Security5_网络后门和隐身.pptVIP

计算机网络安全技术——网络后门与隐身 ;内容提要;4.1网络后门 ;案例4-1 远程启动Telnet服务;启动本地Telnet服务;远程开启对方的Telnet服务;远程开启对方的Telnet服务; 确认对话框 ;登录Telnet的用户名和密码 ;登录Telnet服务器 ;用telnet做什么;;记录管理员口令修改过程;记录管理员口令修改过程;案例4-3 建立Web服务和Telnet服务 ;建立Web服务和Telnet服务;测试Web服务 ;看密码修改记录文件 ;利用telnet命令连接707端口 ;登录到对方的命令行 ;自启动程序;将wnc.exe加到自启动列表 ;修改后的注册表 ;案例4-4 让禁用的Guest具有管理权限 ;查看winlogon.exe的进程号 ;执行命令 ;查看SAM键值 ;查看帐户对应的键值 ;帐户配置信息 ;拷贝管理员配置信息 ;覆盖Guest用户的配置信息 ;保存键值 ;删除Guest帐户信息 ;刷新用户列表 ;修改Guest帐户的属性 ;查看guest帐户属性 ;利用禁用的guest帐户登录 ;连接终端服务的软件 ;查看终端服务的端口 ;连接到终端服务 ;案例4-5 三种方法连接到终端服务 ;终端服务;终端服务;Web方式连接;配置Web站点 ;在浏览器中连接终端服务 ;浏览器中的终端服务登录界面 ;案例4-6 安装并启动终端服务;上传程序到指定的目录 ;目录列表 ;入侵者——黑客;什么是木马？;木马概念;木马和后门的区别;木马的演变;木马的演变;木马的演变;木马的连接方式;木马的连接方式;木马的连接方式;木马的演变;木马的演变;木马的特征;木马的种类;木马的种类 ;2、远程访问型 　　最广泛的特洛伊木马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。这样的程序可以实现观察“受害者”正在干什么，并且可以任意控制对方。　　　;3、键盘记录木马 　　 记录用户在线和离线状态下敲击键盘时的按键情况。 4、DoS攻击木马 　　 随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。 　　;5、代理木马 　　 黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变???攻击者发动攻击的跳板。通过代理木马，攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序，从而隐蔽自己的踪迹。 　 ;6、FTP木马 　　 这种木马是比较简单和古老的木马，它的功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。 　　;7、程序杀手木马 　　 上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。 　　;8、透明型木马 透明的意思是,你看不到木马文件,找不到木马的启动方式,看不到木马进程,甚至你连木马的端口也看不到。 9、多头型木马 这种木马,一般不是单个文件,其次,会同时运行木马的不同名的多个副本,然后,它们还会监视注册表,防止你通过修改注册表切断其生存的机会。 10、李鬼型木马 这种木马最常见,例如网银大盗,它把自己的名字写成svch0st.exe,你不是十分仔细去看的话,跟svchost.exe非常像,常见的名字还有kernel32.exe,sysexpr.exe,registry.exe等;入侵途径（种植）;木马的传播-主动攻击;传播-邮件;传播-伪装; 修改图标： 伪装成TXT、HTML等可能认为对系统没有多少危害的文件图标，在“资源管理器”中默认选中“隐藏已知文件类型的扩展名”，诱惑用户打开。 捆绑文件： 将木马捆绑到一个安装程序上，当安装程序运行的时候，木马在用户毫无觉察的情况下，在后台启动。被捆绑的程序一般是有诱惑的小游戏、带附件的邮件。 ;传播-网页;传播-共享磁盘;自动启动(加载)-修改文件关联; 在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于Win98默认设置是不显示已知的文件后缀名,文件将会显示为*.jpg,不注意的人一点这个图标就中木马了。;加载-捆绑程序;感觉;被感染后的紧急措施;木马的使用;“冰河”的客户端 ;选择配置菜单 ;设置“冰河”服务器配置 ;查看注册表 ;使用冰河客户端添加主机 ;查看对方的目录列表 ; 查看并控制远程屏幕的菜单 ;网络隐身;4.3网络代理