返回
恶意代码及防护技术(II)ppt课件.ppt

恶意代码及防护技术(II)ppt课件.ppt

ID:59440989

大小:519.00 KB

页数:30页

时间:2020-09-18

恶意代码及防护技术(II)ppt课件.ppt_第1页
恶意代码及防护技术(II)ppt课件.ppt_第2页
恶意代码及防护技术(II)ppt课件.ppt_第3页
恶意代码及防护技术(II)ppt课件.ppt_第4页
恶意代码及防护技术(II)ppt课件.ppt_第5页
资源描述:

《恶意代码及防护技术(II)ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第12讲恶意代码与防护技术-II杨明紫金学院计算机系网络信息安全7/30/2021内容特洛伊木马蠕虫恶意代码的概念定义指以危害信息安全等不良意图为目的程序或代码潜伏在受害计算机系统中实施破坏或窃取信息分类依附性传播方式自我复制特洛伊木马“特洛伊木马”(trojanhorse)简称“木马”,名字来源于古希腊传说,荷马史诗中木马计的故事。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件。它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的

2、电脑。特洛依木马举例BackOrificeCultoftheDeadCow在1998年8月发布,公开源码软件,是功能强大的远程控制器木马。boserver.exe、boconfig.exe、bogui.exe在BO服务器上启动、停止基于文本的应用程序目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。共享。创建共享资源HTTP服务。启动或停止HTTP服务。击键记录。将BO服务器上用户的击键记录在一个文本文件中,同时记录执行输入的窗口名。(可以获得用户口令)特洛依木马举例视频输入、播放。捕捉服务器屏幕到一个位图文件中。网络连接。列出和断开BO服务器上接入和接出

3、的连接,可以发起新连接。查看信息。查看所有网络端口、域名、服务器和可见的共享“出口”。返回系统信息,包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及使用空间。端口重定向。注册表锁住或重启计算机。传输文件木马的特征木马主要特征解释隐蔽性隐蔽性是木马的首要特征。木马类软件的服务端程序在被控主机系统上运行时,会使用各种方法来隐藏自己。自动运行性木马程序通过修改系统配置文件,在目标主机系统启动时自动运行或加载。欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防用户发现。自动恢复性很多的木马程序中的功能模块已

4、不再是由单一的文件组成,而是具有多重备份,可以相互恢复,只删除某一个木马文件来进行清除是无法清除干净的。破坏或信息收集木马通常具有搜索Cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。7/30/2021木马的工作原理木马的组成结构客户端:即控制端,安装在攻击者机器上的部分。服务端:即被控制端,通过各种手段植入目标机器的部分。而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统。木马的工作原理

5、向目标主机植入木马启动和隐藏木马植入者远程控制被植入木马的主机植入者达到其攻击的目的7/30/2021木马植入技术木马植入技术主动植入与被动植入两类主动植入技术主要包括利用系统自身漏洞植入利用第三方软件漏洞植入利用即时通信软件发送伪装的木马文件植入利用电子邮件发送植入木马被动植入主要包括软件下载利用共享文件利用Autorun文件传播网页浏览传播木马的欺骗技术木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。木马欺骗技术伪装成其它类型的文件,可执行文件需要伪装其它文件。如伪装成图片文件。合并程序欺骗。插入其它文件内部。伪装成应用程序扩展组件。把木马程

6、序和其它常用程序利用WinRar捆绑在一起,将其制作成自释放文件。在Word文档中加入木马文件。木马隐藏技术主机隐藏主要指在主机系统上表现为正常的进程。主要有文件隐藏、进程隐藏等。文件隐藏主要有两种方式采用欺骗的方式伪装成其它文件伪装成系统文件进程隐藏动态链接库注入技术,将“木马”程序做成一个DLL文件,并将调用动态链接库函数的语句插入到目标进程,这个函数类似于普通程序中的入口程序。HookingAPI技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序。激活木马触发条件注册表:HKLMSoftwareMicrosoftWindowsCu

7、rrentVersionRun或RunServiceswin.iniautoexec.bat和config.sys捆绑文件启动菜单运行木马木马被激活后,进入内存,开启事先定义好的端口,准备与控制端建立连接。远程控制建立连接服务端开启端口控制端对信息反馈获得IP的网段进行扫描发现开放特定端口的主机控制端同该主机建立连接通过建立的连接,控制端对服务端进行远程控制窃取密码文件操作修改注册表系统操作木马防范查检查系统进程检查注册表、ini文件和服务检查开放端口监视网络通讯堵堵住控制通路杀掉可疑进程杀手工删除软件杀毒如何避免木马的入侵不要执行任何来历不明的软件不要相信你

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。