本文目录一览:
- 1、什么是盗号工具的后门
- 2、hive sql bigint类型为空能用不等于空字符串吗
- 3、瑞星2008公测版有什么优点,window sp2总是自动更新失败为什么?
- 4、hive技巧union all代替union
什么是盗号工具的后门
后门的分类
后门可以按照很多方式来分类,标准不同自然分类就不同,为了便于大家理解,我们从技术方面来考虑后门程序的分类 *** :
前面讲了这么多理论知识是不是觉得有点头大了呢?下面我们来讲讲一些常见的后门工具吧
1.网页后门
此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式,热缦衷诜浅A餍械腁SP、cgi脚本后门等。
典型后门程序:海洋顶端,红粉佳人个人版,后来衍生出来很多版本的这类网页后门,编写语言asp,aspx,jsp,php的都有种类比较繁多。
2.线程插入后门
利用系统自身的某个服务或者线程,将后门程序插入到其中,这种后门在运行时没有进程,所有 *** 操作均播入到其他应用程序的进程中完成。
典型后门程序:代表BITS,还有我在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。
3.扩展后门
所谓的扩展后门,在普通意义上理解,可以看成是将非常多的功能集成到了后门里,让后门本身就可以实现很多功能,方便直接控制肉鸡或者服务器,这类的后门非常受初学者的喜爱,通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能,本身就是个小的工具包,功能强大。
典型后门程序:Wineggdroup shell
4.C/S后门
这个后门利用ICMP通道进行通信,所以不开任何端口,只是利用系统本身的ICMP包进行控制安装成系统服务后,开机自动运行,可以穿透很多防火墙——很明显可以看出它的更大特点:不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比,它的控制方式是很特殊的,连80端口都不用开放,不得不佩服务程序编制都在这方面独特的思维角度和眼光.
典型后门程序:ICMP Door
5.root kit
好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。
典型后门程序:hacker defender
以上是我在网上搜集的前人总结,值得指出的是这些分类还不够完善,还没有真正指出后门的强大。
下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。
6 BootRoot
通过在Windows内核启动过程中额外插入第三方代码的技术项目,即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术,并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”,即“Boot Rootkit”。
Mebroot是如何实现MBR感染与运作的
Mebroot比Windows还要早一步启动,然后将自身驱动代码插入内核执行,从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入用户进程,为系统打开后门并下载木马运行。在这非传统的渗透思路下,反Rootkit工具是无法根除它的。
看到以上这么多可怕的后门知识是不是对这些有所了解了呢?
下面我们来谈谈如何检测后门
1.简单手工检测法
凡是后门必然需要隐蔽的藏身之所,要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处,如自启动项,据不完全统计,自启动项目有近80多种。
用AutoRuns检查系统启动项。观察可疑启动服务,可疑启动程序路径,如一些常见系统路径一般在system32下,如果执行路径种在非系统的system32目录下发现
notepad
System
*** ss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
spoolsv.exe
这类进程出现2个那你的电脑很可能已经中毒了。
如果是网页后门程序一般是检查最近被修改过的文件,当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。
2.拥有反向连接的后门检测
这类后门一般会监听某个指定断口,要检查这类后门需要用到dos命令在没有打开任何 *** 连接页面和防火墙的情况下输入netstat -an 监听本地开放端口,看是否有本地ip连接外网ip。
3.无连接的系统后门
如shift,放大镜,屏保后门,这类后门一般都是修改了系统文件,所以检测这类后门的 *** 就是对照他们的MD5值 如sethc.exe(shift后门)正常用加密工具检测的数值是
MD5 : f09365c4d87098a209bd10d92e7a2bed
如果数值不等于这个就说明被篡改过了。
4.CA后门
CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户,用户组管理也不显示该用户,手工检查一般是在sam里删除该帐号键值。当然要小心,没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户,所以建议服务器更好把guest设置一个复杂密码。
5.对于ICMP这种后门
这种后门比较罕见,如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。
6.对于rootkit
这类后门隐藏比较深,从一篇安全焦点的文献我们可以了解到他的历史也非常长,1989年发现首例在Unix上可以过滤自己进程被ps -aux 命令的查看的rootkit雏形。此后这类高级隐藏工具不断发展完整,并在94年成功运用到了高级后门上并开始流行,一直保持着后门的领先地位,包括最新出现的Boot Root也是该后门的一个高级变种。为了抵御这类高级后门国外也相续出现了这类查杀工具。例如:荷兰的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以检测并清除这些包括变种的RootKit.
hive sql bigint类型为空能用不等于空字符串吗
hive sql bigint类型为空能用不等于空字符串。
int为数字类型,这种字段会有个默认值,就是0,有很多人会用int字段来做对比,那么这个字段的值就会有0和1,而在你的语句中,0就是空,但不是null,所以就会这样了。
用replace函数替换 Replace() 功能将一个字符串中指定个数的字符串替换为另一个字符串。 语法Replace(string1,start,n,string2) 参数string1:string类型,指定要使用string2替换其中一部分内容的字符串start。
表示范围:
C语言没有规定各种整数类型的表示范围,也就是说,没有规定各种整数的二进制编码长度,对于int和long,只规定了long类型的表示范围不小于int,但也允许它们的表示范围相同。具体C语言会对整型和长整型规定表示方式和表示范围。
使用技巧:标准函数INT(X)其基本功能是得到一个不大于X的更大整数,如INT(3.59)=3,INT(-2.01)=-3。INT函数是一个用途很广的函数,在教学中能有目的的分列其使用技巧。
瑞星2008公测版有什么优点,window sp2总是自动更新失败为什么?
下面是高手测试了瑞星2008后的文章! 注:删除了作者的一些措辞强烈的结论,只保留技术分析的部分,请见谅。 看到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传统HIPS的更全面"的功能,当时为之震惊,难道国产杀毒软件终于开发出了强大的HIPS功能了?立刻下了测试版安装,打算进行测试。 起初考虑,发布文章中说得如此强大的主动防御技术,是不是需要逆向分析才能清楚呢?可惜,事实告诉我们,灰盒就够了。使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了。 (1) SSDT HOOK: 使用了最原始也是最易恢复的SSDT挂钩方式 挂钩了入下函数: ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入 ZwLoadDriver:拦截正规通过SCM的驱动加载 ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey: 用于拦截注册表操作 ZwTerminateProcess:保护进程不被结束 (2) ShadowTable挂钩: 挂钩了两个GDI函数: NtGdiSendInput、NtSetWindowsHookEx 分别用于拦截键盘鼠标模拟输入 和全局钩子 (3) Hook了TcpipNtfsFastFatCdfs等驱动的Dispatch Routine: 用于拦截 *** 操作、文件操作 (4) Hook了fsd的iat上的上几个函数,和主动防御基本无关 稍懂内核技术者从上面就可以看出,这个所谓的主动防御体系不但不能说超越所谓HIPS(使用的都是过时的技术)、另外监控非常的不足,可轻易突破,根本不具有主动防御的使用价值,可以说,根本不能称之为一个完整的、可靠的主动防御体系,不能称为IPS。 这里就来随便说几点这个体系的一些弱点: 弱点1 - 鸡肋的自我进程保护: 瑞星在发布文章中说到“开启了瑞星2008的自我保护后,使用Icesword也无法结束其进程”,这句话大家去江民论坛上看看,几天前江民的2008测试版出来的时候,也是说了这么同样一句话,但是,江民是货真价实不能被结束,瑞星呢? 不用多说,拿ICESWORD测试一下可知,瑞星的所有进程都可以被轻易结束为什么呢?因为瑞星只挂钩了ssdt上的NtTerminateProcess,这对于使用更底层的方式结束进程的Icesword是完全没有作用的,同时,只要这个钩子被恢复(在瑞星的全面保护下恢复此钩子也是非常容易的,见后面的弱点分析),使用任务管理器即可结束其所有进程(大家可以使用一 些具有SSDT恢复功能的工具例如超级巡警、gmer等试试)。 弱点2 - 注册表监控的多个漏洞 (1) 注册表监控使用全路径判断注册表写入键名的方式,这种方式使用一个小技巧就可以饶过: 先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion,得到句柄后再使用这个句柄+Run来操作这个注册表,即可完全饶过瑞星的所谓“注册表监控”,写入注册表。 (2) 没有拦截ZwSaveKeyZwRestroeKey等方式写入注册表。该 *** 可以彻底饶过瑞星的注册表监控,S *** 等专业的HIPS都已加入对这个写入注册表的保护,瑞星根本没有拦截这个关键的地方,(CB注:此处省略若干字*******)。 (3) 没有拦截直接操作HIVE注册表方式。该 *** 和 *** 2一样,S *** 等也都有拦截。 虽然瑞星拦截了ZwLoadDriver来阻止驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待重启后自然启动,那就可以为所欲为了。 弱点3 - 这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术 入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage *** 加载一个驱动,非常简单的就可以做想做的操作,比如恢复瑞星那些非常容易被恢复的SSDT钩子,这些 *** 上都有现成的代码,也有多个木马使用了该技术进行主动防御穿透。 上面所说的只是一些已被广泛公开的 *** ,其他的弱点就不说了,免得被木马利用。(CB注:此处省略若干字*******)。
hive技巧union all代替union
union因为要进行重复值扫描,所以效率低。如果合并没有刻意要删除重复行,那么就使用union all 两个要联合的sql语句 字段个数必须一样,而且字段类型要“相容”(一致); 如果我们需要将两个select语句的结果作为一个整体显示出来
