《网络工程技术实践》课件项目五任务一木马的使用.pptx
《《网络工程技术实践》课件项目五任务一木马的使用.pptx》由会员分享,可在线阅读,更多相关《《网络工程技术实践》课件项目五任务一木马的使用.pptx(53页珍藏版)》请在文库网上搜索。
1、1 项目五 木马攻击与防范项目五 木马攻击与防范2 项目五 木马攻击与防范【项目概述】l木马是计算机病毒的一种,已经成为数量增长最快的计算机病毒。黑客通过灰鸽子、上线远控、Ghost木马等各种“肉鸡”控制工具,疯狂侵蚀着Internet安全。为了加强对木马的防范,网络安全公司决定根据木马的特征和主要攻击方式,对整个网络进行木马扫描,加强木马防范措施。3 项目五 木马攻击与防范【项目分析】l木马也称特洛伊木马,名称来源于希腊神话木马屠城记。古希腊派大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装为作战马神,让精兵藏匿于巨大的木马中,大部队假装撤退而将木马摒弃于特洛伊城下。
2、城中士兵得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全称饮酒狂欢。到午夜时分,全城军民尽入梦乡,藏于木马中的将士打开城门,四处放火,城外埋伏的士兵涌入,部队里应外合,攻下了特洛伊城。l网络攻防中的木马指的是攻击者编写的一段恶意代码,它可以潜伏在被攻击者的计算机中。攻击者通过这个代码可以远程控制被攻击者的计算机,以窃取计算机上的信息或者操作计算机。从本质上讲,木马也是病毒的一种,因此很多用户也把木马称为病毒。4 项目五 木马攻击与防范l在本项目中,将介绍木马工作的原理、典型的木马使用过程、木马的生成方法、木马免杀技术、木马防范技术,提高计算机用户对木马的认识,加强在网络使用中对木马的
3、防范意识和措施,避免在网络使用中遭受木马攻击,造成损失。l本项目主要内容如下:l1.木马的使用。l2.木马的生成。l3.木马免杀。l4.木马的防范。5 项目五 木马攻击与防范项目主要内容:任务一 木马的使用任务二 木马的生成任务三 木马免杀任务四 木马的防范6 项目五 木马攻击与防范任务一 木马的使用7 项目五 木马攻击与防范l任务描述l在木马攻击中,攻击者将“服务端”木马程序植入到被攻击者的计算机中,打开被攻击者计算机的端口,然后利用“控制端”远程控制被攻击者的计算机。请使用冰河木马和灰鸽子木马测试木马攻击的危害。8 项目五 木马攻击与防范l任务分析l木马的设计者为了防止木马被发现,会采用多
4、种手段隐藏木马。木马的服务端一旦运行并被控制端连接,控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表、更改计算机配置等。l 1.木马的特征。l(1)隐蔽性:如其他所有的病毒一样,木马必须隐藏在系统之中。l(2)自动运行性:计算机系统启动时木马会自动运行。l(3)能自动打开特别的端口:木马程序潜入计算机后,会打开TCP/IP协议的某些端口,等待控制端进行连接,从而实现远程控制的目的。现在的木马还会主动连接到控制端。l(4)功能的特殊性:很多木马的功能十分特殊,除了普通的文件操作以外,有些木马具有搜索Cache中的口令、设置口令、扫描目标计算机的IP
5、地址、进行键盘记录、远程操作注册表、锁定鼠标、打开摄像头等功能。9 项目五 木马攻击与防范l2.木马的发展。l木马程序技术发展可以说非常迅速。至今木马程序已经经历了6代的改进。l第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。l第二代,在技术上有了很大的进步,功能和隐匿性大大增强,冰河是中国木马的典型代表之一。l第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。l第四代,在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAP
6、I,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。l第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到深度隐藏的效果,并深入到内核空间内,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效力。有的驱动级木马可驻留BIOS,并且很难查杀。l第六代,随着身份认证USB Key和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。1
7、0 项目五 木马攻击与防范l3.木马的种类。l(1)破坏型:其功能就是破坏并且删除文件,可以自动删除计算机上的DLL、INI、EXE文件。l(2)密码发送型:可以找到隐藏木马并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记忆功能,这样就可以不必每次输入密码了。但是许多木马软件可以寻找到这些文件,把它们送到黑客手中。也有些木马软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。l(3)远程访问型:最广泛的是特洛伊木马,只需有人运行了服务端程序,如果黑客知道了这些服务端的IP地址,就可以实现远程控制。l(4)键盘
8、记录木马:这种特洛伊木马记录受害者的键盘敲击并且在LOG文件中查找密码。l(5)DoS攻击木马:当黑客入侵了一台计算机,种上DoS攻击木马,那么日后该计算机就会变成黑客进行DoS攻击的助手,即充当为肉鸡。11 项目五 木马攻击与防范l(6)代理木马:黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此黑客会给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板。通过代理木马,攻击者可以隐蔽自己的踪迹。l(7)程序杀手木马:木马的功能虽然形形色色,不过要在被攻击者的计算机上发挥作用,还需要过防病毒软件这一关才行。程序杀手木马的功能就是关闭对方计算机上运行的防病毒软件,让病毒
9、更好的发挥作用。l(8)反弹端口型木马:防火墙对于连入计算机的连接往往会进行非常严格的过滤,但是对于从计算机连出的连接却疏于防范。于是与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马服务端定时检测控制端的存在,发现控制端上线就会立即主动连接控制端。l根据以上所述木马的特征、发展和种类,下面就冰河木马和灰鸽子木马的使用进行实验演示和分析。12 项目五 木马攻击与防范l任务实施l本次任务实施拓扑示意图如图5-1所示。图5-1 木马的使用任务拓扑示意图13 项目五 木马攻击与防范l2.冰河木马的使用。l知识链接:“冰河木马”属于第2代木马,开发于1
10、999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和名词。虽然冰河木马现在已经过时,但学习木马防范的初学者一定要体验一下冰河木马的使用。冰河木马的服务端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server.exe,那么该程序就会在“C:/Windows/system”目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr
11、.exe和txt文件关联。即使用户删除了Kernel32.exe,但只要打开txt文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!14 项目五 木马攻击与防范l步骤1 配置冰河木马服务端。在攻击者计算机上运行冰河木马的客户端程序G-client.exe,如图5-2所示。图5-2 冰河木马的客户端程序运行界面15 项目五 木马攻击与防范l步骤2 在图5-2中,选择“文件”“配置服务端程序”,打开“服务器配置”窗口,如图5-3所示。图5-3 冰河木马服务器配置“基本设置”窗口16 项目五 木马攻击与防范l在图5-3中,“基本配置”选项卡中各配置含义
12、如下:l(1)安装路径:指安装服务端的目录。l(2)文件名称:指安装服务端时生成的木马程序的文件名。l(3)进程名称:指服务端运行时在进程列表中显示的名字。l(4)访问口令:指对这个服务端进行访问的口令(可以不加)。l(5)敏感字符:服务端监听目标计算机上的敏感字符。l(6)监听端口:设置服务端口,客户端将通过该端口连接服务端,默认的监听端口为7626。l(7)自动删除安装文件:当服务端运行时,将删除原安装文件。l(8)禁止自动拨号:防止服务端连接网络时进行ADSL等拨号。l(9)待配置文件:在路径浏览中选择需要传送到目标机器上的G_SERVER.exe。17 项目五 木马攻击与防范l步骤3
13、在图5-3中,选择“自我保护”选项卡,如图5-4所示。图5-4 冰河木马服务器配置“自我保护”窗口18 项目五 木马攻击与防范l在图5-4中,“自我保护”选项卡中各配置含义如下:l(1)写入注册表启动项:选中后,服务端将随计算机启动而自动启动。l(2)键名:写入注册表启项时的键名,可以自行设置。l(3)关联:指木马可以随着txt文件或者exe文件打开而运行。一旦木马被删除,可以通过已关联类型的文件再次启动木马。19 项目五 木马攻击与防范l步骤4 在图5-2中,选择“邮件通知”选项卡,如图5-5所示。图5-5 冰河木马服务器配置“邮件通知”窗口20 项目五 木马攻击与防范l在图5-4中,“邮件
14、通知”选项卡中各配置含义如下:l(1)SMTP服务器:发送邮件时所使用的SMTP服务器,由于这里无法输入用户名和密码,只可使用不需要验证的SMTP服务器。l(2)接收信箱:邮件的接收者。l(3)邮件内容:选择哪些信息会通过电子邮件进行发送。l设置好木马的各个选项后,单击“确定”按钮,完成对G_client.exe的配置。21 项目五 木马攻击与防范l步骤5 可以采用社会工程学、挂马等手段,诱使被攻击者计算机运行G_server.exe。l步骤6 在图5-2中,右击“我的电脑”,在弹出菜单中选择“添加”,打开“添加计算机”对话框,如图5-6所示。在“显示名称”一栏中输入一个名称,以便区别不同的被
15、攻击者;在“主机地址”一栏中输入服务端的IP地址;在“访问口令”一栏中输入配置服务端时输入的口令;在“监听端口”输入服务端时设置的端口。配置完成后,单击“确定”按钮。图5-6 添加服务端计算机22 项目五 木马攻击与防范l步骤7 单击图5-2中的“我的电脑”前面的“+”号,展开C盘目录,若能够显示被攻击者计算机C盘文件,则表示攻击者已成功连接到被攻击者了,如图5-7所示。图5-7 攻击者成功连接被攻击者23 项目五 木马攻击与防范l步骤8 在图5-7右边窗口空白处,右击鼠标,弹出菜单,可以对服务端计算机的文件夹及文件进行操作,如复制、文件上传、查找、新建文件夹等,如图5-8所示。当右键单击文件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络工程技术实践 网络工程技术实践课件项目五 任务一 木马的使用 网络工程 技术 实践 课件 项目 任务 木马 使用