脚本美女图
A. 抖音干货分享大纲
抖音干货分享大纲
抖音干货分享大纲,说到现在的APP哪个最火爆,可以说唯抖音莫属,抖音以经成为了很多人休闲娱乐最爱的看一个平台,使用的用户也是最多的一个短视频平台,以下抖音干货分享大纲。
抖音干货分享大纲1
视频发布时间
一、抖音发布时间
1、 早上 7、00-9、00 2、 中午 12、00-13、00 3、 下午 16、00-18、00 4、 晚上 21、00-00、00
二、根据账号定位发文 根据自己账号的类目定位,粉丝活跃度来看时间是否合适 如果账号粉丝极少,根本无法去评判粉丝活跃度,对于这种账号来说,首先考虑的是账号 定位于哪个领其次 是发布时间。
抖音完播率功能
一、视频完播率怎么算?根据视频时长和平均播放时长来算
二、怎么提高完播率? 3 秒吸引注意力 9 秒情节高潮
抖音的数据分析功能
一、数据分析功能入口 我- 右上角“创业者服务中心”-数据分析
二、数据分析维度 1、 数据总览 包括了电商数据 粉丝净增量 新增视频播放量 新增点赞量主页访问人数 其中电商数据包括:成交数据 流量数据 互动数据 2、 作品数据 可以查看每个作品的点赞 播放评论和分享量 3、 粉丝数据 粉丝总数据的统计,以及粉丝的画像分析。
抖音必备的 4 类工具 1、 抖音定时发布 2、 剪辑软件 3、 数据分析 4、 文档工具
抖音直播功能
一、开通要求 1000 粉丝+10 个短视频
二、直播间可选商品 小店商品和第三方联盟商品(淘宝联盟 京东 考拉 唯品会 苏宁等)
三、手机端直播及选品操作
1、 封面选择贴合直播内容或者真人作品
2、 标题写反映直播内容的,10 字以内
3、 点击右下商品,可以从橱窗里添加管理商品 抖音账号权重 1、 账号在刚刚创的时候,不要修改任何资料 2、 养号一周,每天刷和账号内容垂直的视频(一个小时) 3、 发布视频前一天改好账号的搭建(头像 背景 简介 名字 4、 后期视频发布后多互动 5、 一条视频爆了之后立马开直播
打造人设
一 如何打造人设?
1、 找人设匹配账号
2、 强化人设
二 、注意事项
1 人设要鲜活独特有风格
2、人设要考虑后期变现
3、人设要考虑匹配的受众 账号内容定位 一、 如何去做? 做持久账号的话,最好不要去迎合别人的口味,要通过你的内容去吸引别人,让粉丝去喜 欢你,把握主动。
三、注意事项
1、 内容是否垂直 2、 内容是否足够吸引用户
视频播放量低的原因
1、 账号搬运内容、过多,被限流 2、 账号垃圾广告多,降低了账号权重 3、 内容质量差 4、 内容违规(发布不良信息) 5、 发布领域不垂直 6、 冷启动阶段数据低属于正常现象
一、什么是脚本?
就是视频拍摄的大纲
二、优秀的脚本怎么写?
1、 脚本信息密度大,每个画面都有看点 2、 节奏快,符合 3 秒定律 3、 节奏干脆利落
封面
一、封面重要性 用户看视频,第一眼是封面,封面相当于门面担当。
二、封面怎么制作?
1、 视频截图 2、 视频内容+标题 用视频内容中的`一张截图加上标题做封面 3、 自己制作一张带封面的封视频
爆款视频需要注意 2 点
1、从抖音机器推荐算法来看,抖音可以通过视频描述,视频标签,视频内容来帮助用户匹 配到精准用户 2、视频的点赞率,评论量,转发量都会影响视频是否会被推荐到更高级的流量池
二、视频如何才能吸引更多用户的注意力?
1、融入抖音的“抖感”,符合抖音风格 2、创意不断 3、模仿爆款视频
抖音干货分享大纲2
抖音短视频控制在多长时间内最佳?
一般是控制在7—20秒之间,可以得到一个比较好的视频完播率,超过20秒以上,如果你的内容不是太出彩就很可能会刷过去了。
什么样的内容在抖音容易火?
1、高颜值、帅哥美女
2、爱演的戏精
3、唱歌、弹琴等才艺高手
4、技能教学类、如厨艺、装修
5、创意类、特效
6、男女反串
7、萌娃、萌宠
8、美景、旅游分享
9、卡通动漫
10、真实感人的视频故事、人物瞬间
总之是和生活相关的美好瞬间
抖音不给推荐的原因?
1、有水印
2、不适合传播的内容,抖音很重视未成年人的健康教育
3、含有疑似广告的内容
4、内容和形式长期无聊、单一,经过几次推荐后效果不佳,便会降低账号权重,逐渐沦为“僵尸号”
5、视频画面模糊,不可分辨
提高抖音号曝光的方法
1、抢热评:多关注自己领域的一些大号,在对方视频推送之初就抢先留下精彩评论,一旦他这个视频火了,你的评论点赞量和关注度也会一同起来,而大号的粉丝本身也是你的潜在粉丝,通过不断抢热评便会源源不断的引流过来。
2、上DOU+速推充值。这个功能简单说,就是付费给抖音平台,在自然算法的基础上增加精准推荐的曝光。
抖音干货分享大纲3
直播间没人看?
直播间吸引不了新人?
直播预告推广没效果?
……
新人主播在玩抖音直播的过程中,是不是都遇到了以上的问题?
下面我将分享新人主播如何提高人气的方法与技巧,助你快速提高抖音直播间人气,打造火爆直播间。
通常,我们会通过以下几种方式来提高抖音直播间人数:
1、提前进行开播预告
在开播前吗,巧妙利用个人主页及昵称进行开播播预告,在吸引他们准时到直播间来观看直播。
个人昵称、主页简介等,就是天然的直播预告公告板,可以在重要的直播活动前5天,及时修改相关信息,让用户和观众能够对直播活动一目了然。
2、发布爆款视频
当我们在抖音直播的过程中,视频右上角的头像外边有一个粉色的、动态的圈圈,能够吸引观看者点击进入我们的直播间。
因此,在开播前3个小时发布自预告视频。一旦视频爆火了,要马上开直播,能快速吸引大量的人进入你的直播间。
这是快速提升直播间人气最有效的方法。
3、设置更多的活动
直播间想要快速提高人气,就要多利用直播间的活动来吸引关注。
比如发红包、抽奖、秒杀、发送优惠券等福利,当观众在你的直播间能获得一定的好处,会不自觉转发或者邀请自己的朋友点击进入直播间来。
一定程度上提高了直播的转发率,提升直播间被平台推荐的几率。
4、付费推广
dou+是抖音为提供的直播加热工具,基于抖音平台优质用户流量,强力增加直播间热度,以及直播内容的曝光效果。
直播dou+的投放可以比较快速的帮助直播间提升人气,是一种简单快捷的人气提升玩法。
但想要高效的通过抖音直播dou+的投放来提高抖音直播间人气,还需要掌握一定的技巧。如果不懂得投放技巧,盲目投放,只会白白浪费钱。
B. python爬取图片时忽略了一些图片
真实图片地址是在客户端javascript代码中计算出来的.
你需要寻找
<spanclass="img-hash">tnaS5qcGc=</span>
这样的内容,取出
tnaS5qcGc=
这段内容,做base64解码即得图片地址。
相应的脚本在
//cdn.jandan.net/static/min/.03100001.js
这段内容你通过get_page()爬到地页面中有,同样,该页面中有这样的html(为便于阅读已重排格式):
<divclass="text">
<spanclass="righttext">
<ahref="//jandan.net/ooxx/page-34#comment-4001800">4001800</a>
</span>
<p>
<imgsrc="//img.jandan.net/img/blank.gif"onload="jandan_load_img(this)"/>
<spanclass="img-hash">tnaS5qcGc=</span>
</p>
</div>
这个img的onload调用的函数就在前面给出的那个js文件中:
functionjandan_load_img(b){
vard=$(b);
varf=d.next("span.img-hash");
vare=f.text();
f.remove();
varc=(e,"");
vara=$('<ahref="'+c.replace(/(//w+.sinaimg.cn/)(w+)(/.+.(gif|jpg|jpeg))/,"$1large$3")+
'"target="_blank"class="view_img_link">[查看原图]</a>');
d.before(a);
d.before("<br>");
d.removeAttr("onload");
d.attr("src",location.protocol+c.replace(/(//w+.sinaimg.cn/)(w+)(/.+.gif)/,"$1thumb180$3"));
if(/.gif$/.test(c)){
d.attr("org_src",location.protocol+c);
b.onload=function(){
add_img_loading_mask(this,load_sina_gif)
}
}它调用了对img-hash的内容做解码,这个函数同样在这个js文件中:
var=function(o,y,g){
vard=o;varl="DECODE";
vary=y?y:"";
varg=g?g:0;
varh=4;
y=md5(y);
varx=md5(y.substr(0,16));
varv=md5(y.substr(16,16));
...中间部分略去...
if(l=="DECODE"){
m=base64_encode(m);
varc=newRegExp("=","g");
m=m.replace(c,"");
m=u+m;
m=base64_decode(d)
}
returnm
};你只需要在Python使用相应的库对抓取到的img-hash内容做解码即可得到图片地址。
你使用了str的find来从文本中定位位置,这样做太麻烦了,太多的代码细节,使用re模块做正则匹配就简单很多,更快的是直接使用现有的爬虫库.
使用re进行正则匹配,只需要使用正则式'<spanclass="img-hash">(.+?)<'即可提取出该页面中所有加密的图片地址。
importre
importbase64
pat=re.compile('<spanclass="img-hash">(.+?)<')
...
defget_imgurls(url):
urls=[]
forimgurlinpat.findall(url_open(url).decode('utf-8')):
.append(str(base64.b64decode(imgurl),'utf-8'))
returnurls
然后就可以对get_imgurls返回的列表遍历,逐个交给save_img处理了。
使用爬取库也只需要寻找span,从中找出class='img-hash'即可读取text。
C. 在百度网盘,下好吃鸡脚本以后,如何在GG修改器运行脚本 在线等挺急的😘
在网络网盘下,好吃鸡脚本以后如何在GG修改器上运行脚本都可以的,只要说根据程序设定,没有毛病就可以下载
D. 怎样拍摄抖音短视频
点击抖音界面的“加号”。点击上方的“选择音乐”。选择喜欢的音乐并点击使用。点击拍摄15秒并发布即可。
拍摄视频小技巧
1.使用远程控制暂停
我们在拍摄视频的时候,如果手机隔得比较远,我们可以使用拍摄中的“倒计时”功能,这样我们在拍摄的时候,不会因为想拍摄远镜头而烦恼,而且很方便,自己也可以在视频倒计时的时候来摆出姿势。例如我们只要拍摄10s就暂停,可以将暂停拉杆拖到10s的位置处即可。
然后点击“开始拍摄”拍摄,当拍摄到第10s的时候就会自动暂停。这样拍摄的时候,自己可以在手机随着自己的需求来拍摄不同的风格。
2.调整适合的播放速度
用户在拍摄视频的时候,可以自主调节播放速度。快慢速度调整就是调整音乐和视频的匹配。如果选择“快”或者“极快”,拍摄的时候音乐就会放慢,相应的视频成品中的画面就会加快;反之,如果选择“慢”或者“极慢”,拍摄时的音乐就会加快,成品中的画面就会放慢。
我们可以在渐渐视频的时候,适当的去卡点,这样会呈现出不一样的效果,给观众带来一种很舒服的感觉。
E. 贴吧上的图是怎么变的
用asp就可以实现
asp下加一个rnd函数
加个条件语句就可以实现
<%
初使化rnd函数
大至是这样,
if rnd(sun)=1 then
Response.Write <img src="asdfas1.gif">
else
if rnd(sun)=2 then.......
批或用case 方式,
或用其它方法可以实现
软件不用什么,用记事本就可以写出程序的,
不过要求会js 或vbs+asp
例如我们新建一个ASP文档 假设文件名叫 a.asp 相同目录下有图片文件 1.jpg
在a.asp中写入如下代码
<% server.Transfer “1.jpg“ %>
然后执行这个ASP脚本 试试浏览器中虽然是.asp扩展名 实际上显示了 1.jpg这个图片
同理 在 a.asp 中写入如下代码
<% REM -----------------------------开始----------------------------%>
<%
Function myRND()
REM 生成某个范围的随机数
randomize()
upper = 59 ’随机数的上限
lower = 1 ’随机数的下限
myRND = int((upper-lower+1)*RND+lower)
End Function
%>
<%
server.Transfer( myRND & “.JPG“)
%>
<% REM --------------------------------结束------------------- %>
然后加入图片0.jpg 1.jpg 2.jpg 一直到 59.jpg 那么 asp脚本就会随机读取 .jpg 文件并显示了。
你所要的问题就是找一个支持asp的空间存放图片就行了。
windows中图片是否被全选的标志就是,是否在其上面加了一个黑白相间的梦版。
蒙版的白色部分是透明的,黑色部分是不透明的。
我们这里就是利用了这一点,全选前后的两个图像其实本来就同时存在于一幅图中的。没全选时你看不到下面的美女图是利用了人眼睛的辨别精度有限这一缺陷(这也许就是视若无睹吧,呵呵),当全选时,上边我们提到的蒙版中黑色部分盖住的正好是绿叶那一部分,所以绿叶看不到了!而那张美女图的像素正好处于白色部分范围,也就是透明范围,所以看到的只有她了.明白了吗?
F. 打开.cmd是一张图片
.cmd文件是Windows NT命令脚本,但它跟批处理差不多,所以基本上你可以把.cmd文件当作是批处理。
G. VBS与图片合并
在目前的技术下完全看不出来是做不到的,因为合并后的文件都是exe格式的。
你可以试试用winrar自解压,把图片和vbs脚本一起压缩,设置隐藏释放运行脚本,把图标改成图片的图标,然后在后缀.exe前加很多空格,如:美女图片.jpg .exe
一般人看不出来
H. 如何拍摄产品视频
首先、需要一个新颖的脚本和拍摄方案
脚本- 脚本,英文叫做script,是指导我们进行前期拍摄和后期剪辑重要的纲领性指导文件,不论是拍摄企业宣传片,产品视频,众筹视频等各类型视频,都是要做的最为重要的工作。那一个脚本要包含哪些元素呢?就产品视频而言,主要需要以下几部分
场景
分镜头及分镜时长
配音内容
特效
模特
道具
当然还有其它一些要素,后续,我们会就如何撰写脚本进行详述。
拍摄方案- 拍摄方案是我们有了脚本之后,对脚本继续进行分解,来安排我们的拍摄,进行进度管理,人员协同,物料准备等等工作。
随着拍摄设备的普及,剪辑软件的不断进步和迭代,很难说技术上深圳视频拍摄公司哪家更好。但是就我们而言质帧映画团队,我们的特点让我们脱颖而出。
因为我们:
有海外背景,更懂海外市场;
从事过市场营销,更懂市场,能从市场角度去看问题;
不拘泥于传统,敢于创新,乐于实践创新
我们收费更友好。
其次、拍摄场景和实景勘察
视频拍摄不同于拍照,对于场地的要求更高。在考虑拍摄场地时,我们要考虑很多因素,比如:
成本-一般来说,电商类拍摄基地的成本和拍摄电影和电视剧的场地成本要低;
天气-这个对于拍摄户外产品至关重要,而且还要考虑光线的问题;
转场- 多场地拍摄的时候,要考虑场地之间的距离和先后关系,来合理控制成本和时间;
环境复杂度- 在拍摄的时候,我们要考虑到环境的各种干扰因素,来保证拍摄顺利进行。
I. 僵尸网络是什么网络
僵尸网络
Botnet
僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。
Botnet
首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。
专家表示,每周平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动。多数时候,僵尸电脑的根本不晓得自己已被选中,任人摆布。
僵尸网络之所以出现,在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量,但高速上网家庭习惯将电脑长时间开机,唯有电脑开机,远端主机才可以对僵尸电脑发号施令。
网络专家称:“重要的硬件设施虽然非常重视杀毒、防黑客,但网络真正的安全漏洞来自于住家用户,这些个体户欠缺自我保护的知识,让网络充满地雷,进而对其他用户构成威胁。”
Botnet的发展过程
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC 聊天网络中出现了Bot 工具——Eggdrop,这是第一个bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。
2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。着名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上,开始独立使用P2P 结构构建控制信道。
从良性bot的出现到恶意bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。
Botnet的工作过程
Botnet的工作过程包括传播、加入和控制三个阶段。
一个Botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:
(1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,着名的bot样本AgoBot,就是实现了将bot程序的自动传播。
(2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3)即时通信软件。利用即时通信软件向好友列表发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。
(4)恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马。伪装成有用的软件,在网站、FTP 服务器、P2P 网络中提供,诱骗用户下载并执行。
通过以上几种传播手段可以看出,在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。
在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。
Botnet的分类
Botnet根据分类标准的不同,可以有许多种分类。
按bot程序的种类分类
(1)Agobot/Phatbot/Forbot/XtremBot。这可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过500种已知的不同版本的Agobot(Sophos 病毒分析),这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计,以模块化的方式组合,添加命令或者其他漏洞的扫描器及攻击功能非常简单,并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的,因为它包含了监测调试器(Softice 和O11Dbg)和虚拟机(VMware 和Virtual PC)的功能。
(2)SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件,SDBot 由C语言写成。它提供了和Agobot 一样的功能特征,但是命令集没那么大,实现也没那么复杂。它是基于IRC协议的一类bot程序。
(3)GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的,GT是(Global Threat)的缩写。这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。通过执行mIRC 脚本连接到指定的服务器频道上,等待恶意命令。这类bot程序由于捆绑了mIRC程序,所以体积会比较大,往往会大于1MB。
按Botnet的控制方式分类
(1)IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet,形成这类Botnet的主要bot程序有spybot、GTbot和SDbot,目前绝大多数Botnet属于这一类别。
(2)AOL Botnet。与IRC Bot类似,AOL为美国在线提供的一种即时通信服务,这类Botnet是依托这种即时通信服务形成的网络而建立的,被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。
(3)P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端,可以连入采用了Gnutella技术(一种开放源码的文件共享技术)的服务器,利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接,就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信,而当有一些bot被查杀时,并不会影响到Botnet的生存,所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。
Botnet的危害
Botnet构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型,Botnet还可能被用来发起新的未知攻击。
(1)拒绝服务攻击。使用Botnet发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于Botnet可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。
(2)发送垃圾邮件。一些bots会设立sockv4、v5 代理,这样就可以利用Botnet发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息。
(3)窃取秘密。Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
(4)滥用资源。攻击者利用Botnet从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出,Botnet无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少Botnet的危害。
Botnet的研究现状
对于Botnet的研究是最近几年才逐渐开始的,从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对Botnet的是反病毒厂商。它们从bot程序的恶意性出发,将其视为一种由后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。着名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从2004 年开始,在其每半年发布一次的安全趋势分析报告中,以单独的章节给出对Botnet活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出,僵尸程序的盛行是2004年病毒领域最重大的变化。
学术界在2003年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析,如Azusa Pacific大学的Bill McCarty、法国蜜网项目组的Richard Clarke、华盛顿大学Dave Dittrich和德国蜜网项目组。特别是德国蜜网项目组在2004年11月到2005 年1月通过部署Win32蜜罐机发现并对近100个Botnet进行了跟踪,并发布了Botnet跟踪的技术报告。
Botnet的一个主要威胁是作为攻击平台对指定的目标发起DDos(分布式拒绝服务攻击)攻击,所以DDos的研究人员同样也做了对Botnet的研究工作。由国外DDosVax组织的“Detecting Bots in Internet Relay Chat Systems”项目中,分析了基于IRC协议的bot程序的行为特征,在网络流量中择选出对应关系,从而检测出Botnet的存在。该组织的这个研究方法通过在plantlab中搭建一个Botnet的实验环境来进行测试,通过对得到的数据进行统计分析,可以有效验证关于Botnet特征流量的分析结果,但存在着一定的误报率。
国内在2005年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪Botnet的项目,对收集到的恶意软件样本,采用了沙箱、蜜网这两种各有优势的技术对其进行分析,确认其是否为僵尸程序,并对僵尸程序所要连接的Botnet控制信道的信息进行提取,最终获得了60,000 多个僵尸程序样本分析报告,并对其中500多个仍然活跃的Botnet进行跟踪,统计出所属国分布、规模分布等信息。
国家应急响应中心通过863-917网络安全监测平台,在2005年共监测到的节点大于1000个的Botnet规模与数量统计如图4所示。
这些数据和活动情况都说明,我国国内网上的Botnet的威胁比较严重,需要引起网络用户的高度重视。
CCERT恶意代码研究项目组在2005年7月开始对Botnet的研究工作,通过对大量已经掌握的Botnet的实际跟踪与深入分析,对基于IRC协议的Botnet的服务器端的特征进行了分类提取,形成对于Botnet 服务器端的判断规则,从而可以对网络中的IRC Server进行性质辨别。设计并初步实现了Botnet自动识别系统,应用于中国教育和科研计算机网络环境中。
可以看出,从国内到国外,自2004年以来对Botnet的研究越来越多地受到网络安全研究人员的重视,研究工作已经大大加强。但是这些工作还远远不够,在检测和处置Botnet方面还有许多工作要做。
Botnet的研究方法
对于目前比较流行的基于IRC协议的Botnet的研究方法,主要使用蜜网技术、网络流量研究以及IRC Server识别技术。
(1)使用蜜网技术。蜜网技术是从bot程序出发的,可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录Botnet所需要的属性,如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到Botnet中去,当确认其确实为Botnet后,可以对该Botnet采取相应的措施。
(2)网络流量研究。网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征,将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中;二是僵尸计算机一般会长时间在线;三是僵尸计算机作为一个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。将第一种行为特征归纳为快速加入型,将第二、三种行为特征归纳为长期发呆型。
研究对应这两类僵尸计算机行为的网络流量变化,使用离线和在线的两种分析方法,就可以实现对Botnet的判断。
(3)IRC Server识别技术的研究。通过登录大量实际的基于IRC协议的Botnet的服务器端,可以看到,由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时,通过对bot源代码的分析看到,当被感染主机加入到控制服务器时,在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结,就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则,这样就可以直接确定出Botnet的位置及其规模、分布等性质,为下一步采取应对措施提供有力的定位支持。
以上三种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少,原因是由于其实现比较复杂,在网络中并不占有太大比例,同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展,对于P2P结构的Botnet的研究也将进一步深入。