第10章-网络攻防技术..pptVIP

特洛伊木马程序采用C/S模式工作，它包括服务端和客户端两个程序，缺掉其中任何一个都很难发生攻击，因为木马不具有传染性，所以服务器端程序是以其他方式进入被入侵的计算机，当服务器端置入被攻击机后，会在一定情况下开始运行（如用户主动运行或重新启动电脑，因为很多木马程序会自动加入到启动信息中），这时它就在被攻击机上打开一个1024以上端口（大多数的端口号都在5000以上），并一直监听这个端口，等待客户机端连结。木马的客户端一般运行在攻击机上，当攻击机上的客户端向被攻击机上的这一端口提出连接请求时，被攻击机上的服务端就会自动运行，来应答攻击机的请求，如果服务端在该端口收到数据，就对这些数据进行分析，然后按识别后的命令在被攻击机上执行相应的操作，如窃取用户名和口令、复制或删除文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击的系统危害系统安全的功能，可能造成对方资料和信息的泄漏、破坏，甚至使整个系统崩溃。 10.3.3缓冲区溢出攻击 溢出区是内存中存放数据的地方．在程序试图将数据放到计算机内存中的某一个地方时，因为没有足够的空间就会发生缓冲区溢出，而人为溢出则是攻击者编写一个超出溢出区长度的字符串，然后植入缓冲区，这样就可能导致两种结果。一是过长的字符串覆盖了相邻的存储单元引起程序远行错误，有时可能导致系统崩溃；另一方面是，通过字符串植入缓冲区，从而获得系统权限，可以执行任意指令。 在程