本书专门为网络和计算机安全专业人员介绍了反黑客和黑客工具,读者可以参考本书来分析解决许多工作中遇到的实际安全问题。全书共分四部分:多功能工具、对网上系统进行攻击和审计的工具、用于攻击和审计网络的工具、用于取证与事件响应的工具。这些工具分别用于执行审计与预防、事件检测、调查与响应以及补救等任务。每一章都以该章要讨论的工具的概述作为开始,接着对各个工具分别进行描述,最后给出介绍如何使用这些工具的案例学习。\r\n\r\n 本书极为实用且技术含量高,是一本面向安全的优秀技术书籍,适合安全管理员、网络管理员以及系统管理员阅读,也可作为相关技术人员的参考书。\r\n\r\n \r\n
\r\n
第一部分 多功能工具 \r\n\r\n 第1章 Netcat和Cryptcat 2 \r\n\r\n 1.1 Netcat 2 \r\n\r\n 1.2 Cryptcat 18 \r\n\r\n 第2章 开放源代码/系统工具基础 19 \r\n\r\n 2.1 服务器消息块协议工具 19 \r\n\r\n 2.2 NBTSTAT 25 \r\n\r\n 2.3 regdmp 28 \r\n\r\n 2.4 finger 29 \r\n\r\n 2.5 whois/fwhois 31 \r\n\r\n 2.6 Ping 33 \r\n\r\n 2.7 fping 34 \r\n\r\n 2.8 traceroute 36 \r\n\r\n 2.9 hping 38 \r\n\r\n 2.10 rpcinfo 40 \r\n\r\n 2.11 showmount命令 42 \r\n\r\n 2.12 r-tools 43 \r\n\r\n 2.13 who. w及last命令 44 \r\n\r\n 第3章 X Window System 48 \r\n\r\n 3.1 选择一个窗口管理器 48 \r\n\r\n 3.2 客户机/服务器模型 48 \r\n\r\n 3.3 远程X服务器与客户端的通信 49 \r\n\r\n 3.4 加强X的安全性, 第一部分:使用xhost和xauth 50 \r\n\r\n 3.5 加强X的安全性, 第二部分:使X流量流过SSH隧道 52 \r\n\r\n 3.6 其他重要工具 53 \r\n\r\n 3.7 小结 54 \r\n\r\n 第4章 VMware 56 \r\n\r\n 4.1 下载和安装 56 \r\n\r\n 4.2 配置 57 \r\n\r\n 4.3 使用 63 \r\n\r\n 第5章 Cygwin 66 \r\n\r\n 5.1 下载和安装 66 \r\n\r\n 5.2 使用 67 \r\n\r\n 5.3 目录结构和文件权限 69 \r\n\r\n 5.4 运行应用程序 69 \r\n\r\n 5.5 Xfree86 for Cygwin 71 \r\n\r\n 第二部分 对网上系统进行攻击和审计的工具 \r\n\r\n 第6章 端口扫描工具 74 \r\n\r\n 6.1 nmap 74 \r\n\r\n 6.2 NetScanTools 87 \r\n\r\n 6.3 SuperScan 90 \r\n\r\n 6.4 IpEye 93 \r\n\r\n 6.5 FScan 94 \r\n\r\n 6.6 WUPS 95 \r\n\r\n 6.7 udp_scan 96 \r\n\r\n 第7章 Windows列举工具 101 \r\n\r\n 7.1 Winfingerprint 101 \r\n\r\n 7.2 GetUserInfo 103 \r\n\r\n 7.3 enum 104 \r\n\r\n 7.4 PsTool 107 \r\n\r\n 第8章 Web攻击工具 120 \r\n\r\n 8.1 漏洞扫描 120 \r\n\r\n 8.2 实现不同功能的工具 135 \r\n\r\n 8.3 检查应用程序 142 \r\n\r\n 第9章 口令破解与强力工具 146 \r\n\r\n 9.1 PassFilt.dll以及Windows口令策略 146 \r\n\r\n 9.2 PAM以及UNIX口令策略 148 \r\n\r\n 9.3 OpenBSD login.conf 151 \r\n\r\n 9.4 John the Ripper 152 \r\n\r\n 9.5 L0phtCrack 162 \r\n\r\n 9.6 捕获Windows口令散列 165 \r\n\r\n 9.7 主动强力工具 168 \r\n\r\n 第10章 后门和远程访问工具 171 \r\n\r\n 10.1 VNC 171 \r\n\r\n 10.2 Netbus 176 \r\n\r\n 10.3 Back Orifice 179 \r\n\r\n 10.4 SubSeven 185 \r\n\r\n 10.5 Loki 190 \r\n\r\n 10.6 stcpshell 192 \r\n\r\n 10.7 Knark 194 \r\n\r\n 第11章 简单源代码审计工具 198 \r\n\r\n 11.1 Flawfinder 198 \r\n\r\n 11.2 RATS 201 \r\n\r\n 第12章 系统审计工具组合 205 \r\n\r\n 12.1 Nessus 205 \r\n\r\n 12.2 STAT 214 \r\n\r\n 12.3 Retina 220 \r\n\r\n 12.4 Internet扫描工具 222 \r\n\r\n 12.5 Tripwire 228 \r\n\r\n 第三部分 用于攻击和审计网络的工具 \r\n\r\n 第13章 端口重定向 242 \r\n\r\n 13.1 数据管道 243 \r\n\r\n 13.2 使用 243 \r\n\r\n 13.3 FPipe 245 \r\n\r\n 第14章 嗅探器 251 \r\n\r\n 14.1 嗅探器概述 251 \r\n\r\n 14.2 BUTTSniffer 252 \r\n\r\n 14.3 tcpdump和WinDump 259 \r\n\r\n 14.4 Ethereal 267 \r\n\r\n 14.5 dsniff 271 \r\n\r\n 14.6 入侵检测系统snort 276 \r\n\r\n 第15章 无线工具 283 \r\n\r\n 15.1 NetStumbler 284 \r\n\r\n 15.2 AiroPeek 285 \r\n\r\n 第16章 war拨号器 288 \r\n\r\n 16.1 ToneLoc 288 \r\n\r\n 16.2 THC-Scan 296 \r\n\r\n 16.3 连接字符串之外的一些知识 301 \r\n\r\n 第17章 TCP/IP协议栈工具 302 \r\n\r\n 17.1 IP协议栈完整性检查程序ISIC 302 \r\n\r\n 17.2 iptest 306 \r\n\r\n 17.3 nemesis 308 \r\n\r\n 17.4 命令行之外的一些知识 311 \r\n\r\n 第四部分 用于取证与事件响应的工具 \r\n\r\n 第18章 构造与使用Windows上的实时响应工具包 314 \r\n\r\n 18.1 cmd.exe 315 \r\n\r\n 18.2 fport命令 315 \r\n\r\n 18.3 netstat命令 317 \r\n\r\n 18.4 nbtstat命令 318 \r\n\r\n 18.5 ARP 319 \r\n\r\n 18.6 Pslist 320 \r\n\r\n 18.7 kill命令 321 \r\n\r\n 18.8 dir命令 321 \r\n\r\n 18.9 auditpol命令 323 \r\n\r\n 18.10 Loggedon 324 \r\n\r\n 18.11 NTLast 324 \r\n\r\n 18.12 转储事件日志 325 \r\n\r\n 18.13 Regdmp 327 \r\n\r\n 18.14 SFind 328 \r\n\r\n 18.15 Md5sum 328 \r\n\r\n 第19章 构造与使用UNIX上的实时响应工具包 332 \r\n\r\n 19.1 bash命令 333 \r\n\r\n 19.2 netstat命令 333 \r\n\r\n 19.3 ARP 334 \r\n\r\n 19.4 ls命令 335 \r\n\r\n 19.5 w命令 336 \r\n\r\n 19.6 last与lastb命令 337 \r\n\r\n 19.7 lsof命令 338 \r\n\r\n 19.8 ps命令 339 \r\n\r\n 19.9 kill命令 342 \r\n\r\n 19.10 md5sum命令 342 \r\n\r\n 19.11 Carbonite 343 \r\n\r\n 19.12 execve_sniffer 343 \r\n\r\n 第20章 商业化的取证复制工具包 346 \r\n\r\n 20.1 EnCase V3 346 \r\n\r\n 20.2 格式化:创建一个可信的启动盘 354 \r\n\r\n 20.3 PDBLOCK: 对源驱动器阻止写 354 \r\n\r\n 20.4 Safeback 355 \r\n\r\n 20.5 SnapBack 364 \r\n\r\n 20.6 Ghost 368 \r\n\r\n 第21章 非商业化的取证复制工具包 376 \r\n\r\n 21.1 dd:取证复制工具 376 \r\n\r\n 21.2 dd:硬盘清理工具 381 \r\n\r\n 21.3 losetup:将Linux中的常规文件转换成设备 382 \r\n\r\n 21.4 增强的Linux回送设备 383 \r\n\r\n 21.5 vnode:将FreeBSD中的常规文件转换成设备 385 \r\n\r\n 21.6 md5sum与md5:验证所收集的证据 386 \r\n\r\n 第22章 取证分析工具包 390 \r\n\r\n 22.1 FTK 390 \r\n\r\n 22.2 EnCase 397 \r\n\r\n 22.3 TCT工具包 410 \r\n\r\n 第23章 Internet活动重建工具 421 \r\n\r\n 23.1 Outlook Express 421 \r\n\r\n 23.2 Outlook 422 \r\n\r\n 23.3 Netscape Navigator与Communicator 423 \r\n\r\n 23.4 美国在线客户端应用程序 426 \r\n\r\n 23.5 UNIX邮箱 430 \r\n\r\n 23.6 IE History 430 \r\n\r\n 第24章 通用编辑器和阅读器 437 \r\n\r\n 24.1 file命令 437 \r\n\r\n 24.2 hexdump 438 \r\n\r\n 24.3 hexedit 441 \r\n\r\n 24.4 vi 444 \r\n\r\n 24.5 frhed 447 \r\n\r\n 24.6 xvi32 449 \r\n\r\n 24.7 Quickview Plus 450 \r\n\r\n 24.8 Midnight Commander 454 \r\n\r\n 附录A 参考图表 459 \r\n
\r\n
当网络渗透到我们生活和工作中的方方面面时, 也带来了一个棘手的问题——“黑客”问题. 由于Internet本身设计的缺陷以及开放性, 使其极易受到黑客的攻击. 根据美国安全部门统计, Internet上有98%的计算机曾遭受过黑客的攻击性分析, 50%的机器被黑客成功入侵过, 而被入侵机器中有20%的管理员并未发现自己曾经被入侵. 因此, 网络的安全性已经成为阻碍Internet发展的重要因素之一.
事实上, 黑客并不全是以恶意破坏为目的的“罪犯”, 其中有许多高手只是出于好奇. 他们掌握着网络世界中许多先进的工具和技术, 可以攻击网站. 获取情报, 从而在人们心中蒙上了一层神秘的面纱. 如果您对神秘的黑客和他们的各种手段感兴趣, 并热衷于探索其内幕, 如果您有志于成为一名伸张正义的黑客, 如果您是系统管理员或对安全敏感, 希望了解敌人可能的进攻手段以提高系统安全性, 那么恭喜您, 这本书无疑是您的最佳选择. 俗话说, “知己知彼, 百战不殆”. 如果要更好地保护自己的系统免受攻击. 追踪黑客线索, 必须要对黑客的种种攻击手段有详尽的了解, 此外, “工欲善其事, 必先利其器”, 我们必须要熟练掌握各种安全工具, 才能事半功倍. 从论述角度看, 本书的作者可谓是另辟蹊径, 全面深入地介绍了Windows. Linux. FreeBSD. X Window等各种操作系统, 以及与其相关的黑客与反黑客工具, 并详细介绍了各种攻击方法的原理和应对措施. 这就是来自美国的著名黑客带来的丰厚礼物!
作为翻译人员, 我们深深感到翻译过程也是学习的过程, 而且是一个比学习要求更高的过程, 同时, 作为一直在计算机安全领域从事研究工作的博士. 科研人员, 我们也感到了责任之重大——即尽快以最高的质量促使本书与读者见面, 希望这些巧妙的工具和方法能够对读者的狙击黑客工作有所帮助.
最后就有关术语问题做一点说明. 实际上, 在日常工作中我们与同事交流时, 一些术语都是用英文表达的, 甚至一些常用的短语短句也是如此. 因此在翻译这些术语时, 往往理解其含义, 但不知如何更加严谨地表达. 尽管查阅了各种词典, 并重点参考了网上用法, 但不可否认, 这些词语可能会有更好的译法, 我们渴望得到您的批评指正.
本书由胡班组织进行翻译, 参加翻译工作的有宋震. 易晓东. 肖国尊. 彭智. 杨征. 岳科峰. 张煜. 赵钧. 邓波. 王东霞. 张巧利. 孙文明. 李化. 田丽韫. 姜南. 胡素梅. 陈晖. 崔桐. 韩强等, 全书最后由胡班负责统稿. 由于本书涉及的内容极广, 书中不妥之处, 请广大读者不吝赐教.
Keith J. Jones
Keith J. Jones是Foundstone的一名计算机取证顾问, 主要研究方向为事件响应程序开发与计算机取证. Jones专工日志分析. 计算机犯罪调查. 取证工具分析并专门研究攻击与渗透试验. 在Foundstone, Jones已经调查了多种不同类型的案例, 包括知识产权偷窃. 财务贪污. 过失以及外部攻击. Jones是Foundstone的讲师, 同时也是“Incident Response and Computer Forensics”课程的开发者. 作为计算机取
如果用6个小时砍下一棵树, 那么首先要花4个小时来磨斧头.
——亚伯拉罕·林肯
大学期间, 一位工程学教授将上面的名言送给我, 从那时起, 我就一直记着这句话. 在付出努力之前, 一定要花时间来选择对工作最有效的工具. 根据我们的经验, 要在这个领域取得成功, 关键是要根据需要来了解并有效使用这些工具. 编写本书的目的就是要帮助各位网络和计算机安全专家快速有效地完成工作, 并且减少工作过程中可能受到的挫折.
本书共分四部分:多功能工具. 对网上系统进行攻击和审计的工具. 用于攻击和审计网络的工具. 用于取证与事件响应的工具. 通过学习, 读者应当能够了解一些恰当的. 可进行实地试验的工具.
● 审计与预防
● 事件检测
● 调查与响应
● 补救
安全. 网络. 系统管理员要完成这些任务, 需要花费相当多的精力. 这些任务涉及了从始至终的安全过程, 因此出现了术语“反黑客”.
各章都遵循一个连续的主题. 每章都从一个该章要讨论的工具的概述开始, 接着描述每一个工具. 但本书不只是工具清单和描述参考书. 每个工具都包含深入的使用技术, 依次介绍如何利用工具进行测试, 同时, 基于我们在现场使用这些工具时的一些实际发现, 还为读者提供了一些建议. 每章都有案例学习, 用于示范现实世界中这些工具的使用. 在某些章节, 一个案例学习会介绍在本章讨论的多个工具的组合使用. 对于某些主题而言, 我们能够为每个工具提供特定的案例学习. 在使这些案例学习尽可能真实的同时, 我们必须用文学上的用语来使故事阅读起来稍微有趣一些, 并包含尽可能多的工具. 有些场合, 我们会讨论系统管理员对其网络中发生的事件所做出的反应, 这种讨论可能引起争议. 因此, 要提及的是, 在安全交战或事件中, 我们决不提供应当采取怎样的行动的方法和建议, 但是希望在每章的末尾提供有趣的案例学习供您阅读, 或者编写一节内容来强调每个工具的用法.
这里要再一次强调的是, 本书侧重讲述工具的使用, 而不是保护网络的方法. 因此, 本书与Stuart McClure. Joel Scambray和George Kurtz合著的“Hacking Exposed”以及Chris Prosise和Kevin Mandia合著的“Incident Response: Investigating Computer Crime”形成对照, 这两本书构成了这些工具茁壮发展所依赖的方法. 建议您在了解工具之前, 先了解其实现方法. 如果已经对这些方法有了一个全面的了解, 那么在阅读本书时将更加容易.
此外, 为了使用这些工具, 我们必须讨论目前在市场上最流行的操作系统, 除非另有说明, 当我们提到“Windows”时, 指定的都是由Microsoft发行的操作系统, 如95/98/Me/NT/2000 和XP. 当提及“UNIX”时, 指的是任何版本的UNIX操作系统, 而不只是来自贝尔实验室的原版UNIX. 可以在其上使用这些工具的UNIX包括:Solaris(i386和Sparc版本). Linux. FreeBSD. NetBSD. OpenBSD等. 如果某个工具只能在一个UNIX版本上运行, 那么我们会提到该工具的使用场合.
因为本书中提到的工具在将来有可能会发生变化(尤其是开放源代码或者黑客工具), 我们提供了很多屏幕抓图和输出. 这样做不是为本书填充材料, 而是帮助您将工具的后续版本与本书中提到的信息进行对照.
本书附带一张光盘, 其中包含书中提到的许多工具的副本, 厂商同意我们发布这些工具. 若讨论的工具具有商业版本, 我们会使用厂商批准的示范版本. 如果不能公开获得示范版本, 那么必须直接访问厂商的Web站点来获取该工具. 因为开放源代码运动已经普及, 我们尝试在光盘和本书的内容中使用非商业工具, 以便读者选用时有回旋的余地. 我们希望该光盘会帮助读者在获取工具和Web站点时节省精力.
如前所述, 为追随先进的技术和潮流, 网络和安全工具的发展也异常迅速. 新的工具将不断涌现, 旧的工具也会不断增加新的特性. 由于本书侧重于网络和安全工具, 所以我们希望拥有一种机制, 使读者能够获得有关最新的工具. 工具变化和安全方面消息的通知. 为了实现这一目的, 我们为读者提供了www.antihackertoolkit.com站点, 该站点是本书的一个伴侣站点, 包含关于工具. 工具信息. 书籍勘误表和内容更新的链接.
第二书店&China-pub战略联盟提供专业服务
第二书店联系方式 010-64348411 webmaster@dearbook.com