黑客代码分析和预防.docxVIP

【课程简介】 C/C++语言是除了汇编之外，最接近底层的计算机语言，目前windows，linux，iOS，Android等主流操作系统都是用C/C++编写的，所以很多病毒、木马也都是用C/C++实现的。课程的目的就是通过C语言揭秘木马和各种远程控制软件的实现原理以及如何防护。? 【课程知识点】 1、木马入侵系统的方式； 2、木马入侵到宿主目标后的关键行为分析； 3、可信任端口以及端口扫描技术； 4、远程控制的实现代码实现； 5、恶意代码中使用TCP、UDP协议与防火墙穿越技术； 6、360网络安全防护的实现原理。 黑客攻击方式和攻击类型 1黑客入侵原理 1.1寻找服务器漏洞 1.1.1ICMP主机发现 因特网控制数据包消息协议（Internet control message protocol, ICMP）用于一个主机以及网络路径状态的判断。 大多数系统都提供了ping工具，使用ping判断一个域名或者ip是否可达。 通过ping，可以知道ip是否可达。 1.1.2 TCP/IP主机发现 如果一个主机阻止了icmp请求，但开启了tcp的80端口用于接收http请求，那么ping就失去意义了，那么攻击者就可以探测80端口，如果得到响应，就可以假定这台主机是活跃的。 所有的网络主机，如果对外提供服务，那么除了ip地址以外，一定要有对外开放的端口号。 1.1.3 常用端口一栏表 5 远程作业登录 7 回显 13 时间 20 ftp文件传输协议（默认数据口） 21 ftp文件传输协议（控制） 22 ssh远程登录协议 23 telnet（终端仿真协议），木马tiny telnet server开放此端口 25 smtp服务器所开放的端口，用于发送邮件 37 时间 38 路由访问协议 53 dns域名服务器 66 oracle sql*net 80 http，用于网页浏览，木马executor开放此端口 110 pop3 服务器端口 111 sun公司的rpc服务所有端口 121 木马bo jammerkillahv开放端口 135 dcom服务，冲击波病毒利用，不能关闭。 136 命名系统 137 netbios协议应用，为共享开放 138 netbios协议应用，为共享开放 139 netbios协议应用，为共享开放 443 https协议应用 666 木马attack ftp， satanz backdoor开放此端口 1024 动态端口的开始，木马yai开放端口 1521 oracle端口 3306 mysql端口 4000 腾讯qq客户端端口 4480 proxy+http代理端口 8080 http proxy 1.2黑客攻击方式攻击类型 1.2.1攻击服务器 a)发现目标ip， 因为服务器在internet都有一个唯一的ip地址 b)端口扫描，查找服务器开启了那些端口 c)根据扫描到的端口，确定开启了那些网络服务。 d)寻找该网络服务的漏洞。 1.2.2攻击个人电脑 a)个人电脑在公网可能没有固定的ip地址，需要在个人电脑上运行一个俗称为木马的程序 b)黑客一定要有一个公网ip的计算机，这样木马就可以远程连接到该计算机。 c)黑客通过公网ip计算机，远程控制个人电脑。 不管是那种方式，都需要有网络编程的基础。 2实用工具--mysock库 #ifndef __MYSOCK_H #define __MYSOCK_H #ifdef __cplusplus extern C { #endif //linux下设置进程进入daemon状态，windows无效 void set_daemon(); //windwos下调用的初始化socket环境，linux不需要 void init_socket(); //windows下调用的释放socket环境，linux不需要 void free_socket(); //将域名转化为ip，domain代表域名，返回值为 struct in_addr的s_addr成员 unsigned int domain2ip(const char *domain); //建立一个socket //status = 1 is TCP, other is UDP。 返回值=0代表成功建立的socket句柄，-1失败 int create_socket(int status); //关闭由create_socket创建的socket， //sock为create_socket函数返回的socket句柄 void close_socket(int sock); //为sock绑定一个端口 //sock为create_socket函数返回的socket句柄，port为要绑定的端口