網(wǎng)絡(luò)攻防實戰(zhàn)演練(ppt)課件

1、網(wǎng)絡(luò)攻防實戰(zhàn)演練(ppt)網(wǎng)絡(luò)攻防技術(shù)or網(wǎng)絡(luò)偵查與審計技術(shù)網(wǎng)絡(luò)偵查審計的三個階段偵 查滲 透控 制定位出網(wǎng)絡(luò)資源的具體情況 檢查各種系統(tǒng)的漏洞 控制網(wǎng)絡(luò)資源、創(chuàng)建賬號、修改日志、行使管理員的權(quán)限 第一節(jié)：偵查階段第一節(jié)：偵查階段本節(jié)要點：描述偵查過程識別特殊的偵查方法安裝和配置基于網(wǎng)絡(luò)和基于主機的偵查軟件實施網(wǎng)絡(luò)級和主機級的安全掃描配置和實施企業(yè)級的網(wǎng)絡(luò)漏洞掃描器安全掃描的概念理解 安全掃描就是對計算機系統(tǒng)或者其它網(wǎng)絡(luò)設(shè)備進行安全相關(guān)的檢測，以找出安全隱患和可被黑客利用的漏洞。 安全掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。 安全掃描是保證系統(tǒng)和

2、網(wǎng)絡(luò)安全必不可少的手段，必須仔細研究利用。安全掃描的檢測技術(shù)基于應(yīng)用的檢測技術(shù)，它采用被動的，非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞?；谥鳈C的檢測技術(shù)，它采用被動的，非破壞性的辦法對系統(tǒng)進行檢測。 基于目標的漏洞檢測技術(shù)，它采用被動的，非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫，注冊號等。基于網(wǎng)絡(luò)的檢測技術(shù)，它采用積極的，非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊崩潰。 安全掃描系統(tǒng)具有的功能說明 協(xié)調(diào)了其它的安全設(shè)備使枯燥的系統(tǒng)安全信息易于理解，告訴了你系統(tǒng)發(fā)生的事情跟蹤用戶進入，在系統(tǒng)中的行為和離開的信息可以報告和識別文件的改動糾正系統(tǒng)的錯誤設(shè)置安全掃描whoisnslook

3、uphostTraceroutePing掃描工具安全掃描常用命令Traceroute命令用于路由跟蹤，判斷從你的主機到目標主機經(jīng)過哪些路由器、跳計數(shù)、響應(yīng)時間等等可以推測出網(wǎng)絡(luò)物理布局判斷出響應(yīng)較慢的節(jié)點和數(shù)據(jù)包在路由過程中的跳數(shù)Traceroute 或者使用極少被其它程序使用的高端UDP端口，或者使用PING數(shù)據(jù)包Traceroute 路由跟蹤原理TTL=1數(shù)據(jù)?TTL-10小于等于0ICMP time exceeded發(fā)IP包的源地址IP包的所有內(nèi)容路由器的IP地址ABTraceroute 路由跟蹤原理TTL=1數(shù)據(jù)小于等于0ICMP time exceeded發(fā)IP包的源地址IP包的所有

4、內(nèi)容路由器的IP地址AB我知道路由器A存在于這個路徑上路由器A的IP地址BTraceroute 路由跟蹤原理A我知道路由器A存在于這個路徑上路由器A的IP地址TTL=2數(shù)據(jù)?TTL-102-1=10TTL=1數(shù)據(jù)小于等于0ICMP time exceeded發(fā)IP包的源地址IP包的所有內(nèi)容路由器的IP地址?TTL-10我知道路由器B存在于這個路徑上路由器B的IP地址BTraceroute 路由跟蹤原理A我知道路由器A存在于這個路徑上路由器A的IP地址TTL=3數(shù)據(jù)?TTL-103-1=20TTL=2數(shù)據(jù)我知道路由器B存在于這個路徑上路由器B的IP地址?TTL-102-1=10TTL=1數(shù)據(jù)po

5、rt number 是一個一般應(yīng)用程序都不會用的號碼（30000 以上），所以當(dāng)此數(shù)據(jù)包 到達目的地后該主機會送回一個ICMP port unreachable的消息，而當(dāng)源主機收到這個消息時，便知道目的地已經(jīng)到達了。ICMP port unreachable我到達了目的地普通Traceroute到防火墻后的主機假定防火墻的規(guī)則阻止除PING和PING響應(yīng)（ICMP類型8和0）uniwistraceroute traceroute to (05), 30 hops max, 40 byte packets1 () 0.540 ms 0.394 ms 0.397 ms2 () 2.455 ms

6、2.479 ms 2.512 ms3 4 (4) 4.812 ms 4.780 ms 4.747 ms4 () 5.010 ms 4.903 ms 4.980 ms5 15 (15) 5.520 ms 5.809 ms 6.061 ms6 6 (15) 9.584 ms 21.754 ms 20.530 ms7 () 94.127 ms 81.764 ms 96.476 ms8 6 (6)96.012 ms 98.224 ms 99.312 ms 使用ICMP數(shù)據(jù)包后Traceroute結(jié)果xuyitraceroute -I traceroute to (05), 30 hops max, 4

7、0 byte packets1 () 0.540 ms 0.394 ms 0.397 ms2 () 2.455 ms 2.479 ms 2.512 ms3 4 (4) 4.812 ms 4.780 ms 4.747 ms4 () 5.010 ms 4.903 ms 4.980 ms5 15 (15) 5.520 ms 5.809 ms 6.061 ms6 6 (15) 9.584 ms 21.754 ms 20.530 ms7 () 94.127 ms 81.764 ms 96.476 ms8 6 (6) 96.012 ms 98.224 ms 99.312 ms 使用ICMP的Tracero

8、ute原理由于防火墻一般不進行內(nèi)容檢查，我們可以將探測數(shù)據(jù)包到達防火墻時端口為其接受的端口，就可以繞過防火墻到達目標主機。 起始端口號計算公式起始端口號=(目標端口-兩機間的跳數(shù)*探測數(shù)據(jù)包數(shù))-1例：防火墻允許FTP數(shù)據(jù)包通過，即開放了21號端口,兩機間跳數(shù)為2 起始端口號（ftp端口兩機間的跳數(shù)*默認的每輪跳數(shù))1 （212*3）-1 151 14 掃描類型按照獲得結(jié)果分類存活性掃描端口掃描系統(tǒng)堆棧掃描按照攻擊者角色分類主動掃描被動掃描一、存活性掃描發(fā)送掃描數(shù)據(jù)包，等待對方的回應(yīng)數(shù)據(jù)包其最終結(jié)果并不一定準確，依賴于網(wǎng)絡(luò)邊界設(shè)備的過濾策略最常用的探測包是ICMP數(shù)據(jù)包例如發(fā)送方發(fā)送ICMP

9、Echo Request，期待對方返回ICMP Echo ReplyPing掃描作用及工具子網(wǎng)68024結(jié)果02468Ping掃描Ping掃描程序能自動掃描你所指定的IP地址范圍 二、端口掃描端口掃描不僅可以返回IP地址，還可以發(fā)現(xiàn)目標系統(tǒng)上活動的UDP和TCP端口 Netscan tools掃描結(jié)果 端口掃描技術(shù)一覽探測分段，指向某一端口回應(yīng)分段對回應(yīng)分段進行分析對SYN分段的回應(yīng)對FIN分段的回應(yīng)對ACK分段的回應(yīng)對Xmas分段的回應(yīng)對Null分段的回應(yīng)對RST分段的回應(yīng)對UDP數(shù)據(jù)報的回應(yīng)端口掃描原理 一個端口就是一個潛在的通信通道，即入侵通道對目標計算機進行端口掃描，得到有用的信息掃描

10、的方法：手工進行掃描端口掃描軟件OSI 參考模型ApplicationPresentationSessionTransportNetworkData LinkPhysicalData LinkNetworkTransportSessionPresentationApplicationPhysical比特流幀（Frame）包（Packet）分段（Segment）會話流代碼流數(shù)據(jù)TCP/IP協(xié)議簇傳輸層數(shù)據(jù)連路層 網(wǎng)絡(luò)層物理層應(yīng)用層會話層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層物理層HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RAR

11、P等IP協(xié)議包頭VERHDR.LTHSERVICEDATADRAM LENGTHDATAGRAM IDENTIFICATIONFLAGSFRAGMENT OFFSETTTLPROTOCOLHEADER CHECKSUMSOURCE ADDRESSDESTINATION ADDRESSOPTIONS0151631ICMP協(xié)議包頭Type(類型)Code（代碼）Checksum（校驗和）ICMP Content078151631TCP協(xié)議包頭Source port (16)Destination port (16)Sequence number (32)Headerlength (4)Acknow

12、ledgement number (32)Reserved (6)Code bits (6)Window (16)Checksum (16)Urgent (16)Options (0 or 32 if any)Data (varies)Bit 0Bit 15Bit 16Bit 3120 bytesUDP協(xié)議包頭Source PortLength0151631DataDestination PortChecksumTCP三次握手機制SYN received主機A：客戶端主機 B：服務(wù)端發(fā)送TCP SYN分段 (seq=100 ctl=SYN)1發(fā)送TCP SYN&ACK分段(seq=300 ac

13、k=101 ctl=syn,ack)SYN received2Established(seq=101 ack=301 ctl=ack)3TCP連接的終止主機A：客戶端主機 B：服務(wù)端1發(fā)送TCP FIN分段2發(fā)送TCP ACK分段3發(fā)送TCP FIN分段4發(fā)送TCP ACK分段關(guān)閉A到B的連接關(guān)閉B到A的連接TCP/IP相關(guān)問題 一個TCP頭包含6個標志位。它們的意義如下所述：SYN：標志位用來建立連接，讓連接雙方同步序列號。如果SYN1而ACK=0，則表示該數(shù)據(jù)包為連接請求，如果SYN=1而ACK=1則表示接受連接；FIN：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接；RST：用來復(fù)位一個

14、連接。RST標志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機上的任何一個連接，則向遠端發(fā)送一個復(fù)位包；URG：為緊急數(shù)據(jù)標志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針有效；ACK：為確認標志位。如果為1，表示包中的確認號時有效的。否則，包中的確認號無效；PSH：如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。大部分TCP/IP遵循的原則(1)SYN數(shù)據(jù)包 監(jiān)聽的端口SYN | ACK 正常的三次握手開始大部分TCP/IP遵循的原則(2)SYN或者FIN數(shù)據(jù)包 關(guān)閉的端口RST數(shù)據(jù)包 丟棄數(shù)據(jù)包大部分TCP/IP遵循的原則(3)RST數(shù)據(jù)包 監(jiān)聽的端口

15、丟棄RST數(shù)據(jù)包大部分TCP/IP遵循的原則(4)包含ACK的數(shù)據(jù)包 監(jiān)聽的端口RST數(shù)據(jù)包 丟棄數(shù)據(jù)包大部分TCP/IP遵循的原則(5)SYN位關(guān)閉的數(shù)據(jù)包 監(jiān)聽的端口丟棄數(shù)據(jù)包大部分TCP/IP遵循的原則(6)FIN數(shù)據(jù)包 監(jiān)聽的端口丟棄數(shù)據(jù)包 端口掃描方式全TCP連接TCP SYN 掃描TCP FIN 掃描其它TCP掃描方式UDP掃描UDP recvfrom（）和write （）掃描秘密掃描技術(shù)間接掃描全TCP連接長期以來TCP端口掃描的基礎(chǔ) 掃描主機嘗試（使用三次握手）與目的機指定端口建立建立正規(guī)的連接 連接由系統(tǒng)調(diào)用connect()開始 對于每一個監(jiān)聽端口，connect()會獲得

16、成功，否則返回1，表示端口不可訪問 很容易被檢測出來Courtney,Gabriel和TCPWrapper監(jiān)測程序通常用來進行監(jiān)測。另外，TCPWrapper可以對連接請求進行控制，所以它可以用來阻止來自不明主機的全連接掃描。TCPSYN掃描TCP SYN分段，指向某端口？該端口開放么？開放TCP SYN&ACK分段不開放TCP RST分段收到什么分段？TCP RSTTCP SYN&ACKTCPFIN掃描 TCP FIN分段，指向某端口？該端口開放么？開放不開放TCP RST分段收到什么分段？TCP RST沒有收到分段其他TCP掃描方式 NULL掃描發(fā)送一個沒有任何標志位的TCP包，根據(jù)RFC

17、 793，如果目標主機的相應(yīng)端口是關(guān)閉的話，應(yīng)該發(fā)送回一個RST數(shù)據(jù)包向目標主機發(fā)送一個FIN、URG和PUSH分組，根據(jù)RFC 793，如果目標主機的相應(yīng)端口是關(guān)閉的，那么應(yīng)該返回一個RST標志當(dāng)一個包含ACK的數(shù)據(jù)包到達目標主機的監(jiān)聽端口時，數(shù)據(jù)包被丟棄，同時發(fā)送一個RST數(shù)據(jù)包ACK掃描FIN+URG+PUSH（Xmas掃描）UDP掃描 使用的是UDP協(xié)議，掃描變得相對比較困難打開的端口對掃描探測并不發(fā)送一個確認，關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包。然而，許多主機在向未打開的UDP端口發(fā)送數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACHABLE錯誤，即類型為3、代碼為13的IC

18、MP消息UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須還實現(xiàn)在一個包看上去是丟失的時候能重新傳輸這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產(chǎn)生速率做了規(guī)定這種掃描方法需要具有root權(quán)限UDPrecvfrom()和write()掃描 當(dāng)非root用戶不能直接讀到端口不能到達錯誤時，某些系統(tǒng)如Linux能間接地在它們到達時通知用戶。 在非阻塞的UDP套接字上調(diào)用recvfrom()時，如果ICMP出錯還沒有到達時回返回AGAIN重試。如果ICMP到達時，返回CONNECT REFUSED連接被拒絕。這就是用來查看端口是否打開的技術(shù)。 對一個關(guān)閉的端口的第二個write()調(diào)用將

19、失敗。秘密掃描技術(shù) 不含標準TCP三次握手協(xié)議的任何部分，比SYN掃描隱蔽得多FIN數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器秘密掃描技術(shù)使用FIN數(shù)據(jù)包來探聽端口Xmas和Null掃描秘密掃描的兩個變種Xmas掃描打開FIN，URG和PUSH標記而Null掃描關(guān)閉所有標記。這些組合的目的是為了通過所謂的FIN標記監(jiān)測器的過濾秘密掃描通常適用于UNIX目標主機跟SYN掃描類似，秘密掃描也需要自己構(gòu)造IP包間接掃描利用第三方的IP（欺騙主機）來隱藏真正掃描者的IP假定參與掃描過程的主機為掃描機，隱藏機，目標機。掃描機和目標機的角色非常明顯。隱藏機是一個非常特殊的角色，在掃描機掃描目的機的時候，它不能

20、發(fā)送任何數(shù)據(jù)包（除了與掃描有關(guān)的包） 端口掃描軟件 端口掃描器是黑客最常使用的工具 單獨使用的端口掃描工具 集成的掃描工具三、系統(tǒng)堆棧指紋掃描利用TCP/IP來識別不同的操作系統(tǒng)和服務(wù) 向系統(tǒng)發(fā)送各種特殊的包，根據(jù)系統(tǒng)對包回應(yīng)的差別，推斷出操作系統(tǒng)的種類堆棧指紋程序利用的部分特征 ICMP錯誤信息抑制服務(wù)類型值(TOS)TCP/IP選項對SYN FLOOD的抵抗力TCP初始窗口 堆棧指紋的應(yīng)用 利用FIN探測利用TCP ISN采樣使用TCP的初始化窗口ICMP消息抑制機制ICMP錯誤引用機制ToS字段的設(shè)置 DF位的設(shè)置ICMP錯誤信息回顯完整性 TCP選項 ACK值 利用 FIN 標記探測F

21、IN的包（或者是任何沒有ACK或SYN標記的包）開放端口是否是MS-WINDOWS，BSDI，CISCO， HP/UX，MVS和IRIX系統(tǒng)RESET 是 否利用BOGUS標記探測SYN包（含有沒有定義的TCP標記的TCP頭）開放端口是否是LINUX系統(tǒng)包含這個沒有定義的標記的數(shù)據(jù)包是 否關(guān)閉連接使用TCP的初始化窗口 簡單地檢查返回包里包含的窗口長度。根據(jù)各個操作系統(tǒng)的不同的初始化窗口大小來唯一確定操作系統(tǒng)類型：注：TCP使用滑動窗口為兩臺主機間傳送緩沖數(shù)據(jù)。每臺TCP/IP主機支持兩個滑動窗口，一個用于接收數(shù)據(jù)，另一個用于發(fā)送數(shù)據(jù)。窗口尺寸表示計算機可以緩沖的數(shù)據(jù)量大小。NMAP工具 功能

22、強大、不斷升級并且免費 對網(wǎng)絡(luò)的偵查十分有效它具有非常靈活的TCP/IP堆棧指紋引擎 它可以穿透網(wǎng)絡(luò)邊緣的安全設(shè)備 注： NMAP穿透防火墻的一種方法是利用碎片掃描技術(shù)（fragment scans），你可以發(fā)送隱秘的FIN包（-sF），Xmas tree包（-sX）或NULL包（-sN）。這些選項允許你將TCP查詢分割成片斷從而繞過防火墻規(guī)則。這種策略對很多流行的防火墻產(chǎn)品都很有效。四、其它掃描 共享掃描軟件 使用Telnet 使用SNMP 認證掃描代理掃描社會工程共享掃描軟件提供了允許審計人員掃描Windows網(wǎng)絡(luò)共享的功能 只能偵查出共享名稱，但不會入侵共享 Ping ProRedBut

23、ton 共享掃描軟件子網(wǎng)60結(jié)果0 ：home，data6：files，apps共享掃描共享目錄Filesapps共享目錄homedata使用Telnet是遠程登錄系統(tǒng)進行管理的程序 可以利用Telnet客戶端程序連接到其它端口，從返回的報錯中獲得需要的系統(tǒng)信息使用SNMP SNMPv1最普通但也最不安全它使用弱的校驗機制用明文發(fā)送community nameSNMP 信息暴露 企業(yè)級的掃描工具掃描等級配置文件和策略報告功能報告風(fēng)險等級Axcent BetReconFinger服務(wù)漏洞；GameOver（遠程管理訪問攻擊）未授權(quán)注銷禁止服務(wù)漏洞，包括SMTP、DNS、FTP、HTTP、SOCK

24、S代理和低的sendmail補丁等級 企業(yè)級的掃描工具Network Associates CyberCop Scanner 是Network Associates的產(chǎn)品，象NetRecon一樣，CyberCop Scanner是一個主機級別的審計程序。也把各種漏洞分類為低、中、高三個等級提 示：CyberCop Monitor不是網(wǎng)絡(luò)掃描器，它是入侵監(jiān)測系統(tǒng)程序，能夠?qū)诳突顒舆M行監(jiān)視，提供報警功能，還能懲罰黑客。企業(yè)級的掃描工具WebTrends Security Analyzer與UNIX搭配使用多年操作界面也簡單易用Internet Security Systems的掃描產(chǎn)品ISS I

25、nternet Scanner有三個模塊：intranet，firewall和Web服務(wù)器 程序的策略是希望將網(wǎng)絡(luò)活動分類，并針對每種活動提供一種掃描方案ISS Security Scanner基于主機的掃描程序 社會工程電話訪問欺騙信任欺騙 教 育 電話訪問一位新的職員尋求幫助，試圖找到在計算機上完成某個特定任務(wù)的方法一位憤怒的經(jīng)理打電話給下級，因為他的口令突然失效一位系統(tǒng)管理員打電話給一名職員，需要修補它的賬號，而這需要使用它的口令一位新雇傭的遠程管理員打電話給公司，詢問安全系統(tǒng)的配置資料一位客戶打電話給供應(yīng)商，詢問公司的新計劃，發(fā)展方向和公司主要負責(zé)人信任欺騙當(dāng)電話社交工程失敗的時候，攻

26、擊者可能展開長達數(shù)月的信任欺騙典型情況通過熟人介紹，來一次四人晚餐可以隱藏自己的身份，通過網(wǎng)絡(luò)聊天或者是電子郵件與之結(jié)識偽裝成工程技術(shù)人員騙取別人回復(fù)信件，泄漏有價值的信息一般說來，有魅力的異性通常是最可怕的信任欺騙者，不過不論對于男性還是女性，女性總是更容易令人信任防范措施教 育網(wǎng)絡(luò)安全中人是薄弱的一環(huán)作為安全管理人員，避免員工成為偵查工具的最好方法是對他們進行教育。提高本網(wǎng)絡(luò)現(xiàn)有用戶、特別是網(wǎng)絡(luò)管理員的安全意識對提高網(wǎng)絡(luò)安全性能具有非同尋常的意義。掃描目標網(wǎng)絡(luò)級別的信息信 息描 述網(wǎng)絡(luò)拓撲安全審計人員首先應(yīng)當(dāng)搞清楚網(wǎng)絡(luò)的類型（以太網(wǎng)，令牌環(huán)等等），IP地址范圍，子網(wǎng)和其它網(wǎng)絡(luò)信息。配線架的

27、位置也很重要。作為安全管理人員，你的目標是利用防火墻、代理服務(wù)器等設(shè)備保護這些信息。路由器和交換機掌握路由器和交換機的種類對分析網(wǎng)絡(luò)安全十分重要，你可以是路由器泄漏信息。防火墻種類大多數(shù)的網(wǎng)絡(luò)都有防火墻。如果你能夠訪問防火墻，便可以偵查它并尋找相應(yīng)的漏洞。IP服務(wù)最基本的服務(wù)包括DHCP，BOOTP，WINS，SAMBA，和DNS。DNS服務(wù)特別容易遭受緩沖區(qū)溢出的攻擊。Modem池也許最流行的繞過防火墻是做法是通過modem連接再附以Man-in-the-middle攻擊和包捕獲。War dialer是在Internet上尋找網(wǎng)絡(luò)連接的重要的審計工具。掃描目標主機級別的信息信 息描 述活動端

28、口你應(yīng)該了解服務(wù)器上有那些端口是活動的。HTTP和FTP服務(wù)是最容易遭受端口掃描的服務(wù)，而且黑客會進一步實施緩沖區(qū)溢出攻擊。數(shù)據(jù)庫數(shù)據(jù)庫類型（例如Oracle,Microsoft SQL Server和IBM DB2），物理位置和應(yīng)用協(xié)議都很有價值。服務(wù)器服務(wù)器類型是非常有價值的信息。一旦你確定了服務(wù)器的種類是Microsoft或UNIX，便可以有針對性的利用系統(tǒng)的缺省設(shè)置和補丁偵查登錄賬戶名稱，弱口令和低的補丁等級。安全掃描技術(shù)的發(fā)展趨勢使用插件（plugin）或者叫功能模塊技術(shù)使用專用腳本語言由安全掃描程序到安全評估專家系統(tǒng)對網(wǎng)絡(luò)進行安全評估DMZ E-Mail File Transfer

29、 HTTPIntranet生產(chǎn)部工程部市場部人事部路由Internet中繼安全弱點掃描通訊 & 應(yīng)用服務(wù)層可適應(yīng)性安全弱點監(jiān)測和響應(yīng)DMZ E-Mail File Transfer HTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼安全弱點掃描操作系統(tǒng)層對于DMZ區(qū)域的檢測DMZ E-Mail File Transfer HTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼應(yīng)用程序?qū)影踩觞c掃描第二節(jié)：滲透階段重點內(nèi)容：服務(wù)器滲透與攻擊技術(shù)本節(jié)要點： 討論滲透策略和手法 列舉潛在的物理、操作系統(tǒng)和TCP/IP堆棧攻擊 識別和分析暴力攻擊

30、、社會工程和拒絕服務(wù)攻擊 實施反滲透和攻擊的方法入侵和攻擊的范疇 在Internet上 在局域網(wǎng)上 本地 離線在Internet上協(xié)作攻擊：Internet允許全世界范圍的連接，這很容易使來自全世界的人們在一個攻擊中進行合作參與。會話劫持：在合法的用戶得到鑒別可以訪問后，攻擊者接管一個現(xiàn)存動態(tài)會話的過程。欺騙：欺騙是一種模仿或采取不是自己身份的行為。轉(zhuǎn)播：是攻擊者通過第三方的機器轉(zhuǎn)播或反射他的通信，這樣攻擊就好象來自第三方的機器而不是他。特洛伊木馬或病毒：特洛伊木馬的常見用途是安裝后門。在局域網(wǎng)上嗅探流量：觀察網(wǎng)絡(luò)上所有流量的被動攻擊。廣播：攻擊者發(fā)送一個信息包到廣播地址，以達到產(chǎn)生大量流量的

31、目的。文件訪問：通過找到用戶標識和口令，可以對文件進行訪問。遠程控制：通過安裝木馬實現(xiàn)對機器的遠程控制。應(yīng)用搶劫：接收應(yīng)用并且達到非授權(quán)訪問。在本地旁側(cè)偷看未上鎖的終端被寫下的口令拔掉機器本地登錄離線下載口令文件下載加密的文本復(fù)制大量的數(shù)據(jù)常見的攻擊方法1.欺騙攻擊(Spoofing) 3.拒絕服務(wù)(Denial of Service)攻擊 2.中間人攻擊(Man-in-the-Middle Attacks)4.緩沖區(qū)溢出（Buffer Overflow）攻擊5.后門和漏洞攻擊6.暴力破解攻擊容易遭受攻擊的目標路由器數(shù)據(jù)庫郵件服務(wù)名稱服務(wù)Web和FTP服務(wù)器和與協(xié)議相關(guān)的服務(wù) 一、欺騙技術(shù)電子

32、郵件欺騙修改郵件客戶軟件的帳戶配置 通過使用網(wǎng)絡(luò)報文竊聽以及路由和傳輸協(xié)議進行這種攻擊。主要目的是竊取信息、截獲正在傳輸中的會話以便訪問專用網(wǎng)絡(luò)資源、進行流量分析以獲取關(guān)于一個網(wǎng)絡(luò)及其用途的信息、拒絕服務(wù)、破壞傳輸數(shù)據(jù)以及在網(wǎng)絡(luò)會話中插入新的信息。Man-in-the-Middle Attacks原理二、中間人攻擊(Man-in-the-Middle Attacks)報文竊聽 ( Packet Sniffers )數(shù)據(jù)包篡改 ( Packet alteration )重放攻擊 （ Replay attack ）會話劫持 ( Session hijacking )中間人攻擊的類型報文竊聽是一種軟

33、件應(yīng)用，該應(yīng)用利用一種處于無區(qū)別模式的網(wǎng)絡(luò)適配卡捕獲通過某個沖突域的所有網(wǎng)絡(luò)分組。可以輕易通過解碼工具（sniffers/netxray等）獲得敏感信息（用戶密碼等）。 報文竊聽(Packet Sniffers)報文竊聽(Packet Sniffers)實例分析用交換機來替代HUB，可以減少危害。防竊聽工具：使用專門檢測網(wǎng)絡(luò)上竊聽使用情況的軟件與硬件。加密：采用IP Security (IPSec)、Secure Shell (SSH)、 Secure Sockets Layer (SSL)等技術(shù)。 驗證(Authentication)：采用一次性密碼技術(shù)(one-time-passwords

34、 OTPs)Packet Sniffers竊聽防范數(shù)據(jù)包篡改( Packet alteration) 對捕獲的數(shù)據(jù)包內(nèi)容進行篡改，以達到攻擊者的目的 更改數(shù)據(jù)包的校驗和及頭部信息，為進一步攻擊 做準備 攻擊者截獲了一次遠程主機登錄過程后，選擇適當(dāng)?shù)臅r機對該登錄過程進行重放，以進入遠程主機。重放攻擊（ Replay attack）會話劫持(session hijacking)關(guān)于TCP協(xié)議的序列號阻斷正常會話三、DOS攻擊 DoS（Deny Of Service）就是攻擊者通過使你的網(wǎng)絡(luò)設(shè)備崩潰或把它壓跨（網(wǎng)絡(luò)資源耗盡）來阻止合法用戶獲得網(wǎng)絡(luò)服務(wù)，DOS是最容易實施的攻擊行為。 DoS攻擊主要是

35、利用了TCP/IP 協(xié)議中存在的設(shè)計缺陷和操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的實現(xiàn)缺陷。DoS的技術(shù)分類典型DOS攻擊Ping of DeathPing of Death范例 IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段（或者更多）數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機器的重新啟動。淚滴(teardrop)攻擊一Teardrop 攻擊原理：受影響的系統(tǒng)：Linux/Windows NT/95攻擊特征：攻擊過程簡單，發(fā)送一些IP

36、分片異常的數(shù)據(jù)包。防范措施：淚滴(teardrop)攻擊二服務(wù)器升級最新的服務(wù)包設(shè)置防火墻時對分片進行重組，而不是轉(zhuǎn)發(fā)它們。UDP洪水(UDP flood)Fraggle攻擊發(fā)送畸形UDP碎片，使得被攻擊者在重組過程中發(fā)生未加預(yù)料的錯誤典型的Fraggle攻擊碎片偏移位的錯亂強制發(fā)送超大數(shù)據(jù)包純粹的資源消耗阻止IP碎片攻擊Windows系統(tǒng)請打上最新的Service Pack，目前的Linux內(nèi)核已經(jīng)不受影響。如果可能，在網(wǎng)絡(luò)邊界上禁止碎片包通過，或者用iptables限制每秒通過碎片包的數(shù)目。如果防火墻有重組碎片的功能，請確保自身的算法沒有問題，否則DoS就會影響整個網(wǎng)絡(luò)Windows 20

37、00系統(tǒng)中，自定義IP安全策略，設(shè)置“碎片檢查” TCP SYN flood剖析SYN Flood攻擊TCP SYN分段偽造Source IPxTCP SYN/ACK分段IPx不斷發(fā)送大量偽造的TCP SYN分段最多可打開的半開連接數(shù)量超時等待時間等待期內(nèi)的重試次數(shù)X半開連接緩沖區(qū)溢出TCP SYN Flood 攻擊過程示例對SYN Flood攻擊的防御對SYN Flood攻擊的幾種簡單解決方法縮短SYN Timeout時間 SYN Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值等于SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并

38、丟棄改連接的時間 設(shè)置SYN Cookie 給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄 增強Windows 2000對SYN Flood的防御 打開regedit，找到HKEY_LOCAL_MACHINESystem CurrentControlSetServicesTcpipParameters 增加一個SynAttackProtect的鍵值，類型為REG_DWORD，取值范圍是0-2，這個值決定了系統(tǒng)受到SYN攻擊時采取的保護措施，包括減少系統(tǒng)SYN+ACK的重試的次數(shù)等，默認值是0

39、（沒有任何保護措施），推薦設(shè)置是2。增強Windows 2000對SYN Flood的防御 增加一個TcpMaxHalfOpen的鍵值，類型為REG_DWORD，取值范圍是100-0 xFFFF，這個值是系統(tǒng)允許同時打開的半連接，默認情況下WIN2K PRO和SERVER是100，ADVANCED SERVER是500，這個值取決于服務(wù)器TCP負荷的狀況和可能受到的攻擊強度。 增加一個TcpMaxHalfOpenRetried的鍵值，類型為REG_DWORD，取值范圍是80-0 xFFFF，默認情況下WIN2K PRO和SERVER是80，ADVANCED SERVER是400，這個值決定了在

40、什么情況下系統(tǒng)會打開SYN攻擊保護。 Smurf攻擊Smurf攻擊示意圖Smurf攻擊Smurf攻擊的防止措施Land攻擊電子郵件炸彈分布式拒絕服務(wù)(Distributed Denial of Service)DDoS攻擊原理 黑客侵入并控制了很多臺電腦，并使它們一起向主機發(fā)動DoS攻擊，主機很快陷于癱瘓，這就是分布式拒絕服務(wù)攻擊DDoS（Distributed Denial Of Service）。分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)結(jié)構(gòu)圖三層模型DDoS攻擊過程DDoS攻擊使用的常用工具 TFN(Tribe Flood Network)TrinooStacheldrahtTFN2K TFN是由著名黑客M

41、ixter編寫的，是第一個公開的UnixDDoS工具。由主控端程序和客戶端 程序兩部分組成。 它主要采取的攻擊方法為：SYN風(fēng)暴、Ping風(fēng)暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力。TFN(Tribe Flood Network) TFN2K是由TFN發(fā)展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口。TFN2K Stacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了

42、主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。 Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。StacheldrahtTrinooDDoS攻擊的防御策略四、緩沖區(qū)溢出Buffer Overflow攻擊緩沖區(qū)溢出的攻擊方式緩沖區(qū)溢出攻擊的基本思想基本思想：通過修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當(dāng)前進程被非法利用(執(zhí)行這段惡意的代碼)危害性在UNIX平臺上，通過發(fā)掘Buffer Overflow, 可以獲得一個交互式的shell在Windows平臺上，可以上載并執(zhí)

43、行任何的代碼溢出漏洞發(fā)掘起來需要較高的技巧和知識背景，但是，一旦有人編寫出溢出代碼，則用起來非常簡單為什么會緩沖區(qū)溢出？典型的buffer overflows漏洞怎樣防范緩沖區(qū)溢出五、后門和漏洞攻擊后門(back door)： 通常指軟件開發(fā)人員為了便于測試或調(diào)試而在操作系統(tǒng)和程序中故意放置的未公布接口，與bug不同，后門使開發(fā)人員故意留下的。Eg. 萬能密碼、超級用戶接口等漏洞(Bug):操作系統(tǒng)或軟件存在的問題和錯誤。IPC$漏洞輸入法漏洞IIS .ida ISAPI擴展遠程溢出漏洞六、暴力破解攻擊1.字典程序攻擊2.暴力攻擊 暴力破解暴力或字典破解是獲得root訪問權(quán)限的最有效、最直接的

44、方式方法。三種破解工具L0pht crack工具John the ripper工具Crack工具 L0pht crack界面賬號LanMan哈希值字典破解進程暴力破解進程驗證算法 暴力破解所要對付的對象就是各種各樣的口令加密與驗證算法冷靜地分析各種常見的驗證算法，找出其中的不足 Windows 2000系統(tǒng)默認的驗證算法Unix/Linux系統(tǒng)默認的驗證算法LanMan驗證和NTLM驗證 Windows NT/2000支持多種驗證機制，每一種驗證機制之間的安全級別不同，下表列出了Windows NT/2000所支持的各種驗證機制。微軟系統(tǒng)所采用的驗證加密算法。身份驗證類型受支持的客戶機備 注L

45、ANMan全 部WFW 和 Win 9x 必須使用這種方法，但這種方法容易受到竊聽NTLMNT4、2000比 LANMan 更加安全NTLM v2NT4+SP4、2000比 NTLM 更安全，建議用于異機種 NT4/2000 環(huán)境Kerberos只適用于2000比 NTLM 更復(fù)雜，但在安全方面具有更長的跟蹤記錄額外的審計工具L0pht Crackpwdump2pwdump2密碼散列提取工具在很長時間內(nèi)由管理員和黑客同時使用，以從 SAM中轉(zhuǎn)儲LANMan和NTLM密碼散列。在Windows 2000域控制器上工作，域控制器不再將散列存儲在SAM中，而是存儲在AD中l(wèi)sadump2 使用DLL

46、注射繞過本地安全授權(quán)(LSA)以名為LSA Secrets形式存儲的安全信息上的正常的訪問控制構(gòu)造一個Crack工具基本步驟生成字典文件取出條目應(yīng)用規(guī)則打開口令文件比 較不匹配標示為已破解匹配常見的規(guī)則包括：1.計算hash值（MD5、SHA等）2.應(yīng)用crypt（）函數(shù) 一旦攻擊者成功地滲透進系統(tǒng)，會立即試圖控制它。第三節(jié)：控制階段一、攻擊者的控制目標獲得root的權(quán)限獲得信息作為跳板攻擊其它系統(tǒng)1.獲得root的權(quán)限 攻擊者最終目的是獲得root的權(quán)限攻擊者會采用許多不同的策略來獲得這一權(quán)限非法服務(wù)和trap door允許攻擊者使用合法的賬號來升級訪問權(quán)限2.獲得信息 獲得root的權(quán)限后

47、，攻擊者會將立即進行信息掃描,獲得有用數(shù)據(jù)。掃描方法操縱遠程用戶的Web瀏覽器運行腳本程序利用文件的缺省存放位置3.信息重定向 攻擊者控制了系統(tǒng)，便可以進行程序和端口重定向端口轉(zhuǎn)向成功后，他們可以操控連接并獲得有價值的信息相似的攻擊目標還包括重定向SMTP端口，它也允許攻擊者獲得重要的信息4.應(yīng)用程序重定向?qū)⒛骋欢丝谂c某一應(yīng)用程序相綁定允許將某一程序的運行指定到特定的端口，從而可以遠程使用Telnet進行控制5.擦除滲透的痕跡 通常，攻擊者通過破壞日志文件，可以騙過系統(tǒng)管理員和安全審計人員。這就是所謂的痕跡擦除日志文件包括：Web服務(wù)器防火墻HTTP服務(wù)器FTP服務(wù)器數(shù)據(jù)庫操作系統(tǒng)的日志IDS

48、日志 日志文件類型包括事件日志應(yīng)用程序日志安全日志 6.作為跳板攻擊其它系統(tǒng) 通常，攻擊者滲透操作系統(tǒng)的目的是通過它來滲透到網(wǎng)絡(luò)上其它的操作系統(tǒng)。NASA服務(wù)器是攻擊者通常的攻擊目標，不僅因為他們想要獲取該服務(wù)器上的信息，更主要的是許多組織都和該服務(wù)器有信任的連接關(guān)系。系統(tǒng)是攻擊者的終端還是攻擊鏈條中的一個環(huán)節(jié)跳板攻擊者為了偽裝自己的真實來源 ，可能通過很多次跳板才達到攻擊目的二、控制手段新的控制方法層出不窮 系統(tǒng)的升級不可避免的會開啟新的安全漏洞 少數(shù)的極有天賦的黑客不斷開發(fā)出新的工具作為安全審計人員，需要時刻注意各種跡象，同時留意自己的系統(tǒng)是否存在著問題1.后門的安放 Rhosts + +

49、 后門Login后門服務(wù)進程后門port bind suid Shell 后門suid shell修改密碼文件2.創(chuàng)建新的訪問點 通過安裝額外的軟件和更改系統(tǒng)參數(shù)，攻擊者還可以開啟后門優(yōu)秀的系統(tǒng)管理員，黑客通常習(xí)慣于某種攻擊策略，所以必須注意攻擊者的控制手段安裝后門的另一個通常方法是在操作系統(tǒng)中安置木馬。3.創(chuàng)建額外賬號 為了減小從系統(tǒng)中被清除的幾率，攻擊者通常會在獲得root權(quán)限后創(chuàng)建額外的賬號使用批處理文件是創(chuàng)建額外賬號的一種手段也可以增加沒有密碼的管理員賬號在UNIX和Novell操作系統(tǒng)中同樣存在類似的問題自動添加賬號一個負責(zé)任的系統(tǒng)管理員會定期掃描用戶的賬號數(shù)據(jù)庫，查看是否有權(quán)限的變

50、更，新添加的賬號和任何有關(guān)系統(tǒng)策略更改的可疑行為。然而，攻擊者會利用老的賬號登錄系統(tǒng)攻擊者還可以利用定時服務(wù)等自動執(zhí)行的程序來添加賬號通過定時服務(wù)來添加新的賬號和重新設(shè)置權(quán)限，攻擊者可以騙過最挑剔的管理員。4.Trojan 木馬控制 Trojan horse Root KitsRoot kit是用非法程序替代合法程序所謂的“root kit” 是入侵者在入侵了主機后，用來做創(chuàng)建后門并加以偽裝用的程序包通常包括了日志清理器，后門等程序 root kit通常出現(xiàn)在UNIX系統(tǒng)中 木馬是一個程序，駐留在目標計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數(shù)據(jù)識別后，對目標計算機執(zhí)行特定

51、的操作。 其實質(zhì)只是一個通過端口進行通信的網(wǎng)絡(luò)客戶/服務(wù)程序。木馬程序的利用與監(jiān)測 “木馬”指一些程序設(shè)計人員在其可從網(wǎng)絡(luò)上下載的應(yīng)用程序或游戲中，包含了可以控制用戶的計算機系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。木馬原則上和Laplink、PCanywhere 等程序一樣，只是一種遠程管理工具木馬本身不帶傷害性，也沒有感染力，所以不能稱之為病毒 (也有人稱之為第二代病毒)木馬原理基本概念：對于特洛伊木馬，被控制端就成為一臺服務(wù)器，控制端則是一臺客戶機 控制功能 ：以管理員用戶權(quán)限運行的木馬程序幾乎可以控制一切。 程序?qū)崿F(xiàn)：可以使用VB或VC、JAVA以及其它任何編程工具的Winsock

52、控件來編寫網(wǎng)絡(luò)客戶/服務(wù)程序。特洛伊木馬隱身方法主要途徑有在任務(wù)欄中隱藏自己“化妝”為驅(qū)動程序使用動態(tài)鏈接庫技術(shù)木馬的發(fā)展典型的C/S結(jié)構(gòu)，隱蔽性差隱藏、自啟動和操縱服務(wù)器等技術(shù)上有長足進步 隱藏、自啟動和數(shù)據(jù)傳遞技術(shù)上有根本性進步，出現(xiàn)了以ICMP進行數(shù)據(jù)傳輸?shù)哪抉R 采用改寫和替換系統(tǒng)文件的做法 流行木馬及其技術(shù)特征木馬進程注冊為系統(tǒng)服務(wù)反彈端口型木馬出現(xiàn)替換系統(tǒng)文件中做法應(yīng)用到Windows使用多線程技術(shù)Netbus木馬 NetBus 1.53版本可以以捆綁方式裝到目標電腦上，可以捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。Netbus木馬NetBus2.0版的功能更強，已用做遠程

53、管理的工作NetBus的功能 運行程序強迫重啟系統(tǒng)注銷用戶控制Web瀏覽器捕捉擊鍵記錄重定向端口和程序獲得關(guān)于當(dāng)前版本的信息上傳、下載和刪除文件控制、升級和定制服務(wù)器管理密碼保護顯示、終止遠程系統(tǒng)程序 NetBus傳輸 NetBus使用TCP建立會話，缺省情況下用12345端口。跟蹤NetBus的活動比較困難，可以通過檢查12346端口數(shù)據(jù)來確定許多類似的程序使用固定的端口，你可以掃描整個的網(wǎng)絡(luò)監(jiān)測可疑的活動。Netbus 2.0主要文件 文 件描 述大 小（Byte）NetBus.exe客戶端1，241，600Patch.exe服務(wù)器624，640NBHelp.dll 程序擴展 71，680

54、檢測NetBusNetBus1.x版的程序使用下列的注冊表項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun可以用包嗅探器，檢查缺省的12345或12346端口使用netstat，你可以鍵入下列命令： Netstat an 或Netstat p udpNetbus連接 TCP: 12345/12346清除NetBus 高質(zhì)量的反病毒程序 另一種清除NetBus的方法是使用其客戶端,點擊清除服務(wù)器按鈕如果攻擊者采用了密碼保護的話可能會要求你輸入密碼，也可以搜尋前面討論的文件BackOrifice2000 BackOrifice

55、2000允許攻擊者進行如下操作獲取系統(tǒng)信息收集用戶名和密碼和用戶緩存的密碼獲得文件的完全訪問權(quán)限實施端口和程序的重定向通過HTTP從瀏覽器上傳和下載文件 缺省設(shè)置默認的Back Orifice 2000一共由5個文件組成，他們分別是： Bo2k.exe - 136kb，BO2K 服務(wù)器端程序 Bo2kcfg.exe - 216kb，BO2K 設(shè)置程序Bo2kgui.exe - 568kb，BO2K 客戶端程序Bo3des.dll - 24kb，plugin - triple DES moduleBo_peep.dll - 52kb，plugin - remote console manager

56、精選命令命 令描 述Dir,md,rd列出，建立和刪除目錄Shareadd/sharelist/sharedel建立，列出和刪除共享Copy/delete/find拷貝，刪除和搜索文件View列出文本文件內(nèi)容Httpon/httpoff啟動和停止HTTP服務(wù)，必須指定端口號Keylog start/end開始和終止鍵盤記錄Netconnect netlist/Netdisconnect將服務(wù)器系統(tǒng)連接到網(wǎng)絡(luò)資源；列出網(wǎng)絡(luò)接口，域和服務(wù)器；斷開連接Rediradd/redirlist將TCP連接和UDP包重定向到其它的IPRegmakekey/regdelkey建立和刪除注冊表中的鍵值Passe

57、s列出系統(tǒng)的所有密碼，包括所有適配器（如撥號適配器）和網(wǎng)絡(luò)連接，以及屏幕鎖定Reboot重新啟動系統(tǒng)Tcpsend從TCP連接發(fā)送和接受文件；同標準的TFTP服務(wù)器一樣，客戶端連接服務(wù)器機器，發(fā)送文件然后立即斷開。Quit退出程序BO的運作 BO木馬包含三個程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一個程序需安裝在受感染的用戶計算機中，也就是BO服務(wù)端BO主要運行于Windows 95/98系統(tǒng)，對于Windows NT影響較小 服務(wù)器端程序為BOSERVE.EXE，它會自動安裝在受攻擊的計算機中，但是它同時需要另外一個文件名為BOCONFIG的程

58、序來進行配置 BO的檢測和清除手工殺除BO2K運行REGEDIT.EXE，修改注冊表，在下列鍵值處刪除UMGR32.EXE 的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices重啟系統(tǒng)在WINDOWSSYSTEM下刪除UMGR321.EXE需要注意的是，bo2k安裝后的名字是可以自定義的木馬防御方法總結(jié) 端口掃描掃描程序嘗試連接某個端口，如果成功，則說明端口開放；否則關(guān)閉。但對于驅(qū)動程序/動態(tài)鏈接木馬，掃描端口不起作用 查看連接在本地機上通過netstat -a查看所有的TCP/UDP連接 檢查注冊表通過檢查注冊表來發(fā)現(xiàn)木馬在注冊表里留下的痕跡 查找文件木馬的特征文件三、