网络攻防实战演练研讨.ppt

* * Netbus木马 NetBus2.0版的功能更强，已用做远程管理的工作 NetBus的功能 运行程序 强迫重启系统 注销用户 控制Web浏览器 捕捉击键记录 重定向端口和程序 获得关于当前版本的信息 上传、下载和删除文件 控制、升级和定制服务器 管理密码保护 显示、终止远程系统程序 * * NetBus传输 NetBus使用TCP建立会话，缺省情况下用12345端口。 跟踪NetBus的活动比较困难，可以通过检查12346端口数据来确定 许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。 * * Netbus 2.0主要文件 文 件 描 述 大 小（Byte） NetBus.exe 客户端 1，241，600 Patch.exe 服务器 624，640 NBHelp.dll 程序扩展 71，680 * * 检测NetBus NetBus1.x版的程序使用下列的注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 可以用包嗅探器，检查缺省的12345或12346端口 使用netstat，你可以键入下列命令： Netstat –an 或Netstat –p udp * * Netbus连接 TCP: 12345/12346 * * 清除NetBus 高质量的