什么是动态链接库?*
v%N/mL+5L `D)ay 一、动态链接库的概念
-ZwQL="t 动态链接库(Dynamic Link Library,缩写为DLL)是一个可以被其它应用程序共享的程序模块,其中封装了一些可以被共享的例程和资源。动态链接库文件的扩展名一般是dll,也有可能是drv、sys和fon,它和可执行文件(exe)非常类似,区别在于DLL中虽然包含了可执行代码却不能单独执行,而应由Windows应用程序直接或间接调用。
k/[*Wz$W v|r\kr k 动态链接是相对于静态链接而言的。所谓静态链接是指把要调用的函数或者过程链接到可执行文件中,成为可执行文件的一部分。换句话说,函数和过程的代码就在程序的exe文件中,该文件包含了运行时所需的全部代码。当多个程序都调用相同函数时,内存中就会存在这个函数的多个拷贝,这样就浪费了宝贵的内存资源。而动态链接所调用的函数代码并没有被拷贝到应用程序的可执行文件中去,而是仅仅在其中加入了所调用函数的描述信息(往往是一些重定位信息)。仅当应用程序被装入内存开始运行时,在Windows的管理下,才在应用程序与相应的DLL之间建立链接关系。当要执行所调用DLL中的函数时,根据链接产生的重定位信息,Windows才转去执行DLL中相应的函数代码。
]gI>ay"\QA T*YbmI]4 一般情况下,如果一个应用程序使用了动态链接库,Win32系统保证内存中只有DLL的一份复制品,这是通过内存映射文件实现的。DLL首先被调入Win32系统的全局堆栈,然后映射到调用这个DLL的进程地址空间。在Win32系统中,每个进程拥有自己的32位线性地址空间,如果一个DLL被多个进程调用,每个进程都会收到该DLL的一份映像。与16位Windows不同,在Win32中DLL可以看作是每个进程自己的代码。
c4Q{ <5rs~ 二、动态链接库的优点
#m
yiZL% &s m7R i 1. 共享代码、资源和数据
wc@X:${ .PjJ g^^ 使用DLL的主要目的就是为了共享代码,DLL的代码可以被所有的Windows应用程序共享。
|KEq- ?M?S+@( 2. 隐藏实现的细节
"A\.`*6 Q(Q.( DLL中的例程可以被应用程序访问,而应用程序并不知道这些例程的细节。
.
!gkJ F~j
U; L 3. 拓展开发工具如Delphi的功能
fT)u`voE, ia=eFWt. 由于DLL是与语言无关的,因此可以创建一个DLL,被C++、VB或任何支持动态链接库的语言调用。这样如果一种语言存在不足,就可以通过访问另一种语言创建的DLL来弥补。
i$MYR @ \GA6;6%Oo 三、动态链接库的实现方法
15PFnk6E| JBX#U@k>I 1. Load-time Dynamic Linking
N$#518 4-lG{I_S: 这种用法的前提是在编译之前已经明确知道要调用DLL中的哪几个函数,编译时在目标文件中只保留必要的链接信息,而不含DLL函数的代码;当程序执行时,利用链接信息加载DLL函数代码并在内存中将其链接入调用程序的执行空间中,其主要目的是便于代码共享。
8w,U[aJm $r0~&$T& 2. Run-time Dynamic Linking
*]uo/g LObS
7U 这种方式是指在编译之前并不知道将会调用哪些DLL函数,完全是在运行过程中根据需要决定应调用哪个函数,并用LoadLibrary和GetProcAddress动态获得DLL函数的入口地址。
Bqo8G-> rzmd`)g (pY'v/ a- w#V{'{DKp 教你认识动态链接库DLL文件
"{a-I=s\C Vy*&po[
X;$g7A DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:WindowsSystem目录下。
0}' m|mY_t V/%tFd1 1、如何了解某应用程序使用哪些DLL文件
:W]IJ
mI\ oq00)I1 右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。
o5~o Rmsr #'"zyidu 2、如何知道DLL文件被几个程序使用
[AAG:` :5kgJu 运行Regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
&E98&[`7 VersionSharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。
}9Yd[` QP+zGXd}( 3、如何解决DLL文件丢失的情况
9G)Sjn`AQ BLc&q) 有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。
GL4-v[]6I a`SQcNBf* 什么是ARP欺骗 ?*
77y_?di^I SCbN(OBN! 我们先复习一下上面所讲的ARP协议的原理。在实现TCP/IP协议的网络环境下,一个ip包走到哪里,要怎么走是@@路由表定义,但是,当ip包到达该网络后,哪台机器响应这个ip包却是@@该ip包中所包含的硬件mac地址来识别。也就是说,只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包,因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个 arp--> 硬件mac 的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。
z=ItKoM*< MF+J3) 通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该ip包。
~lB im$o Co e
q< 了解这些常识后,现在就可以谈在以太网络中如何实现ARP欺骗了,可以看看这样一个例子。
9Z! j 同一网段的ARP欺骗
a%3V<
"f L`"PaIMz 同一网段的ARP欺骗
G01 J1Ll} XL@Y! 图2 同一网段的arp欺骗
4=]CA O=O CH
|A^!Zm 如图2所示,三台主机
OGmOk>_ A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA
Z7 \gj` B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB
zk)9tm;i{ C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC
Q_p!;3 \SB~rz"A 一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机A,这个时候他应该如何处理呢?
p7.j>w1F pz'l9Gp;@ 我们这样考虑,入侵者必须让主机A相信主机B就是主机C,如果主机A和主机C之间的信任关系是建立在ip地址之上的。如果单单把主机B的ip地址改的和主机C的一样,那是不能工作的,至少不能可@@地工作。如果你告诉以太网卡设备驱动程序, 自己IP是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。我们可以先研究C这台机器如果我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的。在机器C当掉的同时,将机器B的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面,而成功的绕过防火墙的限制。
f-at@C1L%L %onUCN<O` 上面的这种想法在下面的情况下是没有作用的,如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。
g? 7% 7MX nt5qUh 我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包.这样的工具很多,我们也可以直接用snifferpro抓一个arp响应包,然后进行修改。
/SLAg& e_Cns& 你可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。
HS1Gy/6' 这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。
` oBlv 下面是具体的步骤:
"S$4pj`< 1. 他先研究192.0.0.3这台主机,发现这台主机的漏洞。
x,kZ>^]&b 2. 根据发现的漏洞使主机C当掉,暂时停止工作。
[X >sG)0S~ 3. 这段时间里,入侵者把自己的ip改成192.0.0.3
YyI4T/0s_ 4. 他用工具发一个源ip地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的arp转换表。
b"`Vn, 5. 主机更新了arp表中关于主机C的ip-->mac对应关系。
:mwNkT2et 6. 防火墙失效了,入侵的ip变成合法的mac地址,可以telnet 了。
4]\f} T<!&6,N A 上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,在B和C处于不同网段的时候,上面的方法是不起作用的。
[c6I/U=- gQpF(P 不同网段的ARP欺骗
dWC[p -#yLH 不同网段的ARP欺骗
\Qp #utC0s x)'4u6;d YuO-a$BP 不同网段之间的ARP欺骗
JXR_klx g.CUo:c 如图3所示A、C位于同一网段而主机B位于另一网段,三台机器的ip地址和硬件地址如下:
_O!)aD A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA
KH4
5A'o B: ip地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB
7
S^iGe C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC
NL})_.Og 3U#z {% 在现在的情况下,位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机B和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内。
\/8 I6a= ]6wo]nV[P 现在就涉及到另外一种欺骗方式―ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。
eQBR*@x ?t LJe 什么是ICMP重定向呢?
XY(3!>/eQ[ 5w: ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文达到欺骗的目的。
yGN@Hd:9 Y6(I
%hE` 下面是结合ARP欺骗和ICMP重定向进行攻击的步骤:
X2
{n&K 1. 为了使自己发出的非法ip包能在网络上能够存活长久一点,开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255. (ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)
7%aaqQ1T 2. 下载一个可以自由制作各种包的工具(例如hping2)
5<-_"/_ 3. 然后和上面一样,寻找主机C的漏洞按照这个漏洞当掉主机C。
]ZkhQ% 4. 在该网络的主机找不到原来的192.0.0.3后,将更新自己的ARP对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。
j~+<~2%c 5. 好了,现在每台主机都知道了,一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。
4 z~ fn9g 6. 自己定制一个ICMP重定向包告诉网络中的主机:"到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由。"
INQ0h `T 7. 主机A接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通讯都丢给路由器。
>Le L%$ 8. 入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口。
_c}@Fi+E FU-YI" 其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变的非常困难。
; aA,H& ,Lt+*!;m TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制:
-i``yf?P 1. 新路由必须是直达的
oObm5e*Z 2. 重定向包必须来自去往目标的当前路由
x,W)qv 3. 重定向包不能通知主机用自己做路由
uus}NZ:*l 4. 被改变的路由必须是一条间接路由
L,Jl#
S /I2RU2|B 由于有这些限制,所以ICMP欺骗实际上很难实现。但是我们也可以主动的根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性,我们就可以采取相应的防御办法。
~.4-\M6[ esCm`?qCP (<?6X9F:N V=";vRS8 什么是网络钓鱼?*
Y)@mL~){ I>k>^ Phishing即网络钓鱼。“Phishing”与“Fishing”发音相同,是常见的网络诈欺行为。通常利用电子邮件引诱用户到伪装网站,以套取用户的个人资料如信用卡号码。
^WDAW#f*< “Phishing”该词嫁接了fishing和phone,该词起源于1996年左右,黑客起初利用电子邮件作为诱饵,盗用美国在线的帐号和密码,后来鉴于最早的黑客是用电话线作案,所以黑客们常常用Ph来取代f,就形成了今天的Phishing一词。
)+]8T6~
N 五种“网络钓鱼”实例解析及防范技巧
q$vATT cP[3p: 目前,网上一些利用“网络钓鱼”手法,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行、网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多。
*2O4 *Q1 F.P4c:GD “网络钓鱼”的主要手法
4_3O?IY /]=dPb% 一、是发送电子邮件,以虚假信息引诱用户中圈套
t7 |uZHKK iV X 12 诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
,#G>& 6< x0e;> 如今年2月份发现的一种骗取美邦银行(Smith Barney)用户的帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口(如下图红色框)遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。
2UYtFWB9o +QcgLq 当用户点击链接时,实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面,而用户一旦输入了自己的帐号密码,这些信息就会被黑客窃取。
w,L P M+ sjOyg!e 二、是建立假冒网上银行、网上证券网站,骗取用户帐号密码实施盗窃
:+;AXnDM~ l?CUd7P(a 犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。
C`F*00M{ fuM+{1}/E 如曾出现过的某假冒银行网站,网址为
http://www.1cbc.com.cn,而真正银行网站是
http://www.icbc.com.cn,犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。
MS{purD FC.d]XA%/d 又如2004年7月发现的某假公司网站(网址为
http://www.1enovo.com),而真正网站为
http://www.lenovo.com,诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息,引诱用户访问。
` aTkIo:ms YxH"*)N 一旦访问该网站,首先生成一个弹出窗口,上面显示“免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时,恶意网站主页面在后台即通过多种IE漏洞下载病毒程序lenovo.exe(TrojanDownloader.Rlay),并在2秒钟后自动转向到真正网站主页,用户在毫无觉察中就感染了病毒。
Kp")
%p# >Lo 0,b$ 病毒程序执行后,将下载该网站上的另一个病毒程序bbs5.exe,用来窃取用户的传奇帐号、密码和游戏装备。当用户通过QQ聊天时,还会自动发送包含恶意网址的消息。
8>.l4:` jg8j>"Vj> 三、是利用虚假的电子商务进行诈骗
0RY{y n3 JZ6{W 此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年,罪犯佘某建立“奇特器材网”网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户,然后转移钱款的案件。
a/!!Y@7 VO ^[7Y 除少数不法分子自己建立电子商务网站外,大部分人采用在知名电子商务网站上,如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品,或以次充好,以走私货充行货,很多人在低价的诱惑下上当受骗。网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,得到钱款或被识破时,就立即切断与消费者的联系。
~YO-GX( =|IB= 四、是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动
g+8j$w} ]=v_u9; 木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
m x@F^ y=y=W5#;77 如去年网上出现的盗取某银行个人网上银行帐号和密码的木马Troj_HidWebmon及其变种,它甚至可以盗取用户数字证书。又如去年出现的木马“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。
FoM4QO *ayn<Vlh`^ 又如2004年3月陈某盗窃银行储户资金一案,陈通过其个人网页向访问者的计算机种植木马,进而窃取访问者的银行帐户和密码,再通过电子银行转帐实施盗窃行为。
mQt';|X@ %1ofu,% 再以某市新华书店网站(
http://www.**xhsd.com)被植入“QQ大盗”木马病毒(Trojan/PSW.QQRobber.14.b)为例。当进入该网站后,页面显示并无可疑之处,但主页代码却在后台以隐藏方式打开另一个恶意网页
http://www.dfxhsd.com/icyfox.htm(Exploit.MhtRedir),后者利用IE浏览器的MHT文件下载执行漏洞,在用户不知情中下载恶意CHM文件
http://www.dfxhsd.com/icyfox.js并运行内嵌其中的木马程序(Trojan/PSW.QQRobber.14.b)。木马程序运行后,将把自身复制到系统文件夹;同时添加注册表项,在Windows启动时,木马得以自动运行,并将盗取用户QQ帐号、密码甚至身份信息。
h4CDZ r(` ;CY]@ 五、是利用用户弱口令等漏洞破解、猜测用户帐号和密码。
(p<QRb:&Z '| Enc"U 不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解弱口令,并屡屡得手。
c)8V^7=Q &0*l=!:G^ 实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、msn进行各种各样的“网络钓鱼”不法活动。