09网络后门与网络隐身课件.ppt

1、网络后门与网络隐身 隐藏技术n入侵者不可避免与远程主机直接接触，这样很容易暴露他们的真实身份，因此入侵者需要使用一些额外的手段来隐藏他们的行踪。n主要有三个方面的隐藏技术：1）文件传输与隐藏技术2）扫描隐藏技术3）入侵隐藏技术文件传输与隐藏技术n文件传输1）IPC$文件传输2）FTP传输文件打包工具：通过对文件压缩，减小文件的体积，减少传送时间，把多个文件打包在一个文件，简化传输命令。RARX300.exe 命令行方式下的压缩工具n文件隐藏1)简单隐藏使用命令attrib 为文件添加”隐藏”和“系统”属性命令格式：attrib+h+s+h 给目标文件添加隐藏属性+s 给目标文件添加系统属性n利

2、用专用文件夹隐藏文件在windwos系统中，可以双击“计划任务”、“回收站”等图标来实现一些系统的管理操作，实际上也可以把这些图标看成文件夹。与普通文件夹不同的是，这类文件夹属于系统专用。表面上看去并不能在这些文件夹中进行文件存放、复制、粘贴等操作，但实际上，这些系统专用文件夹确实可以用来存放文件的。n实例1：隐藏杀进程工具aproman.exe在命令行方式下，键入命令Copy c:aproman.exe c:winnttasks可以使用命令查看Cd c:winnttasksDir但在图形界面中，看不到这aproman.exe这个文件n实例2：自建专用文件夹1)新建一个文件夹，重新命名为“Fa

3、ketasks.D6277990-4C6A-11CF-8D87-00AA0060F5BF”这时，新建文件夹和系统自带的计划任务完全一样。扫描隐藏技术n通常入侵者都是通过制作“扫描代理肉鸡”的方法来隐藏自己的扫描行为。1、手工思路：把扫描器传输到肉鸡里，然后入侵者通过远程控制使肉鸡执行扫描程序。2、工具，如流光sensor流光sensor是集成在流光扫描器中的工具，用来管理、制作扫描型肉鸡，功能强大，只要获得远程主机的口令，入侵者就可以通过流光扫描器把该主机加入流光sensor中成为扫描型肉鸡。入侵隐藏技术n跳板技术这里指的跳板可称为“入侵代理”或入侵肉鸡，它存在于在入侵者与远程主机之间，用来代

4、替入侵者与远程主机建立网络连接或漏洞攻击，这种间接的连接方式可以避免与远程主机的直接接触，从而实现入侵中的隐藏。入侵隐藏技术n跳板结构下面是一个简单的攻击模型，入侵者通过跳板一、跳板二、跳板三与远程主机建立连接。虚拟机一192.168.93.1虚拟机二192.168.93.2虚拟机三192.168.93.4本机192.168.93.3选择跳板的原则是选择不同地区的主机作为代理。比如现在要入侵北美的某一台主机，选择南非的某一台主机作为一级代理服务器，选择北欧的某一台计算机作为二级代理，再选择南美的一台主机作为三级代理服务器，这样很安全了。制作跳板方法n(1)手工最简单、最通用。通过telnet或

5、其他连接工具把一个个跳板连接起来。制作跳板方法 n(2)采用网络代理跳板常用的网络代理跳板工具很多，这里介绍一种比较常用而且功能比较强大的代理工具：Snake代理跳板。Snake的代理跳板，支持TCP/UDP代理，支持多个（最多达到255）跳板。程序文件为：SkSockServer.exe，代理方式为Sock5，并自动打开默认端口1813.监听。使用Snake代理跳板 n使用Snake代理跳板需要首先在每一级跳板主机上安装Snake代理服务器。程序文件是SkSockServer.exe，将该文件拷贝到目标主机上。n一般首先将本地计算机设置为一级代理，将文件拷贝到C盘根目录下，然后将代理服务安装

6、到主机上。安装需要四个步骤，查看开放的1122端口 n第一步执行“sksockserver-install”将代理服务安装主机中n第二步执行“sksockserver-config port 1122”将代理服务的端口设置为1122，当然可以设置为其他的数值，n第三步执行“sksockserver-config starttype 2”将该服务的启动方式设置为自动启动。n第四步执行“net start skserver”启动代理服务。设置完毕以后使用“netstat-an”命令查看1122端口是否开放代理级别配置工具 n本地设置完毕以后，在网络上其他的主机上设置二级代理，比如在IP为192.1

7、68.93.1的主机上也设置和本机同样的代理配置。n使用本地代理配置工具：SkServerGUI.exe，该配置工具的主界面如图所示。设置经过的代理服务器 n选择主菜单“配置”下的菜单项“经过的SKServer”，在出现的对话框中设置代理的顺序，第一级代理是本地的1122端口，IP地址是127.0.0.1，第二级代理是192.168.93.1，端口是1122端口，注意将复选框“允许”选中，如图所示。设置可以访问代理的客户端 n设置可以访问该代理的客户端，选择主菜单“配置”下的菜单项“客户端”，这里只允许本地访问该代理服务，所以将IP地址设置为127.0.0.1，子网掩码设置为“255.255.

8、255.255”，并将复选框“允许”选中。启动代理跳板 n一个二级代理设置完毕，选择菜单栏“命令”下的菜单项“开始”，启动该代理跳板。该程序启动以后监听的端口是“1913”。安装程序和汉化补丁 n下面需要安装代理的客户端程序，该程序包含两个程序，一个是安装程序，一个汉化补丁，如果不安装补丁程序将不能使用。设置Socks代理 n首先安装sc32r231.exe，再安装补丁程序HBC-SC32231-Ronnier.exe，然后执行该程序，首先出现设置窗口如图所示。代理客户端的主界面 n设置Socks代理服务器为本地IP地址127.0.0.1，端口设置为跳板的监听端口“1913”，选择Socks版

9、本5作为代理。设置完毕后，点击按钮“确定”，主界面如图所示。设置需要代理的应用程序 n添加需要代理的应用程序，点击工具栏图标“新建”，比如现在添加Internet Explore添加进来，n设置完毕以后，IE的图标就在列表中了，选中IE图标，然后点击工具栏图标“运行”，网络后门 n网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员帐号来实现。n留后门的艺术 n只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的。记录管理员口令修改过程n当

10、入侵到对方主机并得到管理员口令以后，就可以对主机进行长久入侵了，但是一个好的管理员一般每隔半个月左右就会修改一次密码，这样已经得到的密码就不起作用了。n利用工具软件Win2kPass.exe记录修改的新密码，该软件将密码记录在Winnttemp目录下的Config.ini文件中，有时候文件名可能不是Config，但是扩展名一定是ini，该工具软件是有“自杀”的功能，就是当执行完毕后，自动删除自己。记录管理员口令修改过程n首先在对方操作系统中执行Win2KPass.exe文件，当对方主机管理员密码修改并重启计算机以后，就在Winnttemp目录下产生一个ini文件。建立Web服务和Telnet服

11、务 n使用工具软件wnc.exe可以在对方的主机上开启两个服务：Web服务和Telnet服务。其中Web服务的端口是808，Telnet服务的端口是707。执行很简单，只要在对方的命令行下执行一下wnc.exe就可以。测试Web服务 n说明服务端口开启成功，可以连接该目标主机提供的这两个服务了。首先测试Web服务808端口，在浏览器地址栏中输入“http:/192.168.93.1:808”，出现主机的盘符列表。看密码修改记录文件 n可以下载对方硬盘的任意文件（对于汉字文件名的文件下载有问题），可以到Winnt/temp目录下查看对方密码修改记录文件。利用telnet命令连接707端口 n可以

12、利用“telnet 172.18.25.109 707”命令登录到对方的命令行。登录到对方的命令行 n不用任何的用户名和密码就可以登录对对方主机的命令行。自启动程序n通过707端口也可以方便的获得对方的管理员权限。nwnc.exe的功能强大，但是该程序不能自动加载执行，需要将该文件加到自启动程序列表中。n一般将wnc.exe文件放到对方的winnt目录或者winnt/system32目下，这两个目录是系统环境目录，执行这两个目录下的文件不需要给出具体的路径。将wnc.exe加到自启动列表 n首先将wnc.exe和reg.exe文件拷贝对方的winnt目录下，利用reg.exe文件将wnc.ex

13、e加载到注册表的自启动项目中，命令的格式为：n“reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v service/d wnc.exe”n执行过程如图所示。修改后的注册表 n如果可以进入对方主机的图形界面，可以查看一下对方的注册表的自启动项，已经被修改，让禁用的Guest具有管理权限 n操作系统所有的用户信息都保存在注册表中，但是如果直接使用“regedit”命令打开注册表，该键值是隐藏的。查看winlogon.exe的进程号 n可以利用工具软件psu.exe提升regedit权限，得到该键值的查看和编辑权。将psu.exe拷

14、贝对方主机，并在任务管理器查看对方主机winlogon.exe进程的ID号或者使用pulist.exe文件查看该进程的ID号.执行命令 n该进程号为192，下面执行命令“psu-p regedit-i pid”其中pid为Winlogon.exe的进程号。查看SAM键值 n在执行该命令的时候必须将注册表关闭，执行完命令以后，自动打开了注册表编辑器，查看SAM下的键值。查看帐户对应的键值 n查看Administrator和guest默认的键值，在Windows 2000操作系统上，Administrator一般为0 x1f4，guest一般为0 x1f5。帐户配置信息 n根据“0 x1f4”和“

15、0 x1f5”找到Administrator和guest帐户的配置信息。拷贝管理员配置信息 nF键值中保存了帐户的密码信息，双击“000001F4”目录下键值“F”，可以看到该键值的二进制信息，将这些二进制信息全选，并拷贝到出来。覆盖Guest用户的配置信息 n将拷贝出来的信息全部覆盖到“000001F5”目录下的“F”键值中。保存键值 nGuest帐户已经具有管理员权限了。为了能够使帐户已经具有管理员权限了。为了能够使Guest帐户在禁帐户在禁用的状态登录，下一步将用的状态登录，下一步将Guest帐户信息导出注册表。选择帐户信息导出注册表。选择User目录，然后选择菜单栏目录，然后选择菜单栏

16、“注册表注册表”下的菜单项下的菜单项“导出注册表文导出注册表文件件”，将该键值保存为一个配置文件。，将该键值保存为一个配置文件。删除Guest帐户信息 n打开计算机管理对话框，并分别删除Guest和“00001F5”两个目录刷新用户列表 n这个刷新对方主机的用户列表，会出现用户找不到的对话框,然后再将刚才导出的信息文件，再导入注册表。再刷新用户列表就不在出现该对话框了。修改Guest帐户的属性 下面在对方主机的命令行下修改Guest的用户属性，注意：一定要在命令行下。n首先修改Guest帐户的密码，比如这里改成“123456”，并将Guest帐户开启和停止。查看guest帐户属性 n再查看一下

17、计算机管理窗口中的Guest帐户，发现该帐户使禁用的。连接终端服务的软件 n终端服务是Windows操作系统自带的，可以远程通过图形界面操纵服务器。在默认的情况下终端服务的端口号是3389。可以在系统服务中查看终端服务是否启动查看终端服务的端口 n服务默认的端口是3389，可以利用命令“netstat-an”来查看该端口是否开放。连接到终端服务 n管理员为了远程操作方便，服务器上的该服务一般都管理员为了远程操作方便，服务器上的该服务一般都是开启的。这就给黑客们提供一条可以远程图形化操是开启的。这就给黑客们提供一条可以远程图形化操作主机的途径。作主机的途径。n利用该服务，目前常用的有三种方法连接

18、到对方主机：利用该服务，目前常用的有三种方法连接到对方主机：n1、使用、使用Windows 2000的远程桌面连接工具。的远程桌面连接工具。n2、使用、使用Windows XP的远程桌面连接工具。的远程桌面连接工具。n3、使用基于浏览器方式的连接工具。、使用基于浏览器方式的连接工具。连接到终端服务 n第一种方法利用Windows 2000自带的终端服务工具：mstsc.exe。该工具中只要设置要连接主机的IP地址和连接桌面的分辨率就可以。终端服务n如果目标主机的终端服务是启动的，可以直接登录到对方的桌面，在登录框输入用户名和密码就可以在图形化界面种操纵对方主机了。Web方式连接n第二种方法是使

19、用Web方式连接，该工具包含几个文件，需要将这些文件配置到IIS的站点中去，程序列表如图。配置Web站点 n将这些文件设置到本地IIS默认Web站点的根目录。在浏览器中连接终端服务 n然后在浏览器中输入“http:/192.168.93.1”打开连接程序。浏览器中的终端服务登录界面 n在服务器地址文本框中输入对方的在服务器地址文本框中输入对方的IP地址，再选择连地址，再选择连接窗口的分辨率，点击按钮接窗口的分辨率，点击按钮“连接连接”连接到对方的桌连接到对方的桌面。面。木马n木马是一种可以驻留在对方系统中的一种程序。n木马一般由两部分组成：服务器端和客户端。n驻留在对方服务器的称之为木马的服务

20、器端，远程的可以连到木马服务器的程序称之为客户端。n木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。木马木马来自于“特洛伊木马”，英文名称为Trojan Horse。传说希腊人围攻特洛伊城，久久不能攻克，后来军师想出了一个特洛伊木马计，让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下，让敌人将其作为战利品拖入城中，到了夜里，特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来，与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似，故而得名。木马的发展n第一代木马功能简单，主要对付Unix系统，Windows系统木马不

21、多，第二代木马功能大大加强，几乎有现在木马的所有操作，国内有代表性的是冰河木马。第三代木马继续完善连接技术，增加木马的穿透防火墙功能，出现了“反弹端口”技术，国内有代表性的是“灰鸽子”。第四代增加了进程隐藏技术，使系统更加难以发现木马的存在与入侵的连接。木马分类n按对计算机的破坏方式分类远程访问型木马、密码发送型木马、键盘记录型木马、FTP型木马n按传输方式分类主动型木马、反弹型木马、嵌入式木马。木马实现技术n木马连接方式1)传统连接方式即C/S连接方式，在这种连接方式下，远程主机开放监听端口等待外部连接，成为服务端，当入侵者需要与远程主机建立连接的时侯，就主动发出连接请求，从而建立连接。客户

22、端远程主机发出建立连接请求客户端远程主机建立连接2)反弹端口技术 a)远程主机主动寻找客户端建立连接，客户端开放端口等待连接客户端远程主机发出建立连接请求客户端远程主机建立连接b)客户端远程主机更新ip,port中间代理，保存客户端ip,port客户端远程主机获取客户端ip,port中间代理，保存客户端ip,port客户端远程主机发出建立连接请求客户端远程主机建立连接第一步第二步第三步第四步木马实现技术n自动启动技术一般的方法是通过修改系统的注册表的方法，在注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun键值中加上

23、要启动的程序的路径。Windows系统自启动程序十大藏身之所Windows启动时通常会有一大堆程序自动启动。不要以为管好了“开始程序启动”菜单就万事大吉，实际上，让Windows自动启动程序的办法很多，下面列出最重要的两个文件夹和八个注册键。n一、当前用户专有的启动文件夹 这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在：Documents and Settings“开始”菜单程序启动，其中“”是当前登录的用户帐户名称。二、对所有用户有效的启动文件夹 这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方

24、式总是自动启动这是它与用户专有的启动文件夹的区别所在。该文件夹一般在：Documents and SettingsAll Users“开始”菜单程序启动。n三、Load注册键 介绍该注册键的资料不多，实际上它也能够自动启动程序。位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload。n四、Userinit注册键 位置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit。这里也能够使系统启动时自动初始化程序。通常

25、该注册键下面有一个userinit.exe，如图，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”(不含引号)。n五、ExplorerRun注册键 和load、Userinit不同，ExplorerRun键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersio

26、nPoliciesExplorerRun。n六、RunServicesOnce注册键 RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce。n七、RunServices注册键 RunServices注册键指定

27、的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices。n八、RunOnceSetup注册键 RunOnceSetup指定了用户登录之后运行的程序，它的位置是：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio

28、nRunOnceSetup，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup。n九、RunOnce注册键 安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机

29、在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx。n十、Run注册键 Run是自动运行程序最常用的注册键，位置在：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersio

30、nRun。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。木马实现技术n隐藏技术木马程序必须要实现隐藏，否则当木马程序运行后很容易被对方发现并清除。木马程序必须要做到在任务栏中，在任务管理器中隐藏自己。(1)任务栏隐藏可以采用调用一些API函数的方法达到目的，如VC可使用ShowWindow(SW_HIDE)的方法。(2)木马为了更好的隐藏自己，又出现了所谓的无进程木马。方式(1)用带木马功能的扩展名为DLL的动态链接库替换正常的动态链接库;方式(2)制作DLL木马，利用rundll32.exe 或s

31、vchost.exe执行;方式(3)远程线程技术，即一个进程在另一个进程的虚拟空间中创建远程线程的方法进入那个进程的内存地址空间。木马实现技术n种植技术1)利用系统漏洞MIME木马是把一个EXE文件用MIME编码为一个EML文件，放在网页上利用IE的编码漏洞实现自动下载和执行。2)利用浏览网页BMP木马把一个EXE文件伪装成一个BMP图片文件显示在被用户浏览的网页上，当用户单击图片时，欺骗IE自动下载文件，再利用网页中的脚本把BMP图片文件还原成EXE文件，并把它放在注册表启动项。3)捆绑下载一些程序和木马捆绑在一起，只要到运行这些程序，木马就会自动安装木马实现技术n控制技术1、控制对方鼠标、

32、键盘Keybd_event()函数可以模拟产生一个键盘动作;mouse_event(),sendInput()函数可以模拟鼠标事件2、监视对方屏幕API函数如GetDC()、BitBlt()完成界面的截取3、记录各种键盘信息使用键盘钩子可以实现，所谓键盘钩子就是击键信息在到达应用程序前由钩子程序捕获，被钩子程序提前处理。函数SetWindowsHookEx()安装钩子，当第一个函数为WH_KEYBOARD时安装的就是键盘钩子。4、获取系统信息取得计算机名用函数GetComputerName(),更改计算机名SetComputerName(),取当前用户名GetUserName().“冰河冰河”

33、木马的使用n“冰河冰河”包含两个程序文件，一个是服务器端，另一个是包含两个程序文件，一个是服务器端，另一个是客户端。客户端。win32.exe文件是服务器端程序，Y_Client.exe文件为客户端程序。将win32.exe文件在远程得计算机上执行以后，通过Y_Client.exe文件来控制远程得服务器选择配置菜单 n将服务器程序种到对方主机之前需要对服务器程序做一些设置，比如连接端口，连接密码等。选择菜单栏“设置”下的菜单项“配置服务器程序”。设置“冰河”服务器配置 n在出现的对话框中选择服务器端程序win32.exe进行配置，并填写访问服务器端程序的口令，这里设置为“1234567890”

34、，如图所示。查看注册表 n远程主机执行完win32.exe文件以后，系统没有任何反应，其实已经更改了注册表，并将服务器端程序和文本文件进行了关联，当用户双击一个扩展名为txt的文件的时候，就会自动执行冰河服务器端程序。使用冰河客户端添加主机 n目标主机中了冰河了，可以利用客户端程序来连接服务器端程序。在客户端添加主机的地址信息，这里的密码是就是刚才设置的密码。控制远程主机 n文件管理器：进行文件管理操作和文件上传、下载n命令控制台：口令类命令控制类命令网络类命令文件类命令注册表读写设置类命令清除IIS日志n当用户访问某个IIS服务器以后，无论是正常的访问还是非正常的访问，IIS都会记录访问者的

35、IP地址以及访问时间等信息。这些信息记录在WinntSystem32logFiles目录下。IIS日志的格式 n打开任一文件夹下的任一文件，可以看到IIS日志的基本格式，记录了用户访问的服务器文件、用户登的时间、用户的IP地址以及用户浏览器以及操作系统的版本号。清除IIS日志 n最简单的方法是直接到该目录下删除这些文件夹，但是全部删除文件以后，一定会引起管理员的怀疑。n一般入侵的过程是短暂的，只会保存到一个Log文件，只要在该Log文件删除所有自己的记录就可以了。清除IIS日志的全过程 n使用工具软件CleanIISLog.exe可以做到这一点，首先将该文件拷贝到日志文件所在目录，然后执行命令

36、“CleanIISLog.exe ex031108.log 192.168.93.1”，第一个参数ex031108.log是日志文件名，文件名的后六位代表年月日，第二个参数是要在该Log文件中删除的IP地址，也就是自己的IP地址。先查找当前目录下的文件，然后做清除的操作。清除主机日志 n主机日志包括三类的日志：应用程序日志、安全日志和系统日志。可以在计算机上通过控制面板下的“事件查看器”查看日志信息。清除主机日志 n使用工具软件clearel.exe，可以方便的清除系统日志，首先将该文件上传到对方主机，然后删除这三种日志的命令格式为：nClearel System nClearel SecuritynClearel ApplicationnClearel Alln这四条命令分别删除系统日志、安全日志、应用程序日志和删除全部日志。命令执行的过程如图所示。