留后门的艺术.ppt

* 清除IIS日志 当用户访问某个IIS服务器以后，无论是正常的访问还是非正常的访问，IIS都会记录访问者的IP地址以及访问时间等信息。这些信息记录在Winnt\System32\logFiles目录下。 * IIS日志的格式 IIS日志记录了用户访问的服务器文件、用户登录时间、用户的IP、用户浏览器、操作系统的版本号。 * 清除IIS日志 最简单的方法是直接到该目录下删除这些文件夹，但是全部删除文件以后，一定会引起管理员的怀疑。 一般入侵的过程是短暂的，只会保存到一个Log文件，只要在该文件删除所有自己的记录就可以。 可用CleanIISLog.exe来实现。先将文件拷贝到日志文件所在目录，并执行： CleanIISLog ex061003.log 21 * 清除主机日志 主机日志包括三类的日志：应用程序日志、安全日志和系统日志。 “事件查看器”查看日志信息。 * 清除主机日志 可用clearel.exe方便地清除系统日志。将文件上传到对方主机，然后删除这三种日志。命令格式为： Clearel System Clearel Security Clearel Application Clearel All 　　分别删除系统日志、安全日志、应用程序日志和删除全部日志。 * 本章习题 留后门的原则是什么？如何留后门程序？列举三种后门程序，并阐述原理以及如何防御。 简述终端服务的功能，如何连接到终端服务器上？如何开启对方的终端服务？ 简述木马由来，并简述木马和后门的区别。 简述网络代理跳板的功能。 系统日志有哪些？如何清楚这些日志？ * 本章习题（上机完成） 利用三种方法在对方电脑种植后门程序。在对方电脑上种植冰河程序，并设置冰河的服务端口是8999，连接的密码是0987654321。 使用二级网络跳板对某主机进行入侵。 编程实现当客户端连接某端口的时候，自动在目标主机上建立一个用户“Hacker”，密码为“fool”，并将该用户添加到管理员组。 此为封面页，需列出课程编码、课程名称和课程开发室名称。 要求：每个子课程（6位编码的课程）要求做一个这样的胶片，胶片文件命名为“课程编码 课程名称.ppt”。 此页胶片仅在授课时使用，胶片＋注释中不使用。 封面页按产品分为4个，各产品使用自己的封面，把其他封面直接删除即可。 * 终端服务 如果目标主机的终端服务是启动的，可以直接登录到对方的桌面，在登录框输入用户名和密码就可以在图形化界面种操纵对方主机了。 * 终端服务 第二种：使用Win XP自带的终端服务连接器：mstsc.exe。只要输入对方的IP就可以。 * Web方式连接 第三种：使用Web方式连接。该工具包含几个文件，需要将这些文件配置到IIS的站点中去。 * 配置Web站点 将这些文件拷贝到本地IIS默认Web站点的根目录 * 在浏览器中连接终端服务 在浏览器中输入：http://localhost 输入对方的IP并选择连接窗口的分辨率，可登录 * 例6 　安装并启动终端服务 假设对方不仅没有开启终端服务，而且没有安装终端服务所需要的软件。 使用工具软件djxyxs.exe，可以给对方安装并开启该服务。在该工具软件中已经包含了安装终端服务所需要的所有文件。 将该文件上传并拷贝到对方服务器的Winnt\temp目录下（必须放置在该目录下，否则安装不成功！）。 * 执行djxyxs.exe，会自动进行解压将文件全部放置到当前的目录下； 在当前目录下执行解压出来的程序azzd.exe，将自动在对方服务器上安装并启动终端服务。 完成后服务器会重启，之后可用终端服务连接软件登录到对方服务器了。 例6 　安装并启动终端服务 * 木马 木马是一种可以驻留在对方系统中的一种程序。 木马一般由两部分组成：服务器端和客户端。 驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。 木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。 木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。 * 远程访问型木马 密码发送型木马 键盘记录型木马 毁坏型木马 FTP 型木马 最广泛使用的特洛伊木马 可以访问受害人的硬盘，并对其进 行控制 使用简单，只要某用户运行一下服务端程序，并获取该用户的IP地址，就可以访问该用户的计算机 可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、截取屏幕等等 著名的BO（Back Office）和国产的冰河等。 木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。 大多此类木马不会在每次Windows重启时重启，而且它们大多数使用25端口发送E--mail。 木马简