信息安全技术与实施-03网络攻击与防范课件.pptx

1、授课人：*时间：*年*月信息安全技术与实施信息安全技术与实施网络攻击与防范网络攻击与防范本章要点本章要点信息收集目标控制学习目标学习目标了解网络攻击的一般过程。掌握控制和破坏目标系统常用方法。掌握网络后门和日志清除技术。掌握常用安全防范技术。信息安全技术与实施信息安全技术与实施目 录Contents01.网络攻击概述 02.信息收集 03.控制或破坏目标系统 04.网络后门技术 信息安全技术与实施信息安全技术与实施网络攻击与防范网络攻击与防范05.日志清除技术 信息安全技术与实施信息安全技术与实施信息安全技术与实施信息安全技术与实施网络攻击与防范网络攻击与防范前前 言言目前，网上一些利用“网络

2、钓鱼”手法，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的帐户密码，从而窃取用户资金的违法犯罪活动不断增多。如何识别网络钓鱼网站和网络上潜在的威胁？本章将全面揭示网络攻击和网站假冒钓鱼技术的真面目。中共重庆市委网信办 中共重庆市委网信办信息安全技术与实施信息安全技术与实施目前网络安全领域研究趋势越来越注重攻防结合，追求动态安全。形成了两个不同的角度和方向目前网络安全领域研究趋势越来越注重攻防结合，追求动态安全。形成了两个不同的角度和方向:攻击技术和攻击技术和防御技术防御技术,两者相辅相成两者相辅相成.研究黑客常用的攻击手段和工具必然为防御技术提供启示和新

3、的思路研究黑客常用的攻击手段和工具必然为防御技术提供启示和新的思路,利用这些攻击手段利用这些攻击手段和工具对网络进行模拟攻击和工具对网络进行模拟攻击,也可以找出目标网络的漏洞和弱点。也可以找出目标网络的漏洞和弱点。网络攻击概述 中共重庆市委网信办信息安全技术与实施信息安全技术与实施网络攻击概述网络安全威胁网络安全威胁物理威胁系统漏洞身份鉴别威胁线缆连接威胁有害程序偷窃 废物搜寻 间谍行为 身份识别错误 不安全服务配置 初始化 乘虚而入 算法考虑不周随意口令口令破解 口令圈套 拨号进入冒名顶替窃听病毒特洛伊木马代码炸弹 更新或下载 中共重庆市委网信办信息安全技术与实施信息安全技术与实施网络攻击概

4、述网络攻击步骤 主要步骤网络攻击一般归纳为以下5个步骤：1）隐藏IP5）在网络中隐身2）收集信息3）控制或破坏目标系统4）种植后门 中共重庆市委网信办 中共重庆市委网信办信息安全技术与实施信息安全技术与实施知己知彼、百战不殆。知己知彼、百战不殆。入侵入侵者在攻击目标系统前都会想方设法收集尽可能多的信息。无论目标网络规模有多大，安全指数有多高，者在攻击目标系统前都会想方设法收集尽可能多的信息。无论目标网络规模有多大，安全指数有多高，只要是人设计的网络就必然缺陷。事实上入侵者获得的信息越多，他们发现的缺陷就越多，入侵的可能性就越大。只要是人设计的网络就必然缺陷。事实上入侵者获得的信息越多，他们发现

5、的缺陷就越多，入侵的可能性就越大。老练的黑客往往花费很多时间，信息收集、筛选、分析、再收集、在筛选、再分析。老练的黑客往往花费很多时间，信息收集、筛选、分析、再收集、在筛选、再分析。“没有无用的信息没有无用的信息”。常用的信息收集方法：社交工程、常用的信息收集方法：社交工程、DNS查询、搜索引擎搜索、扫描等。查询、搜索引擎搜索、扫描等。信息收集 中共重庆市委网信办信息安全技术与实施信息安全技术与实施社交工程在黑客理论中，指利用人性弱点、利用人际交往上的漏洞来非法获取资料的行为。社交工程并不是社交工程在黑客理论中，指利用人性弱点、利用人际交往上的漏洞来非法获取资料的行为。社交工程并不是什么难事，

6、主要是利用人在心理学和行为学上的特殊行为。，普通的黑客技术是入侵方与受害方的计算机的交流，什么难事，主要是利用人在心理学和行为学上的特殊行为。，普通的黑客技术是入侵方与受害方的计算机的交流，其间仅通过计算机；而社交工程则是在侵入的过程中有入侵方与受害方的人的对话过程，并且入侵方所需要的信其间仅通过计算机；而社交工程则是在侵入的过程中有入侵方与受害方的人的对话过程，并且入侵方所需要的信息只能通过这种途径获得。息只能通过这种途径获得。防范措施：一定要保持警惕，对某些特殊的要求要重视检验，特别是训练前台人员辨别真伪的能力。信息收集社交工程 中共重庆市委网信办信息安全技术与实施信息安全技术与实施端口概

7、念：把端口概念：把没有开启端口号的计算机看做是一个密封的房间，密封的房间当然不可能接受外界的访问，当没有开启端口号的计算机看做是一个密封的房间，密封的房间当然不可能接受外界的访问，当系统开启了一个可以让外界访问的程序后它自然需要在房间上开一个窗口来接受来自外界的访问，这个窗口就是系统开启了一个可以让外界访问的程序后它自然需要在房间上开一个窗口来接受来自外界的访问，这个窗口就是端口，端口号是具有网络功能的应用软件的标识号，其中端口，端口号是具有网络功能的应用软件的标识号，其中0103是公认的端口号，即已经公开定义或为将要公开定是公认的端口号，即已经公开定义或为将要公开定义的软件保留的。而义的软件

8、保留的。而1024-65535是没有公开定义的，用户可以自己定义这些端口的作用。是没有公开定义的，用户可以自己定义这些端口的作用。端口扫描基本原理：在端口扫描基本原理：在端口扫描过程中，入侵者尝试与目标主机的某些端口建立连接，若有回复，则说明该端口扫描过程中，入侵者尝试与目标主机的某些端口建立连接，若有回复，则说明该端口开放，即为端口开放，即为“活动端口活动端口”。扫描主机自动向目标计算机的指定端口发送。扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送建立连接请求数据段，表示发送建立连接请求。端口扫描方式：（端口扫描方式：（1）全）全TCP连接。使用三次握手与目标计算机建立标准的连

9、接。使用三次握手与目标计算机建立标准的TCP连接连接；（2）半打开式扫描（）半打开式扫描（SYN扫描）扫描）；（；（3）FIN扫描扫描。信息收集端口扫描 中共重庆市委网信办信息安全技术与实施信息安全技术与实施漏洞扫描定义：是指基于漏洞数据库，通过扫描等手段，对指定的远程或者本地计算机系统的安全脆弱性进漏洞扫描定义：是指基于漏洞数据库，通过扫描等手段，对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测行为。行检测，发现可利用的漏洞的一种安全检测行为。漏洞扫描是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系漏洞扫描是对重要计算机

10、信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。漏洞扫描从底层技术来划分，可以分为基于网络的扫描和基于主机的扫描这两种类型。漏洞扫描从底层技术来划分，可以分为基于网络的扫描和基于主机的扫描这两种类型。漏洞漏洞扫描器通常以三种形式出现：单一的扫描软件，安装在计算机或掌上电脑上，例如扫描器通常以三种形式出现：单一的扫描软件，安装在计算机或掌上电脑上，例如ISS Internet Scanner；基于客户机（管

11、理端）基于客户机（管理端）/服务器（扫描引擎）模式或浏览器服务器（扫描引擎）模式或浏览器/服务器服务器模式。模式。信息收集漏洞扫描 中共重庆市委网信办信息安全技术与实施信息安全技术与实施基于网络的漏洞基于网络的漏洞扫描器一般扫描器一般有以下几个方面组成有以下几个方面组成：漏洞数据库漏洞数据库模块模块 用户配置控制台用户配置控制台模块模块 扫描引擎扫描引擎模块模块 当前活动的扫描知识库当前活动的扫描知识库模块模块 结果存储器和报告生成结果存储器和报告生成工具工具信息收集漏洞扫描基于网路的漏洞扫描 中共重庆市委网信办信息安全技术与实施信息安全技术与实施主机漏洞扫描器则通过在主机本地的代理程序对系统

12、配置、注册表、系统日志、文件系统或数主机漏洞扫描器则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描，搜集他们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则据库活动进行监视扫描，搜集他们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为安全漏洞存在。认为安全漏洞存在。基于主机的漏洞扫描器，扫描目标系统的漏洞的原理与基于网络的漏洞扫描器的原理类似，但基于主机的漏洞扫描器，扫描目标系统的漏洞的原理与基于网络的漏洞扫描器的原理类似，但是，两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装了一个代理（是，两者的体系结构不一样。基于主

13、机的漏洞扫描器通常在目标系统上安装了一个代理（Agent）或）或者是服务（者是服务（Services），以便能够访问所有的文件与进程，这也使的基于主机的漏洞扫描器能够扫描），以便能够访问所有的文件与进程，这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。更多的漏洞。信息收集漏洞扫描基于主机的漏洞扫描 中共重庆市委网信办信息安全技术与实施信息安全技术与实施 网络监听在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员网络监听在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，

14、因而一直备受网络管理员的青睐。然而，在另一监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直备受网络管理员的青睐。然而，在另一方面网络监听也给以太网安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造方面网络监听也给以太网安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃，敏感数据被截获等等连锁性安全事件。成口令失窃，敏感数据被截获等等连锁性安全事件。信息收集网络监听 中共重庆市委网信办 中共重庆市委网信办信息安全技术与实施信息安全技术与实施IP欺骗是在服务器不存在任何漏洞的情况下，攻击者将其发送的网络数据包的源欺骗是在

15、服务器不存在任何漏洞的情况下，攻击者将其发送的网络数据包的源IP地址篡改为攻击目标所信任的某地址篡改为攻击目标所信任的某台主机的台主机的IP地址，从而骗取攻击目标信任的一种网络欺骗攻击方法。此方法应用于攻击地址，从而骗取攻击目标信任的一种网络欺骗攻击方法。此方法应用于攻击Unix 平台下通过平台下通过IP地址进行认证地址进行认证的一些远程服务如的一些远程服务如rlogin、rsh等，也常应用于穿透防火墙。等，也常应用于穿透防火墙。IP 欺骗不是进攻的结果，而是进攻的手段，进攻实际上是信欺骗不是进攻的结果，而是进攻的手段，进攻实际上是信任关系的破坏任关系的破坏控制或破坏目标系统欺骗攻击1）既然A

16、，B之间的信任关系是基于IP地址建立起来的，假如攻击者C能够冒充B的IP地址，就可以登录到A主机上，而不需任何口令验证，这就是IP欺骗的基本原理。2）IP欺骗攻击过程 1）假设黑客C已找到要攻击的主机A 2）C发现与A有关的信任主机B 3）利用某种方法攻击B，使其瘫痪 4）对A的ISN(Initial Sequence Number)号进行取样和分析 5）用ISN号进行尝试链接 6）链接成功，则执行命令，留下后门3）防止IP地址欺骗 1）抛弃基于地址的信任策略 2）进行包过滤 3）使用加密方法 4）使用随机的初始序列号 中共重庆市委网信办信息安全技术与实施信息安全技术与实施缓冲区溢出是一种非常

17、普遍、危险的漏洞，在各种操作系统和应用软件中广泛存在，利用缓冲区溢出攻击可以导缓冲区溢出是一种非常普遍、危险的漏洞，在各种操作系统和应用软件中广泛存在，利用缓冲区溢出攻击可以导致程序运行失败、重新启动等后果。更为严重是可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种致程序运行失败、重新启动等后果。更为严重是可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作非法操作。缓冲区是程序运行的时候机器内存中用于存放数据的临时内存空间，它的长度事先已经被程序或操作系统定义好。缓冲区是程序运行的时候机器内存中用于存放数据的临时内存空间，它的长度事先已经被程序或操作系统定义好。缓

18、冲区在系统中的表现形式是多样的，高级语言定义的变量、数组、结构体等在运行时可以说都是保存在缓冲区内的，缓冲区在系统中的表现形式是多样的，高级语言定义的变量、数组、结构体等在运行时可以说都是保存在缓冲区内的，因此所谓缓冲区可以更抽象地理解为一段可读写的内存区域。因此所谓缓冲区可以更抽象地理解为一段可读写的内存区域。控制或破坏目标系统缓冲区溢出 中共重庆市委网信办信息安全技术与实施信息安全技术与实施目前的缓冲区溢出攻击，可以按照以下方法进行分类目前的缓冲区溢出攻击，可以按照以下方法进行分类:(1)按照溢出位置分类：栈溢出、堆溢出和按照溢出位置分类：栈溢出、堆溢出和BSS段溢出。段溢出。(2)按照攻

19、击者欲达到的目标分类：在程序的地址空间里植入适当的代码以及通过适当地初始化寄存器和存储器从按照攻击者欲达到的目标分类：在程序的地址空间里植入适当的代码以及通过适当地初始化寄存器和存储器从而控制程序转移到攻击者安排的地址空间去执行。而控制程序转移到攻击者安排的地址空间去执行。(3)按照攻击目标分类：攻击栈中的返回地址、攻击栈中保存的旧框架指针、攻击堆或按照攻击目标分类：攻击栈中的返回地址、攻击栈中保存的旧框架指针、攻击堆或BSS段中的局部变量或参数、段中的局部变量或参数、攻击堆或攻击堆或BSS段中的长跳转缓冲区段中的长跳转缓冲区。缓冲区溢出的一个非常关键的步骤就是要实现进程执行流程跳转，这也正是

20、缓冲区溢出攻击的首要目的。只有实缓冲区溢出的一个非常关键的步骤就是要实现进程执行流程跳转，这也正是缓冲区溢出攻击的首要目的。只有实现了流程的跳转，才能在被攻击的主机上执行所植入的代码，实现控制被攻击主机的目的。要实现执行流程跳转，攻现了流程的跳转，才能在被攻击的主机上执行所植入的代码，实现控制被攻击主机的目的。要实现执行流程跳转，攻击者可以通过缓冲区溢出漏洞修改有关执行流程的管理信息，如返回地址击者可以通过缓冲区溢出漏洞修改有关执行流程的管理信息，如返回地址。控制或破坏目标系统缓冲区溢出 中共重庆市委网信办信息安全技术与实施信息安全技术与实施口令破解口令破解器：器：口令破解器口令破解器是是一个

21、程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般不是真正的一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般不是真正的去解码，因为事实上很多加密算法是不可逆的去解码，因为事实上很多加密算法是不可逆的。大多数。大多数口令破解器是通过尝试一个一个的单词，用已知的加密算法来口令破解器是通过尝试一个一个的单词，用已知的加密算法来加密这些单词，直到发现一个单词经过加密后的结果和待解密的数据一样，就认为这个单词是要找的密码加密这些单词，直到发现一个单词经过加密后的结果和待解密的数据一样，就认为这个单词是要找的密码。字典字典文件：文件：所谓字典文件，就是根据用户的各种信息建立一个用

22、户可能使用的口令的列表文件。字典中的口令是所谓字典文件，就是根据用户的各种信息建立一个用户可能使用的口令的列表文件。字典中的口令是根据人们设置自己账号口令的习惯总结出的常用口令。对攻击者来说，攻击的口令在这字典文件中的可能性很大，而根据人们设置自己账号口令的习惯总结出的常用口令。对攻击者来说，攻击的口令在这字典文件中的可能性很大，而且因为字典条目相对较少，在破解速度上也远快于穷举法口令攻击。这种字典有很多种，适合在不同的情况下使用且因为字典条目相对较少，在破解速度上也远快于穷举法口令攻击。这种字典有很多种，适合在不同的情况下使用。字典攻击：使用字典攻击：使用一部一部1万个单词的字典一般能猜测出

23、系统中万个单词的字典一般能猜测出系统中70%的口令。的口令。强行攻击：没有强行攻击：没有攻不破的口令，只是个时间问题。如果有速度足够快的计算机能尝试字母、数字、特殊字符的所攻不破的口令，只是个时间问题。如果有速度足够快的计算机能尝试字母、数字、特殊字符的所有组合，将最终能破解所有的口令。有组合，将最终能破解所有的口令。组合攻击：使用组合攻击：使用字典单词但是单词尾部串接几个字母和数字，这就是组合攻击。（鉴于很多管理员要求使用字母字典单词但是单词尾部串接几个字母和数字，这就是组合攻击。（鉴于很多管理员要求使用字母和数字，用户的对策是在口令后面添加几个数字）和数字，用户的对策是在口令后面添加几个数

24、字）控制或破坏目标系统口令破解 中共重庆市委网信办信息安全技术与实施信息安全技术与实施Windows口令破解程序主要有：口令破解程序主要有：（1）L0phtcrack：是一个：是一个NT口令破解工具，它能通过保存在口令破解工具，它能通过保存在NT操作系统中的操作系统中的cryptographic hashes列表来破解用户列表来破解用户口令。口令。（2）NTSweep：利用：利用Microsoft允许用户改变口令的机制，允许用户改变口令的机制，NTSweep首先取定一个词，首先取定一个词，NTSweep使用这个单词作为使用这个单词作为账号的原始口令并试图把用户的口令改为同一个单词。账号的原始口

25、令并试图把用户的口令改为同一个单词。NTSweep能通过防火墙，也不需要任何特殊权限来允许。能通过防火墙，也不需要任何特殊权限来允许。（3）NTCrack：是：是UNIX破解程序的一部分，但是需要在破解程序的一部分，但是需要在NT环境下破解，它和环境下破解，它和NTSweep的工作原理类似，但功能上的工作原理类似，但功能上有限。有限。（4）PWDump2：用来从：用来从SAM数据库中提取哈希口令。数据库中提取哈希口令。控制或破坏目标系统口令破解 中共重庆市委网信办信息安全技术与实施信息安全技术与实施Windows口令破解程序主要有：口令破解程序主要有：（1）L0phtcrack：是一个：是一个

26、NT口令破解工具，它能通过保存在口令破解工具，它能通过保存在NT操作系统中的操作系统中的cryptographic hashes列表来破解用户列表来破解用户口令。口令。（2）NTSweep：利用：利用Microsoft允许用户改变口令的机制，允许用户改变口令的机制，NTSweep首先取定一个词，首先取定一个词，NTSweep使用这个单词作为使用这个单词作为账号的原始口令并试图把用户的口令改为同一个单词。账号的原始口令并试图把用户的口令改为同一个单词。NTSweep能通过防火墙，也不需要任何特殊权限来允许。能通过防火墙，也不需要任何特殊权限来允许。（3）NTCrack：是：是UNIX破解程序的一

27、部分，但是需要在破解程序的一部分，但是需要在NT环境下破解，它和环境下破解，它和NTSweep的工作原理类似，但功能上的工作原理类似，但功能上有限。有限。（4）PWDump2：用来从：用来从SAM数据库中提取哈希口令。数据库中提取哈希口令。控制或破坏目标系统口令破解 中共重庆市委网信办信息安全技术与实施信息安全技术与实施SQL注入攻击是注入攻击是黑客对数据库进行攻击的常用手段之一。由于程序员的水平及经验问题，很多程序员没有判断用户黑客对数据库进行攻击的常用手段之一。由于程序员的水平及经验问题，很多程序员没有判断用户输入数据的合法性，从而存在隐患输入数据的合法性，从而存在隐患。用户。用户可以提交

28、一段数据库查询代码，根据程序返回的结果，获得某些他想得知的可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据数据。控制或破坏目标系统SQL注入攻击 中共重庆市委网信办信息安全技术与实施信息安全技术与实施拒绝服务攻击，英文名称是拒绝服务攻击，英文名称是Denial of Service，简称，简称DOS，其，其目的是使计算机或网络无法提供正常的服务。目的是使计算机或网络无法提供正常的服务。最最常见常见的的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所

29、有可用网络资源都被消耗殆尽源都被消耗殆尽,最后导致合法的用户请求无法最后导致合法的用户请求无法通过；连通性通过；连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。常用攻击手段有：同步洪流、作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。常用攻击手段有：同步洪流、WinNuke、死亡之、死亡之PING、Echl攻击、攻击、ICMP/SMURF、Finger炸弹、炸弹、Land攻击、攻击、Ping洪流、洪流、Rwhod、tearDrop、TARGA3、UDP攻击、攻击、O

30、OB等等。控制或破坏目标系统SQL注入攻击 中共重庆市委网信办 中共重庆市委网信办信息安全技术与实施信息安全技术与实施后门也叫做陷阱门后门也叫做陷阱门，只要能不通过正常登录进入系统的途径都称之为网络只要能不通过正常登录进入系统的途径都称之为网络后门，是后门，是访问程序、在访问程序、在线服务的一种秘密方式。通过安装后门，攻击者可保持一条秘密的通道，线服务的一种秘密方式。通过安装后门，攻击者可保持一条秘密的通道，对入侵的目标进行长久对入侵的目标进行长久的的控控制，不必制，不必每次登录到目标主机都要重新实施攻击才能完成。后门对系统安全的威胁是潜在的、不确定每次登录到目标主机都要重新实施攻击才能完成。

31、后门对系统安全的威胁是潜在的、不确定的的。掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能，它能让你分析自身网络系统是掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能，它能让你分析自身网络系统是否留有后门，更好地保护自己的系统；它也能让那些不怀好意的人掌控别人的机器，干一些害人的勾否留有后门，更好地保护自己的系统；它也能让那些不怀好意的人掌控别人的机器，干一些害人的勾当当。网络后门技术 中共重庆市委网信办信息安全技术与实施信息安全技术与实施（1）网页后门）网页后门此类后门程序一般都是服务器上正常的此类后门程序一般都是服务器上正常的web服务来构造自己的连接方式，比如现在非常流行

32、的服务来构造自己的连接方式，比如现在非常流行的asp、cgi脚本后门等。脚本后门等。（2）线程插入后门）线程插入后门利用系统自身的某个服务或者线程，将后门程序插入到其中，这也是现在最流行的一个后门技术利用系统自身的某个服务或者线程，将后门程序插入到其中，这也是现在最流行的一个后门技术。（3）扩展后门）扩展后门 所谓所谓“扩展扩展”，是指在功能上有大的提升，比普通的单一功能的后门有很强的适用性，这种后门，是指在功能上有大的提升，比普通的单一功能的后门有很强的适用性，这种后门本身就相当于一个小的安全工具包，能实现非常多的常见安全功能，适合新手使用。本身就相当于一个小的安全工具包，能实现非常多的常见

33、安全功能，适合新手使用。（4）c/s后门后门 和传统的木马程序类似的控制方法，采用和传统的木马程序类似的控制方法，采用“客户端客户端/服务端服务端”的控制方式，通过某种特定的访问的控制方式，通过某种特定的访问方式来启动后门进而控制服务器方式来启动后门进而控制服务器。网络后门技术后门程序的分类 中共重庆市委网信办信息安全技术与实施信息安全技术与实施木马来自于特洛伊木马木马来自于特洛伊木马(Trojan Horse)。特洛伊木马。特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。是指黑客用来远程控制目标计算机的特殊程序。凡是非法驻留在目标计算机里并执行预定的操作，窃取目标的私有信息，都属特洛伊木

34、马凡是非法驻留在目标计算机里并执行预定的操作，窃取目标的私有信息，都属特洛伊木马。木马程序木马程序与一般的病毒不同，不能繁殖，通过将自身伪装吸引用户下载执行，向施种木马者提供与一般的病毒不同，不能繁殖，通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使攻击者可以任意毁坏、窃取被植入者的文件，甚至远程操控被植入者的电打开被种者电脑的门户，使攻击者可以任意毁坏、窃取被植入者的文件，甚至远程操控被植入者的电脑脑。木马与。木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意善意”的控的控制

35、，因此通常不具有隐蔽性制，因此通常不具有隐蔽性；木马；木马”则完全则完全相反。相反。网络后门技术木马技术 中共重庆市委网信办信息安全技术与实施信息安全技术与实施隐蔽性：一般的木马会以捆绑方式装到目标电脑上，而捆绑方式、捆绑位置、捆绑程序等则可以隐蔽性：一般的木马会以捆绑方式装到目标电脑上，而捆绑方式、捆绑位置、捆绑程序等则可以由黑客自己确定，既可以捆绑到启动程序上，也可以捆绑到一般常用程序上，位置的多变使得木马具由黑客自己确定，既可以捆绑到启动程序上，也可以捆绑到一般常用程序上，位置的多变使得木马具有很强的隐蔽性。有很强的隐蔽性。潜伏性：木马程序一般不会在已经被感染的电脑上作什么破坏的操作，而

36、是尽量地将自己隐藏起潜伏性：木马程序一般不会在已经被感染的电脑上作什么破坏的操作，而是尽量地将自己隐藏起来，不让用户觉察到木马的存在，从而得以偷偷地做一些用户不希望的事情。来，不让用户觉察到木马的存在，从而得以偷偷地做一些用户不希望的事情。再生再生性：木马被发现后，表面上是被删除了，但后备的木马会在一定的条件下重新生成被删除的性：木马被发现后，表面上是被删除了，但后备的木马会在一定的条件下重新生成被删除的文件文件。网络后门技术木马技术特性 中共重庆市委网信办信息安全技术与实施信息安全技术与实施网络后门技术木马技术攻击步骤客户端程序是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥。客户端程序

37、是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥。服务器端程序即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上。服务器端程序即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上。木马攻击的第一步：把木马服务程序植入攻击对象木马攻击的第一步：把木马服务程序植入攻击对象攻击者需要通过木马对他人电脑系统进行攻击，第一步就是把木马的服务程序植入攻击者需要通过木马对他人电脑系统进行攻击，第一步就是把木马的服务程序植入到被攻击的电脑里面。如果电脑没有联网，那么是不会受到木马的侵扰的，因为木到被攻击的电脑里面。如果电脑没有联网，那么是不会受到木马的侵扰的，因为木马程序不会主动攻击和传染到这样的电脑中

38、。马程序不会主动攻击和传染到这样的电脑中。木马攻击的第二步：把主机信息发送给攻击者木马攻击的第二步：把主机信息发送给攻击者 中共重庆市委网信办信息安全技术与实施信息安全技术与实施植入植入方式：利用系统漏洞，远程下载并执行木马安装方式：利用系统漏洞，远程下载并执行木马安装程序；绑程序；绑在下载的其他软件中，用户安装该在下载的其他软件中，用户安装该软件的同时安装软件的同时安装木马；伪装木马；伪装为其他软件（如破解工具、漂亮的屏保等为其他软件（如破解工具、漂亮的屏保等）；利用）；利用IE漏洞可以通过漏洞可以通过Script、ActiveX及及Asp、PHP、Cgi等交互脚本的方式等交互脚本的方式植入

39、；社会植入；社会工程（如谎称是朋友寄给你的贺卡）。工程（如谎称是朋友寄给你的贺卡）。隐藏隐藏方式：在任务栏里方式：在任务栏里隐形；在隐形；在任务管理器里任务管理器里隐形；无隐形；无进程、无端口的进程、无端口的DLL（动态链接库）木马（动态链接库）木马启动方式：启动方式：自动启动（注册表、自动启动（注册表、win.ini、system.ini等等）；捆绑）；捆绑到其他的程序上（如：到其他的程序上（如：phAse 1.0版版本和本和NetBus 1.53）；）；Dll的形式注入到系统服务中，随服务的启动而启动的形式注入到系统服务中，随服务的启动而启动网络后门技术木马技术植入、隐藏、启动方式 中共重

40、庆市委网信办信息安全技术与实施信息安全技术与实施反弹技术：由木马服务端主动连接客户端，因此在互联网上可以访问到局域网里通过反弹技术：由木马服务端主动连接客户端，因此在互联网上可以访问到局域网里通过 NAT 代理代理(透透明代理明代理)上网的电脑，并且可以穿过防火墙。上网的电脑，并且可以穿过防火墙。多线程技术：一多线程技术：一个木马同时运行多个线程。例如：三个线程，其中一个为主线程，负责远程控制个木马同时运行多个线程。例如：三个线程，其中一个为主线程，负责远程控制的工作。另外两个为辅助线程，其中一个辅助线程称为监视线程，它负责检查木马程序是否被删除和的工作。另外两个为辅助线程，其中一个辅助线程称

41、为监视线程，它负责检查木马程序是否被删除和是否被停止自启动是否被停止自启动。网络后门技术木马技术主要技术 中共重庆市委网信办 中共重庆市委网信办信息安全技术与实施信息安全技术与实施黑客入侵系统并在退出系统之前都会清除系统的日志，删除自己入侵的痕迹，清除日志是黑客入侵的最后一步黑客入侵系统并在退出系统之前都会清除系统的日志，删除自己入侵的痕迹，清除日志是黑客入侵的最后一步。清除清除IIS日志：当日志：当用户访问用户访问IIS服务器后，无论是正常还是非正常的访问，服务器后，无论是正常还是非正常的访问，IIS都会记录访问者的都会记录访问者的IP地址以及访问时间等地址以及访问时间等信息，这些信息，这些

42、信息记录在信息记录在WINNTsystem32LogFiles目录目录下。打开下。打开任一文件佳夹下的任一文件，可以看到任一文件佳夹下的任一文件，可以看到IIS日志的基本格式，日志的基本格式，记录了用户访问的服务器文件、用户登录的时间、记录了用户访问的服务器文件、用户登录的时间、IP地址及用户浏览器和操作系统的版本号。最简单的方法是直接到该地址及用户浏览器和操作系统的版本号。最简单的方法是直接到该目录下删除这些文件夹，但是全部删除文件后，一定会引起管理员的怀疑。一般入侵过程是短暂的，只会保存到一个目录下删除这些文件夹，但是全部删除文件后，一定会引起管理员的怀疑。一般入侵过程是短暂的，只会保存到

43、一个LOG文件，只要在该文件，只要在该LOG文件删除所有自己的记录就可以文件删除所有自己的记录就可以了，使用了，使用工具软件工具软件CleanIISLog.exe可以实现。可以实现。清除主机清除主机日志：主机日志：主机日志日志包括应用程序包括应用程序日志、安全日志和系统日志、安全日志和系统日志日志三类三类日志。日志。可以在计算机上通过控制面板下的可以在计算机上通过控制面板下的“事件查看器事件查看器”查看日志信息查看日志信息。使用。使用工具软件工具软件Clearel.exe可以方便地清除系统日志，首先将该文件上传到对方主机，然可以方便地清除系统日志，首先将该文件上传到对方主机，然后删除这三种日志

44、，命令格式为：后删除这三种日志，命令格式为：Clearel system 删除系统日志删除系统日志 Clearel Security 删除安全日志删除安全日志 Clearel Application 删除应用程序日志删除应用程序日志 Clearel All 删除全部日志。删除全部日志。日志清除技术 中共重庆市委网信办 实训实训3 利用利用软件动态分析技术破解软件动态分析技术破解WinZip9.0目的：目的：1理解软件分析技术的原理。2掌握常见动态分析工具的使用方法。3利用动态分析工具Soft-ICE破解WinZip9.0。要求：要求：1安装动态分析工具Soft-ICE。2利用Soft-ICE破解WinZip9.0，使之成为注册版本。