防黑高手-网络游戏的安全

由 0晋身 200%防黑高手 张晓兵 陈 鹏 谢 巍 彭爱华 张忠将 齐文普 编 著 内蒙古科学技术出版社 193 第 7 章 网络游戏的安全 网络游戏的安全 7第 章 《 电 脑 爱 好 者 》 194 加强网络游戏的安全已经迫在眉睫，这不仅关系到游戏本身的发展，更重要的是还关系到中国游戏业 的发展，必须还给玩家一个纯洁健康的游戏环境。对于时常出现的虚拟物品的丢失，由于现在对虚拟物品的 保护法律还不健全，玩家没有地方可以申述，最终的受害者必定还是玩家。 7.1 概述 网络游戏，作为游戏与网络有机结合的产物，把玩家带入了新的娱乐领域。网络游戏在中国开始发展 至今也仅有三四年的历史，与已经拥有几十年开发历史的单机游戏相比，网络游戏还是非常年轻的。当然， 它的形成也是根据历史变化而产生的，可以说没有互联网的兴起，也就没有网络游戏的诞生。 新的时代新的发展，催生新人类与新职业的诞生。网络游戏带给了我们欢乐和精神安慰。现在， 越来越多的人将网络游戏作为一种娱乐消遣。在网络的世界里任何人都有着平等的开始，没有谁有着 先天的优势条件，只有努力才会换来成果。逐渐的，网络游戏也开始变成一种社会娱乐活动，形成一种 新的娱乐方式，使世界变得丰富多彩。现实生活中总是存在各种偏差及不公平，1+1有时并不是等于 2那么简单，努力付出，也许得到不会是相应的回报，相比于单纯的网络游戏中，只要付出努力就会 有高人一筹的等级，和令人羡慕的顶级装备，有些人开始无法自拔，沉溺于这个虚幻世界里在网络的 世界里装备与等级是一种 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，一种受人尊敬的标准，于是有人开始用金钱来改造他在网络世界中的 人生，金钱的魔力使得一个虚幻的世界开始真实，使得游戏中的虚拟物品越来越起眼，多少人都想尽 办法想占为己有，少数人甚至进入官方数据库修改，但是更为普遍的就是利用恶意代码、木马、病毒 等黑客程序偷盗他人物品。 7.2 常见外挂威胁和防范 7.2.1 常见外挂原理 要了解外挂的威胁。首先我们来看看通常几种外挂的原理。外挂通常分为以下几种： 1. 类似按键精灵的东西，这类东西严格来说不算外挂，也根本无法防范，而它的功能也比较弱，一 般来说危害性不大。 2. 利用游戏漏洞进行修改游戏数据的程序，这类程序更像是黑客所为，功能强大但有局限性，一旦被 发现，也能很快的进行补救。而有这种技术的人也比较少。 3. 基于封包技术的自动挂机外挂或修改封包的程序。这类外挂正是当今横行于世的主要外挂品种，事实上， 多数这种外挂的技术含量并不高，一个有着高中知识的学生用一套专业的工具便可以很快的掌握这种技术，从 技术上来说反这种外挂是很困难的。 下面让我们来看一下网络游戏的工作原理如图7-2-1。由服务器记录保存所有用户资料，所有信息的 修改都是服务器完成的；服务器接受客户机的请求发送必要的信息给客户机，以使玩家正常游戏 ；服务器 接收客户机的信息反馈，并根据反馈信息，对游戏账号作相应修改。 195 第 7 章 网络游戏的安全 图 7-2-1 网络游戏工作原理 我们可以看出，网络游戏可以认为是这样工作的 ： 由客户机电脑操作服务器电脑，对游戏账号信息进 行修改。要操纵本地的电脑是很容易的，因此，要显示所有已经从服务器得到的信息是完全可能的，这就可 以做到以下功能： 1.自动加血是没有问题的，因为血的多少也已经发到本地电脑，完全可以用外挂检测到，并在必要时加 血，加血本身只是一个鼠标动作，完全可以交给外挂去做。类似的，自动加魔法、自动加气、自动回城、自 动打怪、自动采矿卖钱，然后再自动回去采、自动练级等都可以作到。 2.卖东西的过程很经典 ：你卖东西时，实际就是告诉服务器电脑，你已经将一个东西卖了，真实过程 是 ：你向服务器发送了一个具体物品的封包，如果这个封包正确，服务器就向你的游戏账号加一定数量的 钱，然后再反馈给你一些信息，假如封包不正确，自然就卖不到钱，因此，我们可以利用外挂不断向服务器 发送封包，只要正确，那么服务器就认为我们再卖东西，即使我们什么都没有卖，服务器也不断给我们钱， 这就是所谓的“刷钱”。如果封包没有加密，那么这个功能是非常容易实现的，如果封包加密，其实同样可 以做到，只是要解密而已，稍微复杂些而已。类似的，就可以实现买东西用假钱(不用钱)。其他例如攻击、 防御增加等动作，原理也都是类似的。 3.游戏加速的实现 ：目前除了修改游戏封包来实现修改游戏，我们还可以尝试修改客户端的有关程序 来达到我们的要求。我们知道目前各个服务器的运算能力是有限的，特别在游戏中，游戏服务器要计算游戏 中所有玩家的状况几乎是不可能的，所以有一些运算还是要依靠我们客户端来完成，这样又给了我们修改游 戏提供了一些便利。比如我们可以通过将客户端程序脱壳来发现一些程序的判断分支，通过跟踪调试我们可 以把一些对我们不利的判断去掉，以此来满足我们修改游戏的需求。最典型的应用就是加速齿轮。因为攻击 速度是由你本机来计算的，所以一旦你本机的“时间”走快了，那么你一秒钟攻击一百次以上都有可能。各 种网络游戏里都有过这种东西，例如石器和MU。 现在的网络游戏多是基于Internet上客户／服务器模式，服务端程序运行在游戏服务器上，游戏的设 计者在其中创造一个庞大的游戏空间，各地的玩家可以通过运行客户端程序同时登录到游戏中。简单地 说，网络游戏实际上就是由游戏开发商提供一个游戏环境，而玩家们就是在这个环境中相对自由和开放地 进行游戏操作。那么既然在网络游戏中有了服务器这个概念，我们以前传统的修改游戏 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 就显得无能为力 了。记得我们在单机版的游戏中，随心所欲地通过内存搜索来修改角色的各种属性，这在网络游戏中就没有 任何用处了。因为我们在网络游戏中所扮演角色的各种属性及各种重要资料都存放在服务器上，在我们自己 机器上(客户端)只是显示角色的状态，所以通过修改客户端内存里有关角色的各种属性是不切实际的。那么 是否我们就没有办法在网络游戏中达到我们修改的目的？回答是“否”。我们知道Internet客户/服务器模式 的通讯一般采用TCP/IP通信 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，数据交换是通过IP数据包的传输来实现的，一般来说我们客户端向服务 《 电 脑 爱 好 者 》 196 器发出某些请求，比如移动、战斗等指令都是通过封包的形式和服务器交换数据。那么我们把本地发出消息 称为SEND，意思就是发送数据，服务器收到我们SEND的消息后，会按照既定的程序把有关的信息反馈给 客户端，比如移动的坐标、战斗的类型。那么我们把客户端收到服务器发来的有关消息称为RECV。知道了 这个道理，接下来我们要做的工作就是分析客户端和服务器之间往来的数据(也就是封包)，以便提取对我们 有用的数据进行修改，然后模拟服务器发给客户端，或者模拟客户端发送给服务器，这样就可以实现我们修 改游戏的目的了。 7.2.2 游戏厂商的反外挂 从网络游戏存在起，外挂就开始随之滋生蔓延，好像计算机与病毒、软件与盗版一样，成为了无法分 开的孪生兄弟，只是一个代表善、一个代表恶。而这个现象在中国的环境中尤其突出，让所有业内人士反 思。外挂的问题给运营厂商带来的影响都是深远的，要处理好外挂的问题应从下面几个方面着手： 一、从技术核心防止外挂 毕竟游戏软件都是人写出来的，难免存在一些漏洞，但是在 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 之初就多考虑程序的严密性，并且 在发现问题后做到“快速反映，及时解决”，不断的修正和改进程序的存在漏洞，不断提高技术核心防 黑、防破译的能力，这些是比较有效防止破坏力大的外挂产生的手段。 现在的游戏最常用的反外挂手段就是封包加密。有一类网络游戏会留有一道后门或者暗语，平时玩游 戏的时候根本不会有反应，也就是说根本不会有含有暗语的封包发出，外挂制作者当然很难截获这个暗语。 所以当服务器端和你对暗号的时候，外挂就会“无动于衷”。所以代理商就会说，我们的系统检测到你使用 外挂，“封”你没商量。你要证据？一般来说是不会给你的，这是商业机密。 二、引导玩家用公正的心态游戏 其实目前国内运营代理的游戏大多都是先在国外成功运营过的游戏，那么为什么到了国内就会饱受外 挂骚扰呢？难道国外就没有外挂？我个人认为其实和国内游戏最初的环境没有受到很好的健康引导有一定的 关系。因此在游戏运营之初就建立好运营厂商的公正形象就非常必要，只有厂商首先保持公正并且致力倡导 玩家公平游戏，才有可能减少外挂的使用率和蔓延范围。另外，作外挂的人都想赚钱，这是他们的动力，只 要相应的法规出来，基本上可以完全杜绝市场上那些销售的外挂，这样作外挂的赚不到钱也就没有动力去， 最多也就自己用用。 三、用法律武器打击外挂的制作 其实大部分玩家使用外挂都是因为先有极其少数的人使用了外挂破坏了游戏世界的公平，因此外挂的 罪魁祸首其实是制作者，如果能从源头进行遏制，就会比较有效地控制住外挂。在打击外挂上我们是积极响 应的，日前已经向国家新闻出版总署申报了一些关于外挂使用的调查数据。 197 第 7 章 网络游戏的安全 7.3 常见的盗号威胁 网络游戏世界里，一件极品装备不知要花费玩家多少金钱、心血和不眠之夜，因此，玩家最为担心的 事情，莫过于自己的虚拟人物身份被冒用，以及虚拟物品在游戏世界中被盗窃。怎么能做到有效防盗呢？ 7.3.1 人为骗取的威胁与防范 冒充GM 骗子行为：多数行骗者都会冒充官方的发奖人员，一般会向玩家索取装备等，以及玩家的账号和注 册资料。 1. 取个和你丈夫（或妻子、朋友）相似的名字上线“密”你，如你叫“黑豹”，他就取名叫 “黑豹 ”（在名字后面加个空格），一不留神还真会认错，然后问你密码是不是改了啊，现在的密码 是多少。切记，凡是有人问你密码都要万分警惕，确认再确认，不确定的一概不告诉，确定的通过电话告诉。 2. 冒充不成或者会假称是你朋友的弟弟，说有贵重物品像什么魔杖啊，红宝石戒指啊等，要存放在 你的仓库，或者说今天晚上能复制物品，要你留下账户密码，晚上复制好了直接帮你存仓库。只要不贪 心一般不会上当。 3. 挂机喊游戏厂商为感谢广大用户，开放极品复制、交易功能，要你上网站看，如果你真去了， 就是要你填些表单，当然是要你输入密码确认的。试想如果有这种好事他何必告诉你。 7.3.2 游戏木马威胁和防范 一般的游戏木马的原理如下：盗号木马首先知道你想记录游戏的登录窗口名称，判断登录窗口是否 出现，如果登录窗口出现，就记录键盘。当窗口关闭时，把记录信息，通过邮件发送到程序设计者的 邮箱。 下面我总结“传奇”通用木马盗号程序的防范方法：由于木马运行后都会在系统中留下进程，也 会随电脑自动运行，而这时 在MS98里的系统进程和随 机自动运行的进程都一目了 然了，所以也就很好查杀了。 找出可疑的进程，终止进程 就可以了。如图7-3-1所示， “3721上网助手”对传奇黑 眼睛的进程诊断。 下面把常见的木马的进程列在下面： 图 7-3-1 木马威胁进程诊断 《 电 脑 爱 好 者 》 198 传奇黑眼睛 ： c:\windows\ sssmm.exe，自动运行进程:sssmm.exe 传奇叛逆： c:\windows\system\internet.exe，自动运行进程:Intel 传奇终结者： c:\windows\scanrew.exe，自动运行进程:scanrew 传奇密码使者： c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe,自动运行进程:Microsoft 传奇猎手： c:\windows\system\winsys.exe，自动运行进程:winsys 传奇幽灵： c:\windows\internet.exe，自动运行进程:internet 传奇天使： c:\windows\kiss.exe，自动运行进程:kiss 7.3.3 病毒威胁和防范 网络游戏可谓是一枝独秀，人气旺盛。网络游戏已经成为很多人另外一个生活的世界，网络游戏中 的很多装备甚至级别高的账号本身也成为了玩家的财产，在现实世界中用现金来进行交易。于是，在这样的 诱惑下，病毒也开始瞄上了网络游戏。下面就介绍几个病毒入侵网络游戏的实例。 “边峰”网游病毒 “边峰”网游病毒：能窃取边锋游戏用户资料的木马，该木马感染后会让用户资料外泄，而且能 远程控制用户机器。“金山”提醒喜爱玩游戏的玩家一定要提高警惕，以下是该病毒的资料： 病毒名称：Trojan.Benfgame.214310 病毒类型：木马程序 病毒长度：214310字节 危害级别：中 传播速度：慢 病毒感染过程： 1.释放出两个文件。其中一个为真正的病毒体，病毒会复制它的两个拷贝到Windows目录，命名为 MSCVT2.exe和MSBFLET2.exe，复制另两个拷贝到系统目录(通常为windowssystem)，命名为 MSBFSET2.exe和MSBFRUN2.exe。另一个文件是winsock控件，名字为Mswinsck.ocx，病毒会将 其复制到Windows安装目录及系统目录中各一份，并注册系统目录下的那个控件。 2.修改注册表HKLMSoftwareMicrosoftWindowsCurrentVersionRun，并设置键值MSBenCheck="C: WINDOWSSYSTEMMSBFRUN2.EXE"，使后门程序MSBFRUN2.EXE开机自动运行。 3.修改注册表 exefileshellopencommand，HKCRtxtfileshellopencommand，设置其键值为 "C: WINDOWSSYSTEMMSBFSET2.EXE %1"；修改注册表 HKEY_CURRENT_USERscrfileshellopencommand， HKEY_CURRENT_USERchm.fileshellopencommand，设置其键值为"C:WINDOWSMSBFLET2.EXE %1"。 这样当用户执行exe文件，scr文件及打开txt、chm文件时就会使后门程序获得运行机会。 199 第 7 章 网络游戏的安全 4.修改win.ini文件，并在[windows]一栏中添加一项“run=C:WINDOWSMSCVT2.EXE”，这样当用户 开机时，后门程序MSCVT2.EXE也会自动运行。 5.此病毒还会修改注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftOLEEnableDCOM， HKEY_LOCAL_MACHINESOFTWAREMicrosoftOLEEnableRemoteLaunch，HKEY_LOCAL_MACHINESOFT WAREMicrosoftOLEEnableRemoteConnect的值，使用户的机器可被远程共享和远程操作。 6.此病毒还会在注册表HKEY_LOCAL_MACHINESoftwareMicrosoft下建立一个新键bianfeng297，并 在其下设置如下子键：mima_wenjian="zt4="，fasong_youxiang="aGFpYm9yMUAxNjMuY29t"， yonghu_ming="aGFpYm9yMQ=="，youxiang_mima="MTExMTEx"，fasong_zhuti="sd+35tPOz7fTw7unw/ u6zcPcwuujoQ=="，smtp_biaozhi="ysc="，fuwuqi="c210cC4xNjMuY29t"。 7.病毒一旦运行后，会首先检查释放出来的文件和注册表中的相关值是否已被删除，如已被删除，病毒 会立刻复制自己为一个新的拷贝并重新生成被删除的文件和恢复注册表中被删除的项。由于开机自动运行和 文件关联的病毒程序不止一个，所以即使用户删除其中一个，病毒还会立即生成新的拷贝。 8.病毒释放出来的程序中含有错误，因此当用户执行被病毒关联的文件时可能会弹出错误对话框。 清除方法： 1.先打开注册表编辑器。 2.编辑注册表，恢复注册表中被病毒程序修改的文件关联，并记住被修改的默认关联（病毒程序的名 字）。如exe文件的默认关联为"%1" %*，chm文件的默认关联为hh "%1"，txt文件的默认关联为Notepad %1，scr文件的默认关联为"%1" /S。 3.然后打开进程管理器，用进程管理器关掉正在运行的病毒程序（被修改的默认关联病毒程序和 MSCVT2.EXE）。 4.编辑注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，找到 键值MSBenCheck，并将其删除。 5.删除掉病毒生成的文件，但不要删除系统目录下的那个控件Mswinsck.ocx。 6.修改Windows目录下的win.ini文件，删除[windows]栏中“run=C:\WINDOWS\MSCVT2.EXE”。 7.3.4 网络漏洞利用 一、利用操作系统漏洞 黑客通常会利用操作系统的网络漏洞，使Windows用户的安全受到威胁，尤其是Windows 2000用 户，如果被黑客扫描到并侵入电脑，电脑就完全泄密了，账号岌岌可危。入侵过程如下：通过扫描， 收集到本地网吧 10.3.7.21用户存在安全问题，用户名：administrator，密码为空。 Step1：下载“传奇黑眼睛”木马，解压并配置输 入接受密码的邮箱，如图7-3-2、7-3-３所示。 图 7-3-2 配置传奇黑眼睛服务端 《 电 脑 爱 好 者 》 200 图 7-3-3 生成的服务端文件 Step2：使用net use 命令与远程主机B（10.3.7.43） 建立连接，其中用户名为administrator，密码为空，如图7-3-4所示。 图 7-3-4 用 net use 命令与 10.3.7.21建立连接 图 7-3-5 将木马文件复制到 10.3.7.30 图 7-3-6 查看 10.3.7.30的时间 图 7-3-7 at命令启动 chuanqi.exe文件 Step3：通过网络把木马程序chuanqi.exe复制到10.3.7.30的共享文档电影里面，如图7-3-5所示。 Step4：用net time命令查看10.3.7.30的时间，并且用at命令并启动木马程序，如图7-3-6所示。 201 第 7 章 网络游戏的安全 程序就这样在主机10.3.7.30上启动了，只要有玩家在10.3.7.30上登录传奇游戏，刚才配置的邮箱就 能收到起相关账号信息。 防范方法： 对于本实例的防范方法我们可以通过NT注册表增强系统的安全性，从而增强在操作系统上运行网络 游戏的安全。 对于Windows NT来说，通常139端口是开放的。黑客可以利用NETBIOS的漏洞和NT进行连接： net use \\190.1.1.1\ipc$ “” /user: “”，这样，黑客就具有了 everyone组成员的权限，在Win- dows NT中，目录的默认权限就是everyone完全控制，这是十分危险的。那么，如何来禁止这种连接呢？ Step1:打开注册表，选中HKEY_LOCAL_MACHINE项，打开System\CurrentControlSet\Control\LSA 键 ● 缺内容。 Step2：单击“确定”，退出注册表编辑器，重启计算机。 Step3：Windows NT是使用SMB协议来进行资源访问的，在进行连接的时候服务器和客户端协商使 用何种认证方式，默认情况下将采取客户端的 SMB版本，这是十分不安全的，必须改变。同样选中 HKEY_LOCAL_MACHINE项，打开System\CurrentControlSet\Control\LSA键，在LSA的右栏中，如果没 有就添加一个名为“Imcompatibilitylevel”，类型为REG_DWORD的键值，将其值赋为1。这样在服务器和 客户端进行连接时，将采用服务器端的SMB版本。 Step4：我们还要设置SMB数据包的签名以防止伪造的数据包在网络中传输。打开注册表，选取 HKEY_LOCAL_MACHINE中的System\CurrentControlSet\Serices\LanManServer\Parameters项，如果没 有就添加一个名为“requiresecuritysignature”，类型为REG_DWORD的键值，将其值赋为 1。单击 “确定”，退出注册表编辑器。重新启动计算机使改动生效。 关于注册表的设置，还有很多应该注意的地方，很多潜在的威胁都可以通过修改注册表来防范。 7.3.5 Web欺骗威胁与防范 一、Web欺骗原理 Web欺骗允许攻击者创造整个WWW世界的影像拷贝。影像Web的入口进入到攻击者的Web服务器， 经过攻击者机器的过滤作用，允许攻击者监控受攻击者的任何活动，包括账户和口令。攻击者也能以被 图 7-3-8 修改注册表禁止空连接 《 电 脑 爱 好 者 》 202 攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器，以及以任何Web服务器的名义发送数 据给受攻击者。简而言之，攻击者观察和控制着被攻击者在Web上做的每一件事。 真正实现Web欺骗，用户浏览器和真正的服务器之间的数据交换并非是直接的，会被攻击者的服务 器截获并处理。利用中间服务器进行行骗，就像罪犯驾驶着盗窃来的警车去“执行公务”，因此相当隐 蔽。对于被攻击用户，几乎是毫无察觉的，因为他们仍然可以自由登录、链接到该网站的所有页面。 对于攻击者而言，在偷偷监视截取信息的同时，也能以受攻击者的名义发送数据到真正的Web服务器， 包括以服务器的名义发送数据给受攻击者。 攻击者改写Web页中的所有URL地址，这样它们指向了攻击者的Web服务器而不是真正的Web服 务器。假设攻击者所处的Web服务器是http://www.hacker.com，攻击者通过在所有链接前增加http:// www.hacker.com来改写URL。例如，http://www.jxonline.net将变为http://www.hacker.com/http://www. jxonline.net。当用户点击改写过的http://www.jxonline.net（可能它仍然显示的是http://www.jxonline.net）， 将进入的是http://www.hacker.com，然后由http://www.hacker.com向http://www.jxonline.net发出请求并 获得真正的文档，然后改写文档中的所有链接，最后经过http://www.hacker.com返回给用户的浏览器。工 作流程如下所示： * 用户点击经过改写后的http://www.hacker.com/http://www.jxonline.net ； * http://www.hacker.com/向http://www.jxonline.net请求文档 ； * http://www.jxonline.net向http://www.hacker.com返回文档 ； * http://www.hacker.com/改写文档中的所有URL ； * http://www.hacker.com/向用户返回改写后的文档。 很显然，修改过的文档中的所有URL都指向了http://www.hacker.com/，当用户点击任何一个链接 都会直接进入http://www.hacker.com/，而不会直接进入真正的URL。如果用户由此依次进入其他网页， 那么将永远不会摆脱受攻击的可能。 大家通常登录官方网站对游戏进行充值，在充值的过程当中要涉及到游戏的账号、密码甚至二级密 码。下图是“剑侠情缘”账号充值的页面。 图7-3-9 攻击者可以通过欺骗得到浏览者的账号信息 203 第 7 章 网络游戏的安全 当受攻击者提交表单后，所提交的数据进入了攻击者的服务器。攻击者的服务器能够观察，甚至是修 改所提交的数据。同样地，在得到真正的服务器返回信息后，攻击者在将其向受攻击者返回以前也可以为所 欲为。这时候攻击者将得到用户的账号和二级密码，甚至用户充值卡号和密码。 如果受攻击者填写了一个错误Web上的表单，那么结果看来似乎会很正常，因为只要遵循标准的 Web协议，表单欺骗很自然地不会被察觉，表单的确定信息被编码到URL中，内容会以HTML形式来返 回。既然前面的URL都已经得到了改写，那么表单欺骗将是很自然的事情。 攻击者可以通过以下几种方法提高Web欺骗成功性。 * 把错误的Web链接放到一个热门Web站点上 ； * 如果受攻击者使用基于Web的邮件，那么可以将它指向错误的Web ； * 创建错误的Web索引，指示给搜索引擎。 二、攻击者对Web欺骗的完善 前面描述的攻击相当有效，但是它还不是十分完美的。黑客往往还要创造一个可信的环境，包括各 类图标、文字、链接等，提供给受攻击者各种各样的十分可信的暗示，总之就是隐藏一切尾巴。此时，如果 错误的Web是富有敌意的，那么无辜的用户将处于十分危险的境地。 1.状态线路 连接状态是位于浏览器底部的提示信息，它提示当前连接的各类信息。Web欺骗中涉及两类信息。首 先，当鼠标放置在Web链接上时，连接状态显示链接所指的URL地址，这样，受攻击者可能会注意到同样 的URL地址 ；第二，当Web连接成功时，连接状态将显示所连接的服务器名称。这样，受攻击者可以注 意到显示www.hacker.com，而非自己所希望的站点。 攻击者能够通过JavaScript编程来弥补这两项不足。由于JavaScript能够对连接状态进行写操作，而且 可以将JavaScript操作与特定事件绑定在一起，所以，攻击者完全可以将改写的URL状态恢复为改写前的状态。 2.位置状态行 浏览器的位置状态行显示当前所处的URL位置，用户也可以在其中键入新的URL地址进入到另外的 URL，如果不进行必要的更改，此时URL会暴露出改写后的URL。同样地，利用JavaScript可以隐藏 掉改写后的URL。JavaScript能用不真实的URL掩盖真实的URL，也能够接受用户的键盘输入，并将 之改写，进入不正确的 URL。 三、Web欺骗的防范 1.对于个人用户 (1)查看源文件 攻击者并不是不留丝毫痕迹，HTML源文件会使这种欺骗暴露无遗。通过点击鼠标右键或者在浏览器 中点击菜单“查看”→“源文件”，用户可以阅读当前的HTML源文件。可以发现当前页URL地址的信息并 同网页上的真实地址相对照，你能够发现被改写的URL，因此可以觉察到危险。 例如，你收到一封263邮局的HTML格式信件，查看源文件，根据前面的介绍，很容易发现是否 有伪造的痕迹。 因此，建议不要通过来历不明的Web站点登录安全站点，如通过某个个人站点登录263服务器。对 于搜索引擎或从其他场合得到的站点，应仔细识别，防止受骗。 (2)禁止浏览器中的JavaScript功能 各类攻击者的服务器，页面都包含大量的 JavaScript脚本以实现其不可告人的目的，此时可将 《 电 脑 爱 好 者 》 204 JavaScript功能禁止或者改为使用前提示。 方法是：在 IE浏览器中，点击菜单“工具”→“Internet选项”，切换到“安全”选项卡→“自 定义级别”，弹出“安全设置”框，在里面对 JavaScr ipt功能选择“禁止”。 (3)确保浏览器的连接提示状态可见，它会给你提供当前位置的各类信息。 (4)仔细观察你所点击的URL链接，一般会在状态栏中或地址栏中得到正确的显示。 2.对于服务器 个人用户对于服务器端是无能为力的，此处我仅给大家提供一些服务器端安全预防 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 ，希望会给 个人站点的管理者一些有益的提示。 Web服务器端安全预防措施 ：限制在Web服务器开账户，定期删除一些久不登录的用户；对在Web 服务器上开的账户，对注册用户口令长度做出要求并提示定期更改，防止被盗用造成隐患 ；尽量使Ftp、Mail 等服务器与Web服务器分开 ；定期查看服务器中的日志文件，分析一切可疑事件 ；设置好Web服务器上 系统文件的权限和属性 ；不要把Web服务器与FTP目录指在同一目录 ；必要时限制访问用户IP或DNS； 如果采用CGI程序，应放在独立于HTML存放目录之外的CGI-BIN下；在用C语言来编写CGI程序时尽量 少用popen()、system()和所有涉及/bin/sh的shell命令。 7.4 本地盗号威胁的防范 下面给大家介绍本地盗密码的原理，首先我们作个实验。 找一个简单的键盘记录器，它可以把所有键盘操作记录到 c:\claves.txt里。然后按照下列步骤进行： Step1：双击运行键盘记录软件，程序从后台运行，记录 相关键盘信息，如图7-4-1所示。 Step2：启动剑侠情缘游戏，输入用户名和密码，如 图 7-4-2所示。 图 7-4-1 运行键盘记录软件 图 7-4-2 输入账号和密码 205 第 7 章 网络游戏的安全 Step3：打开c:\claves.txt文件，我们可以看见 刚才所输入的账号和密码，如图7-4-3所示。 防范： 人工防范 ：一般盗号者都是使用木马程序来监控键盘的动作，但只要在输入用户名和密码时不要按顺 序输入，例如密码是123456，可以先输入456，再输入123，这时木马程序所得到的密码就是456123，尽量 在位置转换时使用鼠标而不要使用键盘，因为鼠标的移动一般是不监测的。 安装杀毒软件：首先要在电脑里装能够定期升级的常用杀毒软件，如瑞星2003、KV3000等，也要 经常使用专杀木马工具进行检查。有些“木马”程序，运行后会强制关闭杀毒软件防火墙和“木马克星”、 “绿鹰PC万能精灵”等专杀木马工具，这时候就要用系统进程检查工具，我认为比较好用的是超级兔子MS98， 因为它并不是专杀木马的工具，所以木马都不会强制关闭它。 图 7 -4 -3 键盘记录文件里记录的账号和密码