第五章网络后门与网络隐身教案解析.pptVIP

版权所有，盗版必纠 5.1.3 木马例子 如图5.8所示受害者机器采用netstat–an命令看到的7626端口是开放的 。 版权所有，盗版必纠 5.1.3 木马例子 图5.9所示为采用冰河信使给受害者计算机发信息。 版权所有，盗版必纠 5.1.3 木马例子 图5.10所示为采用冰河控制对方计算机。 版权所有，盗版必纠 5.1.3 木马例子 木马的防范措施 1 安装杀毒软件和个人防火墙，并及时升级。 2 把个人防火墙设置好安全等级，防止未知程序向外传送数据。 3 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 4 如果使用IE浏览器，应该安装卡卡安全助手、360安全卫士等防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。 5 禁用端口方式。 版权所有，盗版必纠 5.1.3 木马例子 版权所有，盗版必纠 5.1.3 木马例子 版权所有，盗版必纠 5.1.3 木马例子 版权所有，盗版必纠 5.1.3 木马例子 版权所有，盗版必纠 5.1.3 木马例子 版权所有，盗版必纠 5.2 网络后门 后门介绍 早期的电脑黑客，在成功获得远程系统的控制权后，希望能有一种技术使得他们在任意的时间都可以再次进入远程系统，于是后门程序就出现了。 后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就存在安全隐患，容易被黑客当成漏洞进行攻击。 版权所有，盗版必纠 5.2 网络后门 后门实例 全球著名黑客凯文?米特尼克在15岁的时候，闯入了“北美空中防务指挥系统”的计算机主机内，他和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料，然后又悄无声息地溜了出来，这就是黑客历史上利用“后门”进行入侵的一次经典之作。 世上头号电脑黑客 凯文 米特尼克 版权所有，盗版必纠 5.2 网络后门 ?《欺骗的艺术》(The Art of Deception: Controlling the Human Element of Security) ?《入侵的艺术》(The Art of Intrusion) 版权所有，盗版必纠 5.2 网络后门 后门的防御方法 后门的防范相对于木马来说，更加的困难，因为系统本身就包括远程桌面、远程协助这些可以进行远程维护的后门，所以对用户来讲更加的困难。 (1) 首先对使用的操作系统以及软件要有充分的了解，确定它们之中是否存在后门。如果存在的话就需要及时关闭，以免这些后门被黑客所利用，比如系统的远程桌面、远程协助等。 (2) 关闭系统中不必要的服务，这些服务中有相当一部分对于个人用户来说不但没有作用，而且安全方面也存在很大的隐患，比如Remote Registry、Terminal Services等，这样同样可以防范系统服务被黑客利用。 版权所有，盗版必纠 5.2 网络后门 (3) 安装网络防火墙，这样可以有效地对黑客发出的连接命令进行拦截。即使是自己的系统被黑客安装了后门程序，也能阻止黑客的进一步控制操作。 (4) 安装最新版本的杀毒软件，并且将病毒库升级到最新的版本。另外再安装一个注册表监控程序，可以随时对注册表的变化进行监控，有效地防范后门的入侵。 版权所有，盗版必纠 5.3 清除攻击痕迹 操作系统日志是对操作系统中的操作或活动进行的记录，不管是用户对计算机的操作还是应用程序的运行情况都能全面记录下来。黑客在非法入侵电脑以后所有行动的过程也会被日志记录在案。所以黑客在攻击之后，如果删除这些日志记录，就显得很重要了。 虽然一个日志的存在不能提供完全的可记录性，但日志能使系统管理员和安全官员做到： 1. 发现试图攻击系统安全的重复举动（例如：一个攻击者试图冒充administrator或root登录）。 2. 跟踪那些想要越权的用户（例如：那些使用sudo 命令作为root 执行命令的用户）。 3. 跟踪异常的使用模式（例如：有人在工作时间以外的时间登录计算机）。 4. 实时跟踪侵入者。 版权所有，盗版必纠 5.3 清除攻击痕迹 5.3.1 Windows下清除攻击痕迹 Windows下的日志信息可以在“控制面板”-“管理工具”-“事件查看器”当中找到。如图5.17所示为事件查看器中的应用程序日志。 版权所有，盗版必纠 5.3 清除攻击痕迹 5.3.1 Windows下清除攻击痕迹 如图5.18所示为事件查看器中的安全日志 版权所有，盗版必纠 5.3 清除攻击痕迹 5.3.1 Windows下清除攻击痕迹 如图5.19所示为事件查看器中的系统日志。 版权所有，盗版必纠 5.3 清除攻击痕迹 三