hijack技术

会话劫持的什么是会话劫持

劫机（Hijack），即以武器或威胁等暴力手段胁迫飞行中的飞机驾驶员飞往他们要去的某一地点，为达到目的，多同时劫持乘客作人质。另外“Hijack”一词泛指对船舶、汽车等交通工具的占领劫持。劫机的目的有政治流亡、恐怖活动等目的意识明确的劫机行为，也有对交通工具自身有异常的兴趣，精神错乱等引起的劫机行为。

劫机在所有的航空犯罪中是最常用, 最主要的一种手段和方法。用高科技装备的现代化航空运输工具为人类提供了最迅捷的交通工具，随着大型宽体客机向高速度发展，其属性中的天然弱点暴露出来，劫机者只要以暴力或暴力威胁挟持飞机中的工作人员，便很容易控制飞行中的客机。加之，航空活动的国际性，承载旅客的国际性，载客量越来越多，也容易为恐怖分子所利用。劫持民航客机在不同的国家和不同的历史时期呈现出不同的特点。 根据对中外劫机案例的大量分析，国际上劫持飞机在不同的历史阶段体现出不同的特点，每个历史阶段的劫持飞机都与这个阶段的国际关系、民航安全防范技术的进步等因素密切相关。

什么是中间人攻击？

例如你Telnet到某台主机，这就是一次Telnet会话；你浏览某个网站，这就是一次HTTP会话。而会话劫持（Session Hijack），就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。

我们可以把会话劫持攻击分为两种类型：

1）中间人攻击(Man In The Middle，简称MITM)，

2）注射式攻击（Injection）；

并且，还可以把会话劫持攻击分为两种形式：

1）被动劫持，

2）主动劫持；

被动劫持实际上就是在后台监视双方会话的数据流，从中获得敏感数据；而主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的Shadow文件）。

什么病毒能禁止杀毒软件和网页打开

中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。通常，这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”（SessionHijack）。

黑客到底是什么很好奇

AV终结者”即”帕虫”是一系列反击杀毒软件，破坏系统安全模式、植入木马下载器的病毒，它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(Anti-Virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是，用户即使重装操作系统也无法解决问题：格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁，安全性几乎为零。它还自动连接到某网站，下载数百种木马病毒及各类盗号木马、广告木马、风险程序，在用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。

AV终结者最彻底解决方案 。

病毒名称：AV终结者

传播方式：内存，windows漏洞 。

破坏方式：进程插入

生成病毒文件名：随机8位字符 。

自我保护：应用程序绑架

病毒目的：从网络上下载大量木马 。

危害等级：★★★★★

近日网络上出现了一种破坏力及强的病毒“AV终结者”，不到一个月时间，变种就已达到数百个之多，波及人群超过十几万人，这个病毒非常变态，一旦感染就很难清楚。

“AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒，它是通过闪存等存储介质或者注入服务器来实现的。

一、什么是“AV终结者”

“AV终结者”病毒运行后会在系统中生成如下几个文件：C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dll、C:\windows\随机生成病毒名.chm 。

“AV终结者”的病毒名是由大写字母+数字随机组合而成，其长度为8位，可以说生成同名病毒的概率是很低的。因此即使我们知道了这是病毒生成的文件，也别指望通过病毒名在网络上找到病毒的清楚方法。

“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件，当用户双击盘符时就会激活病毒，即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法，不少用户也懂得删除病毒生成的anuorun.inf文件，但是当我们进入“文件夹选项里”，想显示隐藏文件时，可以发现这里已经被病毒给禁用了。

针对杀毒软件的攻击，是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时，病毒就会乘胜追击，通过一种“映象劫持”技术将杀毒软件彻底打入死牢。

“映象劫持”会在注册表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后，病毒还会在里面建立一个Debugger键，键值为“c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时，运行的其实是病毒程序。

为了避免在“任务管理器”中露出破绽，病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中，这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作，例如你想手动清楚病毒，修改注册表，病毒没隔一段时间就会把注册表改回去，让你百费劲。另一个作用是监视IE窗口，发现用户搜索病毒资料时，立即关闭网页。

此外，病毒还会破坏windows防火墙和安全模式，封堵用户的后路。最重要的是，病毒会从网络上下载大量盗号木马，盗取用户的游戏帐户信息，这也是它的真正目的。

二、彻底清楚“AV终结者”

1、运行“任务管理器”，结束“explorer.exe”进程，单击“任务管理器的”文件菜单，选择“新建任务”，输入“regedit”，找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,将Checkedvalue的的键值改为“1”。

2、在“regedit”中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options，将以杀毒软件和安全工具命名的项删除。

3、在“资源管理器”中单击“工具”——“文件夹选项”，切换到“查看”，取消“隐藏受保护的操作系统文件”前面的勾，然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒文件。删除其他分区中的病毒，注意不要双击进入盘符，而要用右键点击进入。

三、预防“AV终结者”

首先，要禁止自动播放功能，并能及时更新系统补丁，尤其是MS06-014和MS07-017这两个补丁。

其次，要限制IFEO的读写权，达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下：开始——运行，输入regedit32，找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options，右击此选项，在弹出的菜单中选择“权限”，然后把administrors用户组和users用户组的权限全部取消即可。最后，要限制 SAFEBOOT的读写权，达到限制“AV终极者”修改或删除Drives，保护安全模式正常运行的目的。操作方法如下：同样是在32位注册表里找到 HKEY-LOCAL-MACHINE\SYSTEM\contorlset001\control\safeboot\network\{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\，将administors用户组和users用户组的权限全部取消即可。

[编辑本段]传播途径

“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播，建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全，不要在可疑电脑上使用U盘，以免自己的电脑受到传染。

[编辑本段]病毒特征

这种病毒主要特征有：禁用所有杀毒软件以及相关安全工具，让用户电脑失去安全保障；致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入‘病毒’相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法。

[编辑本段]病毒现象

·1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。

·2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

·3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

·4. 禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。

·5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。

·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

·9.病毒运行后，鼠标右击菜单以及下拉菜单选项，会在1到两秒钟时间后，自动选择最后一个选项，不过可以使用快捷方式组合。

[编辑本段]防范措施

对于病毒而言，良好的防范措施，好过中毒之后再绞尽脑汁去寻找查杀方法，而且一旦感染该病毒，清除过程相当复杂，因此，在采访中，金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施：

1.保管好自己的U盘，MP3、移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。

2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。

3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。

4.安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。

5.关闭windows的自动播放功能。

[编辑本段]病毒解决方案

方法一：

因为这个病毒会攻击杀毒软件，已经中毒的电脑杀毒软件没法正常启动，双击没反应，因而这时无法用杀毒软件来清除;利用手动解决也相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。推荐的清除步骤如下：

1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。

2. 在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件：

把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。

3. 执行AV终结者专杀工具，清除已知的病毒，修复被破坏的系统配置。

（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。）

4. 不要立即重启电脑，然后启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。

方法二：

去黑联盟或黑客动画吧，下载一个AV生成器，运行后（注意别单击生成），选“卸载本地服务端”。

[编辑本段]手动清除办法

1.到网上下载IceSword工具，并将该工具改名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。

2.利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。

3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。

4.利用IceSword的注册表管理功能，展开注册表项到：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，删除里面的IFEO劫持项。

当完成以上操作之后，就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。（手动清除办法由江民反病毒专家提供。

有谁知道百度中的搜索是根据什么原理做的?急急急.........

1.黑客是高技术的结晶！黑客是一门艺术，他们不仅会运用一门技术，更会利用这门技术！他们能正着用技术，还会反着用。

2.黑客不是职业，也不是专业，更不是一类群体。多数黑客是兼职的，代表着一种精神，一种对技术的深度追求！黑客都是高级技术人员，他们在工作之余，对技术的玩弄！

3.黑客的意义是对技术的全面应用，自由的追求，当然结果有好事也有坏事，但初衷都是一样的。

黑客烦透了windows的高价，于是windows盗版横行。

黑客不喜欢资源独享，于是总有服务器被攻击，所谓的DVD加密也屡次被破。

黑客不喜欢垄断，于是MPEG4标准才会被大规模应用，linux也颇受欢迎。

4.多数黑客还是用linux的，黑客用什么都要对其进行技术上的透彻理解，linux显然更优于windows。c语言编译多数用大名鼎鼎的GCC。

最后说一下掌握的技术吧

1.熟练掌握 C语言，汇编语言 。

基本上黑客新手都要学到disassemble（反汇编），就是通过一个程序运行的汇编套路来分析其源代码。并用c语言进行测试。汇编要掌握到（stack，protected mode，data segment，ESP，EBP...）,C语言（bit-field, stdcall...）

2.计算机原理

分析程序数据没有十进制，只有2进制和16进制（就是0101 0010或0xFF...），要懂得基本运算。还有big/little-endian等基本术语，会用WinHex/UltraEdit或VS的dempbin分析程序。

3.网络：TCP/IP（TCP，UDP，ICMP，DNS，IP等许多协议），会截取数据包，还有分析frame，结合telnet/ftp/c语言的socket等命令进行网络打劫！这部分最难最枯燥，建议看understanding TCP/IP这本书 。

4.系统的认知！了解Windows内部API，sockets编程，IP proxy（IPv6最好也学），真正的黑客是几乎漏不出马脚的！

这些就是基础，然后熟练掌握各种操作流程，可以强行进行telnet，或进行TCP hijack，或夺取远程sid等。。。还有很多要学，根本数不完。

推荐你看一下几本书（我看过许多书，走过弯路，这是整理后的最优选择）

1.Assembly language step-by-step 。

掌握汇编语言，和CPU运行机制，内存模式等 。

2.the C programming language 。

C语言的灵魂制作

3.（C++可以了解一下）C++ from ground up或C++ premier 。

C++在底层其实代替不了C

4.Understanding TCP/IP 。

TCP/IP网络的精髓，最黑客的前提！

这些都是技术，接下来再看专门的黑客辅导书 。

1.No Scrach.Hacking the art of exploiting 。

太经典了，C+汇编+TCP/IP 叫你很多黑客方法 。

2.Hacking assembly 。

详解程序反汇编，跟汇编关系很大，

3.Hacking Exposed 。

一些黑客实例，巩固一下实力。

原文地址：http://www.qianchusai.com/hijack%E6%8A%80%E6%9C%AF.html