网络攻防实战演练讲述.ppt

* * Netbus木马 NetBus2.0版的功能更强，已用做远程管理的工作 NetBus的功能 运行程序 强迫重启系统 注销用户 控制Web浏览器 捕捉击键记录 重定向端口和程序 获得关于当前版本的信息 上传、下载和删除文件 控制、升级和定制服务器 管理密码保护 显示、终止远程系统程序 * * NetBus传输 NetBus使用TCP建立会话，缺省情况下用12345端口。 跟踪NetBus的活动比较困难，可以通过检查12346端口数据来确定 许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。 * * Netbus 2.0主要文件 文 件 描 述 大 小（Byte） NetBus.exe 客户端 1，241，600 Patch.exe 服务器 624，640 NBHelp.dll 程序扩展 71，680 * * 检测NetBus NetBus1.x版的程序使用下列的注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 可以用包嗅探器，检查缺省的12345或12346端口 使用netstat，你可以键入下列命令： Netstat –an 或Netstat –p udp * * Netbus连接 TCP: 12345/12346 * * 清除NetBus 高质量的反病毒程序 另一种清除NetBus的方法是使用其客户端,点击清除服务器按钮 如果攻击者采用了密码保护的话可能会要求你输入密码，也可以搜寻前面讨论的文件 * * BackOrifice2000 BackOrifice2000允许攻击者进行如下操作 获取系统信息 收集用户名和密码和用户缓存的密码 获得文件的完全访问权限 实施端口和程序的重定向 通过HTTP从浏览器上传和下载文件 * * 缺省设置 默认的Back Orifice 2000一共由5个文件组成，他们分别是： Bo2k.exe -- 136kb，BO2K 服务器端程序 Bo2kcfg.exe -- 216kb，BO2K 设置程序 Bo2kgui.exe -- 568kb，BO2K 客户端程序 Bo3des.dll -- 24kb，plugin -- triple DES module Bo_peep.dll -- 52kb，plugin -- remote console manager * * 精选命令 命 令 描 述 Dir,md,rd 列出，建立和删除目录 Shareadd/sharelist/sharedel 建立，列出和删除共享 Copy/delete/find 拷贝，删除和有哪些信誉好的足球投注网站文件 View 列出文本文件内容 Httpon/httpoff 启动和停止HTTP服务，必须指定端口号 Keylog start/end 开始和终止键盘记录 Netconnect netlist/Netdisconnect 将服务器系统连接到网络资源；列出网络接口，域和服务器；断开连接 Rediradd/redirlist 将TCP连接和UDP包重定向到其它的IP Regmakekey/regdelkey 建立和删除注册表中的键值 Passes 列出系统的所有密码，包括所有适配器（如拨号适配器）和网络连接，以及屏幕锁定 Reboot 重新启动系统 Tcpsend 从TCP连接发送和接受文件；同标准的TFTP服务器一样，客户端连接服务器机器，发送文件然后立即断开。 Quit 退出程序 * * BO的运作 BO木马包含三个程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一个程序需安装在受感染的用户计算机中，也就是BO服务端 BO主要运行于Windows 95/98系统，对于Windows NT影响较小 服务器端程序为BOSERVE.EXE，它会自动安装在受攻击的计算机中，但是它同时需要另外一个文件名为BOCONFIG的程序来进行配置 * * BO的检测和清除 手工杀除BO2K 运行REGEDIT.EXE，修改注册表，在下列键值处删除UMGR32.EXE 的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices 重启系统 在\WINDOWS\SYSTEM下删除UMGR32~1.EXE 需要注意的是，bo2k安装后的名字是可以自定义的 * * 木马防御方法总结 端口扫描 扫描程序尝试连接某个端口，如果成功，则说明端口开放；否则关闭。但对于驱动程序/动态链接木马，扫描端口不起作用 查看连接 在本地机上通过netstat -a查看所有的TCP/UDP连接 检查