木马病毒及其防治技术实践解读.doc

欺骗与拒绝服务攻防技术实践 摘 要 在当今社会，信息技术的快速发展，使得以计算机、通信等技术变得日益更新，发展非常快，从而影响了政治经济和生活登各方各面领域的飞速发展，然而，网络是把双刃剑，在给人们生活带来便利的同时，网络的安全问题也日益突出和重要。所以，网络是把双刃剑，在给人们带来便利的同时也给人们带来了危险，危险的例子也屡见不鲜，所以我们应该了解网络安全中面临的危险。我们把文档分为部分： 第一部分， 第二部分， 第三部分计算机和信息技术的飞速发展，网络的日益普及，深刻地改变着人们的生活方式、生产方式与管理方式，加快了国家现代化和社会文化的发展。21世纪的竞争是经济全球化和信息化的竞争，“谁掌握信息，谁就掌握了世界”，信息安全不仅关系到公民个人，企业团体的日常生活，更是影响国家安全，社会稳定的至关重要的因素之一。 今年来，我国网络安全事件发生的比例呈上升趋势，调查结果显示绝大多数网民的主机曾经感冒病毒，超过一半的网民经历过账号/个人信息被盗窃、被篡改，部分网民曾被仿冒网站欺骗。在经济利益的驱使下，制造、贩卖病毒木马、进行网络盗窃或诈骗、教授网络攻击技术等形式的网络犯罪活动明显增多，造成了巨大的经济损失和安全威胁，严重影响了我国互联网事业的健康发展。  木马的反弹端口技术：随着防火墙技术的发展，它可有效拦截从外部主动发起的连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接，第三代第四代木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求，而客户端是被动的连接。 线程插入技术：我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。“线程插入”技术就是利用线程之间运行的相对独立性，使木马完全地融进了系统那个内核。系统运行时会有很多的进程，而每个进程又有许多的线程，这就导致了查杀利用“线程插入”技术木马程序的难度。 2.2木马攻击实验 攻击者打开电脑，解压冰河软件，如图2-1所示。学生单击“试验环境试验”按钮，出现如图2-1所示。 图1解压冰河软件 通过被攻击方的漏洞把G_SERVER发送给被攻击方，G_Server是木马的服务器端，即用来植入目标主机的程序。如图2-2所示： 图2-2 G_SERVER存在目录 同样，攻击方运行冰河客户端。如图2-3所示： 图2-3 G_CLIENT所在目录 打开控制端G_CLIENT后，弹出“冰河”的主界面，如图2-4所示： 图 2-4? 冰河主界面 单击快捷工具栏中的“添加主机”按钮，如图 2-5所示 图2-5?添加主机按钮 则弹出如下窗口，如图2-6所示 图2-6?添加计算机 显示名称：填入显示在主界面的名称，即VPC1的ip地址 主机地址：填入服务器端主机的IP地址 访问口令：填入每次访问主机的密码，“空”即可 监听端口：冰河默认的监听端口是7626 获取VPC1的IP地址 在VPC1中点击开始——运行，即可出现如图2-7所示窗口 图2-7运行 在打开中输入cmd，点击确定，即可出现命令行界面，在窗口中输入“ipconfig”即可获取VPC1的IP地址，如图2-8窗口，此处VPC1的IP地址为192.168.12.47（此IP地址不固定） 图2-8?命令行窗口 填写VPC1的IP地址，并点击确定，即可以看到主机界面上添加了192.168.12.47的主机，如图2-9所示: 图2-9??添加192.168.12.47主机 单击192.168.12.47主机，如果连接成功，则会显示服务器端主机上的盘符。这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开C:\WINNT\ system32\config目录可以找到对方主机上保存用户口令的SAM文件。 命令控制台命令的使用方法口令类命令：点击“命令控制台”，点击“口令类命令”前面的“+”即可图2-10所示界面 图2-10?口令类命令 “系统信息及口令”：可以查看远程主机的系统信息，开机口令，缓存口令等。可看到非常详细的远程主机信息，这就无异于远程主机彻底暴露在攻击者面前。 “历史口令”：可以查看远程主机以往使用的口令 “击键记录”：启动键盘记录后，可以记录远程主机用户击键记录，一次可以分析出远程主机的各种账号和口令或各种秘密信息 控制类命令：点击“命令控制台”，点击“控制类命令”前面的“+”即可图所示界面 图2-11控制类命令 “捕获屏幕”：这个功能可以使