留后门的艺术.pptVIP

*终端服务第二种：使用WinXP自带的终端服务连接器：mstsc.exe。只要输入对方的IP就可以。*Web方式连接第三种：使用Web方式连接。该工具包含几个文件，需要将这些文件配置到IIS的站点中去。*配置Web站点将这些文件拷贝到本地IIS默认Web站点的根目录*在浏览器中连接终端服务在浏览器中输入：http://localhost输入对方的IP并选择连接窗口的分辨率，可登录*例6安装并启动终端服务假设对方不仅没有开启终端服务，而且没有安装终端服务所需要的软件。使用工具软件djxyxs.exe，可以给对方安装并开启该服务。在该工具软件中已经包含了安装终端服务所需要的所有文件。将该文件上传并拷贝到对方服务器的Winnt\temp目录下（必须放置在该目录下，否则安装不成功！）。*执行djxyxs.exe，会自动进行解压将文件全部放置到当前的目录下；在当前目录下执行解压出来的程序azzd.exe，将自动在对方服务器上安装并启动终端服务。完成后服务器会重启，之后可用终端服务连接软件登录到对方服务器了。例6安装并启动终端服务*木马木马是一种可以驻留在对方系统中的一种程序。木马一般由两部分组成：服务器端和客户端。驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。*远程访问型木马密码发送型木马键盘记录型木马毁坏型木马FTP型木马最广泛使用的特洛伊木马可以访问受害人的硬盘，并对其进行控制使用简单，只要某用户运行一下服务端程序，并获取该用户的IP地址，就可以访问该用户的计算机可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、截取屏幕等等著名的BO（BackOffice）和国产的冰河等。木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多此类木马不会在每次Windows重启时重启，而且它们大多数使用25端口发送E--mail。木马简单，唯一做的事情就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录这种特洛伊木马随着Windows的启动而启动，知道受害者在线并且记录每一件事。唯一功能是毁坏并删除文件简单容易使用可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件打开用户计算机的21端口使每一个人都可以用一个FTP客户端程序而不用密码连接到该计算机，并且可以进行最高权限的上传下载。木马的分类*捆绑欺骗：如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人；危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；或直接将木马改名上载到FTP网站上，等待别人下载；文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹；zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标木马常用欺骗法*针对木马攻击的防范措施安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构；安装防病毒软件；提高安全意识，尽量避免使用来历不明的软件；尽量到有认证的网站下载软件；尽量不使用汉化、绿化、简化版的软件等。木马的防范措施*常见木马的使用常见的简单木马有：1、NetBus远程控制2、冰河3、PCAnyWhere远程控制“冰河”包含两个程序文件：服务器端(win32.exe)客户端(Y_Client.exe)*例7使用“冰河”进行远程控制将win32.exe在远程计算机上执行以后，通过Y_Client.exe文件来控制远程得服务器。*选择配置菜单将服务器程序种到对方主机之前需对服务器程序做一些设置：比如连接端口，连接密码等。选择菜单栏“设置”下的菜单项“配置服务器程序”。*设置“冰河”服务器配置*查看注册表点击按钮“确定”以后，就将“冰河”的服务器种到某一台主机上了。执行完win32.exe文件以后，系统没有任何反应，其实已经更改了注册表，并将服务器端程序和文本文件进行了关联，当用户双击一个扩展名为txt的文件的时候，就会自动执行冰河服务器端程序。没有中冰河时，该注册表项应该是使用notepad.exe文件来打开txt文件，中冰河后是用SYSEXPLR.EXE来打开txt文件，其实它就是“冰河”的服务器端程序！*使用冰河客户端添加主机目标主机中了冰