第6章网络后门与网络隐身分析.ppt

案例6-6 命令行安装并启动终端服务 执行azzd.exe 重启服务器 6.2 木马 特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机，危害极大。 Windows下： Netbus、subseven、BO2000、冰河、网络神偷 UNIX下： Rhost ++、Login后门、rootkit等 特洛伊木马 木马的组成 对木马程序而言，它一般包括两个部分：客户端和服务器端。 服务器端安装在被控制的计算机中，它一般通过电子邮件或其他手段让用户在其计算机中运行，以达到控制该用户计算机的目的。 客户端程序是控制者所使用的，用于对受控的计算机进行控制。 服务器端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。木马运行时，首先服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现对本地计算机的控制了。 备注：木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序。服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。 木马的分类 木马的分类 木马的分类 木马的分类 木马的分类 木马的分类 木马的隐藏方法 木马的隐藏方法 木马的隐藏方法 特洛伊木马 木马的隐藏方法 特洛伊木马 木马的隐藏方法 特洛伊木马 木马的隐藏方法 木马的清除方法 木马的清除方法 木马的清除方法 木马的清除方法 木马的清除方法 木马的清除方法 特洛伊木马的防范 必须提高防范意识 使用杀毒软件或木马专杀工具 观察系统异常，及时断开网络 及时修补漏洞并关闭可疑端口 运行实时监控程序 针对木马攻击的预防措施 5. 安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构 安装防病毒软件 提高安全意识，尽量避免使用来历不明的软件 防范： 端口扫描； 查看连接； 检查注册表 ； 查找文件 ； 杀病毒软件或木马清除软件。 制作跳板实例 配置虚拟机2003 3、在虚拟机Window2003中使用SkServerGUI.exe，配置SkSockServer.exe服务，在选择主菜单“配置”下的菜单项“客户端”项，打开“客户端设置”对话框，将IP地址设为真实电脑IP，（如），子网掩码设置为“55”，并将复选框“允许”选中。 配置虚拟机2003 4、在虚拟机Window2003中使用SkServerGUI.exe，配置SkSockServer.exe服务，在选择主菜单“配置”下的菜单项“经过的SkServer”,在出现“经过的SkServer”的对话框中设置代理的顺序，第1级代理是本地的1122端口，IP地址是虚拟机window2003的IP地址，(如)，第2级代理是虚拟机XP的IP地址（如），端口是1122端口，并将复选框“允许”选中。 配置虚拟机2003 5、这样一个一级代理就设置完毕，选择菜单栏“命令”下的菜单项“开”，启动该代理跳板。 配置虚拟机xp 6、再XP中重复1至5步在虚拟机XP中安装设置Snake代理服务器，在选择主菜单“配置”下的菜单项“客户端”项，打开“客户端设置”对话框，IP地址设为虚拟机2003的IP，（如），子网掩码设置为“55”，并将复选框“允许”选中。 7、在选择主菜单“配置”下的菜单项“经过的SkServer”,在出现“经过的 SkServer”的对话框中设置代理的顺序，第1级代理是本地的1122端口，IP地址是虚拟机windowXP的IP地址，(如），第2级代理是虚拟机2000的IP地址（如），端口是1122端口，并复选框“允许”选中。 8、选择菜单栏“命令”下的菜单项“开”，启动该代理跳板。 配置真实机 10. 设置Sockes代理服务器，为虚拟机2003的IP地址（如），端口设置跳板的监听端口为1913，选择Sockes版本5作为代理。 配置真实机 11、添加需要代理的应用程序，单击工具栏图标“新建”，打开“新建应用程序标识项”对话框添加Internet?Explorer?。 配置真实机 12、选择IE图标单击工具栏图标“运行”，在打开的IE地址栏输入虚拟机window2000的IP地址，如（）。 作业 P1