反黑风暴-第19章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



步骤02在主窗口中的“SearchenginedirectoriesURL”文本框中输入新浪网址//。sina。/，单击工具栏上的【Start】按钮进行搜索，稍等片刻后，可在下面的列表框中看到搜索的结果。

步骤03在搜索完毕后，单击工具栏上的【ExportSearchResults】按钮，在弹出的【ExportSearchResult】对话框中单击文本框右侧的【打开】按钮。

步骤04此时，即可弹出【另存为】对话框。在“文件名”文本框中输入文件名“Email地址收集”，单击【保存】按钮，即可对搜索结果进行保存。

利用搜索到的网站的Email地址，即可进行网络钓鱼攻击。如果是论坛的话，可以直接入侵论坛，获取MySQL数据库账户以及下载Access数据库，从用户注册信息中整理出Email列表即可。

2．广谱型收集

对于广谱型收集，可使用“Google电邮搜索”工具进行大范围的邮件地址收集。Google电邮搜索工具中收录了全世界的中英文网页，输入与邮件地址相关的字符即可检索到大量的邮件地址。软件通过一次性导入上千个检索关键词列表，可以自动搜索和提取邮件地址。

下面介绍使用“Google电邮搜索”工具进行邮件地址收集的方法。

步骤01打开“Google电邮搜索”工具，即可进入其主窗口中。

步骤02单击工具栏上的【导入】按钮，在弹出的【导入关键字列表文件】对话框中选择要导入的文件，这里以“Google电邮搜索”工具中的“搜索关键字范例。”文件为例。

步骤03单击【打开】按钮，返回“Google电邮搜索”工具的主窗口中，单击工具栏上的【搜索】按钮，即可弹出【搜索参数设置】对话框。

步骤04单击【确定】按钮，即可开始根据关键定进行搜索，在主窗口右侧将出现链接。单击其中的“点击查看在google。。hk的搜索结果”链接，稍等一会儿后，即可在主窗口的左侧列表框中根据“搜索关键字范例。”中的关键字显示出搜索结果。

7。3。4钓鱼邮件群发

通过7。3。3节中的方法收集了大量邮箱地址后，钓鱼攻击者接下来就要将钓鱼邮件发送到这些邮箱中。那么多的邮件不可能一个个手工发送，因此可使用一种群邮件发送工具。

网络上的群邮件发送工具非常多，这里以“天天邮件群发工具2011试用版本”为例，介绍群发邮件的方法。天天邮件群发工具是目前国内最为先进的WEB邮件群发引擎，能准确投递到163、126、sina、sohu、21cn、QQ等国内著名大型邮箱，邮件投递到达率为99％以上，发送的邮件不会进入垃圾箱中。而且该工具采用最新的WEB发送技术，不采用已经失效的SMTP群发技术，因为目前国内各大邮局新注册的邮箱已经不再支持SMTP发送，所以SMTP发送已经失效已久。

下面介绍使用“天天邮件群发工具2011试用版本”群发邮件的方法。

步骤01下载并运行“天天邮件群发工具2011试用版本”，进入其主窗口中。主窗口中默认显示的是“发信邮箱设置”选项卡中的信息，在主窗口右侧的“账号”和“密码”文本框中输入发信邮箱的账号和密码。单击【添加】按钮，即可将其添加到左侧的列表框中。

步骤02在主窗口中上方选择“收信邮箱设置”选项卡，在中间区域的“账号”文本框中输入收件人邮箱地址，单击【添加】按钮，即可将其添加到左侧列表框中。

步骤03如果收件人邮箱数量非常多，还可单击中间区域中的【导入账号】按钮，在弹出的【打开】对话框中选择用记事本保存邮箱账号的文件。单击【打开】按钮，即可弹出【温馨提示】对话框，提示账号导入完毕。此时，单击【确定】按钮，即可将记事本中的账号导入到主窗口左侧的列表框中。

步骤04在主窗口中上方选择“发信内容设置”选项卡，在其中的“标题”文本框中输入邮件的标题，并在下面的文本编辑框中输入邮件的正文。

步骤05“天天邮件群发工具2011试用版本”还支持HTML格式发信，在文本编辑框的下方单击【HTML】按钮，即可切换至HTML格式编辑状态。

步骤06在主窗口上方选择“开始群发”选项卡，单击其中的【开始发送】按钮，即可开始群发邮件。待所有邮件发送成功后，在下面的列表框中将显示发送成功的信息。

步骤07与此同时，邮箱79902662@qq。提示收到一封标题为“测试”，发件人为lbwkzceo@163。的邮件。单击提示邮件中的链接，即可打开邮箱79902662@qq。，在其中可查看收到的邮件，正是由于网上有很多像“天天邮件群发工具”这样的工具，可以很方便地发送钓鱼邮件，才导致垃圾邮件越来越猖狂。

7。3。5邮件前置与诱惑性标题

钓鱼者为了增加邮件查看率，使出了浑身解数，比如通过一些技巧使钓鱼邮件处于用户收件箱的最顶端，或使用具有诱惑性的标题，使用户上当等。

1。使钓鱼邮件位于收件箱的最顶端

用户在接收邮件时，邮箱会根据接收的时间对收到的邮件进行排列，不同的邮箱排列的规则不一样。那么，如何让钓鱼邮件处于用户收件箱的最顶端呢？

为了形象地说明，这里列举一个例子，介绍如何使钓鱼邮件处于用户收件箱的最顶端。假设某一用户向邮箱lbwkzceo@163。发送三封邮件，第一次发送邮件时，将系统时间更改为2002年10月1日；第二次发送邮件时，将系统时间更改为2008年1月1日；第三次发送邮件时，将系统时间更改为2005年3月7日。按照邮件正常接收方式，其邮件排序应依次为2002年、2008年、2005年，但163邮箱的邮件排序是按照时间的大小排序的。

因此，收到邮件的顺序为2002年、2005年、2008年。这样，2008年的邮件则排在收件箱的第一位。但这种方法不可以适用于所有邮箱，有兴趣的用户可自己测试一下其他邮箱。

2。使用诱惑性标题

恶意攻击者通过发送大量垃圾邮件，在垃圾邮件的标题中会写有带有诱惑性的词语或欺骗性的说明，在邮件的正文中往往会有大量诱惑性的图片并且加入恶意地址的连接。

当用户浏览垃圾邮件且轻信其中的内容，对恶意图片或超级链接进行点击后，就会跳转到恶意攻击者事先部署好的网站或网页，而这些网站或网页往往是和网上交易、网上购物等网上消费的网站相似。这样，在用户没有很好网上安全防范意识的情况下，就会按照这些虚假的网站或网页进行操作，从而造成个人经济财产的损失。

为了使邮件更具有吸引力，可以在日常生活中多注意一些新闻稿，那些记者为了使自己的新闻稿吸引人们的眼球，常常会在新闻稿上添加一些具有诱惑性的标题。这些诱惑性的标题实正文中的内容也许不相符，但却可以增加点击率。

第四章　网站劫持钓鱼艺术

网站劫持钓鱼技术是钓鱼攻击中高级技术的应用，如DNS劫持，一旦取得目标域名的解析记录控制权，就可以修改此域名的解析结果，将域名原来的IP地址转到攻击者指定的IP地址上。这样，不管是否输入了正确的域名，都会掉进钓鱼者设置的陷阱中。要保护自己免遭劫持，需要先了解劫持钓鱼攻击的过程。

7。4。1Hosts文件的映射劫持

现在很多网站不经过用户同意就将各种各样的插件安装到用户的计算机，这些插件可能有一些是木马或病毒。这些木马或病毒安装到计算机中后，为了对抗安全防护软件，都使用Hosts文件来劫持用户，禁止访问安全站点。

比如，一旦劫持了某个杀毒网站，用户访问的将是陌生站点与病毒站点等。对于这些网站，可以利用Host把该网站的域名映射到错误的IP或本地计算机的IP，这样就不用访问了。在Windows系统中，127。0。0。1为本地计算机的IP地址。

下面先来了解一下Hosts文件的详细内容。

Hosts文件是一个用于存储计算机网络中节点信息的文件，它可以将主机名映射到相应的IP地址，实现DNS的功能，它可以由计算机的用户进行控制。

Hosts文件存储位置在不同的操作系统中并不相同，甚至不同Windows版本的位置也不大一样。一般来说，WindowsXP/2003/Vista/win7系统中Hosts文件的默认位置为C：Windowssystem32driversetc文件夹下，但也可以改变。若钓鱼者想劫持的话，需要先用记事本修改这个文件的内容。Hostname（主机名）的映射关系，是一个映射IP地址和Hostname（主机名）的规定。

这个规定中，要求每段只能包括一个映射关系，也就是一个IP地址和一个与之有映射关系的主机名。IP地址要放在每段的最前面，映射的Hostname（主机名）在IP后面，中间用空格分隔。

钓鱼者的手法就是修改主机与IP地址的映射关系，进行HOSTS文件的映射劫持。下面通过一个简单的例子介绍HOSTS劫持的过程。将网站。hackbase。映射到百度的IP上，这样当打开。hackbase。网站时，实际上是打开了百度网站。具体的操作步骤如下：

步骤01在命令提示符窗口中使用PING命令获得百度的IP地址，在其中输入命令“Ping。baidu。”，即可获得百度的IP地址119。75。218。45。

步骤02打开文件夹“C：Windowssystem32driversetc”，找到其中的Hosts文件。

步骤03在Hosts文件上右键单击，在【Hosts属性】对话框中取消勾选Hosts文件的只读属性。

步骤04单击【确定】按钮，用记事本打开Hosts文件，在内容的最后增加一条记录“119。75。218。45。hackbase。”。

步骤05保存修改后的Hosts文件，再打开网站“//。hackbase。”，即可在其中发现打开的其实是百度网站。

【提示】

在修改HOSTS文件时常遇到保存后无效的情况，这里要提醒注意：在用记事本打开HOSTS文件，在最后一行添加完记录后，一定要按下回车键，否则这一行记录是不生效的。建议大家遵循这样的习惯：IP地址＋空格＋域名＋Enter键。

7。4。2内网中的DNS劫持

DNS是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。

在Inter上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS命名用于Inter等TCP/IP网络中，通过用户友好的名称查找计算机和服务。

当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。

DNS欺骗劫持工具有很多，这里用zxarps。exe来演示内网的劫持，使内网中任一用户打开网站。hackbase。都会被劫持到本机。先在CMD命令行下运行命令“zxarps。exe”，即可显示出该命令的各个参数，其含义如下：

Options（参数说明）：

…idx＇index＇网卡索引号

…ip＇ip＇欺骗的IP；用'…'指定范围；'；'隔开

…sethost＇ip＇默认是网关；可以指定别的IP

…port＇port＇关注的端口；用'…'指定范围；'；'隔开；没指定默认关注所有端口

…reset恢复目标机的ARP表

…hostname探测主机时获取主机名信息

…logfilter＇string＇设置保存数据的条件，必须＋…_做前缀；后跟关键字；

'；'隔开关键字；多个条件'｜'隔开

所有带＋前缀的关键字都出现的包则写入文件

带…前缀的关键字出现的包不写入文件

带_前缀的关键字一个符合则写入文件（如有＋…条件也要符合）

…save_a＇filename＇将捕捉到的数据写入文件ACSII模式

…save_h＇filename＇HEX模式

…hacksite＇ip＇指定要插入代码的站点域名或IP；

多个可用'；'隔开；没指定则影响所有站点

…insert＇htmlcode＇指定要插入html代码

…postfix＇string＇关注的后缀名，只关注HTTP/1。1302

…hackURL＇url＇发现关注的后缀名后修改URL到新的URL

…filename＇name＇新URL上有效的资源文件名

…hackdns＇string＇DNS欺骗，只修改UDP的报文；多个可用'；'隔开

格式：域名｜IP，。aa。｜222。22。2。2；。bb。｜1。1。1。1

…Interval＇ms＇定时欺骗的时间间隔，单位：毫秒：默认是3000ms

…spoofmode＇1｜2｜3＇将数据骗发到本机；欺骗对象：1为网关；2为目标机；3为两者（默认）

…speed＇kb