第9章：木马攻击与防御技术重点.pptx

第9章 木马攻击与防御技术 张玉清 国家计算机网络入侵防范中心 2017-3-23 网络入侵与防范讲义 2 本章内容安排 9.1 木马概述 9.2 木马的实现原理与攻击步骤 9.3 木马实例介绍 9.4 木马的防御技术 9.5 木马的发展趋势 9.6 小结 2017-3-23 网络入侵与防范讲义 3 9.1 木马概述 9.1.1 木马基本概念 9.1.2 木马的分类 9.1.3 木马的特点 2017-3-23 网络入侵与防范讲义 4 9.1.1 木马基本概念 木马的来由 木马的定义 木马的危害 (1).木马的来由 木马是“特洛伊木马”（trojan horse）的简称，据说这个名称来源于希腊神话《木马屠城记》。 如今黑客程序借用其名，有“一经潜入，后患无穷”之意。 2017-3-23 网络入侵与防范讲义 5 特洛伊木马的故事 相传在古希腊时期，特洛伊王子帕里斯劫走了斯巴达美丽的王后海伦和大量的财物。斯巴达国王组织了强大的希腊联军远征特洛伊，但久攻不下。 有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，同时命令大部队佯装撤退而将木马弃于特洛伊城下。 城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。 到午夜时分，全城军民尽入梦乡，匿于木马中的将士出来开启城门及四处纵火，城外伏兵涌入，部队里应外合，彻底攻破了特洛伊城。 后世称这只大木马为“特洛伊木马”。 2017-3-23 网络入侵与防范讲义 6 2017-3-23 网络入侵与防范讲义 7 2017-3-23 网络入侵与防范讲义 8 (2).木马的定义 在计算机系统中， “特洛伊木马”指系统中被植入的、人为设计的程序，目的包括通过网络远程控制其他用户的计算机系统，窃取信息资料，并可恶意致使计算机系统瘫痪。 2017-3-23 网络入侵与防范讲义 9 RFC1244对特洛伊木马的定义 RFC1244 (Request for Comments : 1244) 中是这样描述木马的:“木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。” 2017-3-23 网络入侵与防范讲义 10 RFC1244对特洛伊木马的定义(2) RFC1244的定义虽然不十分完善，但是可以澄清一些模糊概念： 首先木马程序并不一定实现某种对用户来说有意义或有帮助的功能，但却会实现一些隐藏的、危险的功能； 其次木马所实现的主要功能并不为受害者所知，只有程序编制者最清楚。 第三，这个定义暗示“有效负载”是恶意的。 2017-3-23 网络入侵与防范讲义 11 大多数安全专家对特洛伊木马的定义 目前，大多数安全专家统一认可的定义是:“特洛伊木马是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能。” 2017-3-23 网络入侵与防范讲义 12 (3).木马的危害 根据传统的数据安全模型的分类，木马程序的企图可以对应分为三种: 试图访问未授权资源； 试图阻止访问； 试图更改或破坏数据和系统。 (3).木马的危害 目前木马常被用作网络系统入侵的重要工具和手段。 木马利用自身所具有的植入功能，或依附其它具有传播能力的程序等多种途径，进驻目标机器，搜集其中各种敏感信息，并通过网络与外界通信，发回所搜集到的各种敏感信息，接受植入者指令，完成其它各种操作，如修改指定文件、格式化硬盘等。 2017-3-23 网络入侵与防范讲义 14 (3).木马的危害 感染了木马的计算机将面临数据丢失和机密泄露的危险。 木马往往又被用做后门，植入被攻破的系统，以便为入侵者再次访问系统提供方便；或者利用被入侵的系统，通过欺骗合法用户的某种方式暗中散发木马，以便进一步扩大入侵成果和入侵范围，为进行其它入侵活动，如分布式拒绝服务攻击（DDoS）等提供可能。 2017-3-23 网络入侵与防范讲义 15 (3).木马的危害 大型网络服务器也面临木马的威胁，入侵者可通过对其所植入的木马而偷窃到系统管理员的口令。 而当一个系统服务器安全性较高时，入侵者往往会通过首先攻破庞大系统用户群中安全性相对较弱的普通电脑用户，然后借助所植入木马获得有效信息（如系统管理员口令），并最终达到入侵系统目标服务器的目的。 2017-3-23 网络入侵与防范讲义 16 (3).木马的危害 木马程序具有很大的危害性，主要表现在: 自动搜索已中木马的计算机； 管理对方资源，如复制文件、删除文件、查看文件内容、上传文件、下载文件等； 跟踪监视对方屏幕； 直接控制对方的键盘、鼠标； 随意修改注册表和系统文件； 共享被控计算机的硬盘资源； 监视对方任务且可终止对方任务； 远程重启和关闭机器。 2017-3