网络空间安全技术实践教程-(40)课件.pptx

上传人（卖家）：晟晟文业

文档编号：4013709

上传时间：2022-11-03

格式：PPTX

页数：17

大小：329.76KB

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

19 文币

交易提醒：下载本文档，相应价格的文币将全额进入上传人（卖家）的账号。立即下载优惠套餐（点此详情）

【下载声明】
1. 本站全部试题类文档，若标题没写含答案，则无答案；标题注明含答案的文档，主观题也可能无答案。请谨慎下单，一旦售出，不予退换。
2. 本站全部PPT文档均不含视频和音频，PPT中出现的音频或视频标识（或文字）仅表示流程，实际无音频或视频文件。请谨慎下单，一旦售出，不予退换。
3. 本页资料《网络空间安全技术实践教程-(40)课件.pptx》由用户（晟晟文业）主动上传，其收益全归该用户。163文库仅提供信息存储空间，仅对该用户上传内容的表现方式做保护处理，对上传内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知163文库（点击联系客服），我们立即给予删除！
4. 请根据预览情况，自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明，都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器，压缩文件请下载最新的WinRAR软件解压。

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 网络空间安全技术实践教程 40 课件

资源描述：: 1、网络空间安全技术实践教程网络空间安全技术实践教程吕秋云，王小军，胡耿然，汪云路，王秋华西安电子科技大学出版社第四篇第四篇渗透攻击测试实验篇渗透攻击测试实验篇第十五章漏洞利用实验15.3 Rootkit利用与检测实验网络空间安全技术实践教程215.3 Rootkit利用与检测实验利用与检测实验实验目的：了解Rootkit的工作原理和功能，熟悉常见Rootkit以及Rootkit检测工具的使用。网络空间安全技术实践教程315.3 Rootkit利用与检测实验利用与检测实验实验原理：Rootkit通常是一组恶意计算机软件的集合，运行于操作系统的底层内核之中。Rootkit可以实现多种功能，完成比
2、如隐藏文件、进程以及程序，提权，记录键盘，安装后门等恶意行的任务。网络空间安全技术实践教程415.3 Rootkit利用与检测实验利用与检测实验实验原理：计算机系统中与用户进行交互的软件，通常其功能是在操作系统中较高层上实现的。当它们执行任务时，经常会向操作系统中较底层的服务发送请求，而Rootkit运行于系统底层，可以通过“挂钩”或拦截软件等工具拦截这些请求，并修改系统的正常响应，完成各种恶意目的。网络空间安全技术实践教程515.3 Rootkit利用与检测实验利用与检测实验实验要点说明：（实验难点说明）Hacker Defender的配置及使用Hacker Defender是一个Windo
3、ws Rootkit，主要包含3个文件：hxdef100.exe、hxdef100.ini、bdcli100.exe。hxdef100.exe:在目标计算机上运行Hacker Defenderbdcli100.exe:客户端软件,用于连接后门Hxdef100.exe:配置文件。配置隐藏的文件、文件夹、进程，配置自动运行的程序，配置连接后门的密码等信息。网络空间安全技术实践教程615.3 Rootkit利用与检测实验利用与检测实验实验要点说明：（实验难点说明）Hacker Defender的配置及使用 Hidden TableHidden Table：要隐藏的文件、文件夹、进程，其中的所有条目：
4、要隐藏的文件、文件夹、进程，其中的所有条目对对WindowsWindows资源管理器和文件管理器来说都是隐藏的。资源管理器和文件管理器来说都是隐藏的。Root ProcessesRoot Processes：用来与客户端交互的进程，通常是隐藏的。：用来与客户端交互的进程，通常是隐藏的。Hidden ServicesHidden Services：要隐藏的服务，其中的所有服务都不会出现在：要隐藏的服务，其中的所有服务都不会出现在服务列表中。服务列表中。Hidden Hidden RegKeysRegKeys：要隐藏的注册表条目。：要隐藏的注册表条目。Startup RunStartup Run：
5、系统每次启动时运行的程序。：系统每次启动时运行的程序。Hidden PortsHidden Ports：要隐藏的端口号。：要隐藏的端口号。网络空间安全技术实践教程715.3 Rootkit利用与检测实验利用与检测实验实验要点说明：（实验难点说明）常见Rootkit检测工具的使用网络空间安全技术实践教程815.3 Rootkit利用与检测实验利用与检测实验实验准备：（实验环境，实验先有知识技术说明）Kali LinuxHacker DefenderWindows XP（靶机）网络空间安全技术实践教程915.3 Rootkit利用与检测实验利用与检测实验实验步骤：（1）配置hxdef100.ini
6、文件，利用Meterpreter把Netcat，hxdef100.exe，hxdef100.ini上传到目标计算机。网络空间安全技术实践教程1015.3 Rootkit利用与检测实验利用与检测实验实验步骤：（1）hxdef100.ini采取的配置如下（这里仅给出了修改的部分）：网络空间安全技术实践教程11Hidden Tablehxdef*rcmd.exerknc.exe Root Processeshxdef*rcmd.exenc.exeStartup RunC:rknc.exe?-Ldp 12345-e C:WINDOWSsystem32cmd.exeHidden PortsTCP:123
7、4515.3 Rootkit利用与检测实验利用与检测实验实验步骤：（2）用“execute f hxdef100.exe”命令运行Hacker Defender，运行后将会根据配置文件进行相关隐藏。网络空间安全技术实践教程12Hacker Defender运行之前Hacker Defender运行之后15.3 Rootkit利用与检测实验利用与检测实验实验步骤：（3）与留下的后门进行交互。当hxdef100.exe在目标计算机运行后，会尝试在开放的端口上安装后门程序，供bdcli100.exe连接。这里假设目标计算机上的80端口开放，并且成功地被hxdef100.exe安装了后门程序，我们可以
8、运行客户端程序bdcli00.exe连接该后门网络空间安全技术实践教程13bdcli100.exe连接后门15.3 Rootkit利用与检测实验利用与检测实验实验步骤：（4）Rootkit的检测Rootkit的手工检测难度较大，需要深入理解操作系统工作原理，这里仅介绍一些常用的Rootkit检测工具：Windows平台：GMER，Ice Sword，Rootkit Revealer，Blacklight等。Linux平台：Rootkit Hunter，Chkrootkit等。网络空间安全技术实践教程1415.3 Rootkit利用与检测实验利用与检测实验实验要求：使用Hacker Defender在Windows系统上留取Rootkit，并使用Rootkit检测工具进行分析和清除。网络空间安全技术实践教程1515.3 Rootkit利用与检测实验利用与检测实验实验扩展要求：学习Windows和Linux平台下常见的Rootkit软件及其使用。网络空间安全技术实践教程1615.3 Rootkit利用与检测实验利用与检测实验实验视频：网络空间安全技术实践教程17

展开阅读全文