黑客社会工程学攻击档案袋

黑客社会工程学攻击档案袋

这是一本关于社工的书，一直以来我们所接触到的只是，欺骗的艺术一类的外文翻译。

虽说很不错只是外国友人于国人的思维略有不同。而这本黑客社会工程学攻击档案袋。

着重描述攻击以及防御被社工的方法，文内有大量案例。可以让我们知道原来社工还可以这

样，所谓大道至简。愿对你有帮助！

下载地址：http://u.115.com/file/bhzjphk4

【目录】

第一章 黑客时代的神话
1.1 华丽而浪漫的安全对抗 12
1.2 凯文?米特尼克（Kevin Mitnick）简史 13
1.2.1 美国五大最危险的头号黑客之一 13
1.2.2 电脑化空间的头号通缉犯 14

1.3 什么是社会工程学攻击 15
1.3.1 狭义与广义的社会工程学 15
1.3.2 无法忽视的非传统信息安全 16
1.3.3 攻击信息拥有者 17

1.4 第一个案例：编辑部的窃密事件 17
1.4.1 巧妙地利用手机收集信息 17
1.4.2 冒认身份获取系统口令 18
1.4.3 伪造调查文件，设置陷阱 19

1.5 你该学习怎样的信息技能？ 21
1.5.1 快速信息筛选与处理技巧 21
1.5.2 快速掌握新技术的学习技巧 22

第二章 无处藏身—信息搜索的艺术

2.1 千万不要把真名放在网上 24

2.2 Google搜索引擎黑客 24
2.2.1 Google高级搜索应用技术 24
2.2.1.1 组合式语法搜索 25
2.2.1.2 善用搜索特征码定位 25
2.2.2 探寻敏感信息 26
2.2.3 你在哪里？哪个市区？哪条街道？ 27
2.2.4 第一手情报 29

2.3 门户站点，信息泄露的入口点 30
2.3.1 围攻小企鹅——万能的QQ信息刺探 30
2.3.2 网易、新浪、搜狐、雅虎聚会记 31
2.3.3 高端用户的选择：Google与微软 32

2.4 综合信息的搜索，你会了吗？ 33
2.4.1 你需要掌握的搜索引擎有哪些？ 33
2.4.1.1 网页与图片的搜索 33
2.4.1.2 博客与论坛的搜索 33
2.4.1.3 论坛程序与网站内的信息搜索 34
2.4.1.4 微型博客的搜索 35
2.4.2 一些你不能忽视的信息查询 36
2.4.2.1 你的同学在这里——校友录 36
2.4.2.2 另类的窃秘点——搜人网 36
2.4.2.3 邮箱的查询——支付宝 37
2.4.2.4 IP地址、身份证与手机?码的查询 37
2.4.2.5 域名Whois的查询　 38
2.4.2.6 QQ群信息搜索也疯狂　 38

2.5 案例攻击应用与分析 39
2.5.1 一个密码引发的”血案” 39
2.5.2 一分钟，和美丽的女孩谈论天气的方法 49
2.5.3 深层挖掘骗子黑客站长的秘密 52
2.5.4 告诉你如何从博客搜索深层信息 56

2.6 尾语：是否真的无处藏身？ 59

第三章 商业间谍窃密技法
3.1 别再拒绝公司数据被窃取的事实 62
3.1.1 内鬼，《征途》网游源代码泄露事件 62
3.1.2 电信企业的脆弱，口令泄露事件 62

3.2 社会工程学师惯用信息搜集技巧 63
3.2.1 从最无关紧要的员工开始 63
3.2.2 冒称与利用权威身份 63
3.2.3 垃圾桶，绝妙的信息翻查处 64

3.3 巧设人为陷阱套取信息 64
3.3.1 寻找企业内部的矛盾 64
3.3.1.1 事实！曾经的企业内鬼事件 65
3.3.2 制造拒绝服务的陷阱 65

3.4 信息高级刺探技术 66
3.4.1 自由交谈的内部术语 66
3.4.2 信息调查表格——你准备了吗？ 66
3.4.3 看上去可信任吗？——标准化策略 67

3.5 商业窃密惯用技法 68
3.5.1 电话窃听技术 68
3.5.1.1 任何人都会的手机监听方法 68
3.5.1.2 智能手机高级窃密技巧 69
3.5.1.3 窃听内部线路电话的技巧 69
3.5.2 语音与影像监控 70
3.5.2.1 无处不在的窃听 70
3.5.2.2 影像监控——就在你的身后 70
3.5.3 GPS跟踪与定位 71 3.6 案例攻击应用与分析 72

3.6.1 淘宝网的盗窃者们 72
3.6.1.1 一线生机 72
3.6.1.2 交易 73
3.6.1.3 最后的陷阱 74
3.6.2 谁泄露了防火墙源代码？ 75
3.6.2.1 销售部的后门 75
3.6.2.2 合作者的阴谋 76
3.6.2.3 消失的100万源代码 77

第四章 刨根问底挖隐私

4.1 让系统泄露你曾经的秘密 80
4.1.1 芝麻开门，你去过哪些网站？ 80
4.1.2 你最近碰过哪些文件？ 81
4.1.2.1 我的文档历史 81
4.1.2.2 最后的时间截 81
4.1.2.3 应用软件的蛛丝马迹 82
4.1.3 缩略图，你的图片删乾净了么？ 82
4.1.4 相片中的Exif信息 83
4.1.5 最后的复制记录 84

4.2 应用软件也捣乱 84
4.2.1 谁在临时目录偷偷留下了备份？ 84
4.2.2 生成的文件，你有注意到么？ 85

4.3 Web 2.0，人性化服务背后的威胁 86
4.3.1 像Google那般的令人恐怖 87
4.3.2 信任，Web 2.0的大敌 88

4.4 实名制，致命的大漏洞 89
4.4.1 相信么？我知道你的一切！ 89
4.4.2 加速高智能犯罪升级 90
4.4.3 实名制信息安全不容忽视！ 91

4.5 你的隐私正在被谁偷窃？ 91
4.5.1 隐藏的特洛伊木马 91
4.5.2 嗅探，从数据包中挖掘你的秘密 92
4.5.3 间谍软件，曾经的僵尸军团 94

4.6 案例攻击与应用 94
4.6.1 典型性隐私泄露——木马屠城 94
4.6.2 网吧实名制：中间人的黑手 96

第五章 窥探你心中的秘密

5.1 善用人性弱点的心理学攻击 99
5.1.1 “入侵你的心” 99
5.1.2 不要轻易给予信任 100

5.2 开始入门另类的攻击 100
5.2.1 认识信念系统 101
5.2.2 “需求层次”找出你的需要 102
5.2.3 五个阶段，推测你的人生影响 103

5.3 神经语言程序学的”入侵” 104
5.3.1 NLP始源与简史 105
5.3.2 表象系统（Representational system） 105
5.3.2.1 你的表象系统是什么？ 106
5.3.2.2 《犯罪现场鉴证》关键点 106
5.3.2.3 模仿中的信任 108
5.3.3 语言模式（Language Mode） 108
5.3.3.1 检定语言模式 109
5.3.3.2催眠性暗示语言模式 110

5.4 九型人格中的秘密 112
5.4.1 什么是九型人格？ 112
5.4.2 与不同人格的人交谈 112

5.5 长驱直入攻击信息拥有者 115
5.5.1 塑造友善的第一印象 115
5.5.2 让”帮助”来得猛烈点吧 116

第六章 网络钓鱼攻击

6.1 钓信用卡、钓隐私：恐怖的钓鱼攻击 119

6.2 钓鱼：盯上163邮箱 119
6.2.1 将163邮箱整站扒下来 119
6.2.2 继续完善，让伪造生效 120
6.2.3 逃脱识别，进阶伪装 122
6.2.3.1 使用header()函数跳转到真实163邮箱网站 122
6.2.3.2 用javascript增加迷惑性 122
6.2.3.3 逼真一点，神不知鬼不觉 122

6.3 真网址PK假网址 123
6.3.1 假域名注册欺骗 123
6.3.2 状态栏中的网址欺骗 123
6.3.3 巧妙利用URLs特性的欺骗 124
6.3.4 IP转换与URL编码 124

6.4 电子邮件钓鱼 125
6.4.1 钓鱼关键点：制造一封神秘的邮件 126
6.4.2 伪造发件人地址 127
6.4.3 弹指间，百万E-mail地址被收集 127
6.4.4 坐等鱼上钩，钓鱼邮件群发 129

6.5 XSS跨站钓鱼也疯狂 129
6.5.1 深入浅出解析XSS漏洞形成 129
6.5.2 隐藏中的Cookie窃取 130
6.5.3 亿聚网的登陆框—XSS的另类钓鱼大法 132

6.6 劫持中的钓鱼艺术 134
6.6.1 Hosts文件的映射劫持 134
6.6.2 内网中的DNS劫持 135
6.6.3 BHO，浏览器的劫持 136
6.6.4 搜索引擎的SEO劫持钓鱼 137

6.7 将钓鱼攻击发挥到极致 138
6.7.1 人们喜欢怎样的钓饵？ 138
6.7.2 花样百出的钓鱼邮件制造 139
6.7.2.1 邮件前置 139
6.7.2.2 诱惑性标题 140
6.7.2.3 精妙的邮件正文 140
6.7.2.4 邮件跟踪调查 141
6.7.3 强势的伪冒钓鱼站点 142
6.7.3.1 弹出窗口 142
6.7.3.2 无坚不摧的服务器 144

6.8 新式钓鱼攻击手段 144
6.8.1 软件程序的谎言 144
6.8.2 高利润的SMS钓鱼攻击 145

6.9 案例攻击与应用 146
6.9.1 帮MM找回被盗QQ 146
6.9.2 揭露”QQ中奖网络诈骗”全过程 148

第七章 反侦查技术的对抗

7.1 黑客必备的反侦查能力 153

7.2 无法追踪的网络影子 153

7.2.1 代理：信息中转站 153
7.2.2 VPN：虚拟专用网络 155
7.2.3 TOR：洋葱路由器 156
7.2.4 跳板：堡垒肉鸡防火墙 157

7.3 数据隐藏与伪装 159
7.3.1 COPY合并与WinRAR伪装 159
7.3.2 在Recycler文件夹隐藏 161
7.3.3 利用Desktop.ini特性隐藏 161
7.3.4 PQ磁盘分区隐藏 162
7.3.5 NTFS文件流（ADS）隐藏 163
7.3.6 Rootkit技术隐藏 163
7.3.7 畸形目录里的新东西 164

7.4 数据隐写技术 165
7.4.1 QR密文信息隐写 165
7.4.2 MP3音频文件信息隐写 166
7.4.3 BMP与GIF图片信息隐写 166
7.4.4 Text、HTM、PDF文件信息隐写 169
7.4.5 在线JPEG与PNG图片信息隐写 171
7.4.6 反汇编技术信息隐写 172

7.5 数据加密与破坏机制 174
7.5.1 加密数据档案 174
7.5.2 EFS加密文件系统 174
7.5.3 五星级的加密工具 176
7.5.4 逻辑型文件擦除技术 177
7.5.5 物理型数据破坏 178

7.6 数据窃取的方式 179
7.6.1 Ghost：磁盘克隆 179
7.6.2 Recover：数据恢复 180
7.6.3 键盘与鼠标数据窃取 181
7.6.4 RAM内存数据窃取 182

7.7 数字反取证信息对抗 183
7.7.1 主机数据信息核查 183
7.7.1.1 CMD命令信息核查 184
7.7.1.2 法证工具信息核查 184
7.7.2 逃脱通信网络跟踪 185
7.7.2.1 安全电话通信技巧 186
7.7.2.2 泛洪淹埋网络信息 186
7.7.3 击溃数字证据 187
7.7.3.1 错误的时间正确的攻击 187
7.7.3.2 数字证据藏在哪里了 188
7.7.3.3 布署监控与自我销毁 188

第八章 安全铁律

8.1 安全威胁触手可及 191

8.2 人员安全工程 191
8.2.1 免于密码窃取危险 191
8.2.2 正确的信息处理习惯 194
8.2.3 验证与授权程序 194

8.3 服务器安全防御 195
8.3.1 强化服务器策略 195
8.3.1.1 程序安装的艺术 195
8.3.1.2 配置系统的艺术 196
8.3.2 系统安全审计 198
8.3.3 建立安全防护屏障 200

8.4 无线网络安全缺陷与防护 200

8.5 堡垒式的物理安全 202
8.5.1 通信设备物理安全 202
8.5.2 布署周边监控与身份认证 202
8.5.3 数据分类与垃圾信息 203

8.6 全局保护——风险评估 204
8.6.1 信息资产鉴别与评估 204
8.6.2 威胁评价与风险管理 204

8.7 信息安全知识与培训 205
8.7.1 安全觉醒与培训 205
8.7.2 周期性渗透测试计划 205

第九章 像米特尼克黑客一样

9.1 非凡而卓越的黑客事业 208

9.2 成为优秀的社会工程学师 208

9.2.1 好奇 209
9.2.2 投入 209
9.2.3 创新 210

9.3 组建庞大信息库的方法 210
9.3.1 Firefox 211
9.3.2 Google 212

9.4 智囊团，你的人脉资源 214
9.4.1 IM、BBS 214
9.4.2 社交活动 215

9.5 准备好你的工具箱了吗？ 216

9.6 世界不是平的 217
9.6.1 端正的态度 217
9.6.2黑客的信仰 218