作者根据实战经验精心改编的实例将帮助读者借鉴并开拓思路

全面提供有针对性的防守方案

全书共分21章，内容涵盖网路的基础知识、黑客初步、作业系统漏洞与套用软体漏洞的攻防、BBS与Blog的漏洞分析、信息收集、扫描目标、渗透测试、网路设备的攻击与防範、木马分析、病毒分析、网路脚本攻防、SQL注入攻防、防火墙技术、入侵检测技术、计算机取证、无线网路安全等内容。本书最大的特色在于知识全面、实例丰富，每一节的例子都经过精挑细选，具有很强的针对性，读者可以通过亲手实践进而掌握安全防护的基本要领和技巧。

本书适合初、中级用户学习网路安全知识时使用，同时也可作为高级安全工程师的参考资料。

在当今的网路时代，黑客、病毒让人们谈虎色变，那幺到底什幺是黑客，他们如何工作，病毒到底是什幺，病毒的出现又会对人们的生活造成什幺样的影响？本书将给出这些问题的答案。

计算机网路安全是现今网路的主旋律，关于网路安全的话题在媒体上随处可见。随着黑客工具的日益“傻瓜”化，黑客已经被剥离了神秘的外衣。但是计算机安全、网路安全知识的普及仍然是一个严峻的问题，为了解决这个问题，本书以普及安全知识为己任，帮助用户深入了解网路安全的方方面面，如深入分析黑客入侵计算机的全过程，模仿黑客入侵计算机并提升远程计算机的许可权进而达到控制系统的目的，剖析病毒和木马的来龙去脉，预测入侵检测的技术发展及趋势，此外，神秘的计算机取证技术和热点的无线网路安全问题都将在本书中呈现。

本书依照读者的学习规律，首先从了解网路安全的基础知识讲起，介绍基本概念和基本观点，在读者掌握了这些基本知识的基础上，再介绍历史上着名的黑客人物及历史事件，以立体的角度、有趣的故事情节为依託，严格遵循由浅入深、循序渐进的原则。本书以计算机网路安全知识的层次结构为主线将各种工具、命令和理论知识交织编排在一起，使读者可以深入学习任何一章的内容。

本书在内容编排和目录组织上都十分讲究，章节之间既可相互呼应也可各自成章。比如在第1章熟悉了网路的基础知识以后，立刻引入一些着名的黑客人物的经历，以一个实例告诉读者这些知识的重要性，让读者在茶余饭后的闲谈中即可快速入门。同时，每章之间又相互独立，如果读者希望直接了解病毒的相关知识，可快速查阅第9章和第10章。第9章对木马进行了深入的分析，第10章按照病毒的机制对病毒进行了深入的剖析。

和其他书籍相比，本书具有以下特点。

 内容丰富，实例经典。

在学习计算机网路安全知识时，经常遇到两种情况，一是单纯地讲理论而对知识实践只字不提；二是纯粹讲解实战而对涉及的理论不予理会。本书则不同，本书追求理论与实践的结合，使用浅显的语言儘可能地通过精心设计的经典实例，将计算机网路安全的基本理论和实践技巧融入到範例当中，全面覆盖计算机网路安全的各个角落。

 实战众多，内容充实。

作者在讲解每一个知识点之后，都要安排儘可能多的实例。这些实例都是根据实战经验改编，充分考虑了读者的理解水平，并且实战的每一步都介绍得非常详细，读者能够根据自身的知识水平有针对性地学习，使思路变得更加开拓。

 讲解通俗，步骤详细。

每个实例的演练步骤都以通俗易懂的语言阐述，并穿插说明文字，还附加了详细的插图作为演练的参考。

 知识面开阔，重点突出。

本书涉及的内容众多，有基础知识，也有深入的理论探讨。为了说明某一个知识点，在前面使用了一些基础知识作为铺垫，这些知识既可作为了解的必要步骤，也可作为参考知识供读者查阅。

 新知识多，讲解全面。

在本书中介绍了大量的新知识，如Metasploit、Nessus、UTM、EnCase、网路钓鱼、流氓软体和NetStumbler等。这些新知识的介绍充实了本书的内容，也使得本书与同类书中陈旧的技术内容形成了鲜明的差别。本书不仅介绍了新知识，而且针对这些知识进行实战演练，帮助读者快速了解新内容。

 实例鲜活，套用软体可随时获得。

虽然本书中使用了大量软体，但是这些软体基本上都是免费软体，读者可以从网路上随时下载进行练习，这就避免了读者只能阅读，不能实战的尴尬。

 兼顾各种水平的读者。

虽然本书面向基础读者，但是本书中也介绍了很多理论知识，这些内容可为高级读者提供进一步参考。

本书包括以下内容。

第1章 首先介绍网路的基本体系构成、网路的工作原理、黑客的基本知识、常用的连线埠知识，以及一般性的安全防範知识。

第2章 切入正题，介绍黑客的一些情况，如历史上的着名黑客及其参与的事件、着名的黑客组织、黑客通常使用的入侵手法和这些手法的防範方法等。

第3章 以作业系统常见的漏洞为主题，介绍如何利用这些漏洞入侵远程计算机的过程，并给出了防範方法。另外，还介绍了伺服器软体的一些漏洞及其解决方法。

第4章 继续第3章，重点分析BBS系统和Blog系统的一些问题，如提升许可权、Cookies问题及资料库暴库的问题。

第5章 帮助读者了解高级黑客蒐集信息的工具及方法，如使用Google蒐集网站信息、DNS查询和追蹤路由等知识。

第6章 主要介绍各种扫描技术及技巧，如SYN扫描、圣诞树扫描、FIN扫描、空扫描、UDP扫描等，还介绍了作业系统协定栈指纹识别技术。这一章使用了各种着名的扫描器，并给出了实战分析。

第7章 介绍黑客入侵的高级知识及渗透测试。其中重点介绍了一些渗透测试的基础知识和测试过程中涉及的技术问题，如分析缓冲区溢出问题及各种溢出知识，还介绍了资料库及Web渗透的基本技术，并在最后演示了一种在国外非常流行的测试工具平台Metasploit的使用方法。

第8章 介绍网路设备的基本知识，如路由器和交换机的工作原理，以及一些常用的网路设备攻击方法，如使用SNMP对路由器入侵及TFTP的使用方法。

第9章 从各个角度对木马进行了深入剖析。其中涉及木马的基本概念、木马常用攻击手段、木马程式的隐藏技术、木马攻击的防範与清除；介绍一些典型木马，如灰鸽子、冰河、RAdmin的基本知识；还介绍了使用冰刃检查木马进程及Ethereal防範木马的一些方法和技巧。

第10章 从病毒基本知识、病毒分析、病毒类型、新型病毒分析、各种作业系统病毒等方面介绍计算机病毒相关知识。

第11章 用户在使用网路资源时，需要了解针对各种计算机病毒和木马的防範方法。本章介绍了这些方法。

第12章 脚本攻击通常针对这些资料库来配合脚本对一些变数的过滤不严等问题，得到用户密码等敏感信息。本章就教会我们如何摆脱脚本攻击。

第13章 介绍防火墙的基本功能、工作原理、分类、体系结构、规则，随后介绍如何选择合适的防火墙和部分防火墙产品，在此基础上详细介绍了在不同作业系统平台下的防火墙软体的使用方法。

第14章 首先概述IDS的功能与模型、基本原理等，随后介绍产品选型原则及部分产品，然后着重介绍开源入侵检测系统Snort，最后还阐述了入侵防御系统与UTM等未来发展方向。

第15章 让用户学习通过对网路的封锁和代理突破，来实现维护计算机网路的安全性和可靠性。

第16章 讲解针对计算机作业系统的攻防技术，以及如何实现对软体和档案资料进行加密等相关的内容。

第17章 讲解ASP和PHP环境下的SQL注入技术，并了解SQL注入的防护。

第18章 讲解在计算机网路安全的攻防中，使用欺骗攻击技术实施攻击的原理及其安全防範方面的相关知识。

第19章 讲解与后门技术相关的一些内容，使得读者对后门技术的攻击及防範知识有一定的了解。

第20章 介绍计算机取证的相关知识。计算机取证将计算机系统视为犯罪现场，运用先进的技术工具，按照规程全面检查计算机系统，提取、保护并分析与计算机犯罪相关的证据，以期据此提起诉讼。这一章从证据的获取和证据的分析两个方面结合相应软体进行了介绍。

第21章 介绍无线网路安全的内容，其中对无线访问设备、AP、无线网路协定、WEP安全协定、NetStumbler检测无线网路、无线网路的攻击及防护无线网路等知识进行了浅显的阐述。

本书作者

本书主要由李俊民编写。其他参与编写的人员有张金霞、于锋、张伟、曾广平、刘海峰、刘涛、赵宝永、郑莲华、张涛、杨强、陈涛、罗渊文、李居英、郭永胜。在此对所有参与编写的人表示感谢！

由于笔者水平所限，书中可能还存在疏漏和错误，还望广大读者批评指正。

第1部分 黑客基础篇 1

第1章 网路基础知识 2

1.1 OSI模型 2

1.1.1 物理层 3

1.1.2 数据链路层 3

1.1.3 网路层 4

1.1.4 传输层 4

1.1.5 会话层 4

1.1.6 表示层 5

1.1.7 套用层 5

1.2 TCP/IP基础 5

1.2.1 TCP/IP协定参考模型 5

1.2.2 主机与网路层 6

1.2.3 网际网路层 6

1.2.4 传输层 6

1.2.5 套用层 6

1.2.6 IP协定 7

1.2.7 UDP协定 8

1.2.8 TCP协定 9

1.2.9 ARP协定 10

1.2.10 ICMP协定 11

1.2.11 HTTP协定 12

1.2.12 FTP协定 12

1.2.13 TCP/IP协定的分析工具

Ethereal 13

1.2.14 入侵检测工具Snort 14

1.2.15 Windows自带的Netstat工具

15

1.3 与网际网路相关的一些知识 15

1.3.1 域名系统 15

1.3.2 动态主机配置协定DHCP 16

1.3.3 TCP/IP上的NetBIOS 16

1.3.4 伺服器讯息块SMB 18

1.4 网路相关知识 19

1.4.1 计算机连线埠基础知识 19

1.4.2 计算机的安全分析工具 20

1.5 小结 21

第2章 黑客基础 22

2.1 黑客文化简史 22

2.1.1 黑客文化的古文化时期 22

2.1.2 黑客的UNIX时代 23

2.1.3 今天的黑客 23

2.2 帽子问题 23

2.2.1 “黑色”的黑客精神 23

2.2.2 帽子的划分 24

2.3 国内的黑客发展历史 24

2.4 早期着名的黑客 25

2.4.1 约翰·德拉浦 25

2.4.2 理察·M·史托曼 25

2.4.3 罗伯特·莫里斯 25

2.4.4 凯文·米特尼克 26

2.5 着名的黑客组织 26

2.5.1 Blackhat 26

2.5.2 L0pht 26

2.5.3 中国绿色兵团 27

2.6 黑客常用攻击手法：踩点 27

2.6.1 社交工程 27

2.6.2 搜寻引擎 27

2.6.3 Whois方法 28

2.6.4 DNS查询 28

2.7 黑客常用攻击手法：扫描 28

2.7.1 Ping扫描 28

2.7.2 ICMP查询 28

2.7.3 作业系统指纹识别 28

2.7.4 连线埠扫描 29

2.7.5 拓扑自动发现 29

2.8 黑客常用攻击手法：渗透 29

2.8.1 弱口令 29

2.8.2 开放连线埠 29

2.8.3 开放服务 30

2.8.4 作业系统版本信息 30

2.8.5 作业系统的漏洞信息 30

2.8.6 套用软体的漏洞信息 30

2.9 黑客常用攻击手法：许可权提升 30

2.10 黑客常用攻击手法：木马与远程

控制 31

2.10.1 木马的原理 31

2.10.2 着名的木马 31

2.11 使用防火墙防护个人计算机 32

2.11.1 防火墙的基本原理 32

2.11.2 防火墙的功能 32

2.11.3 基于状态的防火墙 32

2.11.4 基于代理的防火墙 33

2.11.5 防火墙的不足 33

2.12 使用防毒软体防护个人计算机 33

2.12.1 防毒软体的原理 33

2.12.2 防毒软体的特点 33

2.13 使用木马清除工具检查木马 34

2.13.1 木马清除工具的原理 34

2.13.2 反间谍软体 34

2.13.3 木马清除工具的局限性 34

2.14 一些常见的安全事件 34

2.14.1 拒绝服务攻击 35

2.14.2 蠕虫引起的网际网路瘫痪问题 36

2.14.3 殭尸网路 36

2.14.4 网路“钓鱼” 37

2.15 黑客的道德与法律问题 38

2.16 黑客软体开发工具 38

2.16.1 Visual Basic程式语言介绍 38

2.16.2 Delphi程式语言介绍 41

2.16.3 Visual C++程式语言介绍 44

2.17 小结 46

第2部分 漏洞、木马与病毒篇 47

第3章 漏洞基础知识 48

3.1 Windows作业系统漏洞 48

3.1.1 Microsoft Windows核心讯息

处理本地缓冲区溢出漏洞的

简介 48

3.1.2 Microsoft Windows核心讯息

处理本地缓冲区溢出漏洞的

实战 49

3.1.3 Microsoft Windows核心讯息

处理本地缓冲区溢出漏洞的

安全解决方案 50

3.1.4 Microsoft Windows LPC本地

堆溢出漏洞的简介 51

3.1.5 Microsoft Windows LPC本地

堆溢出漏洞的实战 51

3.1.6 Microsoft Windows LPC本地

堆溢出漏洞的安全解决方案 53

3.1.7 Microsoft OLE和COM远程

缓冲区溢出漏洞简介 54

3.1.8 Microsoft OLE和COM远程

缓冲区溢出漏洞的实战 54

3.1.9 Microsoft OLE和COM远程

缓冲区溢出漏洞的安全解决

方案 56

3.1.10 Microsoft Windows GDI+ JPG

解析组件缓冲区溢出漏洞

简介 56

3.1.11 Microsoft Windows GDI+JPG

解析组件缓冲区溢出漏洞的

实战 57

3.1.12 Microsoft Windows GDI+JPG

解析组件缓冲区溢出漏洞的

安全解决方案 59

3.1.13 Microsoft Windows图形渲染

引擎安全漏洞简介 61

3.1.14 Microsoft Windows图形渲染

引擎安全漏洞的实战 61

3.1.15 Microsoft Windows图形渲染

引擎安全漏洞的安全解决

方案 64

3.1.16 Microsoft UPnP 缓冲溢出漏洞

简介 65

3.1.17 UPnP 缓冲区溢出漏洞的

实战 65

3.1.18 UPnP 缓冲区溢出漏洞的安全

解决方案 66

3.1.19 Microsoft RPC接口远程任意

代码可执行漏洞 66

3.1.20 Microsoft RPC接口远程任意

代码可执行漏洞的实战 68

3.1.21 Microsoft RPC接口远程任意

代码可执行漏洞的安全解决

方案 69

3.1.22 Microsoft WINS服务远程缓

沖区溢出漏洞 70

3.1.23 Microsoft WINS服务远程缓

沖区溢出漏洞的实战 72

3.1.24 Microsoft WINS服务远程缓

沖区溢出漏洞的安全解决

方案 74

3.2 IIS漏洞 74

3.2.1 IIS的基础知识 74

3.2.2 IIS漏洞基础知识 76

3.2.3 printer漏洞 77

3.2.4 .printer漏洞的实战 78

3.2.5 .printer漏洞的安全解决方案 81

3.2.6 Unicode目录遍历漏洞 81

3.2.7 Unicode目录遍历的实战 83

3.2.8 Unicode目录遍历的安全解决

方案 86

3.2.9 .asp映射分块编码漏洞 86

3.2.10 .asp映射分块编码漏洞的

实战 87

3.2.11 .asp映射分块编码漏洞的安

全解决方案 89

3.2.12 WebDAV远程缓冲区溢出

漏洞 89

3.2.13 WebDAV远程缓冲区溢出漏

洞实战 91

3.2.14 WebDAV远程缓冲区溢出漏

洞的安全解决方案 92

3.2.15 WebDAV超长请求远程拒绝

服务攻击漏洞 92

3.2.16 WebDAV超长请求远程拒绝

服务攻击漏洞实战 94

3.2.17 WebDAV超长请求远程拒绝

服务攻击漏洞的安全解决

方案 96

3.2.18 WebDAV XML讯息处理远程

拒绝服务漏洞 96

3.2.19 WebDAV XML讯息处理远程

拒绝服务漏洞实战 97

3.2.20 WebDAV XML讯息处理远程

拒绝服务漏洞的安全解决

方案 99

3.2.21 Microsoft FrontPage Server Extensions

远程缓冲区溢出漏洞 100

3.2.22 Microsoft FrontPage Server

Extensions远程缓冲区溢出

漏洞实战 102

3.2.23 Microsoft FrontPage Server

Extensions远程缓冲区溢出

漏洞的安全解决方案 103

3.3 Serv-U漏洞 104

3.3.1 Serv-U FTP伺服器MDTM命

令程缓冲区溢出漏洞 104

3.3.2 Serv-U FTP伺服器MDTM命

令远程缓冲区溢出漏洞实战 106

3.3.3 Serv-U FTP伺服器MDTM命

令远程缓冲区溢出漏洞的安全

解决方案 108

3.3.4 Serv-U本地许可权提升漏洞 108

3.3.5 Serv-U本地许可权提升漏洞

实战 110

3.3.6 Serv-U本地许可权提升漏洞的安

全解决方案 113

3.4 小结 113

第4章 BBS与Blog的入侵实例 114

4.1 存在上传漏洞的BBS的入侵实例 114

4.1.1 Google可寻找的BBS系统 114

4.1.2 注册BBS资料 116

4.1.3 获取Cookie 117

4.1.4 生成网页木马 121

4.1.5 上传网页木马 122

4.1.6 漏洞的防护 125

4.2 存在脚本漏洞的BBS的入侵实例 126

4.2.1 暴库漏洞的原理 127

4.2.2 Google存在暴库漏洞的BBS

论坛目标 127

4.2.3 注册BBS资料 129

4.2.4 获取论坛管理员密码 131

4.2.5 获取管理员账户 133

4.2.6 获取管理员前台密码 136

4.2.7 获取Cookie 138

4.2.8 破解管理员后台密码 141

4.2.9 安全解决方案 143

4.3 与资料库相关的Blog的入侵实例 143

4.3.1 漏洞的检测 143

4.3.2 了解Dlog系统的结构 144

4.3.3 尝试入侵 146

4.3.4 上传网页木马 153

4.3.5 安全解决方案 158

4.4 基于Cookie欺骗的Blog入侵实例 159

4.4.1 漏洞的检测 159

4.4.2 了解L-Blog系统的结构 161

4.4.3 获取Cookie进行Cookie

欺骗 162

4.4.4 安全解决方案 168

4.5 小结 168

第5章 信息收集 169

5.1 针对目标的信息蒐集 169

5.1.1 什幺是踩点 169

5.1.2 确定目标範围 170

5.2 Google搜寻技术 170

5.2.1 Google的基本功能 170

5.2.2 site：对搜寻的网站进行

限制 174

5.2.3 filetype：在某一类档案中查找

信息 174

5.2.4 inurl：搜寻的关键字包含在

URL连结中 175

5.2.5 intitle：搜寻的关键字包含在

网页标题中 176

5.2.6 inanchor：搜寻的关键字包含

在网页的anchor链点内 176

5.2.7 link：搜寻所有连结到某个URL

地址的网页 177

5.2.8 cache：从Google伺服器上的

快取页面中查询信息 178

5.2.9 Google相关工具 178

5.2.10 Google与黑客 181

5.3 Whois：注册信息查询工具 184

5.3.1 ARIN：国际域名注册机构 185

5.3.2 APNIC：亚太域名注册机构 186

5.3.3 CNNIC：中国域名注册机构 186

5.4 DNS查询 188

5.4.1 主机名和IP位址 188

5.4.2 主机名的解析 189

5.4.3 主机名的分布 190

5.4.4 DNS的工作方式 191

5.4.5 主DNS伺服器 193

5.4.6 辅DNS伺服器 193

5.4.7 从主DNS伺服器向辅DNS服

务器传送数据 194

5.4.8 客户机请求解析的过程 195

5.4.9 主机IP位址查询实例 196

5.4.10 使用nslookup命令查询IP

地址 197

5.4.11 使用nslookup查询其他类型

的域名 198

5.4.12 使用nslookup指定使用的名

字伺服器 199

5.4.13 使用nslookup检查域名的缓

存时间 200

5.5 路由跟蹤与IP追蹤 205

5.5.1 TraceRoute：路由跟蹤 205

5.5.2 VisualRoute：IP追蹤 207

5.6 小结 208

第6章 扫描目标 209

6.1 漏洞扫描器的历史 209

6.2 确定正在运行的服务 209

6.2.1 Ping扫描 210

6.2.2 ICMP查询 211

6.2.3 确定运行的TCP服务和UDP

服务的旗标 212

6.3 连线埠扫描原理 214

6.3.1 标準连线埠与非标準连线埠的

划分 214

6.3.2 标準连线埠和非标準连线埠的

含义 216

6.3.3 TCP/IP的“三次握手” 216

6.3.4 连线埠扫描套用 217

6.3.5 Nessus扫描器 218

6.3.6 X-Scan扫描器 220

6.4 扫描方法简介 223

6.4.1 TCP Connect扫描 224

6.4.2 TCP SYN扫描 225

6.4.3 TCP FIN扫描 226

6.4.4 圣诞树扫描 227

6.4.5 TCP空扫描 227

6.4.6 TCP ACK扫描 228

6.4.7 TCP Windows扫描 229

6.4.8 TCP RPC扫描 229

6.4.9 UDP扫描 229

6.5 作业系统（OS）的识别 230

6.5.1 主动协定栈指纹识别技术 231

6.5.2 被动协定栈指纹识别技术 232

6.5.3 其他的指纹识别技术 234

6.6 扫描过程中的攻击技术 239

6.6.1 IP欺骗 239

6.6.2 DNS欺骗 240

6.6.3 Sniffing攻击 240

6.6.4 缓冲区溢出 241

6.7 扫描工具 241

6.7.1 Nmap：扫描器之王 241

6.7.2 Nessus：分散式的扫描器 243

6.7.3 X-Scan：国内最好的扫描器 244

6.8 小结 244

第7章 渗透测试 245

7.1 渗透的原理 245

7.1.1 渗透基础知识 245

7.1.2 缓冲区溢出攻击的基础知识 245

7.1.3 缓冲区溢出漏洞的攻击方式 246

7.1.4 缓冲区溢出的防範 246

7.1.5 堆溢出 246

7.1.6 格式化串漏洞利用技术 248

7.1.7 核心溢出利用技术 249

7.2 资料库的渗透 251

7.2.1 资料库的用户与许可权 251

7.2.2 SQL注入技术 252

7.2.3 使用Nessus进行资料库渗透

测试 255

7.3 Web套用的渗透 259

7.3.1 CGI渗透测试技术 260

7.3.2 使用Nessus进行Web套用

渗透测试 261

7.3.3 使用Wikto进行Web套用渗

透测试 265

7.4 Metasploit：渗透测试工具 269

7.4.1 Metasploit基础 269

7.4.2 命令行界面的Metasploit 270

7.4.3 图形界面的Metasploit 274

7.5 小结 276

第8章 网路设备的攻击 277

8.1 网路设备概述 277

8.1.1 交换机 277

8.1.2 三层交换技术 278

8.1.3 区域网路交换机的种类 278

8.1.4 交换机套用中的问题 279

8.1.5 路由器 279

8.1.6 路由选择 281

8.1.7 路由协定 281

8.1.8 路由算法 282

8.2 ASS基础 283

8.3 SNMP原理 284

8.3.1 SNMP基础知识 284

8.3.2 SNMP v1 286

8.3.3 SNMP v2 286

8.4 TraceRoute技术 287

8.4.1 TraceRoute原理 287

8.4.2 TraceRoute工具 288

8.5 攻击网路设备 289

8.5.1 SNMP的安全性分析 289

8.5.2 利用TFTP 291

8.6 小结 292

第9章 木马分析 293

9.1 木马的基本概念 293

9.1.1 木马的定义 293

9.1.2 木马的特徵 293

9.1.3 木马的基本功能：远程监视、

控制 294

9.1.4 木马的基本功能：远程视频

监测 295

9.1.5 木马的基本功能：远程

管理 295

9.1.6 木马的基本功能：传送

信息 296

9.1.7 木马的基本功能：获得主机

信息 296

9.1.8 木马的基本功能：修改系统

注册表 297

9.1.9 木马的基本功能：远程命令 297

9.1.10 连线型木马 298

9.1.11 用途型木马 300

9.1.12 木马的发展方向 300

9.1.13 灰鸽子木马 301

9.2 木马的行为分析 305

9.2.1 木马常用隐藏手段 305

9.2.2 木马的自启动技术 307

9.2.3 木马连线的隐藏技术 308

9.3 冰河远程控制 309

9.3.1 配置服务端 310

9.3.2 服务端的基本特徵 311

9.3.3 冰河的使用 312

9.3.4 冰河的手工卸载 313

9.4 上兴远程控制 314

9.4.1 配置自动上线 315

9.4.2 配置服务端程式 315

9.4.3 上兴远程控制的基本特徵 315

9.4.4 上兴远程控制的使用 316

9.4.5 手工删除上兴远程控制 320

9.5 RAdmin 321

9.5.1 配置服务端 321

9.5.2 安装服务端 322

9.5.3 RAdmin的特徵 322

9.5.4 RAdmin的使用 324

9.5.5 手工删除RAdmin 325

9.6 木马的防範 325

9.6.1 查：检查系统进程与服务 326

9.6.2 堵：控制木马的活动 327

9.6.3 杀：消除木马的隐患 327

9.7 netstat命令 327

9.7.1 netstat命令用法 328

9.7.2 用netstat命令来监测木马 329

9.8 使用冰刃检查木马活动 329

9.8.1 利用冰刃查看进程 329

9.8.2 利用冰刃查看连线埠 330

9.8.3 注册表 330

9.8.4 用冰刃查看档案 331

9.8.5 用冰刃查看启动组 332

9.8.6 用冰刃查看系统服务 332

9.8.7 利用冰刃查找木马实战 332

9.9 Ethereal：网路抓包工具 334

9.9.1 Ethereal使用介绍 334

9.9.2 对木马的监测 335

9.10 小结 336

第10章 病毒分析 337

10.1 计算机病毒基础 337

10.1.1 计算机病毒的定义 337

10.1.2 计算机病毒发展简史 338

10.1.3 计算机病毒的特徵 338

10.1.4 计算机病毒的程式结构 340

10.1.5 计算机病毒的存储结构 340

10.1.6 计算机病毒的分类 342

10.1.7 计算机病毒的入侵方式 344

10.1.8 计算机病毒的命名 345

10.1.9 计算机病毒的生命周期 346

10.2 计算机病毒分析 347

10.2.1 早期的DOS病毒介绍 347

10.2.2 宏病毒 347

10.2.3 档案型病毒 348

10.2.4 引导型病毒 350

10.3 蠕虫病毒 350

10.3.1 蠕虫的基本结构和传播

过程 351

10.3.2 蠕虫传播的模式分析 351

10.3.3 安全防御蠕虫的传播 351

10.3.4 尼姆达（Nimda）病毒 352

10.3.5 W32.Sircam病毒 352

10.3.6 SCO炸弹 353

10.3.7 “斯文”病毒 354

10.3.8 SQL蠕虫 355

10.3.9 一个简单的蠕虫实验 355

10.4 网页脚本病毒 357

10.4.1 网页脚本病毒的背景知识 357

10.4.2 “欢乐时光”病毒 358

10.4.3 一个简单的脚本及恶意网页

实验 359

10.5 即时通信病毒分析 360

10.5.1 即时通信病毒背景介绍 360

10.5.2 MSN性感鸡 361

10.6 作业系统漏洞攻击病毒分析 362

10.6.1 漏洞攻击病毒背景介绍 362

10.6.2 红色代码 362

10.6.3 冲击波病毒 363

10.6.4 震荡波病毒 364

10.7 病毒发展的新阶段——移动通信病

毒分析 365

10.7.1 移动通信病毒背景介绍 365

10.7.2 移动通信病毒的特点 366

10.7.3 手机病毒的传播途径 366

10.7.4 手机病毒的攻击方式 367

10.7.5 防範移动通信病毒的安全

建议 368

10.8 网路钓鱼概述 368

10.8.1 网路钓鱼背景介绍 368

10.8.2 网路钓鱼的手段和危害 369

10.8.3 利用电子邮件“钓鱼” 369

10.8.4 防範网路钓鱼的安全建议 370

10.9 流氓软体概述 370

10.9.1 流氓软体的分类及其危害 371

10.9.2 删除流氓软体的工具 371

10.9.3 流氓软体的安全防範 374

10.10 其他作业系统病毒 374

10.10.1 Linux与UNIX病毒 374

10.10.2 MAC OS病毒 375

10.11 小结 376

第3部分 网路攻防篇 377

第11章 网路安全防範 378

11.1 聊天工具安全防範 378

11.1.1 QQ聊天工具安全防範 378

11.1.2 WLM与安全防範 383

11.2 IE漏洞安全防範 385

11.2.1 MIME漏洞的防範 385

11.2.2 IE执行程式漏洞的防範 386

11.2.3 IE浏览器安全防範 387

11.3 网路炸弹安全防範 391

11.3.1 IE视窗炸弹的防範 391

11.3.2 QQ信息炸弹的防範 391

11.3.3 电子邮件炸弹的防範 393

11.4 电子邮件安全防範 394

11.4.1 邮件客户端的防範 394

11.4.2 网路信箱的防範 396

11.5 小结 397

第12章 网站脚本的攻防 398

12.1 脚本攻击概述 398

12.1.1 网站后台漏洞介绍 398

12.1.2 网页脚本攻击的分类 399

12.2 常见脚本攻防 399

12.2.1 常见的ASP脚本攻防 399

12.2.2 JavaScript语言与HTML脚本

语言的防护 400

12.3 跨站脚本的攻防 401

12.3.1 HTML输入概述 402

12.3.2 跨站脚本攻击剖析 402

12.3.3 跨站脚本攻击的安全防护 403

12.4 网站管理账号的防护 403

12.4.1 DCP-Portal系统安全防护 403

12.4.2 动网文章管理系统账号破解

与防护 404

12.5 论坛的防护 404

12.5.1 BBSXP论坛安全防护 404

12.5.2 Leadbbs论坛安全防护 405

12.6 小结 405

第13章 防火墙技术 406

13.1 防火墙概述 406

13.1.1 防火墙的功能 406

13.1.2 防火墙的模型 407

13.1.3 防火墙发展史 408

13.1.4 防火墙的发展趋势 408

13.1.5 防火墙的局限性 409

13.1.6 防火墙的脆弱性 410

13.2 防火墙基础知识 411

13.2.1 防火墙的分类 411

13.2.2 包过滤防火墙 411

13.2.3 代理伺服器防火墙 413

13.2.4 个人防火墙 414

13.2.5 分散式防火墙 414

13.3 防火墙体系结构 415

13.3.1 堡垒主机 415

13.3.2 非军事区（DMZ） 416

13.3.3 禁止路由器（Screening Router） 416

13.3.4 体系结构 417

13.3.5 防火墙的发展趋势 418

13.3.6 防火墙的规则 418

13.4 防火墙选型与产品简介 419

13.4.1 防火墙选型原则 419

13.4.2 防火墙产品介绍 420

13.5 天网防火墙 421

13.5.1 天网防火墙操作界面 422

13.5.2 天网防火墙开放连线埠套用 425

13.5.3 套用自定义规则防止常见

病毒 426

13.5.4 打开Web和FTP服务 427

13.5.5 线上升级功能 428

13.6 瑞星防火墙 429

13.6.1 安装瑞星防火墙 429

13.6.2 瑞星防火墙操作界面 430

13.6.3 瑞星防火墙的主选单 433

13.7 基于Linux的防火墙iptables 437

13.7.1 iptables的发展历史 437

13.7.2 iptables原理 437

13.7.3 启动iptables 438

13.7.4 iptables命令 439

13.7.5 iptables防火墙套用举例 441

13.7.6 核心Netfilter框架的使用 443

13.8 小结 446

第14章 入侵检测技术 447

14.1 入侵检测技术概述 447

14.1.1 入侵检测系统功能 447

14.1.2 入侵检测系统的模型 448

14.1.3 IDS的数据来源 449

14.2 入侵检测方法 449

14.2.1 异常入侵检测技术 450

14.2.2 误用入侵检测技术 450

14.3 入侵检测系统的设计原理 451

14.3.1 主机入侵检测系统

（HIDS） 451

14.3.2 网路入侵检测系统

（NIDS） 452

14.3.3 分散式结构的入侵检测

系统 454

14.4 入侵检测系统产品选型原则与产品

介绍 455

14.4.1 入侵检测系统产品选型原则 455

14.4.2 入侵检测系统产品介绍 455

14.5 在Windows系统中安装Snort 456

14.5.1 软体準备工作 457

14.5.2 安装Web伺服器 457

14.5.3 为Apache安装PHP支持 459

14.5.4 安装MySQL资料库 463

14.5.5 安装ADODB、ACID和

JpGraph 467

14.5.6 安装包捕获库WinPcap 469

14.5.7 安装Snort IDS 470

14.6 在Linux系统中安装Snort 476

14.6.1 软体準备工作 477

14.6.2 Linux作业系统下安装原始码

软体的基础知识 477

14.6.3 安装Apache、MySQL和PHP

480

14.6.4 安装LibPcap库 482

14.6.5 安装pcre软体包 482

14.6.6 安装Snort软体包 482

14.6.7 配置ACID 485

14.6.8 测试 485

14.7 Snort配置档案snort.conf 487

14.7.1 定义变数 487

14.7.2 配置动态装载库 489

14.7.3 配置预处理器 489

14.7.4 配置输出外挂程式 489

14.7.5 添加运行时配置指示符 490

14.7.6 定製自己的规则集 490

14.8 入侵检测技术发展趋势 492

14.8.1 入侵防御系统IPS 492

14.8.2 硬体IDS 492

14.9 统一威胁管理（UTM） 494

14.9.1 UTM採用的技术 495

14.9.2 UTM 发展趋势 496

14.10 小结 496

第4部分 常见攻防技术篇 497

第15章 网路封锁与代理突破 498

15.1 网路封锁概述 498

15.2 代理伺服器软体 498

15.2.1 代理伺服器软体CCProxy 499

15.2.2 Socks代理软体 502

15.2.3 花刺代理软体 503

15.2.4 代理猎手软体 506

15.2.5 线上代理伺服器 508

15.3 网路工具代理 509

15.3.1 MSN代理工具设定 509

15.3.2 Foxmail代理工具设定 511

15.4 SSH隧道介绍 512

15.4.1 SSH隧道概述 513

15.4.2 建立SSH隧道 513

15.5 共享网路的使用 514

15.5.1 拨号共享网路的使用 514

15.5.2 路由器共享网路的使用 519

15.6 小结 522

第16章 作业系统与档案加密技术 523

16.1 作业系统密码的破解 523

16.1.1 密码破解软体SAMInside 523

16.1.2 密码破解软体LC5 525

16.1.3 清空系统管理员密码 528

16.2 利用系统许可权寻找漏洞 528

16.2.1 利用替换系统档案的方法进行

攻击 528

16.2.2 利用本地溢出进行攻击 530

16.3 作业系统中的加密设定 531

16.3.1 设定电源管理密码 531

16.3.2 设定萤幕保护密码 532

16.3.3 计算机锁定加密设定 533

16.3.4 驱动器隐藏与显示 534

16.3.5 给硬碟加防写 535

16.3.6 给光碟加防写 536

16.4 系统登录加密 538

16.4.1 防止Windows匿名登录 538

16.4.2 设定Windows XP安全登录 539

16.5 常用软体与档案加密 540

16.5.1 Word文档加密 541

16.5.2 Excel文档加密 542

16.5.3 文本加密器 543

16.5.4 资料夹的隐藏与加密 545

16.5.5 禁止修改档案的属性 547

16.5.6 压缩软体加密 548

16.6 常用加密软体介绍 549

16.6.1 EFS加密 549

16.6.2 万能加密器 550

16.6.3 PGP工具软体 551

16.7 小结 554

第17章 SQL注入攻防技术 555

17.1 SQL注入基础 555

17.1.1 SQL注入概述 555

17.1.2 SQL注入的原理 556

17.1.3 SQL注入的危害与风险 556

17.2 ASP与PHP环境下的SQL注入 556

17.2.1 SQL注入资料库的判断 557

17.2.2 ASP+Access注入剖析 557

17.2.3 破解MD5加密 560

17.2.4 ASP+SQL Server注入剖析 562

17.2.5 PHP+MySQL注入剖析 564

17.3 常见Web注入 566

17.3.1 HTML注入 566

17.3.2 JSP和ASPX注入 568

17.3.3 Cookie注入 568

17.4 SQL注入的防护 570

17.4.1 ASP防注入系统介绍 570

17.4.2 PHP防注入系统介绍 572

17.5 小结 573

第18章 欺骗攻击技术与安全防範 574

18.1 URL欺骗 574

18.1.1 URL介绍 574

18.1.2 URL欺骗原理与防範 575

18.2 Cookie欺骗 576

18.2.1 Cookie欺骗介绍 576

18.2.2 Cookie欺骗原理与防範 576

18.3 DNS劫持技术 578

18.3.1 DNS介绍 578

18.3.2 DNS劫持技术 578

18.3.3 DNS劫持技术的防範 578

18.4 ARP欺骗 580

18.4.1 ARP概述 580

18.4.2 ARP协定原理 580

18.4.3 ARP欺骗原理 580

18.4.4 ARP欺骗攻击的防护 581

18.5 小结 581

第19章 后门技术与痕迹清理 583

19.1 常见后门介绍 583

19.1.1 账号后门 583

19.1.2 系统服务后门 588

19.1.3 漏洞后门 594

19.1.4 木马程式后门 596

19.1.5 Winshell伺服器后门 602

19.2 RootKit技术 604

19.2.1 RootKit技术概述 604

19.2.2 NTRootKit后门 604

19.2.3 RootKit专用检测工具介绍 606

19.3 黑客之门 608

19.3.1 黑客之门介绍 608

19.3.2 黑客之门的配置与安装 608

19.3.3 连线黑客之门 609

19.4 后门的防範 610

19.4.1 Windows XP风险后门 610

19.4.2 作业系统内置后门的防範 612

19.5 日誌信息的清理 614

19.5.1 手动清理本地计算机日誌 614

19.5.2 清理远程计算机日誌 616

19.5.3 清理FTP和WWW日誌 616

19.6 使用日誌工具清理日誌 617

19.6.1 使用elsave工具清理日誌 617

19.6.2 使用CleanllSLog工具清理

日誌 618

19.7 小结 619

第20章 计算机取证 620

20.1 电子证据 620

20.1.1 电子证据的概念 620

20.1.2 电子证据的特点 622

20.1.3 常见的电子证据 623

20.2 计算机取证原则 625

20.3 获取证物 626

20.3.1 获取证物的原则 626

20.3.2 收集信息的策略 627

20.4 使用FinalData软体 627

20.4.1 安装FinalData 627

20.4.2 使用FinalData 629

20.5 使用EasyRecovery软体 631

20.5.1 EasyRecovery的功能 631

20.5.2 使用EasyRecovery 632

20.6 使用盘载作业系统 637

20.6.1 ERD Commander盘载操作

系统 637

20.6.2 Windows PE盘载作业系统 645

20.7 硬碟分析 649

20.7.1 硬碟性能参数 649

20.7.2 硬碟接口结构 650

20.7.3 PQMagic与硬碟结构 651

20.8 加密与解密 653

20.8.1 密码体制 653

20.8.2 算法的分类 654

20.8.3 PDF破解密码实战 654

20.8.4 WinRAR破解密码实战 656

20.9 计算机取证常用工具 659

20.9.1 EnCase：软体取证工具 659

20.9.2 Quick View Plus：档案浏览器

660

20.10 小结 663

第21章 无线网路安全 664

21.1 无线硬体设备 664

21.1.1 访问点 665

21.1.2 天线 665

21.1.3 无线网卡 665

21.1.4 手持设备 666

21.1.5 无线设备的选购原则 666

21.2 无线网路协定 668

21.2.1 IEEE 802.11a协定 668

21.2.2 IEEE 802.11b协定 668

21.2.3 IEEE 802.11g协定 671

21.2.4 IEEE 802.11i协定 672

21.2.5 IEEE 802.11n协定 674

21.2.6 蓝牙技术 676

21.3 无线网路保护机制 678

21.3.1 WEP协定 678

21.3.2 WPA协定 681

21.3.3 WEP升级到WPA 684

21.4 无线网路安全工具 685

21.4.1 NetStumbler 686

21.4.2 Kismet 691

21.4.3 AiroPeek NX 694

21.4.4 AirSnort 712

21.4.5 WEPCrack 715

21.5 无线网路攻击与防护 718

21.5.1 无线网路攻击 718

21.5.2 无线网路防护 720

21.6 小结 720

附录A Windows的“运行”命令 721

附录B 常见程式进程详解 724

附录C 网路管理命令大全 741

附录D 病毒特徵码和木马进程 759

附录E 术语表