3-5-2木马的植入、自启动和隐藏.ppt

ID:48727249

大小:803.00 KB

页数:21页

时间:2020-01-20

3-5-2木马的植入、自启动和隐藏.ppt_第1页
3-5-2木马的植入、自启动和隐藏.ppt_第2页
3-5-2木马的植入、自启动和隐藏.ppt_第3页
3-5-2木马的植入、自启动和隐藏.ppt_第4页
3-5-2木马的植入、自启动和隐藏.ppt_第5页
资源描述:

《3-5-2木马的植入、自启动和隐藏.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-5木马病毒防治木马自启动原理木马的植入技术木马自启动实现第二讲木马的植入、自启动和隐藏计算机病毒与防治课程小组木马隐藏手段木马隐藏实现木马入侵木马的传播途径有很多种,其中最简单的是直接将木马的服务器端程序拷贝到U盘上。通过电子邮件传播是一种最简单有效的方法,黑客通常给用户发电子邮件,而这个加在附件中的软件就是木马的服务器端程序。缓冲区溢出攻击是植入木马最常用的手段。据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。计算机病毒与防治课程小组木马植入技术计算机病毒与防治课程小组木马入侵缓冲区溢出((Buffe

2、rOverflow)指的是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序:voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}通过缓冲区溢出植入木马木马入侵计算机病毒与防治课程小组上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str的长度大于16就会造成buffer的溢出,使程序运行出错。存在象strcpy这样的问题的标准函数还有strc

3、at(),sprintf(),vsprintt(),gets(),scanf(),以及在循环内的getc(),fgetc(),getchar()等。当然,随便往缓冲区中填东西造成它溢出一般只会出现Segmentationfault错误,而不能达到攻击的目的。如果在溢出的缓冲区中写入我们想执行的代码,再覆盖函数返回地址的内容,使它指向缓冲区的开头,就可以达到运行其它指令的目的。通过缓冲区溢出植入木马木马自启动途径计算机病毒与防治课程小组1.利用INI文件实现相关程序的自动启动win.ini是系统保存在[Windir]目录下的一个系统初始化文件。系统在起动时会检索该文件中的相关项,以便对系统环

4、境的初始设置。在该文件中的“[windows]”数据段中,有两个数据项“load=”和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关的程序。Win.ini:System.ini:[windows][boot]Shell=Explorer.exeload=file.exeShell=Explorer.exerun=file.exe程序自动启动的原理计算机病毒与防治课程小组木马自启动途径2.利用注册表实现相关程序的自动启动系统注册表保存着系统的软件、硬件及其他与系统配置有关的重要信息,注册表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWind

5、owsCurrentVersion]项会影响系统起动过程执行程序,可以向该项添加一个子项,自动启动程序的设置具体可以通过更改以下键值来实现:[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun][HKEY_LOC

6、AL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]木马自启动途径计算机病毒与防治课程小组3加入系统启动组在启动

7、文件夹[Windir]startmenuprogramsstartup中添加程序或快捷方式,也可修改册表的位置:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup]="windowsstartmenuprogramsstartup"木马自启动途径计算机病毒与防治课程小组4利用系统启

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
正文描述:

《3-5-2木马的植入、自启动和隐藏.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-5木马病毒防治木马自启动原理木马的植入技术木马自启动实现第二讲木马的植入、自启动和隐藏计算机病毒与防治课程小组木马隐藏手段木马隐藏实现木马入侵木马的传播途径有很多种,其中最简单的是直接将木马的服务器端程序拷贝到U盘上。通过电子邮件传播是一种最简单有效的方法,黑客通常给用户发电子邮件,而这个加在附件中的软件就是木马的服务器端程序。缓冲区溢出攻击是植入木马最常用的手段。据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。计算机病毒与防治课程小组木马植入技术计算机病毒与防治课程小组木马入侵缓冲区溢出((Buffe

2、rOverflow)指的是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序:voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}通过缓冲区溢出植入木马木马入侵计算机病毒与防治课程小组上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str的长度大于16就会造成buffer的溢出,使程序运行出错。存在象strcpy这样的问题的标准函数还有strc

3、at(),sprintf(),vsprintt(),gets(),scanf(),以及在循环内的getc(),fgetc(),getchar()等。当然,随便往缓冲区中填东西造成它溢出一般只会出现Segmentationfault错误,而不能达到攻击的目的。如果在溢出的缓冲区中写入我们想执行的代码,再覆盖函数返回地址的内容,使它指向缓冲区的开头,就可以达到运行其它指令的目的。通过缓冲区溢出植入木马木马自启动途径计算机病毒与防治课程小组1.利用INI文件实现相关程序的自动启动win.ini是系统保存在[Windir]目录下的一个系统初始化文件。系统在起动时会检索该文件中的相关项,以便对系统环

4、境的初始设置。在该文件中的“[windows]”数据段中,有两个数据项“load=”和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关的程序。Win.ini:System.ini:[windows][boot]Shell=Explorer.exeload=file.exeShell=Explorer.exerun=file.exe程序自动启动的原理计算机病毒与防治课程小组木马自启动途径2.利用注册表实现相关程序的自动启动系统注册表保存着系统的软件、硬件及其他与系统配置有关的重要信息,注册表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWind

5、owsCurrentVersion]项会影响系统起动过程执行程序,可以向该项添加一个子项,自动启动程序的设置具体可以通过更改以下键值来实现:[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun][HKEY_LOC

6、AL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]木马自启动途径计算机病毒与防治课程小组3加入系统启动组在启动

7、文件夹[Windir]startmenuprogramsstartup中添加程序或快捷方式,也可修改册表的位置:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup]="windowsstartmenuprogramsstartup"木马自启动途径计算机病毒与防治课程小组4利用系统启

显示全部收起
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
关闭