第8讲_计算机病毒、攻击报告.ppt

Windows口令破解技术简介 Windows系统以sam文件格式存放密码文件，有多种方式可以获得 %SystemRoot%\system32\config\sam %SystemRoot%\repair\sam._ 使用pwdump3远程从注册表中导出 嗅探网络中SMB报文包含的口令散列值 破解工具 @stake的L0phcrack @stake L0phcrack Unix系统的口令破解 Unix系统的口令密文存放在/etc/passwd或/etc/shadow文件中 加密算法 传统加密沿用最多的是DES算法的口令加密机制 为了增强DES的加密强度，引入了被称作Salt的附加手段 猜测工具 John The Ripper 候选口令 产生器 字典 口令文件 口令 加密 口令比较 输出匹配 的口令 口令破解防御对策 制定正确的密码策略，并贯彻实施 密码长度，强度足够 定期更换密码 禁用类computer……这样的简单密码 提高人的安全意识很重要 攻击发展趋势 攻击发展趋势 个人信息安全的防范技巧 1、不轻易运行不明真相的程序 2、屏蔽小甜饼（Cookie ）信息 3、不同的地方用不同的口令 4、屏蔽ActiveX控件 5、定期清除缓存、历史记录以及临时文件夹中的内容 6、不随意透露任何个人信息 7、突遇莫名其妙的故障时要及时检查系统信息 8、对机密信息实施加密保护 9、拒绝某些可能有威胁的站点对自己的访问 10、加密重要的邮件 11、在自己的计算机中安装防火墙 12、为客户/服务器通信双方提供身份认证，建立安全信道 13、尽量少在聊天室里或使用OICQ聊天 个人信息安全的防范技巧 * 欢迎辞 * Eg:ping Eg:tracert 通过Host命令，入侵者可获得保存在目标域服务器中的所有信息,其查询结果所含信息量的多少主要依靠于网络的大小和结构 Eg:host –l –v * HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs子键下，存放着一些已知DLL的默认路径。我们可以修改或增加某个键值，那么我们的DLL就可以无声无息地在进程加载知名DLL的时候取代原来的DLL文件进入进程 AutoRun.inf启动方式： Autorun.inf最常出现在光盘中，用于光盘自启动。每次把光盘放入光驱中的时候，系统会通过这个文件来决定是否自动启动光盘。Autorun.inf的内容通常是： [AUTORUN] OPEN=file.exe ICON=icon.ico * DDOS攻击已成为黑客谋取暴利最简单的手法。DDOS攻击是黑客利用攻击软件通过多台服务器同时展开流量攻击或资源攻击，最终达到妨碍正常使用者使用服务的目的。日益猖獗的DDOS已成为技术人员最为头痛的难题之一。 * SYN Threshold 设定一个未完成连接队列的限定值，如超过该值，则丢弃SYN报文 如Cisco的PIX防火墙 =========================================== SYN Defender 每秒抵御500个以内 如CheckPoint的Firewall-II防火墙 ======================= SYN Proxy如天网 每秒20000个左右 * CC就是充分利用了这个特点，模拟多个用户不停的进行访问那些需要大量数据操作，就是需要大量CPU时间的页面 * 传统的远程控制步骤 如何远程植入程序 直接攻击 电子邮件 文件下载 浏览网页 + 合并文件 经过伪装的木马被植入目标机器 远程受控端程序的自启动 Windows启动目录 注册表启动 Run(RunOnce/RunOnceEx/RunServices） KnownDLLs 修改文件关联方式 系统配置文件启动 Win.ini System.ini 服务启动 其他启动 远程受控端程序的隐藏 在任务栏（包括任务管理器）中隐藏自己 初步隐藏 注册为系统服务 不适用于Win2k/NT 启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动 防止过多的占用资源 进程隐藏 远程线程插入其他进程（不适用于Win9X） Hook技术 DoS与DDoS攻击 DoS (Denial of Service)攻击的中文含义是拒绝服务攻击。常见攻击方法有： 1、利用传输协议上的缺陷，发送出畸形的数据包，导致目标主机无法处理而拒绝服务。 2、利用主机上服务程序的漏洞，发送特殊格式的数据导致服务处理错误而拒绝服务 3、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信 4、利用