第9章：木马攻击与防御技术辩析.ppt

* 网络入侵与防范讲义 * 处理遗留问题(2) 首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可供参考。 利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。 * 网络入侵与防范讲义 * 处理遗留问题(3) 其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？ * 网络入侵与防范讲义 * 处理遗留问题(4) 在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合，最好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。 在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或网络安全的负责人，彻底检测整个网络，修改所有密码，在此基础上再执行后继风险分析。对于被入侵的机器，重新进行彻底的格式化和安装。 * 网络入侵与防范讲义 * 9.4.3 木马的防范 虽然木马程序隐蔽性强，种类多，攻击者也设法采用各种隐藏技术来增加被用户检测到的难度，但由于木马实质上是一个程序，必须运行后才能工作，所以会在计算机的文件系统、系统进程表、注册表、系统文件和日志等中留下蛛丝马迹，用户可以通过“查、堵、杀”等方法检测和清除木马。 * 网络入侵与防范讲义 * 木马的防范(2) 其具体防范技术方法主要包括：检查木马程序名称、注册表、系统初始化文件和服务、系统进程和开放端口，安装防病毒软件，监视网络通信，堵住控制通路和杀掉可疑进程等。 * 网络入侵与防范讲义 * 木马的防范(3) 以下是一些常用的防范木马程序的措施： 及时修补漏洞，安装补丁 运行实时监控程序 培养风险意识，不使用来历不明的软件 即时发现，即时清除 及时修补漏洞，安装补丁 及时安装系统及应用软件的补丁可以保持这些软件处于必威体育精装版状态，同时也修复了必威体育精装版发现的漏洞。通过漏洞修复，最大限度地降低了利用系统漏洞植入木马的可能性。 运行实时监控程序 选用实时监控程序、各种反病毒软件，在运行下载的软件之前用它们进行检查，防止可能发生的攻击。同时还要准备如Cleaner、LockDown、木马克星等专门的木马程序清除软件，用于删除系统中已经存在的感染程序。有条件的用户还可以为系统安装防火墙，这能够大大增加黑客攻击成功的难度。 * 网络入侵与防范讲义 * 培养风险意识，不使用来历不明的软件 互联网中有大量的免费、共享软件供用户下载使用，很多个人网站为了增加防问量也提供一些趣味游戏供浏览者下载。 而这些下载的软件很可能就是一个木马程序，对于这些来历不明的软件最好不要使用，即使通过了一般反病毒软件的检查也不要轻易运行。 * 网络入侵与防范讲义 * 培养风险意识，不使用来历不明的软件 对不熟悉的人发来的E-mail不要轻易打开，带有附件就更要小心了。 加强邮件监控系统，拒收垃圾邮件。 如实在想接收，最好用查杀病毒或是木马软件进行查杀一下，然后再打开。 * 网络入侵与防范讲义 * 即时发现，即时清除 在使用电脑的过程中，注意及时检查系统，发现异常情况时，如突然发现蓝屏后死机；鼠标左右键功能颠倒或者失灵；文件被莫名其妙地删除等，请按前面的办法立即查杀木马。 另外严禁物理接触，提防他人使用后台监视记录程序来监控自己的计算机。不要以为自己计算机中没有什么吸引人的东西而疏忽大意，很多人使用木马只是出于好奇，想过一把黑客瘾，先用木马控制你的计算机，然后以你的计算机为基础对其它服务器进行攻击，这是潜在的危险因素。 * 网络入侵与防范讲义 * 9.5 木马的发展趋势 随着计算机网络技术和程序设计技术的发展，木马程序的编制技术也在不断变化更新。目前主要体现出以下一些发展趋势： 跨平台 模块化设计 无连接木马 主动植入 木马与病毒的融合 * 网络入侵与防范讲义 * 跨平台 对于Windows系统而言，一般木马的使用者都希望一个木马既可以在Windows98下使用，也可以在Windows2000/XP/2003下使用，即希望木马具有跨平台特性。 但是Windows 2000/XP/2003的工作机制毕竟与Windows 9x有一定的差别，例如在Windows2000/XP/2003中具有了权限的概念，编写Windows 2000/XP/2003下的木马需要更高的手段，如进程隐藏、进程控制等。 现在有些木马已经实现了这种跨平台运行的功能，随着Windows操作系统新版本的不断推出，