| Об авторах | 16 |
 Кейт Джонс | 16 |
| Майк Шема | 16 |
| Бредли Джонсон | 16 |
| О научных редакторах | 17 |
| Кертис Роуз | 17 |
| Эрик Майволд | 17 |
| |
| Введение | 18 |
| |
| Часть 1 |
| Многофункциональные средства | 21 |
| |
| Глава 1. NETCAT и CRYPTCAT | 22 |
| |
| NETCAT | 22 |
| Реализация | 23 |
| Загрузка | 23 |
| Установка | 23 |
| Командная строка | 25 |
| 101 способ использовать Netcat | 28 |
| Получение удалённого доступа к командной оболочке | 29 |
| Незаметное сканирование портов | 32 |
| Идентифицируйте себя, и службы расскажут о себе всё | 34 |
| Взаимодействие с UDP-службами | 36 |
| Создайте друга: подмена IP-адресов | 38 |
| Захват службы | 40 |
| Прокси и релей | 41 |
| Вокруг сетевых фильтров | 42 |
| Создание конвейеров данных: создай собственный FTP | 42 |
| Установка ловушек | 45 |
| Тестирование сетевого оборудования | 45 |
| Сделай сам | 46 |
| CRYPTCAT | 46 |
| |
Глава 2. Системные средства
с открытым программным кодом: основы | 47 |
| |
Программы для работы с протоколом SMB
(Server Message Block Protocol) | 47 |
| Реализация | 47 |
| Samba: взгляд со стороны Unix | 53 |
| Smbclient | 54 |
| Nmblookup | 55 |
| Автоматизация процесса | 56 |
| NBTSTAT | 56 |
| Реализация | 57 |
| Получение МАС-адресов | 60 |
| REGDMP | 61 |
| Реализация | 61 |
| FINGER | 62 |
| Реализация | 62 |
| finger @host_name.com | 62 |
| finger estewart@host_name.com | 63 |
| finger stewart@host_name.com | 63 |
| Почему запускается демон finger? | 63 |
| WHOIS/FWHOIS | 65 |
| Реализация | 65 |
| Ping | 68 |
| Реализация | 68 |
| Fping | 71 |
| Реализация | 71 |
| Traceroute | 74 |
| Реализация | 75 |
| Интерпретация выходной информации от traceroute | 76 |
| Hping | 77 |
| Реализация | 78 |
| RPCINFO | 81 |
| Реализация | 81 |
| Пример вывода | 82 |
| Проблемы с RPC | 83 |
| SHOWMOUNT | 83 |
| Реализация | 83 |
| Пример вывода | 84 |
| R-Tools | 84 |
| Rlogin, Rsh и Rep | 85 |
| Ненадёжность R-Tools | 85 |
| Rwho | 86 |
| Rexec | 86 |
| who, w и last | 86 |
| who | 87 |
| w | 88 |
| last | 88 |
| |
| Глава 3. Система X Window | 91 |
| |
| Выбор оконного менеджера | 91 |
| Модель клиент-сервер | 92 |
| Как взаимодействуют удалённые клиенты и серверы | 92 |
| Безопасность X Window, часть 1: использование xhost и xauth | 94 |
| Xhost | 94 |
| Xauth | 95 |
Обеспечение безопасности X Window,
часть вторая: направление X Window трафика через SSH | 97 |
| Другие важные компоненты | 99 |
| Xdm | 100 |
| Xinit и Startx | 100 |
| Xserver | 101 |
| Теперь вы знаете | 101 |
| |
| Глава 4. VMware | 102 |
| |
| Загрузка и установка | 102 |
| Конфигурирование | 104 |
| Реализация | 112 |
| |
| Глава 5. Cygwin | 117 |
| |
| Загрузка и инсталляция | 117 |
| Реализация | 119 |
| Структура директорий и полномочия доступа к файлам | 121 |
| Выполнение приложений | 122 |
| Выполнение Windows приложений | 122 |
| Создание программ в Windows | 123 |
| Выполнение Perl-скриптов | 123 |
| Полезные Unix-утилиты | 124 |
| XFree86 для Cygwin | 124 |
| |
| Часть 2 |
| Средства для атак и исследования систем в сети | 127 |
| |
| Глава 6. Сканеры портов | 128 |
| |
| Nmap | 129 |
| Реализация | 129 |
| Сканирование хостов | 130 |
| Сканирование TCP-портов | 131 |
| Сканирование UDP-портов | 135 |
| Сканирование протоколов | 136 |
| Маскировка сканирования | 136 |
| Расписание сканирования | 139 |
| TCP Reverse Ident Scanning | 141 |
| OS Fingerprinting | 142 |
| Сводная информация о параметрах командной строки | 142 |
| Nmapfe | 144 |
| NetScanTools | 148 |
| Реализация | 149 |
| SuperScan | 152 |
| Реализация | 152 |
| Результаты сканирования | 156 |
| IPEYE | 157 |
| Реализация | 157 |
| FSCAN | 158 |
| Реализация | 158 |
| WUPS | 160 |
| Реализация | 161 |
| UDP_SCAN | 161 |
| Установка | 161 |
| Реализация | 162 |
| |
| Глава 7. Средства ревизии Windows | 169 |
| |
| Winfingerprint | 170 |
| Реализация | 170 |
| Запуск Development Build | 171 |
| GETUSERINFO | 172 |
| Реализация | 172 |
| ENUM | 173 |
| Реализация | 174 |
| PSTOOLS | 178 |
| Реализация | 179 |
| PsFile | 179 |
| PsLoggedOn | 180 |
| PsGetSid | 180 |
| Pslnfo | 181 |
| PsService | 182 |
| PsList | 184 |
| PsKill и PsSuspend | 186 |
| PsLogList | 187 |
| PsExec | 189 |
| PsShutdown | 190 |
| |
| Глава 8. Средства взлома Web-приложений Hacking Tools | 196 |
| |
| Сканеры уязвимости Vulnerability Scanners | 196 |
| Whisker | 197 |
| Реализация | 197 |
| Nikto | 204 |
| Реализация | 204 |
| Stealth | 210 |
| Реализация | 210 |
| Создание новых правил | 212 |
| Пресечение уклонения Pitfalls to Avoid | 214 |
| Twwwscan/Arirang | 216 |
| Реализация: компиляция исходных текстов | 216 |
| Реализация: создание новых правил | 217 |
| Многоцелевые средства | 219 |
| Curl | 219 |
| Реализация | 219 |
| OpenSSL | 222 |
| Реализация | 222 |
| Stunnel | 226 |
| Реализация | 227 |
| Проверка приложений | 229 |
| Achilles | 229 |
| Реализация | 229 |
| WebSleuth | 231 |
| Реализация | 232 |
| Wget | 233 |
| Реализация | 233 |
| |
| Глава 9. Средства взлома/подбора паролей | 235 |
| |
| PassFilt.dll и политика паролей в Windows | 235 |
| Реализация | 236 |
| Локальная политика безопасности в Windows 2000 |
| и Windows XP | 237 |
| РАМ и политика создания паролей в Unix | 238 |
| Реализация для Linux | 238 |
| Аргументы библиотеки Cracklib | 240 |
| login.conf для OpenBSD | 242 |
| Реализация | 242 |
| John the Ripper | 245 |
| Реализация | 245 |
| Взлом паролей | 246 |
| Восстановление файлов и распределённый взлом | 252 |
| Работает ли это на моей системе? | 255 |
| LOphtCrack | 257 |
| Реализация | 258 |
| Защита вашего пароля | 261 |
| Удаление шифрованных строк паролей LanMan | 261 |
| Захват строк паролей Windows | 262 |
| Pwdump | 262 |
| Реализация | 263 |
| Pwdump3 | 264 |
| Lsadump2 | 265 |
| Реализация | 265 |
| Средства активного взлома | 266 |
| SMBGrind | 266 |
| Реализация | 266 |
| Nbaudit(nat) | 267 |
| Реализация | 267 |
| |
| Глава 10. Чёрный ход и средства удалённого доступа | 270 |
| |
| VNC | 271 |
| Реализация | 272 |
| Netbus | 278 |
| Реализация | 278 |
| Back Orifice | 283 |
| Реализация | 283 |
| SubSeven | 291 |
| Реализация | 292 |
| Loki | 297 |
| Реализация | 298 |
| Stcpshell | 300 |
| Реализация | 301 |
| Knark | 302 |
| Реализация | 303 |
| Превращение в пользователя Root | 304 |
| Сокрытие файла или директории | 304 |
| Сокрытие процесса | 304 |
| Сокрытие сетевого соединения | 305 |
| Переадресация исполняемых файлов | 305 |
| Выполнение удалённых команд | 306 |
| Сокрытие модуля Knark.o в списке |
| загружаемых модулей | 306 |
| |
| Глава 11. Простые средства аудита исходных кодов | 309 |
| |
| Flawfinder | 309 |
| Реализация | 310 |
| RATS | 315 |
| Реализация | 315 |
| |
| Глава 12. Комбинированные средства системного аудита | 319 |
| |
| Nessus | 320 |
| Инсталляция | 321 |
| Реализация | 322 |
| Сканирование и анализ системы | 329 |
| Поддержание тестов на уязвимость в актуальном состоянии | 332 |
| STAT | 332 |
| Реализация | 333 |
| Настройка STAT | 334 |
| Начало сканирования | 338 |
| Использование отчётов | 340 |
| Retina | 341 |
| Реализация | 341 |
| Internet Scanner | 345 |
| Реализация | 345 |
| Конфигурирование политики | 346 |
| Запуск сканирования | 348 |
| Анализ конфигурации | 350 |
| Создание отчётов | 351 |
| Tripwire | 352 |
| Реализация: свободно распространяемая версия | 354 |
| Запуск install.sh | 354 |
| Просмотр файлов политик и конфигурационных файлов | 355 |
| Запуск Tripwire | 355 |
| Другие утилиты Tripwire | 358 |
| Представление о файлах политики Tripwire | 358 |
| Реализация: коммерческая версия | 364 |
| Использование Tripwire Manager | 364 |
| Обеспечение безопасности ваших файлов |
| с использованием Tripwire | 368 |
| |
| Часть 3 |
| Средства для атак и аудита сети | 371 |
| |
| Глава 13. Перенаправление портов | 372 |
| |
| DATAPIPE | 373 |
| Реализация | 374 |
| Компилирование исходного файла | 374 |
| Перенаправление трафика | 375 |
| FPIPE | 377 |
| Реализация | 377 |
| |
| Глава 14. Анализаторы сетевых потоков | 386 |
| |
| Обзор анализаторов сетевых потоков | 387 |
| BUTTSNIFFER | 388 |
| Реализация | 389 |
| Диалоговый режим | 389 |
| Режим дампа на диске | 394 |
| Tcpdump и WinDump | 399 |
| Установка | 399 |
| Установка Tcpdump (и Libpcap) на Unix | 399 |
| Установка WinDump (и WinPcap) в системе Windows | 400 |
| Реализация | 400 |
| Синтаксис командной строки: спецификации фильтров | 401 |
| Флаги командной строки: форматирование вывода и |
| переключение опций | 405 |
| Вывод утилиты Tcpdump | 408 |
| Ethereal | 411 |
| Реализация | 412 |
| Пакетные фильтры | 413 |
| Инструментальные средства Ethereal | 415 |
| Другие предпочтения | 418 |
| Dsniff | 418 |
| Установка | 419 |
| Реализация: инструментальные средства | 419 |
| Arpspoof | 419 |
| Dnsspoof | 420 |
| Dsniff | 420 |
| Filesnarf | 422 |
| Macof | 423 |
| Mailsnarf | 423 |
| Msgsnarf | 423 |
| Sshmitm | 423 |
| Tcpkill | 424 |
| Tcpnice | 424 |
| Urlsnarf | 425 |
| Webmitm | 425 |
| Webspy | 425 |
| Опасные инструменты | 425 |
| Инструмент snort: система обнаружения вторжений | 426 |
| Установка и реализация | 426 |
| Режимы инструмента snort | 426 |
| Конфигурирование вывода инструмента snort | 427 |
| Правила инструмента snort: краткий обзор | 427 |
| Синтаксис правил инструмента snort | 429 |
| Дополнительные модули к программе snort (Plug-In) | 430 |
| Предпроцессоры | 431 |
| Модули вывода | 432 |
| И многое другое | 434 |
| |
| Глава 15. Беспроводные инструментальные средства | 439 |
| |
| NetStumbler | 440 |
| Реализация | 441 |
| AiroPeek | 443 |
| Реализация | 443 |
| |
| Глава 16. Программы автопрозвона | 447 |
| |
| ToneLoc | 447 |
| Реализация: создание файла tl.cfg | 448 |
| Реализация: сканирование | 452 |
| Реализация: перемещение по интерфейсу ToneLoc | 453 |
| Технология обработки файлов .dat | 455 |
| Prescan.exe | 456 |
| Анализ файлов .dat | 457 |
| THC-Scan | 459 |
| Реализация: конфигурирование инструмента THC-SCAN | 459 |
| Реализация: запуск THC-Scan | 462 |
| Реализация: перемещение по THC-Scan | 462 |
| Реализация: манипулирование файлами .dat |
| инструмента THC-SCAN | 464 |
| Инструменты Dat-* | 464 |
| После подключения | 466 |
| |
Глава 17. Инструментальные средства проверки
TCP/IP-стека | 467 |
| |
| ISIC: инструмент для проверки работоспособности IP-стека | 467 |
| Реализация | 468 |
| Isic | 468 |
| Tcpsic | 469 |
| Udpsic | 470 |
| Icmpsic | 470 |
| Esic | 471 |
| Советы и уловки | 472 |
| Брандмауэры | 472 |
| Управление пакетами | 474 |
| Iptest | 474 |
| Реализация | 475 |
| Nemesis: Создание пакетов 101 | 478 |
| Реализация | 478 |
| За пределами командной строки | 482 |
| |
| Часть 4 |
Инструментальные средства, используемые
в судебной практике и при расследовании инцидентов | 483 |
| |
Глава 18. Компоновка и использование набора инструментов
для расследования хакерских атак, то есть для «живого ответа»
в системе Windows | 484 |
| |
| CMD.EXE | 486 |
| Реализация | 486 |
| Fport | 486 |
| Реализация | 487 |
| Netstat | 489 |
| Реализация | 489 |
| Nbtstat | 491 |
| Реализация | 491 |
| ARP | 492 |
| Реализация | 492 |
| Pslist | 493 |
| Реализация | 493 |
| KILL | 494 |
| Реализация | 494 |
| DIR | 495 |
| Реализация | 495 |
| Auditpol | 497 |
| Реализация | 497 |
| Loggedon | 498 |
| Реализация | 498 |
| NTLast | 499 |
| Реализация | 499 |
| Dump Event Log (dumpel) | 500 |
| Реализация | 500 |
| Regdmp | 501 |
| Реализация | 502 |
| SFind | 503 |
| Реализация | 504 |
| Md5sum | 504 |
| Реализация | 504 |
| |
Глава 19. Создание и использование комплекта
инструментов «живого ответа» для Unix | 509 |
| |
| bash | 511 |
| Реализация | 511 |
| netstat | 511 |
| Реализация | 511 |
| ARP | 513 |
| Реализация | 513 |
| ls | 514 |
| Реализация | 514 |
| w | 516 |
| Реализация | 516 |
| last и lastb | 517 |
| Реализация | 517 |
| Lsof | 517 |
| Реализация | 518 |
| ps | 519 |
| Реализация | 520 |
| kill | 523 |
| Реализация | 523 |
| Md5sum | 523 |
| Реализация | 524 |
| Carbonite | 524 |
| Реализация | 525 |
| Execve_Sniffer | 525 |
| |
Глава 20. Коммерческие наборы инструментов для судебного
дублирования | 528 |
| |
| EnCasev3 | 529 |
| Реализация | 529 |
| Format: создание надёжного загрузочного диска | 529 |
| Реализация | 538 |
| PDBLOCK: блокирование записи на ваши исходные диски | 539 |
| Реализация | 539 |
| Safeback | 540 |
| Реализация | 540 |
| SnapBack | 551 |
| Реализация | 551 |
| Ghost | 556 |
| Реализация | 556 |
| |
Глава 21. Некоммерческие наборы инструментов,
предназначенные для судебного дублирования | 566 |
| |
| del: инструмент судебного дублирования | 567 |
| Реализация | 567 |
| Судебное дублирование #1: точное двоичное |
| дублирование жёстких дисков | 569 |
| Судебное дублирование #2: создание локального файла улик | 570 |
| Судебное дублирование #3: создание файла улик |
| на удалённой системе | 573 |
| dd: инструмент очистки жёсткого диска | 574 |
| Реализация | 574 |
lose tup: преобразование обыкновенного файла
в устройство в системе Linux | 575 |
| Реализация | 576 |
| Усовершенствованное устройство loopback в системе Linux | 577 |
| Реализация | 578 |
vnode: преобразование обычного файла
в устройство системы FreeBSD | 580 |
| Реализация | 581 |
| md5sum и md5: ратификация собранных улик | 582 |
| Реализация | 582 |
| |
Глава 22. Наборы инструментов, помогающие
при судебном анализе | 587 |
| |
| Forensic toolkit | 587 |
| Реализация | 588 |
| EnCase | 596 |
| Реализация | 597 |
| The Coroner's Toolkit | 612 |
| Реализация | 613 |
| Graverobber | 613 |
| Mactime | 620 |
| Unrm | 622 |
| Lazarus | 623 |
| |
Глава 23. Инструментальные средства, помогающие
реконструировать деятельность, связанную с интернетом | 627 |
| |
| Outlook Express | 627 |
| Реализация | 628 |
| Outlook | 629 |
| Реализация | 629 |
| Netscape Navigator/Communicator | 630 |
| Реализация | 631 |
| Клиент службы America Online | 634 |
| Реализация | 635 |
| Почтовые ящики систем Unix | 639 |
| Реализация | 639 |
| IE History | 640 |
| Реализация | 640 |
| |
Глава 24. Средства просмотра файлов и редакторы
общего назначения | 650 |
| |
| Команда file | 650 |
| Реализация | 651 |
| Hexdump | 652 |
| Реализация | 652 |
| Hexedit | 656 |
| Реализация | 657 |
| Vi | 660 |
| Реализация | 660 |
| Frhed | 664 |
| Реализация | 664 |
| Xvi32 | 667 |
| Реализация | 667 |
| Quickview Plus | 669 |
| Реализация | 669 |
| Midnight Commander | 673 |
| Реализация | 673 |
| |
| Приложение. Полезные схемы и таблицы | 680 |
| |
| Заголовки протоколов | 680 |
| Заголовки Ethernet | 680 |
| Заголовки протокола определения адресов (ARP) | 681 |
| Заголовки протокола интернета (IP) | 681 |
| Заголовки протокола управления передачей (TCP) | 682 |
| Заголовки пользовательского протокола данных (UDP) | 682 |
| Заголовки протокола управляющих сообщений |
| в интернете (ICMP) | 682 |
| Таблица ASCII | 684 |
