网络攻防技术.docx

1、网络攻防技术学号：3208182005 安徽国防科技职业学院毕业（设计）论文论文题目网络攻防技术作 者魏瑞兵系 别信息工程系专 业计算机应用班 级08计应（2）班指导教师付贤政完成时间2011-03-15摘 要近年来，以Internet为标志的计算机网络协议、标准和应用技术的发展异常迅速。但Internet恰似一把锋利的双刃剑，它在为人们带来便利的同时，也为计算机病毒和计算机犯罪提供了土壤，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击，因此建立有效的网络安全防范体系就更为迫切。若要保证网络安全、可靠，则必

2、须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。本文全面分析了网络攻击的步骤、方法以及常用的攻击工具，并从几方面讲了具体的防范措施，让读者有全面的网络认识，在对待网络威胁时有充足的准备。计算机网络面临的各种安全威胁，系统地介绍网络安全技术。并针对网络的安全问题进行研究，本次论文研究中，我首先了解了 网络安全问题的主要威胁因素，并利用网络安全知识对安全问题进行剖析。关键词：防火墙 网络安全 攻击防范第一章：网络安全概述1.1 网络安全的含义网络安全从其本质来讲就是网络上信息安全，它涉及的领域相当广泛，这是因为目 前的公用通信网络中存在着各式各样

3、的安全漏洞和威胁。广义上讲，凡是涉及到网络上 信息的保密性、完整性、可用性和可控性的相关技术和理论，都是网络安全的研究领域。 网络安全是指网络系统的硬件，软件及数据受到保护，不遭受偶然或恶意的破坏、 更改、泄露，系统连续可靠正常地运行，网络服务不中断 1 。且在不同环境和应用中又 不同的解释。 （1）运行系统安全：即保证信息处理和传输系统的安全，包括计算机系统机房环境 和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机 操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。 （2）网络上系统信息的安全：包括用户口令鉴别、用户存取权限控制、数据存取权 限、方

4、式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 （3）网络上信息传输的安全：即信息传播后果的安全、包括信息过滤、不良信息过 滤等。 （4）网络上信息内容的安全：即我们讨论的狭义的“信息安全”；侧重于保护信息 的机密性、真实性和完整性。本质上是保护用户的利益和隐私。1.2 网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究

5、领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉

6、及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全

7、问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。1.3 主要特性网络安全应具有以下五个方面的特征： 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性：数据XX不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环

8、境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性：对信息的传播及内容具有控制能力。 可审查性：出现的安全问题时提供依据与手段。1.4 网络安全的属性网络安全具有三个基本的属性：机密性、完整性、可用性。 （1）机密性：是指保证信息与信息系统不被非授权者所获取与使用，主要 范措施是密码技术。 （2）完整性：是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保 信息与信息系统处于一个可靠的运行状态之下。 以上可以看出：在网络中，维护信息载体和信息自身的安全都包括了机密性、完整 性、可用性这些重要的属性。1.5网络安全机制网络安全机制是保护网络信息安全所采用的措施，所

9、有的安全机制都是针对某些潜 在的安全威胁而设计的，可以根据实际情况单独或组合使用。如何在有限的投入下合理 地使用安全机制，以便尽可能地降低安全风险，是值得讨论的，网络信息安全机制应包括:技术机制和管理机制两方面的内容。 1.5.1网络安全技术机制 网络安全技术机制包含以下内容： （1）加密和隐藏。加密使信息改变，攻击者无法了解信息的内容从而达到保护；隐 藏则是将有用信息隐藏在其他信息中，使攻击者无法发现。 （2）认证和授权。网络设备之间应互认证对方的身份，以保证正确的操作权力赋予 和数据的存取控制；同时网络也必须认证用户的身份，以授权保证合法的用户实施正确 的操作。 （3）审计和定位。通过对一

10、些重要的事件进行记录，从而在系统中发现错误或受到 攻击时能定位错误并找到防范失效的原因，作为内部犯罪和事故后调查取证的基础。 （4）完整性保证。利用密码技术的完整性保护可以很好地对付非法篡改，当信息源 的完整性可以被验证却无法模仿时，可提供不可抵赖服务。 （5）权限和存取控制：针对网络系统需要定义的各种不同用户，根据正确的认证， 赋予其适当的操作权力，限制其越级操作。 （6）任务填充：在任务间歇期发送无用的具有良好模拟性能的随机数据，以增加攻 击者通过分析通信流量和破译密码获得信息难度。 1.5.2网络安全管理机制 网络信息安全不仅仅是技术问题，更是一个管理问题，要解决网络信息安全问题， 必须

11、制定正确的目标策略，设计可行的技术方案，确定合理的资金技术，采取相应的管 理措施和依据相关法律制度。1.6 网络安全策略策略通常是一般性的规范，只提出相应的重点，而不确切地说明如何达到所要的结 果，因此策略属于安全技术规范的最高一级。 1.6.1 安全策略的分类 安全策略分为基于身份的安全策略和基于规则的安全策略种。基于身份的安全策略 是过滤对数据或资源的访问，有两种执行方法：若访问权限为访问者所有，典型的作法 为特权标记或特殊授权，即仅为用户及相应活动进程进行授权；若为访问数据所有则可 以采用访问控制表（ACL） 。这两种情况中，数据项的大小有很大的变化，数据权力命名 也可以带自己的ACL

12、。基于规则的安全策略是指建立在特定的，个体化属性之上的授权准则，授权通常依 赖于敏感性。在一个安全系统中，数据或资源应该标注安全标记，而且用户活动应该得 到相应的安全标记。 1.6.2 安全策略的配置 开放式网络环境下用户的合法权益通常受到两种方式的侵害：主动攻击和被动攻 击，主动攻击包括对用户信息的窃取，对信息流量的分析。根据用户对安全的需求才可 以采用以下的保护： （1）身份认证；检验用户的身份是否合法、防止身份冒充、及对用户实施访问控制 数据完整性鉴别、防止数据被伪造、修改和删除。 （2）信息保密；防止用户数据被泄、窃取、保护用户的隐私。 （3）数字签名；防止用户否认对数据所做的处理。

13、（4）访问控制；对用户的访问权限进行控制。 （5）不可否认性；也称不可抵赖性，即防止对数据操作的否认。 1.6.3 安全策略的实现流程 安全策略的实现涉及到以下及个主要方面，（1）证书管理。主要是指公开密银证书的产生、分配更新和验证。 （2）密银管理。包括密银的产生、协商、交换和更新，目的是为了在通信的终端系统之间建立实现安全策略所需的共享密银。 （3）安全协作。是在不同的终端系统之间协商建立共同采用的安全策略，包括安全 策略实施所在层次、具体采用的认证、加密算法和步骤、如何处理差错。 （4）安全算法实现：具体算法的实现，如PES、RSA. （5）安全策略数据库：保存与具体建立的安全策略有关的

14、状态、变量、指针。1.7网络面临的主要威胁网络面临的主要威胁主要来自下面几方面:1. 黑客的攻击黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展，目前，世界上有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。2. 管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美

15、国90的IT企业对黑客攻击准备不足。目前，美国7585的网站都抵挡不住黑客的攻击，约有75的企业网上信息失窃，其中25的企业损失在25万美元以上。3. 网络的缺陷 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议簇，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。4. 软件的漏洞或“后门”随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，

16、众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。大家熟悉的尼母达,中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。第二章：网络攻击黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩

17、怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。因此，我们每一个人都有可能面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题。2.1 网络攻击的步骤下面我们就来看一下那些攻击者是如何找到你计算机中的安全漏洞的，并了解一下他们的攻击手法。一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整，归纳起来就是“黑客攻击五部曲”。如下图：图1黑客常见攻击步骤第一步：隐藏IP 这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第

18、一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。第二步：踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。第三步：获得系统或管理员权限 得

19、到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统权限；通过监听获得敏感信息进一步获得相应权限；通过弱口令获得远程管理员的用户密码；通过穷举法获得远程管理员的用户密码；通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权；通过欺骗获得权限以及其他有效的方法。第四步：种植后门 为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。第五步：在网络中隐身 一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现，在

20、入侵完毕后需要清除登录日志已经其他相关的日志。2.2 网络攻击的原理和手法1. 口令入侵 所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号

21、；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。 2. 放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以

22、任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。 3. WWW的欺骗技术 在网上用户可以利用IE等浏览器进行各种各样的Web站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。 一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都向攻击者的W

23、eb服务器，即攻击者可以将自已的Web地址加在所有URL地址的前面。这样，当用户与站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器与某个站点边接时，可以在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息，用户由此可以发现问题，所以攻击者往往在URL地址重写的同时，利用相关信息排盖技术，即一般用Javascript程序来重写地址样和状枋样，以达到其掩盖欺骗的目的。4. 电子邮件攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内

24、容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。 电子邮件攻击主要表现为两种方式： (1)是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪； (2)是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（

25、口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。 5. 通过一个节点来攻击其他节点 攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。 这类攻击很狡猾，但由于某些技术很难掌握，如TCPIP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能破坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受，诱使其它机器向他发送据或允许它修改数据。TCPIP欺骗可以发生TCPIP系统

26、的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流，因而对底层的攻击更具有欺骗性。 6. 网络监听 网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具(如NetXRay for Windows9598NT、Sniffit for Linux

27、、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。 7. 利用黑客软件攻击 利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上

28、。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。 特别是最近出现了一种TXT文件欺骗手法，表面看上去是一个TXT文本文件，但实际上却是一个附带黑客程序的可执行程序，另外有些程序也会伪装成图片和其他格式的文件。 8. 安全漏洞攻击 许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进

29、入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得超级用户的权限。 又如，ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强，一般通过Microsoft的Outlook软件向众多

30、邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。 9. 端口扫描攻击 所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。2.3 攻击者常用的攻击工具1. D.O.S攻击工具： 如WinNuke通过发送OOB漏洞导致系统蓝屏；Bonk通过发送大量伪造的UDP数据包导致系统重启；TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃；Win

31、Arp通过发特殊数据包在对方机器上产生大量的窗口；Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动；FluShot通过发送特定IP包导致系统凝固；Bloo通过发送大量的ICMP数据包导致系统变慢甚至凝固；PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动；Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。 2. 木马程序：(1) BO2000(BackOrifice)：它是功能最全的TCPIP构架的攻击工具，可以搜集信息，执行系统命令，重新设置机器，重新定向网络的客户端服务器应用程序。BO2000支持多个网络协议，它可以利用TCP或UDP来传送，还可以用X

32、OR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下，黑客成了超级用户，你的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。 (2)“冰河”：冰河是一个国产木马程序，具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程序来一点也不逊色。 它可以自动跟踪目标机器的屏幕变化，可以完全模拟键盘及鼠标输入，即在使被控端屏幕变化和监控端产生同步的同时，被监控端的一切键盘及鼠标操作将反映在控端的屏幕。它可以记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息；它可以获取系统信息；它还可以进行注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。 (3) NetSpy：可以运行于Windows9598NT2000等多