计算机病毒的形而上学1.1版-黑客基础知识

时间:2011-09-05 13:18来源: 作者:

  只有我们知道了什么是完美的计算机病毒,才可以造就完美的防毒软件。轮回:魔高一尺,道高一丈。
  病毒的定义是相对的,我将之定义为对于一定的环境,能够寄生,快速繁殖,能够通过变异和杂交,能够通过系统漏洞获得一定的系统控制权的智能体。信息和精神最后都映射为物质,只有透过信息和精神才能接触到物质,病毒的本质是物质性的。这种物质性,决定其能够吸取古往今来的人类在实践中积累和阐发的一切真理,从柏拉图到现在的计算机网络和人工智能,从古代的集市到现代的复杂经济体,从刀枪相见到全方位的战争等中所有反映这个宇宙最壮观,最微妙的部分,都应该整合到病毒的制造和进化中。生物界的病毒是最古老,最有活力的,计算机界的病毒,对于计算机网络这么大的一个比特生态圈来说,进化还刚刚开始,应该比特生态圈还处于原始期。从这个角度讲,将生物界的生态学的概念和相关理论迁移到比特生态圈中,是完全可行的,而且可能成为一个流派的指导思想。同时,参考生物界的原理,参考分子生物学的修正后的中心法则,将有助于吸收上帝的思想,造就完美的病毒,当然,它必然是残缺的。但是,残缺的东西,必须通过系统的方法进行制造,必须在一定的价值观,世界观,必须在一定的哲学理念和理论体系的指导下进行。这个领域不否认天才,但天才归根结底也是理论的一部分,只不过他能比常人更好的,在更高的层次上,甚至在自发的层次上接触和实践了真理。他是真理的催生者,但是,不创造任何真理。他是天使,但不是上帝。病毒的发展如果能够在理论上纳入发展大的轨道,形成元素周期表的预测和设计结构,那么将大大加速进化的速度。
   完美的病毒,其产生的过程,必须作为一个工程来做。一个成功的工程则是艺术和科技的完美的结合,在精心设计的时候也必须开放的。必须先设计,后施工。
  完美的病毒,应该是具有网络繁衍能力的,应该是融合社交工程学的,应该是融合人工智能思想和技术。
   完美的病毒,应该是分布式存在的,应该有母子结构,比如核心病毒可以释放vbs格式的子病毒。
   完美的病毒,应该是可以杂交的,也就是说不同来源的病毒甚至可以交换遗传信息。
   完美的病毒,应该从完备系统的进化走向破缺系统,这样,病毒之间才可以组合,协同,病毒界的力量才能够在大系统的层次上得到提升。应该借鉴生态学的理论和思想。
  完美的病毒,应该是在宿主内广泛存在的,侵染的范围是深广的,应该侵入系统的防护部分,也即免疫部分。
   病毒的机制组成包括:
   感染机制,包括欺骗和融入宿主,侵入核心和普通文件的机制。对象可以是文件类,包括可执行文件(.exe,.dll),脚本文件(.vbs等),文档文件(.doc等);引导区域,引导目录;杀毒软件等。可以开发一种病毒,专门侵染杀毒软件,利用其非同一般的功能,使其识别病毒的功能发生混乱,删除系统文件。采取的方式,包括补丁,内嵌,融合,宏,脚本。
   传播机制,包括邮件,可以自带邮件引擎,或者俘获邮件服务器,或者绕开验证程序,或者运用社交工程学(由于网络资源的开放性,非严谨性,这方面的可能性是很大的,温床到处都是),或者进行隐秘的网络攻击,侵入主机,利用其作为宿主,进行传播,或者作为正常软件的附件,或者侵入网页。
   功能机制,包括网络监听和局域网攻击,种植木马,利用宿主进行传播,获取资料和系统控制权,破坏对方机器,影响系统运行,恶作剧等。
   进化机制,包括病毒之间的交流,融合,杂交和再生,自身变异和进化,子母病毒,开放式接口和后门。能够通过网络学习。能够自行变成,具有人工智能。
   存在机制,网络分布式存在,注册为系统进程,或者隐藏在别的进程中,采用融合和分割技术,侵染必要的系统文件。
   加密机制,对自身加密。
  操作系统知识
  1、操作系统的种类----如果你觉得是废话可以跳过
  (1)、window 操作系统是由微软推出的操作系统,这个就不用多说了。
  (2)、Linux 尺系统将来会处于领导地位,介绍:
  1991年4月,芬兰人Linux Benedict Torvalds根据可以在低档机上使用的MINIX(--一种编程
  工具,可以不基于任何操作系统)设计了 一个系统核心Linux 0.01,但没有使用任何MINIX或UNIX的源代码。通过USENET(就是新闻组)宣布这是一个免费的系统,主要在x86电脑上使用,希望大家一起来将它完善,并将源代码放到了芬兰的FTP站点上代人免费下载。本来他想把这个系统称为freax,可是FTP的工作人员认为这是Linux的MINIX,就用Linux这个子目录来存放,于是它就成了
  “Linux”。这时的Linux只有核心程序,还不能称做是完整的系统,由于它代码公开人们可以很容易的修改他,至此经过人们的不断修改他越来越完善。值得一提的是很多国家重要机构的操作系统都是有Linux改进而来,如:china rat linux。
  (3)、UNIX  1965年时,贝尔实验室(Bell Labs)加入一项由奇异电子(General Electric)和麻省理工
  学院(MIT)合作的计画;该计画要建立一套多使用者、多任务、多层次(multi-user、multi-processor、multi-level)的MULTICS操作系统(此操作系统也经过多此的修改)--此操作系统主要用于大型服务器。
  (4)、HP-UX 惠普公司出品,用的很少,就不多说了
  (5)、Mac OS X 著名的苹果操作系统。
  (6)、Solaris SUN公司开发,原形基于BSD Unix,值得一题的是SUN公司没有因为Solaris系统出名,而是java大红。
  (7)、FreeBSD 开发者 Nate Williams,Rod Grimes,Jordan Hubbard。这操作系统在国外用得很多,主要是服务器系统,这个我也不太了解(不好意思)。
  (8)、Novell 由德国的SUSE公司开发,在早期的网络服务使用平凡,现在基本淘汰。
  ///操作系统另类
  嵌入式操作系统.(RTOS,说明:简称微型操作系统,它的体积很小,功能相对简单,但非常适合放入,机床、手机、PDA、等独立微型的计算系统)。
  (9)、uClinux是一种优秀的嵌入式Linux版本。uclinux是一个源码开放的操作系统,面向没有MMU(Memory Management Unit)的硬件平台。同标准Linux相比,它集成了标准Linux操作系统的稳定性、强大网络功能和出色的文件系,它是完全免费的。
  (10)、uC/OS II 开发商 Micrium。
  (11)、 VxWorks 开发商 WindRiver。
  (12)、PalmOS 开发商 PalmSource,Inc,手机用得比较多。
  (13)、WindowsCE 开发商 Microsoft 它是微软针对个人电脑以外的电脑产品所研发的嵌入式操作系统,而CE则为Customer Embedded的缩写。
  黑客基础知识
  计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。
  如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,或则通过软硬件防火墙关闭指定的端口,也可以屏蔽指定IP。
  服务器操作系统的远程管理问题:
  现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。 而Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。
  Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后,可以通过IIS的一些漏洞,远程建立系统帐户,并且提高自己的权限。
  病毒基础知识
  .按照计算机病毒攻击的系统分类
  (1)攻击DOS系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。
  (2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎, Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。
  目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。
  (3)攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用 UNIX作为其主要的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。
  (4)攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒,它虽然简单,但也是一个不祥之兆。
  2.按照病毒的攻击机型分类
  (1)攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
  (2)攻击小型机的计算机病毒。小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机, 也可以作为小的计算机网络的主机。起初,人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰,但自1988年11月份Internet网络受到worm程序的攻击后,使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
  (3)攻击工作站的计算机病毒。近几年,计算机工作站有了较大的进展,并且应用范围也有了较大的发展, 所以我们不难想象,攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。
  3.按照计算机病毒的链结方式分类
  由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击,计算机病毒所攻击的对象是计算机系统可执行的部分。
  (1)源码型病毒
  该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
  (2)嵌入型病毒
  这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的)一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
  (3)外壳型病毒
  外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
  (4)操作系统型病毒
  这种病毒用它自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
  这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等,对操作系统进行破坏。
  4。按照计算机病毒的破坏情况分类
  按照计算机病毒的破坏情况可分两类:
  (1)良性计算机病毒
  良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。
  有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权, 时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。
  例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
  (2)恶性计算机病毒
  恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗基罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。
  5.按照计算机病毒的寄生部位或传染对象分类
  传染性是计算机病毒的本质属性,根据寄生部位或传染对象分类,也即根据计算机病毒传染方式进行分类,有以下几种:
  (1)磁盘引导区传染的计算机病毒
  磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上被移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多,例如,“大麻”和“小球”病毒就是这类病毒。
  (2)操作系统传染的计算机病毒
  操作系统是一个计算机系统得以运行的支持环境,它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常,这类病毒作为操作系统的一部分,只要计算机开始工作,病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在,“黑色星期五”即为此类病毒。
  (3)可执行程序传染的计算机病毒
  可执行程序传染的病毒通常寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
  对于以上三种病毒的分类,实际上可以归纳为两大类:一类是引导扇区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。
  6.按照计算机病毒激活的时间分类
  按照计算机病毒激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
  7.按照传播媒介分类
  按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。
  (1)单机病毒
  单机病毒的载体是磁盘,常见的是病毒从软盘传人硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
  (2)网络病毒
  网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
  8.按照寄生方式和传染途径分类
  人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,
  二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。
  混合型病毒集引导型和文件型病毒特性于一体。
  引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容, 软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果用已感染病毒的软盘来启动的话,则会感染硬盘。
  引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。
  引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序被执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒己隐藏在系统中伺机传染、发作。
  有的病毒会潜伏一段时间, 等到它所设置的日期时才发作。 有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件,不然就是显示特定的图形,再不然就是放一段音乐给您听……。病毒发作后,不是摧毁分区表,导致无法启动,就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠,不会破坏硬盘数据,只是搞些“声光效果”让您虚惊一场。
  引导型病毒几乎清一色都会常驻在内存中,差别只在于内存中的位置。(所谓“常驻”,是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻,以提高效率)。
  引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒, BR(引导区)病毒。 MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻(Stoned)、2708等。 BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区(即0面0道第1个扇区)。典型的病毒有Brain、 小球病毒等。
  顾名思义,文件型病毒主要以感染文件扩展名为 .COM、.EXE和,OVL等可执行程序为主。它的安装必须借助于病毒的载体程序,即要运行病毒的载体程序,方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓,甚至完全无法执行。有些文件遭感染后,一执行就会遭到删除。大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长,但用户不一定能用DIR命令列出其感染病毒前的长度。 也有部分病毒是直接改写“受害文件”的程序码,因此感染病毒后文件的长度仍然维持不变。
  感染病毒的文件被执行后,病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒,会在每次进行感染的时候,针对其新宿主的状况而编写新的病毒码,然后才进行感染,因此,这种病毒没有固定的病毒码—以扫描病毒码的方式来检测病毒的查毒软件,遇上这种病毒可就一点用都没有了。但反病毒软件随着病毒技术的发展而发展,针对这种病毒现在也有了有效手段。
  大多数文件型病毒都是常驻在内存中的。
  文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的,若不进行汇编、链接则无法传染扩散。嵌入型病毒是嵌入在程序的中间,它只能针对某个具体程序,如dBASE病毒。 这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒,这类病毒寄生在宿主程序的前面或后面,并修改程序的第一个执行指令,使病毒先于宿主程序执行,这样随着宿主程序的使用而传染扩散。
  文件外壳型病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。
  混合型病毒综合系统型和文件型病毒的特性,它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透过这两种方式来感染,更增加了病毒的传染性以及存活率。不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件,此种病毒也是最难杀灭的。
  引导型病毒相对文件型病毒来讲,破坏性较大,但为数较少,直到90年代中期,文件型病毒还是最流行的病毒。但近几年情形有所变化,宏病毒后来居上,据美国国家计算机安全协会统计,这位“后起之秀”已占目前全部病毒数量的80%以上。另外,宏病毒还可衍生出各种变形变种病毒,这种“父生子子生孙”的传播方式实在让许多系统防不胜防,这也使宏病毒成为威胁计算机系统的“第一杀手”。
  随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及,病毒家族又出现一种新成员,这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
  黑客基本入侵手段:
  随着黑客活动的日益猖獗,信息安全问题越来越多地被各级政府和网络管理部门提到重要议事日程上来。黑客攻击网络的手段十分丰富,令人防不胜防。分析和研究黑客活动的手段和采用的技术,对我们加强网络安全建议、防止网络犯罪有很好的借鉴作用。本文简要介绍了黑客攻击网络的一般过程以及常用的网络攻击工具。
  远程攻击的一般过程
  1.收集被攻击方的有关信息,分析被攻击方可能存在的漏洞
  黑客首先要确定攻击的目标。在获取目标机及其所在的网络类型后,还需进一步获取有关信息,如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等,根据这些信息进行分析,可得到有关被攻击方系统中可能存在的漏洞。如运行一个host命令,可以获得目标网络中有关机器的IP地址信息,还可识别出目标机的操作系统类型。利用WHOIS查询,可了解技术管理人员的名字信息。运行一些Usernet和Web查询可了解有关技术人员是否经常上Usernet,等等。
  收集有关技术人员的信息是很重要的。系统管理员的职责是维护站点的安全。当他们遇到问题时,有些人会迫不及待地将问题发到Usernet上或邮件列表上寻求解答。而这些邮件中往往有他们的组织结构、网络拓扑和所面临的问题等信息。另外,若一个系统管理员经常在安全邮件列表或论坛中讨论各种安全技术和问题,就说明他有丰富的经验和知识,对安全有深入的了解,并作好了抵御攻击的准备。反之,若一个系统管理员提出的问题是初级的,甚至没有理解某些安全概念,则说明此人经验不丰富。
  每个操作系统都有自己的一套漏洞,有些是已知的,有些则需要仔细研究才能发现。而管理员不可能不停地阅读每个平台的安全报告,因此极有可能对某个系统的安全特性掌握的不够。
  通过对上述信息的分析,就可以得到对方计算机网络可能存在的漏洞。
  2.建立模拟环境,进行模拟攻击,测试对方可能的反应
  根据第一步所获得的信息,建立模拟环境,然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。
  3.利用适当的工具进行扫描
  收集或编写适当的工具,并在对操作系统分析的基础上,对工具进行评估,判断有哪些漏洞和区域没有覆盖到。然后在尽可能短的时间内对目标进行扫描。完成扫描后,可对所获数据进行分析,发现安全漏洞,如FTP漏洞、NFS输出到未授权程序中、不受限制的X服务器访问、不受限制的调制解调器、Sendmail的漏洞、NIS口令文件访问等。
  4.实施攻击
  根据己知的漏洞,实施攻击。通过猜测程序可对截获的用户帐号和口令进行破译;利用破译程序可对截获的系统密码文件进行破译;利用网络和系统本身的薄弱环节和安全漏洞可实施电子引诱(如安放特洛伊木马)等等。黑客们或者修改网页进行恶作剧,或破坏系统程序或放病毒使系统陷入瘫痪,或窃取政治、军事、商业秘密;或进行电子邮件骚扰或转移资金账户,窃取金钱等等。
  常用工具介绍
  扫描器
  在Internet安全领域,扫描器是最出名的破解工具。所谓扫描器,实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通TCP/IP端口和服务,并记录目标机的回答,以此获得关于目标机的信息。理解和分析这些信息,就可能发现破坏目标机安全性的关键因素。常用的扫描器有很多,有些可以在Internet上免费得到,下面做一简要介绍。
  NSS(网络安全扫描器):是用Perl语言编写的,可执行Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost等常规检查。
  Strobe(超级优化TCP端口检测程序):是一个TCP端口扫描器,可以记录指定机器的所有开放端口,快速识别指定机器上正在运行什么服务,提示什么服务可以被攻击。
  SATAN
  (安全管理员的网络分析工具):用于扫描远程主机,发现漏洞。包括:FTPD的漏洞和可写的FTP目录、NFS漏洞、NIS漏洞、RSH漏洞、Sendmail、X服务器漏洞等。
  Jakal:是一个秘密扫描器,它启动但并不完成与目标主机的SYN/ACK过程,因此可以扫描一个区域而不留下任何痕迹,能够避开端口扫描探测器的探测追踪。
  IdengTCPscan:是一个更加专业化的扫描器,能够识别指定TCP端口进程的使用者,即能够测出该进程的UID;
  CONNECT:用于扫描TFTP服务器子网。
  FSPScan:用于扫描FSP服务器。
  XSCAN:扫描具有X服务器漏洞的子网或主机。
  SAFESuite:是快速、先进、全面的UNIX网络安全扫描器。可以对指定网络执行各种不同的攻击,探测网络环境中特定的安全漏洞,包括:Sendmail、TFP、NNTP、Telnet、
  RPC、NFS等。
  扫描器还在不断发展变化,每当发现新的漏洞,检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具,也是维护网络安全的重要工具。系统管理人员必须学会使用扫描器。
  口令入侵
  所谓的口令入侵,是指破解口令或屏蔽口令保护。但实际上,真正的加密口令是很难逆向破解的。黑客们常用的口令入侵工具所采用的技术是仿真对比,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。
  Internet上大多数服务器运行的是UNIX或类UNIX操作系统。在UNIX平台上,用户登录ID和口令都存放在etc/passwd中。UNIX以数据加密标准DES为基础,以ID为密钥,对口令进行加密。而加密算法Crypt(3)是公开的。虽然加密算法分开,但目前还没有能够逆向破解其加密信息的方法。
  黑客们破解口令的过程大致如下:首先将大量字表中的单词用一定规则进行变换,再用加密算法进行加密。看是否与/etc/passwd文件中加密口令相匹配者:若有,则口令很可能被破解。单词变换的规则一般有:大小写交替使用;把单词正向、反向拼写后,接在一起(如cannac);在每个单词的开头和/或结尾加上数字1等等。同时,在Internet上有许多字表可用。如果用户选择口令不恰当,口令落入了字表库,黑客们获得了/etc/passwd文件,基本上就等于完成了口令破解任务。
  特洛依木马(trojan horse)
  所谓特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能,这些功能可以泄漏一些系统的私有信息,或者控制该系统。
  特洛依程序表面上是无害的、有用的程序,但实际上潜伏着很大的危险性。如在Wuarchive FTP daemon(ftpd)2.2版中发现有特洛依程序,该特洛依程序允许任何用户(本地的和远端的)以root帐户登录UNIX。这样的特洛依程序可以导致整个系统被侵入,因为首先它很难被发现。在它被发现之前,可能已经存在几个星期甚至几个月了。其次在这段时间内,具备了root权限的入侵者,可以将系统按照他的需要进行修改。这样即使这个特洛依程序被发现了,在系统中也留下了系统管理员可能没有注意到的漏洞。
  网络嗅探器(Sniffer)
  Sniffer用来截获网络上传输的信息,用在以太网或其它共享传输介质的网络上。放置Sniffer,可使网络接口处于广播状态,从而截获网上传输的信息。利用Sniffer可截获口令、秘密的和专有的信息,用来攻击相邻的网络。Sniffer的威胁还在于被攻击方无法发现。Sniffer是被动的程序,本身在网络上不留下任何痕迹。 常用的Sniffer有:Gobbler、ETHLOAD、Netman、Esniff.c、Linux Sniffer.c、NitWitc等等。
  破坏系统
  常见的破坏装置有邮件炸弹和病毒等。其中邮件炸弹的危害性较小,而病毒的危害性则很大。
  邮件炸弹是指不停地将无用信息传送给攻击方,填满对方的邮件信箱,使其无法接收有用信息。另外,邮件炸弹也可以导致邮件服务器的拒绝服务。常用的Email炸弹有:UpYours、KaBoom、Avalanche、Unabomber、eXtreme Mail、Homicide、Bombtrack、FlameThrower等。
  病毒程序与特洛依程序有明显的不同。特洛依程序是静态的程序,存在于另一个无害的被信任的程序之中。特洛依程序会执行一些未经授权的功能,如把口令文件传递给攻击者,或给他提供一个后门。攻击者通过这个后门可以进入那台主机,并获得控制系统的权力。
  病毒程序则具有自我复制的功能,它的目的就是感染计算机。在任何时候病毒程序都是清醒的,监视着系统的活动。一旦系统的活动满足了一定的条件,病毒就活跃起来,把自己复制到那个活动的程序中去。
  黑客基本术语简介:
  什么是TCP/IP
  是一种网络通信协议,他规范了网络上所有的通信设备,尤其是一个主机与另一个主机之间的数据往来格式以及传送方式.,TCP/IP是INTERNET的基础协议,也是一种电脑数据打包和寻址的标准方法.在数据传诵中,可以形象地理解为两个信封,TCP和IP就像是信封,要传递的信息被划为若干段,每一段塞入一个TCP信封,并在该信封面上记录有分段号的信息,再将TCP信封塞入IP大信封,发送上网.
  什么是路由器
  路由器应该是在网络上使用最高的设备之一了,它的主要作用就是路由选路,将IP数据包正确的送到目的地,因此也叫IP路由器.
  什么是蜜罐
  好比是情报收集系统.蜜罐好象是故意让人攻击的目标,引诱黑客来攻击,所有攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对你的服务器发动的最新的攻击和漏洞.还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络.
  什么是拒绝服务攻击
  DOS是DENIAL OF SERVICE的简称,即拒绝服务,造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法正常服务,最常见的DOS攻击有计算机网络宽带攻击和连通性攻击,连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗,最终计算机无法再处理合法用户的请求.
  什么是脚本注入攻击(SQL INJECTION)
  所谓脚本注入攻击者把SQL命令插入到WEB表单的输入域或也面请求的查学字符串,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内容直接用来构造动态的SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击.
  什么是防火墙?它是如何确保网络安全的
  使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
  什么是后门?为什么会存在后门?
  后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。
  什么叫入侵检测
  入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象
  什么叫数据包监测,它有什么作用
  数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
  在这里值得一题的是,美国的落山基级骇动力潜艇就有几艘专们用于海底电缆的数据监听。特别是太平洋。
  什么是NIDS
  NIDS是Network Intrusion Detection System的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
  什么叫SYN包
  TCP连接的第一个包,非常小的一种数据包。SYN攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。
  加密技术是指什么
  加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。
  加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
  局域网内部的ARP攻击是指什么
  ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
  基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
  1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
  2.计算机不能正常上网,出现网络中断的症状。
  因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
  什么叫欺骗攻击?它有哪些攻击方式
  网络欺骗的技术主要有:HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
  嗅探
  计算机网络的共享通讯道的,支持每对通讯计算机独占通道的交换机/集线器仍然过于昂贵,共享意为着计算机能够接收到发送给其他计算机的信息,捕获在网络中传输的数据信息就称为嗅探.
  木马
  全称为特洛伊木马(Trojan Horse),是根据希腊神话传说中一次战争而得名。麦尼劳斯派兵讨伐特洛伊国王,他们假装打败,然后留下一个大木马,而木马里却藏着最强悍的勇士!最后等晚上时间一到,木马里的勇士就冲出来把敌人打败了。这就是后来的”木马计”,而黑客中的木马有点后门的意思,就是把预谋的功能隐藏在公开的功能里,掩饰真正的企图。
  肉鸡
  已经被攻击了,对其具有控制权的主机。
  跳板
  一个具有辅助作用的机器,利用这个主机作为一个间接工具,来入侵其他主机,一般和肉鸡连用。
  弱口令
  所谓弱口令也就是指密码与用户名相同,密码为空的用户名与密码组合,也包括那些密码强度不够,容易被猜解的组合,一般专业认识不会犯这种错误。
  权限
  计算机用户对于文件及目录的建立,修改,删除以及对于某些服务的访问,程序的执行,是以权限的形式来严格区分的.被赋予了相应的权限,就可以进行相应的操作,否则就不可以.
  溢出
  程序在处理我们提交给它的数据时,有的时候忘了检查数据的大小与合法性,那么这些数据可能会超过属于自己的地盘,覆盖到其它数据的盘.如果这些超长数据被精心的策划构造的话,可能会被黑客去执行任意命令.打个比喻来说,windows系统是一个人,会一杯一杯喝我们给它准备的水,其中有一个杯子太小了,我们倒入了大量的水它就会溢出到别的杯子里去,而溢出到别的杯子里的东西我们事先可以设计好,而系统并不知道,这以为这本来就是那个杯子里的东西,于是我们可以完成一定的任务.
  端口
  要网络上,知道一台电脑的ip地址,只是相当于知道了它的居住地址,要和它进行通信,我们还要知道它开了哪些端口,比如说我们到一家医院,挂号要到1号窗口,划价要到2号窗口,取药要到3号窗口.那么与计算机的通信也是一样的,要上qq,你得登陆到腾讯服务器的8000端口,要浏览x档案的论坛,你得与其80端口进行联系,要ftp登陆空间,传输文件,我们又得服务器的21端口连接了.可以说,端口就是一种数据的传输通道,用于接收某些数据,然后传给相应的服务,而电脑将这些数据处理后,再将相应的回复通过端口传给对方.
  ip地址
  internet上的电脑有许多,为了让他们能够相互识别,internet上的每一台主机都分配有一个唯一的32位地址,该地址称为ip地址,也称作网际地址,ip地址由4个数值部分组成,每个数值部分可取值0-255,各部分之间用一个‘.‘分开.
  ARP
  地址解析协议(Address Resolution Protocol)
  此协议将网络地址映射到硬件地址。
  RARP
  反向地址解析协议(Reverse Address Resolution Protocol)
  此协议将硬件地址映射到网络地址
  UDP
  用户数据报协议(User Datagram Protocol)
  这是提供给用户进程的无连接协议,用于传送数据而不执行正确性检查。
  FTP
  文件传输协议(File Transfer Protocol)
  允许用户以文件操作的方式(文件的增、删、改、查、传送等)与另一主机相互通信。
  SMTP
  简单邮件传送协议(Simple Mail Transfer Protocol)
  SMTP协议为系统之间传送电子邮件。
  TELNET
  终端协议(Telnet Terminal Procotol)
  允许用户以虚终端方式访问远程主机
  HTTP
  超文本传输协议(Hypertext Transfer Procotol)
  TFTP
  简单文件传输协议(Trivial File Transfer Protocol)
  Shell
  Shell就是系统于用户的交换式界面。简单来说,就是系统与用户的一个沟通环境,我们平时用到的DOS就是一个Shell(Win2K或cmd.exe)。
  Root
  Unix里最高权限的用户,也就是超级管理员。
  Admin
  WindowsNT/2K/XP里最高权限的用户,也就是超级管理员。
  Rootshell
  通过一个溢出程序,在主机溢出一个具有Root权限的Shell。
  Exploit
  溢出程序。Exploit里通常包含一些Shellcode。
  Shellcode
  溢出攻击要调用的函数,溢出后要一个交换式界面进行操作。所以说就有了Shellcode。
  Acces Control list(ACL)
  访问控制列表。
  Address Resolution Protocol(ARP)
  地址解析协议。
  Administrator account
  管理员帐号。
  ARPANET
  阿帕网(Internet的简称)。
  access token
  访问令牌。
  adaptive speed leveling
  自适应速度等级调整。
  algorithm
  算法alias别名。
  anlpasswd
  一种与PASSWD+相似的代理密码检查器。
  applicatlons
  应用程序异步传递模式。
  accout lockout
  帐号封锁。
  accout policies
  记帐策略。
  accounts
  帐号。
  adapter
  适配器。
  WAP攻击
  黑客们在网络上疯狂肆虐之后,又将“触角”伸向了WAP(无线应用协议的英文简写),继而WAP成为了他们的又一个攻击目标。“WAP攻击”主要是指攻击WAP服务器,使启用了WAP服务的手机无法接收正常信息。由于目前WAP无线网络的安全机制并非相当严密,因而这一领域将受到越来越多黑客的“染指”。现在,我们使用的手机绝大部分都已支持WAP上网,而手机的WAP功能则需要专门的WAP服务器来支持,若是黑客们发现了WAP服务器的安全漏洞,就可以编制出针对该WAP服务器的病毒,并对其进行攻击,从而影响到WAP服务器的正常工作,使WAP手机无法接收到正常的网络信息。
  ICMP协议
  ICMP(全称是Internet Control Message Protocol,即Internet控制消息协议)用于在IP主机、路由器之间传递控制消息,包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。例如,我们在检测网络通不通时常会使用Ping命令,Ping执行操作的过程就是ICMP协议工作的过程。“ICMP协议”对于网络安全有着极其重要的意义,其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。例如,曾经轰动一时的海信主页被黑事件就是以ICMP攻击为主的。由于操作系统规定ICMP数据包最大尺寸不超过64KB,因而如果向目标主机发送超过64KB上限的数据包,该主机就会出现内存分配错误,进而导致系统耗费大量的资源处理,疲于奔命,最终瘫痪、死机。
  时间戳
  “时间戳”是个听起来有些玄乎但实际上相当通俗易懂的名词,我们查看系统中的文件属性,其中显示的创建、修改、访问时间就是该文件的时间戳。对于大多数一般用户而言,通过修改“时间戳”也许只是为了方便管理文件等原因而掩饰文件操作记录。但对于应用数字时间戳技术的用户就并非这么“简单”了,这里的“时间戳”(time-stamp)是一个经加密后形成的凭证文档,是数字签名技术的一种变种应用。在电子商务交易文件中,利用数字时间戳服务(DTS:digita1 time stamp service)能够对提供电子文件的日期和时间信息进行安全保护,以防止被商业对手等有不良企图的人伪造和串改的关键性内容。
  MySQL数据库
  我们在黑客文章中常会看到针对“MySQL数据库”的攻击,但很多朋友却对其不大了解。“MySQL数据库”之所以应用范围如此广泛,是由于它是一款免费的开放源代码的多用户、多线程的跨平台关系型数据库系统,也可称得上是目前运行速度最快的SQL语言数据库。“MySQL数据库”提供了面向C、C++、Java等编程语言的编程接口,尤其是它与PHP的组合更是黄金搭档。“MySQL数据库”采用的是客户机/服务器结构的形式,它由一个服务器守护程序Mysqld和很多不同的客户程序和库组成。但若是配置不当,“MySQL数据库”就可能会受到攻击,例如若是设置本地用户拥有对库文件读权限,那么入侵者只要获取“MySQL数据库”的目录,将其复制本机数据目录下就能访问进而窃取数据库内容。
  MD5验证
  MD5(全称是message-digest algorithm 5)的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”为一种保密的格式。它的典型应用是对一段信息(message)产生信息摘要(message-digest),以防止被篡改。通俗地说MD5码就是个验证码,就像我们的个人身份证一样,每个人的都是不一样的。MD5码是每个文件的唯一校验码(MD5不区分大小写,但由于MD5码有128位之多,所以任意信息之间具有相同MD5码的可能性非常之低,通常被认为是不可能的),凭借此特性常被用于密码的加密存储、数字签名及文件完整性验证等功能。通过MD5验证即可检查文件的正确性,例如可以校验出下载文件中是否被捆绑有其它第三方软件或木马、后门(若是校验结果不正确就说明原文件已被人擅自串改)。
  上传漏洞
  这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
  怎样利用:在网站的地址栏中网址后加上/upfile.asp如果显示“上传格式不正确[重新上传]”这样的字样就是有上传漏洞了,找个可以上传的工具直接可以得到WEBSHELL。
  工具介绍:上传工具,老兵的上传工具、DOMAIN3.5,这两个软件都可以达到上传的目的,用NC也可以提交。
  WEBSHELL是什么:其实WEBSHELL并不什么深奥的东西,是个WEB的权限,可以管理WEB,修改主页内容等权限,但是并没有什么特别高的权限,(这个看管理员的设置了)一般修改别人主页大多都需要这个权限,接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马,海阳2006也是WEB木马)。我们上传漏洞最终传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。
  暴库
  这个漏洞现在很少见了,但是还有许多站点有这个漏洞可以利用,暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
  暴库方法:比如一个站的地址为,我门就可以把com/dispbbs中间的/换成%5c,如果有漏洞直接得到数据库的绝对路径,用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)。
  为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了,为什么我暴出的数据库文件是以。ASP结尾
  的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。
  注入漏洞
  这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料。
  怎样利用:我先介绍下怎样找漏洞比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看
  如果显示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点
  有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多(NBSI、NDSI、啊D、DOMAIN等),都可以用来猜解帐号密码,因为是菜鸟接触,我还是建议大家用工具,手工比较烦琐。
  旁注
  我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻,比
  如你和我一个楼,我家很安全,而你家呢,却漏洞百出,现在有个贼想入侵我家,他对我家做了监视(也就是扫描),发现没有什么可以利用的东西,那么这个贼发现你家和我家
  一个楼,你家很容易就进去了,他可以先进入你家,然后通过你家得到整个楼的钥匙(系统权限),这样就自然得到我的钥匙了,就可以进入我的家(网站)。
  工具介绍:还是名小子的DOMIAN3.5不错的东西,可以检测注入,可以旁注,还可以上传!
  COOKIE诈骗
  许多人不知道什么是COOKIE,COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的。
  怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了,但是破解不出来密码(MD5是加密后的一个16位的密码)。我们就可以用COOKIE诈骗来实现,把自己的ID修
  改成管理员的,MD5密码也修改成他的,有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。
  防火墙系统。
  IDS入侵检测---现在一般有成品软件卖

1.异常检测
  在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。
  异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的入侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况。
  异常检测可以通过以下系统实现。
  (1)自学习系统
  自学习系统通过学习事例构建正常行为模型,又可分为时序和非时序两种。
  (2)编程系统
  该类系统需要通过编程学习如何检测确定的异常事件,从而让用户知道什么样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认两种。
  异常检测IDS分类如表1所示。
  2.滥用检测
  在滥用检测中,入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。
  滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从
  而产生漏警。
  滥用检测通过对确知决策规则编程实现,可以分为以下四种:
  (1)状态建模:它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间,所有状态都存在,则判定为恶意入侵。状态建模从本质上来讲是时间序列模型,可以再
  细分为状态转换和Petri网,前者将入侵行为的所有状态形成一个简单的遍历链,后者将所有状态构成一个更广义的树形结构的Petri网。
  (2)专家系统:它可以在给定入侵行为描述规则的情况下,对系统的安全状态进行推理。一般情况下,专家系统的检测能力强大,灵活性也很高,但计算成本较高,通常以降低
  执行速度为代价。
  (3)串匹配:它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差,但易于理解,目前有很多高效的算法,其执行速度很快。
  (4)基于简单规则: 类似于专家系统,但相对简单一些,故执行速度快。
  滥用检测IDS分类如表2所示。
  3. 混合检测
  近几年来,混合检测日益受到人们的重视。这类检测在做出决策之前,既分析系统的正常行为,同时还观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正
  常数据流背景来检测入侵行为,故而也有人称其为“启发式特征检测”。
  Wenke Lee从数据挖掘得到启示,开发出了一个混合检测器RIPPER。它并不为不同的入侵行为分别建立模型,而是首先通过大量的事例学习什么是入侵行为以及什么是系统的正常
  行为,发现描述系统特征的一致使用模式,然后再形成对异常和滥用都适用的检测模型。
  根据系统特征分类
  作为一个完整的系统,IDS显然不应该只包括检测器,它的很多系统特征同样值得认真研究。为此,将以下一些重要特征作为分类的考虑因素。
  1.检测时间:有些系统以实时或近乎实时的方式检测入侵活动,而另一些系统在处理审计数据时则存在一定的延时。一般的实时系统可以对历史审计数据进行离线操作,系统就能
  够根据以前保存的数据重建过去发生的重要安全事件。
  2.数据处理的粒度:有些系统采用了连续处理的方式,而另一些系统则在特定的时间间隔内对数据进行批处理操作,这就涉及到处理粒度的问题。它跟检测时间有一定关系,但二
  者并不完全一样,一个系统可能在相当长的时延内进行连续数据处理,也可以实时地处理少量的批处理数据。
  3.审计数据来源:主要有两种来源:网络数据和基于主机的安全日志文件。后者包括操作系统的内核日志、应用程序日志、网络设备(如路由器和防火墙)日志等。
  4.入侵检测响应方式:分为主动响应和被动响应。被动响应型系统只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击
  者采取反击行动。主动响应系统可以分为两类:
  (1)对被攻击系统实施控制。它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开网络连接、增加安全日志、杀死可疑进程等。
  (2)对攻击系统实施控制的系统。这种系统多被军方所重视和采用。
  目前,主动响应系统还比较少,即使做出主动响应,一般也都是断开可疑攻击的网络连接,或是阻塞可疑的系统调用,若失败,则终止该进程。但由于系统暴露于拒绝服务攻击
  下,这种防御一般也难以实施。
  5.数据收集地点:审计数据源可能来自某单一节点,也可能来自于网络中多个分布式节点。
  6.数据处理地点:审计数据可以集中处理,也可以分布处理。
  7.安全性:指系统本身的抗攻击能力。
  8.互操作性:不同的IDS运行的操作系统平台往往不一样,其数据来源、通信机制、消息格式也不尽相同,一个IDS与其他IDS或其他安全产品之间的互操作性是衡量其先进与否的
  一个重要标志。
  系统特征IDS分类如表3所示。
  根据体系结构分类
  按照体系结构,IDS可分为集中式、等级式和协作式三种,如表4所示。
  1.集中式。这种结构的IDS可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。但这
  种结构的IDS在可伸缩性、可配置性方面存在致命缺陷:第一,随着网络规模的增加,主机审计程序和服务器之间传送的数据量就会骤增,导致网络性能大大降低;第二,系统安
  全性脆弱,一旦中央服务器出现故障,整个系统就会陷入瘫痪;第三,根据各个主机不同需求配置服务器也非常复杂。
  2.等级式。它用来监控大型网络,定义了若干个分等级的监控区,每个IDS负责一个区,每一级IDS只负责所监控区的分析,然后将当地的分析结果传送给上一级IDS。这种结构仍
  存两个问题:首先,当网络拓扑结构改变时,区域分析结果的汇总机制也需要做相应的调整;第二,这种结构的IDS最后还是要把各地收集到的结果传送到最高级的检测服务器进
  行全局分析,所以系统的安全性并没有实质性的改进。
  3.协作式。将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。所以,其可伸缩性、安全性都得到了显著的提高,
  但维护成本却高了很多,并且增加了所监控主机的工作负荷,如通信机制、审计开销、踪迹分析等。
  DMZ
  全称Demilitarized Zone(隔离区或非军事化区)。该功能主要是为了解决安装防火墙之后外部网络不能访问局域网服务器的问题,比如FTP服务器、视频会议、网络游戏等,DMZ其
  实就相当于一个网络缓冲区,通过该区域可以有效保护内部网络。目前,市场上的防火墙一般都提供DMZ端口。
  VPN
  全称Virtual Private Network(虚拟专用网络)。它是指在专用和公共网络(比如Internet)上创建的临时的、安全的专用网络连接,又称为“隧道”,并不是真的专用网络。在防
  火墙中使用VPN功能可以创建临时连接,在网络中进行数据的安全传输。目前,大部分防火墙产品都支持该功能。
  SPI
  全称Stateful Packet Inspection(状态封包检测)。防火墙通过该功能可以过滤掉一些不正常的包,防止恶意攻击,比如DoS攻击。
  访问控制
  通过防火墙的访问控制功能可以对内网的计算机进行访问限制,比如限制访问的Internet网站,限制使用的端口号,这样可以保证局域网的安全性
  网络术语
  1.什么是voip?
  VoIP(Voice over Internet Protocol)是一种以IP电话为主,并推出相应的增值业务的技术。VoIP最大的优势是能广泛地采用Internet和全球IP互连的环境,提供比传统业务
  更多、更好的服务。 VoIP可以在IP网络上便宜的传送语音、传真、视频、和数据等业务,如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、Internet
  呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等。
  2.什么是网关?
  网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似
  ,不同的是互连层。网关既可以用于广域网互连,也可以用于局域网互连。
  3.什么是网守?
  网守:是对网络端终(如电话)网关等呼叫和管理功能,它是Voip网络系统的重要组成部分。
  4.什么是公网?
  公网就是普通电路交换网,即现在的网通,电信,铁通等架设的骨干及分支网络。
  5.什么是软交换?
  软交换是网络演进以及下一代分组网络的核心设备之一,它独立于传送网络,主要完成呼叫控制、资源分配、协议处理、路由、认证、计费等主要功能,同时可以向用户提供
  现有电路交换机所能提供的所有业务,并向第三方提供可编程能力。
  6.何为网络传真?
  电子传真系列业务是基于PSTN和互联网络,整合了电话网、智能网和互联网技术开发的增值服务。传真文件以图形格式存储,用户可以通过传真机向互联网传真信息存储网络
  发送传真信息,通过计算机或者传真机收取传真。
  7.什么是H.323?
  H.323是国际电信组织ITU-T所制定媒体(Media)在分封网路(Packet network)上的传输标准。
  8.什么是VoIP Gateway?
  VoIP Gateway意指VoIP与传统PSTN网路界接并转换相关协定的设备。
  9.什么是VoIP Termianl?
  VoIP Termian意指VoIP网路上的终端设备﹝如:IP Phone,TA…﹞。
  10.什么是Gatekeeper
  Gatekeeper是一种soft switch,负责VoIP网路上的讯号交换及控制功能。其功能类似传统PSTN上的交换机。
  11.什么是SIP协议?
  SIP(Session Initiation Protocol)是由IETF定义,基于IP的一个应用层控制协议。由于SIP是基于纯文本的信令协议,可以管理不同接入网络上的会晤等。会晤可以是终
  端设备之间任何类型的通信,如视频会晤、既时信息处理或协作会晤。该协议不会定义或限制可使用的业务,传输、服务质量、计费、安全性等问题都由基本核心网络和其它协议
  处理。SIP得到了微软、AOL、等厂商及IETF和3GPP等标准制定机构的大力支持。支持SIP的网络将提供一个网桥,以扩展向互联网和无线网络的各种设备提供融合业务能力。这将
  允许运营商为其移动用户提供大量的信息处理业务,通过SMS互通能力与固定用户和2G无线用户交互。SIP也是在UMTS3GPP R5/R6版本中使用的信令协议,因此可以保护运营商目
  前的投资而及具技术优势和商业价值。
  12.H.248协议基本概念
  H.248协议是 2000年由 ITU-T第 16工作组提出的媒体网关控制协议,它是在早期的 MGCP协议基础上改进而成。H.248/ MeGaCo协议是用于连接MGC与MG的网关控制协议,应
  用于媒体网关与软交换之间及软交换与 H.248/ MeGaCo终端之间,是软交换应支持的重要协议。H.248协议定义的连接模型包括终端(termination)和上下文(context)两个主要
  概念。终端是 MG中的逻辑实体,能发送和接收一种或多种媒体,在任何时候,一个终端属于且只能属于一个上下文,可以表示时隙、模拟线和RTP(real time protocol)流等。终
  端类型主要有半永久性终端(TDM信道或模拟线等)和临时性终端(如RTP流,用于承载语音、数据和视频信号或各种混合信号)。用属性、事件、信号、统计表示终端特性,为了解决
  屏蔽终端多样性问题,在协议中引入了包(package)概念,将终端的各种特性参数组合成包。一个上下文是一些终端间的联系,它描述终端之间的拓扑关系及媒体混合/交换的参
  数。朗讯公司(Lucent)在MGCP协议中首次提出 context概念,使协议具有更好的灵活性和可扩展性,H.248/MeGaCo协议延用了这个概念,它可用 Add命令创建,用Subtract或
  Move命令删除。
  13.什么是VPN?
  PN(Virtual Private Network):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个
  网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之
  上的,如:Internet或Intranet。要实现VPN连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,
  另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有
  的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向
  VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务
  器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
  第二部分:
  1.网络电话的工作原理?
  通过互联网能打电话到普通电话上,关键是服务供应商要在互联网上建立一套完善的电话网关。所谓电话网关,是指可以将Internet和公共电话网连接在一起的电脑电话系统,
  其一端与Internet连接,另一端是可以打进打出的电话系统。当用户上网后,使用专用的网络电话软件,可以通过麦克风和声卡将语音进行数字化压缩处理,并将信号传输到离目
  的地最近的电话网关,电话网关将数字信号转换成可以在公共电话网上传送的模拟信号,并接通对方电话号码,双方就可以通过互联网电话网关通话了。
  2.网关的工作原理
  网关的工作原理是:当路由器的物理接口或路由模块的虚拟接口接收到数据包时,通过判断其目的地址与源地址是否在同一网段,来决定是否转发数据包,通常小型办公室的
  网络设备只有两个接口,一个连接Internet,另一个连接局域网集线器或交换机,因此,一般设成缺省路由,只要不是内部网段,全部转发。
  3.网守的功能
  (一)在IP电话中,网守处于高层,是用来管理IP电话网关的。总的来说网守的功能如下:一、RAS功能RAS部分的功能有用户认证、地址解析、带宽管理、路由管理、安全性管
  理、区域管理。
  1、区域管理:由于IP Phone网络正在发展中,网络的拓扑结构各种各样,考虑到目前的发展趋势,网守在结构上应能适应各种结构,既能支持单网守、单区域,也能支持多网守、
  多区域;在多区域情况下,各个区域即可以建立平等和直接的联系,也可通过上级网守联系。每个区域可配置多个网守,以用于备份和负荷分担。每个网关保存两个网守的地址,
  网关启动后定期向网守发RRQ登录,如果登录失败,则向另一网守登录。登录时网守保存网关的登录生存周期,超时后未重新收到网关的RRQ则认为网关故障,将其状态置为不可用。
  2、用户认证:网关用ARQ把用户卡号和密码发给网守,网守再把卡号和密码送给计费认证中心,如果计费认证中心认证通过,网守向网关发ACF,否则回ARJ。
  3、地址解析:网关在用户认证完成后,接受被叫号码,接收完被叫号码后把号码用ARQ送给网守,网守在路由表中查找目的网关的IP地址,如果目的网关不在本区域中,向上级网
  守或邻近网守请求在别的区域中查找。找到目的网关后在ACF中返回其IP地址,未找到返回ARJ。网守到网守的通信方式遵循H.225.0 Annex G的建议。
  4、带宽管理:由于每个网关接入到Internet的带宽有限,为了避免在话务高峰期造成网络拥塞,影响所有的呼叫,网守可设定进行带宽管理,网关在ARQ中填入所需的带宽,网守
  判断有无足够的带宽资源,如果资源不足,就拒绝呼叫。由于呼叫所需的带宽取决于语言编码的类别、是否采取静音、每个RTP包带几帧数据等,因此,在ARQ中的带宽应按最大需
  求申请,在通话开始时,再用BRQ修改所需带宽。
  5、路由管理:为了提高网络的可靠性和接通率,对话务流量进行分配,网守提供路由管理。在路由表中,每个区号可以对应多个路由,路由具有优先级,选路时先选高优先级路由
  ,如果高优先级路由拥塞或不可达,再选低优先级的路由。当呼叫跨区域时,双方的网守可以直接建立联系,也可以通过上级网守联系,还可以通过别的同级网守联系,方式灵
  活,保证系统的灵活配置和网络的可靠性。具有相同区号和路由特性的网关可以组成网关组,选路时可以针对网关,也可以针对网关组。对某一网关组选路时,可以按每个网关的
  优先级,也可以按百分比在网关间进行流量分配。为了在某些情况下能与即不在本网守的控制下,也无法与其网守通信的网关互通,路由还可设为“独立网关”,直接与之通信。
  6、安全性管理:由于Internet是一个开放的网络,容易遭到攻击,网守应提供基于H.235的安全机制,在相互通信的网关和网守之间、网守与网守之间设置密码,相互认证。为了
  与别的设备互通或别的原因,网守也可以不提供基于H.235的安全性机制或也可以针对IP地址进行认证,根据对方的IP地址来判断对方是否是合法用户。
  (二)呼叫处理功能
  网守除了进行RAS功能外,还需要具有呼叫处理功能,利用H.225.0和H.245进行呼叫的建立,能力交换,呼叫维护和结束呼叫等处理。对于PC-to-Phone业务,PC需要对网守发
  起呼叫。再由网守向被叫网关发起呼叫,网守在进行呼叫处理的时侯,其处理能力会下降很多。
  (三)用户界面和参数设置
  用户界面和参数设置部分完成路由表、网关数据表、网关组数据表、本网守数据设定等数据的输入、修改、保存和调试信息、日志信息、告警信息的管理和用户权限管理。
  1、各种数据的管理:网守的数据主要有网关数据表、网关组数据表、网守数据表、路由表、国家信息表五个表格和本网守的各种设置,如RAS端口号,是否采用H.235,本网守的
  国家号和国家号前缀等。通过用户界面,可以实时修改大部分数据,少数参数如端口号等只能在系统初始化时设定,运行中禁止修改。所有的数据都可以保存在文件中,下次启动
  可直接使用。
  2、告警信息管理:提供告警窗口,在系统出现异常时打印告警信息。
  3、调试信息管理:可以输入一些命令,来控制系统的运行和显示某些感兴趣的信息,如VOS的内存信息,显示收到的消息等。
  4、日志管理:记录网守所有的操作,以便进行问题跟踪等。
  5、用户权限管理:对操作设置各级权限,根据权限确定用户对网守的操作。
  (四)RADIUS Client程序
  计费认证中心中保存着所有卡号用户的信息,当网关向网守发送ARQ请求对用户进行认证时,GK通过Radius Client向计费认证中心发送用户验证请求,等待计费认证中心的
  验证结果。呼叫开始通话时,网守收到网关的通知后通过Radius Client向计费认证中心发送计费开始消息,通话结束后发送计费结束消息。
  (五)网管功能
  网守支持SNMP,通过运行SNMP代理,与网管中心建立联系。
  (六)其他功能
  1、设备备份的考虑:为了保证系统的可靠性,每个区域应至少配置两个网守,这两个网守可以配置为一个为主,一个为从,也可以配置为两个平等的网守,对区域内的网关
  进行负荷分担,同时互为备用。在正常情况下网关只向主网守登记,但主备网守中都保存有该网关的数据,当网关向主网守登记失败后,向备用网守登记。
  2、设备管理:为了在某一网关或网守出现故障时能及时改变路由,提高接通率,网守应能及时发现其管理下的网关和与之联系的其它网守的状态改变并以此改变路由数据。
  网守管理下的网关不断向网守发送登记请求,每次登记的生存周期可以设得很短,当生存周期已到而未收到网关新的登记请求时,网守就可以认为网关发生故障,并不在向其分配
  呼叫。与此同时,网关不停向所有与之向连的网守发送服务请求,与之建立联系。当向对方发出服务请求未收到对方的证实,重发也超过最大重发次数时,认为对方发送故障,这
  时改变自己的路由表。
  3、会话管理:网关上的每一个呼叫在网守中都有一与之对应的呼叫控制块,当网关发起呼叫时向网守发送ARQ,网守在收到后ARQ创建呼叫控制块,呼叫结束时网关向网守发送
  DRQ,网守释放呼叫控制块。为了避免在某些情况下网守未收到网关的DRQ而造成网守无法释放呼叫,网守定期向网关发送查询命令,检查呼叫是否存在,如果不存在,则释放呼叫
  控制块。为了避免呼叫超出网守处理能力而造成网守崩溃,网守可以设一最大呼叫数,超出的呼叫将被拒绝。对每个网关也设一最大呼叫数,当该网关上的呼叫数超出门限值时呼
  叫也将被拒绝。网守还可以闭塞某一网关或网守,禁止其呼入或呼出。对每一网守,还可以设一拥塞上限和拥塞下限,当呼叫超出呼叫上限时认为该网守已拥塞,不再向该网守分
  配呼叫;当呼叫数低于拥塞下限时,认为拥塞已经解除。
  4.软交换技术及其应用
  (1)软交换技术产生的背景
  人类的通信包括话音、数据、视频与音频组合的多媒体三大内容。一直以来,上述三类通信业务均是分别由不同的通信网来承载和疏通。电话网承载和疏通语音业务、数据网
  承载和疏通数据业务,多媒体网承载和疏通多媒体业务。
  随着社会信息化程度的进一步加深,通信已经成为人们生活和工作中不可缺少的工具,人们对通信要求也不再仅仅是基本的语音通信业务和简单的WWW浏览和收发E-mail,人
  们需要的是能够随时、随地、灵活地获取所需要的信息。因此要求电信运营商能够灵活地为用户提供丰富的电信业务,而基于由不同通信网络提供不同业务的运营模式难以满足用
  户“灵活地获取所需要的信息”的需求,只有构建一个‘全业务网络——即能够同时承载和疏通语音、数据、多媒体业务的网络”才能满足用户日益增长的对通信业务的需求。
  电话网的历史最为悠久,其核心是电话交换机,电话交换机经历了磁石式、共用电池式、步进制、纵横制、程控制5个发展阶段,其差别在于交换机的实现方式发生了改变。
  程控制电话交换机的出现是一个历史性的变革,它采用了先进的体系结构,其功能可以分为呼叫业务接入、路由选择(交换)和呼叫业务控制3部分,其中的交换和呼叫业务控制功
  能均主要是通过程序软件来实现。但其采用的资源独占的电路交换方式,以及为通信的双方提供的对等的双向64kbit/s固定带宽通道不适于承载突发数据量大、上下行数据流量差
  异大的数据业务。
  数据网的种类繁多,根据其采用的广域网协议不同,可将其分为DDN、X.25、帧中继和IP网,由于IP网具有协议简单、终端设备价格低廉、以及基于IP协议的WWW业务的开展,
  基于IP协议的Internet呈爆炸式发展,一度成为了数据网的代名词。IP网要求用户终端将用户数据信息均封装在IP包中,IP网的核心设备——路由器仅是完成“尽力而为”的IP包
  转发的简单工作,它采用资源共享的包交换方式,根据业务量需要动态地占用上下行传输通道,因此IP网实际上仅是一个数据传送网,其本身并不提供任何高层业务控制功能,若
  在IP网上开放语音业务,必须额外增加电话业务的控制设备。值得一提的是,IP网中传送的IP包能够承载任何用户数据信息,为实现语音、数据、多媒体流等多种信息在一个承载
  网中传送创造了条件。
  可见,电话网和数据网均存在一定的先天缺陷、无法通过简单地改造而成为一个“全业务网”,因此,为了能够实现在同一个网络上同时提供语音、数据以及多媒体业务,即
  通信业务的融合,产生了软交换(softswitch)技术。
  2 软交换技术介绍
  2.1 软交换网络的总体结构
  软交换技术采用了电话交换机的先进体系结构,并采用IP网中的IP包来承载话音、数据以及多媒体流等多种信息。
  一部程控电话交换机可以划分为业务接入、路由选择(交换)和业务控制3个功能模块,各功能模块通过交换机的内部交换网络连接成一个整体。软交换技术是将上述3个功能
  模块独立出来,分别由不同的物理实体实现,同时进行了一定的功能扩展,并通过统一的IP网络将各物理实体连接起来,构成了软交换网络。
  电话交换机的业务接入功能模块对应于软交换网络的边缘接入层;路由选择(交换)功能模块对应于软交换网络的控制层;业务控制模块对应于软交换网络的业务应用层;IP
  网络构成了软交换网的核心传送层。
  2.2 边缘接入层
  软交换技术将电话交换机的业务接入模块独立成为一个物理实体,称为媒体网关(MG),MG功能是采用各种手段将各种用户及业务接入到软交换网络中,MG完成数据格式和协
  议的转换,将接入的所有媒体信息流均转换为采用IP协议的数据包在软交换网络中传送。
  根据MG接入的用户及业务不同,MG可以细分为以下几类。
  中继媒体网关(TG):用于完成与PSTN/PLMN电话交换机的中继连接,将电话交换机PCM中继中的64kbit/s的语音信号转换为IP包。
  信令网关(SG):用于完成与PSTN/PLMN电话交换机的信令连接,将电话交换机采用的基于TDM电路的七号信令信息转换为IP包。
  TG和SG共同完成了软交换网与采用TDMA电路交换的PSTN/PLMN电话网的连接,将PSTN/PLMN网中的普通电话用户及其业务接入到了软交换网中。接入网关(AG):提供模拟用户线接
  口,用于直接将普通电话用户接入到软交换网中,可为用户提供PSTN提供的所有业务,如电话业务、拨号上网业务等,它直接将用户数据及用户线信令封装在IP包中。
  综合接入设备(IAD,Integrated Access Device):一类IAD同时提供模拟用户线和以太网接口,分别用于普通电话机的接入和计算机设备的接入,适用于分别利用电话机使用
  电话业务、利用计算机使用数据业务的用户;另一类IAD仅提供以太网接口,用于计算机设备的接入,适用于利用计算机同时使用电话业务和数据业务的用户,此时需在用户计算机
  设备中安装专用的“软电话软件”。
  多媒体业务网关(MSAG,Media Servers Access Gateway):用于完成各种多媒体数据源的信息,将视频与音频混合的多媒体流适配为IP包。 H.323网关:用于连接采用H.323
  协议的IP电话网网关。
  无线接入媒体网关(WAG,Wireless Access Gateway):用于将无线接入用户连接至软交换网。
  可见,AG、TG和SG共同完成了电话交换机的业务接入功能模块的功能,实现了普通PSTN/PLMN电话用户的语音业务的接入,并将语音信息适配为适合在软交换网内传送的IP
  包。同时软交换技术还对业务接入功能进行了扩展,体现在IAD、MSAG、H.323 GW、WAG等几类媒体网关。通过各类MG,软交换网实现了将PSTN/PLMN用户、H.323 IP电话网用户、
  普通有线电话用户、无线接入用户的语音、数据、多媒体业务的综合接入。 2.3 控制层
  软交换技术将电话交换机的交换模块独立成为一个物理实体,称为软交换机(SS),SS的主要功能是完成对边缘接入层中的所有媒体网关的业务控制及媒体网关之间通信的控
  制,具体功能如下。
  (1) 根据业务应用层相关服务器中登记的用户属性,确定用户的业务使用权限,以确定是否接受用户发起的业务请求。
  (2) 对边缘接入层的各种媒体网关的资源进行控制,控制各个媒体网关资源的使用,并掌握各个媒体网关的资源占用情况,以确定是否有足够的网络通信资源以满足用户所申
  请的业务要求。
  (3) 完成呼叫的路由选择功能,根据用户发起业务请求的相关信息,确定哪些媒体网关之间应建立通信连接关系,并通知这些媒体网关之间建立通信连接关系并进行通信,以
  及在通信过程中所采用的信息压缩编码方式、是否启用回声抑制等功能。
  (4) 对媒体网关之间的通信连接状态进行监视和控制,在用户业务使用完成后,指示相应的媒体网关之间断开通信连接关系。
  (5) 计费。由于软交换机只是控制业务的接续,而用户之间的数据流是不经过软交换机的,因此软交换机只能实现按接续时长计费,而无法实现按信息量计费。若要求软交换
  机具备按信息量计费的功能,则要求媒体网关具备针对每用户的每次使用业务的信息量进行统计的功能,并能够将统计结果传送给软交换机。
  (6) 与H.323网的关守(GK)交互路由等消息,以实现软交换网与H.323 IP电话网的互通。
  2.4业务应用层
  软交换技术将电话交换机的业务控制模块独立成为一个物理实体,称为应用服务器(AS),AS的主要功能是完成业务的实现,具体功能如下。 (1) 存储用户的签约信息,
  确定用户对业务的使用权限,一般采用专用的用户数据库服务器+AAA服务器或智能网SCP来实现。
  (2) 采用专用的应用服务器和智能网SCP(要求软交换机具备SSP功能)来实现YDN 065-1997《邮电部电话交换设备总技术规范书》中定义的基本电话业务及其补充服务功能,以
  及智能网能够提供的电话卡、被叫付费等智能网业务。
  (3) 采用专用的单个应用服务器或多个应用服务器实现融合语音、数据以及多媒体的业务,灵活地为用户提供各种增值业务和特色业务。
  (4) 软交换网控制层中的软交换机之间是不分级的,当网络中每增加一个软交换机时,其它所有软交换机必须增加相应的局数据;而这对于网络运营来说,将是极为麻烦的,
  其解决办法是在业务应用层中设置策略服务器来为软交换机提供路由信息。当然,策略服务器的设置方案将直接影响软交换网络的安全可靠性。
  2.5 核心传送层
  核心传送层实际上就是软交换网的承载网络,其作用和功能就是将边缘接入层中的各种媒体网关、控制层中的软交换机、业务应用层中的各种服务器平台等各个软交换网网
  元连接起来。
  鉴于IP网能够同时承载语音、数据、视频等多种媒体信息,同时具有协议简单、终端设备对协议的支持性好且价格低廉的优势,因此软交换网选择了IP网作为承载网络。
  软交换网中各网元之间均是将各种控制信息和业务数据信息封装在IP数据包中,通过核心传送层的IP网进行通信。
  2.6 软交换网中的协议及标准
  软交换网络中同层网元之间、不同层的网元之间均是通过软交换技术定义的标准协议进行通信的。国际上从事软交换相关标准制定的组织主要是IETF和ITU-T。它们分别从计算机界
  和电信界的立场出发,对软交换网协议作出了贡献。
  2.6.1 媒体网关与软交换机之间的协议
  除SG外的各媒体网关与软交换机之间的协议有MGCP协议和MEGACO/H.248协议两种。
  MGCP协议是在MEGACO/H.248之前的一个版本,它的灵活性和扩展性比不上MEGACO/H.248,同时在对多运营商的支持方面也不如MEGACO/H.248协议。
  MEGACO/H.248实际上是同一个协议的名字,由IETF和ITU联合开发,IETF称为MEGACO,ITU-T称为H.248。MEGACO/H.248称为媒体网关控制协议,它具有协议简单,功能强大,且扩展
  性很好的特点。
  SG与软交换机之间采用SIGTRAN协议,SIGTRAN的低层采用SCTP协议,为七号信令在TCP/IP网上传送提供可靠的连接;高层分为M2PA、M2UA、M3UA。由于M3UA具有较大的灵活性,因
  此目前应用较为广泛。SIGTRAN/SCTP协议的根本功能在于将PSTN中基于TDM的七号信令通过SG以IP网作为承载透传至软交换机,由软交换机完成对七号信令的处理。
  2.6.2软交换机之间的协议
  当需要由不同的软交换机控制的媒体网关进行通信时,相关的软交换机之间需要通信,软交换机与软交换机之间的协议有BICC协议和SIP-T协议两种。
  BICC协议是ITU-T推荐的标准协议,它主要是将原七号信令中的ISUP协议进行封装,对多媒体数据业务的支持存在一定不足。SIP-T是IETF推荐的标准协议,它主要是对原SIP协议进
  行扩展,属于一种应用层协议,采用Client-Serve结构,对多媒体数据业务的支持较好、便于增加新业务,同时SIP-T具有简单灵活、易于实现、扩展性好的特点。目前BICC和SIP
  协议在国际上均有较多的应用。
  2.6.3软交换机与应用服务器之间的协议
  软交换机与Radius服务器之间通过标准的Radius协议通信。软交换机与智能网SCP之间通过标准的智能网应用层协议(INAP、CAP)通信。一般情况下,软交换机与应用服务器之
  间通过厂家内部协议进行通信。为了实现软交换网业务与软交换设备厂商的分离,即软交换网业务的开放不依赖于软交换设备供应商,允许第三方基于应用服务器独立开发软交换
  网业务应用软件,因此,定义了软交换机与应用服务器之间的开放的Parlay接口。
  2.6.4媒体网关之间的协议
  除SG外,各媒体网关之间通过数据传送协议传送用户之间的语音、数据、视频等各种信息流。软交换技术采用RTP(Real-time Transport Protocol)作为各媒体网关之间
  的通信协议。RTP协议是IETF提出的适用于一般多媒体通信的通用技术,目前,基于H.323和基于SIP的两大IP电话系统均是采用RTP作为IP电话网关之间的通信协议。
  2.6.5小结
  MGCP、MEGACO/H.248、SIGTRAN、BICC、STP-T、Parlay协议传送的均是控制类信息,不包含任何用户之间的有用通信信息。RTP传送的是用户之间的有用通信信息。同时,媒体网关
  与连接的非软交换网设备之间需采用相应的协议通信。值得一提的是,软交换网与H.323网互通,H.323 GW与H.323网的IP电话网关采用RTP通信,同时软交换机需与H.323网的
  GateKeeper之间采用H.323协议通信。
  3 软交换技术的应用
  3.1目前的软交换设备对业务的支持情况
  目前,许多电话交换设备供应商和数据设备供应商均推出了自己的软交换设备,国内厂商包括中兴、华为和大唐;国外厂商包括阿尔卡特、北方电讯、西门子、朗讯、Cisco、
  Sonus、UT斯达康等公司。各厂商提供的软交换设备均遵从软交换技术的总体架构,只是在具体实现方式上存在着一些差异。
  软交换技术的产生是为了构件一个“全业务网”,即在同一个网上实现语音、数据、多媒体视频流业务的融合;并且为了实现这个目的,将呼叫控制和业务功能在功能实体
  上进行了分离。但目前各厂家提供的软交换系统在业务提供上与上述目标还存在一定的差距,还需要经历一个不断发展和完善的过程。
  目前,语音业务仍旧在通信业务中占据主导地位,也是各电信运营商盈利的主要来源,软交换网实现多业务的融合,应首先能够提供至少与PSTN相同的语音业务。因此,各设
  备厂商也将对语音业务的支持列为首要任务。
  语音业务可以分为语音转接业务和语音直接接入业务。
  软交换网的虚拟中继业务提供语音转接业务,实际上就是利用软交换网转接PSTN端局之间的语音业务,而软交换网本身不直接接入语音终端用户,此时软交换网的功能类似
  于PSTN中的汇接局或长途局的功能。提供虚拟中继业务,软交换网中必须配置TG、SG和软交换机设备,若仅提供与PSTN相同的语音转接业务,则不需要单独的应用服务器,此时呼
  叫控制和业务的实现均是由软交换机负责完成。目前各软交换设备供应商提供的系统均已经能够提供虚拟中继业务。
  语音直接接入业务,要求软交换网具备PSTN本地端局的功能,在我国信息产业部2001年5月25日发布的《电话交换设备总技术规范》以及补充件中规定了PSTN交换机应具备的
  各项功能,目前各软交换设备厂家均是利用软交换机来实现上述功能,而未采用专用的应用服务器。对于用户信息和存储和鉴权认证也是由软交换机来实现,也支持由专用的应用
  服务器或智能网SCP来实现,因此,从某种意义上说,目前各厂商提供的软交换系统对于基本语音业务仍未采用“呼叫控制与业务应用的分离”的概念。同时,软交换网中为直接
  接入用户还必须配置AG和/或IAD设备;与PSTN相连,则还需配置TG和SG设备。目前各软交换设备供应商提供的系统均已经能够提供基本的语音直接接入业务,但不同厂商提供的系
  统对于《电话交换设备总技术规范》以及补充件中规定了PSTN交换机应具备的各项功能的支持情况仍各不相同。同时,对于PSTN智能网实现的各种语音增值业务,各厂家提供的软
  交换系统也是通过智能网方式来实现的,此时,软交换机具备SSP功能,触发智能网业务,访问智能网的SCP。近年来数据业务的增长较快,但业务应用主要集中在WWW浏览、
  E-mail、下载、网络游戏、网络视频流媒体在线观看、网上购物、ICQ及网上聊天等业务。软交换设备供应商推出了一些数据与语音相融合的业务,例举如下。
  上网呼叫等待业务:用户通过电话线拨号上网,当有电话呼入时,用户可以在PC界面上得到电话呼入的提示,并可选择接听、拒绝、前转来电。
  点击拨号业务:通过点击Web页面上的Tel或Fax的号码,发起电话呼叫。
  Web 800业务:通过点击Web页面上的800号码,通过PC发起电话呼叫,话费由被叫承担。
  短消息业务:通过PC发送、接收短消息至移动手机。
  个人数据库业务:用户可以将自己的包括电话号码、E-Mail地址在内的通信录、单日或多日的个人日程安排表等重要私人信息存放在系统为用户分配的专用数据存储设备中,
  并可随时调用查看和编辑修改,以备纸制文件或手机的遗失。
  唯一信息业务:系统为用户分配专用的存储资源,用户的固定电话和手机电话留言、E-mail收件、网上购物定单等所有接收信息均存储在用户的统一信箱中,用户可通过PC
  机访问自己的统一信箱而获得所有与自己相关的信息。
  呼叫跟随业务:实际上是对电话业务中的呼叫前转业务的扩展,允许用户设定多个被叫号码,来电在不同的时段转接至不同的被叫号码,且在同一时段,来电顺序接至不同
  的被叫号码。
  网络交流中增加语音交流的业务:目前在Internet上进行网络游戏、网络聊天时,用户之间的交流只能基于PC文本的方式,此业务提供了PC-PC的语音交流功能。
  其它还有会议等多方语音、数据通信业务等。
  以上列举了一些目前软交换设备供应商通过增加应用服务器,已经能够支持的一些主要业务,当然不同厂商对上述业务的支持情况、实现方式、业务功能不尽相同。
  3.2软交换网可行的应用
  从上述业务中可以看出,目前软交换网络提供的业务仍主要是在语音业务方面,且提供的增值业务功能也很有限,其中部分业务功能利用智能网一样能够实现,目前,软交换
  设备供应商、运营商尚无法提供真正吸引用户的“Kill”级的、软交换网特有的业务。软交换网业务的发展和完善仍需要设备供应商、运营商、内容服务提供商的努力,仍有一段
  漫长的路要走。
  根据软交换技术的特点、设备的成熟性,以下提出一些目前软交换网可行的应用。
  3.2.1长途语音业务
  目前,大部分软交换设备供应商均已经能够提供成熟的虚拟中继业务,来转接PSTN语音业务。
  对于拥有庞大的、完善的IP网络,但无PSTN的电信运营商来说,采用软交换网络提供长途语音业务是一种较好的选择,由于软交换网是采用IP网作为承载,因此,可以节省
  TDM传输电路建设的投资。建设软交换网的TG、SG和软交换机,并完成与PSTN连接,同时选择合适的用户鉴权方式即可开放业务。
  对于拥有一个已经将自己各地分支机构通过IP网连接起来的跨地域的企业来说,采用软交换网将各分支机构的电话机连接起来,即TG、SG与各分支机构的PABX连接起来,或者
  通过AG、IAD直接连接各电话机,并建设软交换机即可使用内部网络疏通长途电话业务,节省数目可观的电话费3.2.2本地语音接入业务
  对于拥有庞大的、完善的本地IP网络,但无本地PSTN端局的电信运营商来说,采用软交换网络接入用户也是一种较好的选择,本地PSTN端局的覆盖范围有限,且用户线布放的
  工程实施难度较大,因此,可以在用户端设置IAD设备,利用已有的小区宽带IP网络连接至软交换IP网络,完成各个IAD与软交换机、其它媒体网关设备的连接,即实现了本地电话
  机的接入,同时为了保证本地接入的电话能够与其它运营商的PSTN通信,还需完成软交换网与PSTN的连接。
  同时,对接入的本地用户还可以灵活、多样地为用户开放软交换业务,并随着软交换业务的发展不断丰富完善。
  3.2.3移动3G网络
  无论是WCDMA还是CDMA2000,其发展目标均是在核心网络实现语音和数据业务的统一承载和交换,软交换技术无疑将是一种较好的选择。在3G网络中,原MSC将裂变为MSC-GW和
  MSC-SERVER,MSC-GW完成媒体网关的功能,MSC-SERVER完成软交换机的功能,IP网络作为3G网络的统一语音、数据媒体流的承载网络,实现各种业务数据流的融合。
  3.3软交换网络建设中应注意的问题
  3.3.1安全问题
  安全问题包括网络安全和用户数据安全两个方面。
  网络安全是指软交换网络本身的安全,即保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了IP网作为承载网,IP协议的简
  单和通用为网络黑客提供了便利条件。当软交换选择了开放的(与Internet相连的)IP网作为承载网时,网络安全问题尤其突出,必须在IP网上采用合适的安全策略,以保证软交换
  网的网络安全。
  用户数据安全是指用户的签约信息和通信信息的安全,即不会被非法的第三方窃取和监听。首先,软交换网需采用必需的安全认证策略保证用户签约信息的安全,同时,无论
  是用户的签约信息还是用户的通信信息的安全均需要IP网的安全策略作为保证。
  3.3.2 QoS服务质量保证
  目前各软交换设备供应商均声称所提供软交换系统支持对QoS服务质量的保证,即软交换机能够根据语音、数据、视频的业务特性为用户所申请使用的业务分配特定的网络资
  源,以保证QoS。但软交换网的业务是承载在IP网上的,基于“best effort”服务策略的IP网难以很好地贯彻软交换机的QoS策略,因此,为保证软交换网的业务服务质量,必须
  要求软交换的IP承载网支持“Diff serv”等必要的服务质量保证策略。
  3.3.3 IP地址
  软交换技术选择了IP网作为软交换网的承载网,因此,软交换网中的各网元设备均需要设备IP地址;若软交换网仅提供虚拟中继业务,则不需为用户分配用户IP地址,若软交
  换网提供本地直接接入用户的业务,则需要为每一个用户均分配一个用户IP地址。目前的IP地址有IPv4和IPv6两种标准,IPv4推出较早,是目前广泛采用的标准,但目前剩余的
  IP地址数量已经极为有限。为了解决IPv4地址资源紧张的问题,产生了IPv6,IPv6对IP地址资源进行了扩展,IP地址资源已经不再成为限制。但IPv4和IPv6在同一网络中不能并
  存,必须在网络中进行转换和包封,IPv4和IPv6的大规模混合组网尚无经验可循。IPv4将IP地址划分为公有IP地址和私有IP地址两大类,同时IP网络设备支持动态IP地址和静态IP
  地址的分配使用方式,公有地址和私有地址的选用既要考虑网络访问效率因素,又要综合考虑网络安全因素;动态地址和静态地址的选用既要考虑拥有的地址资源、地址使用效
  率,又要考虑对开放业务的影响。如上所述,目前软交换网络能够提供的极具吸引力的业务还很有限,还需要设备供应商、运营商、内容服务提供商以及用户需求的各方努力,
  软交换网的建设应结合软交换技术的特点和自身的业务需求,避免盲目建设。 同时,软交换网的建设还需要关注IP承载网的建设情况,只有构建在一个安全、完善的IP网上的软
  交换网才具有生命力。
  5.关于网络传真号码的定义
  关于传真号码的定义:请不要输入国际电话访问代码,如 1 或 100。相反,只需要象下面的例子这样,输入国家代码、地区或城市代码以及本地电话号码。即使将传真发送
  给您自己,也必须遵守这条规则。形式如下:(国家代码)(城市代码)(本地电话号码)例如,中华人民共和国的国家代码为“86”,北京地区代码为“10”。如果您要发送传
  真到北京地区,即使从北京发送,也应按照下面的形式输入传真号码:8610XXXXXXXX 或 86-10-XXXXXXXX发往其他国家或地区的传真的号码形式如下所示:(国家代码)(城市代
  码)(本地电话号码)
  6.H.323标准的IP电话网络中4种实体及作用
  在采用H.323标准的IP电话网络中,主要有4种实体:终端、网关(GW,Gateway)、网守(GK,Gatekeeper)和多点控制单元(MCU,Multipoint Control Unit)。其中终端是
  在分组网络上遵循H.323标准进行实时通信的端点设备;网关负责不同网络之间的信令和控制信息的转换以及媒体信息变换和复用;而网守处于高层,提供对端点(终端、网关、
  多点控制单元统称为端点)和呼叫的管理功能,是IP电话网络系统中的重要管理实体。网守的主要功能有:地址解析、接入控制、带宽管理、区域管理等四项基本功能;此外,还
  能提供呼叫控制信令、呼叫管理等其他功能。要构建一个稳定可靠的、实用的VOIP网,离不开GK的管理。
  软件破解概念
  1. 断点:
  所谓断点就是程序被中断的地方,这个词对于解密者来说是再熟悉不过了。那么什么又是中断呢?中断就是由于有特殊事件(中断事件)发生,计算机暂停当前的任务(即程序),转而去执行另外的任务(中断服务程序),然后再返回原先的任务继续执行。打个比方:你正在上班,突然有同学打电话告诉你他从外地坐火车过来,要你去火车站接他。然后你就向老板临时请假,赶往火车站去接同学,接着将他安顿好,随后你又返回公司继续上班,这就是一个中断过程。我们解密的过程就是等到程序去获取我们输入的注册码并准备和正确的注册码相比较的时候将它中断下来,然后我们通过分析程序,找到正确的注册码。所以我们需要为被解密的程序设置断点,在适当的时候切入程序内部,追踪到程序的注册码,从而达到crack的目的。
  2. 领空:
  这是个非常重要的概念,但是也初学者是常常不明白的地方。我们在各种各样的破解文章里都能看到领空这个词,如果你搞不清楚到底程序的领空在哪里,那么你就不可能进入破解的大门。或许你也曾破解过某些软件,但那只是瞎猫碰到死老鼠而已(以前我就是这样的^_^,现在说起来都不好意思喔!)。所谓程序的领空,说白了就是程序自己的地方,也就是我们要破解的程序自己程序码所处的位置。也许你马上会问:我是在程序运行的时候设置的断点,为什么中断后不是在程序自己的空间呢?因为每个程序的编写都没有固定的模式,所以我们要在想要切入程序的时候中断程序,就必须不依赖具体的程序设置断点,也就是我们设置的断点应该是每个程序都会用到的东西。在DOS时代,基本上所有的程序都是工作在中断程序之上的,即几乎所有的DOS程序都会去调用各种中断来完成任务。但是到了WINDOWS时代,程序没有权力直接调用中断,WINDOWS系统提供了一个系统功能调用平台(API),就向DOS程序以中断程序为基础一样,WINDOWS程序以API为基础来实现和系统打交道,从而各种功能,所以WINDWOS下的软件破解其断点设置是以API函数为基础的,即当程序调用某个API函数时中断其正常运行,然后进行解密。例如在SOFTICE中设置下面的断点:bpx GetDlgItemText(获取对话框文本),当我们要破解的程序要读取输入的数据而调用GetDlgItemText时,立即被SOFTICE拦截到,从而被破解的程序停留在GetDlgItemText的程序区,而GetDlgItemText是处于WINDWOS自己管理的系统区域,如果我们擅自改掉这部分的程序代码,那就大祸临头了^_^!所以我们要从系统区域返回到被破解程序自己的地方(即程序的领空),才能对程序进行破解,至于怎样看程序的领空请看前面的SOFTICE图解。试想一下:对于每个程序都会调用的程序段,我们可能从那里找到什么有用的东西吗?(怎么样去加密是程序自己决定的,而不是调用系统功能实现的!)
  3. API:
  即Application Programming Interface的简写,中文叫应用程序编程接口,是一个系统定义函数的大集合,它提供了访问操作系统特征的方法。 API包含了几百个应用程序调用的函数,这些函数执行所有必须的与操作系统相关的操作,如内存分配、向屏幕输出和创建窗口等,用户的程序通过调用API接口同WINDOWS打交道,无论什么样的应用程序,其底层
  4. 关于程序中注册码的存在方式:
  破解过程中我们都会去找程序中将输入的注册码和正确的注册码相比较的地方,然后通过对程序的跟踪、分析找到正确的注册码。但是正确的注册码通常在程序中以两种形态存在:显式的和隐式的,对于显式存在的注册码,我们可以直接在程序所处的内存中看到它,例如你可以直接在SOFTICE的数据窗口中看到类似‘297500523‘这样存在的注册码(这里是随意写的),对于注册码显式存在的软件破解起来比较容易;但是有些软件的程序中并不会直接将我们输入的注册码和正确的注册码进行比较,比如有可能将注册码换算成整数、或是将注册码拆开,然后将每一位注册码分开在不同的地方逐一进行比较,或者是将我们输入的注册码进行某种变换,再用某个特殊的程序进行验证等等。总之,应用程序会采取各种不同的复杂运算方式来回避直接的注册码比较,对于这类程序,我们通常要下功夫去仔细跟踪、分析每个程序功能,找到加密算法,然后才能破解它,当然这需要一定的8086汇编编程功底和很大的耐心与精力。
  5. 关于软件的破解方式:
  本人将破解方式分为两大类,即完全破解和暴力破解。所谓完全破解主要是针对那些需要输入注册码或密码等软件来说的,如果我们能通过对程序的跟踪找到正确的注册码,通过软件本身的注册功能正常注册了软件,这样的破解称之为完全破解;但如果有些软件本身没有提供注册功能,只是提供试用(DEMO),或是注册不能通过软件本身进行(例如需要获取另外一个专用的注册程序,通过INTERNET的注册等等),或者是软件本身的加密技术比较复杂,软件破解者的能力、精力、时间有限,不能直接得到正确的注册码,此时我们需要去修改软件本身的程序码。
  6. 关于破解教程中程序代码地址问题:
  破解教程中都会放上一部分程序代码以帮助讲解程序的分析方法,例如下面的一段程序代码:
  ......
  0167:00408033PUSH00
  0167:00408035PUSHEBX
  0167:00408036CALL[USER32!EndDialog]
  0167:0040803CJMP0040812C
  ......
  在这里程序中的代码地址如0167:00408033,其代码段的值(即0167)有可能根据不同的电脑会有区别,不一定一模一样,但偏移值应该是固定的(即00408033不变),所以如果看到破解文章里的程序代码的地址值和自己的电脑里不一样,不要以为搞错地方了,只要你的程序代码正确就不会有问题。
  加密码技术
  1.按照技术分类
  加密技术通常分为两大类:“对称式”和“非对称式”。
  对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。
  非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里,因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方,不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥,且其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。
  1、常用密钥算法
  密钥算法用来对敏感数据、摘要、签名等信息进行加密,常用的密钥算法包括:
  DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合;
  3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高;
  RC2和 RC4:用变长密钥对大量数据进行加密,比 DES 快;
  IDEA(International Data Encryption Algorithm)国际数据加密算法,使用 128 位密钥提供非常强的安全性;
  RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件快的长度也是可变的;
  DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准);
  AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高,目前 AES 标准的一个实现是 Rijndael 算法;
  BLOWFISH,它使用变长的密钥,长度可达448位,运行速度很快;
  其它算法,如ElGamal、Deffie-Hellman、新型椭圆曲线算法ECC等。
  2、单向散列算法
  单向散列函数一般用于产生消息摘要,密钥加密等,常见的有:
  MD5(Message Digest Algorithm 5):是RSA数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来把不同长度的数据块进行暗码运算成一个128位的数值;
  SHA(Secure Hash Algorithm)这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值;
  MAC(Message Authentication Code):消息认证代码,是一种使用密钥的单向函数,可以用它们在系统上或用户之间认证文件或消息。HMAC(用于消息认证的密钥散列法)就是
  这种函数的一个例子。
  CRC (Cyclic Redundancy Check):循环冗余校验码,CRC校验由于实现简单,检错能力强,被广泛使用在各种数据校验应用中。占用系统资源少,用软硬件均能实现,是进行数据传输差错检测地一种很好的手段(CRC 并不是严格意义上的散列算法,但它的作用与散列算法大致相同,所以归于此类)。
  3、其它数据算法
  其它数据算法包括一些常用编码算法及其与明文(ASCII、Unicode 等)转换等,如 Base 64、Quoted Printable、EBCDIC 等。


计算机病毒的形而上学1.1版-黑客基础知识 www.jdcok.com/anli/5/1165.html
------分隔线----------------------------
分享到: