黑客小常识课件

《黑客小常识课件》由会员分享，可在线阅读，更多相关《黑客小常识课件（17页珍藏版）》请在金锄头文库上搜索。

1、0、从两个例子讲起,1、IPC$攻击 IPC$(Internet Process Connection) 只有NT/2000/XP才可以建立ipc$连接,98/me不能 如果你以管理员身份登陆,可为所欲为 典型命令：net use 127.0.0.1IPC$ “1234 /user:admintitrators ipc$与139,445端口 ipc$与默认共享 防范ipc$入侵 ? HKLMSYSTEMCurrentControlSetControlLSA HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters net share 资

2、源名 /delete 2、DNS欺骗 202.101.98.55(原) 218.85.157.99 218.85.152.99（现） 166.111.168.12(清华) DNS服务器的绑定 端口 53 结论：安全问题确实存在！,一、税务系统计算机安全实际形势,从2008年20个省级税务局安全检查看安全形势。,2008年20个省税务机关计算机安全检查情况,典型渗透测试案例,通过纳税服务系统存在的SQL注入漏洞，可获取到统一税收征管系统（CTAIS）、车购税系统等多个信息系统的数据文件,典型渗透测试案例（续）,以该服务器为跳板，可直接接入税务系统业务专网，并可通过木马程序对税务系统业务专网做进一

3、步攻击。,典型渗透测试案例2,模拟普通办公人员向生产服务器渗透，100%成功。,二、黑客常用攻击手段,黑客工作一般步骤： 收集：锁定目标了解目标网络结构收集目标更多信息； 实施：（参见二、黑客常用工具） 巩固：清除日志，留下后门。 深入：为自己的后门或木马打好补丁，进一步用目标机攻击别的目标机。,三、黑客常用攻击手段(续),Windows后门及木马种类 系统服务：例如telnet、 ftp 、web、 IRC、SMTP等等本身都是大后门，开放的各种端口，如3389#，可提供远程桌面服务。用open 命令可开放这些服务。但是这类后门易被发现，一般用于安装其他黑客工具。 SHELL后门，Windo

4、ws2000,XP登录后放了一个SHELL。 远程控制器：其实有时侯是合法软件，有时候被用作木马，其原理与木马几乎相同。例如DameWare、冰河、兰色火焰。 键盘记录工具：历史比较久了，例如网银大盗，一旦发现银行系统相关，就记录，此类后门工具用与QQ刺探的多。 脚本后门：通过JSP 、ASP （ASP较多）中基于80端口HTTP请求进行工作，这是很常规用法，因此不好判断也难隐藏，好在一般工作权限比较小，要配合权限提升才容易工作得顺心。 系统级服务：通过远程插入，将服务嵌在别的系统进程中，自己没有独立进程，因此隐藏性很好，例如著名的广外男生，又如各种线程注射器等。,四、了解黑客常用攻击工具,1

5、、扫描器：例如：流光5.0、SupperScan4.0、X-Scan3.3 2、口令破译：远程：ftptelenet 本地：Administratorword 例如：SSS（俄罗斯）、乱刀、NT破译 3、木马：服务器端+客户端 例如：冰河（老牌、简单）、网络神偷等 4、合并：脚本捆绑，木马捆绑 5、攻击：DoS、IP包攻击、邮件攻击、漏洞攻击、QQ攻击，例如：蓝血攻击者，利用IP包攻击，会使WIN98/Me/XP从新启动，使用简单。 6、嗅探器：硬件的（价格昂贵），软件，例如：sniffer-pro,五、了解黑客常用工具,（工具演示）,六、税务系统一般干部计算机安全应知应会知识,防护： 6-1

6、 新PC机安装或重装 6-2 注册表操作及保护 6-3 端口及服务 6-4 木马简单检查 6-5 PC机常用命令集（基层技术员）,6-1 新PC机安装或重装,加装防病毒软件； 个人防火墙并开启监控； 修改管理员口令，关闭不必要的用户； 关闭共享资源、不必要的端口、不必要的服务； 其他设置（如ActiveX等）； 备份注册表和必要的日志； 系统补丁、防病毒软件升级、防伙墙升级； 再备份注册表，以后每次有改变，备份。,6-2 注册表操作及保护,Regedit操作 打开与查看 修改 备份与恢复,6-3 端口及服务,在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，二是逻辑意义上的端

7、口，一般是指TCP/IP协议中的端口，我们这里指的就是逻辑意义上的端口。端口号的范围从0到65535。端口分为知名端口和动态端口，知名端口范围从0到1023，这些端口号一般固定分配给一些服务。动态端口编号065535。,6-3 端口及服务（续1）,常见漏洞端口见下表 （看另一文档） 关闭端口 关闭服务（根据需要保留服务，可参阅各种最少服务参考） 例：禁止At命令。种完木马后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用task scheduler服务即可. 例：关闭Remote Registry服务。 例：禁用TCP/IP上的NetBIOS。网上邻居-属性-本地连接-属性-Inte

8、rnet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样黑客就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。,6-4 木马简单检查,1、集成到程序中 （运行中发现） 2、隐藏在媒体文件中（运行中发现） 3、隐藏在System.ini 和Win.ini （msconfig ） 4、隐藏在Autoexec.bat或Config.sys （直接打开看） 5、任务管理器(右击打开) 6、启动项（msconfig ） 7、注册表（Regedit） HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion、 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion,谢谢！,