返回
网络安全之木马技术论文

网络安全之木马技术论文

ID:26744358

大小:53.50 KB

页数:5页

时间:2018-11-29

网络安全之木马技术论文_第1页
网络安全之木马技术论文_第2页
网络安全之木马技术论文_第3页
网络安全之木马技术论文_第4页
网络安全之木马技术论文_第5页
资源描述:

《网络安全之木马技术论文》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网络安全之木马技术论文.freelp或/var/log/p的文件中记录每次成功的登录。这些文件以机器可读的格式保存每个用户登录和注销时间。这样攻击者就能根据可疑活动的发生时间快速地定位到这段时间内登录系统得用户。可以用程序last从这些文件中提取信息:如果能够写入/var/log/utmp或/var/log/p文件,攻击者就能够编辑这些文件以删除与其登录相关的踪迹。有许多工具可以从以上文件中删除登录信息。或者可以直接删除这些文件。二、木马化系统程序1.日志报告。多数日志程序都将日志信息记录在p,utmp或syslog文件中。通过重新编译login,su,sudo,

2、in.teld,sshd,rlogind等,.freelp和utmp文件,以报告当前有哪些用户,或者显示之前的登录情况。通过修改这些命令,攻击者甚至无需修改日志文件的内容就能保持隐身状态。2.进程报告。类似于ps,lsof和top的命令通常也被木马化。以隐藏运行的任意进程。这些进程通常包括口令破解会话、对外攻击或远程守护进程。例如,可以在ps命令的某个源代码文件readproc.c中添加了若干代码:proc_tps_readproc(PROCTABPT,proc_trbuf){next_proc:e’0’ent-d_name’9’)){…}if(!ent!ent-

3、d_name)returnNULL;sprintf(path,”/proc/%s”,ent-d_name);if(stat(path,sb)==-1)gotonext_proc;if(sb.st_uid==8765){gotonext_proc;}if(!allocated){…}在上面程序中,只是简单地让ps跳过任何ID为8765的进程。这样ps将只会报告与之无关的其他进程。此外,也可以将ps编写成忽略设置了在名字中包含特定字符串的进程。3.文件报告。文件报告工具,通常都能找到系统中我们创建的所有文件。这些文件通常包括攻击源代码、攻击输出、破解数据库和机器列表等

4、。攻击者可以修改这些工具来隐藏其文件或目录。下面是/bin/ls源代码ls.c的一个经过修改的版本:staticintfile_intertesting(conststructdirectnext){for(ignore=ignore_patterns;ignore;ignore=ignore-next)if(fnmatch(ignore-patern,next-d_name,FNM_PERIOD)==0)return0;if(!strcmp(next-d_name,”...”))return0;if(really_all_filesnext-d_name0!=’

5、.’(all_files))在上面,修改了file_interesting函数,该函数用来确定是否在列表中输出相应的文件名。通过修改file_interesting函数可以隐藏文件名为”...”的文件。显然通过木马化足够的文件列表程序,攻击者能够隐藏所有特殊的目录。4.网络报告。通过诸如stat,lsof和tcpdump等程序,可以看到系统中与黑客有关的进入连接和外出连接。其他网络信息,诸如网络接口配置、网络路由、硬件地址表,可以通过木马化route,ifconfig和arp等命令隐藏起来。5.安全工具。对木马化和踪迹隐藏而言,本地安装的安全工具尤为重要,例如制定

6、的进程检查脚本、用户监视软件、文件完整性工具或数据库。如果攻击者能够修改文件完整性软件或suid/sgid检查程序,以使之忽略其所建立的特定目录,就能在该目录下安全地安装任何东西而不被发现,包括suid为root的程序,而通常这类程序很容易被发现。三、隐藏木马文件1.文件名诡计。Linux文件名可以包含除/和//000之外的任何字符。在文件名中使用不可打印字符即可在诸如ls或ps的工具下伪装其真实名字。这里创建了一个名为“..”的目录。此时因为多数人不会以-a标志来使用ls,因此根本就看不到这个目录。而那些确实使用了-a标志的人也有可能不会注意到这个情况,将之误以

7、为..目录。然后,以同样的方式,黑客把一个攻击程序重命名为“sh”。该程序运行时,在ps命令下的显示与普通的sh只有细微的差别。2.更改argv0。程序运行时会得到一个命令行参数列表。这些参数保存在名为argv的数组中,其中argv1为第一个参数,argv2为第二个参数。而argv0则是这个程序自己的名字。如果需要的话,程序可以用这个参数来确定自己的运行方式。例如gzip,gunzip和zxat通常都是到相同i节点的硬连接:因此,在这个例子中,如果运行/bin/gzip,则程序根据argv0来确定应当执行压缩功能。在程序中也可更改这个变量,且在ps的输出中所显示的

8、将是该更改

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。