木马攻击与防御技术.ppt

*网络入侵与防范讲义*(2).处理遗留问题检测和清除了特洛伊木马之后，另一个重要的问题浮现了：远程攻击者是否已经窃取了某些敏感信息？危害程度多大？要给出确切的答案很困难，但你可以通过下列问题确定危害程度。第158页,共179页，星期六，2024年，5月*网络入侵与防范讲义*处理遗留问题(2)首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可供参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。第159页,共179页，星期六，2024年，5月*网络入侵与防范讲义*处理遗留问题(3)其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？第160页,共179页，星期六，2024年，5月*网络入侵与防范讲义*处理遗留问题(4)在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合，最好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或网络安全的负责人，彻底检测整个网络，修改所有密码，在此基础上再执行后继风险分析。对于被入侵的机器，重新进行彻底的格式化和安装。第161页,共179页，星期六，2024年，5月*网络入侵与防范讲义*9.4.3木马的防范虽然木马程序隐蔽性强，种类多，攻击者也设法采用各种隐藏技术来增加被用户检测到的难度，但由于木马实质上是一个程序，必须运行后才能工作，所以会在计算机的文件系统、系统进程表、注册表、系统文件和日志等中留下蛛丝马迹，用户可以通过“查、堵、杀”等方法检测和清除木马。第162页,共179页，星期六，2024年，5月*网络入侵与防范讲义*木马的防范(2)其具体防范技术方法主要包括：检查木马程序名称、注册表、系统初始化文件和服务、系统进程和开放端口，安装防病毒软件，监视网络通信，堵住控制通路和杀掉可疑进程等。第163页,共179页，星期六，2024年，5月*网络入侵与防范讲义*木马的防范(3)以下是一些常用的防范木马程序的措施：及时修补漏洞，安装补丁运行实时监控程序培养风险意识，不使用来历不明的软件即时发现，即时清除第164页,共179页，星期六，2024年，5月及时修补漏洞，安装补丁及时安装系统及应用软件的补丁可以保持这些软件处于最新状态，同时也修复了最新发现的漏洞。通过漏洞修复，最大限度地降低了利用系统漏洞植入木马的可能性。第165页,共179页，星期六，2024年，5月*网络入侵与防范讲义*捕获对方屏幕第126页,共179页，星期六，2024年，5月*网络入侵与防范讲义*向对方发送信息第127页,共179页，星期六，2024年，5月*网络入侵与防范讲义*管理对方的进程第128页,共179页，星期六，2024年，5月*网络入侵与防范讲义*控制对方系统第129页,共179页，星期六，2024年，5月*网络入侵与防范讲义*注册表管理第130页,共179页，星期六，2024年，5月*网络入侵与防范讲义*甚至可以对桌面等其它信息设置第131页,共179页，星期六，2024年，5月*网络入侵与防范讲义*冰河的使用(总结)可以看出，冰河的功能非常强大。几乎可以对入侵的计算机进行完全的控制。可以看出，冰河可以当作一个远程管理工具使用。第132页,共179页，星期六，2024年，5月*网络入侵与防范讲义*9.4木马的防御技术9.4.1木马的检测9.4.2木马的清除与善后9.4.3木马的防范第133页,共179页，星期六，2024年，5月*网络入侵与防范讲义*9.4.1木马的检测根据木马工作的原理，木马的检测一般有以下一些方法:端口扫描和连接检查检查系统进程检查ini文件、注册表和服务监视网络通讯第134页,共179页，星期六，2024年，5月*网络入侵与防范讲义*端口扫描扫描端口是检测木马的常用方法。大部分的木马服务端会在系统中监听某个端口，因此，通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。操作系统本身就提供了查看端口状态的功能，在命令行下键入“netstat-a