返回
《攻击与应急响应》ppt课件

《攻击与应急响应》ppt课件

ID:27658560

大小:1.14 MB

页数:38页

时间:2018-12-05

《攻击与应急响应》ppt课件_第1页
《攻击与应急响应》ppt课件_第2页
《攻击与应急响应》ppt课件_第3页
《攻击与应急响应》ppt课件_第4页
《攻击与应急响应》ppt课件_第5页
资源描述:

《《攻击与应急响应》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、攻击与应急响应Contents网络监听拒绝服务攻击攻击与应急响应(二)特洛伊木马典型的木马攻击D员工通过浏览器漏洞被植入木马程序,开始向其客户发送病毒电子邮件。木马被一个一个的拆开通过网络发送IDS得到木马片断,由于数据片断不完整,没有发现任何攻击特征。到达防火墙后,因为使用25端口的邮件完全符合通过规则,所以数据被成功的发送到了外部。病毒被感染到外部网络。员工D因为浏览的非法网站,电脑被植入木马,不断的向他的联系人发送携带病毒的计算机邮件。10.4特洛伊木马名称由来木马发展史第一代木马:伪装型

2、病毒世界上第一个计算机木马是1986年的PC-Write木马。第一代木马还不具备传染特征。第二代木马:AIDS型木马1989年出现了AIDS木马。第二代木马已具备了传播特征(通过传统的邮递方式)。第三代木马:网络传播型木马10.4特洛伊木马特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。凡是非法驻留在目标计算机里,并执行预定的操作,窃取目标的私有信息,都属于特洛伊木马。工作方式:C/S模式;服务器端安装在目标机里,监听等待攻击者发出的指令;客户端是用来控制目标机器的部分,放在攻击者机器上。木

3、马“PasswdSender”(口令邮差)可以不需要客户端。10.4特洛伊木马木马的伪装冒充图象文件或游戏程序捆绑程序欺骗将木马程序与正常文件捆绑为一个程序伪装成应用程序扩展组件木马名字为dll或ocx类型文件,挂在一个有名的软件中。后两种方式的欺骗性更大。10.4特洛伊木马木马的特点隐蔽性强早期的木马按“Ctrl+Alt+Del”能显露出来,但现在大多数木马只能采用内存工具来看内存中是否存在木马。潜伏能力强表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。非授权性一旦控制端和服务

4、端连接后,控制端将享有服务端的大部分操作权限,包括窃取口令、拷贝或删除文件、修改注册表、控制鼠标、键盘、重新启动计算机等。举例:Glacier(冰河)有两个服务器程序,挂在注册表的启动组中的是C:WindowsSystemKernel32.exe,表面上的木马;另一个是C:WindowsSystemSysexplr.exe,也在注册表中,它修改文本文件的关联,当点击文本文件的时候,会检查Kernel32.exe是不是存在。当Kernel32.exe被删除以后,如果点击了文本文件,那么

5、这个文本文件照样运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生成一个Kernel32.exe。特洛伊木马启动方式自动启动:木马一般会存在三个地方:注册表、win.ini、system.ini。在autoexec.bat、config.sys、启动组中易被发现。捆绑方式启动:捆绑方式是一种手动的安装方式。非捆绑方式的木马因为会在注册表等位置留下痕迹,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。修改文件关联:如用木马取代not

6、epad.exe来打开.txt文件。10.4特洛伊木马木马服务器存放位置及文件名(1)木马的服务器程序文件一般位置是在c:windows和c:windowssystem——原因:windows的一些系统文件在这两个位置。(2)木马的文件名总是尽量和windows的系统文件接近。如木马SubSeven1.7版本的服务器文件名是c:windowsKERNEL16.DL,而windows有一个系统文件是c:windowsKERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。

7、木马SubSeven1.5版本服务器文件名是c:windowswindow.exe,少一个s10.4特洛伊木马木马的工作原理1、木马隐藏技术2、木马程序建立连接技术(1)合并端口木马修改虚拟设备驱动程序(vxd)或修改动态链接库(DLL),在一个端口上同时绑定两个TCP或UDP连接,通过把木马端口绑定于特定的服务端口之上,达到隐藏端口的目的。采用替代系统功能的方法,木马将修改后的DLL替换系统原有的DLL,并对所有的函数调用进行过滤。10.4特洛伊木马(2)使用ICMP协议进行数据的发送IC

8、MP报文是由系统内核或进程直接处理而不是通过端口,修改ICMP头的构造,加入木马的控制字段,木马将自己伪装成一个Ping的进程,系统会将ICMP_ECHOREPLY(Ping回包)的监听、处理权交给木马进程,一旦事先约定好的ICMP_ECHOREPLY包出现,木马就会接受、分析并从报文中解码出命令和数据。(3)反弹端口型木马反弹端口型木马的服务端使用主动端口,客户端使用被动端口,木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口,为了隐藏起见,控制端的被动端口一般开

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。