- 1、本文档共63页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Wuhan University
恶意软件(病毒)的分析与防范
Defence analysis of malware
计算机学院傅建明
Fuims(
2013-422
Wuhan University
后门
后门是一个允许攻击者绕过系统中常规
安全控制机制的程序,他按照攻击者自
己的意图提供通道。
后门的重点在于为攻击者提供进入目标
计算机的通道。
2013-422
Wuhan University
后门的类型
本地权限的提升
对系统有访问权的攻击者变换其权限等级成为管理员,然后攻击者
可以重新设置该系统或访问人和存储在系统中的文件
单个命令的远程执行
攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后
门执行攻击者的命令并将输出返回给攻击者
程命令行解释器访问
正如远程 Shell,这类后门允许攻击者通过网络快速直接地键入受害
计算机的命令提示。其比“单个命令的远程执行”要强大得多。
远程控制GUI
攻击者可以看到目标计算机的GUⅠ,控制鼠标的移动,输入对键盘的
操作,这些都通过网络实现
2013-422
Wuhan University
后门的安装
·自己植入(物理接触或入侵之后)
通过病毒、蠕虫和恶意移动代码
欺骗受害者自己安装
Email
远程共亨
BT下载
2013-422
Wuhan University
后门举例
Netcat:通用的网络连接工具
用法一:
nc-I-p 5000-e cmdexe
nc5000
用法二:
nc-1p5000
nc5000-ecmd,exe
cshell. exe
2013-422
Wuhan University
其他 Windows下的后门程序
· Cryptcat
提供通向Tcp端口777,只有3K。
2013-422
会属*字
全点:全工月 rosoff Internet Explorer
文件吧端后①盔收缤①工)帮助
入中文,直升探M动到
Focus
eam
o the internet. For tie interner
五「焦烈全文病全I只安全「点点攻目论七「天于去们
南加工月 Icon English version
干台大小更歌时间
扫吾
击字
bysiell3ibeta2re.Tar
5733205-移26
144
32.56 3 2105-05-lB teLl
bellot rer
php:gy_208,yu
唾相冥
E205-0304
其它工月
L.8k205-03-02xh
vnquLsh-0, 2.0. zip
②E205022《
2013-422
Wuhan University
无端口后门-如何唤醒
ICMP后门
不使用 TCP/UDP协议
使用ICMP协议进行通信。
难以检测。
·非混合型探测后门攻击者将触发指令发送到对方计算
机
难以检测。(COo: yn to port X, syn to port y, syn to port z)
混合型探测后门
只要攻击者将触发指令发送到对方网络中即可触发后门。
更加难以检测。( syn to port x, syn to port x, syn to port x in
different Ips)
2013-422
Wuhan University
Bits--glacier
进程管理器中看不到
平时没有端口,只是在系统中充当卧底
的角色
提供正向连接和反向连接两种功能
°仅适用于 Windows2000/XP/2003
具体用法和例子可以査看“难以觉察的后门
BITS”一文
2013-422
Wuhan University
GUI( Graphics User Interface)远程控制
并非所有的GUI远程控制都是恶意的
VNC(Virtual Network Computin
Windows Terminal services
PCAnywhere
Back Orifice 2000
Subseven
2013-422
文档评论(0)