信息安全基础 课件 5.木马

信息安全基础InformationSecurityFundamentals5.6木马攻击黑客攻击与防范本节内容木马的基本概念木马的典型案例木马的防范1.木马的基本概念木马的由来1.木马的基本概念木马的现状1.木马的基本概念木马的定义完整的木马程序一般由两个部分组成：一个是服务端程序，一个是控制端程序。服务端程序用于监听被侵入主机的端口或监视用户活动，控制端程序则用于接收服务端程序返回的信息并可控制远程主机。“中了木马”就是指安装了木马的服务端程序。若你的电脑被安装了服务端程序，则拥有控制端程序的人就可以通过网络控制你的电脑、为所欲为。1.木马的基本概念木马的分类1.木马的基本概念木马实施攻击的步骤1.木马的基本概念木马实施攻击的步骤——配置木马一般来说，一个设计成熟的木马程序都有木马配置程序，从具体的配置内容看，主要是为了实现以下两个功能：木马伪装：木马配置程序为了在服务端尽可能隐藏好，会采用多种伪装，如修改图标、捆绑文件、定制端口、自我销毁等。信息反馈：木马配置程序会根据信息反馈的方式或地址进行配置，如设置信息反馈的邮件地址、IRC号、ICQ号等。1.木马的基本概念木马实施攻击的步骤——传播木马木马的传播方式主要有：控制端通过E-mail将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装通过QQ等通信软件进行传播通过病毒的夹带把木马传播出去1.木马的基本概念木马实施攻击的步骤——启动木马木马程序传播给对方后，接下来就是启动木马。一种方式是被动地等待木马或捆绑木马的程序被主动运行，这是最简单的木马。大多数首先将自身复制到Windows系统文件夹中，然后写入注册表启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。一般系统重新启动时木马就可以启动，然后木马打开端口，等待连接。1.木马的基本概念木马与病毒、远程控制的区别病毒程序是以自发性的破坏为目的木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。木马和一般的远程控制软件的区别在于其隐蔽、非授权性。1.木马的基本概念木马的隐藏与伪装文件的位置：木马的服务器程序文件的一般位置是在C:\WINNT和C:\WINNT\system32中，因为Windows的一些系统文件在这两个位置，所以许多人不敢随意删除这里的文件。文件的属性：把文件的属性设置为隐藏，这是最简单、最初级的隐藏方法。文件的捆绑：将某个可执行程序和木马捆绑成一个程序，而且会自动更改图标，使捆绑后的程序和捆绑前的程序图标一样。执行捆绑后的程序就等于同时执行了两个程序。被捆绑的文件一般是可执行文件（EXE/COM）。1.木马的基本概念木马的隐藏与伪装文件的名字：有些木马是独立的文件，经常使用的是常见的文件名或扩展名，或者仿制一些不易被人区别的文件名。文件的扩展名：把可执行文件伪装成图片或文本文件，把文件名改为*.jpg.exe，由于Windows的默认设置是“不显示已知的文件扩展名”，文件将会显示为“*.jpg”。文件的图标：为了起到伪装的效果，有些木马程序把自己的图标修改成大家熟悉的程序的图标，以迷惑被攻击者去执行该木马程序。1.木马的基本概念木马的隐藏在任务栏里隐藏：这是最基本的隐藏方式，也是所有木马的特征。在任务管理器里隐藏隐藏端口2.木马的典型案例冰河木马服务器端程序：G-server.exe客户端程序：G-client.exe2.木马的典型案例冰河木马的清除方法1、结束进程：KERNEL32.EXE2、C:\windows\system32删除：KERNET32.EXESYSEXPLR.EXE3、运行：regedit，打开注册表，HKLM\software\Microsoft\windows\currentversion\run:C:\WINNT\system32\KERNET32.EXE删除，HKLM\software\Microsoft\windows\currentversion\runservice:C:\WINNT\system32\KERNET32.EXE删除4、注册表：HKCR\txtfile\shell\open\command改为C:\WINNT\system32\notepad.exe%12.木马的典型案例灰鸽子木马普通木马的最大弱点在于攻击者必须和用户主机建立连接，木马才能起作用。在对外部连接审查严格的防火墙下，这样的木马很难工作起来。2.木马的典型案例灰鸽子木马以灰鸽子木马为代表的反弹端口型木马，当客户端打开某个监听端口后，服务端主动与客户端建立连接。这样可以使得防火墙忽略了对它的检查。2.木马的典型案例灰鸽子木马3.木马的防范如何发现木马系统的异常情况打开文件，没有任何反应查看打开的端口检查注册表查看进程3.木马的防范如何防范木马不要打开陌生人邮件中的附件。