计算机网络安全导论55-7章教程文件.ppt

服务端程序图标伪装 配置好以后的服务端程序，虽为WORD DOC图标但实际上是EXE程序文件 运行服务端程序后，任务管理器里看不到任何灰鸽子的异常进程 电脑根本没有打开IE浏览器，但在冰刃下红色显示隐藏的IE进程 Windows自带的服务管理器里也查不到任何灰鸽子的服务 但灰鸽子的服务在冰刃下以红色显示，原形毕露。上面一个为系统正常进程，下面一个为灰鸽子的隐藏进程 即使设置了显示隐藏文件和系统文件，但在资源管理器下根本看不到灰鸽子的相关隐藏文件 系统文件夹下灰鸽子伪装过的隐藏文件在冰刃下原形毕露。灰鸽子文件是在自己伪装文件名的基础上加_hook等，可据此查找并删除。 灰鸽子客户端，即控制端界面 瑞星防火墙也能检查试图访问网络的DLL文件 瑞星防火墙可对DLL文件试图访问网络时进行检查并给出警告提示，但默认未启用此功能 瑞星防火墙检测到可信任的应用程序试图访问网络时自动放行，并将其添加至允许访问网络的程序列表中 自动放行的网络应用程序被添加至允许访问网络的程序列表中，下次该应用程序试图访问网络时不再提示 当瑞星防火墙检测到无法自动验证的的应用程序试图访问网络时给出警告提示，由用户自己决定是否放行并加入允许访问网络的程序列表中 当瑞星防火墙检测到DLL文件试图访问网络时也给出警告提示，由用户自己决定是否放行并将其加入到允许访问网络的模块列表中 4. 查服务 所谓服务，指的是在系统启动过程中随着系统启动而自动加载到内存并运行的程序，而且在登录系统、出现桌面前即已加载运行。 查看系统当前已安装尤其是已启动的服务哪些是正常的，哪些是可疑的，哪些是非法服务。 了解、熟悉自己电脑中的服务，逐步积累、熟悉各种服务。 假服务伪装方法： 冒充系统或者正常服务。 隐藏服务，如灰鸽子。 服务检查方法： 查看系统系统当前安装的服务。 重点查看系统当前已经启动的服务。 查看服务名称、描述、状态、启动类型。 更要通过查看服务对应的EXE文件及其路径查看服务是否有伪装。 用冰刃等显示、查看隐藏的服务。 查看服务工具 系统自带的工具 DOS命令：MSCONFIG 我的电脑-右键管理-服务和应用程序-服务 进程浏览器ProcessExplorer。 360安全卫士等辅助安全工具。 减少、禁用无关服务将加快系统启动速度，提高安全性。 开始/运行/MSCONFIG，切换到服务标签 显示的非微软的其它服务数量大大减少，可减少服务检查的工作量 隐藏所有微软的系统服务，只显示非微软的其它服务 开始/运行/SERVICES.MSC,可查看服务相关情况，如名称、描述、状态和启动类型等 360等杀毒软件以服务方式启动，启动时机较早，使其较早具有实时监控能力 远控软件Remote Admnistrator服务端程序对应的服务 虽然可以修改、伪装服务名称、显示名称和描述等，但可以通过其对应的可执行文件名称和路径来检查其真伪 远控软件R2PC服务端对应的服务 对确认为可疑和非法的服务，可将其禁用 最好用windows自带的SC命令将该服务删除。 该命令也可修改服务名称、显示名称、描述等用于伪装服务 5. 查启动项 病毒、木马程序要进入系统，必须随着系统的启动而自动加载到内存并运行。 查看系统当前的自启动项哪些是正常的，哪些是可疑的，哪些是非法的。 了解、熟悉自己电脑中的服自启动项，逐步积累、熟悉各种自启动项。 除了以服务方式自动加载外，其它形式自启动项的查看方法和工具： 系统自带的工具 开始—程序—启动 DOS命令：MSCONFIG 查看注册表中的自启动项：REGEDIT，即HLM\software\Microsoft\windows\CurrentVersion\Run 360安全卫士等安全辅助工具 专门的启动项查看工具软件，如AutoRuns 减少自启动项将加快系统启动速度，不建议将一般软件随系统启动而自动加载，可以禁用其自动加载功能。 最简单明显的自启动项，不需要的可直接删除 MSCONFIG打开系统配置实用程序 注册表启动项 AUTORUNS，显示启动项目最全，但检查起来也最困难 例1：取消暴风影音自启动，可以加快系统启动速度。其它软件也有类似设置 例2：禁止快车FashGet的自启动 或者在“选项”中禁止 例1：网灵一号远控服务端之进程，文件名有伪装 进程文件在磁盘的位置和路径，文件夹伪装成“Real Live Update” 网灵一号的三个进程分别打开了TCP端口3476、5900和22。 服务：名称和描述有伪装 查看服务详细信息根据文件名和路径使其原形毕露 启动项 三个远控软件服务端程序在屏幕底部托盘位置显示的图标 RA和R2PC两个图标均可设置为隐藏不显示，隐蔽性强 网灵一号不可隐藏图标易暴露 例2，灰鸽子和冰刃服务端配置：文件名伪装 服务伪装 插入IE