《第五章-网络后门与网络隐身》由会员分享,可在线阅读,更多相关《第五章-网络后门与网络隐身(54页珍藏版)》请在金锄头文库上搜索。
1、版权所有,盗版必纠第5章 网络后门与网络隐身刘海滨 河北科技师范学院工商管理学院 电话:15903391949版权所有,盗版必纠概 述 本章来介绍网络后门与网络隐身技术,主要包括木马、后门和清除攻击痕迹等。这个技术与方法都是黑客攻击常用的技术方法。 版权所有,盗版必纠目 录木马攻击 网络后门 清除攻击痕迹 版权所有,盗版必纠5.1 木马攻击木马的起源特洛伊战争以争夺世上最漂亮的女人海伦(Helen)为起因。木马攻击起源特洛伊国王普里阿摩斯的二王子帕里斯木马攻击起源希腊斯巴达王麦尼劳斯的兄弟迈西尼国王阿伽门农木马攻击起源迈西尼国王阿伽门农木马攻击起源特洛伊国王普里阿摩斯的长子,王位继承人赫克托尔
2、木马攻击起源传说中的阿喀琉斯木马攻击起源版权所有,盗版必纠木马攻击起源木马攻击起源木马攻击起源木马攻击起源木马攻击起源版权所有,盗版必纠5.1 木马攻击木马攻击的组成及工作原理:一个是客户端一个是服务器端如果要给别人计算机上种木马,则受害者一方运行的是服务器端程序,而自己使用的是客户端来控制受害者机器。木马攻击的特性:基于远程控制的黑客工具隐蔽性非授权性版权所有,盗版必纠5.1 木马攻击木马的传播方式: 通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马; 软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要
3、一运行这些程序,木马就会自动安装。版权所有,盗版必纠5.1 木马攻击1. 密码发送型木马密码发送型木马密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启,而且它们大多数使用25端口发送E-mail。2. 键盘记录型木马键盘记录型木马键盘记录型木马非常简单的,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动,知道受害者在线并且记录每一件事。 版权所有,盗版必纠5.1 木马攻击3. 毁坏型木马毁坏型木马毁坏型木马的唯一功能是毁坏并且删
4、除文件。这使它们非常简单,并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。4. FTP 型木马型木马FTP 型木马打开用户计算机的21端口(FTP所使用的默认端口), 使每一个人都可以用一个FTP 客户端程序来不用密码连接到该计算机,并且可以进行最高权限的上传下载。版权所有,盗版必纠5.1 木马攻击木马常用的欺骗方法:捆绑欺骗:捆绑欺骗:如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人。危险下载点:危险下载点:攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载 ;或直接将木马改名上载到FTP网站上,等待别人下载。文件夹惯性
5、点击:文件夹惯性点击:把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹。版权所有,盗版必纠5.1 木马攻击4. zip伪装:伪装:将一个木马和一个损坏的zip包捆绑在一起,然后指定捆绑后的文件为zip图标。5. 网页木马法:网页木马法:有的网页是自带木马的,只要打开该网页,立刻就会安装上木马。常见的木马:常见的木马:Windows下有Netbus、subseven、BO、冰河、网络神偷等。UNIX下有Rhost +、Login后门、rootkit等。版权所有,盗版必纠5.1.3 木马例子下面以Windows下的冰河木马为例子,介绍木马的原理。冰河实际上是一个小小的服
6、务器程序(安装在要入侵的机器中),这个小小的服务端程序功能十分强大,通过客户端(安装在入侵者的机器中)的各种命令来控制服务端的机器,并可以轻松的获得服务端机器的各种系统信息。1999年上半年,一个名叫黄鑫的人写出了冰河木马软件。冰河在国内一直是不可动摇的领军木马,有人说在国内没用过冰河的人等于没用过木马,可见冰河木马的重要性。 版权所有,盗版必纠5.1.3 木马例子 冰河木马的服务器端程序名为G_Server.exe,客户端程序名为G_Client.exe。冰河木马目的是远程访问、控制。冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。如图5.2所示为冰河不同版本的图标。版权所有
7、,盗版必纠5.1.3 木马例子冰河木马的功能如下:冰河木马的功能如下:1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息,且1.2以上的版本中允许用户对该功能自行扩充,2.0以上版本还同时提供了击键记录功能。3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。版权所有,盗版必纠5.1.3 木马例子4.限制系统功能:包括远程关机
8、、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式正常方式、最大化、最小化和隐藏方式)等多项文件操作功能。6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。7.发送信息:以四种常用图标向被控端发送简短信息。8.点对点通讯:以聊天室形式同被控端进行在线交谈。版权所有,盗版必纠5.1.3 木马例子下面来看看冰河木马的使用。首选可以采用一些端口扫描工具如X-way、Superscan、X-Scan等扫描一个网段内的所有
9、主机,看看这些主机有哪些7626端口是开放的。如图5.3所示为使用X-way扫描一个网段中的7626端口。版权所有,盗版必纠5.1.3 木马例子 版权所有,盗版必纠5.1.3 木马例子X-way的扫描结果如图5.4所示。发现了6台机器的7626端口是开放的,这表明这6台机器可能都有冰河木马。 版权所有,盗版必纠5.1.3 木马例子图5.5所示为冰河主界面,可以看到它可以完成屏幕抓图、控制、修改服务器配置、冰河信使等功能。 版权所有,盗版必纠5.1.3 木马例子图5.6所示为通过冰河可以得到对方机器的一些密码。 版权所有,盗版必纠5.1.3 木马例子图5.7所示为受害者的一些信息可以通过邮件发送
10、给控制方。 版权所有,盗版必纠5.1.3 木马例子如图5.8所示受害者机器采用netstatan命令看到的7626端口是开放的 。版权所有,盗版必纠5.1.3 木马例子图5.9所示为采用冰河信使给受害者计算机发信息。版权所有,盗版必纠5.1.3 木马例子图5.10所示为采用冰河控制对方计算机。版权所有,盗版必纠5.1.3 木马例子木马的防范措施 1 安装杀毒软件和个人防火墙,并及时升级。 2 把个人防火墙设置好安全等级,防止未知程序向外传送数据。 3 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 4 如果使用IE浏览器,应该安装卡卡安全助手、360安全卫士等防止恶意网站在自己电脑上安
11、装不明软件和浏览器插件,以免被木马趁机侵入。 5 禁用端口方式。版权所有,盗版必纠5.1.3 木马例子版权所有,盗版必纠5.1.3 木马例子版权所有,盗版必纠5.1.3 木马例子版权所有,盗版必纠5.1.3 木马例子版权所有,盗版必纠5.1.3 木马例子版权所有,盗版必纠5.2 网络后门后门介绍早期的电脑黑客,在成功获得远程系统的控制权后,希望能有一种技术使得他们在任意的时间都可以再次进入远程系统,于是后门程序就出现了。后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或
12、是在发布软件之前没有删除后门程序,那么它就存在安全隐患,容易被黑客当成漏洞进行攻击。版权所有,盗版必纠5.2 网络后门后门实例全球著名黑客凯文米特尼克在15岁的时候,闯入了“北美空中防务指挥系统”的计算机主机内,他和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料,然后又悄无声息地溜了出来,这就是黑客历史上利用“后门”进行入侵的一次经典之作。世上头号电脑黑客凯文 米特尼克版权所有,盗版必纠5.2 网络后门欺骗的艺术(The Art of Deception: Controlling the Human Element of Security)入侵的艺术(The Art of In
13、trusion)版权所有,盗版必纠5.2 网络后门后门的防御方法后门的防御方法后门的防范相对于木马来说,更加的困难,因为系统本身就包括远程桌面、远程协助这些可以进行远程维护的后门,所以对用户来讲更加的困难。(1) 首先对使用的操作系统以及软件要有充分的了解,确定它们之中是否存在后门。如果存在的话就需要及时关闭,以免这些后门被黑客所利用,比如系统的远程桌面、远程协助等。(2) 关闭系统中不必要的服务,这些服务中有相当一部分对于个人用户来说不但没有作用,而且安全方面也存在很大的隐患,比如Remote Registry、Terminal Services等,这样同样可以防范系统服务被黑客利用。版权所
14、有,盗版必纠5.2 网络后门(3) 安装网络防火墙,这样可以有效地对黑客发出的连接命令进行拦截。即使是自己的系统被黑客安装了后门程序,也能阻止黑客的进一步控制操作。(4) 安装最新版本的杀毒软件,并且将病毒库升级到最新的版本。另外再安装一个注册表监控程序,可以随时对注册表的变化进行监控,有效地防范后门的入侵。版权所有,盗版必纠5.3 清除攻击痕迹操作系统日志操作系统日志是对操作系统中的操作或活动进行的记录,不管是用户对计算机的操作还是应用程序的运行情况都能全面记录下来。黑客在非法入侵电脑以后所有行动的过程也会被日志记录在案。所以黑客在攻击之后,如果删除这些日志记录,就显得很重要了。虽然一个日志
15、的存在不能提供完全的可记录性,但日志能使系统管理员和安全官员做到: 1. 发现试图攻击系统安全的重复举动发现试图攻击系统安全的重复举动(例如:一个攻击者试图冒充administrator或root登录)。 2. 跟踪那些想要越权的用户跟踪那些想要越权的用户(例如:那些使用sudo 命令作为root 执行命令的用户)。 3. 跟踪异常的使用模式跟踪异常的使用模式(例如:有人在工作时间以外的时间登录计算机)。 4. 实时跟踪侵入者。实时跟踪侵入者。版权所有,盗版必纠5.3 清除攻击痕迹5.3.1 Windows下清除攻击痕迹下清除攻击痕迹Windows下的日志信息可以在“控制面板控制面板”-“管管
16、理工具理工具”-“事件查看器事件查看器”当中找到。如图5.17所示为事件查看器中的应用程序日志。版权所有,盗版必纠5.3 清除攻击痕迹5.3.1 Windows下清除攻击痕迹如图5.18所示为事件查看器中的安全日志版权所有,盗版必纠5.3 清除攻击痕迹5.3.1 Windows下清除攻击痕迹如图5.19所示为事件查看器中的系统日志。版权所有,盗版必纠5.3 清除攻击痕迹三种日志文件的存放位置分别如下:三种日志文件的存放位置分别如下:1. 安全日志文件默认位置:%systemroot%system32configSecEvent.EVT2. 系统日志文件默认位置:%systemroot%syst
17、em32configSysEvent.EVT3. 应用程序日志文件:%systemroot%system32configAppEvent.EVT版权所有,盗版必纠5.3 清除攻击痕迹版权所有,盗版必纠思考题1. 什么是木马?如何防范木马攻击?什么是木马?如何防范木马攻击?2. 什么是后门,后门与木马的异同点在哪里?什么是后门,后门与木马的异同点在哪里?3. Windows操作系统都有哪些日志文件,放在哪操作系统都有哪些日志文件,放在哪里?里?4Windows操作系统都有哪些日志文件操作系统都有哪些日志文件?版权所有,盗版必纠返回Thanks For Attendance!Thanks For Attendance!
