网络安全6-攻击教材.ppt

网络安全 罗 敏 武汉大学计算机学院 第5章 缓冲区溢出攻击回顾 缓冲区溢出攻击的基本原理、方法 缓冲区溢出程序的原理及要素 攻击UNIX 攻击WINDOWS 第6章 程序攻击 本章列出了常用的程序攻击方法，介绍了逻辑炸弹、后门、病毒及特洛伊木马等的概念和特点，并用实例说明工作原理，提供和分析了部分代码以便更深入地学习和了解技术原理。 第6章 程序攻击 6.1 逻辑炸弹攻击 6.2 植入后门 6.3 病毒攻击 6.4 特洛伊木马攻击 6.5 其它程序攻击 逻辑炸弹攻击 定义 一种隐藏于计算机系统中以某种方式触发后对计算机系统硬件、软件或数据进行恶意破坏的程序代码 逻辑炸弹攻击 特征 隐蔽性：逻辑炸弹一般都比较短小，容易附着在系统或文件上而不容易察觉，也可能被恶意隐藏在一些常用工具软件代码中 攻击性：逻辑炸弹都具有攻击性，一旦被激发，或是干扰屏幕显示，或降低电脑运行速度，或是删除程序，破坏数据 逻辑炸弹没有“传染性” 植入后门 定义 后门是计算机入侵者攻击网上其它计算机成功后为方便下次进入这台被攻击计算机而采取的一些欺骗手段和程序 目的 再次进入、不被发现 健壮性 植入后门 攻击方法 获取尽可能多的用户口令，并不会被管理员察觉或查封 更改配置 例如：rhosts 替换程序（包括源代码，函数库，内核） 要点：时间、校验和 开设新的服务，定时开启服务 植入后门 隐藏 代码：坏扇区，Boot 通讯：TCP，UDP和ICMP Shell后门：TCP/UDP/ICMP 植入后门 隐藏执行 DLL Rundll32.exe Dllcache 动态嵌入 挂接API，全局钩子（HOOK），远程线程 植入后门 Unix后门 netcat ncp bsh Vetescan 后门软件 病毒攻击 详见第13章 网络病毒防治 特洛伊木马攻击 定义 特洛伊木马，简称木马，英文名为Trojan horse 计算机领域的“特洛伊木马(Trojan)”，是指附着在应用程序中或者单独存在的一些恶意程序，它可以利用网络远程响应网络另一端的控制程序的控制命令，实现对感染木马程序的计算机的控制，或者窃取感染木马程序的计算机上的机密资料。 特洛伊木马攻击 工作原理 木马程序一般利用TCP/IP协议，采用C/S结构，分为客户端和服务器端两个部分 服务器端程序运行于被攻击的计算机上，而客户端程序在控制者的计算机上运行 客户端程序可以同时向很多服务端程序发送命令以控制这些计算机。客户端程序一般提供友好的操作界面，以便于用户的操作，其功能可能很多 特洛伊木马攻击 功能分类 远程访问型木马 密码发送型木马 键盘记录型木马 毁坏型木马 FTP型木马 特洛伊木马攻击 通讯分类 主动型木马 反弹型木马 嵌入式木马 特洛伊木马攻击 冰河 文件浏览器 屏幕监视 键盘鼠标控制 其它控制 支持配置 glacier 特洛伊木马攻击 反弹型木马 它利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求与木马的客户端建立连接，从而达到对被攻击计算机控制的目的 特洛伊木马攻击 网络神偷 远程文件访问，而不是远程控制 反弹端口 HTTP 隧道 服务器端上线通知功能 通讯加密 特洛伊木马攻击 嵌入式木马 嵌入网页的共享式木马 特洛伊木马攻击 嵌入式木马 DLL木马 替换系统原有DLL，模仿原有功能，并加入后门 特洛伊木马攻击 木马的实现技术 自动启动技术 隐藏技术 远程监控技术 特洛伊木马攻击 木马的实现技术 自动启动技术 启动组、win.ini、system.ini、注册表 特洛伊木马攻击 木马的实现技术 隐藏技术 任务栏 任务管理器 服务管理器 DLL 替换 远程线程 特洛伊木马攻击 木马的实现技术 远程监控技术 对对方计算机的监视包括对对方主机的鼠标、键盘以及屏幕显示甚至网络通讯流量流向等的监视，也包括对对方计算机系统信息（包括磁盘信息、操作系统信息及硬件信息）的搜集 远程控制则是攻击者控制目标机按照自己的意愿在被攻击计算机上运行程序或者关闭对方的功能，包括控制对方的鼠标、键盘、操作系统，在对方计算机上启动服务，或者关闭对方计算机等 特洛伊木马攻击 键盘型木马 其它程序攻击 邮件炸弹与垃圾邮件 常用攻击工具 upyours4、KaBoom3、HakTek、Avalanche等 IE攻击 Javascript炸弹 第6章 程序攻击 逻辑炸弹攻击 植入后门 病毒攻击 特洛伊木马攻击 其它程序攻击 第6章 程序攻击 课后习题 试说明逻辑炸弹与病毒有哪些相同点与不同点？ 为什么后来的木马制造者制造出反弹式木马