第四章 网络安全攻击技术-3-高显嵩.ppt

后门的分类 从后门的整体特点来分可分为两大类：主动后门和被动后门。主动后门就是后门程序会主动的监听某个端口或进程，随时等待连接，后门的特征非常明显。被动后门不会做任何的工作，只有连接者去连接的时候才能表现出后门的特征。 从开放端口情况上来分分为：开放端口的后门、不开放端口的后门、利用系统已经开放的端口的后门。 从工作模式上来分分为：命令模式的后门、图形界面的后门、B/S结构基于浏览器的后门。 从连接模式上分为：正向连接后门、反向连接后门。 在这里我们又一种综合的分类，后面我们都是按照这种分类方式来讲述各类后门：命令模式后门、击键记录后门、脚本后门、帐号后门、图形界面控制后门、木马后门和其他后门。 命令模式后门 Telnet扩展后门三剑客（winshell、wollf、wineggdropshell） 现在流行的telnet扩展后门主要有三个：winshell、wollf、wineggdropshell 三个后门。下面我们会详细对这三个后门作功能、大小、稳定性、优缺点、安全上来进行比较。 三个后门作者： winshell作者是孤独剑客(jacker)，主要代表作就是winshell。 wollf作者是wollf时冰河的作者黄鑫的夫人，主要代表作是wollf。 wineggdropshell作者是wineggdrop。 大小方面比较： winshell：服务端压缩后只是6k，最小型的一个。 wollf：服务端压缩后是56k，属于不算大。 wineggdropshell：最新版本是58k。 击键记录后门 击键记录后门也是黑客比较常采用的方法，该类后门主要用于监视用户的键盘输入记录，然后发送给攻击者，或者由攻击者定期连接上来察看。 脚本后门 脚本后门主要放在攻击目标的web站点中，较新的脚本后门主要是asp后门，perl后门和php后门，这里主要谈谈asp后门，perl和php后门的原理基本一样，只不过针对的操作系统不同。asp后门主要分为使用FileSystemObject组件和shell.application组件两种，由于asp脚本写作较为容易，所以变种较多，而且隐蔽性较强不易被查杀。普通的asp后门最大的问题就是权限，不过可以通过一些方法来更改asp脚本执行权限的。 帐号后门 在目标的计算机上创建管理员用户 激活guest帐号，然后加入管理员组 克隆帐号的技术，把Guest帐号激活然后克隆成Administrator 让被禁用的Guest帐号登录系统并且拥有管理员权限。 图形界面控制后门 图形界面控制后门的特点是界面友好、操作方便、直接可以控制对方的屏幕。目前单纯的图形界面的后门程序比较少，大多数都是在木马后门程序中集成了这种图形界面控制的功能，但是木马程序非常容易被杀毒软件查杀，并且速度很慢，所以目前黑客经常采用的是利用网络管理工具改装成的后门。黑客常用的这种改装的后门有DameWare、Remote Administrator 、VNC等。 木马后门 当获得了系统的存储权时，建立后门时相当容易的，但是在没有完全获得对系统的存取权限时，一般可以通过使用特洛伊木马来实现。特洛伊木马程序包括两个部分：一个外壳程序和一个内核程序。外壳程序就是每个人都可以看得到的部分。这部分必须时非常有趣或者是让人激动的，以至于当人们看到它的是时候都会不加考虑的运行。内核部分就是能够对系统造成危害的部分。当外壳程序重新运行时，内核程序隐蔽地隐藏在显示屏后做着各种各样可能对系统造成破坏的事情。内核程序的功能非常强大，几乎可以做任何事情，比如进行攻击、删除硬件设备、建立后门等。对于大多数特洛伊木马程序来说，内核程序的功能就是在受攻击的系统中建立后门。 其他后门 其实留后门可以有很多种方法，甚至是一个为你提供信息的网络管理员。 当黑客成功获取了存取权限且完成了自己的预定目标后，他还有最后一个工作要完成隐藏攻击踪迹。这其中包括重新进入系统，将所有能够表明他曾经来过的证据隐藏起来。为达到这个目的，有四个方面的工作要做： 日志文件 文件信息 另外的信息 网络通信流量 入侵攻击的步骤（入侵攻击五部曲） 入侵五步曲之四保持访问 主讲：高显嵩 主讲：高显嵩 Email：rogergao@163.com 主讲：高显嵩 Email：rogergao@163.com 主讲：高显嵩 Email：rogergao@163.com 主讲：高显嵩 Email：rogergao@163.com 主讲：高显嵩 Email：rogergao@163.com 主讲：高显嵩 Email：rogergao@163.com 主讲：高显嵩 Email：rogergao@163.com