欢迎来到天天文库
浏览记录
ID:27536696
大小:559.00 KB
页数:63页
时间:2018-12-03
《恶意软件病毒的分析与防范》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、恶意软件(病毒)的分析与防范Defence&analysisofmalware计算机学院傅建明Fujms@sina.com1后门后门是一个允许攻击者绕过系统中常规安全控制机制的程序,他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。2后门的类型本地权限的提升对系统有访问权的攻击者变换其权限等级成为管理员,然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。单个命令的远程执行攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后门执行攻击者的命令并将输出返回给攻击者。远程命令行解释
2、器访问正如远程Shell,这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。远程控制GUI攻击者可以看到目标计算机的GUI,控制鼠标的移动,输入对键盘的操作,这些都通过网络实现。3后门的安装自己植入(物理接触或入侵之后)通过病毒、蠕虫和恶意移动代码欺骗受害者自己安装Email远程共享BT下载……4后门举例NetCat:通用的网络连接工具用法一:nc–l–p5000–ecmd.exenc127.0.0.15000用法二:nc–l–p5000nc127.0.0.15000–
3、ecmd.execshell.exe5其他Windows下的后门程序CryptCatTini提供通向Tcp端口7777,只有3K。……67无端口后门-如何唤醒ICMP后门不使用TCP/UDP协议。使用ICMP协议进行通信。难以检测。非混合型探测后门攻击者将触发指令发送到对方计算机。难以检测。(Cd00r:syntoportx,syntoporty,syntoportz)混合型探测后门只要攻击者将触发指令发送到对方网络中即可触发后门。更加难以检测。(syntoportx,syntoportx,syntoportxindi
4、fferentIps)8Bits--glacier进程管理器中看不到平时没有端口,只是在系统中充当卧底的角色提供正向连接和反向连接两种功能仅适用于Windows2000/XP/2003具体用法和例子可以查看“难以觉察的后门--BITS”一文9GUI(GraphicsUserInterface)远程控制并非所有的GUI远程控制都是恶意的VNC(VirtualNetworkComputing)WindowsTerminalServicesPCAnywhereBackOrifice2000SubSeven10VNC英国剑桥大
5、学AT&T实验室在2002年开发的轻量型的远程控制计算机软件,任何人都可免费取得该软件。VNC软件主要由两个部分组成:VNCserver及VNCviewer。VNCserver与VNCviewer支持多种操作系统,如windows,Linux,MacOS及Unix系列(Unix,Solaris等),因此可将VNCserver及VNCviewer分别安装在不同的操作系统中进行控制。也可以通过一般的网络浏览器(如IE等)来控制被控端(需要Java虚拟机的支持)。11VNC程序举例12后门的启动感染普通执行文件或系统文件添加
6、程序到“开始”-“程序”-“启动”选项修改系统配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相关启动选项通过修改注册表启动键值修改文件关联的打开方式添加计划任务利用自定义文件夹风格注册为Internet Explorer的BHO (Browser Helper Object)组件具体请参考“Windows的自启动方式”一文。13检测Windows后门启动技术手工检测注册表启动键值启动选项关联方式计划任务…利用工具检测MsconfigAutoR
7、unshttp://www.sysinternals.com/Utilities/Autoruns.html完整性检测程序(GFILANguardSystemIntegrityMonitor,IonxDataSentinel)14AutoRuns的运行界面15如何防御后门--普通后门培养良好的安全意识和习惯。使用网络防火墙封锁与端口的连接。仅允许最少数量的端口通信通过防火墙天网个人防火墙,瑞星防火墙,江民黑客防火墙,ZoneAlarm,NortonPersonalFirewall……经常利用端口扫描器扫描主机或端口查
8、看工具查找本地端口监听程序。Nmap,Xscan,NC,Fport,TcpView,IceSword……16如何防御后门--无端口后门查找不寻常的程序查找不寻常的进程利用基于网络的IDS查找隐蔽的后门命令,如Snort。检测本地和网络中的混杂模式的网卡本地检测嗅探器(Promiscdetect.exe)远程检测嗅探器(Senti
此文档下载收益归作者所有