《第5章网络后门与网络隐身.ppt

莆田学院网络技术教研室 第5章 网络后门与网络隐身 概 述 本章主要介绍网络后门与网络隐身技术，主要包括木马、后门和清除攻击痕迹等。这个技术与方法都是黑客攻击常用的技术方法。 5.1 木马攻击 5.1.1 木马概述 特洛伊木马简称木马，英文叫做“Trojan horse” ，其名称取自希腊神话的特洛伊木马记。古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵，如图5.1所示。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。 5.1 木马攻击 特洛伊木马简称木马，英文叫做“ Trojan horse” 。 5.1 木马攻击 利用计算机程序漏洞入侵后窃取文件，多不会直接对电脑造成危害，而以控制为主，这样的程序被称为木马。 木马的特点： 木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 隐蔽性是指木马的设计者为了防止木马被发现，会用多种手段隐藏木马； 非授权性是指一旦客户端与服务器端连接后，客户端将享有服务器端大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等。 5.1 木马攻击 木马的组成： 木马一般由两个程序组成，一个是客户端，另一个是服务器端。如果要给别人的计算机种植木马，则受害者一方运行的是服务器端程序，而自己使用的是客户端来控制受害者机器。 5.1 木马攻击 木马的运行过程： 木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入netstat -an查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，就要注意是否感染木马了。 5.1 木马攻击 木马的传播方式主要有两种:一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 5.1 木马攻击 1. 密码发送型木马 密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启，而且它们大多数使用25端口发送E-mail。 2. 键盘记录型木马 键盘记录型木马非常简单，它们只做一件事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动，知道受害者在线并且记录每一件事。 5.1 木马攻击 3. 毁坏型木马 毁坏型木马的唯一功能是毁坏并且删除文件。这使它们非常简单，并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。 4. FTP 型木马 FTP 型木马打开用户计算机的21端口（FTP所使用的默认端口），使每一个人都可以用一个FTP 客户端程序不用密码连接到该计算机，并且可以进行最高权限的上传下载。 5.1 木马攻击 木马常用的欺骗方法如下： 捆绑欺骗：把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人。 危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；或直接将木马改名上载到FTP网站上，等待别人下载。 文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹。 5.1 木马攻击 木马常用的欺骗方法如下： zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标。 网页木马法：有的网页是自带木马的，只要打开该网页，立刻就会安装上木马。 5.1.3 木马例子 下面以Windows下的冰河木马为例子，介绍木马的原理。冰河实际上是一个小小的服务器程序（安装在要入侵的机器中），这个小小的服务端程序功能十分强大，通过客户端（安装在入侵者的机器中）的各种命令来控制服务端的机器，并可以轻松的获得服务端机器的各种系统信息。1999年上半年，一个名叫黄鑫的人写出了冰河木马软件。冰河在国内一直是不可动摇的领军木马，有人说在国内没用过冰河的人等于没用过木马，可见冰河木马的重要性。 5.1.3 木马例子 冰河木马的服务器端程序名为G_Server.exe，客户端程序名为G_Client.exe。冰河木马目的是远程访问、控制。冰河的开放端口7626据传为其