本书在剖析用户进行黑客防御中迫切需要或想要用到的技术时,力求对其进行傻瓜式的讲解,使读者对网络防御技术有一个系统的了解,能够更好地防范黑客的攻击。全书共分为17章,包括电脑安全快速入门、系统漏洞与安全的防护策略、系统入侵与远程控制的防护策略、电脑木马的防护策略、电脑病毒的防护策略、系统安全的终极防护策略、文件密码数据的防护策略、磁盘数据安全的防护策略、系统账户数据的防护策略、网络账号及密码的防护策略、网页浏览器的防护策略、移动手机的防护策略、平板电脑的防护策略、网上银行的防护策略、手机钱包的防护策略、无线蓝牙设备的防护策略、无线网络安全的防护策略等内容。 另外,本书还赠送海量王牌资源,包括1000分钟精品教学视频、107个黑客工具速查手册、160个常用黑客命令速查手册、180页常见故障维修手册、191页Windows 10系统使用和防护技巧、教学用PPT课件以及随书攻防工具包,帮助读者掌握黑客防守方方面面的知识。 本书内容丰富、图文并茂、深入浅出,不仅适用于网络安全从业人员及网络管理员,而且适用于广大网络爱好者,也可作为大、中专院校相关专业的参考书。
本书涵盖了所有黑客攻防知识点,把知识点融汇于系统的案例实训当中,并且结合经典案例进行讲解和拓展,同时赠送1000分钟实战教学视频、107个黑客工具速查手册、160个常用黑客命令速查手册、180页常见故障维修手册、191页Windows 10系统使用和防护技巧和黑客防守工具包,不仅适用于网络安全从业人员及网络管理员,而且适用于广大网络爱好者,也可作为大、中专院校相关专业的参考书。
第1章电脑安全快速入门 1
1.1IP地址与MAC地址 1
1.1.1认识IP地址 1
1.1.2认识MAC地址 2
1.1.3查看IP地址 2
1.1.4查看MAC地址 3
1.2什么是端口 3
1.2.1认识端口 3
1.2.2查看系统的开放端口 3
1.2.3关闭不必要的端口 4
1.2.4启动需要开启的端口 5
1.3黑客常用的DOS命令 6
1.3.1cd命令 6
1.3.2dir命令 7
1.3.3ping命令 7
1.3.4net命令 9
1.3.5netstat命令 9
1.3.6tracert命令 10
1.4实战演练 11
实战演练1——使用netstat命令
快速查找对方IP地址 11
实战演练2——使用代码检查
指定端口开放状态 12
1.5小试身手 12
第2章系统漏洞与安全的防护
策略 13
2.1了解系统漏洞 13
2.1.1什么是系统漏洞 13
2.1.2系统漏洞产生的原因 13
2.1.3常见系统漏洞类型 13
2.2RPC服务远程漏洞的防护
策略 15
2.2.1什么是RPC服务远程
漏洞 15
2.2.2RPC服务远程漏洞入
侵演示 18
2.2.3RPC服务远程漏洞的
防御 18
2.3WebDAV漏洞的防护策略 20
2.3.1什么是WebDAV缓冲
区溢出漏洞 20
2.3.2WebDAV缓冲区溢出漏
洞入侵演示 20
2.3.3WebDAV缓冲区溢出漏
洞的防御 21
2.4系统漏洞的防护策略 23
2.4.1使用“Windows更新”
及时更新系统 23
2.4.2使用360安全卫士下
载并安装补丁 24
2.4.3使用瑞星安全助手修
复系统漏洞 25
2.5系统安全的防护策略 26
2.5.1使用任务管理器管理
进程 26
2.5.2卸载流氓软件 28
2.5.3查杀恶意软件 29
2.5.4删除上网缓存文件 30
2.5.5删除系统临时文件 31
2.5.6使用Windows Defender
保护系统 32
2.6实战演练 33
实战演练1——使用系统工具
整理碎片 33
实战演练2——关闭开机时多
余的启动项目 35
2.7小试身手 35
第3章系统入侵与远程控制的
防护策略 36
3.1通过账号入侵系统的常用手段 36
3.1.1使用DOS命令创建隐
藏账号入侵系统 36
3.1.2在注册表中创建隐藏
账号入侵系统 37
3.1.3使用MT工具创建复制
账号入侵系统 39
3.2抢救被账号入侵的系统 41
3.2.1揪出黑客创建的隐藏
账号 41
3.2.2批量关闭危险端口 42
3.3通过远程控制工具入侵系统 43
3.3.1什么是远程控制 43
3.3.2通过Windows远程桌面
实现远程控制 43
3.4使用RemotelyAnywhere工具入
侵系统 46
3.4.1安装RemotelyAnywhere 46
3.4.2连接入侵远程主机 48
3.4.3远程操控目标主机 49
3.5远程控制的防护策略 54
3.5.1关闭Window远程桌面
功能 54
3.5.2开启系统的防火墙 54
3.5.3使用天网防火墙防护
系统 55
3.5.4关闭远程注册表管理
服务 58
3.6实战演练 59
实战演练1——禁止访问控制
面板 59
实战演练2——启用和关闭快
速启动功能 60
3.7小试身手 60
第4章电脑木马的防护策略 61
4.1什么是电脑木马 61
4.1.1常见的木马类型 61
4.1.2木马常用的入侵方法 61
4.2木马常用的伪装手段 62
4.2.1伪装成可执行文件 63
4.2.2伪装成自解压文件 65
4.2.3将木马伪装成图片 67
4.3木马的自我保护 67
4.3.1给木马加壳 67
4.3.2给木马加花指令 69
4.3.3修改木马的入口点 70
4.4常见的木马启动方式 71
4.4.1利用注册表启动 71
4.4.2利用系统文件启动 71
4.4.3利用系统启动组启动 71
4.4.4利用系统服务启动 72
4.5查询系统中的木马 72
4.5.1通过启动文件检测木马 72
4.5.2通过进程检测木马 73
4.5.3通过网络连接检测木马 74
4.6使用木马清除软件清除木马 75
4.6.1使用木马清除大师清除
木马 75
4.6.2使用木马清除专家清除
木马 77
4.6.3金山贝壳木马专杀清除
木马 80
4.6.4使用木马间谍清除工具
清除木马 82
4.7实战演练 84
实战演练1——将木马伪装成
网页 84
实战演练2——在组策略中启动
木马 86
4.8小试身手 87
第5章电脑病毒的防护策略 88
5.1认识电脑病毒 88
5.1.1电脑病毒的特征和种类 88
5.1.2电脑病毒的工作流程 89
5.1.3电脑中毒的途径 89
5.1.4电脑中病毒后的表现 89
5.2Windows系统病毒 89
5.2.1PE文件病毒 90
5.2.2VBS脚本病毒 90
5.2.3宏病毒 92
5.3电子邮件病毒 93
5.3.1邮件病毒的特点 93
5.3.2识别“邮件病毒” 93
5.3.3编制邮箱病毒 93
5.4查杀电脑病毒 95
5.4.1安装杀毒软件 95
5.4.2升级病毒库 96
5.4.3设置定期杀毒 98
5.4.4快速查杀病毒 98
5.4.5自定义查杀病毒 100
5.4.6查杀宏病毒 100
5.4.7自定义360杀毒设置 101
5.5实战演练 102
实战演练1——在Word 2016中预
防宏病毒 102
实战演练2——在安全模式下
查杀病毒 103
5.6小试身手 104
第6章系统安全的终极防护
策略 105
6.1什么情况下重装系统 105
6.2重装前应注意的事项 105
6.3常见系统的重装 106
6.3.1重装Windows 7 106
6.3.2重装Windows 10 108
6.4系统安全提前准备之备份 111
6.4.1使用系统工具备份
系统 111
6.4.2使用系统映像备份
系统 112
6.4.3使用Ghost工具备份
系统 113
6.4.4制作系统备份光盘 115
6.5系统崩溃后的修复之还原 115
6.5.1使用系统工具还原
系统 116
6.5.2使用Ghost工具还原
系统 117
6.5.3使用系统映像还原
系统 118
6.6系统崩溃后的修复之重置 119
6.6.1使用命令修复系统 119
6.6.2重置电脑系统 120
6.7实战演练 122
实战演练1——设置系统启动
密码 122
实战演练2——设置虚拟内存 123
6.8小试身手 124
第7章文件密码数据的防护
策略 125
7.1黑客常用破解文件密码的
方式 125
7.1.1利用Word Password Recovery破解Word文档密码 125
7.1.2利用AOXPPR破解Word
文件密码 126
7.1.3利用Excel Password Recovery破解Excel文档密码 127
7.1.4利用APDFPR破解PDF
文件密码 128
7.1.5利用ARCHPR破解压缩
文件密码 130
7.2各类文件密码的防护策略 131
7.2.1利用Word自身功能给Word文件加密 131
7.2.2利用Excel自身功能给Excel文件加密 132
7.2.3利用Adobe Acrobat Professional加密PDF文件 134
7.2.4利用PDF文件加密器给PDF
文件加密 136
7.2.5利用WinRAR的自加密
功能加密压缩文件 137
7.2.6给文件或文件夹进行
加密 138
7.3使用BitLocker加密磁盘或U盘
数据 139
7.3.1启动BitLocker 139
7.3.2为磁盘进行加密 140
7.4实战演练 141
实战演练1——利用命令隐藏
数据 141
实战演练2——显示文件的
扩展名 142
7.5小试身手 143
第8章磁盘数据安全的终极
防护策略 144
8.1数据丢失的原因 144
8.1.1数据丢失的原因 144
8.1.2发现数据丢失后的操作 144
8.2备份磁盘各类数据 144
8.2.1分区表数据的防护策略 145
8.2.2引导区数据的防护策略 145
8.2.3驱动程序的防护策略 147
8.2.4电子邮件的防护策略 149
8.2.5磁盘文件数据的防护策略 150
8.3各类数据丢失后的补救策略 153
8.3.1分区表数据丢失后的补救 153
8.3.2引导区数据丢失后的补救 153
8.3.3驱动程序数据丢失后的
补救 154
8.3.4电子邮件丢失后补救 155
8.3.5磁盘文件数据丢失后
的补救 157
8.4恢复丢失的数据 159
8.4.1从回收站中还原 159
8.4.2清空回收站后的恢复 159
8.4.3使用Easy Recovery
恢复数据 161
8.4.4使用Final Recovery
恢复数据 163
8.4.5使用Final Data恢复
数据 164
8.4.6使用“数据恢复大师Data Explore”恢复数据 166
8.4.7格式化硬盘后的恢复 170
8.5实战演练 172
实战演练1——恢复丢失的
磁盘簇 172
实战演练2——还原已删除
或重命名的文件 173
8.6小试身手 173
第9章系统账户数据的
防护策略 174
9.1了解Windows 10的账户类型 174
9.1.1认识本地账户 174
9.1.2认识Microsoft账户 174
9.1.3本地账户和Microsoft
账户的切换 174
9.2破解管理员账户的方法 176
9.2.1强制清除管理员账户
的密码 176
9.2.2绕过密码自动登录
操作系统 177
9.3本地系统账户的防护
第3章系统入侵与远程控制的防护策略随着计算机的发展以及其功能的强大,计算机系统的漏洞也相应地多起来,同时,越来越新的操作系统为满足用户的需求,在其中加入了远程控制功能,这一功能本来是方便用户使用的,但也为黑客们所利用。本章就来介绍系统入侵与远程控制的防护策略。3.1通过账号入侵系统的常用手段入侵计算机系统是黑客的首要任务,无论采用什么手段,只要入侵到目标主机的系统当中,这一台计算机就相当于是黑客的了。本节就来介绍几种常见的入侵计算机系统的方式。3.1.1使用DOS命令创建隐藏账号入侵系统黑客在成功入侵一台主机后,会在该主机上建立隐藏账号,以便长期控制该主机,下面介绍使用命令创建隐藏账号的操作步骤。右击[开始]按钮,在弹出的快捷菜单中选择[命令提示符(管理员)]选项。
打开[命令提示符]窗口,在其中输入net user wyy$ 123455 /add命令,按Enter键,即可成功创建一个用户名为“wyy$”,密码为“123455”的隐藏账号。
输入net localgroup administrators wyy$ /add命令,按Enter键后,即可对该隐藏账号赋予管理员权限。
再次输入net user命令,按Enter键后,即可显示当前系统中所有已存在的账号信息,但是却发现刚刚创建的wyy$并没有显示。
由此可见,隐藏账号可以不被命令查看到,不过,这种方法创建的隐藏账号并不能被隐藏。查看隐藏账号的具体操作步骤如下。在桌面上右击[此电脑]图标,在弹出的快捷菜单中选择[管理]选项,打开[计算机管理]窗口。
依次展开[系统工具]→[本地用户和组]→[用户]选项,这时在右侧的窗格中可以发现创建的wyy$隐藏账号依然会被显示。
提示:这种隐藏账号的方法并不实用,只能做到在[命令提示符]窗口中隐藏,属于入门级的系统账户隐藏技术。3.1.2在注册表中创建隐藏账号入侵系统注册表是Windows系统的数据库,包含系统中非常多的重要信息,也是黑客最多关注的地方。下面就来看看黑客是如何使用注册表来更好地隐藏。选择[开始]→[运行]选项,打开[运行]对话框,在[打开]文本框中输入regedit。
单击[确定]按钮,打开[注册表编辑器]窗口,在左侧窗口中,依次选择HKEY_LOCAL_MACHINE\SAM\SAM注册表项,右击SAM,在弹出的快捷菜单中选择[权限]选项。
打开[SAM的权限]对话框,在[组或用户名称]栏中选择[Administrators],然后在[Administrators的权限]栏中勾选[控制]和[读取]复选框,单击[确定]按钮保存设置。
依次选择HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ Names注册表项,即可查看到以当前系统中的所有系统账户名称命名的5个项。
右键单击[wyy$]项,在弹出的快捷菜单中选择[导出]选项。
打开[导出注册表文件]对话框,将该项命名为wyy.reg, 然后单击[保存]按钮,即可导出wyy.reg。
按照步骤5的方法,将HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account\Users\下的000001F4和000003E9项分别导出并命名为administrator.reg和user.reg。
用记事本打开administrator.reg,选中"F"=后面的内容并复制下来,然后打开user.reg,将"F"=后面的内容替换掉。完成后,将user.reg进行保存。 打开[命令提示符]窗口,输入net user wyy$ /del命令,按Enter键后,即可将建立的隐藏账号“wyy$”删除。
分别将wyy.reg和user.reg导入到注册表中,即可完成注册表隐藏账号的创建,在[本地用户和组]窗口中,也查看不到隐藏账号。
提示:利用此种方法创建的隐藏账号在注册表中还是可以查看到的。为了保障建立的隐藏账号不被管理员删除,还需要对HKEY_LOCAL_MACHINE\SAM\SAM注册表项的权限取消。这样,即便是真正的管理员发现了并要删除隐藏账号,系统就会报错,并且无法再次赋予权限。经验不足的管理员就只能束手无策了。3.1.3使用MT工具创建复制账号入侵系统建立隐藏账号是入侵计算机系统后的重要工作,要建立隐藏的用户账号,好的办法就是复制管理员账号,利用MT工具就可以很轻松地创建复制账号,具体的操作步骤如下。在进行账号复制之前,查看远程主机上的管理员用户名信息。在远程主机的溢出窗口中输入 net localgroup administrators命令,然后按下Enter键执行该命令,即可看到所有管理员的用户名。
查看远程主机上的Guest用户名信息。在远程主机的溢出窗口中输入 net user Guest 命令,然后按下Enter键执行该命令,从执行结果中可以看出Guest用户的账号没有启动,且密码为空。
下面就可以利用MT工具把Guest账号复制为具有与前面管理员账号相同的权限。在复制账号之前,需要获取系统的较高权限,在溢出窗口中输入mt -su命令。
按下Enter键执行该命令,打开新的[命令提示符]窗口,就可以获取系统的较高级别的System权限。
在打开的新的[命令提示符]窗口中就可以进行账号复制操作了。复制账号的参数为-clone,命令格式为mt -clone ,其中“”表示要复制的源账号,“”表示源账号的目标账号。例如要将Guest复制为与“Administrator”账号相同的权限,就可以执行mt -clone Administrator Guest, 执行完成后将返回如下信息。Read value F from 1F4 of administrator.Set value F to 1F5 of guestSuccess!分析上述显示的信息,则说明操作成功,此时已经将Guest账号复制成了管理员组的账号。
在新打开的[命令提示符]窗口中输入mt -chkuser命令,按下Enter键执行该命令,可以显示所有账号的SID值,从中可以看出Guest账号的CheckedSID值与Administrator账号的值是相同的,说明两个账号具有相同的权限,这样就在目标主机中建立了一个隐藏账号。
提示:当Guest账号被添加到管理员用户组之中,就具有了与Administrator相同的管理员权限,但是在查看Guest账号信息时,显示的该账号依然是Guest组中,而且是未启用的状态。事实上,该账号已经被暗中激活启用,并且当Guest账号被管理员禁用时,攻击者依然可以用Guest账号进行登录,执行管理员权限的操作。3.2抢救被账号入侵的系统当确定了自己的计算机遭到了入侵,可以在不重装系统的情况下采用如下方式“抢救”被入侵的系统。3.2.1揪出黑客创建的隐藏账号隐藏账号的危害是不容忽视的,用户可以通过设置组策略,使黑客无法使用隐藏账号登录。具体操作步骤如下。打开[本地组策略编辑器]窗口,依次展开[计算机配置]→[Windows设置]→ [安全设置]→[本地策略]→[审核策略]选项。
双击右侧窗口中的[审核策略更改]选项,打开[审核策略更改 属性]对话框,勾选[成功]复选框,单击[确定]按钮保存设置。
按照上述步骤,将[审核登录事件]选项做同样的设置。
按照Step 02的步骤,在[审核进程跟踪]选项中做同样的设置。
设置完成后,用户就可以通过[计算机管理]窗口中的[事件查看器]选项,查看所有登录过系统的账号及登录的时间,对于有可疑的账号在这里一目了然,即便黑客删除了登录日志,系统也会自动记录删除了日志的账号。
提示:在确定了黑客的隐藏账号之后,却无法删除。这时,可以通过[命令提示符]窗口,运行net user [隐藏账号][新密码]命令来更改隐藏账号的登录密码,使黑客无法登录该账号。3.2.2批量关闭危险端口众所周知,网络上木马病毒无孔不入,在各种防护手段中,关闭系统中的危险端口是非常重要的,但是对于计算机新手来说,哪些端口是危险的,哪些端口是不危险的,并不清楚。下面就来介绍一些自动关闭危险端口的方法,来帮助用户扫描并关闭危险的端口。对于初学者来说,一个一个地关闭危险端口太麻烦了,而且也不知道哪些端口应该关闭,哪些端口不应该关闭。不过用户可以使用一个叫作[危险端口关闭小助手]的工具来自动关闭端口,具体的操作步骤如下。下载并解压缩[危险端口关闭小助手]工具,在解压的文件中双击[自动关闭危险端口.bat]批量处理文件,则可自动打开[命令]窗口,并在其中闪过关闭状态信息。关闭结束后,系统中的危险端口就全部被关闭掉了,当程序停止后,不要关闭[命令]窗口,这时按下任意键,或继续运行[Win服务器过滤策略],然后再进行木马服务端口的关闭,全部完成后,系统才做到真正的安全。
使用[危险端口关闭小助手]工具还可以手工修改、自动关闭端口,利用该功能可以把近期的端口添加到关闭的列表中。用记事本打开[关闭危险端口.bat]文件,即可在其中看到关闭端口的重要语句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/138" -f 0:138:UDP -n BLOCK -x >nul,其中UDP参数用于指定关闭端口使用的协议,138参数是要关闭的端口。
参照上述语句,可以手工添加语句,将一些新的木马病毒使用的端口加入到关闭列表中,例如,要关闭新木马使用的8080端口,则可以添加如下语句rem ipconfig -w REG -p "HFUT_SECU" -r "Block UDP/8080" -f 0:8080:UDP -n BLOCK -x >nul,添加完成后的显示效果如下图所示。
添加完毕后,将该文件保存为.bat文件,重新运行即可关闭新添加的端口。3.3通过远程控制工具入侵系统通过远程控制工具入侵目标主机系统的方法有多种,最常见的有telnet、ssh、vnc、远程桌面等技术,除此之外还有一些专门的远程控制工具,如RemotelyAnywhere、PcAnywhere等。
