网络安全木马电子课件.ppt

2.6 木马的入侵与防护 项目二、木马的分类与发展 2.6 木马的入侵与防护 项目二、木马的分类与发展 2.6 木马的入侵与防护 项目二、木马的分类与发展 2.6 木马的入侵与防护 (一) 灰鸽子木马 灰鸽子是国内第三代木马的典型代表 除了可以使用传统连接方式，可以使用反弹窗口的连接方式，方便的控制动态IP地址和局域网内的远程主机 在使用灰鸽子时，可以利用灰鸽子自带的工具，申请免费域名提供的动态IP映射实现代理功能 项目三、常见木马的应用 2.6 木马的入侵与防护 1、木马的链接方式 第一代和第二代木马属于传统的连接方式：远程主机开放监听端口等待外部连接，成为服务器端；当入侵者需要与远程主机连接时，发送连接请求。 第三代木马开始使用了“反弹端口”技术，连接不再由客户端发起，而是服务器端来完成。 反弹窗口技术需要在配置服务器时指明入侵者的ip地址和连接端口，因此不适用于动态上网的入侵者 项目三、常见木马的应用 2.6 木马的入侵与防护 2、反窗口的链接方式 无中间代理的连接 引入中间代理的连接 项目三、常见木马的应用 获取客户端IP、Port 客户端 远程主机 中间代理（保存客户端IP、Port） 更新IP、port 2.6 木马的入侵与防护 (二) 广外男生木马 简介：广外男生同广外女生一样，是广东外语外贸大学的作品。 特色： 客户端模仿Windows资源管理器：除了全面支持访问远程服务器文件系统，也同时支持通过对方的“网上邻居”，访问对方内部网其他机器 运用了“反弹窗口”技术 使用了“线程插入”技术：服务器运行时没有进程，所有网络操作均插入到其他应用程序的进程中完成。即便受控端安装的防火强有“应用程序访问权限”的功能，也不能对广外男生的服务器进行有效警告和拦截。 不再支持传统的连接方式 项目三、常见木马的应用 2.6 木马的入侵与防护 广外男生木马应用实例 客户端设置：打开广外男生客户端（gwboy092.exe），选择“设置”—“客户端设置”，打开“广外男生客户端设置程序”。 其中最大连接数一般使用默认的30台，客户端使用端口一般设置成80 项目三、常见木马的应用 2.6 木马的入侵与防护 本次实验使用固定IP地址的主机进行实验，因此选择“客户端处于静态IP” 点击“下一步”，再点击“完成”按钮结束客户端的设置。 项目三、常见木马的应用 2.6 木马的入侵与防护 服务端设置：进行服务端设置时，选择“设置”—“服务器设置”，打开“广外男生服务端生成向导” 项目三、常见木马的应用 2.6 木马的入侵与防护 选择“同意”之后，点击下一步，开始进行服务端常规设置 项目三、常见木马的应用 2.6 木马的入侵与防护 设置完成后点击“下一步”，进行“网络设置”。根据实际网络环境，选择静态IP选项进行实际网络的设置 项目三、常见木马的应用 2.6 木马的入侵与防护 设置完成点击“下一步”，填写生成服务器端的目标文件的名称，然后点击“完成”，结束服务器端的配置 项目三、常见木马的应用 2.6 木马的入侵与防护 项目三、常见木马的应用 2.6 木马的入侵与防护 项目三、常见木马的应用 2.6 木马的入侵与防护 项目三、常见木马的应用 2.6 木马的入侵与防护 广外男生木马的清除 1、检测广外男生木马的有效方法为使用“netstat -na”查看目标主机的网络连接情况，如果端口8225开放，那么该主机可能已经中了广外男生木马。 2、打开注册表编辑器，展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下，删除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”，删除ID为{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其下所有子键和键值。 3、点击 “编辑”菜单中的 “查找”，在注册表编辑器中搜索gwVboydl1。dll，找到所有和它有关的注册表项，全部删除。 4、删除system32目录下的gwboy.exe。然后进入DOS模式下，输入del winnt\system32\gwVboydll.dll命令，删除system32目录中的gwboydll.dll文件。 项目三、常见木马的应用 2.6 木马的入侵与防护 （三）文件夹木马 在windows系统中，文件夹采用了实现网页的方法来实现文件夹的样式，也就是说Windows中的文件夹支持HTML和javascr