反网络追踪技术研究总结

• 黑客”一词在60年代——70年代用来形容独立思考，然而却奉公守法的计算机迷。他们云集在技术精英的堡垒麻省理工学院和斯坦福大学，现代黑客可以把他们的精神祖先一直追溯到那里。那时，一群才华出众的学生结成小组，经常通宵达旦地在实验室里操作机器。刚刚出现的不稳定的计算机系统为了维持每天的运转，需要动大量的“内部手术”，这些系统的用户们的日常工作之一就是进入操作软件的最深处，寻找问题的所在。最棒的电脑精英们便编写出了一些简洁高效的工作捷径程序。这些捷径往往较原有的程序系统更完善，而这种行为便被称为Hack。而如今，黑客的意义已经被悄然改变，而出现现在人们唱说的商业黑客.在越来越复杂的今天,黑色产业诱人的丰厚待遇,也让越来越多的软件高手,脚本小子成为所谓的商业黑客,纷纷加入商业黑客产业链.为什么如此诱惑呢?我们暂且来分析下.比如一个黑客,他成功入侵了http://www.xxx.com 而这个站点的排名为世界排名前100位，日访问量为300万IP。挂上一个游戏木马，假如中马的几率是20%那么他一天就可以收获60万信封，假设一个信封价值仅仅按一快一封算的话，那他一天的利润是多少呢？根据国家计算机网络应急中心初步估计，目前这条“黑色产业链”的年产值已超过2.38亿元，造成的损失则超过76亿元，已经形成了不可忽视的地下经济力量。既然有黑客，那么世界上有没有人来专门对付这些靠非法入侵破坏谋取高利润的黑客呢？答案是有的，那就是警警和查查，虽然是网络上两个虚拟卡通的名称，不过背后代表的却是很强的追踪技术团体：网络警察.随便去搜索一下 就出现了五千多个相关新闻APSolute应用安全解决方案 天极Chinabyte 2007-8-27 18:45网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序。...今天网络黑客的攻击手段多种多样,总结起来分为两类,一类是INTRUSION(入侵),另一类为DDOS(拒绝服务)。... 曾经奉公守法 计算机黑客的前世今生 PCHOME 2007-8-27 09:56黑客”一词在60年代——70年代用来形容独立思考,然而却奉公守法的计算机迷。...反文化领袖阿比?霍夫曼明目张胆地出版了一本专门探讨如何入侵电话系统打免费长途的刊物,他极力宣扬个人在大型机构面前应当保有尊严,...莫里斯案件的意义在于,它向社会提出了一个严肃的问题:随着社会对计算机网络的依赖日益加深,... 4条相同新闻>> 冒充政府欺诈围攻iPhone 国际黑客猖獗全球震惊 华文报刊网 2007-8-27 08:55据美国联邦贸易委员会公布的一份报告,近年美国网络犯罪出现新趋势,黑客冒充政府部门通过互联网非法取得他人信息的案件层出不穷。...尽管苹果公司声称,公司为iPhone设计了许多安全措施,可以免受黑客入侵。然而,事实并非如此,美国一计算机安全顾问声称已找出漏洞,可以完全控制iPhone,... ……有的人可能会纳闷,既然黑客的技术那么高超,为何还会被抓到呢?所谓有邪恶必有正义,我们暂且不讨论所谓的黑客技术如何高超,也许很多事件的背后仅仅是一个脚本小子而已,我们今天就讨论警警和查查是如何追踪到你的行踪的.注:本文不是位了教你如何去逃避警察的追踪,所谓正义最终战胜邪恶,所以请大家不要拿自己的技术去以身试法,否者又会有一个牛人在网络上消失了!说到追踪,大家第一个脑子里的想法就是:追踪IP.是的,这个确实是追踪你的首要分分析手段.当你想链网的时候,你需要打开计算机的拨号工具,之后和你所在的ISP服务器建立链接.这个时候,ISP会分配给你系统一个动态的IP地址,就像是你网络上的身份证一样.那么如何隐藏自己的IP地址,大家脑子里也会想到同一个东西:代理服务器.是的,代理服务器确实可以隐藏你的真是IP信息,有的人可能会想,既然我用了代理,那么查的话也只会差到代理服务器的地址,怎们还是会查到我呢?相信大家都知道,当你浏览一个网页,它对应的服务器上的 IIS 就会保存你浏览对应站点的一些日志,那么到底IIS都可以记录什么东西呢? 在IIS里可以看到,可以记录的东西有IP,用户名,方式,时间,主机,COOKIE和用户代理等…….下面是一个完整记录的日志记录:#Software: Microsoft Internet Information Services 5.1#Version: 1.0#Date: 2007-09-05 05:06:59#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer) 2007-09-05 05:06:59 127.0.0.1 - W3SVC1 HACKERMDB 127.0.0.1 80 GET /pagerror.gif - 200 0 3032 456 16 HTTP/1.1 localhost Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+InfoPath.2) AJSTAT_ok_times=1;+ASPSESSIONIDASDCTTCC=EJMFFMBDIOAEPENLNIJKCKAC –看看是不是把你的什么信息都记录了下来了呢?假设你成功修改了某个站点的主页,对方通过日志可以差到你是通过XXX.ASP来入侵进去的,那么这个链接的IP地址就是你所用的代理地址,那么既然路由器都可以聪明到知道你是否使用了代理,那么想追查到你的真实IP地址还难不了呢?也许你会说,我会使用多层代理和跳板,是的,如果你用多层代理,确实没有单一的IP代理那样容易定位,可是依然可以通过别的方式查,那么是怎么查的呢?大家都知道,当我们登录一个远程服务器的时候,他会提示你上次登录的时间,屏幕分辨率以及你系统的名称,那么我们链接网络的时候,电信是不是就只是给我们分配了一个动态地址那么简单呢?下面我们再来分析下电信的日志日期 上网时间 下网时间 时长(分) 时长(秒) 接入属地 接入端口 用户IP地址 用户属地 MAC地址9月2日 2007-09-01 10:25:10 2007-09-02 07:34:01 1269 76131 某地 86001450 60.17X40.8 某地 00:17:e0:9f:7c:2f9月2日 2007-09-02 07:34:27 2007-09-02 19:35:06 721 43239 86001450 60.17X31.135 00:17:XXf:7c:2f9月3日 2007-09-02 22:19:33 2007-09-03 08:27:03 608 36450 某地 86001450 220.17X.6.156 某地 00:17:e0:9f:7c:2f9月4日 2007-09-03 13:58:25 2007-09-04 22:15:24 1937 116219 86001450 60.17X44.151 00:17:XXf:7c:2f看到都记录什么了么?连接时间 地址 端口 IP 和最重要的MAC.现在知道为什么用了多层代理依然可以查你么?虽然你的IP地址是变化的,可是你的MAC地址是不会变化的.务器里是否还有更多的东西呢?这个话题我们暂且不讨论.你们家里或者公司里是不是有多台电脑呢?而你为了省下一份宽带费用而买了一台路由器,之后你上网的时候,突然弹出一个IE页面,写着:XXX,系统发现你使用多台机器共享上网…我们暂且不讨论ISP的霸权主义,电信是如何知道你使用了路由器了呢?是扫描端口还是扫描网卡呢?这个问题讨论比较麻烦,不过可以明确的告诉你,扫描的也许是你系统上的某个硬件信息,是什么呢?系统是人做出来的,就像所谓的微软系统漏洞一样,无非是事先留下的后门而已!刚才说到的MAC追查的问题,有的朋友看到这里也许会想,路由器不是可以修改MAC地址么,是的,确实可以,当你修改下路由器的MAC地址的时候,去查下电信的链接日志,记录的MAC变成了你修改后的MAC地址了.也许你会想,那我上一次网,修改一下MAC不就不容易查到我了么?刚才我已经说了,记录的是硬件信息,那么你路由器上面的入网证书是做什么用的呢?假设查到了你,你否认的话,那么你路由器里记录的有什么东西呢?1 134895:Standard authentication.2 134896:发送PADI,请求建立连接.3 134896:PPPOE_TAG_SVC_NAME=null4 134896:The first service name is accepted.5 134896:接收PADO,AC-Name=FY_FN_MA5200G,AC-MAC=00E0FCAFB2A4.6 134896:发送PADR.7 134896:接收PADS,Session-ID=0x420,AC-MAC=00E0FCAFB2A4.8 134896:LCP tx Req,MRU=05D4;Magic=1DAB2F6E;9 134896:LCP RX Req,MRU=05D4;Auth=C023;Magic=05445E63;10 134896:LCP tx Ack,MRU=05D4;Auth=C023;Magic=05445E63;11 134896:LCP RX Ack,MRU=05D4;Magic=1DAB2F6E;12 134896:PAP IDLE -> REQ.13 134896:PAP 请求密码验证.14 134897:PAP:密码验证成功.15 134897:IPCP tx Req,IP=00000000;DNS1=00000000;DNS2=00000000;16 134897:IPCP RX Req,IP=3CAC1F01;你可以自己删除自己的路由器日志,可是删除后你会发现,最后一次的登录日志你是无法删除的.,这仍然可以成为你入侵的证据,你如何解释呢?说了关于IP追踪的这么多,不知道你明白什么了么?也许你会说懂了.我们继续看,当你链接网络的时候,,会经过很多路由.那么你经历的这些路由是不是很难查到呢?C:\Documents and Settings\Administrator>tracert 192.168.1.100Tracing route to Xdomain [192.168.1.100]over a maximum of 30 hops:1 <1 ms <1 ms <1 ms Xdomain [192.168.1.100]Trace complete.这个是一个很简单的系统命令,可以轻易查到对方服务器经过了多少路由,是不是很简单呢?路由和代理的原理有多大区别呢?既然这么轻易就可以查到经过了多少路由,那么你经过了多少代理是否也是一样简单呢?O? / [ ^ nbsp;酀|. E A対 zk括? l-鳁NOTIFY * HTTP/1.1HOST: 239.255.255.250:1900CACHE-CONTROL: max-age=100LOCATION: http://192.168.1.1:1900/igd.xmlNT: uuid:upnp-WANConnectionDevice-192168115678900001NTS: ssdp:aliveSERVER: TP-LINK Router R402M Router, UPnP/1.0USN: uuid:upnp-WANConnectionDevice-192168115678900001上面是某网络追踪软件所记录的一条日志信息IP地址 MAC 目的地IP地址和MAC 都轻易的鼠标一点就出来了是不是很神奇呢?在有问题的IP链接日志上一点,所发送的文件信息二进制的数据就都出来了,更可怕的是什么呢?在不明IP右键一点,就可以定位到IP所在地的物理坐标,这样的话,通过当时的电信登录日志,发现是用户名为XXX的个人ADSL用户登录的,是不是狠简单呢?这个软件更恐怖的地方是什么呢?直接输入对方IP,就可以开始追查对方路由,返回对方路由信息并且在地图上显示IP物理位置,可怕么？当你入侵了某个服务器，在服务器上的某个大型站点放了一个你所谓的ASPSHELL，是不是很呢。假如入侵的是比较严重的站点，那么对方会怎么做呢？通过某些软件，直接监视这个URL地址的连接，并且设置自动报警规则，当你骄傲的登入XXX专用版本的时候，IP地址发到哪里了呢？接下来会发生什么事情呢？总以为网络就是自由的国度，什么都可以乱说，当你在XX论坛发个关于反政治的帖子，为什么不出一小时，警察就到了你身边呢？ISP和当地的网络检测部门是强强联手的，你上网发送过的数据，所有信息都会通过他们的数据监控中心，一般人上网谁会用到数据加密呢？普通的数据通过软件以分析就发现问题了，并且自动报警.高考不就是个例子么,在高考的时间,无论你是否在考场,你会发现自己的手机不能发送数字这样的短信,为什么呢?当你在疯狂的扫描一个主机的时候,你是否很兴奋呢?你可知道对方服务器已经自动报警并且把数据发送到警方的服务器理呢?当你的服务器出现危机，人家警察是怎么通知你的呢？很简单，你需要备案么，备案的时候需要手机验证么. 为什么每天都有那么多非法站点 被关闭，或者没有备案的站点被迫关闭呢？站点备案的时候信息产业部会通过邮件发送给你一个证书文件放到你的站点目录下，这样设备扫描的时候，有证书的就自动略过，而没有证书的呢？了这么多，也许你会说，我删除所有的日志不就行了么？可以，你现在把系统里的某个文件删除了，之后查看系统硬盘里隐藏一个RECORDED文件里是否还存在那个文件呢？你说，我可以使用文件粉碎机，当然，也可以，你认为这样就能销毁你入侵服务器里的所有日志么?格式化硬盘后的文件都可以恢复，更何况你所谓的DEL命令呢？即使这些数据你都删除了，那么保存在路由器里的呢？或者某些大型的服务器里呢？你能保证你能入侵所有你入侵通过的路由并且删除它们么？比如一些聊天工具，也是可以成为你入侵的证据的，因为你在某些时候在不应该的地方说了一些不应该说的话.也许你会说,我只通过邮件和别人联系,这样总不会查到我了吧?是么,那我们来看下邮件记录了什么呢?2007年9月3日 20:35 登录 60.1 .*.* 安徽省 2007年8月31日 23:01 登录 60.1 .*.* 安徽省 2007年8月30日 3:00 登录 60.1 .*.* 安徽省 2007年8月30日 2:59 登录 60.1 .*.* 安徽省 这些是某邮件系统记录的日志,是否依然可以成为查找到入侵者的一些依据呢?包括你在群里喊卖权限的聊天记录,你自己可以删除,可是服务器上的呢?某聊天工具的群聊不是提供聊天对话记录服务?更有一些人,在群里大喊,出售网银木马,出售信封.很快一个人加你了:大哥,来一千封,卡号多少? 你爽快的把银行卡卡号发给对方,在你等这收钱的时候,身边到了一些人,你的聊天记录,卡号,一切都没有来得及删除的证据都可以成为你的证据.通过调查服务器聊天记录,分析所有和你聊天的好友,分析出哪些是黑站的,哪些是挂马的,哪些是免杀的…是不是很稀奇呢?假设你入侵了某个大型站点,对方报警处理,而你消除了日志,只留下一个自己的大名,心里想,这样总查不到了吧?呵呵,假设你的ID为XXX, 在一切无望的情况下,通过搜索,发现了你的个人BLOG,而且还启用了独立玉米.之后通过站点注册信息,很轻易就可以查到你的姓名和电话号码以及电子邮件.你会聪明的说,这些我都是乱写的.好,那就通过当初购买的银行卡来调查,调查到X为XXX公司的,之后去公司电脑里调取证据,XXX以为自己删除了所有记录,可是他没有想到仍然可以恢复.他以为自己在系统里一些加密的程序无法逆向,可是还是被警方逆向后成为入侵的证据?为什么呢?想想微软的EFS加密是否依然可以逆向呢?假设以上所有的可以追查到你的手段你都隐藏的狠完美,那你忘了一点,技术再强,也斗不过心算.假设你在你们本地开了家网吧,为了让自己的生意好起来,而去把其他几家的网吧服务器全部入侵了,而且你没有留下任何证据.那人家怎么调查呢?狠简单,不通过技术手段,通过分析是否是商业竞争就可以轻易调查到你就是背后的黑客!总之,法网恢恢,疏而不漏,既然有那么好的技术,为什么不去给人做IDC呢?既然你有那么聪明的头脑,为什么不去自己开家网络公司呢.真不知道现在的人怎么想的,当你钱赚的够你花的时候,你用不成了怎么办呢?一切尽在自己掌握,感谢你阅读本文章！
  

东西不错，排版有待改善……

Shark恒 发表于 2014-10-26 23:56
东西不错，排版有待改善……

不知道怎么排版，这玩意我收藏好多年了。

[快捷回复]-感谢楼主热心分享！

[快捷回复]-软件反汇编逆向分析，软件安全必不可少！

给大牛点个赞，教程很nice!

感谢分享，有备无患

收藏，留个脚印，下次好找