（高职）9.木马攻击与防御技术ppt课件.pptx

《（高职）9.木马攻击与防御技术ppt课件.pptx》由会员分享，可在线阅读，更多相关《（高职）9.木马攻击与防御技术ppt课件.pptx（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、9.木马攻击与防御技术木马攻击与防御技术 高等教育出版社-电子商务安全实务第二版计算机病毒（1 1）概念）概念计算机病毒”是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。计算机病毒（2 2）计算机病毒的特征 传染性 非授权性 隐蔽性 潜伏性 破坏性 不可预见性（3）病毒的传播方式（4 4）常见的计算机病毒）常见的计算机病毒 1.DOS1.DOS病毒病毒: :主要有引导区病

2、毒、文件型病毒、混合病毒三种。2. 2. 系统病毒系统病毒3.3.宏病毒宏病毒4.4.脚本病毒脚本病毒5.5.木马木马6.6.蠕虫蠕虫7.7.后门病毒捆绑病毒后门病毒捆绑病毒8.8.手机病毒手机病毒特洛伊木马（1 1）概念）概念“特洛伊木马”简称“木马”，计算机网络中的木马是指隐藏在正常程序中的一段具有特殊功能的代码，实质上只是一种远程控制软件。木马的结构是一种客户端客户端/ /服务器模式（服务器模式（C/SC/S模式）模式）由两部分组成：服务器程序（目标主机）服务器程序（目标主机） 控制器程序（控制者的计算机）控制器程序（控制者的计算机） 特洛伊木马（2 2）特点）特点 具有隐藏性具有隐藏性

3、 具有自动运行性具有自动运行性 具有非授权性具有非授权性 具有自动恢复功能和顽固性具有自动恢复功能和顽固性 自动打开特别端口自动打开特别端口 具有易植入性具有易植入性 具有欺骗性具有欺骗性 功能的特殊性，具有很大危害性功能的特殊性，具有很大危害性特洛伊木马（2 2）典型木马工作原理）典型木马工作原理-木马服务器端在目标主机被执行后，打开一个默认的端口进行监听；-当木马客户端向服务端直接提出通信请求时，服务端自动运行来响应客户端请求，服务端与客户端间建立连接（也可不建立，使用ICMP传数据包）-客户端发出指令，服务端在目标主机执行指令，并将运行结果数据传送到客户端，以控制目标主机特洛伊木马（3

4、3）木马分类）木马分类- -实现功能角度上划分实现功能角度上划分 密码访问型木马密码访问型木马- -盗取目标主机上的密码，多使用盗取目标主机上的密码，多使用2525号号端口发送端口发送e-maile-mail 键盘记录型木马键盘记录型木马- -记录目标主机键盘敲击来得到用户密记录目标主机键盘敲击来得到用户密码等有用信息。需要邮件发送功能码等有用信息。需要邮件发送功能 破坏型木马破坏型木马- -破坏并删除被感染主机的文件系统破坏并删除被感染主机的文件系统 远程访问型木马远程访问型木马- -让攻击者完全控制被感染主机让攻击者完全控制被感染主机 DoSDoS攻击木马攻击木马特洛伊木马 代理木马代理木

5、马- -入侵的同时隐藏自己足迹，给被控制的肉鸡入侵的同时隐藏自己足迹，给被控制的肉鸡中上代理木马，让其变成攻击者发动攻击的跳板中上代理木马，让其变成攻击者发动攻击的跳板 FTPFTP木马木马- -打开打开2121号端口等待用户连接号端口等待用户连接 程序杀手木马程序杀手木马- -关闭目标主机上防木马软件关闭目标主机上防木马软件 反弹端口型木马反弹端口型木马- -木马使用系统信任的端口，使系统不木马使用系统信任的端口，使系统不对其连接进行检查，服务端使用主动端口，客户端使用对其连接进行检查，服务端使用主动端口，客户端使用被动端口被动端口木马攻击原理当攻击者利用木马进行攻击时，一般过程为当攻击者利

6、用木马进行攻击时，一般过程为（1 1）植入木马）植入木马- -伪装成一般正常程序或把木马绑定在正常伪装成一般正常程序或把木马绑定在正常程序上。主要手段：程序上。主要手段： 利用系统漏洞直接攻击 通过端口入侵 通过网站上挂马或下载传播 通过电子邮件传播 在网络上发送超链接引诱用户点击 与病毒结合，利用病毒传染性植入木马攻击原理（2 2）启动木马）启动木马 被动地等待木马或捆绑木马的程序被主动运行 首先将自身复制到系统文件中，利用修改系统文件和注册表来实现自动重启（3 3）隐藏木马）隐藏木马隐藏技术有：设置窗口不可见、把木马程序注册为服务、欺骗查看进程的函数、使用可变的高端口、使用系统驱动或系统D

7、LL等木马攻击原理（4 4）建立连接）建立连接木马连接建立必须满足两个条件：木马连接建立必须满足两个条件： 服务器已安装了木马程序 控制端、服务端都在线木马连接建立的方法：木马连接建立的方法： 控制端通过木马端口与服务端建立连接 根据提前配置的服务器地址、定制端口来建立连接 使用扫描器，根据扫描结果建立连接 根据服务端主动发回的信息获取服务端的地址、端口，然后建立连接木马攻击原理（5 5）远程控制）远程控制木马最终目的是对服务端进行远程控制，实现窃取密码、文件操作、修改注册表、锁住服务端以及系统操作等目的运用木马实施网络入侵的基本过程如下图所示运用木马实施网络入侵的基本过程如下图所示特洛伊木马

8、运用木马实施网络入侵的基本过程运用木马实施网络入侵的基本过程木马的防御技术（1 1）端口扫描和连接查看）端口扫描和连接查看扫描程序尝试连接某个端口，若成功，则说明端口开放；如失败，则说明端口关闭。连接查看：netstat -an可查看系统当前已经建立的连接和正在监听的端口，同时可以查看连接的远程主机IP（2 2）检查注册表）检查注册表- -注意查看注意查看“run”“run”开头的键值有没有可开头的键值有没有可疑的程序运行疑的程序运行木马的防御技术（3 3）检查系统配置文件）检查系统配置文件查看win.ini和system.ini文件是否有异常程序出现（4 4）检查启动组检查启动组（5 5）使用杀毒软件和防火墙软件）使用杀毒软件和防火墙软件（6 6）加强防范意识）加强防范意识