第2講 黑客攻擊技術

第2講黑客攻擊技術§2.1黑客概述§2.2網(wǎng)絡掃描§2.3網(wǎng)絡監(jiān)聽§2.4密碼破解攻擊§2.5緩沖區(qū)溢出攻擊§2.6拒絕服務攻擊§2.7網(wǎng)絡后門和木馬§2.8物理攻擊與防范§2.9社會工程學攻擊信息安全概論22023/2/5§2.1黑客概述黑客(Hacker)源于英語動詞Hack，意為“劈、砍”，引申為“辟出、開辟”，進一步的意思是“干了一件非常漂亮的工作”。在20世紀早期的麻省理工學院校園口語中，黑客則有“惡作劇”之意，尤其是指手法巧妙、技術高明的惡作劇。有一部分人認為，黑客是“熱愛并精通計算機技術的網(wǎng)絡狂熱者”，并賦予他們“網(wǎng)上騎士”桂冠；相反，另一部分人則認為黑客是“企圖非法獲取計算機系統(tǒng)訪問權的人”，甚至將其描述為“網(wǎng)絡恐怖主義分子”；大多數(shù)人則認為，黑客是“試圖通過網(wǎng)絡非法獲取他人計算機系統(tǒng)訪問權并濫用計算機技術的人”。信息安全概論32023/2/5§2.1黑客概述根據(jù)我國現(xiàn)行法律的有關規(guī)定，對黑客可以給出兩個定義：廣義的黑客是指利用計算機技術，非法侵入或擅自操作他人(包括國家機關、社會組織及個人)計算機信息系統(tǒng)，對電子信息交流安全具有不同程度的威脅性和危害性的人；狹義的黑客，是指利用計算機技術，非法侵入并擅自操作他人計算機信息系統(tǒng)，對系統(tǒng)功能、數(shù)據(jù)或者程序進行干擾、破壞，或者非法侵入計算機信息系統(tǒng)并擅自利用系統(tǒng)資源，實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的人。狹義的黑客包括在廣義的黑客之中，前者基本上是計算機犯罪的主體，后者的行為不一定都構成犯罪。信息安全概論42023/2/5§2.1黑客概述黑客入侵和破壞的危險黑客”在網(wǎng)上的攻擊活動每年以十倍速增長。修改網(wǎng)頁進行惡作劇、竊取網(wǎng)上信息興風作浪。非法進入主機破壞程序、阻塞用戶、竊取密碼。串入銀行網(wǎng)絡轉(zhuǎn)移金錢、進行電子郵件騷擾。黑客可能會試圖攻擊網(wǎng)絡設備，使網(wǎng)絡設備癱瘓。信息安全概論52023/2/5典型的攻擊步驟§2.1黑客概述預攻擊探測發(fā)現(xiàn)漏洞，采取攻擊行為獲得攻擊目標的控制權系統(tǒng)安裝系統(tǒng)后門繼續(xù)滲透網(wǎng)絡，直至獲取機密數(shù)據(jù)消滅蹤跡收集信息，如OS類型，提供的服務端口等破解口令文件，或利用緩存溢出漏洞獲得系統(tǒng)帳號權限，并提升為root權限方便以后使用以此主機為跳板，尋找其他主機的漏洞消除所有入侵腳印，以免被管理員發(fā)覺隱藏自身信息安全概論62023/2/5§2.1黑客概述預攻擊探測Ping掃描：用于發(fā)現(xiàn)攻擊目標操作系統(tǒng)識別掃描：對目標主機運行的操作系統(tǒng)進行識別端口掃描：用于查看攻擊目標處于監(jiān)聽或運行狀態(tài)的服務漏洞掃描：掃描對方系統(tǒng)有什么漏洞可以利用目前主流的掃描工具包括流光、Nmap、Nessus、SSS等都實現(xiàn)了這些技術。信息安全概論72023/2/5§2.1黑客概述黑客入侵的行為模型信息安全概論82023/2/5掃描器是自動檢測遠程或本地主機安全性漏洞的程序包。使用掃描器，不僅可以很快地發(fā)現(xiàn)本地主機系統(tǒng)配置和軟件上存在的安全隱患，而且還可以不留痕跡地發(fā)現(xiàn)遠在另一個半球的一臺主機的安全性漏洞，這種自動檢測功能快速而準確。不同的人使用掃描器會有不同的結果：如果系統(tǒng)管理員使用了掃描器，它將直接有助于加強系統(tǒng)安全性；而對于黑客來說，掃描器是他們進行攻擊入手點，不過，由于掃描器不能直接攻擊網(wǎng)絡漏洞，所以黑客使用掃描器找出目標主機上各種各樣的安全漏洞后，利用其他方法進行惡意攻擊?！?.2網(wǎng)絡掃描信息安全概論92023/2/5操作系統(tǒng)本身的ping工具

C:\>ping

Pingingwith32bytesofdata:Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128Pingstatisticsfor:

Packets:Sent=4,Received=4,Lost=0(0%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=0ms,Maximum=0ms,Average=0ms

TTL=125左右的主機應該是Windows系列的§2.2網(wǎng)絡掃描信息安全概論102023/2/5操作系統(tǒng)本身的ping工具

C:\>ping

Pingingwith32bytesofdata:Requesttimedout.

Replyfrom:bytes=32time=250msTTL=237

Replyfrom:bytes=32time=234msTTL=237

Replyfrom:bytes=32time=234msTTL=237Pingstatisticsfor:

Packets:Sent=4,Received=3,Lost=1(25%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=234ms,Maximum=250ms,Average=179ms

TTL=235左右的主機應該是Unix系列的§2.2網(wǎng)絡掃描信息安全概論112023/2/5主機掃描——工具軟件：SuperScan

主界面§2.2網(wǎng)絡掃描信息安全概論122023/2/5主機掃描——工具軟件：SuperScan

§2.2網(wǎng)絡掃描信息安全概論132023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser主要功能：掃描出NT主機上存在的用戶名。自動猜測空密碼和與用戶名相同的密碼?？梢允褂弥付艽a字典猜測密碼?？梢允褂弥付ㄗ址麃砀F舉猜測密碼?！?.2網(wǎng)絡掃描信息安全概論142023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser主界面§2.2網(wǎng)絡掃描信息安全概論152023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser設置掃描的目標主機§2.2網(wǎng)絡掃描信息安全概論162023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser

獲得用戶列表§2.2網(wǎng)絡掃描信息安全概論172023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser§2.2網(wǎng)絡掃描信息安全概論182023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser設置字典文件§2.2網(wǎng)絡掃描信息安全概論192023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser§2.2網(wǎng)絡掃描信息安全概論202023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser使用字典文件對用戶口令

進行測試§2.2網(wǎng)絡掃描信息安全概論212023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser

§2.2網(wǎng)絡掃描信息安全概論222023/2/5端口掃描工具PortScan

SuperScanNetScanToolsWinScanNTOScannerWUPSNmapNT§2.2網(wǎng)絡掃描信息安全概論232023/2/5開放端口掃描——工具軟件：PortScan主界面§2.2網(wǎng)絡掃描信息安全概論242023/2/5開放端口掃描——工具軟件：PortScan設置目標主機和端口范圍后單擊Start

§2.2網(wǎng)絡掃描信息安全概論252023/2/5開放端口掃描——工具軟件：PortScan§2.2網(wǎng)絡掃描信息安全概論262023/2/5開放端口掃描——工具軟件：SuperScan

主界面§2.2網(wǎng)絡掃描信息安全概論272023/2/5開放端口掃描——工具軟件：SuperScan端口掃描§2.2網(wǎng)絡掃描信息安全概論282023/2/5開放端口掃描——工具軟件：SuperScan

§2.2網(wǎng)絡掃描信息安全概論292023/2/5開放端口掃描——工具軟件：SuperScan§2.2網(wǎng)絡掃描信息安全概論302023/2/5開放端口掃描——工具軟件：SuperScan

§2.2網(wǎng)絡掃描信息安全概論312023/2/5共享目錄掃描——工具軟件：Shed主界面§2.2網(wǎng)絡掃描信息安全概論322023/2/5共享目錄掃描——工具軟件：Shed設置掃描的主機范圍§2.2網(wǎng)絡掃描信息安全概論332023/2/5共享目錄掃描——工具軟件：Shed

§2.2網(wǎng)絡掃描信息安全概論342023/2/5共享目錄掃描——工具軟件：Shed§2.2網(wǎng)絡掃描信息安全概論352023/2/5針對預攻擊探測的防范措施Pingsweep：安裝防火墻或相關工具軟件，禁止某些ICMPping，使用NAT隱藏內(nèi)部網(wǎng)絡結構Portscan：安裝防火墻或相關工具軟件，禁止訪問不該訪問的服務端口OSfingerprint：安裝防火墻或相關工具軟件，只允許訪問少量服務端口，缺乏必要的信息，無法判斷OS類型資源和用戶掃描：防范NetBIOS掃描的最直接方法就是不允許對TCP/UDP135到139端口的訪問，如通過防火墻或路由器的配置等。對單獨的主機，可使用NetBIOSoverTCP/IP項失效或注冊表配置來實現(xiàn)?！?.2網(wǎng)絡掃描信息安全概論362023/2/5漏洞掃描漏洞掃描是一種最常見的攻擊模式，用于探測系統(tǒng)和網(wǎng)絡漏洞，如獲取系統(tǒng)和應用口令，嗅探敏感信息，利用緩存區(qū)溢出直接攻擊等。針對某一類型的漏洞，都有專門的攻擊工具。也有一些功能強大綜合掃描工具，對系統(tǒng)進行全面探測和漏洞掃描。綜合漏洞掃描和攻擊工具X-Scan流光SSS§2.2網(wǎng)絡掃描信息安全概論372023/2/5漏洞掃描——工具軟件：X-Scan主界面§2.2網(wǎng)絡掃描信息安全概論382023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網(wǎng)絡掃描信息安全概論392023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網(wǎng)絡掃描信息安全概論402023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網(wǎng)絡掃描信息安全概論412023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網(wǎng)絡掃描信息安全概論422023/2/5漏洞掃描——工具軟件：Fluxay主界面§2.2網(wǎng)絡掃描信息安全概論432023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論442023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論452023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論462023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論472023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論482023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論492023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論502023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論512023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論522023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡掃描信息安全概論532023/2/5漏洞掃描——工具軟件：SSS主界面§2.2網(wǎng)絡掃描掃描主機漏洞掃描某種特定的漏洞文本編輯形式拒絕服務攻擊測試信息安全概論542023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描掃描所有的標準端口，除了Dostests掃描所有的端口(1~65355)，除了Dostests只掃描標準端口信息安全概論552023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描信息安全概論562023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描信息安全概論572023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描信息安全概論582023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描信息安全概論592023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描信息安全概論602023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描信息安全概論612023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描信息安全概論622023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡掃描信息安全概論632023/2/5漏洞攻擊的防范措施安裝防火墻，禁止訪問不該訪問的服務端口，使用NAT隱藏內(nèi)部網(wǎng)絡結構安裝入侵檢測系統(tǒng)，檢測漏洞攻擊行為安裝安全評估系統(tǒng)，先于入侵者進行模擬漏洞攻擊，以便及早發(fā)現(xiàn)漏洞并解決提高安全意識，經(jīng)常給操作系統(tǒng)和應用軟件打補丁§2.2網(wǎng)絡掃描信息安全概論642023/2/5§2.3網(wǎng)絡監(jiān)聽所謂網(wǎng)絡監(jiān)聽就是獲取在網(wǎng)絡上傳輸?shù)男畔ⅰＭǔ?，這種信息并不是特定發(fā)給自己計算機的。一般情況下，系統(tǒng)管理員為了有效地管理網(wǎng)絡、診斷網(wǎng)絡問題而進行網(wǎng)絡監(jiān)聽。然而，黑客為了達到其不可告人的目的，也進行網(wǎng)絡監(jiān)聽。以太網(wǎng)中信息傳輸?shù)脑恚喊l(fā)送信息時，發(fā)送方將對所有的主機進行廣播，廣播包的包頭含有目的主機的物理地址，如果地址與主機不符，則該主機對數(shù)據(jù)包不予理睬，只有當?shù)刂放c主機自己的地址相同時主機才會接受該數(shù)據(jù)包，但網(wǎng)絡監(jiān)聽程序可以使得主機對所有通過它的數(shù)據(jù)進行接收或改變。網(wǎng)絡監(jiān)聽使得進行監(jiān)聽的機器響應速度變得非常慢。

信息安全概論652023/2/5網(wǎng)絡監(jiān)聽的作用可以截獲用戶口令可以截獲秘密的或?qū)Ｓ玫男畔⒖梢杂脕砉粝噜彽木W(wǎng)絡可以對數(shù)據(jù)包進行詳細的分析可以分析出目標主機采用了哪些協(xié)議§2.3網(wǎng)絡監(jiān)聽信息安全概論662023/2/5常用的監(jiān)聽工具SnifferProIrisWinSnifferpswmonitorfssniffer§2.3網(wǎng)絡監(jiān)聽信息安全概論672023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro主界面§2.3網(wǎng)絡監(jiān)聽信息安全概論682023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro捕獲定義過濾器§2.3網(wǎng)絡監(jiān)聽信息安全概論692023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro設置捕獲條件IP地址條件§2.3網(wǎng)絡監(jiān)聽信息安全概論702023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro設置捕獲條件協(xié)議捕獲編輯§2.3網(wǎng)絡監(jiān)聽信息安全概論712023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro如捕獲http數(shù)據(jù)包§2.3網(wǎng)絡監(jiān)聽信息安全概論722023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro保存過濾規(guī)則條件§2.3網(wǎng)絡監(jiān)聽信息安全概論732023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro監(jiān)視器儀表板，顯示捕包的個數(shù)§2.3網(wǎng)絡監(jiān)聽信息安全概論742023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro捕獲面板，查看捕獲報文的數(shù)量和緩沖區(qū)的利用率§2.3網(wǎng)絡監(jiān)聽信息安全概論752023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro監(jiān)視器矩陣，出現(xiàn)主機所在局域網(wǎng)的所有通信連接

§2.3網(wǎng)絡監(jiān)聽信息安全概論762023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro選中要監(jiān)視的IP地址，右擊選擇“捕獲”§2.3網(wǎng)絡監(jiān)聽信息安全概論772023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro專家分析系統(tǒng)進行數(shù)據(jù)包分析§2.3網(wǎng)絡監(jiān)聽信息安全概論782023/2/5網(wǎng)絡嗅探——工具軟件SnifferPro

§2.3網(wǎng)絡監(jiān)聽信息安全概論792023/2/5捕獲的報文報文解碼二進制內(nèi)容信息安全概論802023/2/5針對網(wǎng)絡嗅探攻擊的防范措施安裝VPN網(wǎng)關，防止對網(wǎng)間網(wǎng)信道進行嗅探對內(nèi)部網(wǎng)絡通信采取加密處理采用交換設備進行網(wǎng)絡分段采取技術手段發(fā)現(xiàn)處于混雜模式的主機，發(fā)掘“鼴鼠”§2.3網(wǎng)絡監(jiān)聽信息安全概論812023/2/5網(wǎng)絡監(jiān)聽的檢測方法

對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監(jiān)聽程序的機器會有響應。這是因為正常的機器不接收錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接收。往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序?qū)⑻幚磉@些包導致性能下降。通過比較前后該機器性能加以判斷。這種方法難度比較大。搜索所有主機上運行的進程。搜索監(jiān)聽程序。若入侵者使用的是免費軟件。管理員就可以檢查目錄，找出監(jiān)聽程序，但這很困難且費時?！?.3網(wǎng)絡監(jiān)聽信息安全概論822023/2/5密碼與用戶賬戶的有效利用是網(wǎng)絡安全性的最大問題之一。密碼破解是描述在使用或不使用工具的情況下滲透網(wǎng)絡、系統(tǒng)或資源以解鎖用密碼保護的資源的一個術語。密碼破解不一定涉及復雜的工具。它可能與找一張寫有密碼的貼紙一樣簡單，而這張紙就貼在顯示器上或者藏在鍵盤底下。另一種暴力技術稱為“垃圾搜尋”（DumpsterDiving），它基本上就是一個攻擊者把垃圾搜尋一遍以找出可能含有密碼的廢棄文檔?！?.4密碼破解攻擊信息安全概論832023/2/5密碼破解的常見技術字典攻擊混合攻擊暴力攻擊§2.4密碼破解攻擊信息安全概論842023/2/5密碼破解的常見技術字典攻擊到目前為止，一個簡單的字典攻擊（DictionaryAttack）是闖入機器的最快方法。字典文件（一個充滿字典文字的文本文件）被裝入破解應用程序（如L0phtCrack），它是根據(jù)由應用程序定位的用戶賬戶運行的。因為大多數(shù)密碼通常是簡單的，所以運行字典攻擊通常足以實現(xiàn)目的?；旌瞎舯┝簟?.4密碼破解攻擊信息安全概論852023/2/5密碼破解的常見技術字典攻擊

混合攻擊混合攻擊將數(shù)字和符號添加到文件名以成功破解密碼。許多人只通過在當前密碼后加一個數(shù)字來更改密碼。其模式通常采用這一形式：第一月的密碼是“cat”；第二個月的密碼是“cat1”；第3個月的密碼是“cat2”，依次類推。暴力攻擊§2.4密碼破解攻擊信息安全概論862023/2/5密碼破解的常見技術字典攻擊

混合攻擊

暴力攻擊暴力攻擊（BruteForceAttack）是最全面的攻擊形式，雖然它通常需要很長的時間工作，這取決于密碼的復雜程度。根據(jù)密碼的復雜程度，某些暴力攻擊可能花費一個星期的時間?！?.4密碼破解攻擊信息安全概論872023/2/5破解操作系統(tǒng)口令——工具軟件GetNTUser§2.4密碼破解攻擊信息安全概論882023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack主界面§2.4密碼破解攻擊Demo信息安全概論892023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論902023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論912023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論922023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論932023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論942023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論952023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論962023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論972023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論982023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論992023/2/5破解Word文檔密碼——工具軟件AOXPPRAdvancedOfficeXPPasswordRecovery§2.4密碼破解攻擊Demo信息安全概論1002023/2/5破解Word文檔密碼——工具軟件PasswordRecoveryForMicrosoftWord§2.4密碼破解攻擊Demo信息安全概論1012023/2/5破解PPT文檔密碼——工具軟件PasswordRecoveryForMicrosoftPowerpoint§2.4密碼破解攻擊信息安全概論1022023/2/5破解ACCESS文檔密碼——工具軟件PasswordRecoveryForMicrosoftACCESS§2.4密碼破解攻擊信息安全概論1032023/2/5破解各種Office文檔密碼——工具軟件PasswordRecoveryForMicrosoftOffice§2.4密碼破解攻擊信息安全概論1042023/2/5緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導致程序運行失敗、系統(tǒng)當機、重新啟動等后果。更為嚴重的是，可以利用它執(zhí)行非授權指令，甚至可以取得系統(tǒng)特權，進而進行各種非法操作。緩沖區(qū)溢出的原理是通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒有仔細檢查用戶輸入的參數(shù)?！?.5緩沖區(qū)溢出攻擊信息安全概論1052023/2/5例如：voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}strcpy()直接把str的內(nèi)容copy到buffer中。這樣只要str的長度大于16，就會造成buffer的溢出，使程序運行出錯。存在象strcpy這樣的問題的標準函數(shù)還有strcat()、sprintf()、vsprintf()、gets()、scanf()等?！?.5緩沖區(qū)溢出攻擊信息安全概論1062023/2/5緩沖區(qū)溢出攻擊之所以成為一種常見的安全攻擊手段，其原因在于緩沖區(qū)溢出漏洞太普遍了，并且攻擊易于實現(xiàn)。而且，緩沖區(qū)溢出成為遠程攻擊的主要手段其原因在于緩沖區(qū)溢出漏洞給予了攻擊者他所想要的一切：植入并且執(zhí)行攻擊代碼。被植入的攻擊代碼以一定的權限運行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機的控制權。§2.5緩沖區(qū)溢出攻擊信息安全概論1072023/2/5拒絕服務攻擊，簡稱DoS（DenialofService）攻擊。DoS攻擊通過搶占目標主機系統(tǒng)資源使系統(tǒng)過載或崩潰，破壞和拒絕合法用戶對網(wǎng)絡、服務器等資源的訪問，達到阻止合法用戶使用系統(tǒng)的目的，是常用的一種攻擊方式。DoS屬于破壞型攻擊。它對目標系統(tǒng)本身的破壞性并不是很大，但影響了正常的工作和生活秩序，間接損失嚴重，社會效應惡劣。凡是造成目標計算機拒絕提供服務的攻擊都稱為DoS攻擊。DoS可能由網(wǎng)絡部件的物理損壞引起，也可能由網(wǎng)絡負荷超載所引起，還可能由不正確的使用網(wǎng)絡協(xié)議而引起。§2.6拒絕服務攻擊信息安全概論1082023/2/5DoS攻擊的兩種基本形式計算機網(wǎng)絡帶寬攻擊。以極大的通信量沖擊網(wǎng)絡，使網(wǎng)絡所有可用的帶寬都被消耗掉，最后導致合法用戶的請求無法通過。連通性攻擊。用大量的連接請求沖擊計算機，最終導致計算機無法再處理合法用戶的請求。DoS攻擊發(fā)生時的特點消耗系統(tǒng)或網(wǎng)絡資源，使系統(tǒng)過載或崩潰。難以辨別真假。使用不應存在的非法數(shù)據(jù)包來達到拒絕服務攻擊的目的。有大量的數(shù)據(jù)包來自相同的源?！?.6拒絕服務攻擊信息安全概論1092023/2/5DoS攻擊類型SYNfloodSmurflandPingofdeathUDPFloodteardrop§2.6拒絕服務攻擊信息安全概論1102023/2/5SYNflood（同步風暴）攻擊當前最流行的DoS與DDoS的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡的攻擊方式。TCP是基于連接的，為了在服務端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立TCP連接。建立TCP連接的標準過程：請求端發(fā)送一個包含SYN標志的TCP報文，同步報文會指明客戶端使用的端口以及TCP連接的初始序號服務器收到SYN報文后，返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加1客戶端也返回一個ACK給服務器端，同樣TCP序列號被加1§2.6拒絕服務攻擊信息安全概論1112023/2/5SYNflood（同步風暴）攻擊假設一個用戶向服務器發(fā)送了SYN報文后突然死機或掉線，那么服務器在發(fā)出SYN+ACK應答報文后是無法收到客戶端的ACK報文的。在這種情況下服務器端會重試，再次發(fā)送SYN+ACK給客戶端，并等待一段時間，判定無法建立連接后，丟棄這個未完成的連接。這段等待時間稱為SYN中止時間（Timeout），一般為30秒～2分鐘。如果攻擊者大量模擬這種情況，服務器端為了維護非常大的半連接列表就會消耗非常多的資源。此時從正?？蛻舻慕嵌葋砜矗掌饕呀?jīng)喪失了對正常訪問的響應，這便是SYNFlood攻擊的機理?！?.6拒絕服務攻擊信息安全概論1122023/2/5SYNflood（同步風暴）攻擊§2.6拒絕服務攻擊SYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）ACK（確認連接）發(fā)起方應答方信息安全概論1132023/2/5SYNflood（同步風暴）攻擊§2.6拒絕服務攻擊SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。┕粽呤芎φ邆卧斓刂愤M行SYN請求為何還沒回應不能建立正常的連接其它正常用戶得不到響應就是讓你白等？？？信息安全概論1142023/2/5正常tcpconnect攻擊者受害者大量的tcpconnect這么多需要處理？不能建立正常的連接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用戶正常tcpconnectSYNflood（同步風暴）攻擊§2.6拒絕服務攻擊信息安全概論1152023/2/5針對SYNflood攻擊的防范措施優(yōu)化系統(tǒng)配置優(yōu)化路由器配置完善基礎設施使用防火墻主動監(jiān)視§2.6拒絕服務攻擊縮短超時時間，增加板連接隊列長度，關閉不必要的服務等配置路由器的外網(wǎng)卡，丟棄那些來自外部網(wǎng)而源IP地址具有內(nèi)部網(wǎng)絡地址的包；配置路由器的內(nèi)網(wǎng)卡，丟棄那些即將發(fā)到外部網(wǎng)而源IP地址不具有內(nèi)部網(wǎng)絡地址的包。這種方法可以有效地減少攻擊的可能。在網(wǎng)絡關鍵點上安裝監(jiān)視軟件，監(jiān)視TCP/IP流量，收集通信控制信息，分析狀態(tài)，辨別攻擊行為現(xiàn)有的網(wǎng)絡體系結構沒有對源IP地址進行檢查的機制，也不具備追蹤網(wǎng)絡數(shù)據(jù)包的物理傳輸路徑的機制，使得發(fā)現(xiàn)攻擊者困難。而且許多攻擊手段都是利用現(xiàn)有網(wǎng)絡協(xié)議的缺陷。因此對整個網(wǎng)絡體系結構的再改造十分重要。采用半透明網(wǎng)關技術的防火墻能有效防范SYNflood攻擊信息安全概論1162023/2/5Smurf攻擊該攻擊向一個子網(wǎng)的廣播地址發(fā)一組ICMP回應請求數(shù)據(jù)包,并且將源地址偽裝成想要攻擊的主機地址。子網(wǎng)中所有主機都將向被偽裝的源地址發(fā)回ICMP回應應答。攻擊者通過幾百個數(shù)據(jù)包就可以產(chǎn)生成千上萬的數(shù)據(jù)包，這樣不僅可以造成目標主機的拒絕服務，而且還會使目標子網(wǎng)的網(wǎng)絡本身也遭到DoS攻擊。§2.6拒絕服務攻擊信息安全概論1172023/2/5Land攻擊IP協(xié)議中IP源地址和目標地址相同操作系統(tǒng)如WindowNT不知道該如何處理這種情況，就可能造成死機。Land攻擊向UDP目標端口135發(fā)送偽裝的RPC的UDP數(shù)據(jù)包，使之看上去像一個RPC服務器在向另一個RPC服務器發(fā)送數(shù)據(jù)，目標服務器將返回一個REJECT數(shù)據(jù)包，而源服務器用另一個REJECT數(shù)據(jù)包應答，結果就會造成死循環(huán)，只有當數(shù)據(jù)包作為異常處理被丟掉時循環(huán)才會中止。如果將偽裝的UDP數(shù)據(jù)包發(fā)送至多臺主機，就會產(chǎn)生多個循環(huán)，將消耗大量處理器資源和網(wǎng)絡帶寬。§2.6拒絕服務攻擊信息安全概論1182023/2/5Pingofdeath攻擊根據(jù)有關IP協(xié)議規(guī)定的RFC791，占有16位的總長度控制字確定了IP包的總長度為65535字節(jié)，其中包括IP數(shù)據(jù)包的包頭長度。Pingtodeath攻擊發(fā)送超大尺寸的ICMP數(shù)據(jù)包，使得封裝該ICMP數(shù)據(jù)包的IP數(shù)據(jù)包大于65535字節(jié)，目標主機無法重新組裝這種數(shù)據(jù)包分片，可能造成緩沖區(qū)溢出、系統(tǒng)崩潰?！?.6拒絕服務攻擊信息安全概論1192023/2/5UDPFlood攻擊用Chargen和Echo來傳送毫無用處的數(shù)據(jù)來占用所有的帶寬。在攻擊過程中，通過偽造與某一主機的Chargen服務之間的一次UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會導致針對帶寬消耗的拒絕服務攻擊。杜絕UDPFlood攻擊的最好辦法是關掉不必要的TCP/IP服務，或者配置防火墻以阻斷來自Internet的UDP服務請求，不過這可能會阻斷一些正常的UDP服務請求?！?.6拒絕服務攻擊信息安全概論1202023/2/5UDPFlood攻擊——工具軟件UDPFlooder一種采用UDP-Flood攻擊方式的DoS軟件，它可以向特定的IP地址和端口發(fā)送UDP包§2.6拒絕服務攻擊信息安全概論1212023/2/5UDPFlood攻擊——工具軟件UDPFlooder控制面板管理工具性能§2.6拒絕服務攻擊信息安全概論1222023/2/5UDPFlood攻擊——工具軟件UDPFlooder

在“性能對象”框中選擇UDP協(xié)議，在“從列表選擇計數(shù)器”中，選擇“DatagramReceived/Sec”即對收到的UDP數(shù)據(jù)包進行計數(shù)，添加對UDP數(shù)據(jù)包的計數(shù)器§2.6拒絕服務攻擊信息安全概論1232023/2/5UDPFlood攻擊——工具軟件UDPFlooder

§2.6拒絕服務攻擊信息安全概論1242023/2/5UDPFlood攻擊——工具軟件UDPFlooder系統(tǒng)監(jiān)視器對UDP的監(jiān)測圖§2.6拒絕服務攻擊信息安全概論1252023/2/5UDPFlood攻擊——工具軟件UDPFlooder

在被攻擊的計算機上打開snifferpro，可以捕捉UDP數(shù)據(jù)包，看到大量內(nèi)容為“UDPFlood.Serverstresstest”的UDP數(shù)據(jù)包§2.6拒絕服務攻擊信息安全概論1262023/2/5Teardrop（淚滴）攻擊它利用的是系統(tǒng)在實現(xiàn)時的一個錯誤，即攻擊特定的IP協(xié)議棧實現(xiàn)片段重組代碼存在的缺陷。當網(wǎng)絡分組穿越不同的網(wǎng)絡時，有時候需要根據(jù)網(wǎng)絡最大傳輸單元MTU來把它們分割成較小的片，早期的Linux系統(tǒng)在處理IP分片重組問題時，盡管對片段是否過長進行檢查，但對過短的片段卻沒有進行驗證，所以導致了淚滴形式的攻擊，會造成系統(tǒng)的死機或重新啟動防御淚滴攻擊的最好辦法是升級服務包軟件，如下載操作系統(tǒng)補丁或升級操作系統(tǒng)等。另外，在設置防火墻時對分組進行重組而不進行轉(zhuǎn)發(fā)，也可以防止這種攻擊?！?.6拒絕服務攻擊信息安全概論1272023/2/5分布式拒絕服務攻擊，簡稱DDoS（DistributedDenialofService）攻擊。一種基于DoS的特殊形式的拒絕服務攻擊。攻擊者將多臺受控制的計算機聯(lián)合起來向目標計算機發(fā)起DoS攻擊，它是一種大規(guī)模協(xié)作的攻擊方式，主要瞄準比較大的商業(yè)站點，具有較大的破壞性§2.6拒絕服務攻擊信息安全概論1282023/2/5DDoS攻擊網(wǎng)絡結構DDoS攻擊由攻擊者、主控端（master）、代理端(zombie)三部分組成，三者在攻擊中扮演不同的角色。攻擊者是整個DDoS攻擊發(fā)起的源頭，它事先已經(jīng)取得了多臺主控端計算機的控制權主控端計算機分別控制著多臺代理端計算機。在主控端計算機上運行著特殊的控制進程，可以接收攻擊者發(fā)來的控制指令，操作代理端計算機對目標計算機發(fā)起DDoS攻擊。§2.6拒絕服務攻擊信息安全概論1292023/2/5§2.6拒絕服務攻擊clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood信息安全概論1302023/2/5DDoS的攻擊步驟黑客使用掃描工具探測掃描大量主機尋找潛在入侵目標。黑客設法入侵有安全漏洞的主機并獲取控制權。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。黑客在得到入侵計算機清單后，從中選出滿足建立網(wǎng)絡所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發(fā)送命令。黑客發(fā)送控制命令給主機，準備啟動對目標系統(tǒng)的攻擊主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)發(fā)起攻擊。目標系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進行響應，DDOS攻擊成功。§2.6拒絕服務攻擊信息安全概論1312023/2/5DDoS攻擊的防范增強系統(tǒng)安全性，例如加固系統(tǒng)用戶和口令的安全性；及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序；禁止所有不必要的服務；周期性的對系統(tǒng)進行安全性審核等。利用防火墻、路由器等網(wǎng)絡和網(wǎng)絡安全設備加固網(wǎng)絡的安全性，如禁止對主機非開放服務的連接、限制同時打開的SYN半連接數(shù)量、嚴格限制服務程序的對外訪問請求等。強化路由器等網(wǎng)絡設備的訪問控制功能，配置好訪問控制列表的過濾規(guī)則，禁止網(wǎng)絡不用的UDP和ICMP包通過?！?.6拒絕服務攻擊信息安全概論1322023/2/5DDoS攻擊的防范加強與ISP的合作，當發(fā)現(xiàn)攻擊現(xiàn)象時，與ISP協(xié)商實施嚴格的路由訪問控制策略，以保護帶寬資源和內(nèi)部網(wǎng)絡。采用DDoS監(jiān)測工具，加強對DDoS攻擊的監(jiān)測，例如DDoSPing、ZombieZapper和wtrinscan等，它們可以檢測具有代表性的攻擊，比如Wintrinoo，Stacheldraht和TFN等?！?.6拒絕服務攻擊信息安全概論1332023/2/5對付正在進行的DDOS攻擊首先，檢查攻擊來源，通常黑客會通過很多假的IP地址發(fā)起攻擊，此時，用戶若能夠分辨出哪些是真IP地址，哪些是假IP地址，然后了解這些IP來自哪些網(wǎng)段，再找網(wǎng)段管理員把機器關掉，即可消除攻擊。其次，找出攻擊者所經(jīng)過的路由，把攻擊屏蔽掉。若黑客從某些端口發(fā)動攻擊，用戶可把這些端口屏蔽掉，以狙擊入侵。最后一種比較折衷的方法是在路由器上濾掉ICMP?！?.6拒絕服務攻擊信息安全概論1342023/2/5DDOS攻擊——工具DDoSer軟件分為生成器(DDoSMaker.exe)與DDoS攻擊者程序(DDoSer.exe)兩部分DDoS攻擊程序通過生成器DDoSMaker.exe生成。生成時可以自定義一些設置（攻擊目標域名或IP地址、端口等）DDoS攻擊程序默認的文件名DDoSer.exe，可改名。攻擊程序類似木馬軟件的服務器端程序，程序運行后不會顯示任何界面，看上去好象沒有反應，其實它已經(jīng)將自己復制到系統(tǒng)里面了，并且會在每次開機時自動運行，此時可以將拷過去的安裝程序刪除。DDoSer使用的攻擊手段是SYNFlood方式?！?.6拒絕服務攻擊信息安全概論1352023/2/5DDOS攻擊——工具DDoSer§2.6拒絕服務攻擊信息安全概論1362023/2/5DDOS攻擊——工具DDoSer軟件就會自動生成一個DDoSer.exe的可執(zhí)行文件，這個文件就是攻擊程序運行DDoSer.exe后，這臺主機就成了攻擊者的代理端，主機會自動發(fā)出大量的半連接SYN請求，可以通過netstat命令來查看網(wǎng)絡狀態(tài)§2.6拒絕服務攻擊信息安全概論1372023/2/5DDOS攻擊——CC攻擊CC主要是用來攻擊頁面的對于論壇，訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當可觀CC就是充分利用這個特點，模擬多個用戶(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數(shù)據(jù)操作，就是需要大量CPU時間的頁面)代理可以有效地隱藏身份，也可以繞開所有的防火墻，因為幾乎所有的防火墻都會檢測并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會被認為是Connection-Flood§2.6拒絕服務攻擊信息安全概論1382023/2/5代理查找和驗證軟件——“花刺代理”§2.6拒絕服務攻擊信息安全概論1392023/2/5代理查找和驗證軟件——“花刺代理”§2.6拒絕服務攻擊信息安全概論1402023/2/5代理查找和驗證軟件——“花刺代理”§2.6拒絕服務攻擊信息安全概論1412023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1422023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1432023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1442023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1452023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1462023/2/5§2.7網(wǎng)絡后門與木馬為了保持對已經(jīng)入侵的主機長久的控制，需要在主機上建立網(wǎng)絡后門，以后可以直接通過后門入侵系統(tǒng)。網(wǎng)絡后門是保持對目標主機長久控制的關鍵策略。可以通過建立服務端口和克隆管理員帳號來實現(xiàn)。只要能不通過正常登錄進入系統(tǒng)的途徑都稱之為網(wǎng)絡后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別的。信息安全概論1472023/2/5一、遠程啟動Telnet服務利用主機上的Telnet服務，有管理員密碼就可以登錄到對方的命令行，進而操作對方的文件系統(tǒng)。如果Telnet服務是關閉的，就不能登錄了。默認情況下，Windows2000Server的Telnet是關閉的啟動本地Telnet服務方法一：運行窗口輸入tlntadmn.exe命令§2.7網(wǎng)絡后門與木馬信息安全概論1482023/2/5一、遠程啟動Telnet服務利用主機上的Telnet服務，有管理員密碼就可以登錄到對方的命令行，進而操作對方的文件系統(tǒng)。如果Telnet服務是關閉的，就不能登錄了。默認情況下，Windows2000Server的Telnet是關閉的啟動本地Telnet服務方法二：程序管理工具Telnet服務器管理§2.7網(wǎng)絡后門與木馬信息安全概論1492023/2/5一、遠程啟動Telnet服務在隨后啟動的DOS窗口中輸入4啟動本地Telnet服務§2.7網(wǎng)絡后門與木馬信息安全概論1502023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe使用該工具需要知道對方具有管理員權限的用戶名和密碼命令的語法是：“cscriptRTCS.vbe對方IP用戶名密碼123”，其中cscript是操作系統(tǒng)自帶的命令，RTCS.vbe是該工具軟件腳本文件，1是登錄系統(tǒng)的驗證方式，23是Telnet開放的端口該命令根據(jù)網(wǎng)絡的速度，執(zhí)行的時候需要一段時間§2.7網(wǎng)絡后門與木馬信息安全概論1512023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe開啟遠程主機Telnet服務的過程§2.7網(wǎng)絡后門與木馬信息安全概論1522023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe執(zhí)行完成后，對方的Telnet服務就被開啟了。在DOS提示符下，登錄目標主機的Telnet服務輸入命令“Telnet對方IP”，因為Telnet的用戶名和密碼是明文傳遞的，出現(xiàn)確認發(fā)送信息對話框§2.7網(wǎng)絡后門與木馬信息安全概論1532023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe輸入字符“y”，進入Telnet的登錄界面，需要輸入主機的用戶名和密碼如果用戶名和密碼沒有錯誤，將進入對方主機的命令行§2.7網(wǎng)絡后門與木馬信息安全概論1542023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe§2.7網(wǎng)絡后門與木馬信息安全概論1552023/2/5二、建立Web服務和Telnet服務——工具wnc.exe工具軟件wnc.exe可以在對方的主機上開啟兩個服務：Web服務和Telnet服務。其中Web服務的端口是808，Telnet服務的端口是707。只要在對方的命令行下執(zhí)行wnc.exe就可以§2.7網(wǎng)絡后門與木馬信息安全概論1562023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

執(zhí)行完畢后，利用命令“netstat-an”來查看開啟的808和707端口§2.7網(wǎng)絡后門與木馬信息安全概論1572023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

說明服務端口開啟成功，可以連接該目標主機提供的這兩個服務了。首先測試Web服務808端口，在瀏覽器地址欄中輸入“http://對方IP:808”，出現(xiàn)主機的盤符列表§2.7網(wǎng)絡后門與木馬信息安全概論1582023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

可以向?qū)Ψ椒掌飨螺d和上傳文件§2.7網(wǎng)絡后門與木馬信息安全概論1592023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

可以利用命令“telnet對方IP707”登錄到對方的命令行§2.7網(wǎng)絡后門與木馬信息安全概論1602023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

不用任何的用戶名和密碼就登錄了對方主機的命令行§2.7網(wǎng)絡后門與木馬信息安全概論1612023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

通過707端口也可以方便的獲得對方的管理員權限。wnc.exe的功能強大，但是該程序不能自動加載執(zhí)行，需要將該文件加到自啟動程序列表中。一般將wnc.exe文件放到對方的winnt目錄或者winnt/system32目錄下，這兩個目錄是系統(tǒng)環(huán)境目錄，執(zhí)行這兩個目錄下的文件不需要給出具體的路徑。§2.7網(wǎng)絡后門與木馬信息安全概論1622023/2/5二、建立Web服務和Telnet服務——工具wnc.exe將wnc.exe文件加入自啟動程序列表的方法首先將wnc.exe和reg.exe文件拷貝對方的winnt目錄下然后利用reg.exe文件將wnc.exe加載到注冊表的自啟動項目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”§2.7網(wǎng)絡后門與木馬信息安全概論1632023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

如果可以進入對方主機的圖形界面，可以查看一下對方的注冊表的自啟動項，已經(jīng)被修改§2.7網(wǎng)絡后門與木馬信息安全概論1642023/2/5三、讓禁用的Guest具有管理員權限操作系統(tǒng)所有的用戶信息都保存在注冊表中但是如果直接使用“regedit”命令打開注冊表，該鍵值是隱藏的§2.7網(wǎng)絡后門與木馬信息安全概論1652023/2/5三、讓禁用的Guest具有管理員權限可以利用工具軟件psu.exe得到該鍵值的查看和編輯權將psu.exe拷貝對方主機的C盤下，并在任務管理器查看對方主機winlogon.exe進程的ID號或者使用pulist.exe文件查看該進程的ID號§2.7網(wǎng)絡后門與木馬信息安全概論1662023/2/5三、讓禁用的Guest具有管理員權限該進程號為192，下面執(zhí)行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進程號§2.7網(wǎng)絡后門與木馬信息安全概論1672023/2/5三、讓禁用的Guest具有管理員權限在執(zhí)行該命令的時候必須將注冊表關閉，執(zhí)行完命令以后，注冊表編輯器被自動打開，查看SAM下的鍵值§2.7網(wǎng)絡后門與木馬信息安全概論1682023/2/5三、讓禁用的Guest具有管理員權限查看Administrator和guest默認的鍵值Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，§2.7網(wǎng)絡后門與木馬信息安全概論1692023/2/5三、讓禁用的Guest具有管理員權限查看Administrator和guest默認的鍵值Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，guest一般為0x1f5§2.7網(wǎng)絡后門與木馬信息安全概論1702023/2/5三、讓禁用的Guest具有管理員權限帳戶配置信息：根據(jù)“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息，右欄目F鍵值中保存了帳戶的密碼信息§2.7網(wǎng)絡后門與木馬信息安全概論1712023/2/5三、讓禁用的Guest具有管理員權限拷貝管理員配置信息：雙擊“000001F4”目錄下鍵值“F”，將看到的這些二進制信息全選，并拷貝到出來?！?.7網(wǎng)絡后門與木馬信息安全概論1722023/2/5三、讓禁用的Guest具有管理員權限覆蓋Guest用戶的配置信息：將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中，Guest帳戶就具有管理員權限了?！?.7網(wǎng)絡后門與木馬信息安全概論1732023/2/5三、讓禁用的Guest具有管理員權限保存鍵值：為了能夠使Guest帳戶在禁用的狀態(tài)登錄，需要將Guest帳戶信息導出注冊表。選擇User目錄，然后選擇菜單欄“注冊表”下的菜單項“導出注冊表文件”，將該鍵值保存為一個配置文件§2.7網(wǎng)絡后門與木馬信息安全概論1742023/2/5三、讓禁用的Guest具有管理員權限刪除Guest帳戶信息：打開計算機管理對話框，并在注冊表中分別刪除Guest和“00001F5”兩個目錄§2.7網(wǎng)絡后門與木馬信息安全概論1752023/2/5三、讓禁用的Guest具有管理員權限刷新用戶列表：這個刷新對方主機的用戶列表，會出現(xiàn)用戶找不到的對話框§2.7網(wǎng)絡后門與木馬信息安全概論1762023/2/5三、讓禁用的Guest具有管理員權限將剛才導出的信息文件導入注冊表然后刷新用戶列表就不會出現(xiàn)剛才的對話框了§2.7網(wǎng)絡后門與木馬信息安全概論1772023/2/5三、讓禁用的Guest具有管理員權限接著在對方主機的命令行下修改Guest的用戶屬性首先修改Guest帳戶的密碼，比如改成“wantao”，并將Guest帳戶開啟和停止§2.7網(wǎng)絡后門與木馬信息安全概論1782023/2/5三、讓禁用的Guest具有管理員權限查看guest帳戶屬性：再查看一下計算機管理窗口中的Guest帳戶，發(fā)現(xiàn)該帳戶是禁用的§2.7網(wǎng)絡后門與木馬信息安全概論1792023/2/5三、讓禁用的Guest具有管理員權限利用禁用的guest帳戶登錄注銷退出系統(tǒng)然后用用戶名：“guest”，密碼：“wantao”登錄系統(tǒng)可以登錄，并且該帳戶是管理員權限§2.7網(wǎng)絡后門與木馬信息安全概論1802023/2/5四、連接終端服務的軟件終端服務是Windows操作系統(tǒng)自帶的，可以遠程通過圖形界面操縱服務器。在默認的情況下終端服務的端口號是3389?？梢栽谙到y(tǒng)服務中查看終端服務是否啟動§2.7網(wǎng)絡后門與木馬信息安全概論1812023/2/5四、連接終端服務的軟件服務默認的端口是3389，可以利用命令“netstat-an”來查看該端口是否開放§2.7網(wǎng)絡后門與木馬信息安全概論1822023/2/5四、連接終端服務的軟件管理員為了遠程操作方便，服務器上的該服務一般都是開啟的。這就給黑客們提供一條可以遠程圖形化操作主機的途徑。利用該服務，目前常用的有三種方法連接到對方主機使用Windows2000的遠程桌面連接工具使用WindowsXP的遠程桌面連接工具使用基于瀏覽器方式的連接工具§2.7網(wǎng)絡后門與木馬信息安全概論1832023/2/5四、連接終端服務的軟件——Windows2000自帶的終端服務工具mstsc.exe該工具只要設置要連接主機的IP地址和連接桌面的分辨率就可以§2.7網(wǎng)絡后門與木馬信息安全概論1842023/2/5四、連接終端服務的軟件——Windows2000自帶的終端服務工具mstsc.exe如果目標主機的終端服務是啟動的，可以直接登錄到對方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對方主機了§2.7網(wǎng)絡后門與木馬信息安全概論1852023/2/5四、連接終端服務的軟件——Windows2000自帶的終端服務工具mstsc.exe§2.7網(wǎng)絡后門與木馬信息安全概論1862023/2/5四、連接終端服務的軟件

——WindowsXP自帶的終端服務工具mstsc.exe界面簡單，只要輸入對方的IP地址就可以了§2.7網(wǎng)絡后門與木馬信息安全概論1872023/2/5五、安裝并啟動終端服務——工具軟件djxyxs.exe假設對方不僅沒有開啟終端服務，而且沒有安裝終端服務所需要的軟件。工具軟件djxyxs.exe可以給對方安裝并開啟該服務。在該工具軟件中已經(jīng)包含了安裝終端服務所需要的所有文件§2.7網(wǎng)絡后門與木馬信息安全概論1882023/2/5五、安裝并啟動終端服務——工具軟件djxyxs.exe將該文件上傳并拷貝到對方服務器的Winnt\temp目錄下然后執(zhí)行djxyxs.exe文件，該文件會自動進行解壓將文件全部放置到當前的目錄下§2.7網(wǎng)絡后門與木馬信息安全概論1892023/2/5木馬是一種可以駐留在對方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務器端和客戶端。服務器端程序安裝在被控制計算機中，一般通過電子郵件等手段讓用戶在其計算機中運行，達到控制該計算機的目的。客戶端程序是控制者所使用的，用于對受控的計算機進行控制。服務器端程序和客戶端程序建立起連接就可以實現(xiàn)對遠程計算機的控制了。木馬運行時，首先服務器端獲得本地計算機的最高操作權限，當本地計算機連入網(wǎng)絡后，客戶端可與服務器端建立連接，并向服務器端發(fā)送各種基本的操作請求，由服務器端完成這些請求，即實現(xiàn)對本地計算機的控制了。§2.7網(wǎng)絡后門與木馬信息安全概論1902023/2/5木馬本身不具備繁殖性和自動感染的功能。木馬程序表面上看上去沒有任何的損害，實際隱藏著可以控制用戶整個計算機系統(tǒng)、打開后門等危害系統(tǒng)安全的功能Windows下的木馬有：Netbus、subseven、BO、冰河、網(wǎng)絡神偷等。Unix下的木馬有：Rhost++、Login后門、rootkit等§2.7網(wǎng)絡后門與木馬信息安全概論1912023/2/5木馬分類：遠