Dug Song精心设计并广受欢迎的这款套装包含很多工具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和webspy通过被动监视网络以获得敏感数据(例如密码、邮件地址、文件等)。Arpspoof、dnsspoof和macof能够拦截一般很难获取到的网络通讯信息(例如由于使用了第二层转换(layer-2 switching))。Sshmitm和webmitm通过ad-hoc PKI中弱绑定漏洞对ssh和https会话进行重定向实施动态monkey-in-the-middle(利用中间人攻击技术,对会话进行劫持)攻击。Windows版本可以在这里获取。总之,这是一个非常有用的工具集。它能完成几乎所有密码嗅探需要作的工作。
--------------------------------------------------------------------------------
#18 NetStumbler:免费的Windows 802.11嗅探器
Netstumbler是广为人知的寻找开放无线访问接入点的Windows工具("wardriving")。其PDA上的WinCE系统版本名叫Ministumbler。此软件当前免费,但只能够运行在Windows平台上,且代码不公开。它使用很多主动方法寻找WAP,而Kismet或KisMAC则更多使用被动嗅探。
--------------------------------------------------------------------------------
#19 THC Amap:一款应用程序指纹扫描器
Amap是一款很棒的程序,它可以检测出某一端口正在被什么程序监听。因为其独有的version detection特性,所以其数据库不会象Nmap一样变得很大,在Nmap检测某一服务失败或者其它软件不起作用时可以考虑使用之。Amap的另一特性是其能够解析Nmap输出文件。这也是THC贡献的另一款很有价值的工具。
--------------------------------------------------------------------------------
#20 GFI LANguard:一款Windows平台上的商业网络安全扫描器
GFI LANguard通过对IP网络进行扫描来发现运行中的计算机,然后尝试收集主机上运行的操作系统版本和正在运行的应用程序。我曾经尝试收集到了Windows主机上的service pack级别、缺少的安全更新、无线访问接入点、USB设备、开放的共享、开放的端口、正在运行的服务和应用程序、主要注册表项、弱密码、用户和组别以及其它更多信息。扫描结果保存在一份可自定义/可查询的HTML报告文档中。它还含有一个补丁管理器,可以检查并安装缺少的补丁。试用版可以免费获得,但只能使用30天。
--------------------------------------------------------------------------------
#21 Aircrack:最快的WEP/WPA破解工具
Aircrack是一套用于破解802.11a/b/g WEP和WPA的工具套装。一旦收集到足够的加密数据包它可以破解40到512位的WEP密匙,它也可以通过高级加密方法或暴力破解来破解WPA 1或2网络。套装中包含airodump(802.11数据包捕获程序)、aireplay (802.11数据包注入程序)、aircrack(静态WEP和WPA-PSK破解),和airdecap(解密WEP/WPA捕获文件)。
--------------------------------------------------------------------------------
#22 Superscan:只运行于Windows平台之上的端口扫描器、ping工具和解析器
SuperScan是一款Foundstone开发的免费的只运行于Windows平台之上的不开源的TCP/UDP端口扫描器。它其中还包含许多其它网络工具,例如ping、路由跟踪、http head和whois。
--------------------------------------------------------------------------------
#23 Netfilter:最新的Linux核心数据包过滤器/防火墙
Netfilter是一款强大的运行于标准Linux核心上的包过滤器。它集成了用户空间IP列表工具。当前,它支持包过滤(无状态或有状态)、所有类型的网络地址和端口转换(NAT/NAPT)并支持多API层第三方扩展。它包含多种不同模块用来处理不规则协议,例如FTP。其它UNIX平台请参考Openbsd PF(只用于OpenBSD)或者IP Filter。许多个人防火墙(personal firewalls)都支持Windows (Tiny、Zone Alarm、Norton、Kerio...),但都不提供上述IP列表。微软在Windows XP SP2中集成了一款非常基础的防火墙,如果您不安装它,它就会不断地提示您安装。
--------------------------------------------------------------------------------
#24 Sysinternals:一款强大的非常全面的Windows工具合集
Sysinternals为Windows低级入侵提供很多非常有用的小工具。其中一部分是免费的,有些还附有源代码,其它是需要付费使用的。受访者最喜欢此集合中的以下工具:
ProcessExplorer 监视所有进程打开的所有文件和目录(类似Unix上的LSoF)。
PsTools 管理(执行、挂起、杀死、查看)本地和远程进程。
Autoruns 发现系统启动和登陆时加载了哪些可执行程序。
RootkitRevealer 检测注册表和文件系统API异常,用以发现用户模式或内核模式的rootkit工具。
TCPView 浏览每个进程的TCP和UDP通讯终点(类似Unix上的Netstat)。
生产此软件的公司已被微软于2005年收购,所以其未来产品线特征无法预测。
--------------------------------------------------------------------------------
#25 Retina:eEye出品的商业漏洞评估扫描器
象Nessus一样,Retina的功能是扫描网络中所有的主机并报告发现的所有漏洞。eEye出品,此公司以其security research而闻名。
--------------------------------------------------------------------------------
#26 Perl / Python / Ruby:简单的、多用途的脚本语言
常用的安全问题都能在网上找到工具解决,但使用脚本语言您可以编写您自己的(或编辑现有的)工具,当您需要解决某种特定问题的时候。快速、简单的脚本语言可以测试、发现漏洞甚至修复系统漏洞。CPAN上充满了类似Net::RawIP和执行协议的程序模块,可以使您的工作更加轻松。
--------------------------------------------------------------------------------
#27 L0phtcrack:Windows密码猜测和恢复程序
L0phtCrack也叫作LC5,用来尝试通过哈希(通过某种访问方式获得的)方法破解诸如Windows NT/2000工作站、联网服务器、主域控制器、或活动目录密码,有时它也可以通过嗅探获得密码的哈希值。它还可以通过多种手段来猜测密码(字典、暴力破解等等)。Symantec公司2006年已经停止了LC5的开发,但LC5 installer的安装文件随处可以找到。免费试用版只能使用15天,Symantec已经停止出售此软件的注册码,所以如果您不想放弃使用它,就必须找到一个与其对应的注册码生成器(key generator)。因为Symantec不再维护此软件,所以最好尝试用Cain and Abel或John the Ripper来代替之。
--------------------------------------------------------------------------------
#28 Scapy:交互式数据包处理工具
Scapy是一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。它提供多种类别的交互式生成数据包或数据包集合、对数据包进行操作、发送数据包、包嗅探、应答和反馈匹配等等功能。Python解释器提供交互功能,所以要用到Python编程知识(例如variables、loops、和functions)。支持生成报告,且报告生成简单。
--------------------------------------------------------------------------------
#29 Sam Spade:Windows网络查询免费工具
Sam Spade为许多网络查询的一般工作提供了图形界面和方便的操作。此工具设计用于跟踪垃圾信息发送者,但它还可以用于许多其它的网络探查、管理和安全工作。它包含许多有用的工具,例如ping、nslookup、whois、dig、路由跟踪、查找器、原始HTTP网页浏览器、DNS地址转换、SMTP中继检查、网站搜索等等。非Windows用户可以在线使用更多其它工具。
--------------------------------------------------------------------------------
#30 GnuPG / PGP :对您的文件和通讯进行高级加密
PGP是Phil Zimmerman出品的著名加密程序,可以使您的数据免受窃听以及其它危险。GnuPG是一款口碑很好的遵守PGP标准的开源应用(可执行程序名为gpg)。GunPG是免费的,而PGP对某些用户是收费的。
--------------------------------------------------------------------------------
#31 Airsnort:802.11 WEP加密破解工具
AirSnort是一款用来恢复加密密码的无线LAN(WLAN)工具。Shmoo Group出品,工作原理是被动监控传输信息,当收集到足够多的数据包后开始计算加密密码。Aircrack和它很像。
--------------------------------------------------------------------------------
#32 BackTrack:一款极具创新突破的Live(刻在光盘上的,光盘直接启动) 光盘自启动Linux系统平台
这款卓越的光盘自启动Linux系统是由Whax和Auditor合并而成。它以其超级多的安全和防护工具配以丰富的开发环境而闻名。重点在于它的用户模块化设计,用户可以自定义将哪些模块刻到光盘上,例如自己编写的脚本、附加工具、自定义内核等等。
--------------------------------------------------------------------------------
#33 P0f:万能的被动操作系统指纹工具
P0f能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题。P0f不增加任何直接或间接的网络负载,没有名称搜索、没有秘密探测、没有ARIN查询,什么都没有。某些高手还可以用P0f检测出主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等等!
--------------------------------------------------------------------------------
#34 Google:人人喜爱的搜索引擎
Google当然不是什么安全工具,但是它超级庞大的数据库却是安全专家和入侵者最好的资源。如果您想了解某一公司,您可以直接用它搜索 “site:target-domain.com”,您可以获得员工姓名、敏感信息(通常公司不对外公开的,但在Google上就难说了)、公司内部安装的软件漏洞等等。同样,如果您在Google上发现一个有某个漏洞的网站,Google还会提供给您其它有相同漏洞的网站列表。其中利用Google进行黑客活动的大师Johny Long建立了一个Google黑客数据库(Google Hacking Database)还出版了一本如何用Google进行黑客活动的书Google Hacking for Penetration Testers。
--------------------------------------------------------------------------------
#35 WebScarab:一个用来分析使用HTTP和HTTPS协议的应用程序框架
它的原理很简单,WebScarab记录它检测到的会话内容(请求和应答),使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;也可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。
--------------------------------------------------------------------------------
#36 Ntop:网络通讯监控器
Ntop以类似进程管理器的方式显示网络使用情况。在应用程序模式下,它能显示用户终端上的网络状况。在网页模式下,它作为网页服务器,以HTML文档形式显示网络状况。它是NetFlow/sFlow发射和收集器,通过一个基于HTTP的客户端界面来生成以ntop为中心的监控程序,RRD(Round Robin Database)(环形数据库)用来持续储存网络通讯状态信息。
--------------------------------------------------------------------------------
#37 Tripwire:很老的文件完整性检查器
一款文件和目录完整性检查器。Tripwire是一种可以帮助系统管理员和一般用户监控某一特定文件或目录变化的工具。可以用以对系统文件作日常(例如:每天)检查,Tripwire可以向系统管理员通报文件损坏或被篡改情况,所以这是一种周期性的文件破坏控制方法。免费的开源Linux版本可以在Tripwire.Org下载到。AIDE是UNIX平台的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的选择。Windows用户请使用Sysinternals出品的RootkitRevealer。
--------------------------------------------------------------------------------
#38 Ngrep:方便的数据包匹配和显示工具
ngrep尽可能多的去实现GNU grep的功能,将它们应用于网络层。Ngrep是一款pcap-aware工具,它允许指定各种规则式或16进制表达式去对数据负载或数据包进行匹配。当前支持TCP、UDP、以太网上的ICMP、PPP、SLIP、FDDI、令牌环(Token Ring)和空接口(null interfaces),还能理解类似Tcpdump和snoop等一样形式的bpf过滤器逻辑。
--------------------------------------------------------------------------------
#39 Nbtscan:在Windows网络上收集NetBIOS信息
NBTscan是一款在IP网络上扫描NetBIOS名称信息的工具。它通过给指定范围内所有地址发送状态查询来获得反馈信息并以表形式呈现给使用者。每一地址的反馈信息包括IP地址、NetBIOS计算机名、登录用户、MAC地址。
--------------------------------------------------------------------------------
#40 WebInspect:强大的网页程序扫描器
SPI Dynamics' WebInspect应用程序安全评估工具帮您识别已知和未知的网页层漏洞。它还能检测到Web服务器的配置属性,以及进行常见的网页攻击,例如参数注入、跨网站脚本、目录游走等等。
--------------------------------------------------------------------------------
#41 OpenSSL:最好的SSL/TLS加密库
OpenSSL项目的目的是通过开源合作精神开发一种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应用于SSL v2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)协议的普遍适用的加密库工具集。本项目由世界范围内的志愿者们维护,他们通过互联网联络、计划和开发OpenSSL工具集及其相关文档。
--------------------------------------------------------------------------------
#42 Xprobe2:主动操作系统指纹工具
XProbe是一款远程主机操作系统探查工具。开发者基于和Nmap相同的一些技术(same techniques),并加入了自己的创新。Xprobe通过ICMP协议来获得指纹。
--------------------------------------------------------------------------------
#43 EtherApe:EtherApe是Unix平台上的模仿etherman的图形界面网络监控器
包含连接层、IP和TCP三种模式,EtherApe网络活动图通过不同颜色来标识不同协议。主机和连接的图形大小随通讯情况而变化。它支持以太网、FDDI、令牌环、ISDN、PPP和SLIP设备。它可以实施过滤网络通讯,也可以抓取网络通讯快照文件。
--------------------------------------------------------------------------------
#44 Core Impact:全自动的全面入侵检测工具
Core Impact可不便宜(先准备个上万美元吧),但它却是公认的最强的漏洞检测工具。它有一个强大的定时更新的专业漏洞数据库,它可以轻易的黑掉一台计算机,并以它为跳板再去作别的事情。如果您买不起Core Impact,可以看看比较便宜的Canvas或者免费的Metasploit Framework。当然,三个同时用是最好的了。
--------------------------------------------------------------------------------
#45 IDA Pro:Windows或Linux反编译器和调试器
反编译器是一块很重要的安全研究方向。它可以帮您拆解微软的补丁,以了解微软未公开并悄悄修补的漏洞,或直接以二进制的方式对某个服务器进行检测,以找出为何某个存在的漏洞不起作用。反编译器有很多,但IDA Pro是遵守二进制包事实标准(de-facto standard)的恶意代码和漏洞研究分析工具。这个图形化的、可编程的、可扩展的、支持多处理器的反编译器现在有了一个和Windows一模一样的Linux(命令行模式)版本。
--------------------------------------------------------------------------------
#46 SolarWinds:网络发现/监控/攻击系列工具
SolarWinds生产和销售了许多专业的系统管理工具。安全相关的包括许多网络发现扫描器、一个SNMP暴力破解器、路由器密码解密器、TCP连接重置程序、最快最易用的一个路由器设置下载和上传程序等等。
--------------------------------------------------------------------------------
#47 Pwdump:一款Windows密码恢复工具
Pwdump可以从Windows主机中取得NTLM和LanMan哈希值,无论系统密码是否启用。它还能显示系统中存在的历史密码。数据输出格式为L0phtcrack兼容格式,也可以以文件形式输出数据。
--------------------------------------------------------------------------------
#48 LSoF:打开文件列表
这是一款Unix平台上的诊断和研究工具,它可以列举当前所有进程打开的文件信息。它也可以列举所有进程打开的通讯socket(communications sockets)。Windows平台上类似的工具有Sysinternals。
--------------------------------------------------------------------------------
#49 RainbowCrack:极具创新性的密码哈希破解器
RainbowCrack是一款使用了大规模内存时间交换(large-scale time-memory trade-off)技术的哈希破解工具。传统的暴力破解工具会尝试每一个可能的密码,要破解复杂的密码会很费时。RainbowCrack运用时间交换技术对破解时间进行预计算,并将计算结果存入一个名叫"rainbow tables"的表里。预计算确实也会花费较长时间,但相对暴力破解来说则短多了,而且一旦预计算完成破解开始,那么破解所需要的时间就非常非常短了。
--------------------------------------------------------------------------------
#50 Firewalk:高级路由跟踪工具
Firewalk使用类似路由跟踪的技术来分析IP数据包反馈,以确定网关ACL过滤器类型和网络结构。这款经典的工具在2002年十月由scratch重写。这款工具的大部分功能Hping2的路由跟踪部分也都能实现。
--------------------------------------------------------------------------------
#51 Angry IP Scanner:一款非常快的Windows IP 扫描器和端口扫描器
Angry IP Scanner能够实现最基本的Windows平台上的主机发现和端口扫描。它的体积非常的小,它还可以通过挂载插件(a few plugins)来获得主机其它信息。
--------------------------------------------------------------------------------
#52 RKHunter:一款Unix平台上的Rootkit检测器
RKHunter是一款检测例如rootkit、后门、漏洞等恶意程序的工具。它采用多种检测手段,包括MD5哈希值对比、rootkits原始文件名检测、文件权限检测,以及LKM和KLD模块中的可疑字符串检测。
--------------------------------------------------------------------------------
#53 Ike-scan:VPN检测器和扫描器
Ike-scan是一款检测IKE(Internet Key Exchange)服务传输特性的工具,IKE是VPN网络中服务器和远程客户端建立连接的机制。在扫描到VPN服务器的IP地址后,将改造过的IKE数据包分发给VPN网中的每一主机。只要是运行IKE的主机就会发回反馈来证明它存在。此工具然后对这些反馈数据包进行记录和显示,并将它们与一系列已知的VPN产品指纹进行对比。Ike-scan的VPN指纹包含来自Checkpoint、Cisco、Microsoft、Nortel和Watchguard的产品。
--------------------------------------------------------------------------------
#54 Arpwatch:持续跟踪以太网/IP地址配对,可以检查出中间人攻击
Arpwatch是LBNL网络研究组出品的一款经典的ARP中间人(man-in-the-middle)攻击检测器。它记录网路活动的系统日志,并将特定的变更通过Email报告给管理员。Arpwatch使用LibPcap来监听本地以太网接口ARP数据包。
--------------------------------------------------------------------------------
#55 KisMAC:一款Mac OS X上的图形化被动无线网络搜寻器
这款Mac OS X下非常流行的搜寻器和Kismet功能差不多,但和Kismet不同的是Kismet是基于命令行的,而KisMac有很漂亮的图形化界面,在OS X上出现得也比Kismet早。它同时还提供映射、Pcap兼容格式数据输入、登录和一些解密、验证破解功能。
--------------------------------------------------------------------------------
#56 OSSEC HIDS:一款开源的基于主机的入侵检测系统
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。
--------------------------------------------------------------------------------
#57 Openbsd PF:OpenBSD数据包过滤器
象其它平台上的Netfilter和IP Filter一样,OpenBSD用户最爱用PF,这就是他们的防火墙工具。它的功能有网络地址转换、管理TCP/IP通讯、提供带宽控制和数据包分级控制。它还有一些额外的功能,例如被动操作系统检测。PF是由编写OpenBSD的同一批人编写的,所以您完全可以放心使用,它已经经过了很好的评估、设计和编码以避免暴露其它包过滤器(other packet filters)上的类似漏洞。
--------------------------------------------------------------------------------
#58 Nemesis:简单的数据包注入
Nemesis项目设计目的是为Unix/Linux(现在也包含Windows了)提供一个基于命令行的、小巧的、人性化的IP堆栈。此工具套装按协议分类,并允许对已注入的数据包流使用简单的shell脚本。如果您喜欢Nemesis,您也许对Hping2也会感兴趣,它们是互补的关系。
--------------------------------------------------------------------------------
#59 Tor:匿名网络通讯系统
Tor是一款面向希望提高其网络安全性的广大组织和大众的工具集。Tor的功能有匿名网页浏览和发布、即时信息、irc、ssh以及其它一些TCP协议相关的功能。Tor还为软件开发者提供一个可开发内置匿名性、安全性和其它私密化特性的软件平台。在Vidalia可以获得跨平台的图形化界面。
--------------------------------------------------------------------------------
#60 Knoppix:一款多用途的CD或DVD光盘自启动系统
Knoppix由一系列典型的GNU/Linux软件组成,可以自动检测硬件环境,支持多种显卡、声卡、SCSI和USB设备以及其它外围设备。KNOPPIX作为一款高效的Linux光盘系统,可以胜任例如桌面系统、Linux教学光盘、救援系统等多种用途,经过这次在nmap中调查证实,它也是一款很小巧的安全工具。如果要使用更专业的Linux安全系统请看BackTrack。
--------------------------------------------------------------------------------
#61 ISS Internet Scanner:应用程序漏洞扫描器
Internet Scanner是由Christopher Klaus在92年编写的一款开源的扫描器工具。现在这款工具已经演变成了一个市值上亿美元生产无数安全产品的公司。
--------------------------------------------------------------------------------
#62 Fport:Foundstone出品的加强版netstat
Fport可以报告所有本地机上打开的TCP/IP和UDP端口,并显示是何程序打开的端口。所以用它可以快速识别出未知的开放端口以及与其相关的应用程序。它只有Windows版本,但现在很多UNIX系统上的netstat也提供同样的功能(Linux请用'netstat -pan')。SANS article有Fport的使用说明和结果分析方法。
--------------------------------------------------------------------------------
#63 chkrootkit:本地rootkit检测器
chkrootkit是一款小巧易用的Unix平台上的可以检测多种rootkit入侵的工具。它的功能包括检测文件修改、utmp/wtmp/last日志修改、界面欺骗(promiscuous interfaces)、恶意核心模块(malicious kernel modules)。
--------------------------------------------------------------------------------
#64 SPIKE Proxy:HTTP攻击
Spike Proxy是一款开源的以发现网站漏洞为目的的HTTP代理。它是Spike Application Testing Suite的一部分,功能包括自动SQL注入检测、 网站爬行(web site crawling)、登录列表暴力破解、溢出检测和目录游走检测。
--------------------------------------------------------------------------------
#65 OpenBSD:被认为是最安全的操作系统
OpenBSD是将安全作为操作系统首要任务的操作系统之一,甚至有时安全性级别要高于易用性,所以它骄人的安全性是不言而喻的。OpenBSD也非常重视系统的稳定性和对硬件的支持能力。也许他们最伟大的创举就是创造了OpenSSH。 OpenBSD用户对此系统之上的[pf](OpenBSD上的防火墙工具,本列表中第57位有介绍)也褒奖有佳。
--------------------------------------------------------------------------------
#66 Yersinia:一款支持多协议的底层攻击工具
Yersinia是一款底层协议攻击入侵检测工具。它能实施针对多种协议的多种攻击。例如夺取生成树的根角色(生成树协议:Spanning Tree Protocol),生成虚拟CDP(Cisco发现协议:Cisco Discovery Protocol)邻居、在一个HSRP(热等待路由协议:Hot Standby Router Protocol)环境中虚拟成一个活动的路由器、制造假DHCP反馈,以及其它底层攻击。
--------------------------------------------------------------------------------
#67 Nagios:一款开源的主机、服务和网络监控程序
Nagios是一款系统和网络监控程序。它可以监视您指定的主机和服务,当被监视对象发生任何问题或问题被解决时发出提示信息。它的主要功能有监控网络服务(smtp、pop3、http、nntp、ping等等)、监控主机资源(进程负载、硬盘空间使用情况等等)、当发现问题或问题解决时通过多种形式发出提示信息(Email、寻呼机或其它用户定义的方式)。
--------------------------------------------------------------------------------
#68 Fragroute/Fragrouter:一款网络入侵检测逃避工具集
Fragrouter 是一款单向分段路由器,发送(接收)IP数据包都是从攻击者到Fragrouter,将数据包转换成分段数据流发给受害者。很多入侵检测系统都不能重建一段被视为一个整体的网络数据(通过IP分段和TCP流重组),详情请见这篇文章(this classic paper)。Fragrouter可以帮助骇客在逃避入侵检测后发起基于IP的攻击。它是Dug Song出品的NIDSbench套装中的一部分。Fragroute是Dug song出品的另一款和Fragrouter相似的工具。
--------------------------------------------------------------------------------
#69 X-scan:一款网络漏洞扫描器
一款多线程、支持插件的漏洞扫描器。X-Scan主要功能有全面支持NASL(Nessus攻击脚本语言:Nessus Attack Scripting Language)、检测服务类型、远程操作系统类型(版本)检测、弱用户名/密码匹配等等。最新版本可以在这里获取。请注意这是一个中文网站(原文为英文,所以原文作者提醒英文读者这是个中文网站)。
--------------------------------------------------------------------------------
#70 Whisker/libwhisker:Rain.Forest.Puppy出品的CGI漏洞扫描器和漏洞库
Libwhisker是一款Perl模板集用来测试HTTP。它的功能是测试HTTP服务器上是否存在许多已知的安全漏洞,特别是CGI漏洞。Whisker是一款基于libwhisker的扫描器,但是现在大家都趋向于使用Nikto,它也是基于libwhisker的。
--------------------------------------------------------------------------------
#71 Socat:双向数据传输中继
类似于Netcat的工具,可以工作于许多协议之上,运行于文件、管道、设备(终端或调制解调器等等)、socket(Unix、IP4、IP6-raw、UDP、TCP)、Socks4客户端、代理服务器连接、或者SSL等等之间。它提供forking、logging和dumping,和不同模式的交互式处理通讯,以及更多其它选项。它可以作为TCP中继(单次触发:one-shot或者daemon(Internet中用于邮件收发的后台程序))、作为基于daemon的动态Sockes化(socksifier)、作为Unix平台上sockets的shell接口、作为IP6中继、将面向TCP的程序重定向成串行线路(Serial Line)程序、或者建立用来运行客户端或服务器带有网络连接的shell脚本相关安全环境(su和chroot)。
--------------------------------------------------------------------------------
#72 Sara:安全评审研究助手
SARA是一款源于infamous SATAN扫描器的漏洞评估工具。此工具大约两个月更新一次,出品此工具的开源社区还维护着Nmap和Samba。
--------------------------------------------------------------------------------
#73 QualysGuard:基于网页的漏洞扫描器
在网站上以服务形式发布, 所以QualysGuard没有开发、维护和升级漏洞管理软件或ad-hoc安全应用程序的负担。客户端可以安全的通过一个简单易用的网页访问QualysGuard。QualysGuard含有5000种以上的单一漏洞检查,一个基于推理的扫描引擎,而且漏洞知识库自动天天升级。
--------------------------------------------------------------------------------
#74 ClamAV:一款UNIX平台上的基于GPL(通用公开许可证:General Public License)的反病毒工具集
ClamAV是一款强大的注重邮件服务器附件扫描的反病毒扫描器。它含有一个小巧的可升级的多线程daemon、一个命令行扫描器和自动升级工具。Clam AntiVirus基于AntiVirus package发布的开源病毒库,您也可以将此病毒库应用于您自己的软件中,但是别忘了经常升级。
--------------------------------------------------------------------------------
#75 cheops / cheops-ng:提供许多简单的网络工具,例如本地或远程网络映射和识别计算机操作系统
Cheops提供许多好用的图形化用户界面网络工具。它含有主机/网络发现功能,也就是主机操作系统检测。Cheops-ng用来探查主机上运行的服务。针对某些服务,cheops-ng可以探查到运行服务的应用程序是什么,以及程序的版本号。Cheops已经停止开发和维护,所以请最好使用cheops-ng。
--------------------------------------------------------------------------------
#76 Burpsuite:一款网页程序攻击集成平台
Burp suite允许攻击者结合手工和自动技术去枚举、分析、攻击网页程序。这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用从而发动攻击。
--------------------------------------------------------------------------------
#77 Brutus:一款网络验证暴力破解器
这款Windows平台上的暴力破解器通过字典猜测远程系统网络服务密码。它支持HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不开放源码,UNIX平台上的类似软件有THC Hydra。
--------------------------------------------------------------------------------
#78 Unicornscan:另类端口扫描器
Unicornscan是一款通过尝试连接用户系统(User-land)分布式TCP/IP堆栈获得信息和关联关系的端口扫描器。它试图为研究人员提供一种可以刺激TCP/IP设备和网络并度量反馈的超级接口。它主要功能包括带有所有TCP变种标记的异步无状态TCP扫描、异步无状态TCP标志捕获、通过分析反馈信息获取主动/被动远程操作系统、应用程序、组件信息。它和Scanrand一样都是另类扫描器。
--------------------------------------------------------------------------------
#79 Stunnel:用途广泛的SSL加密封装器
stunnel用来对远程客户端和本地机(可启动inetd的:inetd-startable)或远程服务器间的SSL加密进行封装。它可以在不修改任何代码的情况下,为一般的使用inetd daemon的POP2、POP3和IMAP服务器添加SSL功能。它通过使用OpenSSL或SSLeay库建立SSL连接。
--------------------------------------------------------------------------------
#80 Honeyd:您私人的蜜罐系统
Honeyd是一个可以在网络上创建虚拟主机的小型daemon。可以对此虚拟主机的服务和TCP进行配置,使其在网络中看起来是在运行某种操作系统。Honeyd可以使一台主机在局域网中模拟出多个地址以满足网络实验环境的要求。虚拟主机可以被ping通,也可以对它们进行路由跟踪。通过对配置文件进行设置可以使虚拟计算机模拟运行任何服务。也可以使用服务代理替代服务模拟。它的库有很多,所以编译和安装Honeyd比较难。
--------------------------------------------------------------------------------
#81 Fping:一个多主机同时ping扫描程序
fping是一款类似ping(1)(ping(1)是通过ICMP(网络控制信息协议Internet Control Message Protocol)协议回复请求以检测主机是否存在)的程序。Fping与ping不同的地方在于,您可以在命令行中指定要ping的主机数量范围,也可以指定含有要ping的主机列表文件。与ping要等待某一主机连接超时或发回反馈信息不同,fping给一个主机发送完数据包后,马上给下一个主机发送数据包,实现多主机同时ping。如果某一主机ping通,则此主机将被打上标记,并从等待列表中移除,如果没ping通,说明主机无法到达,主机仍然留在等待列表中,等待后续操作。
--------------------------------------------------------------------------------
#82 BASE:基础分析和安全引擎(Basic Analysis and Security Engine)
BASE是一款基于PHP的可以搜索和实施安全事件的分析引擎,她的安全事件数据库来源于很多入侵检测系统、防火墙、网络检测工具生成的安全事件。它的功能包括一个查找生成器和搜索界面,用来搜索漏洞;一个数据包浏览器(解码器);还可以根据时间、传感器、信号、协议和IP地址等生成状态图。
--------------------------------------------------------------------------------
#83 Argus:IP网络事务评审工具
Argus是一款固定模型的实时的流量监视器,用来跟踪和报告数据网络通讯流中所有事务的状态和性能。Argus为流量评估定制了一种数据格式,其中包括连通性、容量、请求、丢包、延迟和波动,这些就作为评估事务的元素。这种数据格式灵活易扩展,支持常用流量标识和度量,还可以获得指定的应用程序/协议的信息。
--------------------------------------------------------------------------------
#84 Wikto:网页服务器评估工具
Wikto是一款检查网页服务器漏洞的工具。它和Nikto类似,但是添加了很多其它功能,例如一个整合了Google的后台发掘器。Wikto工作于MS ..NET环境下,下载此软件和源代码需要注册。
--------------------------------------------------------------------------------
#85 Sguil:网络安全监控器命令行分析器
Sguil(按sgweel发音)是由network security analysts出品的网络安全分析工具。Sguil的主要组件就是一个Snort/barnyard实时事件显示界面。它还包含一些网络安全监控的辅助工具和事件驱动的入侵检测系统分析报告。
--------------------------------------------------------------------------------
#86 Scanrand:一个异常快速的无状态网络服务和拓朴结构发现系统
Scanrand是一款类似Unicornscan的无状态主机发现和端口扫描工具。它以降低可靠性来换取异常快的速度,还使用了加密技术防止黑客修改扫描结果。此工具是Dan Kaminsky出品的Paketto Keiretsu的一部分。
--------------------------------------------------------------------------------
#87 IP Filter:小巧的UNIX数据包过滤器
IP Filter是一款软件包,可以实现网络地址转换(network address translation)(NAT)或者防火墙服务的功能。它可以作为UNIX的一个核心模块,也可以不嵌入核心,强烈推荐将其作为UNIX的核心模块。安装和为系统文件打补丁要使用脚本。IP Filter内置于FreeBSD、NetBSD和Solaris中。OpenBSD可以使用Openbsd PF,Linux用户可以使用Netfilter。
--------------------------------------------------------------------------------
#88 Canvas:一款全面的漏洞检测框架
Canvas是Aitel's ImmunitySec出品的一款漏洞检测工具。它包含150个以上的漏洞,它比Core Impact便宜一些,但是它也价值数千美元。您也可以通过购买VisualSploit Plugin实现在图形界面上通过拖拽就可以生成漏洞。Canvas偶尔也会发现一些ODay漏洞。
--------------------------------------------------------------------------------
#89 VMware:多平台虚拟软件
VMware虚拟软件允许您在一个系统中虚拟运行另一个系统。这对于安全专家在多平台下测试代码和漏洞非常有用。它只运行在Windows和Linux平台上,但它可以虚拟运行几乎所有的x86操作系统。它对建立沙箱(sandboxes)也非常有用。在VMware虚拟系统上感染了恶意软件不会影响到宿主机器,可以通过加载快照文件恢复被感染了的虚拟系统。VMware不能创建虚拟系统的镜像文件。VMware最近刚刚宣布免费。另一款在Linux下颇受瞩目的虚拟平台软件是Xen。
--------------------------------------------------------------------------------
#90 Tcptraceroute:一款基于TCP数据包的路由跟踪工具
现代网络广泛使用防火墙,导致传统路由跟踪工具发出的(ICMP应答(ICMP echo)或UDP)数据包都被过滤掉了,所以无法进行完整的路由跟踪。尽管如此,许多情况下,防火墙会准许反向(inbound)TCP数据包通过防火墙到达指定端口,这些端口是主机内防火墙背后的一些程序和外界连接用的。通过发送TCP SYN数据包来代替UDP或者ICMP应答数据包,tcptraceroute可以穿透大多数防火墙。
--------------------------------------------------------------------------------
#91 SAINT:安全管理综合网络工具
SAINT象Nessus、ISS Internet Scanner和Retina一样,也是一款商业漏洞评估工具。它以前是运行在UNIX系统之上的免费开源工具,但现在收费了。
--------------------------------------------------------------------------------
#92 OpenVPN:全功能SSL VPN解决方案
OpenVPN是一款开源的SSL VPN工具包,它可以实现很多功能,包括远程登录、站对站VPN、WiFi安全、带有负载平衡的企业级远程登录解决方案、节点控制移交(failover)、严密的访问控制。OpenVPN运行于OSI 2层或3层安全网络,使用SSL/TLS工业标准协议,支持灵活的基于证书、智能卡、二元验证的客户端验证方法,允许在VPN虚拟接口上使用防火墙规则作为用户或指定用户组的访问控制策略。OpenVPN使用OpenSSL作为其首选加密库
--------------------------------------------------------------------------------
#93 OllyDbg:汇编级Windows调试器
OllyDbg是一款微软Windows平台上的32位汇编级的分析调试器。因其直接对二进制代码进行分析,所以在无法获得源代码的时候它非常有用。OllyDbg含有一个图形用户界面,它的高级代码分析器可以识别过程、循环、API调用、交换、表、常量和字符串,它可以加载运行时程序,支持多线程。OllyDbg可以免费下载,但不开源。
--------------------------------------------------------------------------------
#94 Helix:一款注重安全防护的Linux版本
Helix是一款自定义版本的Knoppix自启动Linux光盘系统。Helix远不止是一张自启动光盘。除了光盘启动到自定义的Linux环境,还具有超强的硬件支持能力,包含许多应付各种问题的软件。Helix尽量少的接触主机软硬资源。Helix不自动加载交换(swap)空间,不自动加载其它任何外围设备。Helix还可以自动加载Windows,以应对意外情况。
--------------------------------------------------------------------------------
#95 Bastille:Linux、Mac OS X和HP-UX的安全加强脚本
Bastille使操作系统固若金汤,减少系统遭受危险的可能,增加系统的安全性。Bastille还可以评估系统当前的安全性,周期性的报告每一项安全设置及其工作情况。Bastille当前支持Red Hat(Fedora Core、Enterprise和Numbered/Classic版本)、SUSE、Debian、Gentoo和Mandrake这些Linux版本,还有HP-UX和Mac OS X。Bastille旨在使系统用户和管理员了解如何加固系统。在其默认的最坚固模式下,它不断的询问用户问题,并对这些问题加以解释,根据用户对问题不同的回答选择不同的应对策略。在其评估模式下,它会生成一份报告旨在告诉用户有哪些安全设置可用,同时也提示用户哪些设置被加固了。
--------------------------------------------------------------------------------
#96 Acunetix Web Vulnerability Scanner:商业漏洞扫描器
Acunetix WVS自动检查您的网页程序漏洞,例如SQL注入、跨网站脚本和验证页面弱密码破解。Acunetix WVS有着非常友好的用户界面,还可以生成个性化的网站安全评估报告。
--------------------------------------------------------------------------------
#97 TrueCrypt:开源的Windows和Linux磁盘加密软件
TrueCrypt是一款非常出色的开源磁盘加密系统。用户可以加密整个文件系统,它可以实时加密/解密而不需要用户干涉,只要事先输入密码。非常巧妙的hidden volume特性允许您对特别敏感的内容进行第二层加密来隐藏它的存在。所以就算加密系统的密码暴露,黑客也不知道还有隐藏内容存在。
--------------------------------------------------------------------------------
#98 Watchfire AppScan:商业网页漏洞扫描器
AppScan按照应用程序开发生命周期进行安全测试,早在开发阶段就进行单元测试和安全保证。Appscan能够扫描多种常见漏洞,例如跨网站脚本、HTTP应答切开、参数篡改、隐藏值篡改、后门/调试选项和缓冲区溢出等等。
--------------------------------------------------------------------------------
#99 N-Stealth:网页服务器扫描器
N-Stealth是一款网页服务器安全扫描器。它比Whisker/libwhisker和Nikto这些免费的网页扫描器升级得更频繁,但是它网站上声称的可以扫描30000种漏洞(30000 vulnerabilities and exploits)和每天添加数十种漏洞(Dozens of vulnerability checks are added every day)的说法是很值得怀疑的。象Nessus、ISS Internet Scanner、Retina、SAINT和Sara这些防入侵工具都含有网页扫描组件,它们都很难做到每日更新。N-Stealth运行于Windows平台之上,且不开源。
--------------------------------------------------------------------------------
#100 MBSA:微软基准安全分析器(Microsoft Baseline Security Analyzer)
Microsoft Baseline Security Analyzer(MBSA)是一款简单易用的工具,帮助IT专业人员检测其小型和中型商业应用的安全性,将用户系统与微软安全建议(Microsoft security recommendations)进行比对,并给出特定的建议指导。通过与Windows内置的Windows自动升级代理器(Windows Update Agent)和微软自动升级基础架构(Microsoft Update infrastructure)的协作,MBSA能够保证和其它微软管理产品的数据保持一致,它们包括微软自动升级(Microsoft Update(MU))、Windows服务器自动升级服务(Windows Server Update Services(WSUS))、系统管理服务器(Systems Management Server(SMS))和微软运行管理器(Microsoft Operations Manager(MOM))。MBSA平均每周要扫描3百万台电脑。
--------------------------------------------------------------------------------
众所周知,对于主要依赖病毒特征码库的传统防毒软件来说,漏报是其无法克服的一个重要弊端。对于过去病毒数量比较少,网络运用还不广泛的时候,这一弊端显得还不是那么明显。
但是,随着网络的广泛应用,病毒产生的数量日益增多,病毒的传播更是防不胜防的情况下,传统防毒软件日益力不从心。日益不断增加的病毒特征码库,看上去好像能杀的病毒越来越多,但实际上很多病毒的类型都是雷同的,很多特征码不过是同一种病毒的变种而已,所以说,这种防毒方式越来越给人一种搞笑的感觉了。
为了减轻传统杀毒软件的这个问题,有人开始提出一些新的想法,其中启发式查毒就是传统软件增加的常见的一个扩展功能。这种功能根据病毒的某些行为特征进行监控,但这种被监控的行为特征往往比较单一,这样一来就造成一个新的问题,就是乱报,也就是说误报率非常高,可能令人烦不胜烦,而且尤其令普通的电脑使用者容易产生困惑。因为对于正常程序和病毒程序来说,有时候会使用一些相同的技术,这就导致采取单一特征监控的启发式扫描方式经常出现乱报的情况。
对病毒行为特征进行监控是一种新的思路,因为这种监控方式对新出现的病毒及其变种能够最大可能地提前报警,而最大程度地使电脑使用者避免许多损失。但这种防毒方式也有一个缺点,那就是很难完全避免误报这种情况。要减少这种方式产生误报,关键就是要能够更准确地分析概括总结出各类病毒的主要关键行为特征,并且能够将各种行为特征自动进行综合监控分析,也就是能够模仿反病毒专家进行逻辑思维,这样就大大地提高了判断的准确性,而降低了误判的可能性。当然,要完全绝对地避免误报,则应该是不可能的。任何事物有其利则必有其弊,绝对纯粹的东西是不存在的。
由于病毒的层出不穷,再加上网络广泛应用带来的传播的便利,这种现实已经将传统杀毒软件逼上了绝路,就目前人们所提出来的病毒防御思想而言,通过综合监控各类病毒的行为特征进行防毒无疑具有巨大的优越性和发展前途,应该代表着今后相当长时间的病毒防御技术的发展趋势。
防御病毒技术的未来发展方向是已经基本可以确定了,将来的问题是,谁能更准确地把握病毒的行为特征,而最大可能地将误报情况降低到差不多可以令一般人能够接受的程度,那么这个主动防御软件就可以说基本成功了。
但是,随着网络的广泛应用,病毒产生的数量日益增多,病毒的传播更是防不胜防的情况下,传统防毒软件日益力不从心。日益不断增加的病毒特征码库,看上去好像能杀的病毒越来越多,但实际上很多病毒的类型都是雷同的,很多特征码不过是同一种病毒的变种而已,所以说,这种防毒方式越来越给人一种搞笑的感觉了。
为了减轻传统杀毒软件的这个问题,有人开始提出一些新的想法,其中启发式查毒就是传统软件增加的常见的一个扩展功能。这种功能根据病毒的某些行为特征进行监控,但这种被监控的行为特征往往比较单一,这样一来就造成一个新的问题,就是乱报,也就是说误报率非常高,可能令人烦不胜烦,而且尤其令普通的电脑使用者容易产生困惑。因为对于正常程序和病毒程序来说,有时候会使用一些相同的技术,这就导致采取单一特征监控的启发式扫描方式经常出现乱报的情况。
对病毒行为特征进行监控是一种新的思路,因为这种监控方式对新出现的病毒及其变种能够最大可能地提前报警,而最大程度地使电脑使用者避免许多损失。但这种防毒方式也有一个缺点,那就是很难完全避免误报这种情况。要减少这种方式产生误报,关键就是要能够更准确地分析概括总结出各类病毒的主要关键行为特征,并且能够将各种行为特征自动进行综合监控分析,也就是能够模仿反病毒专家进行逻辑思维,这样就大大地提高了判断的准确性,而降低了误判的可能性。当然,要完全绝对地避免误报,则应该是不可能的。任何事物有其利则必有其弊,绝对纯粹的东西是不存在的。
由于病毒的层出不穷,再加上网络广泛应用带来的传播的便利,这种现实已经将传统杀毒软件逼上了绝路,就目前人们所提出来的病毒防御思想而言,通过综合监控各类病毒的行为特征进行防毒无疑具有巨大的优越性和发展前途,应该代表着今后相当长时间的病毒防御技术的发展趋势。
防御病毒技术的未来发展方向是已经基本可以确定了,将来的问题是,谁能更准确地把握病毒的行为特征,而最大可能地将误报情况降低到差不多可以令一般人能够接受的程度,那么这个主动防御软件就可以说基本成功了。
网上交易中帐号和密码被盗的解决途径
[ 2007-03-25 03:00:06 | 作者: sun ]
根据CNNIC第16次中国互联网络发展状况统计报告,有26.9%的用户认为目前网上交易所面临的最大问题在于网络的安全性得不到保障。和几乎所有安全问题一样,网络安全涉及许多技术问题。但技术本身是不可能解决所有安全问题的。因此,我们仍有必要探讨其中涉及的法律关系和责任分担规则。在此,本文不准备讨论对所有与网络注册中的个人信息安全问题,而只将讨论的焦点集中于“帐号”和“密码”两类信息被盗时所涉及的法律关系。
盗取网络注册信息的密码和帐号侵犯了他人哪些权利?
首先需要区分的是:被窃取的是密码还是帐号,从法律关系上看,二者存在很大的差别;其次,对不同种类的帐号被窃所牵涉的法律关系也可能完全不同。
(一)窃取他人注册在网站上的密码的行为本身,构成对他人隐私权的侵害。
所谓隐私权,包括三方面的要件:
(1)属于个人的特定资料;
(2)该资料的拥有者不希望该资料被披露;
(3)该资料的不披露不会造成对社会公共秩序的妨害。
可以发现,无论在哪一种网站注册程序中所设定的密码都符合上述要件,属于隐私权的客体。所以,行为人只要是未经允许窃取了网络注册信息中的密码——即使没有利用该密码作出任何行为,都构成对密码拥有者隐私权的侵害。
(二)窃取他人密码的行为往往是一种手段性的行为。
窃取密码的目的可能是为了贬损他人的名誉,也可能是为了非法占有或取得他人的财产,还可能是为了无偿使用许可给被报窃取人的知识产权(例如盗窃网络游戏帐号在本质上就属于这一类——有人认为虚拟财产是物权,是不正确的),甚至有可能仅仅为了通过密码冒充被窃人以刺探隐私。在窃取帐号以后,行为人可能会进一步为其它行为(如假冒帐号的主人发布交易信息),那么在这种情况下,就要根据其进一步的行为来判断:窃取人是否还侵犯了其它的权利。
(三)和密码不同,获取他人网络注册帐号的行为本身,则有可能构成侵权,也可能不构成侵权。
之所以不同种类的帐号有不同的法律关系,是因为有的帐号(例如银行卡的卡号)属于个人的隐私,而有的帐号(例如在电子商务中的昵称)则不属于个人的隐私。对于后一种帐号,本身就不存在窃取的问题。因此就更谈不上侵权了。
密码或帐号被盗造成的损失谁来负责?
首先,对密码帐号被盗所造成的损失(无论是用户的还是交易相对方的),其主要责任都当然应由窃取密码的行为人来承担。只是因为互联网十分复杂,要确定是谁窃取了密码或帐号相对困难,在很多时候甚至无法找到究竟“偷盗”者是谁,所以我们需要分析与被窃密码(帐号)相关的其他主体可能承担的责任。
其次,偷盗者之外究竟由谁来承担附带的责任也不能一概而论,而要根据密码和帐号被盗的原因来分析。如果经营电子商务平台的网站在自己保存密码和帐号资料的工作中,没有尽到忠诚勤勉的义务,导致网站所保存的用户数据库资料被窃取,进而造成用户的损失,那么当然要承担责任。
但是,如果是由于用户自己保管密码不善,导致密码泄露,那电子商务交易平台提供商就不承担责任。所谓用户自己保管密码不善,是指用户没有尽到一般正常人的保管密码的注意。例如对用于上网交易的计算机进行基本的软硬件防病毒保护等等。
如果用户已经尽到了一般正常的注意义务,仍然无法避免自己的密码被他人窃取(例如出现新型种类的木马病毒而一般的杀毒软件无法查杀等),那么这个时候就可以免除用户对窃取密码者以其之名给他人造成的损害的责任。
最后,值得注意的是,用户在发现自己的密码被窃取后,承担有立即通知服务商的义务,如果有证据证明用户已经发现自己密码被窃取,却没有立即通知服务商,则即使其密码被窃取是一般正常下无法防范的,仍然要承担责任。与此同时,在服务商方面,接到用户的通知后,也应当及时将该帐号予以冻结,并采取措施消除窃取人发布的交易信息所造成的影响。如果服务商怠于履行这一补救义务,则也要承担相应的责任。
出现密码和帐号被盗的情况,对电子商务的发展会产生哪些影响?
从宏观上讲,不会有大的影响。这就如同自从有了汽车就有了偷车贼,但偷车贼并没有阻碍以汽车为代表的20世纪交通领域的革命一样。“电子商务”本身是一个过渡性的词汇,从大的方向上看,通过数据电文传递信息、达成契约并进而完成交易将肯定成为未来的主要合同签订和履行形式。不过,密码被盗用事件的不断出现,将促使参与电子商务的各方重视信息网络安全问题,通过技术和法律的多重手段确保交易安全。这与交通事故频发使汽车的安全技术和交通安全法律不断进步是一个道理。
现有法律对电子商务行为及其运行环境所进行规范?有哪些不完善的地方?
目前中国对电子商务行为及其运行环境进行规范的法律主要是2005年4月1日生效的《中华人民共和国电子签名法》,该法规定了电子签名的定义、申明了数据电文的可证据性,并具体规定了数据电文成为有效证据的要件。此外,还有一些部门规章涉及到电子商务行为。
说到不完善的地方,我认为主要的问题还不在立法条文,而在于立法的指导思想。至今国内还没有对电子商务过程中的交易安全、交易习惯等问题进行深入的调查。以《电子签名法》为例,整个草案存在偏重于行政责任的确定,对由于使用电子签名而产生的民事关系规范较少。此外,技术特定主义仍然影响着立法,不能在立法中按照某一种特定技术的特征来确定数据电文的证明力。
第三方网上支付平台的出现,能够在技术层面,部分保证网上交易的可靠性。它在一定程度上起到了防范风险的作用。而事实上,例如“支付宝”这种以提供C2C交易的网络服务商的信用来减少买卖双方的风险而言;其本身的商业信用担保本身是有限的,往往只能在小额零单贸易中起到一定的作用。
网民通过互联网进行交易,应选用性能稳定的非公共上网计算机,减少密码被窃取的可能性。此外还应注意将用于交易的网上银行帐户和自己的其它帐户分开,仅在其中留存近期交易所需的小额资金。
值得强调的是,单纯使用技术手段是不可能“保证”网上支付安全的,这是因为,即使有最先进的加密技术,用户密码仍然可能因为保管不当而被别人获取。一旦发现自己的密码被窃,应当尽快通知提供网上银行或交易平台的服务商,要求他们立即采取措施减少损失。同时还应咨询有相关经验的律师,采取各种方式保留和固定证据。
盗取网络注册信息的密码和帐号侵犯了他人哪些权利?
首先需要区分的是:被窃取的是密码还是帐号,从法律关系上看,二者存在很大的差别;其次,对不同种类的帐号被窃所牵涉的法律关系也可能完全不同。
(一)窃取他人注册在网站上的密码的行为本身,构成对他人隐私权的侵害。
所谓隐私权,包括三方面的要件:
(1)属于个人的特定资料;
(2)该资料的拥有者不希望该资料被披露;
(3)该资料的不披露不会造成对社会公共秩序的妨害。
可以发现,无论在哪一种网站注册程序中所设定的密码都符合上述要件,属于隐私权的客体。所以,行为人只要是未经允许窃取了网络注册信息中的密码——即使没有利用该密码作出任何行为,都构成对密码拥有者隐私权的侵害。
(二)窃取他人密码的行为往往是一种手段性的行为。
窃取密码的目的可能是为了贬损他人的名誉,也可能是为了非法占有或取得他人的财产,还可能是为了无偿使用许可给被报窃取人的知识产权(例如盗窃网络游戏帐号在本质上就属于这一类——有人认为虚拟财产是物权,是不正确的),甚至有可能仅仅为了通过密码冒充被窃人以刺探隐私。在窃取帐号以后,行为人可能会进一步为其它行为(如假冒帐号的主人发布交易信息),那么在这种情况下,就要根据其进一步的行为来判断:窃取人是否还侵犯了其它的权利。
(三)和密码不同,获取他人网络注册帐号的行为本身,则有可能构成侵权,也可能不构成侵权。
之所以不同种类的帐号有不同的法律关系,是因为有的帐号(例如银行卡的卡号)属于个人的隐私,而有的帐号(例如在电子商务中的昵称)则不属于个人的隐私。对于后一种帐号,本身就不存在窃取的问题。因此就更谈不上侵权了。
密码或帐号被盗造成的损失谁来负责?
首先,对密码帐号被盗所造成的损失(无论是用户的还是交易相对方的),其主要责任都当然应由窃取密码的行为人来承担。只是因为互联网十分复杂,要确定是谁窃取了密码或帐号相对困难,在很多时候甚至无法找到究竟“偷盗”者是谁,所以我们需要分析与被窃密码(帐号)相关的其他主体可能承担的责任。
其次,偷盗者之外究竟由谁来承担附带的责任也不能一概而论,而要根据密码和帐号被盗的原因来分析。如果经营电子商务平台的网站在自己保存密码和帐号资料的工作中,没有尽到忠诚勤勉的义务,导致网站所保存的用户数据库资料被窃取,进而造成用户的损失,那么当然要承担责任。
但是,如果是由于用户自己保管密码不善,导致密码泄露,那电子商务交易平台提供商就不承担责任。所谓用户自己保管密码不善,是指用户没有尽到一般正常人的保管密码的注意。例如对用于上网交易的计算机进行基本的软硬件防病毒保护等等。
如果用户已经尽到了一般正常的注意义务,仍然无法避免自己的密码被他人窃取(例如出现新型种类的木马病毒而一般的杀毒软件无法查杀等),那么这个时候就可以免除用户对窃取密码者以其之名给他人造成的损害的责任。
最后,值得注意的是,用户在发现自己的密码被窃取后,承担有立即通知服务商的义务,如果有证据证明用户已经发现自己密码被窃取,却没有立即通知服务商,则即使其密码被窃取是一般正常下无法防范的,仍然要承担责任。与此同时,在服务商方面,接到用户的通知后,也应当及时将该帐号予以冻结,并采取措施消除窃取人发布的交易信息所造成的影响。如果服务商怠于履行这一补救义务,则也要承担相应的责任。
出现密码和帐号被盗的情况,对电子商务的发展会产生哪些影响?
从宏观上讲,不会有大的影响。这就如同自从有了汽车就有了偷车贼,但偷车贼并没有阻碍以汽车为代表的20世纪交通领域的革命一样。“电子商务”本身是一个过渡性的词汇,从大的方向上看,通过数据电文传递信息、达成契约并进而完成交易将肯定成为未来的主要合同签订和履行形式。不过,密码被盗用事件的不断出现,将促使参与电子商务的各方重视信息网络安全问题,通过技术和法律的多重手段确保交易安全。这与交通事故频发使汽车的安全技术和交通安全法律不断进步是一个道理。
现有法律对电子商务行为及其运行环境所进行规范?有哪些不完善的地方?
目前中国对电子商务行为及其运行环境进行规范的法律主要是2005年4月1日生效的《中华人民共和国电子签名法》,该法规定了电子签名的定义、申明了数据电文的可证据性,并具体规定了数据电文成为有效证据的要件。此外,还有一些部门规章涉及到电子商务行为。
说到不完善的地方,我认为主要的问题还不在立法条文,而在于立法的指导思想。至今国内还没有对电子商务过程中的交易安全、交易习惯等问题进行深入的调查。以《电子签名法》为例,整个草案存在偏重于行政责任的确定,对由于使用电子签名而产生的民事关系规范较少。此外,技术特定主义仍然影响着立法,不能在立法中按照某一种特定技术的特征来确定数据电文的证明力。
第三方网上支付平台的出现,能够在技术层面,部分保证网上交易的可靠性。它在一定程度上起到了防范风险的作用。而事实上,例如“支付宝”这种以提供C2C交易的网络服务商的信用来减少买卖双方的风险而言;其本身的商业信用担保本身是有限的,往往只能在小额零单贸易中起到一定的作用。
网民通过互联网进行交易,应选用性能稳定的非公共上网计算机,减少密码被窃取的可能性。此外还应注意将用于交易的网上银行帐户和自己的其它帐户分开,仅在其中留存近期交易所需的小额资金。
值得强调的是,单纯使用技术手段是不可能“保证”网上支付安全的,这是因为,即使有最先进的加密技术,用户密码仍然可能因为保管不当而被别人获取。一旦发现自己的密码被窃,应当尽快通知提供网上银行或交易平台的服务商,要求他们立即采取措施减少损失。同时还应咨询有相关经验的律师,采取各种方式保留和固定证据。
