木马传播.ppt

焚再雅坑洋茵狂陵屯乍掸狱拣粗永诫腻熬心迄淆邑矿斗阎村痪态贴积喉恃木马的传播木马的传播;什么是木马？;分类;分类-远程控制;分类-密码窃取;分类-为特定任务而设计;传播-主动攻击;传播-主动攻击;传播-邮件;传播-伪装; 修改图标： 伪装成TXT、HTML等可能认为对系统没有多少危害的文件图标，在“资源管理器”中默认选中“隐藏已知文件类型的扩展名”，诱惑用户打开。 捆绑文件： 将木马捆绑到一个安装程序上，当安装程序运行的时候，木马 在用户毫无觉察的情况下，在后台启动。被捆绑的程序一般是有诱惑的小游戏、带附件的邮件。 ;传播-网页;传播-病毒型木马;加载方式;加载方式-启动文件;加载方式-启动文件;加载方式-注册表;加载方式-服务;加载方式-服务;加载方式-修改文件关联;加载方式-捆绑程序;加载方式-打开目录;工作机制;连接请求;工作机制-无端口木马;工作机制-DLL木马;自我保护机制;自我保护-双进程;自我保护-木马备份;检测和查杀;检测-中木马后的状况;检测-netstat;检测-任务管理器;检测-注册表及服务;检测工具-Fport/sport;检测工具-IceSword;Filemon:Filemon是一个用来监视并显示系统中所有文件的活动情况的程序 。当这个程序首次执行的时候，它会监视所有的本机硬盘。你可以用菜单，快捷键或工具栏来对窗口进行操作，选择或者不选择监视的对象，并将结果保存起来。 Regmon:Regmon 是一个用来监视并显示系统中注册表活动情况的程序。当这个程序首次执行的时候，它会监视所有的本机硬盘。你可以用菜单，快捷键或工具栏来对窗口进行操作，选择或者不选择监视的对象，并将结果保存起来。 Portmon:Portmon 是一个可以监视本机的串口和并口的使用情况和TCP/IP网络上的计算机的情况。 ;TCPView:TCPView 是一个Windows程序，它可以显示出所有侦听到的TCP和UDP会话的详细情况，包括远程的地址和TCP的连接状态。当你启动 TCPView ，它会列举所有的活动中的TCP和UDP的终端，解析IP地址到域名。工具栏上的按纽可以用来使输出结果不显示名称，这在某些环境下比较有用，因为这样不需要发送请求到DNS服务器，从而节约了时间。组合键Ctrl-R就可以在显示机器名和IP地址之间进行切换。当下次运行的时候，它会保留上次的配置情况 TDImon: TDImon 是一个可以让你查看本地系统的 TCP 和 UDP 活动的情况。 Unlocker： 用于删除“不能删除”文件的工具 ;检测-技巧;编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。 在Windows XP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但有的木马程序被删除后会立即自动添上，这时，记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。;防御;防御-系统安全配置;防御-系统安全配置;防御-系统安全配置;防御-系统安全配置;查杀灰鸽子;AVG Anti-Spyware TrojanHunter;实验目的：通过使用和观察灰鸽子了解远程控制型木马的特征和行为 实验环境：安装有Windows XP的电脑一台，该电脑安装有VPC虚拟机，虚拟机系统为Windows XP或者Windows 2003 server，木马客户端运行于Windows XP机上，生成的服务端放入虚拟机运行 实验步骤： 1.配置灰鸽子的服务端（注意配置自动上线的IP和端口，了解什么是反弹型木马） 2.虚拟机机中运行灰鸽子的服务端，观察灰鸽子木马的行为特征（提示：运行后是否删除安装文件？进程里是否能够观察到灰鸽子的进程？是否有其它的异常？） 3.服务端自动上线 4.进行屏幕监控和远程控制 思考题：什么是反弹性木马？