7网络攻击行为的隐藏解读.ppt

第二篇 网络攻击篇 第7章 网络攻击行为隐藏 第7章 网络攻击行为隐藏 攻击者除了要进行身份隐藏外，为了使攻击成功，还要进行攻击行为隐藏，主要方法有：文件隐藏、进程活动隐藏、网络连接隐藏、网络隐藏通道。 第7章 网络攻击行为隐藏 7.1 文件隐藏 7.2 进程活动隐藏 7.3 网络连接隐藏 7.4 网络隐藏通道 7.5 实验：文件隐藏 7.1文件隐藏 通过文件隐藏，可以对自己的重要的个人数据、公司的商业机密等敏感文件进行保护。可以对这些文件首先进行加密，然后再进行文件隐藏，对隐私文件进行双重保护。在网络攻击中，对文件进行隐藏，或将文件伪装成其他文件传送给被攻击的机器，这样就可以在对方没有觉察的情况下诱使对方运行伪装的文件达到运行攻击者想要执行的程序的目的。 7.1文件隐藏 7.1.1 修改文件名称和属性? 7.1.2 使用信息隐藏技术 7.1.1 修改文件名称和属性 攻击者为了隐藏攻击活动产生的文件，可以对文件名称和属性进行修改。可以将文件的名称修改为与系统中的文件相似名称，也可以在不同的目录下使用与系统中的文件一致名称，将文件名称设置成特殊的形式或修改文件的属性，将文件隐藏起来。 7.1.1 修改文件名称和属性 由于Windows系统在默认状态下会自动隐藏系统文件夹，可以利用访问者平时对系统文件夹“关注”不够的漏洞，巧妙地将隐私文件夹“伪装”成系统文件夹。 7.1.1 修改文件名称和属性? 在Windows状态下，往往无法将普通的隐私文件夹“伪装”为系统文件夹，为此需要将系统先切换到纯DOS界面下，然后在DOS命令行中执行“attrib +s +r 隐私文件或文件夹名”命令。这样就能“强行”为隐私文件添加上系统属性。再次重新启动系统到Windows界面后，隐私文件夹就会被当作系统文件夹一样，自动的隐藏起来了，即使访问者选中了“文件夹选项”中的“显示所有文件”也不能看到隐私文件夹。???? 7.1.1 修改文件名称和属性 在Windows系统中将目标文件的属性设置为‘隐藏’，再将文件查看选项中的“不显示隐藏文件”选中，然后通过修改注册表将“显示所有文件和文件夹”选项隐藏起来，这样所有的属性为“隐藏”的文件就无法被查看到了。 7.1.1 修改文件名称和属性 通过为访问者设置访问权限，让其没有权利对隐私文件夹进行读、写、浏览目录等操作。 可以利用WinRAR的存储合并功能，将隐私文件存储合并到一个无关紧要的图像文件中，这样一般的人是无法知道图像“背后”竟然还有秘密的。 7.1.1 修改文件名称和属性 可以通过一些专门的合并文件软件，实现对文件的属性、文件的图标以及文件合并功能。 7.1.2 使用信息隐藏技术 可以通过信息隐藏技术将重要的文件隐藏在一个无关紧要的文件中，如图片。比使用WinRAR的存储合并功能实现的文件隐藏具有更好的不可察觉性。 信息隐藏又称信息伪装，就是通过减少载体的某种冗余，如空间冗余、数据冗余等，来隐藏敏感信息，达到特殊目的。 7.1.2 使用信息隐藏技术 信息隐藏技术通常具有下面特点： 不破坏载体的正常使用。这个特点也是衡量是否是信息隐藏的标准。 载体具有某种冗余性。通常对象都具有某些程度的冗余，如空间冗余、数据冗余等，寻找和利用这种冗余就成信息隐藏的一个主要工作。 具有很强的针对性。任何信息隐藏方法都具有很多附加条件，都是在某种情况下，针对某类对象的一个应用。 7.1.2 使用信息隐藏技术 加密隐藏了消息内容，但加密同时也暗示攻击者所截获的信息是重要信息，从而引起攻击者的兴趣，攻击者可能在破译失败的情况下将信息破坏掉；而信息隐藏则是将有用的信息隐藏在其他信息中，使攻击者无法发现，不仅实现了信息的保密，也保护了通信本身。利用信息隐藏技术实现文件隐藏具有更好的欺骗性。 7.1.2 使用信息隐藏技术 信息隐藏的方法主要分为两类：空间域算法和变换域算法。 空间域方法通过改变载体信息的空间域特性来隐藏信息；变换域方法通过改变数据（主要指图像、音频、视频等）变换域的一些系数来隐藏信息。 7.2进程活动隐藏 常见的进程隐藏方法有： 进程名称替换，即将目标系统中的某些不常用的进程停止，然后借用其名称运行； 进程名称相似命名，对产生的攻击进程的命名采用与系统的进程相似的名称； 替换进程名显示命令，即修改系统中进程显示命令，不显示攻击进程； 通过动态嵌入技术，修改进程或其调用的函数，其中有三种技术最为关键：①远程线程插入技术，②动态链接库插入技术，③挂钩API。 7.2进程活动隐藏 7.2.1.远程线程插入技术 7.2.2 动态链接库插入技术 7.2.3 挂钩API 7.2.1