網(wǎng)絡(luò)攻擊技術(shù)V-2

網(wǎng)絡(luò)攻擊技術(shù)高平北京理工大學(xué)電子工程系信息對抗技術(shù)gaoping@20081參考書目教材《信息系統(tǒng)安全與對抗技術(shù)實驗教程》北京理工大學(xué)出版發(fā)行，羅森林、高平編著。書中的源程序代碼可以下載。該書2005年榮獲兵工高校系統(tǒng)教材一等獎。其他可以到圖書館找相關(guān)的教材或網(wǎng)絡(luò)上查找資料。2一、網(wǎng)絡(luò)攻擊的基本要素1、信息戰(zhàn)在海灣戰(zhàn)爭和最近的伊拉克戰(zhàn)爭中，美國大量采用了信息戰(zhàn)的手段在未來的局部戰(zhàn)爭中，信息戰(zhàn)或信息威懾將成為非常重要的非常規(guī)戰(zhàn)手段信息戰(zhàn)的范圍不僅僅局限于軍事領(lǐng)域，關(guān)系國家國計民生的行業(yè)（如政府、金融等）也會成為信息戰(zhàn)的攻擊目標。32、信息時代威脅的主要要素43、攻擊類別類別攻擊舉例V敵國政府、間諜IV商業(yè)間諜III罪犯II惡意用戶、內(nèi)部人員、普通黑客I用戶誤操作5

4、攻擊動機偷取國家機密；商業(yè)競爭行為；內(nèi)部員工對單位的不滿；對企業(yè)核心機密的企望；網(wǎng)絡(luò)接入帳號、信用卡號等金錢利益的誘惑；利用攻擊網(wǎng)絡(luò)站點而出名；對網(wǎng)絡(luò)安全技術(shù)的挑戰(zhàn)對網(wǎng)絡(luò)的好奇心。65、攻擊一般過程預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓撲及OS等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進行進一步攻擊決策攻擊內(nèi)容：獲得遠程權(quán)限進入遠程系統(tǒng)提升本地權(quán)限進一步擴展權(quán)限進行實質(zhì)性操作目的：進行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門木馬刪除日志修補明顯的漏洞進一步滲透擴展目的：消除痕跡，長期維持一定的權(quán)限76、攻擊種類預(yù)攻擊階段端口掃描漏洞掃描操作系統(tǒng)類型鑒別網(wǎng)絡(luò)拓撲分析攻擊階段緩沖區(qū)溢出攻擊操作系統(tǒng)漏洞應(yīng)用服務(wù)缺陷腳本程序漏洞攻擊口令攻擊錯誤及弱配置攻擊網(wǎng)絡(luò)欺騙與劫持攻擊

后攻擊階段后門木馬痕跡擦除其它攻擊種類拒絕服務(wù)攻擊嗅探攻擊惡意網(wǎng)頁攻擊社會工程攻擊8二、網(wǎng)絡(luò)攻擊實例分析網(wǎng)絡(luò)入侵技術(shù)趨勢：目前，網(wǎng)絡(luò)入侵技術(shù)已經(jīng)有數(shù)百種之多，攻擊者并不需要高深的計算機技術(shù)，利用網(wǎng)絡(luò)現(xiàn)成的攻擊軟件，按照教科書的步驟就可以時時就能夠發(fā)起各種攻擊。

9實例攻擊的環(huán)境介紹本例當中的入侵發(fā)生在一個局域網(wǎng)中，主機A為入侵者使用的主機，運行Windows2000操作系統(tǒng)，IP地址為2；主機B為被入侵主機，同樣運行Windows2000操作系統(tǒng)，IP地址為00。10入侵過程信息收集

首先，利用掃描軟件SSS（ShadowSecurityScanner）來獲取目標的開放端口信息和漏洞信息11利用漏洞獲得對系統(tǒng)訪問的權(quán)力

經(jīng)過上一步的掃描，入侵者已經(jīng)掌握了目標主機所存在的漏洞情況。其中，目標主機的賬號密碼使用的是“永不過期”方式，對目標主機Administrator賬號的口令進行蠻力破解。入侵者使用NAT（NetBIOSAuditingTool）這一工具進行口令強行破解。12安裝后門程序這里入侵者選擇安裝NetCat作為后門程序。1314信息竊取、破壞系統(tǒng)、使網(wǎng)絡(luò)癱瘓15消除入侵痕跡入侵者為了防止入侵被發(fā)現(xiàn)和逃避入侵所帶來的責任，還要消除入侵時留下的各種痕跡，如圖所示。16三掃描器簡介掃描器是一種通過收集系統(tǒng)的信息來自動監(jiān)測遠程或本地主機安全性弱點的程序，通過使用掃描器，可以發(fā)現(xiàn)遠程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和他們的軟件版本。這就能讓黑客或管理員間接的或直觀的了解到遠程主機所存在的安全問題。17掃描器通過選用遠程TCP/IP不同端口的服務(wù)，并紀錄目標給與的回答，可以搜集到很多關(guān)于目標主機的各種有用的信息。特別強調(diào)的是：掃描器僅能幫助黑客發(fā)現(xiàn)目標機的某些內(nèi)在的弱點，幫助攻擊者查找目標主機的漏洞。它是網(wǎng)絡(luò)攻擊的第一步。183-1常規(guī)掃描器技術(shù)1、常規(guī)掃描技術(shù)調(diào)用connect函數(shù)直接連接被掃描端口；無須任何特殊權(quán)限；速度較慢，易被記錄；2、高級掃描技術(shù)利用探測數(shù)據(jù)包的返回信息（例如RST）來進行間接掃描；較為隱蔽，不易被日志記錄或防火墻發(fā)現(xiàn)。193-2掃描器類型1、ping掃描器用法：ping+目標IP地址，通過是否收到對方的ICMPechoreply，來識別目標主機或系統(tǒng)是否處于活動狀態(tài)，如果對方防火墻將ICMP包給屏蔽掉，導(dǎo)致其失效，可以采用ICMPechoSweep方法，發(fā)送一個畸形數(shù)據(jù)包，迫使對方回答一個ICMP錯誤數(shù)據(jù)包，判斷目標主機是否在線。202、操作系統(tǒng)掃描技術(shù)主要探測對方運行的操作系統(tǒng)，方法如下：獲取標識信息，通過二進制文件的收集和分析實現(xiàn)。ICMP相應(yīng)分析，通過發(fā)送UDP或ICMP的請求報文，然后分析各種ICMP應(yīng)答來判斷目標主機操作系統(tǒng)。21TCP分段相應(yīng)分析，依靠不同操作系統(tǒng)對特定分段的不同反應(yīng)來區(qū)分，如利用TCP和UDP請求發(fā)送到遠程目標主機的開放端口，通過接收分析遠程主機相應(yīng)的有用信息，在較短的時延中得到對方的類型及版本。223、端口掃描器建立在端口掃描基礎(chǔ)之上，支持TCP/IP協(xié)議的主機和設(shè)備通過開放端口來提供相應(yīng)服務(wù)，其安全漏洞往往通過端口暴露出來。4、漏洞掃描器也是建立在端口掃描基礎(chǔ)之上，針對某一網(wǎng)絡(luò)服務(wù)，也就是某一特定的端口，其方法如下：23基于漏洞庫的匹配檢測方法：其關(guān)鍵在于所使用的漏洞庫，程序設(shè)計者對網(wǎng)絡(luò)漏洞的分析，設(shè)置一套標準的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后在此基礎(chǔ)上構(gòu)成相應(yīng)的匹配規(guī)則，由掃描器自動進行漏洞掃描共作?；诓寮z測方法：插件用腳本編寫，掃描器可以通過它來執(zhí)行漏洞掃描。24基本信息探測子模塊（是否在線、IP地址、操作系統(tǒng)）參數(shù)設(shè)置模塊端口掃描子模塊（端口、服務(wù)）FTP弱勢密碼探測子模塊OpenRelay郵件轉(zhuǎn)發(fā)漏洞探測子模塊UnicOde遍歷目錄漏洞探測子模塊POP漏洞掃描子模塊FTP漏洞掃描子模塊SSH漏洞掃描子模塊HTTP漏洞掃描子模塊SMTP漏洞掃描子模塊IMAP漏洞掃描子模塊后門掃描子模塊其它掃描子模塊CGI漏洞掃描子模塊漏洞庫掃描信息分析/漏洞匹配子模塊掃描結(jié)果記錄模塊網(wǎng)絡(luò)掃描入侵掃描253-3實驗三：端口掃描器設(shè)計

（參照教材P169）方法：利用流式套接字完成設(shè)計任務(wù)1、初始化套接字；2、建立TCP套接字socket;3、建立要連接對方的地址結(jié)構(gòu)體；4、循環(huán)，利用connect()函數(shù)進行連接；5、如果某端口可以響應(yīng)，說明開放；6、如果某端口不可以響應(yīng)，說明關(guān)閉7、顯示端口信息；8、關(guān)閉套接字，退出。26

Y

建立套接字

設(shè)置端口號

用connect與指

定IP地址連接

與端口請求連接

是否連接?

顯示端口開啟

顯示端口關(guān)閉

取下一個端口

N

27//加載頭文件和必須的庫文件#include"stdafx.h"#include<stdio.h>#include<string.h>#include<winsock.h>#pragmacomment(lib,"ws2_32.lib")28intmain(intargc,char*argv[]){intsocketid,pcount=0;structsockaddr_inmy_addr;//網(wǎng)絡(luò)地址結(jié)構(gòu)體WSADATAwsa;//WSADATA對象WORDSocketVer=MAKEWORD(1,1);if(SocketVer<0){printf("\nSocketVerError!");return-1;}29//初始化Socket和計數(shù)器，及判斷Socket版本if(argc<3)//幫助菜單{printf(“Usage:%s[Host][MaxPort]\n”,argv[0]);return-1;}if(WSAStartup(SocketVer,&wsa)){//初始化套接字printf("WinsocketInitilalizationFailed!\n");return-1;}30//判斷參數(shù)和初始化Winsocketfor(inti=1;i<atoi(argv[2]);i++){if((socketid=socket(AF_INET,SOCK_STREAM,0))==INVALID_SOCKET){//建立流式套接字printf("CreateSocketerror\n");return-1;}31my_addr.sin_family=AF_INET;//網(wǎng)絡(luò)協(xié)議my_addr.sin_port=htons(i);//要掃描的端口my_addr.sin_addr.s_addr=inet_addr(argv[1]);if(connect(socketid,(structsockaddr*)&my_addr,sizeof(structsockaddr))==SOCKET_ERROR)closesocket(socketid);//連接else{pcount++;printf(“FindPortis%d\n”,i);//打開的端口}32//設(shè)置端口和進行連接}printf("%dPortsOpenonHost-%s\n",pcount,argv[1]);closesocket(socketid);//關(guān)閉套接字WSACleanup();return0;}3334實驗五：嗅探器程序設(shè)計

（參照教材P180）基礎(chǔ)類要求：掌握常見嗅探器軟件的使用方法，如：NetXRay、Sniffer、SnifferPro等軟件，分析所獲得的數(shù)據(jù)，通過信息來找到攻擊的缺口與路徑或從獲取的數(shù)據(jù)來分析計算機網(wǎng)絡(luò)的漏洞，找出加固系統(tǒng)的方案。提高類要求：利用C++設(shè)計簡單的嗅探器。35嗅探器（sniffer）可以完成協(xié)議分析、捕獲網(wǎng)絡(luò)數(shù)據(jù)包進行網(wǎng)絡(luò)流量分析外，確定計算機的源IP地址和目標IP地址、報文發(fā)送時間、報文發(fā)送間隔；還可以發(fā)現(xiàn)網(wǎng)絡(luò)潛在的問題，獲取用戶口令、機密或敏感數(shù)據(jù)，所以說網(wǎng)絡(luò)嗅探器無論是在網(wǎng)絡(luò)安全還是在黑客攻擊方面均扮演了很重要的角色。4-1嗅探器概念36374-2數(shù)據(jù)包結(jié)構(gòu)分析由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進行分析。38IP數(shù)據(jù)包格式一個IP數(shù)據(jù)報由首部和數(shù)據(jù)兩部分組成。首部的前一部分是固定長度，共20字節(jié)，是所有IP數(shù)據(jù)報必須具有的。在首部的固定部分的后面是一些可選字段，其長度是可變的。3940版本：占4bit，指IP協(xié)議的版本，版本號為4。首部長度：占4bit，因此IP的首部長度的最大值是60字節(jié)。服務(wù)類型：占8bit，獲得更好的服務(wù)，一直沒有使用?？傞L度：占16bit，指首部和數(shù)據(jù)之和的長度，單位為字節(jié)，因此數(shù)據(jù)報的最大長度為65535字節(jié)?？傞L度必須不超過最大傳送單元MTU。標識(identification)：占16bit，它是一個計數(shù)器，用來產(chǎn)生數(shù)據(jù)報的標識。41生存時間：(8bit)記為TTL(TimeToLive)，數(shù)據(jù)報在網(wǎng)絡(luò)中的壽命，其單位為秒。協(xié)議：(8bit)字段指出此數(shù)據(jù)報攜帶的數(shù)據(jù)使用何種協(xié)議以便目的主機的IP層將數(shù)據(jù)部分上交給哪個處理過程。首部檢驗和：(16bit)字段只檢驗數(shù)據(jù)報的首部，不包括數(shù)據(jù)部分。這里不采用CRC檢驗碼而采用簡單的計算方法。4243TCP協(xié)議格式源端口和目的端口字段：各占2字節(jié)。端口是運輸層與應(yīng)用層的服務(wù)接口。序號字段：占4字節(jié)。TCP連接中傳送的數(shù)據(jù)流中的每一個字節(jié)都編上一個序號。序號字段的值則指的是本報文段所發(fā)送的數(shù)據(jù)的第一個字節(jié)的序號。確認號字段：占4字節(jié)，是期望收到對方的下一個報文段的數(shù)據(jù)的第一個字節(jié)的序號。44454-3嗅探器程序設(shè)計46利用底層協(xié)議套接字設(shè)計，步驟如下：1、首先手工將網(wǎng)卡設(shè)置為混雜模式：2、定義IP和TCP數(shù)據(jù)包頭結(jié)構(gòu);3、定義socket結(jié)構(gòu)和IP、TCP結(jié)構(gòu)變量；4、socket,建立SOCK_RAW底層套接字；5、循環(huán)，recv()接收網(wǎng)絡(luò)數(shù)據(jù)；6、顯示信息；7、關(guān)閉套接字。4748定義頭函數(shù)#include<stdio.h>#include<string.h>#include<Winsock2.h>#include"mstcpip.h"#pragmacomment(lib,"ws2_32.lib")#defineMAX_PACK_LEN65535//數(shù)據(jù)緩沖區(qū)長度

49structiphdr//定義IP數(shù)據(jù)包頭信息{unsignedcharh_lenver;//4位首部長度+4位IP版本號unsignedchartos;//8位服務(wù)類型TOSunsignedinttotal_len;//16位總長度（字節(jié)）unsignedshortident;//16位標識unsignedshortfrag_and_flags;//3位標志位unsignedcharttl;//8位生存時間TTLunsignedcharproto;//8位協(xié)議(TCP,UDP或其他unsignedshortchecksum;//16位IP首部校驗和unsignedintsourceIP;//32位源IP地址unsignedintdestIP;//32位目的IP地址};50structtcphdr//定義TCP首部{unsignedcharth_sport;//16位源端口unsignedcharth_dport;//16位目的端口unsignedintth_seq;unsignedintth_ack;unsignedcharth_lenres;

//4位首部長度/6位保留字unsignedinttcp_resl:4,tcp_hlen:4,tcp_fin:1,tcp_syn:1,tcp_rst:1,tcp_psh:1,tcp_ack:1,tcp_urg:1,tcp_res:2;51unsignedshortth_win;//16位窗口大小unsignedshortth_sum;//16位校驗和unsignedshortth_urp;//16位緊急數(shù)據(jù)偏移量};52intmain(){intiErrorCode;//出錯變量charRecvBuf[MAX_PACK_LEN]={0};structiphdr*iphdr;//IP頭指針structtcphdr*tcphdr;//TCP頭指針SOCKETSockRaw;//套接字變量intbytes_recieved;//接收信息變量WSADATAwsaData;//WSADATA對象iErrorCode=WSAStartup(MAKEWORD(2,1),&wsaData);//初始化SOCKET53SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);//建立底層套接字SOCKADDR_INsa;//套接字結(jié)構(gòu)地址對象sasa.sin_family=AF_INET;//連接協(xié)議sa.sin_port=htons(6000);//端口6000iErrorCode=bind(SockRaw,(PSOCKADDR)&sa,sizeof(sa));//將SockRaw與SOCKADDR_IN綁定DWORDdwBufferLen[10];DWORDdwBufferInLen=1;DWORDdwBytesReturned=0;54iErrorCode=WSAIoctl(SockRaw,SIO_RCVALL,&dwBufferInLen,sizeof(dwBufferInLen),&dwBufferLen,sizeof(dwBufferLen),&dwBytesReturned,NULL,NULL);//偵聽IP報文while(1){memset(RecvBuf,0,sizeof(RecvBuf));bytes_recieved=recv(SockRaw,RecvBuf,sizeof(RecvBuf),0);//接收printf("\nreceived::%5d\n",bytes_recieved);55printf("sourceaddress::%s\n",inet_ntoa(sa.sin_addr));iphdr=(structiphdr*)RecvBuf;printf("IPheaderlength::%d\n",iphdr->total_len);printf("Protocol::%d\n",iphdr->proto);tcphdr=(structtcphdr*)(RecvBuf+(4*iphdr->total_len));printf("Sourceport::%d\n",ntohs(tcphdr->th_sport));printf("Destport::%d\n",ntohs(tcphdr->th_dport));}return1;}5657五拒絕服務(wù)攻擊基礎(chǔ)類要求：掌握常見拒絕服務(wù)軟件的使用方法，如：UDPFlooder、DDoSPing等軟件，分析如何有效地實施攻擊，達到消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致系統(tǒng)癱瘓，并同時找出解決和防護的辦法與加固系統(tǒng)的方案。提高類要求：利用C++設(shè)計簡單的Synflood程序。58DoS(DenialofService)攻擊的中文含義是拒絕服務(wù)攻擊。DDoS(DistributedDenialofService)攻擊的中文含義是分布式拒絕服務(wù)攻擊。5-1DoSDDoS概念595-2DoS與DDoS攻擊設(shè)計思想發(fā)送大量的無用請求，致使目標網(wǎng)絡(luò)系統(tǒng)整體的網(wǎng)絡(luò)性能大大降低，喪失與外界通信的能力。利用網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議的某些特性，發(fā)送超出目標主機處理能力的服務(wù)請求，導(dǎo)致目標主機喪失對其他正常服務(wù)請求的相應(yīng)能力。利用系統(tǒng)或應(yīng)用軟件上的漏洞或缺陷，發(fā)送經(jīng)過特殊構(gòu)造的數(shù)據(jù)包，導(dǎo)致目標的癱瘓（稱之為nuke)。605-3拒絕服務(wù)攻擊類型1、Synflood:該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYNACK后并不回應(yīng)，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。612、Smurf：該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求(如ICMP回應(yīng)請求)的包，并且將源地址偽裝成想要攻擊的主機地址。子網(wǎng)上所有主機都回應(yīng)廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。623、Land-based：攻擊者將一個包的源地址和目的地址都設(shè)置為目標主機的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。634、PingofDeath：根據(jù)TCP/IP的規(guī)范，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節(jié)的包時，就是受到了PingofDeath攻擊，該攻擊會造成主機的宕機。645、Teardrop：IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段(或者更多)數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機器的重新啟動。656、PingSweep：使用ICMPEcho輪詢多個主機。7、Pingflood:該攻擊在短時間內(nèi)向目的主機發(fā)送大量ping包，造成網(wǎng)絡(luò)堵塞或主機資源耗盡。665-4實驗三：SYNflood攻擊設(shè)計正是利用了TCP連接的這樣一個漏洞來實現(xiàn)的，當惡意的用戶端構(gòu)造出大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內(nèi)存不足）的攻擊方式。問題就出在TCP連接的三次握手中，假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成）。67正常情況下用三次握手建立TCP連接

68SYNflood攻擊狀態(tài)69Synflood惡意地不完成3次握手，這種情況下，服務(wù)器一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度稱SYNTimeout，一般來說，這個時間是分鐘的數(shù)量級（大約30秒-2分鐘），一個用戶發(fā)送這樣的請求并不是大問題，但是如果有大量的模擬這樣的情況，服務(wù)器就要花很大的開銷來維護這些半連接，即使是簡單的保存并遍歷也會消耗非常多的cpu時間和內(nèi)存，如果服務(wù)器的tcp/ip堆棧不夠大，往往會發(fā)生堆棧溢出崩潰。707172源程序參照實驗教材P218。要求：1、編寫完整的洪水攻擊程序，運行正確；2、對程序進行分析和注解；3、加流程圖73六特洛伊木馬攻擊基礎(chǔ)類要求：掌握常見特洛伊馬軟件的使用方法，如：BO2K、廣外女生、網(wǎng)絡(luò)神偷、網(wǎng)絡(luò)公牛、冰河等軟件，分析如何使用程序有效地實施攻擊，達到控制對方的系統(tǒng)，獲取對方的資源。并同時找出解決和防護的辦法與加固系統(tǒng)的方案。提高類要求：利用C++設(shè)計簡單的木馬程序。74希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當作是獻給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。后來我們把進入敵人內(nèi)部攻破防線的手段叫做木馬計，木馬計中使用的里應(yīng)外合的工具叫做特洛伊木馬。6-1木馬概念75遠程控制實際上是包含有服務(wù)器端和客戶端的一套程序服務(wù)器端程序駐留在目標計算機里，隨著系統(tǒng)啟動而自行啟動。此外，使用傳統(tǒng)技術(shù)的程序會在某端口進行監(jiān)聽，若接收到數(shù)據(jù)就對其進行識別，然后按照識別后的命令在目標計算機上執(zhí)行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計算機等）。6-2木馬原理76攻擊者一般在入侵成功后，將服務(wù)端程序拷貝到目標計算機中，并設(shè)法使其運行，從而留下后門。日后，攻擊者就能夠通過運行客戶端程序，來對目標計算機進行操作。77786-3木馬程序的分類木馬程序技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代，第一代，即是簡單的密碼竊取，發(fā)送等，沒有什么特別之處。第二代木馬，在技術(shù)上有了很大的進步，冰河可以說為是國內(nèi)木馬的典型代表之一。第三代木馬在數(shù)據(jù)傳遞技術(shù)上，又做了不小的改進，出現(xiàn)了ICMP等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺的難度。第四代木馬在進程隱藏方面，做了大的改動，采用了內(nèi)核插入式的嵌入方式，利用遠程插入線程技術(shù)，嵌入DLL線程?；蛘邟旖覲SAPI,實現(xiàn)木馬程序的隱藏，甚至在WindowsXP/2003下，都達到了良好的隱藏效果。796-4木馬程序的隱藏技術(shù)

木馬程序的服務(wù)器端，為了避免被發(fā)現(xiàn)，多數(shù)都要進行隱藏處理。主要隱藏木馬的服務(wù)器端，可以偽隱藏，也可以是真隱藏。偽隱藏，就是指程序的進程仍然存在，只不過是讓他消失在進程列表里。真隱藏則是讓程序徹底的消失，不以一個進程或者服務(wù)的方式工作。806-5后門技術(shù)后門是一種可以繞過安全性控制而獲得對程序或系統(tǒng)訪問權(quán)的隱蔽程序或方法。利用來建立隱蔽通道，甚至植入隱蔽的惡意程序，達到非法訪問或竊取、篡改、偽造、破壞數(shù)據(jù)等目的。現(xiàn)在后門多指系統(tǒng)被入侵后被安裝的具有控制系統(tǒng)權(quán)限的程序，通過它黑客可以遠程控制系統(tǒng)。81后門是將目標電腦作為服務(wù)器，通過網(wǎng)絡(luò)Telnet命令連接后門端口，在服務(wù)端開創(chuàng)一個并得到cmd.exe進程，將攻擊方的輸入輸出和cmd.exe的輸入輸出聯(lián)系到一起，建立遠程shell，實現(xiàn)對其控制與攻擊。主要完成如下工作：1.開創(chuàng)cmd.exe進程；2.把cmd.exe進程與客戶端的輸入聯(lián)系起來。826-6木馬的自動啟動模塊分析Windows在啟動時，會自動執(zhí)行系統(tǒng)盤符下的“DocumentsandSettings\<用戶名字>\[開始]菜單\程序\啟動”中的文件，其中<用戶名字>是當前要登錄的用戶帳戶名稱，這里為當前用戶專用的啟動文件夾，許多應(yīng)用軟件自動啟動的常用位置。836-7建立秘密帳號功能模塊WinExec（）執(zhí)行外部程序。UINTWinExec(LPCSTRlpCmdLine,UINTuCmdShow)參數(shù)說明：lpCmdLine：字符串中包含將要執(zhí)行的應(yīng)用程序的命令行（文件名加上可選參數(shù)）。uCmdShow：定義Windows應(yīng)用程序的窗口顯示方式，如：通常，將其設(shè)置為SW_SHOW；但木馬操作為了隱藏窗口，應(yīng)設(shè)置為SW_HIDE。84WinExec("netuserxxdkgao/add",SW_HIDE);用WinExec（）函數(shù)執(zhí)行netuserxxdkgao/add網(wǎng)絡(luò)命令，其功能建立秘密帳號“xxdk”密碼為“gao”，窗體為SW_HIDE隱藏形式。netuser