木马信息窃取技术新.pdfVIP

计算机病毒原理与防治 北京邮电大学信息安全中心 郑康锋 zhengkfbupt@163.com ftp://virus:virus@ 601 木马信息窃取技术 前言: 本节课主要讲解的是木马信息的窃取 技术。木马的重要功能之一是获取被攻击 目标主机及其所在网络的敏感信息。木马 信息窃取技术包括三种技术，每种技术将 从其原理和实现方式两角度讲解，讲解木 马是如何获得它们感兴趣的信息。 2 本次课程学习目标 学习完本次课程，您应该能够掌握： 木马信息窃取技术的嗅探技术 木马信息窃取技术的信息采集技术 木马信息窃取技术的行为采集技术 33 木马信息窃取技术 嗅探技术 信息采集技术 行为采集技术 4 嗅探技术 嗅探技术，是一种常用的收集有用数据信息的网络监听方法， 是网络安全攻防技术中很重要的一种。  嗅探器(Sniffer)作为嗅探技术的一种技术实现，最初是网络管理员 检测网络通信的一种工具，是利用计算机的网络接口截获目的地 为其它计算机的数据报文的一种工作。  一个装载了嗅探器的木马，无异于有着灵敏嗅觉的猎犬，通过对 获得数据的分析处理，可以获得整个网络的网络状态、数据流动 情况和个人主机的帐户等敏感信息，为后续的攻击做好充分的准 备。 5 嗅探技术 嗅探技术原理  以太网 计算机与局域网的连接是通过主机机箱内的网卡。网卡向下 负责打包数据报为帧 （数据传输的最小单位）发送到局域网，向 上接收正确的帧并交付网络层处理。 以太网网卡一般具有四种接收工作模式： 广播 （Broadcast ）模式，可以接收局域网内目的地址为广播地址 （ 全1地址）的所有数据报；  多播 （Multicast）模式，可以接收目的地址为多播地址的所有数据报 ； 直接 （Directory ）模式，也就是单播 （Unicast ）模式，只接收目的 地址为本机MAC地址的所有数据报； 混杂 （Promiscuous）模式，能够接收通过网卡的所有数据报。 6 嗅探技术  ARP协议 IP地址是主机在网络层中的地址。数据链路层是不能够识 别IP地址的，但网卡、交换机等都工作在数据链路层，所以如 果要想将网络层中的数据报交给目的主机，必须要在数据链路 层封装为有MAC地址的帧后才能发送。但是32bit 的IP地址和 48bit的MAC地址之间没有简单的映射关系。