入侵的方法与手段研讨.ppt

后门的分类 进程管理器中看不到;平时没有端口，只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows 200/xp/2003。特点：端口复用和正反向连接 端口复用就是利用系统正常的TCP端口通讯和控制，比如80、139等，这样的后门有个非常 大的好处就是非常 隐蔽，不用自己开端口也不会暴露自己的访问，因为通讯本身就是系统的正常访问!另一个是反向连接，这个很常 见，也是后门中一个经典思路，因为从服务器上主动访问外边是不被禁止的，很多很历害的防火墙就怕这点! 后门的分类 扩展后门：所谓的“扩展”，是指在功能上有大的提升，比普通的单一功能的后门有很强的使用性，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。 如Wineggdroup shell ： Wineggdroup shell j 进程管理，可查看，杀进程(支持用进程名或PID来杀进程);注册表管理(查看，删除，增加等功能);服务管理(停止，启动，枚举，配置，删除服务等功能)端口到程序关联功能(fport);系统重启，关电源，注销等功能；嗅探密码功能;安装终端，修改终端端口功能;端口重定向功能(多线程，并且可限制连接者IP);HTTP服务功能(多线程，并且可限制连接者IP);Socd5代理功能(支持两种不同方式验证，可限制连接者IP);克隆账号，检测克隆账户功能(clone,checkclone);加强了的FindpassWord功能(可以得到所有登录用户，包括使用克隆账户远程登录用户密码);HTTP代理(完全匿名，支持oicq、 MSN、mirc等程序);其他辅助功能，http下载，删除日志，系统信息，恢复常用关联，枚举系统账户等。 后门的分类 c/s后门：和传统的木马程序类似的控制方法，采用“客记端/服务端”的控制方式，通过某种特定的访问方式来启动后门进而控制服务器。如ICMP Door，这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放， 后门的分类 root kit 6o f3H 3B:root kit 的出现大大改变了后门程序的思维角度和使用理念，可以说一个好的root kit就是一个完全的系统杀手! root kit是攻击者用来隐蔽自己的踪迹和保留root访问权限的工具通常，攻击者通过远程攻击获得root访问权限，进入系统后，攻击者会在侵入的主机中安装root kit，然后他将经常通过root kit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过root kit的嗅探器获得其他系统的用户和密码之后，攻击者就会利用这些信息侵入其他系统。 后门的分类 hacker defender 可以实现正常系统TCP端口的通讯，比如80等，这个功能在高级后门并不鲜见。 能得到简单的系统SHELL，对入侵的老手来说这就够了，多余的功能反而是累赘。 隐藏端口，如果你非要使用TCP的某一个非常规端口通讯，那使用这个功能吧，放心，别人发现不了。 隐藏后门的所有可找到东西。如比如隐藏文件、服务、注册表键等功能 史上最经典后门思维：配合其他扩展型后门使用，效果好得出乎你的意料 后门的分类 Windows Update：最著名的后门程序，该算是微软的Windows Update了。Windows Update的动作不外乎以下三个：开机时自动连上微软的网站，将电脑的现况报告给网站以进行处理，网站通过Windows Update程序通知使用者是否有必须更新的文件，以及如何更新。如果我们针对这些动作进行分析，则“开机时自动连上微软网站”的动作就是后门程序特性中的“潜伏”，而“将电脑现况报告”的动作是“搜集信息”。因此，虽然微软“信誓旦旦”地说它不会搜集个人电脑中的信息，但如果我们从Windows Update来进行分析的话，就会发现它必须搜集个人电脑的信息才能进行操作，所差者只是搜集了哪些信息而已。 木马 木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上 完整的木马程序一般由两个部分组成：一个是服务器端，一个是控制器端。“中了木马”就是指安装了木马的服务器端程序，若你的电脑被安装了服务器端程序，则拥有相应客户端的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了 木马启动 1.在Win.ini中