第二章-1 网络安全风险分析.pptVIP

系统钩子 钩子是WINDOWS中消息处理机制的一个要点，通过安装各种钩子，应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。钩子的种类很多，每种钩子可以截获并处理相应的消息。 真隐藏：木马的服务器部分程序运行之后，完全的溶进了系统的内核。 不做成一个应用程序，而做为一个其他应用程序的线程，把自身注入其他应用程序的地址空间。而这个应用程序对于系统来说，是一个绝对安全的程序，这样，就达到了彻底隐藏的效果。 木马程序的建立连接的隐藏 木马程序的数据传递方法有很多种，其中最常见的要属TCP,UDP传输数据的方法了，通常是利用Winsock与目标机的指定端口建立起连接，使用send和recv等API进行数据的传递。 但是由于这种方法的隐蔽性比较差，往往容易被一些工具软件查看到，在命令行状态下使用netstat命令，就可以查看到当前的活动TCP，UDP连接。 C:\Documents and Settings\bigballnetstat -n Active Connections ProtoLocal AddressForeign AddressState TCP:1032 8:1863ESTABLISHED TCP:1112 5:80ESTABLISHED TCP:1135 23:80ESTABLISHED TCP:1142 23:80ESTABLISHED TCP:1162 :139TIME_WAIT TCP:1169 59:80ESTABLISHED TCP:1170 33:80TIME_WAIT 躲避侦察的手段 使用特殊的手段，在一个端口上同时绑定两个TCP或者UDP连接，这听起来不可思议，但事实上确实如此，而且已经出现了使用类似方法的程序，通过把自己的木马端口绑定于特定的服务端口之上，（比如80端口的HTTP，谁怀疑他会是木马程序呢？）从而达到隐藏端口的目地. 使用ICMP（Internet Control Message Protocol）协议进行数据的发送,原理是修改ICMP头的构造，加入木马的控制字段，这样的木马，具备很多新的特点，不占用端口的特点，使用户难以发觉，同时，使用ICMP可以穿透一些防火墙，从而增加了防范的难度。之所以具有这种特点，是因为ICMP不同于TCP，UDP，ICMP工作于网络层，不使用TCP协议。 查看启动组 　　查看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，极有可能就是木马了。 查看注册表 　　由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。通过类似的方法对下列各个主键下面的键值进行检查： HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx HKEY-LOCAL-ACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。 象HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERSSoftwareMicrosoftWindowsCurrentVersionRun的目录下都有可能成为木马的藏身之处。 最好的办法就是找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了 如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。 其它方法 上网过程中，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.怀疑正在被木马控制，不要拔了网线或抽了Modem上的电话线。 找到控制