第六章_网络后门和网络隐身.pptVIP

第六章 网络后门与网络隐身 内容提要 为了保持对已经入侵的主机长久的控制，需要在主机上建立网络后门，以后可以直接通过后门入侵系统。 当入侵主机以后，通常入侵者的信息就被记录在主机的日志中，比如IP地址、入侵的时间以及做了哪些破坏活动等等 为了入侵的痕迹被发现，需要隐藏或者清除入侵的痕迹 实现隐身有两种方法： 设置代理跳板 清除系统日志。 6.1网络后门 网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员帐号来实现。 6.1.1 留后门的艺术 只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的。 6.1.2 常见后门工具的使用 案例6-1 远程启动Telnet服务 利用主机上的Telnet服务，有管理员密码就可以远程登录到对方的命令行，进而操作对方的文件系统。如果Telnet服务是关闭的，就不能登录了。 默认情况下，Windows 2000 Server的Telnet是关闭的，可以在运行窗口中输入tlntadmn.exe命令启动本地Telnet服务，如图6-1所示。 启动本地Telnet服务 在启动的DOS窗口中输入4就可以启动本地Telnet服务了，如图6-2所示。 远程开启对方的Telnet服务 利用工具RT