腳本美女圖
A. 抖音干貨分享大綱
抖音干貨分享大綱
抖音干貨分享大綱,說到現在的APP哪個最火爆,可以說唯抖音莫屬,抖音以經成為了很多人休閑娛樂最愛的看一個平台,使用的用戶也是最多的一個短視頻平台,以下抖音干貨分享大綱。
抖音干貨分享大綱1
視頻發布時間
一、抖音發布時間
1、 早上 7、00-9、00 2、 中午 12、00-13、00 3、 下午 16、00-18、00 4、 晚上 21、00-00、00
二、根據賬號定位發文 根據自己賬號的類目定位,粉絲活躍度來看時間是否合適 如果賬號粉絲極少,根本無法去評判粉絲活躍度,對於這種賬號來說,首先考慮的是賬號 定位於哪個領其次 是發布時間。
抖音完播率功能
一、視頻完播率怎麼算?根據視頻時長和平均播放時長來算
二、怎麼提高完播率? 3 秒吸引注意力 9 秒情節高潮
抖音的數據分析功能
一、數據分析功能入口 我- 右上角「創業者服務中心」-數據分析
二、數據分析維度 1、 數據總覽 包括了電商數據 粉絲凈增量 新增視頻播放量 新增點贊量主頁訪問人數 其中電商數據包括:成交數據 流量數據 互動數據 2、 作品數據 可以查看每個作品的點贊 播放評論和分享量 3、 粉絲數據 粉絲總數據的統計,以及粉絲的畫像分析。
抖音必備的 4 類工具 1、 抖音定時發布 2、 剪輯軟體 3、 數據分析 4、 文檔工具
抖音直播功能
一、開通要求 1000 粉絲+10 個短視頻
二、直播間可選商品 小店商品和第三方聯盟商品(淘寶聯盟 京東 考拉 唯品會 蘇寧等)
三、手機端直播及選品操作
1、 封面選擇貼合直播內容或者真人作品
2、 標題寫反映直播內容的,10 字以內
3、 點擊右下商品,可以從櫥窗里添加管理商品 抖音賬號權重 1、 賬號在剛剛創的時候,不要修改任何資料 2、 養號一周,每天刷和賬號內容垂直的視頻(一個小時) 3、 發布視頻前一天改好賬號的搭建(頭像 背景 簡介 名字 4、 後期視頻發布後多互動 5、 一條視頻爆了之後立馬開直播
打造人設
一 如何打造人設?
1、 找人設匹配賬號
2、 強化人設
二 、注意事項
1 人設要鮮活獨特有風格
2、人設要考慮後期變現
3、人設要考慮匹配的受眾 賬號內容定位 一、 如何去做? 做持久賬號的話,最好不要去迎合別人的口味,要通過你的內容去吸引別人,讓粉絲去喜 歡你,把握主動。
三、注意事項
1、 內容是否垂直 2、 內容是否足夠吸引用戶
視頻播放量低的原因
1、 賬號搬運內容、過多,被限流 2、 賬號垃圾廣告多,降低了賬號權重 3、 內容質量差 4、 內容違規(發布不良信息) 5、 發布領域不垂直 6、 冷啟動階段數據低屬於正常現象
一、什麼是腳本?
就是視頻拍攝的大綱
二、優秀的腳本怎麼寫?
1、 腳本信息密度大,每個畫面都有看點 2、 節奏快,符合 3 秒定律 3、 節奏乾脆利落
封面
一、封面重要性 用戶看視頻,第一眼是封面,封面相當於門面擔當。
二、封面怎麼製作?
1、 視頻截圖 2、 視頻內容+標題 用視頻內容中的`一張截圖加上標題做封面 3、 自己製作一張帶封面的封視頻
爆款視頻需要注意 2 點
1、從抖音機器推薦演算法來看,抖音可以通過視頻描述,視頻標簽,視頻內容來幫助用戶匹 配到精準用戶 2、視頻的點贊率,評論量,轉發量都會影響視頻是否會被推薦到更高級的流量池
二、視頻如何才能吸引更多用戶的注意力?
1、融入抖音的「抖感」,符合抖音風格 2、創意不斷 3、模仿爆款視頻
抖音干貨分享大綱2
抖音短視頻控制在多長時間內最佳?
一般是控制在7—20秒之間,可以得到一個比較好的視頻完播率,超過20秒以上,如果你的內容不是太出彩就很可能會刷過去了。
什麼樣的內容在抖音容易火?
1、高顏值、帥哥美女
2、愛演的戲精
3、唱歌、彈琴等才藝高手
4、技能教學類、如廚藝、裝修
5、創意類、特效
6、男女反串
7、萌娃、萌寵
8、美景、旅遊分享
9、卡通動漫
10、真實感人的視頻故事、人物瞬間
總之是和生活相關的美好瞬間
抖音不給推薦的原因?
1、有水印
2、不適合傳播的內容,抖音很重視未成年人的健康教育
3、含有疑似廣告的內容
4、內容和形式長期無聊、單一,經過幾次推薦後效果不佳,便會降低賬號權重,逐漸淪為「僵屍號」
5、視頻畫面模糊,不可分辨
提高抖音號曝光的方法
1、搶熱評:多關注自己領域的一些大號,在對方視頻推送之初就搶先留下精彩評論,一旦他這個視頻火了,你的評論點贊量和關注度也會一同起來,而大號的粉絲本身也是你的潛在粉絲,通過不斷搶熱評便會源源不斷的引流過來。
2、上DOU+速推充值。這個功能簡單說,就是付費給抖音平台,在自然演算法的基礎上增加精準推薦的曝光。
抖音干貨分享大綱3
直播間沒人看?
直播間吸引不了新人?
直播預告推廣沒效果?
……
新人主播在玩抖音直播的過程中,是不是都遇到了以上的問題?
下面我將分享新人主播如何提高人氣的方法與技巧,助你快速提高抖音直播間人氣,打造火爆直播間。
通常,我們會通過以下幾種方式來提高抖音直播間人數:
1、提前進行開播預告
在開播前嗎,巧妙利用個人主頁及昵稱進行開播播預告,在吸引他們准時到直播間來觀看直播。
個人昵稱、主頁簡介等,就是天然的直播預告公告板,可以在重要的直播活動前5天,及時修改相關信息,讓用戶和觀眾能夠對直播活動一目瞭然。
2、發布爆款視頻
當我們在抖音直播的過程中,視頻右上角的頭像外邊有一個粉色的、動態的圈圈,能夠吸引觀看者點擊進入我們的直播間。
因此,在開播前3個小時發布自預告視頻。一旦視頻爆火了,要馬上開直播,能快速吸引大量的人進入你的直播間。
這是快速提升直播間人氣最有效的方法。
3、設置更多的活動
直播間想要快速提高人氣,就要多利用直播間的活動來吸引關注。
比如發紅包、抽獎、秒殺、發送優惠券等福利,當觀眾在你的直播間能獲得一定的好處,會不自覺轉發或者邀請自己的朋友點擊進入直播間來。
一定程度上提高了直播的轉發率,提升直播間被平台推薦的幾率。
4、付費推廣
dou+是抖音為提供的直播加熱工具,基於抖音平台優質用戶流量,強力增加直播間熱度,以及直播內容的曝光效果。
直播dou+的投放可以比較快速的幫助直播間提升人氣,是一種簡單快捷的人氣提升玩法。
但想要高效的通過抖音直播dou+的投放來提高抖音直播間人氣,還需要掌握一定的技巧。如果不懂得投放技巧,盲目投放,只會白白浪費錢。
B. python爬取圖片時忽略了一些圖片
真實圖片地址是在客戶端javascript代碼中計算出來的.
你需要尋找
<spanclass="img-hash">tnaS5qcGc=</span>
這樣的內容,取出
tnaS5qcGc=
這段內容,做base64解碼即得圖片地址。
相應的腳本在
//cdn.jandan.net/static/min/.03100001.js
這段內容你通過get_page()爬到地頁面中有,同樣,該頁面中有這樣的html(為便於閱讀已重排格式):
<divclass="text">
<spanclass="righttext">
<ahref="//jandan.net/ooxx/page-34#comment-4001800">4001800</a>
</span>
<p>
<imgsrc="//img.jandan.net/img/blank.gif"onload="jandan_load_img(this)"/>
<spanclass="img-hash">tnaS5qcGc=</span>
</p>
</div>
這個img的onload調用的函數就在前面給出的那個js文件中:
functionjandan_load_img(b){
vard=$(b);
varf=d.next("span.img-hash");
vare=f.text();
f.remove();
varc=(e,"");
vara=$('<ahref="'+c.replace(/(//w+.sinaimg.cn/)(w+)(/.+.(gif|jpg|jpeg))/,"$1large$3")+
'"target="_blank"class="view_img_link">[查看原圖]</a>');
d.before(a);
d.before("<br>");
d.removeAttr("onload");
d.attr("src",location.protocol+c.replace(/(//w+.sinaimg.cn/)(w+)(/.+.gif)/,"$1thumb180$3"));
if(/.gif$/.test(c)){
d.attr("org_src",location.protocol+c);
b.onload=function(){
add_img_loading_mask(this,load_sina_gif)
}
}它調用了對img-hash的內容做解碼,這個函數同樣在這個js文件中:
var=function(o,y,g){
vard=o;varl="DECODE";
vary=y?y:"";
varg=g?g:0;
varh=4;
y=md5(y);
varx=md5(y.substr(0,16));
varv=md5(y.substr(16,16));
...中間部分略去...
if(l=="DECODE"){
m=base64_encode(m);
varc=newRegExp("=","g");
m=m.replace(c,"");
m=u+m;
m=base64_decode(d)
}
returnm
};你只需要在Python使用相應的庫對抓取到的img-hash內容做解碼即可得到圖片地址。
你使用了str的find來從文本中定位位置,這樣做太麻煩了,太多的代碼細節,使用re模塊做正則匹配就簡單很多,更快的是直接使用現有的爬蟲庫.
使用re進行正則匹配,只需要使用正則式'<spanclass="img-hash">(.+?)<'即可提取出該頁面中所有加密的圖片地址。
importre
importbase64
pat=re.compile('<spanclass="img-hash">(.+?)<')
...
defget_imgurls(url):
urls=[]
forimgurlinpat.findall(url_open(url).decode('utf-8')):
.append(str(base64.b64decode(imgurl),'utf-8'))
returnurls
然後就可以對get_imgurls返回的列表遍歷,逐個交給save_img處理了。
使用爬取庫也只需要尋找span,從中找出class='img-hash'即可讀取text。
C. 在百度網盤,下好吃雞腳本以後,如何在GG修改器運行腳本 在線等挺急的😘
在網路網盤下,好吃雞腳本以後如何在GG修改器上運行腳本都可以的,只要說根據程序設定,沒有毛病就可以下載
D. 怎樣拍攝抖音短視頻
點擊抖音界面的「加號」。點擊上方的「選擇音樂」。選擇喜歡的音樂並點擊使用。點擊拍攝15秒並發布即可。
拍攝視頻小技巧
1.使用遠程式控制制暫停
我們在拍攝視頻的時候,如果手機隔得比較遠,我們可以使用拍攝中的「倒計時」功能,這樣我們在拍攝的時候,不會因為想拍攝遠鏡頭而煩惱,而且很方便,自己也可以在視頻倒計時的時候來擺出姿勢。例如我們只要拍攝10s就暫停,可以將暫停拉桿拖到10s的位置處即可。
然後點擊「開始拍攝」拍攝,當拍攝到第10s的時候就會自動暫停。這樣拍攝的時候,自己可以在手機隨著自己的需求來拍攝不同的風格。
2.調整適合的播放速度
用戶在拍攝視頻的時候,可以自主調節播放速度。快慢速度調整就是調整音樂和視頻的匹配。如果選擇「快」或者「極快」,拍攝的時候音樂就會放慢,相應的視頻成品中的畫面就會加快;反之,如果選擇「慢」或者「極慢」,拍攝時的音樂就會加快,成品中的畫面就會放慢。
我們可以在漸漸視頻的時候,適當的去卡點,這樣會呈現出不一樣的效果,給觀眾帶來一種很舒服的感覺。
E. 貼吧上的圖是怎麼變的
用asp就可以實現
asp下加一個rnd函數
加個條件語句就可以實現
<%
初使化rnd函數
大至是這樣,
if rnd(sun)=1 then
Response.Write <img src="asdfas1.gif">
else
if rnd(sun)=2 then.......
批或用case 方式,
或用其它方法可以實現
軟體不用什麼,用記事本就可以寫出程序的,
不過要求會js 或vbs+asp
例如我們新建一個ASP文檔 假設文件名叫 a.asp 相同目錄下有圖片文件 1.jpg
在a.asp中寫入如下代碼
<% server.Transfer 「1.jpg「 %>
然後執行這個ASP腳本 試試瀏覽器中雖然是.asp擴展名 實際上顯示了 1.jpg這個圖片
同理 在 a.asp 中寫入如下代碼
<% REM -----------------------------開始----------------------------%>
<%
Function myRND()
REM 生成某個范圍的隨機數
randomize()
upper = 59 』隨機數的上限
lower = 1 』隨機數的下限
myRND = int((upper-lower+1)*RND+lower)
End Function
%>
<%
server.Transfer( myRND & 「.JPG「)
%>
<% REM --------------------------------結束------------------- %>
然後加入圖片0.jpg 1.jpg 2.jpg 一直到 59.jpg 那麼 asp腳本就會隨機讀取 .jpg 文件並顯示了。
你所要的問題就是找一個支持asp的空間存放圖片就行了。
windows中圖片是否被全選的標志就是,是否在其上面加了一個黑白相間的夢版。
蒙版的白色部分是透明的,黑色部分是不透明的。
我們這里就是利用了這一點,全選前後的兩個圖像其實本來就同時存在於一幅圖中的。沒全選時你看不到下面的美女圖是利用了人眼睛的辨別精度有限這一缺陷(這也許就是視若無睹吧,呵呵),當全選時,上邊我們提到的蒙版中黑色部分蓋住的正好是綠葉那一部分,所以綠葉看不到了!而那張美女圖的像素正好處於白色部分范圍,也就是透明範圍,所以看到的只有她了.明白了嗎?
F. 打開.cmd是一張圖片
.cmd文件是Windows NT命令腳本,但它跟批處理差不多,所以基本上你可以把.cmd文件當作是批處理。
G. VBS與圖片合並
在目前的技術下完全看不出來是做不到的,因為合並後的文件都是exe格式的。
你可以試試用winrar自解壓,把圖片和vbs腳本一起壓縮,設置隱藏釋放運行腳本,把圖標改成圖片的圖標,然後在後綴.exe前加很多空格,如:美女圖片.jpg .exe
一般人看不出來
H. 如何拍攝產品視頻
首先、需要一個新穎的腳本和拍攝方案
腳本- 腳本,英文叫做script,是指導我們進行前期拍攝和後期剪輯重要的綱領性指導文件,不論是拍攝企業宣傳片,產品視頻,眾籌視頻等各類型視頻,都是要做的最為重要的工作。那一個腳本要包含哪些元素呢?就產品視頻而言,主要需要以下幾部分
場景
分鏡頭及分鏡時長
配音內容
特效
模特
道具
當然還有其它一些要素,後續,我們會就如何撰寫腳本進行詳述。
拍攝方案- 拍攝方案是我們有了腳本之後,對腳本繼續進行分解,來安排我們的拍攝,進行進度管理,人員協同,物料准備等等工作。
隨著拍攝設備的普及,剪輯軟體的不斷進步和迭代,很難說技術上深圳視頻拍攝公司哪家更好。但是就我們而言質幀映畫團隊,我們的特點讓我們脫穎而出。
因為我們:
有海外背景,更懂海外市場;
從事過市場營銷,更懂市場,能從市場角度去看問題;
不拘泥於傳統,敢於創新,樂於實踐創新
我們收費更友好。
其次、拍攝場景和實景勘察
視頻拍攝不同於拍照,對於場地的要求更高。在考慮拍攝場地時,我們要考慮很多因素,比如:
成本-一般來說,電商類拍攝基地的成本和拍攝電影和電視劇的場地成本要低;
天氣-這個對於拍攝戶外產品至關重要,而且還要考慮光線的問題;
轉場- 多場地拍攝的時候,要考慮場地之間的距離和先後關系,來合理控製成本和時間;
環境復雜度- 在拍攝的時候,我們要考慮到環境的各種干擾因素,來保證拍攝順利進行。
I. 僵屍網路是什麼網路
僵屍網路
Botnet
僵屍網路是指採用一種或多種傳播手段,將大量主機感染bot程序(僵屍程序),從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。
在Botnet的概念中有這樣幾個關鍵詞。「bot程序」是robot的縮寫,是指實現惡意控制功能的程序代碼;「僵屍計算機」就是被植入bot的計算機;「控制伺服器(Control Server)」是指控制和通信的中心伺服器,在基於IRC(網際網路中繼聊天)協議進行控制的Botnet中,就是指提供IRC聊天服務的伺服器。
Botnet
首先是一個可控制的網路,這個網路並不是指物理意義上具有拓撲結構的網路,它具有一定的分布性,隨著bot程序的不斷傳播而不斷有新位置的僵屍計算機添加到這個網路中來。
其次,這個網路是採用了一定的惡意傳播手段形成的,例如主動漏洞攻擊,郵件病毒等各種病毒與蠕蟲的傳播手段,都可以用來進行Botnet的傳播,從這個意義上講,惡意程序bot也是一種病毒或蠕蟲。
最後一點,也是Botnet的最主要的特點,就是可以一對多地執行相同的惡意行為,比如可以同時對某目標網站進行分布式拒絕服務(DDos)攻擊,同時發送大量的垃圾郵件等,而正是這種一對多的控制關系,使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務,這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候,Botnet充當了一個攻擊平台的角色,這也就使得Botnet不同於簡單的病毒和蠕蟲,也與通常意義的木馬有所不同。
僵屍網路是互聯網上受到黑客集中控制的一群計算機,往往被黑客用來發起大規模的網路攻擊,如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所保存的信息,譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意「取用」。因此,不論是對網路安全運行還是用戶數據安全的保護來說,僵屍網路都是極具威脅的隱患。僵屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而,發現一個僵屍網路是非常困難的,因為黑客通常遠程、隱蔽地控制分散在網路上的「僵屍主機」,這些主機的用戶往往並不知情。因此,僵屍網路是目前互聯網上黑客最青睞的作案工具。
對網友而言,感染上「僵屍病毒」卻十分容易。網路上搔首弄姿的美女、各種各樣有趣的小游戲,都在吸引著網友輕輕一點滑鼠。但事實上,點擊之後毫無動靜,原來一切只是騙局,意在誘惑網友下載有問題的軟體。一旦這種有毒的軟體進入到網友電腦,遠端主機就可以發號施令,對電腦進行操控。
專家表示,每周平均新增數十萬台任人遙控的僵屍電腦,任憑遠端主機指揮,進行各種不法活動。多數時候,僵屍電腦的根本不曉得自己已被選中,任人擺布。
僵屍網路之所以出現,在家高速上網越來越普遍也是原因。高速上網可以處理(或製造)更多的流量,但高速上網家庭習慣將電腦長時間開機,唯有電腦開機,遠端主機才可以對僵屍電腦發號施令。
網路專家稱:「重要的硬體設施雖然非常重視殺毒、防黑客,但網路真正的安全漏洞來自於住家用戶,這些個體戶欠缺自我保護的知識,讓網路充滿地雷,進而對其他用戶構成威脅。」
Botnet的發展過程
Botnet是隨著自動智能程序的應用而逐漸發展起來的。在早期的IRC聊天網路中,有一些服務是重復出現的,如防止頻道被濫用、管理許可權、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。於是在1993 年,在IRC 聊天網路中出現了Bot 工具——Eggdrop,這是第一個bot程序,能夠幫助用戶方便地使用IRC 聊天網路。這種bot的功能是良性的,是出於服務的目的,然而這個設計思路卻為黑客所利用,他們編寫出了帶有惡意的Bot 工具,開始對大量的受害主機進行控制,利用他們的資源以達到惡意目標。
20世紀90年代末,隨著分布式拒絕服務攻擊概念的成熟,出現了大量分布式拒絕服務攻擊工具如TFN、TFN2K和Trinoo,攻擊者利用這些工具控制大量的被感染主機,發動分布式拒絕服務攻擊。而這些被控主機從一定意義上來說已經具有了Botnet的雛形。
1999 年,在第八屆DEFCON 年會上發布的SubSeven 2.1 版開始使用IRC 協議構建攻擊者對僵屍主機的控制信道,也成為第一個真正意義上的bot程序。隨後基於IRC協議的bot程序的大量出現,如GTBot、Sdbot 等,使得基於IRC協議的Botnet成為主流。
2003 年之後,隨著蠕蟲技術的不斷成熟,bot的傳播開始使用蠕蟲的主動傳播技術,從而能夠快速構建大規模的Botnet。著名的有2004年爆發的Agobot/Gaobot 和rBot/Spybot。同年出現的Phatbot 則在Agobot 的基礎上,開始獨立使用P2P 結構構建控制信道。
從良性bot的出現到惡意bot的實現,從被動傳播到利用蠕蟲技術主動傳播,從使用簡單的IRC協議構成控制信道到構建復雜多變P2P結構的控制模式,Botnet逐漸發展成規模龐大、功能多樣、不易檢測的惡意網路,給當前的網路安全帶來了不容忽視的威脅。
Botnet的工作過程
Botnet的工作過程包括傳播、加入和控制三個階段。
一個Botnet首先需要的是具有一定規模的被控計算機,而這個規模是逐漸地隨著採用某種或某幾種傳播手段的bot程序的擴散而形成的,在這個傳播過程中有如下幾種手段:
(1)主動攻擊漏洞。其原理是通過攻擊系統所存在的漏洞獲得訪問權,並在Shellcode 執行bot程序注入代碼,將被攻擊系統感染成為僵屍主機。屬於此類的最基本的感染途徑是攻擊者手動地利用一系列黑客工具和腳本進行攻擊,獲得許可權後下載bot程序執行。攻擊者還會將僵屍程序和蠕蟲技術進行結合,從而使bot程序能夠進行自動傳播,著名的bot樣本AgoBot,就是實現了將bot程序的自動傳播。
(2)郵件病毒。bot程序還會通過發送大量的郵件病毒傳播自身,通常表現為在郵件附件中攜帶僵屍程序以及在郵件內容中包含下載執行bot程序的鏈接,並通過一系列社會工程學的技巧誘使接收者執行附件或點擊鏈接,或是通過利用郵件客戶端的漏洞自動執行,從而使得接收者主機被感染成為僵屍主機。
(3)即時通信軟體。利用即時通信軟體向好友列表發送執行僵屍程序的鏈接,並通過社會工程學技巧誘騙其點擊,從而進行感染,如2005年年初爆發的MSN性感雞(Worm.MSNLoveme)採用的就是這種方式。
(4)惡意網站腳本。攻擊者在提供Web服務的網站中在HTML頁面上綁定惡意的腳本,當訪問者訪問這些網站時就會執行惡意腳本,使得bot程序下載到主機上,並被自動執行。
(5)特洛伊木馬。偽裝成有用的軟體,在網站、FTP 伺服器、P2P 網路中提供,誘騙用戶下載並執行。
通過以上幾種傳播手段可以看出,在Botnet的形成中傳播方式與蠕蟲和病毒以及功能復雜的間諜軟體很相近。
在加入階段,每一個被感染主機都會隨著隱藏在自身上的bot程序的發作而加入到Botnet中去,加入的方式根據控制方式和通信協議的不同而有所不同。在基於IRC協議的Botnet中,感染bot程序的主機會登錄到指定的伺服器和頻道中去,在登錄成功後,在頻道中等待控制者發來的惡意指令。圖2為在實際的Botnet中看到的不斷有新的bot加入到Botnet中的行為。
在控制階段,攻擊者通過中心伺服器發送預先定義好的控制指令,讓被感染主機執行惡意行為,如發起DDos攻擊、竊取主機敏感信息、更新升級惡意程序等。圖3為觀測到的在控制階段向內網傳播惡意程序的Botnet行為。
Botnet的分類
Botnet根據分類標準的不同,可以有許多種分類。
按bot程序的種類分類
(1)Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵屍工具。防病毒廠商Spphos 列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析),這個數目也在穩步增長。僵屍工具本身使用跨平台的C++寫成。Agobot 最新可獲得的版本代碼清晰並且有很好的抽象設計,以模塊化的方式組合,添加命令或者其他漏洞的掃描器及攻擊功能非常簡單,並提供像文件和進程隱藏的Rootkit 能力在攻陷主機中隱藏自己。在獲取該樣本後對它進行逆向工程是比較困難的,因為它包含了監測調試器(Softice 和O11Dbg)和虛擬機(VMware 和Virtual PC)的功能。
(2)SDBot/RBot/UrBot/SpyBot/。這個家族的惡意軟體目前是最活躍的bot程序軟體,SDBot 由C語言寫成。它提供了和Agobot 一樣的功能特徵,但是命令集沒那麼大,實現也沒那麼復雜。它是基於IRC協議的一類bot程序。
(3)GT-Bots。GT-Bots是基於當前比較流行的IRC客戶端程序mIRC編寫的,GT是(Global Threat)的縮寫。這類僵屍工具用腳本和其他二進制文件開啟一個mIRC聊天客戶端, 但會隱藏原mIRC窗口。通過執行mIRC 腳本連接到指定的伺服器頻道上,等待惡意命令。這類bot程序由於捆綁了mIRC程序,所以體積會比較大,往往會大於1MB。
按Botnet的控制方式分類
(1)IRC Botnet。是指控制和通信方式為利用IRC協議的Botnet,形成這類Botnet的主要bot程序有spybot、GTbot和SDbot,目前絕大多數Botnet屬於這一類別。
(2)AOL Botnet。與IRC Bot類似,AOL為美國在線提供的一種即時通信服務,這類Botnet是依託這種即時通信服務形成的網路而建立的,被感染主機登錄到固定的伺服器上接收控制命令。AIM-Canbot和Fizzer就採用了AOL Instant Messager實現對Bot的控制。
(3)P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端,可以連入採用了Gnutella技術(一種開放源碼的文件共享技術)的伺服器,利用WASTE文件共享協議進行相互通信。由於這種協議分布式地進行連接,就使得每一個僵屍主機可以很方便地找到其他的僵屍主機並進行通信,而當有一些bot被查殺時,並不會影響到Botnet的生存,所以這類的Botnet具有不存在單點失效但實現相對復雜的特點。Agobot和Phatbot採用了P2P的方式。
Botnet的危害
Botnet構成了一個攻擊平台,利用這個平台可以有效地發起各種各樣的攻擊行為,可以導致整個基礎信息網路或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏,還可以用來從事網路欺詐等其他違法犯罪活動。下面是已經發現的利用Botnet發動的攻擊行為。隨著將來出現各種新的攻擊類型,Botnet還可能被用來發起新的未知攻擊。
(1)拒絕服務攻擊。使用Botnet發動DDos攻擊是當前最主要的威脅之一,攻擊者可以向自己控制的所有bots發送指令,讓它們在特定的時間同時開始連續訪問特定的網路目標,從而達到DDos的目的。由於Botnet可以形成龐大規模,而且利用其進行DDos攻擊可以做到更好地同步,所以在發布控制指令時,能夠使得DDos的危害更大,防範更難。
(2)發送垃圾郵件。一些bots會設立sockv4、v5 代理,這樣就可以利用Botnet發送大量的垃圾郵件,而且發送者可以很好地隱藏自身的IP信息。
(3)竊取秘密。Botnet的控制者可以從僵屍主機中竊取用戶的各種敏感信息和其他秘密,例如個人帳號、機密數據等。同時bot程序能夠使用sniffer觀測感興趣的網路數據,從而獲得網路流量中的秘密。
(4)濫用資源。攻擊者利用Botnet從事各種需要耗費網路資源的活動,從而使用戶的網路性能受到影響,甚至帶來經濟損失。例如:種植廣告軟體,點擊指定的網站;利用僵屍主機的資源存儲大型數據和違法數據等,利用僵屍主機搭建假冒的銀行網站從事網路釣魚的非法活動。
可以看出,Botnet無論是對整個網路還是對用戶自身,都造成了比較嚴重的危害,我們要採取有效的方法減少Botnet的危害。
Botnet的研究現狀
對於Botnet的研究是最近幾年才逐漸開始的,從反病毒公司到學術研究機構都做了相關的研究工作。最先研究和應對Botnet的是反病毒廠商。它們從bot程序的惡意性出發,將其視為一種由後門工具、蠕蟲、Spyware 等技術結合的惡意軟體而歸入了病毒的查殺范圍。著名的各大反病毒廠商都將幾個重要的bot程序特徵碼寫入到病毒庫中。賽門鐵克從2004 年開始,在其每半年發布一次的安全趨勢分析報告中,以單獨的章節給出對Botnet活動的觀測結果。卡巴斯基也在惡意軟體趨勢分析報告中指出,僵屍程序的盛行是2004年病毒領域最重大的變化。
學術界在2003年開始關注Botnet的發展。國際上的一些蜜網項目組和蜜網研究聯盟的一些成員使用蜜網分析技術對Botnet的活動進行深入跟蹤和分析,如Azusa Pacific大學的Bill McCarty、法國蜜網項目組的Richard Clarke、華盛頓大學Dave Dittrich和德國蜜網項目組。特別是德國蜜網項目組在2004年11月到2005 年1月通過部署Win32蜜罐機發現並對近100個Botnet進行了跟蹤,並發布了Botnet跟蹤的技術報告。
Botnet的一個主要威脅是作為攻擊平台對指定的目標發起DDos(分布式拒絕服務攻擊)攻擊,所以DDos的研究人員同樣也做了對Botnet的研究工作。由國外DDosVax組織的「Detecting Bots in Internet Relay Chat Systems」項目中,分析了基於IRC協議的bot程序的行為特徵,在網路流量中擇選出對應關系,從而檢測出Botnet的存在。該組織的這個研究方法通過在plantlab中搭建一個Botnet的實驗環境來進行測試,通過對得到的數據進行統計分析,可以有效驗證關於Botnet特徵流量的分析結果,但存在著一定的誤報率。
國內在2005年時開始對Botnet有初步的研究工作。北京大學計算機科學技術研究所在2005年1月開始實施用蜜網跟蹤Botnet的項目,對收集到的惡意軟體樣本,採用了沙箱、蜜網這兩種各有優勢的技術對其進行分析,確認其是否為僵屍程序,並對僵屍程序所要連接的Botnet控制信道的信息進行提取,最終獲得了60,000 多個僵屍程序樣本分析報告,並對其中500多個仍然活躍的Botnet進行跟蹤,統計出所屬國分布、規模分布等信息。
國家應急響應中心通過863-917網路安全監測平台,在2005年共監測到的節點大於1000個的Botnet規模與數量統計如圖4所示。
這些數據和活動情況都說明,我國國內網上的Botnet的威脅比較嚴重,需要引起網路用戶的高度重視。
CCERT惡意代碼研究項目組在2005年7月開始對Botnet的研究工作,通過對大量已經掌握的Botnet的實際跟蹤與深入分析,對基於IRC協議的Botnet的伺服器端的特徵進行了分類提取,形成對於Botnet 伺服器端的判斷規則,從而可以對網路中的IRC Server進行性質辨別。設計並初步實現了Botnet自動識別系統,應用於中國教育和科研計算機網路環境中。
可以看出,從國內到國外,自2004年以來對Botnet的研究越來越多地受到網路安全研究人員的重視,研究工作已經大大加強。但是這些工作還遠遠不夠,在檢測和處置Botnet方面還有許多工作要做。
Botnet的研究方法
對於目前比較流行的基於IRC協議的Botnet的研究方法,主要使用蜜網技術、網路流量研究以及IRC Server識別技術。
(1)使用蜜網技術。蜜網技術是從bot程序出發的,可以深入跟蹤和分析Botnet的性質和特徵。主要的研究過程是,首先通過密罐等手段盡可能多地獲得各種流傳在網上的bot程序樣本;當獲得bot程序樣本後,採用逆向工程等惡意代碼分析手段,獲得隱藏在代碼中的登錄Botnet所需要的屬性,如Botnet伺服器地址、服務埠、指定的惡意頻道名稱及登錄密碼,以及登錄所使用到的用戶名稱,這些信息都為今後有效地跟蹤Botnet和深入分析Botnet的特徵提供了條件。在具備了這些條件之後,使用偽裝的客戶端登錄到Botnet中去,當確認其確實為Botnet後,可以對該Botnet採取相應的措施。
(2)網路流量研究。網路流量的研究思路是通過分析基於IRC協議的Botnet中僵屍主機的行為特徵,將僵屍主機分為兩類:長時間發呆型和快速加入型。具體來說就是僵屍主機在Botnet中存在著三個比較明顯的行為特徵,一是通過蠕蟲傳播的僵屍程序,大量的被其感染計算機會在很短的時間內加入到同一個IRC Server中;二是僵屍計算機一般會長時間在線;三是僵屍計算機作為一個IRC聊天的用戶,在聊天頻道內長時間不發言,保持空閑。將第一種行為特徵歸納為快速加入型,將第二、三種行為特徵歸納為長期發呆型。
研究對應這兩類僵屍計算機行為的網路流量變化,使用離線和在線的兩種分析方法,就可以實現對Botnet的判斷。
(3)IRC Server識別技術的研究。通過登錄大量實際的基於IRC協議的Botnet的伺服器端,可以看到,由於攻擊者為了隱藏自身而在伺服器端刻意隱藏了IRC伺服器的部分屬性。同時,通過對bot源代碼的分析看到,當被感染主機加入到控制伺服器時,在伺服器端能夠表現出許多具有規律性的特徵。通過對這些特徵的歸納總結,就形成了可以用來判斷基於IRC協議的Botnet的伺服器端的規則,這樣就可以直接確定出Botnet的位置及其規模、分布等性質,為下一步採取應對措施提供有力的定位支持。
以上三種研究方法都是針對基於IRC協議的Botnet。對於P2P結構的Botnet的研究較少,原因是由於其實現比較復雜,在網路中並不佔有太大比例,同時也因為其在控制方式上的分布性使得對它的研究比較困難。但隨著Botnet的發展,對於P2P結構的Botnet的研究也將進一步深入。