网络攻防原理与技术课件最新版第7章计算机木马
合集下载
木马攻击与防范课件
木马攻击与防范
二:实验原理—1.木马的特性
❖ 伪装性:伪装成合法程序。 ❖ 隐蔽性:在系统中采用隐藏手段,不让使用
者觉察到木马的存在。 ❖ 破坏性:对目标计算机的文件进行删除、修
改、远程运行,还可以进行诸如改变系统配 置等恶性破坏操作。 ❖ 窃密性:偷取被入侵计算机上的所有资料。
木马攻击与防范
二:实验原理—2.木马的入侵途径
一:实验目的
❖ 通过对木马的练习,理解和掌握木马传播和 运行机制;
❖ 通过手动删除木马,掌握检查木马和删除木 马的技巧,学会防御木马的相关知识,加深 对木马的安全防范意识。
木马攻击与防范
二:实验原理
❖ 木马的全称为特洛伊木马,来源于古希腊神 话。木马是具有远程控制、信息偷取、隐蔽 传输功能的恶意代码,它通过欺骗后者诱骗 的方式安装,并在用户计算机中隐藏以实现 控制用户计算机的目的。
网络通信; ❖ 通信隐藏:进行通信时,将目标端口设定为常用的
80、21等端口,可以躲过防火墙的过滤; ❖ 隐藏加载方式:通过各类脚本允许木马;修改设备
驱动程序或修改动态链接库(DLL)来加载木马。
木马攻击与防范
二:实验原理—5.木马的检测
❖ 木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再 新,也会在操作系统中留下痕迹。
木马对目标计算机进行控制。
木马攻击与防范
二:实验原理—3.木马的连接方式
❖ 一般木马都采用C/S运行模式,即客户端和服 务端木马程序。
❖ 黑客安装木马的客户端,同时诱骗用户安装 木马的服务端。
木马攻击与防范
木马攻击与防范Leabharlann 木马攻击与防范二:实验原理—4.木马的隐藏方式
❖ 任务栏隐藏:使程序不出现在任务栏; ❖ 进程隐藏:躲避任务管理器等进程管理工具; ❖ 端口隐藏:躲避嗅探工具,使用户无法发现隐蔽的
二:实验原理—1.木马的特性
❖ 伪装性:伪装成合法程序。 ❖ 隐蔽性:在系统中采用隐藏手段,不让使用
者觉察到木马的存在。 ❖ 破坏性:对目标计算机的文件进行删除、修
改、远程运行,还可以进行诸如改变系统配 置等恶性破坏操作。 ❖ 窃密性:偷取被入侵计算机上的所有资料。
木马攻击与防范
二:实验原理—2.木马的入侵途径
一:实验目的
❖ 通过对木马的练习,理解和掌握木马传播和 运行机制;
❖ 通过手动删除木马,掌握检查木马和删除木 马的技巧,学会防御木马的相关知识,加深 对木马的安全防范意识。
木马攻击与防范
二:实验原理
❖ 木马的全称为特洛伊木马,来源于古希腊神 话。木马是具有远程控制、信息偷取、隐蔽 传输功能的恶意代码,它通过欺骗后者诱骗 的方式安装,并在用户计算机中隐藏以实现 控制用户计算机的目的。
网络通信; ❖ 通信隐藏:进行通信时,将目标端口设定为常用的
80、21等端口,可以躲过防火墙的过滤; ❖ 隐藏加载方式:通过各类脚本允许木马;修改设备
驱动程序或修改动态链接库(DLL)来加载木马。
木马攻击与防范
二:实验原理—5.木马的检测
❖ 木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再 新,也会在操作系统中留下痕迹。
木马对目标计算机进行控制。
木马攻击与防范
二:实验原理—3.木马的连接方式
❖ 一般木马都采用C/S运行模式,即客户端和服 务端木马程序。
❖ 黑客安装木马的客户端,同时诱骗用户安装 木马的服务端。
木马攻击与防范
木马攻击与防范Leabharlann 木马攻击与防范二:实验原理—4.木马的隐藏方式
❖ 任务栏隐藏:使程序不出现在任务栏; ❖ 进程隐藏:躲避任务管理器等进程管理工具; ❖ 端口隐藏:躲避嗅探工具,使用户无法发现隐蔽的
第7章 黑客攻击与防范PPT课件
11.08.2020
黑客攻击与防范
21
2. 端口扫描
(1)端口
许多TCP/IP程序可以通过Internet启动, 这些程序大都是面向客户/服务器的程序。当 inetd接收到一个连接请求时,它便启动一个服 务,与请求客户服务的机器通讯。为简化这一 过程,每个应用程序(比如FTP、Telnet)被 赋予一个唯一的地址,这个地址称为端口。在 一般的Internet服务器上都有数千个端口,为 了简便和高效,为每个指定端口都设计了一个 标准的数据帧。换句话说,尽管系统管理员可 以把服务绑定(bind)到他选定的端口上,但 服务一般都被绑定到指定的端口上,它们被称 为公认端口。
11.08.2020
黑客攻击与防范
7
7.1.2 黑客攻击的目的
1.窃取信息 2.获取口令 3.控制中间站点 4.获得超级用户权限
11.08.2020
黑客攻击与防范
8
7.1.3 黑客攻击的3个阶段
1.确定目标 2.搜集与攻击目标相关的信息,并找出系
统的安全漏洞 3.实施攻击
11.08.2020
黑客攻击与防范
网络监听 扫描器
11.08.2020
黑客攻击与防范
11
7.2.1 网络监听
1.网络监听简介
所谓网络监听就是获取在网络上传 输的信息。通常,这种信息并不是特定 发给自己计算机的。一般情况下,系统 管理员为了有效地管理网络、诊断网络 问题而进行网络监听。然而,黑客为了 达到其不可告人的目的,也进行网络监 听。
用户代理是一个用户端发信和收信的应用 程序,它负责将信按照一定的标准包装,然后 送至邮件服务器,将信件发出或由邮件服务器 收回。
传输代理则负责信件的交换和传输,将信 件传送至适当的邮件主机。
网络攻防原理与技术课件最新版第7、8章
找到以词典为基础 的口令
其它的攻击方式
口令安全最容易想到的一个威胁就是口令破解,许多公 司因此花费大量功夫加强口令的安全性、牢固性、不可 破解性,但即使是看似坚不可摧很难破解的口令,还是 有一些其它手段可以获取的,类似大开着的“后门”。
社会工程学 偷窥 搜索垃圾箱 口令蠕虫 特洛伊木马 网络监听 重放
社会工程学:通过欺诈手段或人际关系获取密码。 暴力破解:尝试所有字符的组合方式。获取密码只是
时间问题,是密码的终结者。
口令攻击的方法(cont.)
简单口令猜解:很多人使用自己或家人的生日 、电话号码、房间号码、简单数字或者身份证 号码中的几位;也有的人使用自己、孩子、配 偶或宠物的名字,这样黑客可以很容易通过猜 想得到密码。
社会工程学
社会工程学:是一种让人们顺从你的意愿、满足你的 欲望的一门艺术与学问,并不直接运用技术手段,而 是一种利用人性的弱点、结合心理学知识,通过对人 性的理解和人的心理的了解来获得目标系统敏感信息 的技术。简单来说,就是欺骗人们去获得本来无法访 问的信息。
在多数的公司里,如果得到信任,就会被允许拥有访问这个 公司信息的特权,如雇员、合同方。
受骗者:是吗?那好,如果其它人的机器速度都加快了,那么我也这 样做一下。现在我需要做些什么?
攻击者:嗯,你不需要做什么。我可以远程地把一切都为你做好,但 为了能够这样做,我需要知道你的VPN用户名和口令。
受骗者:你真的能够远程地做好这一切?真是太好了。嗯,我的用户 名是abc,口令是chaodong。
字典档(字典攻击)
字典攻击:利用程序尝试字典中的单词的每种 可能性。字典可以是词典或者常用口令的字典 数据库。
只有被破解用户的密码存在于字典档中,才会 被这种方式所找到。
其它的攻击方式
口令安全最容易想到的一个威胁就是口令破解,许多公 司因此花费大量功夫加强口令的安全性、牢固性、不可 破解性,但即使是看似坚不可摧很难破解的口令,还是 有一些其它手段可以获取的,类似大开着的“后门”。
社会工程学 偷窥 搜索垃圾箱 口令蠕虫 特洛伊木马 网络监听 重放
社会工程学:通过欺诈手段或人际关系获取密码。 暴力破解:尝试所有字符的组合方式。获取密码只是
时间问题,是密码的终结者。
口令攻击的方法(cont.)
简单口令猜解:很多人使用自己或家人的生日 、电话号码、房间号码、简单数字或者身份证 号码中的几位;也有的人使用自己、孩子、配 偶或宠物的名字,这样黑客可以很容易通过猜 想得到密码。
社会工程学
社会工程学:是一种让人们顺从你的意愿、满足你的 欲望的一门艺术与学问,并不直接运用技术手段,而 是一种利用人性的弱点、结合心理学知识,通过对人 性的理解和人的心理的了解来获得目标系统敏感信息 的技术。简单来说,就是欺骗人们去获得本来无法访 问的信息。
在多数的公司里,如果得到信任,就会被允许拥有访问这个 公司信息的特权,如雇员、合同方。
受骗者:是吗?那好,如果其它人的机器速度都加快了,那么我也这 样做一下。现在我需要做些什么?
攻击者:嗯,你不需要做什么。我可以远程地把一切都为你做好,但 为了能够这样做,我需要知道你的VPN用户名和口令。
受骗者:你真的能够远程地做好这一切?真是太好了。嗯,我的用户 名是abc,口令是chaodong。
字典档(字典攻击)
字典攻击:利用程序尝试字典中的单词的每种 可能性。字典可以是词典或者常用口令的字典 数据库。
只有被破解用户的密码存在于字典档中,才会 被这种方式所找到。
网络攻击原理与防范47页PPT
拉
60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。 ——左
网络攻击原理与防范
16、自己选择的路、跪着也要把它走 完。 17、一般情况下)不想三年以后的事, 只想现 在的事 。现在 有成就 ,以后 才能更 辉煌。
18、敢于向黑暗宣战的人,心里必须 充满光 明。 19、学习的关键--重复。
20、懦弱的人只会裹足不前,莽撞的 人只能 引为烧 身,只 有真正 勇敢的 人才能 所向披 靡。
56、书不仅是生活,而且是现在、过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。 ——左
网络攻击原理与防范
16、自己选择的路、跪着也要把它走 完。 17、一般情况下)不想三年以后的事, 只想现 在的事 。现在 有成就 ,以后 才能更 辉煌。
18、敢于向黑暗宣战的人,心里必须 充满光 明。 19、学习的关键--重复。
20、懦弱的人只会裹足不前,莽撞的 人只能 引为烧 身,只 有真正 勇敢的 人才能 所向披 靡。
56、书不仅是生活,而且是现在、过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
计算机木马病毒介绍PPT课件
冒充为图像文件
将特洛伊木马说成为图像文件,比如说是照片
伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,黑客们将木马程序写成任何类型的文 件(例如dll ocx)等然后挂在一个十分出名的软件中,在打开如OICQ时, 有问题的文件即会同时执行。
此类入侵大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支 新木马来,所以即使杀毒软件也拿它没有丝毫办法
下载的软件中找到源木马文件,根据大小去系统文件夹中找相同大小的文件,判 断下哪个是木马就行了,而此种木马我自我销毁功能。在没查杀木马的工具帮助 下,就很难删除木马了
木马采用的伪装方法
木马更名
为了伪装自己木马服务端程序命名跟系统文件名差不多的名字,对系统 文件不够了解,不敢删除(WINDOW .exe dl)
利用系统自动运行的程序
木马的种类
破坏型
惟一的功能就是破坏并且自动删除文件,(DLL、INI、EXE)
密码发送型
找到隐藏密码并把它们发送到指定的邮箱。
密码存在电脑中 密码记忆功能 黑客软件长期潜伏记录操作者键盘的操作,从中寻找有用的密码
远程访问型
最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户端知道服务端的IP 地址,就可以实现远程控制,实现观察“受害者”正在干什么,
11另一种鲜为人知的启动方式,是在开始—运行—执行Gpedit.msc,设置用户添 加的自动启动的程序,如果刚才添加的是木马程序,那么一个“隐形”木马 就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用 程序”找不到,在注册表中也是找不到
12还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统 路径遍历优先级欺骗” 在系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会 由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位。 这种手法常被用于“internat.exe”因为无论哪个windows版本的启动项里,它 都是没有设置路径的
将特洛伊木马说成为图像文件,比如说是照片
伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,黑客们将木马程序写成任何类型的文 件(例如dll ocx)等然后挂在一个十分出名的软件中,在打开如OICQ时, 有问题的文件即会同时执行。
此类入侵大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支 新木马来,所以即使杀毒软件也拿它没有丝毫办法
下载的软件中找到源木马文件,根据大小去系统文件夹中找相同大小的文件,判 断下哪个是木马就行了,而此种木马我自我销毁功能。在没查杀木马的工具帮助 下,就很难删除木马了
木马采用的伪装方法
木马更名
为了伪装自己木马服务端程序命名跟系统文件名差不多的名字,对系统 文件不够了解,不敢删除(WINDOW .exe dl)
利用系统自动运行的程序
木马的种类
破坏型
惟一的功能就是破坏并且自动删除文件,(DLL、INI、EXE)
密码发送型
找到隐藏密码并把它们发送到指定的邮箱。
密码存在电脑中 密码记忆功能 黑客软件长期潜伏记录操作者键盘的操作,从中寻找有用的密码
远程访问型
最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户端知道服务端的IP 地址,就可以实现远程控制,实现观察“受害者”正在干什么,
11另一种鲜为人知的启动方式,是在开始—运行—执行Gpedit.msc,设置用户添 加的自动启动的程序,如果刚才添加的是木马程序,那么一个“隐形”木马 就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用 程序”找不到,在注册表中也是找不到
12还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统 路径遍历优先级欺骗” 在系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会 由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位。 这种手法常被用于“internat.exe”因为无论哪个windows版本的启动项里,它 都是没有设置路径的
木马病毒原理及特征分析PPT演示课件
通过提供软件下载的网站(Web/FTP/BBS)传播
木马程序一般非常小,只有是几K到几十K,如果把木马捆绑到 其它正常文件上,用户是很难发现的,所以,有一些网站被人 利用,提供的下载软件往往捆绑了木马文件,在用户执行这些 下载的文件的同时,也运行了木马
通过一般的病毒和蠕虫传播
通过带木马的磁盘和光盘进行传播
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制;
木马病毒的原理及特征分 析
08:47:32
1
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一 种恶意程序,是一种基于远程控制的黑客工具, 一旦侵入用户的计算机,就悄悄地在宿主计算 机上运行,在用户毫无察觉的情况下,让攻击 者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘,或窃取用户信息
08:47:32
18
特洛伊木马技术的发展
木马的发展及成熟,大致也经历了两个阶段 Unix阶段 Windows阶段
木马技术发展至今,已经经历了4代 第一代木马
只是进行简单的密码窃取、发送等,没有什么特别之处
第二代木马
在密码窃取、发送等技术上有了很大的进步,冰河可以说是国内木马 的典型代表之一
Infis作为内核模式驱动程序驻留内存,并且挂钩文件 操作,它能够在文件打开时立即感染该文件。
安装程序把病毒拷贝到系统内存中,并在系统注册表 中添加该病毒的注册项。该病毒把自己的可执行代码 连同自己的PE文件头一起追加到目标文件的末尾, 然后从自己代码中提取出一个名为INF.SYS的独立驱 动程序,把这个程序保存在%SystemRoot%\ system32 \drivers目录下,修改注册表,保证下一次 系统启动时病毒也能够进入运行状态。
木马程序一般非常小,只有是几K到几十K,如果把木马捆绑到 其它正常文件上,用户是很难发现的,所以,有一些网站被人 利用,提供的下载软件往往捆绑了木马文件,在用户执行这些 下载的文件的同时,也运行了木马
通过一般的病毒和蠕虫传播
通过带木马的磁盘和光盘进行传播
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制;
木马病毒的原理及特征分 析
08:47:32
1
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一 种恶意程序,是一种基于远程控制的黑客工具, 一旦侵入用户的计算机,就悄悄地在宿主计算 机上运行,在用户毫无察觉的情况下,让攻击 者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘,或窃取用户信息
08:47:32
18
特洛伊木马技术的发展
木马的发展及成熟,大致也经历了两个阶段 Unix阶段 Windows阶段
木马技术发展至今,已经经历了4代 第一代木马
只是进行简单的密码窃取、发送等,没有什么特别之处
第二代木马
在密码窃取、发送等技术上有了很大的进步,冰河可以说是国内木马 的典型代表之一
Infis作为内核模式驱动程序驻留内存,并且挂钩文件 操作,它能够在文件打开时立即感染该文件。
安装程序把病毒拷贝到系统内存中,并在系统注册表 中添加该病毒的注册项。该病毒把自己的可执行代码 连同自己的PE文件头一起追加到目标文件的末尾, 然后从自己代码中提取出一个名为INF.SYS的独立驱 动程序,把这个程序保存在%SystemRoot%\ system32 \drivers目录下,修改注册表,保证下一次 系统启动时病毒也能够进入运行状态。
《网络安全课件:防范电脑病毒和木马攻击》
定期更新您的操作系统和防 病毒软件,以保持其对最新 威胁的充分防护。
备份数据
定期备份您的数据到云存储 间,以防止数据丢失。选 择可信赖和安全的云存储提
网络安全意识培训
1
教育培训
2
提供网络安全培训,增强员工对潜
在威胁和防范措施的认识。
3
制定安全政策
建立明确的网络安全政策和规程, 使员工了解并遵守最佳实践。
定期演练
进行网络安全演练,测试应急响应 计划的有效性,并加以改进。
保护您的个人信息
谨慎公开个人信息
避免在公共场所或不可信的网站上公开个 人信息,以防止身份盗窃。
定期检查账户活动
定期查看账户的活动记录,及时发现异常 情况并采取相应措施。
多因素身份验证
启用多因素身份验证功能,提高账户的安 全性,防止未经授权的访问。
木马是一种伪装成合法程序的恶意软件。 它可以远程操控您的计算机,窃取个人 信息。保持警惕,避免访问可疑网站。
常见的网络攻击手段
钓鱼网站
钓鱼网站是冒充合法网站 的虚假网站,旨在获取用 户的个人信息。要时刻保 持警惕,避免提供个人信 息给不可信的来源。
恶意软件下载
谨慎下载未知来源的软件, 特别是破解软件。它们可 能包含恶意软件,导致系 统感染。
加密通信
在进行网上交易或发送敏感信息时,确保 使用加密的通信方式。
维护更新的系统
操作系统 Windows macOS Linux
最新版本 Windows 10 Catalina Ubuntu 20.04
常见的网络安全威胁
网络钓鱼
谨防伪装成合法机构的钓鱼 邮件,防止泄露个人信息或 安装恶意软件。
勒索软件
网络安全课件:防范电脑 病毒和木马攻击
网络攻击与防范安全概论培训课件(PPT 104张)
国内的几个安全事件
(10) 承受能力原则。
•1998年8月22日,江西省中国公用多媒体信息网 安全系统的“动态化”原则是指整个系统内应尽可能多的具有可变因素和良好的扩展性。
被告人王磊犯破坏计算机信息系统罪,判处有期徒刑二年六个月;
( 169台)被电脑“黑客”攻击,整个系统瘫 被告人王磊犯破坏计算机信息系统罪,判处有期徒刑二年六个月;
子海关、电子证券、网络书店、网上拍卖、网络 国内学者给出的定义是:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。
安全测评是依据安全标准对安全产品或信息系统进行安全性评定。
购物、网络防伪、CTI(客户服务中心)、网上 漏洞扫描是针对特定信息网络存在的漏洞而进行的。
如保护CA认证中心采用多层安全门和隔离墙,核心密码部件还要用防火、防盗柜保护。
30分钟后 在全球的感染面积
RPC DCOM蠕虫
2003年8月11日首先被发现,然后迅速扩散,这时候 距离被利用漏洞的发布日期还不到1个月 该蠕虫病毒针对的系统类型范围相当广泛(包括 Windows NT/2000/XP) 截至8月24日,国内被感染主机的数目为25~100万台 全球直接经济损失几十亿美金
应用信息系统高速发展
• 电子商务、电子政务、电子税务、电子银行、电 凯文•米特尼克(1964年生)
2002年3月底,美国华盛顿著名艺术家Gloria Geary在eBay拍卖网站的帐户,被黑客利用来拍卖 Intel Pentium芯片 次日,继工行之后,中国银行也再出差错,中行银期转账全面暂停,网银、柜台均无法操作
• 网络安全
– 指网络系统的硬件、软件及其系统中的数据受 到保护,不因偶然的或者恶意的原因而遭到破 坏、更改、泄露,确保系统能连续、可靠、正 常地运行,使网络服务不中断。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马顽固性就是指有效清除木马的难易程度。 若一个木马在检查出来之后,仍然无法将其 一次性有效清除,那么该木马就具有较强的 顽固性。
易植入性
任何木马必须首先能够进入目标机器,因此易植 入性就成为木马有效性的先决条件。
欺骗是自木马诞生起最常见的植入手段,因此各 种好用的小功能软件就成为木马常用的栖息地。
目前,大多数安全专家统一认可的定义 是:“特洛伊木马是一段能实现有用的或必 需的功能的程序,但是同时还完成一些 不为人知的功能。”
木马的危害
目前木马常被用作网络系统入侵的重要 工具和手段。
木马利用自身所具有的植入功能,或依附其 它具有传播能力的程序等多种途径,进驻目 标机器,搜集其中各种敏感信息,并通过网 络与外界通信,发回所搜集到的各种敏感信 息,接受植入者指令,完成其它各种操作, 如修改指定文件、格式化硬盘等。
其它特点:欺骗性
木马程序要达到其长期隐蔽的目的,就 必需采取各种各样的欺骗手段,欺骗目 标系统用户,以防被发现。
比如木马程序经常会采用一种文件名的 欺骗手段,如exploer这样的文件名,以 此来与系统中的合法程序explorer相混淆。
木马的编制者还在不断制造新的欺骗的 手段,花样层出不穷,让人防不胜防。
黑客在入侵的同时掩盖自己的足迹,谨 防别人发现自己的身份是非常重要的。 因此,给被控制的“肉鸡”种上代理木 马,让其变成攻击者发动攻击的跳板, 就是代理木马最重要的任务。
通过代理木马,攻击者可以在匿名的情 况下使用Telnet、ICQ、IRC等程序,从 而隐蔽自己的踪迹。
(7) 程序杀手木马
上面的木马功能虽然形形色色,不过到 了对方机器上要发挥自己的作用,还要 过防木马软件这一关才行。常见的防木 马软件有ZoneAlarm、Norton Anti-Virus 等。
第三代木马在连接方式上有了改进,利用端口反弹技 术,例如灰鸽子木马;
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
第四代木马在进程隐藏方面做了较大的改动,让木马 服务器运行时没有进程,网络操作插入到系统进程或 者应用进程中完成,例如广外男生木马。
第五代是驱动级木马,使用了大量Rootkit技术深入内 核空间来实现自身的深度隐藏,并且在目标系统中以 内核态运行,拥有感染后能针对杀毒软件和网络防火 墙进行攻击的系统特权,查杀难度较大。
这种木马随着系统的启动而启动,有在线和离线记录 这样的选项,分别记录你在线和离线状态下敲击键盘 时的按键情况。
也就是说你按过什么按键,种植木马的人都知道,从 这些按键中他很容易就会得到你的密码等有用信息!
当然,对于这种类型的木马,邮件发送功能也是必不 可少的。
(5) DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击 的木马也越来越流行起来。
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
随着身份认证USBKey和杀毒软件主动防御的兴起,使 用黏虫技术和特殊反显技术的第六代木马逐渐系统化, 前者主要以盗取和篡改用户敏感信息为主,后者以动 态口令和硬证书攻击为主,PassCopy和暗黑蜘蛛侠是 这类木马的代表。
木马的分类
从木马所实现的功能角度可分为: ① 破坏型 ② 密码发送型 ③ 远程访问型 ④ 键盘记录木马 ⑤ DoS攻击木马 ⑥ 代理木马 ⑦ FTP木马 ⑧ 程序杀手木马 ⑨ 反弹端口型木马
第 七 章 计算机木马
内容提纲
1 恶意代码 2 木马实现原理与攻击技术 3 木马实例 4 木马防御
一、定义
恶意代码
类型
定义
特性
在计算机程序中插入的破坏计算机功
计算机病毒 能并能自我复制的一组程序代码。
潜伏、传染、破坏
通过计算机网络自我复制,消耗系统
计算机蠕虫 资源和网络资源的程序。
扫描、攻击、扩散
(3) 远程访问型
使用这类木马,只需有人运行了服务端 程序,如果客户知道了服务端的IP地址, 就可以实现远程控制。
这类程序可以实现观察"受害者"正在干什么, 当然这个程序完全可以用在正道上的,比如 监视学生机的操作。
(4) 键盘记录木马
记录受害者的(硬/软)键盘敲击并且在日志文 件里查找可能的密码。
木马规模
木马规模
木马规模
二、木马分类
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
第一代木马是伪装型病毒,将病毒伪装成一个合法的 程序让用户运行,例如1986年的PC-Write木马;
第二代木马在隐藏、自启动和操纵服务器等技术上有 了很大的发展,可以进行密码窃取、远程控制,例如 BO2000和冰河木马;
近年来,不同类别的恶意程序之间的界限逐渐 模糊,木马和僵尸程序成为黑客最常利用的攻 击手段。
恶意代码
2007年下半200年7年新上增半年病新毒增病的毒比分例布(瑞星)
17.33
6.12 3.51 4.33
68.71
木马 蠕虫 脚本漏洞病毒 恶意广告 其他病毒
恶意代码
2018年CNCERT中国互联网网络安全报告
程序杀手木马的功能就是关闭对方机器 上运行的这类程序,让其他的木马更好 地发挥作用。
(8) 反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防 火墙对于进入的链接往往会进行非常严格的过 滤,但是对于出去的链接却疏于防范。
于是,与一般的普通木马相反,反弹端口型木 马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。
RFC1244 (1/2)
RFC1244 (Request for Comments : 1244) 中是这样描述木马的: “木马是一种程序, 它能提供一些有用的,或是仅仅令人感 兴趣的功能,但是它还有用户所不知道 的其他功能,例如在你不了解的情况下 拷贝文件或窃取你的密码。”
RFC1244 (2/2)
这种木马的危害不是体现在被感染计算机上,而是体现在 攻击者可以利用它来攻击一台又一台计算机,给网络造成 很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被 感染,木马就会随机生成各种各样主题的信件,对特定的 邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件时 为止。
(6) 代理木马
远程控制木马与远程控制软件的区别?
隐蔽性: 木马被隐藏,避免被发现; 非授权性:木马程序不经授权控制主机
远程控制木马的运行步骤
远程控制木马进行网络入侵的过程:
配置木马 传播木马 运行木马 信息反馈 建立连接 远程控制
远程控制木马的运行步骤
配置木马
传播木马 控制端
运行木马
信息反馈
恶意代码
2018年CNCERT中国互联网网络安全报告
恶意代码
2018年CNCERT中国互联网网络安全报告
恶意代码规模
恶意代码规模
蠕虫
蠕虫:主要利用网络系统漏洞自动传播
特洛伊木马
特洛伊木马(Trojan Horse),简称木马,“一
经潜入,后患无穷”
希腊军队
特洛伊城墙
木马编写者
防火墙和其他安全设置
隐蔽性
木马必须有能力长期潜伏于目标机器中 而不被发现。
一个隐蔽性差的木马往往会很容易暴露自己, 进而被杀毒(或杀马)软件,甚至用户手工 检查出来,这样将使得这类木马变得毫无价 值。
隐蔽性是木马的生命。
顽固性
当木马被检查出来(失去隐蔽性)之后, 为继续确保其入侵有效性,木马往往还 具有另建立连接
远程控制
服务端
配置木马阶段主要实现两个功能:
✓定制木马:定制端口,确定木马在哪个端口监听。 ✓信息反馈:设置信息反馈的方式。
远程控制木马的运行步骤
配置木马
传播木马 控制端
运行木马
信息反馈
建立连接
远程控制
服务端
通过各种传播方式散播木马(往往结合病毒 的传播手段,如电子邮件,网络下载等等)
采用了新技术的木马可以轻易穿过防火墙与外界 (入侵者)通信。
内容提纲
1 恶意代码 2 木马实现原理与攻击技术 3 木马实例 4 木马防御
远程控制木马
木马体系结构:C/S 架构,木马程序 + 控 制端程序
木马程序即是服务器端程序。 控制端程序作为客户端,用于攻击者远程控
制被植入木马的机器。
三、木马特点
木马的特点
一个典型的特洛伊木马(程序)通常具 有以下四个特点:
有效性 隐蔽性 顽固性 易植入性
一个木马的危害大小和清除难易程度可 以从这四个方面来加以评估。
有效性
由于木马常常构成网络入侵方法中的一个重要内容, 它运行在目标机器上就必须能够实现入侵者的某些 企图。因此有效性就是指入侵的木马能够与其控制 端(入侵者)建立某种有效联系,从而能够充分控 制目标机器并窃取其中的敏感信息。
指一种与远程计算机建立连接,使远
特洛伊木马
程计算机能够通过网络控制本地计算 机的程序。
欺骗、隐蔽、信息 窃取
逻辑炸弹 RootKit
通过特殊的数据或时间作为条件触发, 试图完成一定破坏功能的程序。
指通过替代或者修改系统功能模块, 从而实现隐藏和创建后门的程序。
潜伏、破坏 隐蔽,潜伏
恶意代码
恶意代码
(1) 破坏型
惟一的功能就是破坏并且删除文件,如 电脑上的DLL、INI、EXE文件或其它类 型文件,造成系统损坏,用户数据被破 坏。
功能简单,容易实现,破坏性强。
(2) 密码发送型
找到隐藏密码并把它们发送到指定的信箱。
有人喜欢把自己的各种密码以文件的形式存放在计算 机中,认为这样方便;还有人喜欢用WINDOWS提供 的密码记忆功能,这样就可以不必每次都输入密码了。 许多木马可以寻找到这些敏感信息,把它们送到黑客 手中。
(8)反弹端口型木马
反弹窗口木马定时监测控制端的存在,发现控 制端上线,立即弹出端口主动连结控制端打开 的被动端口;为了隐蔽起见,控制端的被动端 口一般开在80,即使用户使用扫描软件检查自 己的端口,发现类似
易植入性
任何木马必须首先能够进入目标机器,因此易植 入性就成为木马有效性的先决条件。
欺骗是自木马诞生起最常见的植入手段,因此各 种好用的小功能软件就成为木马常用的栖息地。
目前,大多数安全专家统一认可的定义 是:“特洛伊木马是一段能实现有用的或必 需的功能的程序,但是同时还完成一些 不为人知的功能。”
木马的危害
目前木马常被用作网络系统入侵的重要 工具和手段。
木马利用自身所具有的植入功能,或依附其 它具有传播能力的程序等多种途径,进驻目 标机器,搜集其中各种敏感信息,并通过网 络与外界通信,发回所搜集到的各种敏感信 息,接受植入者指令,完成其它各种操作, 如修改指定文件、格式化硬盘等。
其它特点:欺骗性
木马程序要达到其长期隐蔽的目的,就 必需采取各种各样的欺骗手段,欺骗目 标系统用户,以防被发现。
比如木马程序经常会采用一种文件名的 欺骗手段,如exploer这样的文件名,以 此来与系统中的合法程序explorer相混淆。
木马的编制者还在不断制造新的欺骗的 手段,花样层出不穷,让人防不胜防。
黑客在入侵的同时掩盖自己的足迹,谨 防别人发现自己的身份是非常重要的。 因此,给被控制的“肉鸡”种上代理木 马,让其变成攻击者发动攻击的跳板, 就是代理木马最重要的任务。
通过代理木马,攻击者可以在匿名的情 况下使用Telnet、ICQ、IRC等程序,从 而隐蔽自己的踪迹。
(7) 程序杀手木马
上面的木马功能虽然形形色色,不过到 了对方机器上要发挥自己的作用,还要 过防木马软件这一关才行。常见的防木 马软件有ZoneAlarm、Norton Anti-Virus 等。
第三代木马在连接方式上有了改进,利用端口反弹技 术,例如灰鸽子木马;
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
第四代木马在进程隐藏方面做了较大的改动,让木马 服务器运行时没有进程,网络操作插入到系统进程或 者应用进程中完成,例如广外男生木马。
第五代是驱动级木马,使用了大量Rootkit技术深入内 核空间来实现自身的深度隐藏,并且在目标系统中以 内核态运行,拥有感染后能针对杀毒软件和网络防火 墙进行攻击的系统特权,查杀难度较大。
这种木马随着系统的启动而启动,有在线和离线记录 这样的选项,分别记录你在线和离线状态下敲击键盘 时的按键情况。
也就是说你按过什么按键,种植木马的人都知道,从 这些按键中他很容易就会得到你的密码等有用信息!
当然,对于这种类型的木马,邮件发送功能也是必不 可少的。
(5) DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击 的木马也越来越流行起来。
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
随着身份认证USBKey和杀毒软件主动防御的兴起,使 用黏虫技术和特殊反显技术的第六代木马逐渐系统化, 前者主要以盗取和篡改用户敏感信息为主,后者以动 态口令和硬证书攻击为主,PassCopy和暗黑蜘蛛侠是 这类木马的代表。
木马的分类
从木马所实现的功能角度可分为: ① 破坏型 ② 密码发送型 ③ 远程访问型 ④ 键盘记录木马 ⑤ DoS攻击木马 ⑥ 代理木马 ⑦ FTP木马 ⑧ 程序杀手木马 ⑨ 反弹端口型木马
第 七 章 计算机木马
内容提纲
1 恶意代码 2 木马实现原理与攻击技术 3 木马实例 4 木马防御
一、定义
恶意代码
类型
定义
特性
在计算机程序中插入的破坏计算机功
计算机病毒 能并能自我复制的一组程序代码。
潜伏、传染、破坏
通过计算机网络自我复制,消耗系统
计算机蠕虫 资源和网络资源的程序。
扫描、攻击、扩散
(3) 远程访问型
使用这类木马,只需有人运行了服务端 程序,如果客户知道了服务端的IP地址, 就可以实现远程控制。
这类程序可以实现观察"受害者"正在干什么, 当然这个程序完全可以用在正道上的,比如 监视学生机的操作。
(4) 键盘记录木马
记录受害者的(硬/软)键盘敲击并且在日志文 件里查找可能的密码。
木马规模
木马规模
木马规模
二、木马分类
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
第一代木马是伪装型病毒,将病毒伪装成一个合法的 程序让用户运行,例如1986年的PC-Write木马;
第二代木马在隐藏、自启动和操纵服务器等技术上有 了很大的发展,可以进行密码窃取、远程控制,例如 BO2000和冰河木马;
近年来,不同类别的恶意程序之间的界限逐渐 模糊,木马和僵尸程序成为黑客最常利用的攻 击手段。
恶意代码
2007年下半200年7年新上增半年病新毒增病的毒比分例布(瑞星)
17.33
6.12 3.51 4.33
68.71
木马 蠕虫 脚本漏洞病毒 恶意广告 其他病毒
恶意代码
2018年CNCERT中国互联网网络安全报告
程序杀手木马的功能就是关闭对方机器 上运行的这类程序,让其他的木马更好 地发挥作用。
(8) 反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防 火墙对于进入的链接往往会进行非常严格的过 滤,但是对于出去的链接却疏于防范。
于是,与一般的普通木马相反,反弹端口型木 马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。
RFC1244 (1/2)
RFC1244 (Request for Comments : 1244) 中是这样描述木马的: “木马是一种程序, 它能提供一些有用的,或是仅仅令人感 兴趣的功能,但是它还有用户所不知道 的其他功能,例如在你不了解的情况下 拷贝文件或窃取你的密码。”
RFC1244 (2/2)
这种木马的危害不是体现在被感染计算机上,而是体现在 攻击者可以利用它来攻击一台又一台计算机,给网络造成 很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被 感染,木马就会随机生成各种各样主题的信件,对特定的 邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件时 为止。
(6) 代理木马
远程控制木马与远程控制软件的区别?
隐蔽性: 木马被隐藏,避免被发现; 非授权性:木马程序不经授权控制主机
远程控制木马的运行步骤
远程控制木马进行网络入侵的过程:
配置木马 传播木马 运行木马 信息反馈 建立连接 远程控制
远程控制木马的运行步骤
配置木马
传播木马 控制端
运行木马
信息反馈
恶意代码
2018年CNCERT中国互联网网络安全报告
恶意代码
2018年CNCERT中国互联网网络安全报告
恶意代码规模
恶意代码规模
蠕虫
蠕虫:主要利用网络系统漏洞自动传播
特洛伊木马
特洛伊木马(Trojan Horse),简称木马,“一
经潜入,后患无穷”
希腊军队
特洛伊城墙
木马编写者
防火墙和其他安全设置
隐蔽性
木马必须有能力长期潜伏于目标机器中 而不被发现。
一个隐蔽性差的木马往往会很容易暴露自己, 进而被杀毒(或杀马)软件,甚至用户手工 检查出来,这样将使得这类木马变得毫无价 值。
隐蔽性是木马的生命。
顽固性
当木马被检查出来(失去隐蔽性)之后, 为继续确保其入侵有效性,木马往往还 具有另建立连接
远程控制
服务端
配置木马阶段主要实现两个功能:
✓定制木马:定制端口,确定木马在哪个端口监听。 ✓信息反馈:设置信息反馈的方式。
远程控制木马的运行步骤
配置木马
传播木马 控制端
运行木马
信息反馈
建立连接
远程控制
服务端
通过各种传播方式散播木马(往往结合病毒 的传播手段,如电子邮件,网络下载等等)
采用了新技术的木马可以轻易穿过防火墙与外界 (入侵者)通信。
内容提纲
1 恶意代码 2 木马实现原理与攻击技术 3 木马实例 4 木马防御
远程控制木马
木马体系结构:C/S 架构,木马程序 + 控 制端程序
木马程序即是服务器端程序。 控制端程序作为客户端,用于攻击者远程控
制被植入木马的机器。
三、木马特点
木马的特点
一个典型的特洛伊木马(程序)通常具 有以下四个特点:
有效性 隐蔽性 顽固性 易植入性
一个木马的危害大小和清除难易程度可 以从这四个方面来加以评估。
有效性
由于木马常常构成网络入侵方法中的一个重要内容, 它运行在目标机器上就必须能够实现入侵者的某些 企图。因此有效性就是指入侵的木马能够与其控制 端(入侵者)建立某种有效联系,从而能够充分控 制目标机器并窃取其中的敏感信息。
指一种与远程计算机建立连接,使远
特洛伊木马
程计算机能够通过网络控制本地计算 机的程序。
欺骗、隐蔽、信息 窃取
逻辑炸弹 RootKit
通过特殊的数据或时间作为条件触发, 试图完成一定破坏功能的程序。
指通过替代或者修改系统功能模块, 从而实现隐藏和创建后门的程序。
潜伏、破坏 隐蔽,潜伏
恶意代码
恶意代码
(1) 破坏型
惟一的功能就是破坏并且删除文件,如 电脑上的DLL、INI、EXE文件或其它类 型文件,造成系统损坏,用户数据被破 坏。
功能简单,容易实现,破坏性强。
(2) 密码发送型
找到隐藏密码并把它们发送到指定的信箱。
有人喜欢把自己的各种密码以文件的形式存放在计算 机中,认为这样方便;还有人喜欢用WINDOWS提供 的密码记忆功能,这样就可以不必每次都输入密码了。 许多木马可以寻找到这些敏感信息,把它们送到黑客 手中。
(8)反弹端口型木马
反弹窗口木马定时监测控制端的存在,发现控 制端上线,立即弹出端口主动连结控制端打开 的被动端口;为了隐蔽起见,控制端的被动端 口一般开在80,即使用户使用扫描软件检查自 己的端口,发现类似