智慧政务网络恶意代码攻击检测报告
X区智慧政务网络恶意代码攻击检测报告
目录
1概述 (2)
2检测结果汇总 (3)
3感染威胁详情 (4)
3.1木马感染情况 (4)
3.1.1木马主要危害 (4)
3.1.2木马感染详情 (4)
3.1.3木马描述及解决方案 (6)
3.2僵尸网络感染情况 (8)
3.2.1僵尸网络主要危害 (8)
3.2.2僵尸网络感染详情 (9)
3.2.3僵尸程序描述及解决方案 (10)
1 概述
当前木马和僵尸网络攻击已经成为互联网安全安的主要威胁,由于其涉及很多经济、政治等因素,致使这些恶意威胁发展变化非常迅速,传统的安全防御手段难以及时检测、定位、清除这类恶意威胁。上海市X区非常重视内部网X全,采用多种安全防范设备或措施提升整体信息安全水平,为检测内部木马等恶意攻击行为威胁,在网络中部署了一套僵尸木马网络攻击行为预警系统。
上海X信息安全技术有限公司是一家专门从事网络恶意攻击行为研究的高新企业,在恶意代码检测领域正在开展专业的探索和研究。目前在上海市X区智慧政务网络中部署有一台网络恶意代码攻击检测系统,通过旁路镜像的方式接入上海市X区智慧政务网络中,当前系统旁路挂载在机房外网交换机上,流量在300 Mb/s。当前部署的网络恶意代码攻击检测系统能够7*24监测网络中的流量并记录X区智慧政务网络内的业务服务器所感染的网站后门、木马或僵尸网络等恶意代码的情况。
2 检测结果汇总
自2013年7月8日到2013年8月8日,这一段时间内,共检测到僵尸程序攻击9352次,木马攻击3666次,网站后门攻击174次。
目前X 区智慧政务网络威胁以僵尸网络程序攻击、木马攻击为主,并且检测到9352次僵尸网络攻击行为,需要尽快对这些木马、僵尸程序进行处理,以防止机密数据失窃密。如下为所有内网络内部攻击行为分布图,通过图可以直观看出,僵尸程序、木马攻击行最为严重。
政务网络恶意代码攻击趋势图
1000
2000300040005000600070008000900010000僵尸程序攻击
木马攻击
网站后门攻击
9352
3666
174
3 感染威胁详情
3.1 木马感染情况
3.1.1 木马主要危害
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外还有很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息。
(5)视频监控:控制端可以监控被控端的桌面,对远程的桌面进行截图及录像,记录远程所有操作,也可以远程开启被控端的摄像头,对被控端操作人员进行监控。
(6)机密信息窃取:控制端可以操作被控终端的系统文件,检索查询电脑中所有数据,并且可以窃取其中的机密信息,或黑客感兴趣的数据。
3.1.2 木马感染详情
当前网络中检测到木马感染主机数324台,其中Unknown Dropper (2)感染主机数最多,共检测到感染主机数58台。
当前网络中Unknown Dropper (2)控制主机数最多,连接次数很高,建议尽快对该木马进行处理。
3.1.3 木马描述及解决方案
木马描述:
1. Unknown Dropper (2):该木马的主要危害为恶意控制用户电脑、破坏用户操作系统、窃取用户重要敏感文件数据以及将被控用户作为跳板恶意攻击其他主机。
2. 上兴远程控制系列变种:上兴远程控制是国内传播极为广泛的黑客工具之一,可对受害主机进行文件传输、屏幕监控、摄像头监控等恶意操作,危害极大。
3. 波尔远控系列:波尔远控类木马是国内常见的远程控制木马。该木马能对用户资料、密码、文件等进行窃取,有较大危害。
4. Bifrost 系列变种:Bifrost 是国外黑客编写的木马,其国内版本有时被称为彩虹桥,木马程序体积较小,功能主要有文件管理传输、进程服务管理。对受害者主要攻击手段为文件窃取和密码收集
5. TeamViewer 系列:teamviewer 是德国GmbH 公司开发的远程桌面和文件共
10203040506058
56
54
44
23
21
21
18
15
14
木马主机感染详情
享软件,但经过黑客破解和修改后可用于非法用途。
6.涛涛远程系列: 涛涛远程最小版是国内黑客论坛涛涛论坛发布的木马软
件,目前传播范围并不大。但具有完整的木马功能,能对用户信息资料安全带来严重风险。
7.Pandex detected:该木马的主要危害为恶意控制用户电脑、破坏用户操作
系统、窃取用户重要敏感文件数据以及将被控用户作为跳板恶意攻击其他主机。
8.上兴远程控制系列: 上兴远程控制是国内传播极为广泛的黑客工具之一,
可对受害主机进行文件传输、屏幕监控、摄像头监控等恶意操作,危害极大。
9.Trojan.Win32.Generic:该木马的主要危害为恶意控制用户电脑、破坏用
户操作系统、窃取用户重要敏感文件数据以及将被控用户作为跳板恶意攻击其他主机。
10.Dropper.Win32.StartPage.cub:该木马是一种脚本木马,其主要危害为下
载恶意程序,破坏用户操作系统、窃取用户重要敏感文件数据以及将被控用户作为跳板恶意攻击其他主机。
解决方案:
直接处理措施:
建议使用防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端口。请更新杀毒软件特征库并进行全盘扫描。
第二处理措施:
建议重新安装或选择其它杀毒软件,安装时请使用正版安装源和升级包。建议使用系统还原功能或GHOST等还原软件将操作系统恢复至备份状态,并安装最新安全补丁。第三处理措施:
建议备份所有资料后,重新安装操作系统并进行升级。或者登录综合服务平台获取专杀工具或需求技术支持。
预防措施:
请开启操作系统和杀毒软件自动更新,并定期进行全盘扫描。请使用正版安装源安
装应用软件。使用U盘等移动存储介质和浏览邮件附件前先使用杀毒软件进行扫描。建议对定期使用GHOST或其他软件对系统进行备份。
3.2 僵尸网络感染情况
僵尸网络(Botnet)构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用僵尸网络发动的攻击行为。随着将来出现各种新的攻击类型,僵尸网络还可能被用来发起新的未知攻击。
3.2.1 僵尸网络主要危害
(1)拒绝服务攻击
使用僵尸网络发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于僵尸网络可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。
(2)发送垃圾邮件
一些僵尸网络会设立sockv4、v5 代理,这样就可以利用僵尸网络发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息。
(3)窃取秘密
僵尸网络的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时僵尸网络程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
(4)滥用资源
攻击者利用僵尸网络从事各种需要耗费网络资源的活动,从而使用户的网络性能
受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出,僵尸网络无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少僵尸网络的危害。
3.2.2 僵尸网络感染详情
当前网络中检测到僵尸程序感染主机数637台,其中DROP Spamhaus DROP Listed Traffic Inbound系列感染主机数最多,共检测到感染主机数310台。各类僵尸程序感染分布如下:
恶意代码主机感染分布图
3.2.3 僵尸程序描述及解决方案
僵尸类型描述:
? DROP Spamhaus DROP Listed Traffic Inbound
? DROP Known bot C&C Server Traffic TCP
50100150200250300350310
226
86
7
5
2
1
?Exploit kit attack activity likely hostile
?Conficker.Kernelbot.MS08-067
?
Unknow BOT
?Worm.Win32.Vobfus.gen!D-0
?IM-Worm.Win32.Yahos.lm
解决方案:
直接处理措施:
建议使用防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端口。请更新杀毒软件特征库并进行全盘扫描。
第二处理措施:
建议重新安装或选择其它杀毒软件,安装时请使用正版安装源和升级包。建议使用系统还原功能或GHOST等还原软件将操作系统恢复至备份状态,并安装最新安全补丁。
第三处理措施:
建议备份所有资料后,重新安装操作系统并进行升级。或者登录综合服务平台获取专杀工具或需求技术支持。
预防措施:
请开启操作系统和杀毒软件自动更新,并定期进行全盘扫描。请使用正版安装源安装应用软件。使用U盘等移动存储介质和浏览邮件附件前先使用杀毒软件进行扫描。建议对定期使用GHOST或其他软件对系统进行备份。
网络攻防实验报告
实验报告模板
【实验目的】(简要描述实验目的) 采用免杀、混淆等技术的恶意代码有可能突破安全软件的防护而运行在目标主机中。即使用户感受到系统出现异常,但是仅仅通过杀毒软件等也无法检测与根除恶意代码,此时需要用户凭借其它系统工具和对操作系统的了解对恶意代码手工查杀。本实验假设在已经确定木马进程的前提下,要求学生借助进程检测和注册表检测等系统工具,终止木马进程运行,消除木马程序造成的影响,从而实现手工查杀恶意代码的过程。 【实验结果及分析】(需要有结果截图) 一、恶意代码手工查杀实验 1、虚拟机快照 为防止虚拟机破坏后无法恢复,应先将干净的虚拟机进行快照设置。点击菜单“虚拟机”“快照”“拍摄快照”,创建一个干净的虚拟机快照。 2.创建被感染的系统环境 由于恶意代码采用了免杀技术,因此能够成功绕过防病毒等安全软件检测,等用户感到系统异常时,通常恶意代码已经在主机系统内加载运行。为了尽量模拟一个逼真的用户环境,我们在搭建好的虚拟机中运行木马宿主程序 “radar0.exe”。运行完后,可以看见,“radar0.exe”自动删除。
3.木马进程的定位 用户对系统的熟悉程度决定了发现系统异常继而查找恶意代码的早晚。在本例中,明显可以感受到系统运行速度变慢,打开任务管理器,可以观察到有一个“陌生”的进程(非系统进程或安装软件进程)“wdfmgr.exe”占用CPU比率很高。 为了确定该进程为木马进程,可以通过查找该进程的静态属性如创建时间、
开发公司、大小等,以及通过对该进程强制终止是否重启等现象综合判断。在本例中,“Wdfmgr.exe”为木马radar.exe运行后新派生的木马进程。 4.记录程序行为 打开工具“ProcMon.exe”,为其新增过滤规则“Process Name”“is”“wdfmgr.exe”,然后开始监控。点击“Add”将过滤规则加入,可以看到ProcMon开始监控“wdfmgr.exe”进程的行为。需要注意的是,有时为了保证观察到的行为完备性,会先启动ProcMon工具,然后再启动被监控进程。 为了分别观察该进程对文件系统和注册表的操作,点击菜单 “Tools”“File Summary”,观察对文件系统的修改。
恶意代码防范管理制度v1.0演示教学
恶意代码防范管理制 度v1.0
恶意代码防范管理制度 厦门安达出行科技有限公司 V1.0
版本变更记录
1 目的 为了加强公司信息安全保障能力,规范公司恶意代码防范的安全管理,加强对公司设备恶意代码的防护,特制订本制度。 2 适用范围 本制度适用于公司防病毒和防恶意代码管理工作。 3 职责 由信息中心负责公司恶意代码防范的日常管理工作。 各计算机系统使用人负责本机防病毒工作。 4 恶意代码防范日常管理 4.1 恶意代码防范检查 4.1.1 信息中心负责定期对公司防恶意代码工作进行监督检查。4.1.2 公司接入网络的计算机,必须统一安装联网杀毒软件。杀毒软件安装完毕应进行正确的配置,开启实时防护功能,开启自动升级软件和病毒库的功能。 4.1.3 不能联网的计算机应由安全管理员负责安装杀毒软件,并定期对病毒库进行升级。 4.2 恶意代码防范系统使用 4.2.1 信息中心定期对公司的恶意代码防范工作进行检查,由安全管理员定期进行恶意代码查杀,并填写《恶意代码检测记录表》。
4.2.2 安全管理员定期检查信息系统内各种产品恶意代码库的升级情况并填写《恶意代码防范软件升级记录表》,对恶意代码防范产品截获的恶意代码及时进行分析处理,并形成书面的分析报告。4.2.3 信息中心定期对恶意代码防范产品进行测试,保证恶意代码防范产品的有效性。 4.2.4 终端用户要学会杀毒软件的安装和使用,不能自行停用或卸载杀毒软件,不能随意修改杀毒软件的配置信息,并及时安装系统升级补丁。 4.2.5 公司员工从网上下载文件和接收文件时,应确保杀毒软件的实时防护功能已开启。 4.2.6 公司员工在使用计算机读取移动存储设备时,应先进行恶意代码检查。 4.2.7 因业务需要使用外来计算机或存储设备时,需先进行恶意代码检查。移动存储设备需接入杀毒专用计算机进行恶意代码检测,确定设备无毒后才能接入公司网络。 4.2.8 公司员工应提高恶意代码防范意识,应从正规渠道下载和安装软件,不下载和运行来历不明的程序。收到来历不明的邮件时,不要随意打开邮件中的链接或附件。 4.2.9 部门新增计算机在安装恶意代码防范软件时,需经过信息中心的授权后才能安装和使用。 4.2.10 各部门安装的外购软件和自行开发的软件都必须由信息中心测试其安全性,经确认后方可安装。 4.3 恶意代码防范培训 4.3.1 信息中心定期组织各部门进行恶意代码防范工作培训,提高公司员工的恶意代码防范意识和安全技能。
恶意代码技术和检测方法
恶意代码及其检测技术 1.恶意代码概述 1.1定义 恶意代码也可以称为Malware,目前已经有许多定义。例如Ed Skoudis将Malware定义为运行在计算机上,使系统按照攻击者的意愿执行任务的一组指令。微软“计算机病毒防护指南”中奖术语“恶意软件”用作一个集合名词,指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。随着网络和计算机技术的快速发展,恶意代码的传播速度也已超出人们想象,特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。很多编程爱好者把自己编写的恶意代码放在网上公开讨论,发布自己的研究成果,直接推动了恶意代码编写技术发展。所以目前网络上流行的恶意代码及其变种层出不穷,攻击特点多样化。 1.2类型 按照恶意代码的运行特点,可以将其分为两类:需要宿主的程序和独立运行的程序。前者实际上是程序片段,他们不能脱离某些特定的应用程序或系统环境而独立存在;而独立程序是完整的程序,操作系统能够调度和运行他们;按照恶意代码的传播特点,还可以把恶意程序分成不能自我复制和能够自我复制的两类。不能自我复制的是程序片段,当调用主程序完成特定功能时,就会激活它们;能够自我复制的可能是程序片段(如病毒),也可能是一个独立的程序(如蠕虫)。
2.分析与检测的方法 恶意代码与其检测是一个猫捉老鼠的游戏,单从检测的角度来说。反恶意代码的脚步总是落后于恶意代码的发展,是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测,基于网络的检测方法主要有基于神经网络”、基于模糊识别“等方法,本文主要讨论基于主机的检测。 2.1 恶意代码分析方法 2.1.1 静态分析方法 是指在不执行二进制程序的条件下进行分析,如反汇编分析,源代码分析,二进制统计分析,反编译等,属于逆向工程分析方法。 (1)静态反汇编分析,是指分析人员借助调试器来对而已代码样本进行反汇编出来的程序清单上根据汇编指令码和提示信息着手分析。 (2)静态源代码分析,在拥有二进制程序的源代码的前提下,通过分析源代码来理解程序的功能、流程、逻辑判定以及程序的企图等。 (3)反编译分析,是指经过优化的机器代码恢复到源代码形式,再对源代码进行程序执行流程的分析。 2.1.2 动态分析方法 是指恶意代码执行的情况下利用程序调试工具对恶意代码实施跟踪和观察,确定恶意代码的工作过程对静态分析结果进行验证。
智慧政务网络恶意代码攻击检测报告
X区智慧政务网络恶意代码攻击检测报告
目录 1概述 (2) 2检测结果汇总 (3) 3感染威胁详情 (4) 3.1木马感染情况 (4) 3.1.1木马主要危害 (4) 3.1.2木马感染详情 (4) 3.1.3木马描述及解决方案 (6) 3.2僵尸网络感染情况 (8) 3.2.1僵尸网络主要危害 (8) 3.2.2僵尸网络感染详情 (9) 3.2.3僵尸程序描述及解决方案 (10)
1 概述 当前木马和僵尸网络攻击已经成为互联网安全安的主要威胁,由于其涉及很多经济、政治等因素,致使这些恶意威胁发展变化非常迅速,传统的安全防御手段难以及时检测、定位、清除这类恶意威胁。上海市X区非常重视内部网X全,采用多种安全防范设备或措施提升整体信息安全水平,为检测内部木马等恶意攻击行为威胁,在网络中部署了一套僵尸木马网络攻击行为预警系统。 上海X信息安全技术有限公司是一家专门从事网络恶意攻击行为研究的高新企业,在恶意代码检测领域正在开展专业的探索和研究。目前在上海市X区智慧政务网络中部署有一台网络恶意代码攻击检测系统,通过旁路镜像的方式接入上海市X区智慧政务网络中,当前系统旁路挂载在机房外网交换机上,流量在300 Mb/s。当前部署的网络恶意代码攻击检测系统能够7*24监测网络中的流量并记录X区智慧政务网络内的业务服务器所感染的网站后门、木马或僵尸网络等恶意代码的情况。
2 检测结果汇总 自2013年7月8日到2013年8月8日,这一段时间内,共检测到僵尸程序攻击9352次,木马攻击3666次,网站后门攻击174次。 目前X 区智慧政务网络威胁以僵尸网络程序攻击、木马攻击为主,并且检测到9352次僵尸网络攻击行为,需要尽快对这些木马、僵尸程序进行处理,以防止机密数据失窃密。如下为所有内网络内部攻击行为分布图,通过图可以直观看出,僵尸程序、木马攻击行最为严重。 政务网络恶意代码攻击趋势图 1000 2000300040005000600070008000900010000僵尸程序攻击 木马攻击 网站后门攻击 9352 3666 174
网络防御实验报告
网络防御实验报告 学院计算机学院 专业网络工程 班级1班 姓名刘小芳 学号41009040127 - 2013年12月30日
一.实验题目 网络防御实验 二.实验环境 PC 机一台; 操作系统:win7 物理地址:EO-E9-A5-81-A5-1D IP地址:192.168.1.102 三.实验目的 掌握有关网络防御的基本原理和方法; 四.常见网络防御方法 10.1物理层 10.2网络层 路由交换策略 VLAN划分 防火墙、隔离网闸 入侵检测 抗拒绝服务 传输加密 10.3系统层 漏洞扫描 系统安全加固 10.4应用层 防病毒 安全功能增强 10.5管理层 独立的管理队伍 统一的管理策略 五、实验方法概述 前面设计了网络攻击实验,现在在前面的基础上完成网络攻击的防御,主要模仿现在常用的网络防御手段,如防火墙等。 六.概述: 1.恶意代码及黑客攻击手段的三大特点: 传播速度惊人:“大型推土机”技术(Mass rooter),是新一代规模性恶意代码具备的显著功能。 这些恶意代码不仅能实现自我复制,还能自动攻击内外网上的其它主机,并以受害者为攻击源继续攻击其它网络和主机。 以这些代码设计的多线程和繁殖速度,一个新蠕虫在一夜之间就可以传播到互联网的各个角落。
2.受害面惊人:许多国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化程度逐年提高,这些领域的用户单位的计算机网络,直接或间接地与Internet有所联系。 各种病毒、蠕虫等恶意代码,和各种黑客攻击,通过Internet为主线,对全球各行业的计算机网络用户都造成了严重的影响。 3穿透深度:蠕虫和黑客越来越不满足于攻击在线的网站,各种致力于突破各种边界防线的攻击方式层出不穷。 一个新的攻击手段,第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机; 第二批受害对象是与Internet联网的,经常收发邮件的个人用户; 第三批受害对象是OA网或其它二线内网的工作站; 终极的受害对象可能会波及到生产网络和关键资产主机。 4.网络攻击的动机 偷取国家机密 商业竞争行为 内部员工对单位的不满 对企业核心机密的企望 网络接入帐号、信用卡号等金钱利益的诱惑 利用攻击网络站点而出名 对网络安全技术的挑战 对网络的好奇心 5.攻击的过程 预攻击攻击后攻击
三级等保,安全管理制度,信息安全管理策略
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部
目录 第一章总则 (1) 第二章信息安全方针 (1) 第三章信息安全策略 (2) 第四章附则 (13)
第一章总则 第一条为规范XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012),并结合XXXXX实际情况,特制定本策略。 第二条本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX的信息安全方针为:安全第一、综合防范、预防为主、持续改进。 (一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;
网络安全防护检查报告模板
编号: 网络安全防护检查报告 数据中心 测评单位: 报告日期:
目录 第1章系统概况 ......................................................................... 错误!未定义书签。 网络结构 ............................................................................. 错误!未定义书签。 管理制度 ............................................................................. 错误!未定义书签。第2章评测方法和工具 ............................................................. 错误!未定义书签。 测试方式 ............................................................................. 错误!未定义书签。 测试工具 ............................................................................. 错误!未定义书签。 评分方法 ............................................................................. 错误!未定义书签。 符合性评测评分方法 ................................................. 错误!未定义书签。 风险评估评分方法 ..................................................... 错误!未定义书签。第3章测试内容 ......................................................................... 错误!未定义书签。 测试内容概述 ..................................................................... 错误!未定义书签。 扫描和渗透测试接入点 ..................................................... 错误!未定义书签。 通信网络安全管理审核 ..................................................... 错误!未定义书签。第4章符合性评测结果 ............................................................. 错误!未定义书签。 业务安全 ............................................................................. 错误!未定义书签。 网络安全 ............................................................................. 错误!未定义书签。 主机安全 ............................................................................. 错误!未定义书签。 中间件安全 ......................................................................... 错误!未定义书签。 安全域边界安全 ................................................................. 错误!未定义书签。 集中运维安全管控系统安全 ............................................. 错误!未定义书签。 灾难备份及恢复 ................................................................. 错误!未定义书签。 管理安全 ............................................................................. 错误!未定义书签。 第三方服务安全 ................................................................. 错误!未定义书签。第5章风险评估结果 ................................................................. 错误!未定义书签。 存在的安全隐患 ................................................................. 错误!未定义书签。
实验1-木马病毒攻防
南昌航空大学实验报告 二〇一三年十一月八日 课程名称:信息安全实验名称:实验1木马攻击与防范 班级:xxx 姓名:xxx 同组人: 指导教师评定:签名: 一、实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1.木马的特性 木马程序为了实现其特殊功能,一般应该具有以下性质: (1)伪装性(2)隐藏性(3)破坏性(4)窃密性 2.木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,攻击者可以利用浏览器的漏洞诱导上网者单击网页,这样浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,获得控制权限,然后在被攻击的服务器上安装并运行木马。3.木马的种类 (1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒;第2代木马是网络传播型木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。 (2)按照功能分类,木马又可以分为:破坏型木马;密码发送型木马;服务型木马;DOS 攻击型木马;代理型木马;远程控制型木马。 4.木马的工作原理 下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。 (1)木马的传统连接技术;C/S木马原理如图1-1所示。第1代和第2代木马都采用的是C/S连接方式,这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。 (2)木马的反弹端口技术;随着防火墙技术的发展,它可以有效拦截采用传统连接方式。但防火墙对内部发起的连接请求则认为是正常连接,第3代和第4代“反弹式”木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式连接到木马的客户端,如图1-2和图1-3所示。
计算机病毒实验报告
计算机病毒实验报告 ——windows病毒实验 姓名:张艳秋 学号:081300607 班级:信安0802 指导老师:韦俊银 实验日期:2011.5.27
实验内容 1.PE文件感染实验(选) 2.暴风一号病毒 3.VBS病毒产生 4.宏病毒实验(选)
PE文件感染实验 实验目的 了解pe病毒的感染过程 实验环境 硬件设备 PC机一台(建议虚拟机) 软件工具 Office Word 2007 实验步骤 一:参照病毒感染PE文件的7个步骤,记录病毒是如何感染文件(文字和截屏形式) 病毒感染文件过程(以感染文件ebookcode.exe为例): 重定位,获得所有API地址: …… 通过软件Stud_PE可查看可执行文件ebookcode.exe的结构可查看文件内容: 1.判断目标文件开始的两个字节是否为“MZ”:
2.判断PE文件标记“PE”: 3.判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续: 4.读取IMAGE_FILE_HEADER的NumberOfSections域,获得Data Directory (数据目录)的个数,(每个数据目录信息占8个字节): 5.得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置):
6.得到节表的末尾偏移(紧接其后用于写入一个新的病毒节信息)节表起始位置+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移 7.开始写入节表,感染文件: 二:在掌握Stud_PE工具的基础上,比较文件感染前后有哪些变化。 感染前:
感染后: 由上两图可以看出,感染前后有4处发生了变化: 1:PE文件头中入口点: 感染病毒后ebookedit.exe程序的入口点变成了病毒文件的入口点 2:PointerToRawData域值,即该文件的偏移量发生了变化; 3:imag的大小发生了变化; 4:sections的数量发生了变化。 由.exe文件感染前后变化可知,PE病毒感染过程即在文件中添加一个新节,
主机恶意代码检测系统的设计与实现要点
主机恶意代码检测系统的设计与实现 主机恶意代码检测系统是运行在主机上,检测该计算机中是否存在恶意代码的智能系统,是维护计算机安全极为重要的安全软件。随着国家、社会对计算机的依赖程度日益增长,计算机安全问题就显得日益严峻起来。传统的恶意代码检测如反病毒厂商的杀毒产品,主要是基于特征码扫描的检测技术。特征码扫描检测技术需要预先从已知的恶意代码中提取出特征字节序列存入病毒库,之后再利用匹配算法进行检测。这种方法的明显缺点在于需要预建特征库,而特征库更新显然是滞后于恶意代码的,因此它对未知恶意代码的检测能力极弱,对加壳变形后的恶意代码处理能力也十分有限。本文致力于从恶意代码的行为上去识别检测,这是由于恶意代码定义的关键点就在于其行为目的的恶意性和结果的破坏性,因此检测的要点也就是如何识别行为的恶意性。本文主要的工作和贡献可归纳为:1、对恶意代码的工作原理进行深入分析,总结了各类恶意代码使用的核心技术,研究探寻目前恶意代码反检测的主要手段,包括应用层面和内核层面恶意代码的反检测技术实现,以及BIOS固件和CPU微代码植入技术的可行性。2、针对恶意代码的行为特点,从多处入手研究采用多种方法捕获检测恶意代码行为的方法。为恶意代码信息捕获模块设计实现了如下有效的技术方法:(1)利用用户态和核心态的多种钩挂方法截取程序行为,包括新的系统调用拦截方案、驱动间通讯拦截方案等;利用痕迹扫描技术发现恶意代码留下的包括钩挂代码、隐藏数据在内的多种行为痕迹。(2)设计实现在CPU硬件支持(单步执行功能支持和最后分支记录功能支持)的辅助下,动态记录程序控制流路径的方法。(3)针对恶意代码修改破坏内存中的操作系统组件来反检测、反清除的手段,创新性的提出利用虚拟化技术在操作系统中创造一个虚拟的、干净的系统环境,使易受恶意代码破坏的系统组件在另一个环境安全工作。该方案工作效果明显。(4)为了捕获一些难以截取或常受恶意代码干扰的行为,本文分析CPU硬件虚拟化支持的原理,并提出了基于CPU硬件虚拟化支持(AMD的SVM与Intel的VMX)的行为收集方案。3、提出一种基于隐马尔可夫模型(HMM)的操作系统环境模型,利用多种手段截获收集的行为数据作为模型观测值来计算被植入rootkit的可疑值,经实验表明对rootkit类恶意代码有较好的检测效果。同时对收集到的动态控制流路径数据,提出了首先建立调用层次树,再利用计算编辑距离判断相似度的方式检测隐藏性恶意代码,实验也取得了良好的结果。4、主持设计了基于专家系统的恶意代码检测模块,与项目组同学们共同实现了原型系统,模块充分利用了恶意代码信息捕获模块的数据输出。5、利用恶意代码信息捕获模块、异常检测算法模块、基于专家系统的恶意代码检测模块以及辅助的特征码扫描模块完整实现了一套主机恶意代码检测系统。 同主题文章 [1]. 积极防御新一代主动式恶意代码' [J]. 数据通信. 2002.(04) [2]. 赵洪彪. 恶意代码的特征与发展趋势' [J]. 计算机安全. 2003.(01) [3]. 苏克
防火墙实验报告 2
计算机安全实验报告 实验题目:天网防火墙windows安全设置专业/班级:计科一班 学号:110511407 姓名:李冲 指导教师:张小庆
一天网防火墙技术 1 实验题目简述 个人防火墙是防止电脑中的信息被外部侵袭的一项技术,在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助用户的系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入电脑或向外部扩散。 这些软件都能够独立运行于整个系统中或针对个别程序、项目,所以在使用时十分方便及实用。本次试验采用天网个人防火墙SkyNet FireWall进行个人防火墙简单的配置应用。 2.实验目标和意义 实验的目标是在于熟悉个人防火墙的配置与应用,以便更加保证个人电脑的网络安全,避免恶意用户以及程序的入侵。防治安全威胁对个人计算机产生的破坏。 3.实验原理和实验设备 3.1 实验原理 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,
基于网络连接的安全问题也日益突出,因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 例如,防火墙可以限制 TCP、UDP协议及TCP协议允许访问端口范围,当不符合条件时,程序将询问用户或禁止操作,这样可以防止恶意程序或木马向外发送、泄露主机信息。并且可以通过配置防火墙IP规则,监视和拦截恶意信息。与此通知,还可以利用IP规则封杀指定 TCP/UDP端口,有效地防御入侵,如139漏洞、震荡波等。 3.1 实验设备 Window 7 天网个人防火墙2010版 4.实验步骤 4.1 实验步骤 第一步:局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源。设置如图3-1.
恶意代码防范管理规定
恶意代码防范管理规定 Ting Bao was revised on January 6, 20021
信息系统恶意代码防范管理制度南阳晶科光伏发电有限公司信息中心
总则 第一条为加强对计算机恶意代码等有害程序(以下简称计算机病毒)的预防和治理,保护信息系统安全和正常运行,根据《中华人民共和国计算机病毒防治管理办法》等规定,特制定本办法。 第二条本办法所称的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能、窃取或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 第三条本办法适用于全单位。 组织管理及策略方针 第四条防病毒指导方针:构建预防为主、防杀结合的计算机病毒长效管理与应急处理机制,全面落实“早发现、早报告、早隔离、早防杀”的防病毒工作原则,提高快速反应和应急处理能力,将防治工作纳入科学化和规范化的轨道,保障信息系统的安全性和稳定性。 第五条信息中心负责在范围内建立多层次的病毒防护体系,负责总体防病毒策略的制定与下发,组织计算机病毒防治工作的检查。 第六条病毒防治的具体工作由安全专管员兼任。 第七条信息中心对防病毒的月度运行情况实行通告机制。 第八条信息中心负责建立重大病毒的预警公告机制和突发病毒事件应急响应机制,在重大病毒爆发时,负责组织和协调相关部门根据应急方案制定应对措施,并跟踪有关反馈信息和处理结果。
第九条信息中心负责组织对防病毒系统的教育和培训。 防病毒服务器管理 第十条信息中心建立防病毒服务器管理体系。 第十一条防病毒控制中心服务器是整体病毒防护体系的核心。上联互联网下载最新的病毒库,下发病毒库及防毒规则,负责联网计算机的病毒码及防毒策略的分发,每天至少查杀一次。 第十二条安全专管员负责防病毒服务器的升级及病毒码的更新。 第十三条不得在防病毒服务器上安装与防病毒无关的软件,不得无故停止与防病毒相关的服务。 第十四条应定期检查防病毒服务器的防毒策略,并定期备份。 计算机终端防病毒管理 第十五条任何联入网络的计算机必须安装统一提供的防病毒客户端软件。不得私自关闭防病毒软件的实时防护功能,不得私自卸载防病毒软件客户端。计算机操作系统重装后,必须安装防病毒客户端软件。 第十六条计算机终端每周至少升级一次防病毒代码或系统。 第十七条定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面
网络安全 实验报告
首都经济贸易大学信息学院实验报告 实验课程名称网络安全技术 首都经济贸易大学信息学院计算机系制
实验报告 学号:实验地点:3机房 姓名:实验时间: 一、实验室名称:网络安全实验 二、实验项目名称:冰河木马攻击 三、实验原理: 原理:特洛伊木马(简称木马),是一种基于远程控制的黑客工具,具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能相似。但木马有一些明显的特点,例如,它的安装和操作都是在隐蔽之中完成。攻击者经常将木马隐蔽在一些游戏或小软件中,诱使粗心的用户在自己的机器上运行。最常见的情况是,用户从不正规的网站下载和运行了带恶意代码的软件,或者不小心点击了带恶意代码的邮件附件。 大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上,只要用户运行被绑定的合法软件,木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,木马的服务器部分是可以定制的,攻击者可以定制的项目一般包括服务器运行的IP端口号,程序启动时机、如何发出调用、如何隐身、是否加密。另外,攻击者还可以设置登录服务器的密码,确定通信方式。木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。 木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样用户即使发现感染了木马,也很验证找到并清除它。木马的危害越来越大,保障安全的最好办法就是熟悉木马的类型、工作原理,掌握如何检测和预防这些代码。常见的木马,例如冰河、Netbus、网络神偷等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置木马监听的端口、运行方式,以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其他攻击者开发附加的功能。冰河在国内一直是不可动摇的领军木马,有人说在国内没有用过冰河的人等于没用过木马。冰河木马的目的是远程访问、控制。该软件主要用于远程监牢,具体功能包括: (1)自动跟踪目标机屏幕变化,同时完全模拟键盘及鼠标输入,即在同步变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。 (2)记录各种口令信息。包括开机口令、屏保口令、各种虚伪补齐诼绝大多数在对话框中出现过的口令信息,且1.2以上的版本中允许用户对该功能自行扩充,2.0以上的版本还同时提供了击键记录功能。 (3)获取系统信息。包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当
恶意代码防范管理制度-等保管理制度
XXX 网络信息中心 恶意代码防范管理制度
目录 第一章总则 (4) 第二章人员和职责 (4) 第三章防恶意代码的集中管理 (4) 第四章恶意代码的分析与汇报 (5) 第五章发现恶意代码后的处理流程 (5) 第六章检查表 (6) 第七章相关记录 (6) 第八章附则 (6) 附录一恶意代码处理流程图 (7) 附录二恶意代码处理表 (7)
第一章总则 第一条为了规范XXX网络信息中心日常工作中对信息系统中的恶意代码防控,指导信息系统感染恶意代码及恶意代码造成影响时的处理操作过程。 第二条XXX网络信息中心内部安全管理员、系统管理员、网络管理员、数据库管理员、主机服务器管理员和终端使用者及第三方运维商。 第二章人员和职责 第三条系统管理员负责部署防恶意代码系统并进行相关维护,集中管理和监控单位内办公终端及业务应用系统终端的恶意代码存在情况。 第四条网络信息中心主任对防恶意代码体系的日常运作情况应尽监督责任; 第五条安全管理员负责恶意代码控制的技术指导工作,并执行各项防恶意代码工作的安全检作,对于违反信息安全相关规定的人员将进行通报,并要求相关人员参加信息安全意识培训; 第六条安全管理员负责联系XXXXXX信息安全委员会进行防恶意代码工作的具体执行。 第三章防恶意代码的集中管理 第七条恶意代码防治范围主要包括以下: (一)服务器-在整个信息系统内存在一定数量的Windows服务器和Linux服务器,存 在被恶意代码(蠕虫、病毒、特洛伊木马、广告插件其它恶意程序)的侵袭的威胁。 所以必须将服务器从整体上纳入恶意代码防治对象并部署恶意代码扫描与防护系统,以达到降低信息系统感染已知恶意代码的可能性,最大成功保护信息系统的可用性。 (二)各种办公、业务终端- 办公终端和业务操作终端需要访问特定的系统。此类终端 数量较多,安全级别相对较低,容易被恶意代码/木马感染,可控性相对较低。终端会被利用作为跳板攻击核心业务系统或直接窃取机密数据。所以在此范围内须强制安装统一的防恶意代码客户端软件。 第八条集中监控和恶意代码特征库升级 (一) XXX网络信息中心管理的信息终端可通过访问专用的防恶意代码服务器定期进行 恶意代码特征库、扫描引擎的升级; (二) XXX各业务部门员工需每周自行检查所使用终端设备的恶意代码特征库和恶意代 码引擎是否得到更新,发现异常后需及时向网络信息中心报告。此外,XXX网络信
渗透测试报告模板V1.1
密级:商密 文档编号: 项目代号: YYYY 渗透测试报告 % LOGO Xxxx(公司名称) 20XX年X月X日
/ 保密申明 这份文件包含了来自XXXX公司(以下简称“XXXX”)的可靠、权威的信息,这些信息作为YYYY正在实施的安全服务项目实施专用,接受这份计划书表示同意对其内容保密并且未经XXXX书面请求和书面认可,不得复制、泄露或散布这份文件。如果你不是有意接受者,请注意:对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。
文档信息表
摘要 本文件是XXXX信息技术有限公司受YYYY委托所撰写的《YYYY渗透测试报告》的报告书。这里对本次渗透测试结果所得出的整体安全情况作概括描述,文件正文为全面的分析。 本次渗透测试主要采用专家人工测试的方法,采用了部分工具作为辅助。在渗透测试中我们发现:系统应用层存在明显的安全问题,多处存在高危漏洞,高危漏洞类型主要为失效的访问控制、存储型xss。缺乏对输入输出进行的防护和过滤。 结论:整体而言,YYYY在本次渗透测试实施期间的安全风险状况为“严重状态”。 (系统安全风险状况等级的含义及说明详见附录A) 结果统计简要汇总,如下图 0-1、表0-1。 图0-1 系统整体验证测试整改前跟踪统计图 表0-1 测试对象整改后结果统计表
一、项目信息 委托单位: 检测单位: 二、项目概述 1.测试目的 为了解YYYY公司网络系统的安全现状,在许可及可控的范围内,对XXXX应用系统开展渗透测试工作,从攻击者的角度检测和发现系统可能存在的漏洞,并针对发现的漏洞提供加固建议。 2.测试范围 渗透测试的范围仅限于经过YYYY公司以书面形式进行授权的服务器、网络设置被和应用系统。XXXX承诺不会对授权范围之外的网络和主机设备以及数据进行测试、模拟攻击。
实验4-3的实验报告
电子科技大学 实验报告 学生姓名:学号:指导教师: 实验地点:主楼A2-413-1 实验时间: 一、实验室名称:主楼A2-413-1 二、实验项目名称:木马技术初级实验1 三、实验学时:1 学时 四、实验原理: 木马进行网络入侵,从过程上看大致可分为六步: (1)木马配置 一般来说,一个成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下的功能:第一让木马程序更加隐蔽,比如隐蔽的文件名,文件图标,文件属性。第二就是设置信息反馈的方式,比如在窃取信息后,发送邮件到攻击者,或者上传至某处等等。第三就是如果是反向连接的木马,需要配置获得攻击者的IP并连接的具体方式。 (2)传播木马 根据配置生产木马后,需要将木马传播出去,比如通过邮件诱骗,漏洞攻击等。 (3)运行木马 在用户机器上木马程序一旦被运行后,木马便会安装并驻留在用户系统中。木马通过各种手段防止不被用户发现,并且随系统启动而启动,以求获得最长的生命期。并在这一期间会通过各种手段向攻击者发出反馈信息,表示木马已经获得运行。
(4)建立连接 无论是正向连接还是反向连接的木马,都会在入侵用户机器成功运行伺机与攻击者获得联系,正向连接的木马往往是开发一个特定的端口,然后由攻击者扫描到被攻击机器建立连接。如果是反向连接的木马,则是木马本身在一定的情况下获得攻击者的IP地址,并主动建立连接。 (5)远程控制 攻击者一端与被控端建立连接后,它们之间便架起了一条网络通讯的通道,攻击者通过向被控端发出各种请求操作实现远程控制。现在的木马程序功能都做的非常完善,操作远端机器就如同本地操作一样简单容易。 4.木马/后门的特点与技术 (1)木马隐蔽技术 木马的隐藏主要分为文件隐藏、进线程隐藏、端口隐藏、注册表隐藏等等。隐藏的手段也多种多样。并且这项技术是关乎木马本身生命周期的关键因素。通过编写驱动程序隐藏木马的方法已非常多见,用户在未使用一些更高级的工具之前是无法发现木马的存在的,对于防病毒软件来说清除难度也较大。 (2)传播 木马这种恶意代码本身并无传播能力,随着恶意代码各个种类的界限越来越模糊,木马也会具备一些传播的能力。 (3)自启动 自启动功能是木马的标准功能,因为需要在系统每次关机重启后都能再次获得系统的控制权。自启动的方法也是五花八门,种类繁多。 五、实验目的: 1.实践木马配置、木马控制的方法、并体会木马控制连接的实质。 2.学习和发现木马,研究检测木马的方法。 六、实验内容: 1.木马配置 2.木马应用 七、实验器材(设备、元器件):
网络协议实践课程实验报告
一、实验目的:通过实验了解系统漏洞,学会发现系统漏洞。 二、实验内容:搭建一个实验环境,使用namp工具对可能存在漏洞的开放 端口进行扫描,将结果保存在namp.cap文件里。 三、实验原理: 缓冲区溢出攻击者必须非常熟悉服务器端运行的程序的特点。他们必须知道服务器程序会分配多少空间用于接收到来的请求,并准确知道将要插人的代码写到人何处。攻击者可以很容易地获得服务器应用程序的代码拷贝,并对其进行研究和攻击练习。他们常常是对最流行的服务器软件包的默认设置进行研究,因为大部分计算机都是在这些设置下运行的。通常编写的恶意代码都会向其他有漏洞的主机进行打一散。例如,利用缓冲区溢出漏洞进人系统的恶意代码会对其他主机执行同样的攻击。恶意代码也可能在计算机上搜索电子邮件地址,并且把它自己的拷贝作为电子邮件的附件发送出去。 在本实验中,我们将对一个用于探测网络中另一个系统的开放端口或漏洞的网络应用程序的跟踪结果进行观察分析。我们也将对一个感染了冲击波蠕虫病毒的计算机的跟踪结果进行分析。我们会看到它是如何通过试图在Windows分布式组件对象模型(DCOM)和远程过程调用(RPC)接口中发掘漏洞来传播自己的。 四、实验器材、环境配置操作及实验数据的产生: 本实验的跟踪记录可在两个配置中捕获。在第一个配置图中,一个在防火墙后运行DHCP的PC机,用于扫描防火墙下开放的端口。在第二个配置图中,我们在校园网环境中选择了一台感染冲击波蠕虫病毒的PC机进行网络行为跟踪。 配置图一
配置图二 在第一个实验中,我们使用nmap工具来对另一台主机192. 168. 0. 1的开放端口或可能的漏洞进行扫描。我们识别到一个开放端口,HTTP端口,将跟踪结果保存在nmap. cap文件中。像nmap这样的端口扫描程序通过向许多常用端口发送SYN分组以检测开放端口(或漏洞)。在本例中,SYN分组一共发送给了1658个端口。如果服务器软件在这些端口上监听,它就会返回一个SYNACK分组作为回应。当扫描结束时,你会全面了解到系统可能存在的漏洞。 端口扫描可以用来评估你电脑的安全性,但是它也被认为是一种对他人计算机进行端口扫描的攻击。在本实验中,我们只用nmap来扫描单个的目标主机,但是它也可以被用于扫描整个网络。 在nmap. cap文件中,我们使用tcp.flags.syn==1&&tcp.flags.ack= =0过滤器来显示出由nmap发出的用于探测端口的分组。从统计概要可以看出,它一共发出了6693个分组,向扫描的1658个端口中的每个端口发送了3—4个SYN 分组。端口扫描并不是从端口号较低的端口扫描到端口号较高的端口。它甚至不会对一个指定的端口发送所有的探测信息。我们可以注意到nmap扫描对很多探测分组重复使用相同的源端口。例如:分组巧到44都是使用50210端口作为探测分组的源端口。如果不是端口扫描,操作系统一般都会为每次连接分配一个不同的暂时的端口。 Ethereal为一些众所周知端口号取了相应的名字。如端口21取名为ftp 。IANA发布了一系列的众所周知端口号列表。这个列表为常用的服务指定了相应的端口号。例如:Web服务器使用众所周知端口80,邮件发件服务器使用众所周知端口25。通常,端口号从。到1023都是众所周知端口。在大部分的系统中,只有具有一级或管理员级权限的程序才可以使用这些端口。 为了识别出所有成功的扫描,我们将Ethereal的过滤规则设定为: tcp.flags.syn==1&&tcp.flags.ack= =1,这样可以过滤出所有SYNACK分组。从这个过滤器中可以看到,惟一开放的端口为80端口,我们可以进一步使用过滤规则tcp.port= 8 0从所有数据流中分离出与80端口有关的数据流。当目标主机响应一个SYNACK分组后,nmap响应一个RST置位的分组来关闭连接。