HACKER駭客攻防實作.ppt.pptVIP

駭客攻擊手法演示 台中縣教育網路中心 張本和 王慶祥 97.3.12 大綱 駭客簡介 實驗演示 偵查工具實作 --- WayBackMachine 偵查工具實作 --- Email Spiders 掃描實作 --- NMAP 掃描實作 --- HTTrack Web Site Copier 列舉實作 --- SuperScan4 權限提升實作 --- X 木馬工具實作-Trojan Generator 大綱 (cont.) 實驗演示 木馬工具實作- Beast Trojan 木馬實作 --- DesktopSpy 檔案隱藏實作 --- NTFS 檔案包裝術實作 --- OneFilesExeMaker 結論 駭客的定義 駭客(Hacker)又叫黑客，字典裡定義：「一個對於程式設計、系統安全與網路安全非常樂衷研究的人，並且擁有高超的知識與技術」 原本「駭客」是指那些熱衷專研電腦系統的專家，現在被污名為危害網路系統安全者的壞人。 駭客的種類 駭客入侵的目的 檢視系統是否有漏洞 好玩、證明自己的功力 發洩、表達自己的不滿 竊取資料 報復或變態的破壞 其他原因—例如設立養雞場、建立跳板、利用他人儲存空間放置非法軟體、色情媒體等。 駭客入侵的步驟 駭客/弱點研究網站 駭客/弱點研究網站 駭客/弱點研究網站 駭客/弱點研究網站 弱點研究網站 偵查工具實作 WayBackMachine 偵查工具實作 --- Email Spiders 掃描工具實作 --- NMAP NMAP掃描方法–ICMP NMAP掃描方法 –TCP (一) NMAP掃描方法 –TCP (二) NMAP掃描方法 –TCP (二) NMAP掃描方法 –TCP (二) NMAP掃描方法 –TCP (二) NMAP掃描方法 –TCP (二) NMAP掃描方法 –TCP (二) NMAP掃描方法 –TCP (二) NMAP掃描方法 –UDP (三) 偵查工具實作 --- HTTrack Web Site Copier 列舉 取出使用者名稱、機器名稱、網路分享資源或服務的方法 用於內網 直接連入系統並直接的詢問 列舉--Netbios Null Sessions 利用空的使用者名稱和密碼和Windows (NT/2000/XP)建立 null session Null sessions是利用 CIFS/SMB (Common Internet File System/Server Messaging Block)的缺點 Windows: C:\net use \\\IPC$ “” /u:“” Linux: $ smbclient \\\\target\\ipc\$ “” –U “” 列舉實作 --- SuperScan4 權限提升實作 --- X 大小只有3K 執行後直接取得一個叫X的帳號，具有最高權限。 木馬工具實作-Trojan Generator 木馬工具實作- Beast Trojan 木馬實作-Desktop Spy 檔案隱藏實作 --- NTFS stream NTFS 支援多個資料流的資料，以取得 NTFS 檔案系統 ；支援作業系統 (Windows、 Macintosh、 Windows NT, 2000, XP, 2003 和 Win 32 s) NTFS stream 執行 notepad test.txt 輸入一些文字並存檔，檢查檔案大小 執行 notepad test.txt:hidden.txt 輸入一些文字並存檔 如果下指令 type test.txt:hidden.txt 會出錯 但是可執行編輯 notepad test.txt:hidden.txt 檔案隱藏實作 --- NTFS stream 檔案包裝術實作- OneFilesExeMaker 避免 Null session的對策 Null sessions 針對 TCP 139 and/or TCP 445 ports Null sessions 對 Windows 2003 無效 關閉 SMB services 編輯註冊檔限制匿名使用者: 開啟 regedt32 HKLM\SYSTEM\CurrentControlSet\LSA 選擇 edit ?add value　 value name: Restrict Anonymous Data Type: REG_WORD Value: 2 避免木馬的對策 木馬比你想像的更可怕。 不要太相信朋友交/寄給你的檔案。 不要任意下載執行任何檔案。 木馬是非常非常難以移除的，甚至無法移除。 發現中木馬時第一件事就是拔掉網路線。 隨時提高警覺，觀察電腦正在執行的程序。 隨時注意自己的連線狀態。 最好移除木馬的方式就是重