一。攻防安全及案例

1.網路安全學習路線

網路安全涉及的內容非常廣，其主要的學習路線如下圖所示。可以簡單歸納為：

基礎知識： Web發展簡史、計算機網路、域名系統、HTTP標準、程式碼審計、WAF

資訊收集： 域名資訊、 站點資訊、埠資訊、其它

內網滲透： Windows資訊收集、持久化、Linux資訊收集、痕跡清理、其他

常見漏洞： SQL注入、XSS、CSRF、SSRF、命令注入、檔案讀取、檔案上傳、檔案包含、XXE、模版注入、Xpath注入、 邏輯漏洞 、業務漏洞、配置安全、中介軟體、Web Cache欺騙攻擊

語言與框架： PHP、Python、Java、JavaScript、Ruby、C\C++、C#

防禦技術： 總體思路、 團隊建設、威脅情報、風險控制、加固檢查、蜜罐技術、入侵檢測、應急響應、溯源分析

工具與資源： 工具列表、推薦資源、爆破工具、下載工具、流量相關、嗅探工具、SQLMap使用

其他： 認證方式、拒絕服務攻擊、DNS劫持、Docker

注意，圖中紅線以下大家千萬別觸碰，我們作為安全人員或白帽子主要是在紅線以上去獲取資訊，再報告相關單位或提醒相關網站進行漏洞修復，尤其是拒絕服務，其破壞性非常大。

未知攻，焉知防。未來的攻擊方式將不侷限於技術手段，往往會利用人性的心理弱點，使用社會工程學，結合多種方式來進行。同時，發動攻擊的渠道和形式更加隱蔽，配套工具更加匪夷所思，不容易被察覺。總體表現為“更快速、更隱蔽、更狡猾”。

隨著網路安全法實施，2018年國家成立網路安全一級學科，全國的資訊保安人才需求量越來越大。2017年年底，工信部中國電子資訊產業發展研究院（賽迪）釋出中國當前對網路安全人才的需求大約為50萬人，但 目前國內國家安全廠商的安全類工程師加在一起也不過5萬人上下，人才缺口巨大，到2020年缺口將達到140萬左右。供求比為1：10，是目前網際網路人才供求差距最大的市場領域。

白帽子駭客是指熱衷於研究網路與計算機，善於發現安全漏洞，他們並不做壞事，而是將漏洞及時提供給企業協助修復。大部分白帽子駭客是企業的安全人員，從事著安全建設與安全維護的工作。

2.安全威脅案例

安全威脅案例各式各樣，比如資料包洩露、電信詐騙、京東洩露12G使用者資料等等。

案例一：電信詐騙

當我們收到一些電話或簡訊時，可能會去點選按鍵或連結，這類釣魚操作會導致我們的個人隱私洩露。2013年京東洩露了海量使用者資料，其原理是駭客進行脫庫（資料庫）操作，脫庫之後他們還會繼續挖掘使用者的隱私資訊。使用者在使用京東、淘寶等網站時，很可能會設定相同或相近的使用者名稱、密碼，透過撞庫能獲取更多有價值的資訊，他們再賣這些黑產資料。

案例二：偽基站

偽基站是指移動小型基站，可以定位你的GPS位置，再發送欺騙簡訊或電話。比如，騙子偽裝成95588，利用偽基站向手機發送簡訊，當用戶按照簡訊提示登入釣魚網址時，他的銀行卡號和密碼就會被洩露。

除了詐騙，還會建立聯盟調查資訊庫，可以檢視到開房記錄、上網記錄、常住暫住人口資訊。

案例三：企業非法競爭

某個藥業公司需要研發一種藥，想對使用者人群的需求和購買力做個評估，但是做調研的時間成本和人力成本太大了，他們就會想一些“捷徑”。找到駭客，讓其進某醫院的病例資料庫，把病例資料複製下來，直接分析。

再比如某網站為驚醒大家注意攝像頭安全，實現如下圖所示直播功能（Network live IP video cameras）。

案例四：AI騷擾電話

2018年315晚會曝光了AI+騷擾電話、WiFi探針盒子、APP索取敏感資訊等產業鏈。

AI騷擾電話

： 又稱智慧騷擾電話機器人，AI電話機器人模擬一種甜美的聲音進行電話推銷，並應用於各個領域，如保險、地產、教育、汽車、貸款等。

WiFi探針盒子

： 當用戶手機無線區域網處理開啟狀態時，會向周圍發出尋找無線網路的訊號，探針盒子發現這個訊號，就能迅速識別出使用者手機的MAC地址。而MAC地址可以轉換成IMEI號，再轉換成手機號碼。為了獲取更多使用者個人資訊，一些公司將這個小白盒子放在商場、超市、便利店、寫字樓等，在使用者毫不知情的情況下，蒐集個人資訊。

APP索取敏感資訊

： 某些手機APP惡意收集使用者隱私資訊 ，並生成使用者畫像，透過電話、簡訊、微信、QQ等傳送個性化廣告。APP安裝時，需要同意權限才能安裝，此時它能讀取使用者資訊，比如315晚會曝光的墨跡天氣APP隱私洩露案例。

315晚上執行緒，安全人員演示了基於這三個產業鏈，透過APP抓包，獲取一個人的身份證和個人資訊全部完整暴露，擷取資訊包括WIFI、SSID號、密碼資訊等。

3.APT攻擊高階

APT（Advanced Persistent Threat）高持續性威脅，利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的形式。APT攻擊的原理對於其他攻擊形式更為高階和先進，其高階性主要體現在APT在發動攻擊之前需要對攻擊物件的業務流程和目標系統進行精確的收集。

APT攻擊通常會綜合利用前述各種攻擊方式，其攻擊具有目標明確、隱蔽性強、持續時間久、大量利用0day漏洞等特點。2018年全球十大APT攻擊事件如下圖所示。

APT攻擊來源包括物理接觸（IDC機房）、網路、作業系統、應用系統、資料、人員等，其中最重要的是人員。

下面簡單分享國內外對網路攻擊的態勢感知或地圖炮。國外的網站（https：//cybemap。kaspersky。com）記錄了網路攻擊態勢，每時每刻都會有各種攻擊產生，地圖上實時監控每個節點。

該產品是卡巴斯基公司的，主要用於監控安裝其產品受攻擊情況，並進行預警。

國內的網站主要是國家網際網路應急中心，如下圖所示。

二。病毒初探

1。關機BAT指令碼

第一個指令碼主要是呼叫“shutdown”實現關機。其基本步驟如下：

新建文字文件

輸入 shutdown -s -t 600

把txt改成bat

如下圖所示，執行CMD可以檢視shutdown命令的基本用法。

基本命令為：

shutdown -s -t 600//現在讓系統600秒之後關機shutdown -a//終止關閉計算機

執行結果如下圖所示：

新建“test。bat”並填寫“ shutdown -s -t 600”，某些系統需要在“資料夾選項”中，顯示“隱藏已知檔案型別的副檔名”。

雙擊BAT檔案即執行關機，如果需要取消，還是在CMD黑框中輸入“shutdown -a”命令。

如果將其設定為啟動項，每次開機都會執行這個程式，這需要在執行中新增即可，如下圖所示。為什麼要補充這個內容，因為很多病毒軟體都是修改許可權開機啟動。

2.搞笑VBS指令碼

VBS是基於Visual Basic的指令碼語言。VBS的全稱是Microsoft Visual Basic Script，其語言類似Visual Basic（VB）。VBS是微軟WSH指令碼的一種，WSH是Windows指令碼宿主，支援vbs、js、wsh三種格式的指令碼。指令碼語言屬於解釋語言，編寫VBS指令碼沒有什麼特定要求，只要有系統帶了WSH環境就可以，從WIN98就開始支援了。一個簡單指令碼檔案的建立流程如下所示：

新建文字文件

輸入 msgbox“Eastmount love CSDN， 你最帥！”

把txt改成vbs

接著繼續升級命令，嘗試編寫一個死迴圈指令碼。

domsgbox“Eastmount love ， 你最帥！”loop

執行之後會死迴圈彈出指令碼，需要在任務管理器中結束任務 。

大家也可以嘗試製作一些惡搞小指令碼工具，比如藍色畫面操作（建議虛擬機器驗證）。

ntsd -c q -pn winlogon。ex

txt修改為bat

開始->程式->啟動（右鍵）開啟->把bat檔案放入

注意，該操作主要是藍色畫面讓電腦重啟，對電腦沒有太大損傷，但也建議讀者在虛擬機器中進行實驗。

接下來補充一段八年前的搞笑程式碼。注意，下面這段程式碼真的會在5分鐘後重啟計算機，需要讀者輸入“我喜歡豬”，點選完20只羊即可自動關閉重啟操作。

set ws=createobject（“wscript。shell”）sub shutfun（s）select case scase 1ws。run“cmd。exe /c shutdown -s -t 300”case 2ws。run“cmd。exe /c shutdown -a”end selectend subcall shutfun（1）do while a<>“我喜歡豬”a=inputbox（“你喜歡娜女神還是豬，快在對話方塊中輸入喜歡豬，否則後果自負，快輸”“我喜歡豬”“ ”，“輸不輸”，“”）loopmsgbox “早說就行了嘛”msgbox“再輸一遍我是豬！”msgbox“我是豬！”MsgBox“最後一次！”MsgBox“如果你很快的點過去，不看的話”MsgBox“我就要你踩我空間的！哼！”MsgBox“從前有座山！”MsgBox“山裡有個廟。”MsgBox“廟裡有個老和尚在講故事。”ws。run“iexplore。exe https：//blog。csdn。net/Eastmount”msgbox“哎呀累了！數綿羊哄我睡覺”for i=1 to 20MsgBox i&“只綿羊”nextmsgbox“哎呀我困了，這次就饒過你吧，下次注意哦！”msgbox“最後問個問題，我是不是大好人！”call shutfun（2）if inputbox（“是不是”，“請選擇”，“是”）<>“是” thencall shutfun（1）end if

PS：該文章簡單敘述了病毒和木馬，更多是普及Web安全學習路線和防禦知識，後續作者會更深入的學習惡意程式碼、木馬的知識。

3.檔案格式修改

將檔案格式修改或文件加密都是常見的病毒，比如永恆之藍、勒索病毒等，它們就是將電腦內的所有資料、文件加密，當你要開啟檔案時，需要密碼，此時透過比特幣付費進行勒索。

下面這個小操作是將exe檔案修改為txt文件。當遇到可執行的exe檔案，會認為它是一個txt文件，用記事本開啟，導致可執行程式執行不起來，這是就是這個病毒的原理。

新建文字文件

增加程式碼：assoc。exe=txtfile

txt修改為bat

雙擊執行bat檔案之後，我們的可執行檔案就變成了txt檔案。

甚至開啟CMD都是TXT文字檔案，如下圖所示。

接著需要執行下面的命令還原exe檔案。

assoc。exe=exefile

還原的程式碼及效果如下圖所示。

其他所有檔案格式都轉換為txt檔案，如下所示。此時，如果隱藏副檔名，甚至可以修改圖示偽裝成目標應用，當用戶點選時會執行這些破壞；但由於不知道目標是否有隱藏副檔名，還是不建議這種“本”方法。

assoc 。htm=txtfileassoc 。dat=txtfileassoc 。com=txtfileassoc 。rar=txtfileassoc 。gho=txtfileassoc 。mvb=txtfile。。。

4。網頁JS程式碼

網頁程式碼中也有類似的病毒，這裡不進行詳細敘述，只是貼幾張效果圖供大家學習。XSS主要使用alert（）彈框資訊，比如管理員身份資訊，從而獲取相關知識。當滑鼠移動到該位置，onMouseover會觸發alert（）彈框操作。

再比如無限彈框操作如下圖所示：

核心程式碼是滑鼠移動到input控制元件時，呼叫pop（）函式彈出200個視窗，開啟新視窗透過window。open（）實現。此時需要任務管理器結束程序才能結束所有頁面。

建議

大家在虛擬機器中玩玩就好，知道原理即可，因為後續XSS與它們有關。

三.木馬初探

特洛伊木馬（Trojan Horse）是指寄宿在計算機裡的一種非授權的遠端控制程式，這個名稱來源於公元前十二世紀希臘和特洛伊之間的一場戰爭。由於特洛伊木馬程式能夠在計算機管理員未發覺的情況下開放系統許可權、洩漏使用者資訊、甚至竊取整個計算機管理使用許可權，使得它成為了駭客們最為常用的工具之一。

木馬是一種典型的網路病毒，基於遠端控制的駭客工具。它以隱蔽的方式進入到目標機器，對目標機器中的私密資訊進行收集和破壞，再透過網際網路，把收集到的私密資訊反饋給攻擊者，從而實現其目的的一種新型病毒。木馬的特性包括：

隱蔽性

潛伏性

再生性

木馬的組成，經典的C/S架構：

客戶端程式：安裝在攻擊者（駭客）方的控制檯，它負責遠端遙感指揮

服務端程式：木馬程式，它被隱藏安裝在被攻擊（受害）方的電腦上

木馬分為主動型木馬和反彈型木馬。其中反彈型是攻擊方開啟埠，被攻擊方會掃描埠，主動連線。

常見的木馬包括：

遠端控制木馬：冰河木馬

鍵盤螢幕記錄木馬：QQ密碼記錄器

反彈視窗型木馬：廣外女生、網路神偷

DDoS攻擊木馬

下面簡單演示大白鯊木馬，安裝如下圖所示。

該木馬需要配置程式，填寫控制另一臺電腦的IP地址及埠號。

點選“生成服務端”後會生成一個伺服器，執行如下圖所示，會提醒上線。

同時能獲取遠端硬碟檔案、程序、服務、登錄檔等資訊 ，但該木馬比較古老，現在是否能用作者沒有進行相關驗證。切記綠色上網，否則後果自負。

後門是木馬的一種，可以繞過或挫敗系統安全設定，網頁、執行緒、C/S、系統等都可以插入後門，甚至神經網路中都可以插入後門（對抗學習）。

在真實環境中，我們怎麼把木馬注入過去呢？這裡會涉及到網路的一些基礎知識，透過建立遠端連線、網路傳輸等來發送惡意軟體。其中木馬的啟動方式包括：

自啟動功能：新增到啟動項、修改組策略、修改登錄檔、捆綁

隱蔽性：木馬本身的隱蔽性、執行時的隱蔽性、通訊時的隱蔽性

既然木馬的危害如此之大，我們又將如何預防呢？

木馬的危害： 盜取使用者資訊（網遊賬號、網銀資訊、個人隱私），利用即時通訊軟體傳播病毒，給電腦後門，使電腦更容易被駭客控制

木馬的徵兆： 計算機反映速度變慢，硬碟不停讀寫，滑鼠鍵盤不停使喚，視窗突然被關閉，新的視窗莫名其妙開啟，網路傳輸指示燈一直閃爍，系統資源佔用很多，執行某個程式沒有反映，關閉某個程式時防火牆檢測到非法操作

四。總結

這篇文章主要是簡單敘述病毒和木馬，更多是普及Web安全學習路線和防禦知識，後續作者會更深入的學習惡意程式碼、木馬的知識。同時，作者後續會結合Python監聽滑鼠操作、Python編寫HOOK函式木馬等，基礎性文章，希望對您有所幫助。