第5章网络后门与网络隐身.ppt

木马案例 2004年10月中旬，家住宜丰县新昌镇的张勇将自己的高中同学王浩、邹亮约到一起。张勇表示自己想到了一条发财捷径，即他已在互联网上租用了空间，并且仿冒了一个知名证券网站制作了一个网站，这个仿冒网站与知名网站只少了一个英文字母，一些股民很难辨清真伪。同时，张勇还表示，如果在该网站上放置木马程序，可截取股民的股票账号和密码等信息，即可操纵这些股票账户，高价购入自己手中的股票从中获利。 木马案例 三人商定，由张勇负责木马程序的制作与传播，并进行股票的操盘，王浩则负责用假身份证开立股票、银行账户及办理联通上网卡。邹亮则负责在电子邮箱中收取和整理木马程序获取的股民股票账号和密码。对于初期作案金额，则按照张60%、王、邹各20%的比例出资，所得利润按此比例分配。 木马案例 长沙捞到第一桶金 经过事先的筹借，三人出资5万元作为初期的投资。之后，三人出钱制作了一张名为鄢智勇的假身份证，在国泰君安证券长沙五一东路营业部开设股票账号。 木马案例 10月20日，三人用鄢智勇的股票账号以12.30元的均价购入成交量小的股票“金宇车城”4000股。次日，使用盗来的股票账号和密码将股民吴某、周某股票账号内的股票全部以低价抛出，获取资金后，大量购进了22万股“金宇车城”的股票，将这支冷门的股票价格抬高后，张勇又将两股民股票账户内剩余的资金，以13.44元涨停板的价格购入自己手中的4000股“金宇车城”股票。从中获差价利润4000余元。 木马案例 11月25日，三人从广州来到了杭州。此时，一些股民已陆续向公安机关报案。三人用名为李继伟的名字在杭州开设了股票账号，当三人准备将顾海国账号的资金转到李继伟的账户上时，发现顾海国账上的资金已被冻结。此时，三人知道自己的犯罪行为已被公安机关发现，便停止作案逃窜到了安徽，想等待机会再次出手。据了解，三人共获利38万余元。 木马案例 有罪还是无罪 因为涉及到高科技领域，庭审过程中，控辩双方在三被告人是否犯罪问题上进行了激烈辩论。 辩护人认为，被告人并没有构成盗窃罪。 公诉人认为，本案的作案手段确实是特殊表现形式，但不能否定盗窃犯罪的构成，其社会危害性也是显而易见的。 5.2 网络后门 1. 后门介绍 早期的电脑黑客，在成功获得远程系统的控制权后，希望能有一种技术使得他们在任意的时间都可以再次进入远程系统，于是后门程序就出现了。 后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就存在安全隐患，容易被黑客当成漏洞进行攻击。传统意义上的后门程序往往只是能够让黑客获得一个SHELL，通过这个SHELL进程而进行一些远程控制操作。 后门与木马的联系与区别： 联系：均隐藏在用户系统中向外发送信息，而且本身具有一定权限，便于远程计算机对本机控制； 区别：木马是一个非常完整的工具集合，而后门体积小，功能单一。木马确实功能强大，远超后门程序。 5.2 网络后门 2. 后门实例 全球著名黑客凯文-米特尼克在15岁的时候，闯入了“北美空中防务指挥系统”的计算机主机内，他和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料，然后又悄无声息地溜了出来，这就是黑客历史上利用“后门”进行入侵的一次经典之作。如图5.16所示为黑客米特尼克。 第5章 网络后门与网络隐身 概 述 本章来介绍网络后门与网络隐身技术，主要包括木马、后门和清除攻击痕迹等。这个技术与方法都是黑客攻击常用的技术方法。 目 录 5.1 木马攻击 5.2 网络后门 5.3 清除攻击痕迹 5.1 木马攻击 5.1.1 木马的概述 特洛伊木马简称木马，英文叫做“ Trojan house” ，其名称取自希腊神话的特洛伊木马记。其名称取自希腊神话的特洛伊木马记。 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵，如图5.1所示。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。 5.1 木马攻击 5.1.1 木马的概述 特洛伊木马简称木马，英文叫做“ Trojan house” ，其 5.1 木马攻击 木马一般有两个程序，一个是客户端，另一个是服务器端。如果要给别人计算机上种木马，则受害者一方运行的是服务器端程序，而自己使用的是客户端来控制受害者机器的。 木马是一种基于远程控制的黑客工具，具有隐