407小组网络安全课作业PPT.pptVIP

谢谢各位同学和老师观赏！ 木马知识与防治 组员介绍 赖亦波 资料查找 梁文杰 资料查找 车树添 资料整理 罗立强 资料整理 刘周扬 PPT素材 陈汉权 PPT整理 Your Topic Goes Here 一.木马的定义： 利用利用计算机程序漏洞侵入后窃取文件的程序程序被称为木马，具有隐藏性，自发性的特点，多数木马程序是具有某种目的，例如盗取口令和用户文件或窃取机密文件等。 二.木马的组成： 一个完整的木马系统由硬件部分，软件部分和具体连接部分组成 1.硬件部分：建立木马连接所必须的硬件实体。控制器，服务器端，internet网络载体。 2.软件部分：实现远程控制所必须的软件程序。 3.具体连接部分：通过INTERNET在服务端和 控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。 transitional page 木马与病毒、蠕虫的区别 一病毒特征 1.病毒必须能自行执行 2.必须自我复制 二蠕虫 1.蠕虫是不使用驻留文件=即可在系 统之间复制自身的程序。 三 木马与蠕虫和病毒主要区别在于：窃取机密和远程控制。这是大部分病毒和蠕虫没有的性质　 Your Topic Goes Here 1.破坏型 能删除DLL、INI、EXE等文件。 2.密码发送型 黑客通过这类木马记录操作者键盘操作或者搜 寻包含用户密码个人身份资料等文件，发送回给黑客。 3.远程访问型 这类木马只要知道服务端的IP地址，就可以实现远程控制。 4.DOS攻击性木马 5.代理木马 黑客为了掩藏自己身份，通过这类木马控制肉鸡电脑进行攻击。 6.FTP木马 7.程序杀手木马 8反弹端口型木马 木马分类 Your Topic Goes Here 用木马进行网络入侵，大致可以分为六步 1.配置木马 2.传播木马 3.运行木马 4.信息泄露 5.建立连接 6.远程控制 木马工作原理 Your Topic Goes Here 木马是如何启动的 作为一个优秀的木马，自启动功能是必不可少的，自然可以保证木马不会 因为你的一次关 机操作而彻底失去作用，正因为该项技术如此重要，所以，很 多编程人员都在不停地研究和探索新的自启动技术 ，并且时常有新的发现，一 个典型的列子就是把木马加入到用户经常执行的程序（例如 explore.exe）中 ，用 户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修 改Windows系统文件和注册表达到母的 ，现经常用的方法主要有以下几种 1.在W中启动 在Win.ini的【windows】字段中有启动命 Your Topic Goes Here 令load=和run=，在一般情况下“ =”后面是空白的，如果有后跟程序，例如： run=c:\windows\file.exe load=c:\windows\file.exe 要小心了，这个file.exe很可能是木马哦 2.在System.ini中启动 System.ini位于 Windows的安装目录下，其[boot]字段的shell-Explorer.exe是 木马喜欢的隐藏加载之所，木马通常的做法是将 该变为这样： shell=Explorer.exefile.exe。 注意这里的file.exe就是木马服务程序！ 另外，在System中的 【368Enh】字段，要注意检查在此段内的“driver=路径、 程序名” Your Topic Goes Here 利用注册表加载运行 注册边位置是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下在Autoexec.bat和Config.sys中加载运行请大家注意，在c盘根目录下的这两个文件也可以启动木马，但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式是不行很隐蔽，容易被发现，所以在Autoexec.bat和Confings中加载木马程序的病不多见，但也不能因此而掉以轻心。 在Winstart.bat中启动 Winstart.bat是一个特殊性毫不亚于Autoexec.bat的比处理文件，也是 一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了W并加载了多数驱动程序之后。 开始执行（这一点可通过启动时按F8再选择逐步跟踪启动过程的启动方式可得知）。