第四章 网络安全攻击技术-3-高显嵩.ppt

  1. 1、本文档共15页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
后门的分类 从后门的整体特点来分可分为两大类:主动后门和被动后门。主动后门就是后门程序会主动的监听某个端口或进程,随时等待连接,后门的特征非常明显。被动后门不会做任何的工作,只有连接者去连接的时候才能表现出后门的特征。 从开放端口情况上来分分为:开放端口的后门、不开放端口的后门、利用系统已经开放的端口的后门。 从工作模式上来分分为:命令模式的后门、图形界面的后门、B/S结构基于浏览器的后门。 从连接模式上分为:正向连接后门、反向连接后门。 在这里我们又一种综合的分类,后面我们都是按照这种分类方式来讲述各类后门:命令模式后门、击键记录后门、脚本后门、帐号后门、图形界面控制后门、木马后门和其他后门。 命令模式后门 Telnet扩展后门三剑客(winshell、wollf、wineggdropshell) 现在流行的telnet扩展后门主要有三个:winshell、wollf、wineggdropshell 三个后门。下面我们会详细对这三个后门作功能、大小、稳定性、优缺点、安全上来进行比较。 三个后门作者: winshell作者是孤独剑客(jacker),主要代表作就是winshell。 wollf作者是wollf时冰河的作者黄鑫的夫人,主要代表作是wollf。 wineggdropshell作者是wineggdrop。 大小方面比较: winshell:服务端压缩后只是6k,最小型的一个。 wollf:服务端压缩后是56k,属于不算大。 wineggdropshell:最新版本是58k。 击键记录后门 击键记录后门也是黑客比较常采用的方法,该类后门主要用于监视用户的键盘输入记录,然后发送给攻击者,或者由攻击者定期连接上来察看。 脚本后门 脚本后门主要放在攻击目标的web站点中,较新的脚本后门主要是asp后门,perl后门和php后门,这里主要谈谈asp后门,perl和php后门的原理基本一样,只不过针对的操作系统不同。asp后门主要分为使用FileSystemObject组件和shell.application组件两种,由于asp脚本写作较为容易,所以变种较多,而且隐蔽性较强不易被查杀。普通的asp后门最大的问题就是权限,不过可以通过一些方法来更改asp脚本执行权限的。 帐号后门 在目标的计算机上创建管理员用户 激活guest帐号,然后加入管理员组 克隆帐号的技术,把Guest帐号激活然后克隆成Administrator 让被禁用的Guest帐号登录系统并且拥有管理员权限。 图形界面控制后门 图形界面控制后门的特点是界面友好、操作方便、直接可以控制对方的屏幕。目前单纯的图形界面的后门程序比较少,大多数都是在木马后门程序中集成了这种图形界面控制的功能,但是木马程序非常容易被杀毒软件查杀,并且速度很慢,所以目前黑客经常采用的是利用网络管理工具改装成的后门。黑客常用的这种改装的后门有DameWare、Remote Administrator 、VNC等。 木马后门 当获得了系统的存储权时,建立后门时相当容易的,但是在没有完全获得对系统的存取权限时,一般可以通过使用特洛伊木马来实现。特洛伊木马程序包括两个部分:一个外壳程序和一个内核程序。外壳程序就是每个人都可以看得到的部分。这部分必须时非常有趣或者是让人激动的,以至于当人们看到它的是时候都会不加考虑的运行。内核部分就是能够对系统造成危害的部分。当外壳程序重新运行时,内核程序隐蔽地隐藏在显示屏后做着各种各样可能对系统造成破坏的事情。内核程序的功能非常强大,几乎可以做任何事情,比如进行攻击、删除硬件设备、建立后门等。对于大多数特洛伊木马程序来说,内核程序的功能就是在受攻击的系统中建立后门。 其他后门 其实留后门可以有很多种方法,甚至是一个为你提供信息的网络管理员。 当黑客成功获取了存取权限且完成了自己的预定目标后,他还有最后一个工作要完成隐藏攻击踪迹。这其中包括重新进入系统,将所有能够表明他曾经来过的证据隐藏起来。为达到这个目的,有四个方面的工作要做: 日志文件 文件信息 另外的信息 网络通信流量 入侵攻击的步骤(入侵攻击五部曲) 入侵五步曲之四保持访问 主讲:高显嵩 主讲:高显嵩 Email:rogergao@163.com 主讲:高显嵩 Email:rogergao@163.com 主讲:高显嵩 Email:rogergao@163.com 主讲:高显嵩 Email:rogergao@163.com 主讲:高显嵩 Email:rogergao@163.com 主讲:高显嵩 Email:rogergao@163.com 主讲:高显嵩 Email:rogergao@163.com

文档评论(0)

wxc6688 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档