网络攻防原理与技术第6章 特洛伊木马.pptx

;内容提纲;一、定义;类型;;近年来，不同类别的恶意程序之间的界限逐渐模糊，木马和僵尸程序成为黑客最常利用的攻击手段。 ;恶意代码;木马编写者;RFC1244 (1/2);RFC1244 (2/2);大多数安全专家对特洛伊木马的定义;木马的危害;木马的危害;;;;二、分类;木马的分类;木马的分类;木马的分类;木马的分类;(1) 破坏型;(2) 密码发送型;(3) 远程访问型;(4) 键盘记录木马;(5) DoS攻击木马;(6) 代理木马;(7) FTP木马;(8) 程序杀手木马;(9) 反弹端口型木马;反弹端口型木马;三、特点;木马的特点;有效性;隐蔽性;顽固性 ;易植入性;其它特点：自动运行;其它特点：欺骗性;;其它特点：功能的特殊性;其它特点;内容提纲;远程控制木马;远程控制木马的运行步骤;远程控制木马的运行步骤;通过各种传播方式散播木马（往往结合病毒的传播手段，如电子邮件，网络下载等等）;;;50;远程控制木马的反弹技术;一、木马植入技术;植入技术;主动植入 ;主动植入;主动植入--本地安装;主动植入--远程安装;利用系统自身漏洞植入;利用第三方软件漏洞植入;被动植入 ;网页浏览植入;利用电子邮件植入;例一;;;;;网络下载植入;利用即时通工具植入;与其它程序捆绑;例：图片木马;利用移动存储设备植入;“摆渡”木马的运行;“摆渡”木马的运行;“摆渡”木马的运行;“摆渡”木马的运行;“摆渡”木马的运行;“摆渡”木马的运行;2015.12.2夜间：安天监控预警体系感知到如下线索：某知名作家在新浪微博发布消息，曝光有人以发送“采访提纲”为借口，利用微博私信功能，发送恶意代码链接。;2015.12.2夜间：安天监控预警体系感知到如下线索：某知名作家在新浪微博发布消息，曝光有人以发送“采访提纲”为借口，利用微博私信功能，发送恶意代码链接。;;无论是原始微博截图中的头像、微博两条搜索结果显示的图像，还是百度网盘的头像，相似度都非常高，让人真假难辨。;幸运的是，没有微博名人中招！;社会工程学;;二、木马自动加载技术;自动加载技术;自动加载技术;(1) 修改系统文件;(2) 修改系统注册表;(2) 修改系统注册表;(3) 添加系统服务;(4) 修改文件打开关联属性;例：冰河的自动加载方法;修改文件打开关联;(5)　修改任务计划;(6)　修改组策???;修改组策略;(7)　修改启动文件夹;(8)　利用系统自动运行的程序;(9) 替换系统DLL;有些木马需要系统重启后运行或提升权限，如何做到？;三、木马隐藏技术;木马的隐藏技术;隐藏技术;隐藏技术;设置窗口不可见;把木马程序注册为服务;欺骗查看进程的函数;替换系统驱动或系统DLL;替换系统驱动或系统DLL;替换系统驱动或系统DLL;替换系统驱动或系统DLL;替换系统驱动或系统DLL;动态嵌入技术;通信隐藏：端口;端口监听的缺点：木马在等待和运行的过程中，始终向外界打开着一个端口，容易暴露。 潜伏技术：利用非TCP/UDP协议，如ICMP协议。 ICMP木马监听ICMP报文，当出现特殊报文时，它打开TCP端口等待控制端的连接。 这种木马在没有激活时是没有端口开放的。更好的ICMP木马严格使用ICMP协议进行数据和控制命令的传递。 ;木马一定要直接与其控制者通信吗？ 通过中间方交换信息 电子邮件 网盘 网页 ;四、木马监控技术;监控技术;(1)　获取目标机器信息;(2)记录用户事件;(3)　远程操作;内容提纲;冰河;冰河客户端界面 ;冰河的主要功能;冰河的使用—连接服务器;冰河的使用—连接成功后的信息;冰河的使用—搜索服务器;搜索服务器;搜索到9;冰河的使用(续);文件管理器;文件管理器—下载文件;冰河的使用(续);冰河的命令控制台 ;获得系统信息和口令;捕获对方屏幕;向对方发送信息;管理对方的进程;;;甚至可以对桌面等其它信息设置;冰河的使用(总结);内容提纲;木马的防范;木马的防范;木马的防范;;作业