第5章网络后门与网络隐身解读.ppt

版权所有，盗版必纠 第5章 网络后门与网络隐身 概 述 本章来介绍网络后门与网络隐身技术，主要包括木马、后门和清除攻击痕迹等。这个技术与方法都是黑客攻击常用的技术方法。 目 录 5.1 木马攻击 5.2 网络后门 5.3 清除攻击痕迹 5.1 木马攻击 5.1.1 木马的概述 特洛伊木马简称木马，英文叫做“ Trojan house” ，其名称取自希腊神话的特洛伊木马记。其名称取自希腊神话的特洛伊木马记。 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵，如图5.1所示。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。 5.1 木马攻击 5.1.1 木马的概述 特洛伊木马简称木马，英文叫做“ Trojan house” ，其 5.1 木马攻击 木马一般有两个程序，一个是客户端，另一个是服务器端。如果要给别人计算机上种木马，则受害者一方运行的是服务器端程序，而自己使用的是客户端来控制受害者机器的。 5.1 木马攻击 木马的传播方式主要有两种:一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 5.1 木马攻击 1. 密码发送型木马 密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启，而且它们大多数使用25端口发送E--mail。 2. 键盘记录型木马 键盘记录型木马非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动，知道受害者在线并且记录每一件事。 5.1 木马攻击 3. 毁坏型木马 毁坏型木马的唯一功能是毁坏并且删除文件。这使它们非常简单，并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。 4. FTP 型木马 FTP 型木马打开用户计算机的21端口（FTP所使用的默认端口）， 使每一个人都可以用一个FTP 客户端程序来不用密码连接到该计算机，并且可以进行最高权限的上传下载。 5.1 木马攻击 木马常用的欺骗方法如下： 1. 捆绑欺骗：如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人。 2. 危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载 ；或直接将木马改名上载到FTP网站上，等待别人下载。 3. 文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹。 5.1 木马攻击 木马常用的欺骗方法如下： 4. zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标。 5. 网页木马法：有的网页是自带木马的，只要打开该网页，立刻就会安装上木马。 常见的木马很多，Windows下有Netbus、subseven、BO、冰河、网络神偷等。UNIX下有Rhost ++、Login后门、rootkit等。 5.1.3 木马例子 下面以Windows下的冰河木马为例子，介绍木马的原理。冰河实际上是一个小小的服务器程序（安装在要入侵的机器中），这个小小的服务端程序功能十分强大，通过客户端（安装在入侵者的机器中）的各种命令来控制服务端的机器，并可以轻松的获得服务端机器的各种系统信息。1999年上半年，一个名叫黄鑫的人写出了冰河木马软件。冰河在国内一直是不可动摇的领军木马，有人说在国内没用过冰河的人等于没用过木马，可见冰河木马的重要性。 5.1.3 木马例子 冰河木马的服务器端程序名为G_Server.exe，客户端程序名为G_Client.exe。冰河木马目的是远程访问、控制。冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。如图5.2所示为冰河不同版本的图标。 5.1.3 木马例子 冰河木马的功能如下： 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 　　2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时