第9章木马攻击与防御技术PPT课件
合集下载
常见黑客攻击及安全防御手段课件
当检测到攻击时,IDS可以及时发出警报并采取相应的措施,例如记录攻击行为、隔离攻击源等。
入侵检测系统是一种实时监测和检测网络中异常行为和攻击的工具。
安全审计是对网络和系统的安全性能和配置进行全面检查的过程。
安全审计可以发现潜在的安全风险和漏洞,并及时采取措施进行修复。
安全监控是对网络和系统的运行状态进行实时监测的过程,可以及时发现异常行为和攻击。
常见黑客攻击及安全防御手段课件
目录
常见黑客攻击手段安全防御手段网络安全法律法规与合规性网络安全意识教育与培训应急响应与处置
01
CHAPTER
常见黑客攻击手段
勒索软件攻击
间谍软件攻击
蠕虫病毒攻击
木马病毒攻击
01
02
03
04
通过感染计算机系统,加密用户文件并索取赎金。
在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
数据加密是一种保护敏感数据不被窃取或篡改的技术。
数据加密通过对数据进行加密处理,使得只有拥有解密密钥的人才能访问原始数据。
数据加密可以应用于各种场景,例如文件加密、网络通信加密等。
03
CHAPTER
网络安全法律法规与合规性
国际互联网治理法律法规
包括《互联网治理公约》、《互联网安全保护技术措施规定》等,旨在规范各国在互联网领域的行为,保障网络安全。
使用预设的密码字典逐一尝试破解用户账号。
密码字典攻击
暴力破解工具攻击
会话劫持攻击
利用自动化工具对目标进行大量密码组合尝试。
截获用户会话数据,尝试猜测用户密码进行非法登录。
03
02
01
通过大量无用的请求流量拥塞目标服务器,使其无法正常响应合法请求。
入侵检测系统是一种实时监测和检测网络中异常行为和攻击的工具。
安全审计是对网络和系统的安全性能和配置进行全面检查的过程。
安全审计可以发现潜在的安全风险和漏洞,并及时采取措施进行修复。
安全监控是对网络和系统的运行状态进行实时监测的过程,可以及时发现异常行为和攻击。
常见黑客攻击及安全防御手段课件
目录
常见黑客攻击手段安全防御手段网络安全法律法规与合规性网络安全意识教育与培训应急响应与处置
01
CHAPTER
常见黑客攻击手段
勒索软件攻击
间谍软件攻击
蠕虫病毒攻击
木马病毒攻击
01
02
03
04
通过感染计算机系统,加密用户文件并索取赎金。
在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
数据加密是一种保护敏感数据不被窃取或篡改的技术。
数据加密通过对数据进行加密处理,使得只有拥有解密密钥的人才能访问原始数据。
数据加密可以应用于各种场景,例如文件加密、网络通信加密等。
03
CHAPTER
网络安全法律法规与合规性
国际互联网治理法律法规
包括《互联网治理公约》、《互联网安全保护技术措施规定》等,旨在规范各国在互联网领域的行为,保障网络安全。
使用预设的密码字典逐一尝试破解用户账号。
密码字典攻击
暴力破解工具攻击
会话劫持攻击
利用自动化工具对目标进行大量密码组合尝试。
截获用户会话数据,尝试猜测用户密码进行非法登录。
03
02
01
通过大量无用的请求流量拥塞目标服务器,使其无法正常响应合法请求。
黑客入侵与防范课程培训PPT
任务管理器里隐藏
按下Ctrl+Alt+Del打开任务管理器, 查看正在运行的进程,可发现木马 进程,木马把自己设为”系统服务” 就不会出现在任务管理器里了. 添 加系统服务的工具有很多,最典型的 net service,可手工添加系统服务.
隐藏端口
大部分木马一般在1024以上的高端 口驻留,易被防火墙发现.现在许多 新木马采用端口反弹技术,客户端使 用80端口、21端口等待服务器端 (被控制端)主动连接客户端(控 制端)。
监听
以“里应外合”的工作方式,服务程序通过打开特定的端口并进行监听,这些端口好像“后门”一样,所以 也有人把特洛伊木马叫做后门工具。 攻击者所掌握的客户端程序向该端口发出请求(Connect Request),木马便和它连接起来了,攻击者就可以 使用控制器进入计算机,通过客户程序命令达到控服务器端的目的。
木马启动方式
在配置文件中启动
(1)在Win.ini中 在一般情况下,C:\WINNT\ Win.ini 的”Windows”字段中有启动命令 “load=”和”Run=”的后面是空白的, 如果有后跟程序,例如: Run= C:\WINNT\ File.exe load= C:\WINNT\ File.exe ,这个 File.exe极可能是木马。 (2)在system.ini中 C:\WINNT\ system.ini的
端口反弹技术
反弹技术
该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题
反弹端口型软件的原理
客户端首先到FTP服务器,编辑在木马软件中预先设置的主页空间上面的一个文件,并打开端口监听,等待服务端 的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就 可完成连接工作。因此在互联网上可以访问到局域网里通过 NAT (透明代理)代理上网的电脑,并且可以穿过防 火墙。与传统的远程控制软件相反,反弹端口型软件的服务端会主动连接客户端,客户端的监听端口一般开为80 (即用于网页浏览的端口),这样,即使用户在命令提示符下使用"netstat -a"命令检查自己的端口,发现的也是类 似"TCP UserIP:3015 ControllerIP:http ESTABLISHED"的情况,稍微疏忽一点你就会以为是自己在浏览网 页,而防火墙也会同样这么认为的。于是,与一般的软件相反,反弹端口型软件的服务端主动连接客户端,这样 就可以轻易的突破防火墙的限制
《网络安全课件:防范木马病毒攻击》
广告木马
在用户浏览器中注入广告来获取点击收入,同时 也会影响用户体验。
远程访问木马
黑客可以通过远程连接远程控制受感染的计算机, 窃取数据或进行恶意操作。
木马攻击的影响
木马病毒的攻击对个人和组织带来严重后果,包括数据丢失、系统崩溃和财务致身份盗窃和金融损
系统瘫痪
2
失。
通过了解木马病毒的威胁、采取防御策略和遵循最佳实践,我们可以保护个人和组织的计算机系统免受木马 病毒攻击。
保护自己
保持警惕,时刻关注网络安全,是防范木马病毒的 关键。
团队合作
网络安全是一个集体行动,利用团队合作保证整个 网络的安全。
加强安全
安全优先
网络安全课件:防范木马 病毒攻击
欢迎来到《网络安全课件:防范木马病毒攻击》。在本次演示中,我们将深 入探讨木马病毒的威胁,并分享一些应对的最佳实践。
了解木马病毒
木马病毒利用隐蔽的方式侵入系统,危害用户数据安全和隐私。它们可以盗窃敏感信息、损坏文件和操纵计 算机。是时候了解如何保护自己了!
外表欺骗
像特洛伊木马一样,木马病毒伪装成无害的程序或 文件,引诱用户点击并执行。
木马病毒可能破坏关键的系统文件,导
致系统崩溃和无法正常使用。
3
金融损失
木马病毒可以通过窃取银行信息和登录 凭据的方式直接导致财务损失。
防止木马病毒的最佳实践
采取以下措施可有效减少木马病毒攻击的风险。
• 保持系统和应用程序的更新。 • 仅在受信任的网站下载软件。 • 谨慎打开电子邮件和下载未知附件。 • 定期备份重要文件。
紧急应对木马病毒攻击
如果您怀疑自己的计算机受到木马病毒感染,请立即采取以下措施保护您的 系统和数据。
常见黑客攻击及安全防御手段ppt课件
混合型威胁趋势
将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏 洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。
主动恶意代码趋势
制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术 手段巧妙地伪装自身,躲避甚至攻击防御检测软件. 表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发 展到可以在网络的任何一层生根发芽,复制传播,难以检测。
防病毒软件历史
单机版静态杀毒
实时化反病毒
防病毒卡 动态升级 主动内核技术
自动检测技术:特征代码检测
单特征检查法 基于特征标记 免疫外壳
防病毒技术发展
第一代反病毒技术
采取单纯的病毒特征诊断,对加密、变形的新一代病毒无能 为力; 采用静态广谱特征扫描技术,可以检测变形病毒 误报率高,杀毒风险大; 静态扫描技术和动态仿真跟踪技术相结合; 基于病毒家族体系的命名规则 基于多位CRC校验和扫描机理 启发式智能代码分析模块、 动 态数据还原模块(能查出隐蔽 性极强的压缩加密文件中的病毒)、内存解毒模块、自身免 疫模块
电子邮件附件:
(已被使用过无数次的攻击方式)
文件共享: 针对所有未做安全限制的共享
MYDOOM的工作原理
W32.Novarg.A@mm [Symantec] ,受影响系统: Win9x/NT/2K/XP/2003 1、创建如下文件: %System%shimgapi.dll %temp%Message, 这个文件由随机字母通组成。 %System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。 2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启 3127到3198范围内的TCP端口进行监听; 3、添加如下注册表项,使病毒可随机启动,并存储病毒的活动信息。 4、对实施拒绝服务(DoS)攻击,创建64个线程发送GET请 求,这个DoS攻击将从2004年2月1延续到2004年2月12日; 5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地 址:.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等; 6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发 送邮件,如果失败,则使用本地的邮件服务器发送; 7、邮件内容如下:From: 可能是一个欺骗性的地址;主题:hi/hello等。
《木马攻击与防范》课件
《木马攻击与防范》PPT 课件
# 木马攻击与防范
什么是木马
木马的定义
木马是一种隐藏在正常程序中的恶意软件,通过伪装成合法程序的方式进行潜入和传播。
木马的特点与分类
木马具有隐蔽性和破坏性,常见的木马分类有远程控制木马、数据窃取木马和勒索软件。
木马攻击的方式
1 邮件附件
攻击者通过发送带有木马程序的邮件附件,诱使接收者点击打开,从而实现木马的植入。
2 网络文件下载
攻击者通过欺骗用户下载文件,藉此实施木马的传播和感染。
3 假冒安全软件
攻击者通过制作伪装成安全软件的木马程序,骗取用户下载并安装,实际上是木马的植 入。
木马的危害
1 窃取个人信息
2 控制系统操作
木马可以监控用户的操作、 窃取敏感信息,如账号密 码、银行卡信息以及个人 隐私。
木马常被用来远程控制受 感染的系统,攻击者可以 在背后操控、控制文件操 作,损坏系统或进行非法 活动。
3 加密文件勒索
某些木马会将用户文件加 密,然后勒索用Байду номын сангаас支付赎 金才能解密文件,给用户 带来严重的财产损失。
木马的防范
1 常用安全软件
安装可信赖的安全软件,如杀毒软件、防火 墙和恶意软件清理工具,定期更新并全面扫 描。
3 注意邮件和下载来源
谨慎打开未知发件人的邮件附件,只从可靠 的官方或信任的网站下载文件。
3 系统重装
在严重受感染的情况下, 重新格式化硬盘并重新安 装操作系统。
总结
1 木马的危害与防范
了解木马的危害,采取有 效的安全防范措施以保护 个人信息和系统安全。
2 提高安全意识
加强用户教育和培训,提 高对木马的识别和防范能 力。
# 木马攻击与防范
什么是木马
木马的定义
木马是一种隐藏在正常程序中的恶意软件,通过伪装成合法程序的方式进行潜入和传播。
木马的特点与分类
木马具有隐蔽性和破坏性,常见的木马分类有远程控制木马、数据窃取木马和勒索软件。
木马攻击的方式
1 邮件附件
攻击者通过发送带有木马程序的邮件附件,诱使接收者点击打开,从而实现木马的植入。
2 网络文件下载
攻击者通过欺骗用户下载文件,藉此实施木马的传播和感染。
3 假冒安全软件
攻击者通过制作伪装成安全软件的木马程序,骗取用户下载并安装,实际上是木马的植 入。
木马的危害
1 窃取个人信息
2 控制系统操作
木马可以监控用户的操作、 窃取敏感信息,如账号密 码、银行卡信息以及个人 隐私。
木马常被用来远程控制受 感染的系统,攻击者可以 在背后操控、控制文件操 作,损坏系统或进行非法 活动。
3 加密文件勒索
某些木马会将用户文件加 密,然后勒索用Байду номын сангаас支付赎 金才能解密文件,给用户 带来严重的财产损失。
木马的防范
1 常用安全软件
安装可信赖的安全软件,如杀毒软件、防火 墙和恶意软件清理工具,定期更新并全面扫 描。
3 注意邮件和下载来源
谨慎打开未知发件人的邮件附件,只从可靠 的官方或信任的网站下载文件。
3 系统重装
在严重受感染的情况下, 重新格式化硬盘并重新安 装操作系统。
总结
1 木马的危害与防范
了解木马的危害,采取有 效的安全防范措施以保护 个人信息和系统安全。
2 提高安全意识
加强用户教育和培训,提 高对木马的识别和防范能 力。
木马攻击与防范ppt课件
木马对目的计算机进展控制。
二:实验原理—3.木马的衔接方式
❖ 普通木马都采用C/S运转方式,即客户端和效 力端木马程序。
❖ 黑客安装木马的客户端,同时诱骗用户安装 木马的效力端。
二:实验原理—4.木马的隐藏方式
❖ 义务栏隐藏:使程序不出如今义务栏; ❖ 进程隐藏:躲避义务管理器等进程管理工具; ❖ 端口隐藏:躲避嗅探工具,运用户无法发现隐蔽的
❖ 假设可以对系统中的文件、注册表做全面的 监控,可以实现发现和去除各种木马的目的。
中木马后出现的情况
❖ 阅读器本人翻开,并且进入某个网站; ❖ Windows系统配置自动莫名其妙地被更改;比如
CD-ROM的自动运转配置; ❖ 硬盘经常无缘由的进展读写操作; ❖ 系统越来越慢,系统资源占用很多; ❖ 经常死机; ❖ 启动项添加; ❖ 莫名的进程; ❖ 网络端口的添加;
二:实验原理—1.木马的特性
❖ 伪装性:伪装成合法程序。 ❖ 隐蔽性:在系统中采用隐藏手段,不让运用
者觉察到木马的存在。 ❖ 破坏性:对目的计算机的文件进展删除、修
正、远程运转,还可以进展诸如改动系统配 置等恶性破坏操作。 ❖ 保密性:偷取被入侵计算机上的一切资料。
二:实验原理—2.木马的入侵途径
❖ 捆绑欺Leabharlann :与普通文件捆绑,经过电子邮件、QQ 等发送给用户;或者放在网上,被下载并执行。
❖ 利用网页脚本入侵:经过Script、ActiveX、及ASP、 CGI交互脚本的方式入侵,利用阅读器破绽实现木 马的下载和安装。
❖ 利用破绽入侵:利用系统的破绽入侵。 ❖ 和病毒协作入侵:在病毒感染目的计算机后,经过
网络通讯; ❖ 通讯隐藏:进展通讯时,将目的端口设定为常用的
80、21等端口,可以躲过防火墙的过滤; ❖ 隐藏加载方式:经过各类脚本允许木马;修正设备
二:实验原理—3.木马的衔接方式
❖ 普通木马都采用C/S运转方式,即客户端和效 力端木马程序。
❖ 黑客安装木马的客户端,同时诱骗用户安装 木马的效力端。
二:实验原理—4.木马的隐藏方式
❖ 义务栏隐藏:使程序不出如今义务栏; ❖ 进程隐藏:躲避义务管理器等进程管理工具; ❖ 端口隐藏:躲避嗅探工具,运用户无法发现隐蔽的
❖ 假设可以对系统中的文件、注册表做全面的 监控,可以实现发现和去除各种木马的目的。
中木马后出现的情况
❖ 阅读器本人翻开,并且进入某个网站; ❖ Windows系统配置自动莫名其妙地被更改;比如
CD-ROM的自动运转配置; ❖ 硬盘经常无缘由的进展读写操作; ❖ 系统越来越慢,系统资源占用很多; ❖ 经常死机; ❖ 启动项添加; ❖ 莫名的进程; ❖ 网络端口的添加;
二:实验原理—1.木马的特性
❖ 伪装性:伪装成合法程序。 ❖ 隐蔽性:在系统中采用隐藏手段,不让运用
者觉察到木马的存在。 ❖ 破坏性:对目的计算机的文件进展删除、修
正、远程运转,还可以进展诸如改动系统配 置等恶性破坏操作。 ❖ 保密性:偷取被入侵计算机上的一切资料。
二:实验原理—2.木马的入侵途径
❖ 捆绑欺Leabharlann :与普通文件捆绑,经过电子邮件、QQ 等发送给用户;或者放在网上,被下载并执行。
❖ 利用网页脚本入侵:经过Script、ActiveX、及ASP、 CGI交互脚本的方式入侵,利用阅读器破绽实现木 马的下载和安装。
❖ 利用破绽入侵:利用系统的破绽入侵。 ❖ 和病毒协作入侵:在病毒感染目的计算机后,经过
网络通讯; ❖ 通讯隐藏:进展通讯时,将目的端口设定为常用的
80、21等端口,可以躲过防火墙的过滤; ❖ 隐藏加载方式:经过各类脚本允许木马;修正设备
网络安全课件,防范木马、病毒的攻击与防御技术
金融损失
恶意软件可能导致财务损失,如盗取信用卡信 息、勒索财产。
系统瘫痪
恶意软件可导致系统崩溃,无法正常运行,影 响工作和生活。
影响声誉
遭受木马和病毒攻击可能损害个人或企业的声 誉。
4. 木马和病毒的攻击方式
1
社会工程
通过欺骗和诱导人们提供敏感信息,如钓鱼网站、钓鱼邮件。
2
恶意链接和附件
通过发送包含恶意代码的链接或附件,感染用户的计算机。
一种自我复制的恶意程序,通过感染其他文 件传播自身,对计算机系统造成损害。
2. 木马和病毒的特点及分类
特点
• 木马:隐藏、潜伏、隐蔽 • 病毒:自我复制、感染性、传播能力
分类
• 木马:远控木马、监视木马、金融木马 • 病毒:文件病毒、宏病毒、蠕虫病毒
3. 木马和病毒的危害和影响
个人隐私泄露
木马和病毒可能窃取用户敏感信息,如银行账 号和密码。
作用
监控和限制网络流量,防止未经授权的访问和 攻击。
配置
设置允许和阻止的规则,确保只有合法的数据 流通过防火墙。
7. 杀毒软件的选择和更新
选择
选择可信赖的杀毒软件,具备实时监测、 自动更新和病毒库更新功能。
更新
定期更新杀毒软件和病毒库,以检测和清 除最新的病毒。
8. 系统漏洞的修补和补丁更新
1 修补ห้องสมุดไป่ตู้
3
可执行文件感染
将恶意代码插入可执行文件,当用户运行时感染计算机。
5. 木马和病毒的防御技术
1 实时防护软件
2 定期系统更新
安装杀毒软件、防火墙等 实时监测和防御恶意软件。
及时安装系统补丁和更新 软件,修复已知漏洞。
3 网络安全意识培养
恶意软件可能导致财务损失,如盗取信用卡信 息、勒索财产。
系统瘫痪
恶意软件可导致系统崩溃,无法正常运行,影 响工作和生活。
影响声誉
遭受木马和病毒攻击可能损害个人或企业的声 誉。
4. 木马和病毒的攻击方式
1
社会工程
通过欺骗和诱导人们提供敏感信息,如钓鱼网站、钓鱼邮件。
2
恶意链接和附件
通过发送包含恶意代码的链接或附件,感染用户的计算机。
一种自我复制的恶意程序,通过感染其他文 件传播自身,对计算机系统造成损害。
2. 木马和病毒的特点及分类
特点
• 木马:隐藏、潜伏、隐蔽 • 病毒:自我复制、感染性、传播能力
分类
• 木马:远控木马、监视木马、金融木马 • 病毒:文件病毒、宏病毒、蠕虫病毒
3. 木马和病毒的危害和影响
个人隐私泄露
木马和病毒可能窃取用户敏感信息,如银行账 号和密码。
作用
监控和限制网络流量,防止未经授权的访问和 攻击。
配置
设置允许和阻止的规则,确保只有合法的数据 流通过防火墙。
7. 杀毒软件的选择和更新
选择
选择可信赖的杀毒软件,具备实时监测、 自动更新和病毒库更新功能。
更新
定期更新杀毒软件和病毒库,以检测和清 除最新的病毒。
8. 系统漏洞的修补和补丁更新
1 修补ห้องสมุดไป่ตู้
3
可执行文件感染
将恶意代码插入可执行文件,当用户运行时感染计算机。
5. 木马和病毒的防御技术
1 实时防护软件
2 定期系统更新
安装杀毒软件、防火墙等 实时监测和防御恶意软件。
及时安装系统补丁和更新 软件,修复已知漏洞。
3 网络安全意识培养
《网络安全课件:防范电脑病毒和木马攻击》
定期更新您的操作系统和防 病毒软件,以保持其对最新 威胁的充分防护。
备份数据
定期备份您的数据到云存储 间,以防止数据丢失。选 择可信赖和安全的云存储提
网络安全意识培训
1
教育培训
2
提供网络安全培训,增强员工对潜
在威胁和防范措施的认识。
3
制定安全政策
建立明确的网络安全政策和规程, 使员工了解并遵守最佳实践。
定期演练
进行网络安全演练,测试应急响应 计划的有效性,并加以改进。
保护您的个人信息
谨慎公开个人信息
避免在公共场所或不可信的网站上公开个 人信息,以防止身份盗窃。
定期检查账户活动
定期查看账户的活动记录,及时发现异常 情况并采取相应措施。
多因素身份验证
启用多因素身份验证功能,提高账户的安 全性,防止未经授权的访问。
木马是一种伪装成合法程序的恶意软件。 它可以远程操控您的计算机,窃取个人 信息。保持警惕,避免访问可疑网站。
常见的网络攻击手段
钓鱼网站
钓鱼网站是冒充合法网站 的虚假网站,旨在获取用 户的个人信息。要时刻保 持警惕,避免提供个人信 息给不可信的来源。
恶意软件下载
谨慎下载未知来源的软件, 特别是破解软件。它们可 能包含恶意软件,导致系 统感染。
加密通信
在进行网上交易或发送敏感信息时,确保 使用加密的通信方式。
维护更新的系统
操作系统 Windows macOS Linux
最新版本 Windows 10 Catalina Ubuntu 20.04
常见的网络安全威胁
网络钓鱼
谨防伪装成合法机构的钓鱼 邮件,防止泄露个人信息或 安装恶意软件。
勒索软件
网络安全课件:防范电脑 病毒和木马攻击
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/9/28
网络入侵与防范讲义
16
9.1.2 木马的分类
从木马技术发展的历程考虑,木马技术自出现至今, 大致可以分为四代:
第一代ห้องสมุดไป่ตู้马是伪装型病毒,将病毒伪装成一个合法的 程序让用户运行,例如1986年的PC-Write木马;
第二代木马在隐藏、自启动和操纵服务器等技术上有 了很大的发展,可以进行密码窃取、远程控制,例如 BO2000和冰河木马;
网络入侵与防范讲义
13
(3).木马的危害
感染了木马的计算机将面临数据丢失和机密泄 露的危险。
木马往往又被用做后门,植入被攻破的系统, 以便为入侵者再次访问系统提供方便;或者利 用被入侵的系统,通过欺骗合法用户的某种方 式暗中散发木马,以便进一步扩大入侵成果和 入侵范围,为进行其它入侵活动,如分布式拒 绝服务攻击(DDoS)等提供可能。
第9章 木马攻击与防御技术
国家计算机网络入侵防范中心
网络入侵与防范讲义
1
本章内容安排
9.1 木马概述 9.2 木马的实现原理与攻击步骤 9.3 木马实例介绍 9.4 木马的防御技术 9.5 木马的发展趋势 9.6 小结
2020/9/28
网络入侵与防范讲义
2
9.1 木马概述
9.1.1 木马基本概念 9.1.2 木马的分类 9.1.3 木马的特点
第三代木马在连接方式上有了改进,利用端口反弹技 术,例如灰鸽子木马;
第四代木马在进程隐藏方面做了较大的改动,让木马 服务器运行时没有进程,网络操作插入到系统进程或 者应用进程中完成,例如广外男生木马。
2020/9/28
网络入侵与防范讲义
17
9.1.2 木马的分类
从木马所实现的功能角度可分为: (1).破坏型 (2).密码发送型 (3).远程访问型 (4).键盘记录木马 (5).DoS攻击木马 (6).代理木马 (7).FTP木马 (8).程序杀手木马 (9).反弹端口型木马
2020/9/28
网络入侵与防范讲义
14
(3).木马的危害
大型网络服务器也面临木马的威胁,入侵 者可通过对其所植入的木马而偷窃到系统 管理员的口令。
而当一个系统服务器安全性较高时,入侵 者往往会通过首先攻破庞大系统用户群中 安全性相对较弱的普通电脑用户,然后借 助所植入木马获得有效信息(如系统管理 员口令),并最终达到入侵系统目标服务 器的目的。
7
(2).木马的定义
在计算机系统中, “特洛伊木马”指系统中 被植入的、人为设计的程序,目的包括通过 网络远程控制其他用户的计算机系统,窃取 信息资料,并可恶意致使计算机系统瘫痪。
2020/9/28
网络入侵与防范讲义
8
RFC1244对特洛伊木马的定义
RFC1244 (Request for Comments : 1244) 中是这样描述木马的:“木马程序是 一种程序,它能提供一些有用的,或是仅仅 令人感兴趣的功能。但是它还有用户所不知 道的其他功能,例如在你不了解的情况下拷 贝文件或窃取你的密码。”
2020/9/28
网络入侵与防范讲义
9
RFC1244对特洛伊木马的定义(2)
RFC1244的定义虽然不十分完善,但是 可以澄清一些模糊概念:
首先木马程序并不一定实现某种对用户来 说有意义或有帮助的功能,但却会实现一 些隐藏的、危险的功能;
其次木马所实现的主要功能并不为受害者 所知,只有程序编制者最清楚。
2020/9/28
网络入侵与防范讲义
15
(3).木马的危害
木马程序具有很大的危害性,主要表现在:
自动搜索已中木马的计算机; 管理对方资源,如复制文件、删除文件、查看
文件内容、上传文件、下载文件等; 跟踪监视对方屏幕; 直接控制对方的键盘、鼠标; 随意修改注册表和系统文件; 共享被控计算机的硬盘资源; 监视对方任务且可终止对方任务; 远程重启和关闭机器。
2020/9/28
网络入侵与防范讲义
3
9.1.1 木马基本概念
木马的来由 木马的定义 木马的危害
2020/9/28
网络入侵与防范讲义
4
(1).木马的来由
木马是“特洛伊木马”(trojan horse)的 简称,据说这个名称来源于希腊神话《木马 屠城记》。
如今黑客程序借用其名,有“一经潜入,后 患无穷”之意。
根据传统的数据安全模型的分类,木马程序 的企图可以对应分为三种:
试图访问未授权资源; 试图阻止访问; 试图更改或破坏数据和系统。
2020/9/28
网络入侵与防范讲义
12
(3).木马的危害
目前木马常被用作网络系统入侵的重要工具 和手段。
木马利用自身所具有的植入功能,或依附其 它具有传播能力的程序等多种途径,进驻目 标机器,搜集其中各种敏感信息,并通过网 络与外界通信,发回所搜集到的各种敏感信 息,接受植入者指令,完成其它各种操作, 如修改指定文件、格式化硬盘等。
2020/9/28
网络入侵与防范讲义
18
(1).破坏型
惟一的功能就是破坏并且删除文件,如电脑 上的DLL、INI、EXE文件或其它类型文件, 造成系统损坏,用户数据被破坏。
城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城 内,全城饮酒狂欢。
到午夜时分,全城军民尽入梦乡,匿于木马中的将士出来开启城 门及四处纵火,城外伏兵涌入,部队里应外合,彻底攻破了特洛 伊城。
后世称这只大木马为“特洛伊木马”。
2020/9/28
网络入侵与防范讲义
6
2020/9/28
网络入侵与防范讲义
第三,这个定义暗示“有效负载”是恶意 的。
2020/9/28
网络入侵与防范讲义
10
大多数安全专家对特洛伊木马的定义
目前,大多数安全专家统一认可的定义 是:“特洛伊木马是一段能实现有用的或必需 的功能的程序,但是同时还完成一些不为人 知的功能。”
2020/9/28
网络入侵与防范讲义
11
(3).木马的危害
2020/9/28
网络入侵与防范讲义
5
特洛伊木马的故事
相传在古希腊时期,特洛伊王子帕里斯劫走了斯巴达美丽的王后 海伦和大量的财物。斯巴达国王组织了强大的希腊联军远征特洛 伊,但久攻不下。
有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿 于巨大的木马中,同时命令大部队佯装撤退而将木马弃于特洛伊 城下。