反黑风暴-第9章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


安全方面的配置错误，并检查操作系统和已安装的其他组件（InterInformationServices（IIS）和SQLServer），以发现安全方面的配置错误，及时通过推荐的安全更新进行修补。

下面介绍利用Windows系统安全检测器扫描计算机的具体操作方法。

步骤01在计算机中安装下载的MBSA程序，然后双击该程序的安装图标，运行软件，进入其主界面中。默认选择左侧列表中的“Wele”（欢迎）链接，在右侧的界面中可以指定扫描的计算机和扫描选项，其中“Scanaputer”表示扫描一台计算机，“Scanmorethanoneputer”表示扫描几台计算机，“Viewexistingsecurityreports”表示查看安全报告，但“Viewexistingsecurityreports”选项在第一次运行时，由于没有检测过而呈灰色的不可用状态。这里单击“Scanaputer”（扫描计算机）链接。

步骤02此时，右侧的界面显示内容，在该界面中可以设置扫描选项。

默认情况下，在“puterName”（计算机名称）下拉列表中选择的是本地计算机，可对本机进行扫描；若在“IPaddress”（IP地址）下拉列表中输入其他计算机的IP地址，则可对该IP地址的计算机进行扫描；在“Securityreportname”（安全报告名称）文本框中可以输入安全检测报告名称，这里保持默认名称；在“Options”（选项）选项区域中用户可根据需要选择要检测的选项。

【提示】

在“Options”选项区域中，选中“CheckforWindowsvulnerabilities”复选框可以检查Windows漏洞；选中“Checkforweakpasswords”复选框可以检查弱密码；选中“CheckforIISvulnerabilities”复选框可以检查IIS漏洞；选中“CheckforSQLvulnerabilities”复选框可以检查SQL漏洞；选中“Checkforsecurityupdates”复选框可以检查安全更新。

步骤03设置完成后，单击“StartScan”链接，即可开始扫描计算机。

步骤04扫描完成后，会在右侧的界面中显示扫描结果。其中显示为“”，表示存在漏洞或者有更新补丁没有安装，可以单击“Howtocorrectthis”链接，下载最新的漏洞补丁；显示为“”表示没有任何安全问题。

步骤05若要同时扫描多台计算机，可在左侧的列表中单击“Pickmultipleputerstoscan”（选择多台计算机扫描）链接，在右侧界面中的“IPaddressrange”（IP地址范围）下拉列表中输入IP地址段，并设置其他选项。

步骤06单击“StartScan”链接，即可开始扫描IP地址段内的所有计算机。

步骤07在左侧列表框中单击“Pickasecurityreporttoview”（查看安全报告）链接，可以打开扫描报告界面。单击“Sortorder”（排序）下拉按钮，在其下拉列表中可以选择排列次序，对安全报告的内容进行排序。

第二章　数据拦截工具

黑客在入侵计算机时，会利用数据拦截工具获取计算机中的数据，盗取用户的信息，从而危害计算机的安全。本节将介绍几种嗅探器的功能以及使用它们拦截数据的方法。

4。2。1IRIS嗅探器

在介绍IRIS嗅探器的功能及使用方法之前，应该先来了解一下什么是网络嗅探器及其原理和功能。

1．什么是网络嗅探器

网络嗅探器，简单地说就是使我们能够“嗅探”到本地网络的数据，并检查进入计算机的信息包，快速找到用户所需要的网络信息（如音乐、视频、图片等文件）。它既能用于合法网络管理，也能用于窃取网络信息。

2．网络嗅探器的工作原理

网络嗅探器利用的是共享式的网络传输介质。共享即意味着网络中的一台计算机可以嗅探到传递给本网段中的所有计算机的信息。当用户向网络上的计算机发送信息时（这些信息都是通过网络适配器来控制的），网络适配器通过对目的地址进行检查，来判断是否是传递给自己的。如果是，则把信息传递给操作系统；否则，将发送的信息丢弃，不进行处理。因此，要达到窃取数据的目录，只需要在网络适配器上安装具有检测帧的软件，就可以将传输的数据拦截，并记录下来。

3．网络嗅探器的功能

通过上面的内容就可以大概了解网络嗅探器的主要功能就是在网络上窃取数据，只要是通过网络适配器的数据一般就能拦截下来。网络嗅探器除了这个功能外，还可以作为网络管理员排除网络故障的工具，通过与基准数据对比来查找故障的来源。

4．IRIS嗅探器的应用

IRIS是一款性能不错的嗅探器，利用它可以监视和收集网络中的各种数据信息，捕获和查看目标计算机使用网络的情况，可以从进入和发出的信息中查看和统计数据。实际上它就是一个装在电脑上的窃听器，监视通过电脑的数据。

下面介绍IRIS嗅探器的使用方法。

步骤01安装下载的IRIS嗅探器软件，并运行程序。在第一次运行该软件时，会弹出【Settings】对话框，需要用户手动指定要监听的网卡。在右侧的“Adapters”列表框中选中显示的网卡，并单击【确定】按钮即可。

步骤02此时，启动IRIS程序，进入其主界面中。

步骤03选择【Tools】→【Settings】菜单项，即可打开【Settings】对话框。默认选择左侧列表中的“Capture”（捕捉）选项，在右侧界面中可以设置有关捕获数据包的选项。其中“Runcontinuously”选项表示当存储数据缓冲区不够时，Iris将覆盖原来的数据包；“Stopcaptureafterfillingbuffer”表示当存储数据缓冲区满了时，Iris将停止进行数据包截获，并停止纪录；选中“Scrollpacketslisttoensurelastpacketvisible”选项，可将新捕获的数据包附在以前捕获结果的后面并向前滚动；选中“UseAddressBook”选项，可使用AddressBook来保存mac地址，并记住mac地址和网络主机名。

步骤04在左侧列表中选择“Decode”（解码）选项，在右侧的界面中设置有关数据解码的选项。选中“UseDNS”选项，表示使用域名解析；单击【EditDNSfile】按钮，可以在弹出的对话框中编辑本地解析文件；“HTTPproxy”表示使用HTTP代理服务器，在其文本框中可以输入端口号，默认为80端口；选中“DecodeUDPDatagrams”复选框，表示解码UDP协议；选中“Scrollsessionslisttoensurelastsessionvisible”复选框，表示使新截获的数据包显示在捕获窗口的最上。

步骤05在左侧列表中选择“Guard”（防护）选项，在右侧的界面中可以设置“Enablealarmsour”（报警）和“Logtofi”（日志）等选项。选中“Enablealarmsound”复选框，表示当发现合乎规则的数据包时发出提示声音；在“Playthiswavefile”文本框中可以设置警报声音路径，声音格式是。wav；选中“Logtofile”复选框，表示启动日志文件，这样当符合规则的数据包被截获后将被记录在日志文件中；选中“IgnoreallLANconnections”复选框，则IRIS将不接受本地网络的数据包。若未选中该复选框，则IRIS会接受所有的数据包（包括本机收发出的）。“Ignoreconnectionsonthese》》”表示过滤指定端口（port），在列表中可以选择。

步骤06在左侧的列表选择“Miscellaneouse”（杂项）选项，在右侧的界面中会显示该选项包含的内容。其中，在“Packetbuffer”文本框中可设置用来保存捕获数据包最多个数（默认值是2000个）；在“Stopwhenfreediskspacedrops”文本框中可设置当磁盘空间低于该值时，Iris将会停止捕获和记录数据；选中“EnableCPUoverloadprotection”复选框，当CPU的占用率连续4秒钟达到100％时，IRIS会停止运行，等到恢复正常后才开始纪录；选中“StartautomaticallywithWindows”复选框，可以把IRIS加入到启动组中；选中“Checkupdatewhenprogramstart”复选框，则会在启动时检查本软件的更新情况。

步骤07在设置完成后单击【确定】按钮，返回IRIS软件的主界面中。选择【Tools】→【Schedules】菜单项，即可打开【Schedules】对话框。在其中单击【New】按钮，新建一个任务。

步骤08在右侧界面中单击相应的方块即可变为白色，表示不需要捕获网卡情况的时间段。

步骤09单击【OK】按钮，即可返回IRIS软件的主界面中开始扫描，扫描的结果显示了目标计算机使用网络的情况。

4。2。1SmartSniff嗅探器

SmartSniff嗅探器可以对通过用户网络适配器的TCP/IP数据包进行侦测捕获，以Ascii或Hex码显示网卡数据信息，如HTTP、SMTP、POP3、FTP、DNS等。虽然该软件是一款非常小的数据包捕获工具，但却是一种威胁性极大的攻击工具。

下面讲述SmartSniff嗅探器的使用方法。

步骤01在计算机上安装SmartSniff程序并启动该软件，进入其主界面中。选择【选项】→【捕捉选项】菜单项，即可打开【捕捉选项】对话框。在“捕捉方法”选项区域中默认选择“原始端口（Windows2000/XP）”选项，在“选择网络适配器”列表框中选择显示的适配器。

步骤02单击【确定】按钮，返回SmartSniff软件的主界面中。选择【选项】→【高级选项】菜单项，即可打开【高级选项】对话框，在其中可以设置要捕捉的内容及捕捉内容文字的颜色（支持彩色代码显示）。

步骤03单击【确定】按钮，返回SmartSniff软件的主界面中。选择【查看】→【选择工具栏】菜单项，即可打开【列栏设置】对话框。在列表框中可以设置要显示的内容，并可使用【上移】和【下移】按钮调整列栏。

步骤04单击【确定】按钮，在主界面中选择【文件】→【开始捕捉】菜单项，即可开始捕捉通过网络适配器的数据。捕捉结果将会显示在界面上方的列表框中。

步骤05要查看捕捉到的数据的详细信息，可在上方的列表框中选择一个结果，在界面下方的列表框中即可显示出来。双击上方列表框中的任意一个结果，可打开【属性】窗口，查看其捕捉信息。

4。2。3用SpySniffer嗅探下载地址

SpySniffer也是一款实用的嗅探软件，利用它可以捕获IP包、ARP包等网络数据。它不仅可以告诉用户哪台计算机连接到你的系统，而且还可以告诉用户它们进行了哪些操作。一旦有用户攻击你的计算机，该软件还可以获取攻击的证据。

下面介绍一下SpySniffer软件的具体使用方法。

1．安装SpySniffer软件后的准备工作

将下载的SpySniffer压缩包解压后，在计算机中进行安装。安装完成后，要正式使用该软件，需要对其进行相应的配置。其具体的操作步骤如下：

步骤01在计算机中第一次安装SpySniffer时，安装完成后，会弹出【Settings】对话框。在列表框中需要选择要监听的对象。

步骤02在左侧列表中选择“Action”选项，在右侧的界面中可选择当缓冲满时应采取的措施，以及记录文件保存的路径等信息。

步骤03在左侧列表中选择“Miscellaneous”选项，在右侧界面中的“Packetbuffer”数值框中可以设置用来保存捕获数据包最多个数。单击【确定】按钮，即可进入SpySniffer主界面中。

2．使用SpySniffer捕获网页的数据

下面以打开的任意一个网站为例，介绍利用SpySniffer捕获网页中的数据的方法。

步骤01打开一个网页，并关闭其它多余的网络连接，因为SpySniffer在嗅探时会有大量的数据报信息，为了方便查找数据最好只打开所需的网页。在SpySniffer的主界面中单击【StartCapture】按钮，即可开始捕获打开的网页的信息。

步骤02待一段时间后，在主界面右侧的列表框中即可看到捕获的数据。单击【StopCapture】按钮，即可停止捕获。

步骤03单击工具栏上的【Save】按钮，在弹出的【保存为】对话框中将捕获的信息保存成CAP文件。单击【确定】按钮，在弹出的提示对话框中保持默认设置，并单击【Ok】按钮。

步骤04单击工具栏上的按钮，即可打开Peep窗口。单击工具栏上的【Open】按钮，在【打开】对话框中选择刚才保存的CAP文件。

步骤05单击【打开】按钮，即可在Peep窗口的左侧列表中显示捕获的数据。单击需要查看的信息条，在右侧窗口中即可看到其网页内容及其网页信息，捕获的音乐网站的信息，单击网页中相应的连接即可播放音乐。

步骤06按照上述方法捕获网页信息后，可使用记事本程序打开上面保存的CAP文件，按【Ctrl＋F】组合键，即可打开【查找】对