第五章 网络后门与网络隐身

1、版权所有，盗版(do bn)必纠第5章 网络(wnglu)后门与网络(wnglu)隐身刘海滨 河北科技师范学院工商管理学院 E-mail: champion_电话五十五页版权所有，盗版(do bn)必纠概 述 本章来介绍网络后门与网络隐身技术，主要包括木马、后门和清除攻击痕迹等。这个技术与方法(fngf)都是黑客攻击常用的技术方法(fngf)。 共五十五页版权所有，盗版(do bn)必纠目 录木马攻击(gngj) 网络后门 清除攻击痕迹 共五十五页版权所有，盗版(do bn)必纠5.1 木马(mm)攻击木马的起源特洛伊战争以争夺世上最漂亮的女人海伦（Helen）为起因

2、。共五十五页木马(mm)攻击起源特洛伊国王普里阿摩斯(m s)的二王子帕里斯共五十五页木马攻击(gngj)起源希腊(x l)斯巴达王麦尼劳斯的兄弟迈西尼国王阿伽门农共五十五页木马攻击(gngj)起源迈西尼国王(guwng)阿伽门农共五十五页木马攻击(gngj)起源特洛伊国王(guwng)普里阿摩斯的长子，王位继承人赫克托尔共五十五页木马(mm)攻击起源传说(chunshu)中的阿喀琉斯共五十五页木马攻击(gngj)起源共五十五页版权所有，盗版(do bn)必纠木马攻击(gngj)起源共五十五页木马(mm)攻击起源共五十五页木马(mm)攻击起源共五十五页木马攻击(gngj)起源共五十五页木马(m

3、m)攻击起源共五十五页版权所有，盗版(do bn)必纠5.1 木马(mm)攻击木马攻击的组成及工作原理：一个是客户端一个是服务器端如果要给别人计算机上种木马，则受害者一方运行的是服务器端程序，而自己使用的是客户端来控制受害者机器。木马攻击的特性：基于远程控制的黑客工具隐蔽性非授权性共五十五页版权所有，盗版(do bn)必纠5.1 木马(mm)攻击木马的传播方式： 通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马； 软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。共五十五

4、页版权所有，盗版(do bn)必纠5.1 木马(mm)攻击1. 密码发送型木马密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启，而且它们大多数使用25端口发送E-mail。2. 键盘记录型木马键盘记录型木马非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动，知道受害者在线并且记录每一件事。 共五十五页版权所有，盗版(do bn)必纠5.1 木马(mm)攻击3. 毁坏型木马毁坏型木马的唯一功能是毁坏并且删除文件。这使它们

5、非常简单，并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。4. FTP 型木马FTP 型木马打开用户计算机的21端口（FTP所使用的默认端口）， 使每一个人都可以用一个FTP 客户端程序来不用密码连接到该计算机，并且可以进行最高权限的上传下载。共五十五页版权所有，盗版(do bn)必纠5.1 木马(mm)攻击木马常用的欺骗方法：捆绑欺骗：如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人。危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载 ；或直接将木马改名上载到FTP网站上，等待别人下载。文件夹惯性点击：把木马

6、文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹。共五十五页版权所有，盗版(do bn)必纠5.1 木马(mm)攻击4. zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标。5. 网页木马法：有的网页是自带木马的，只要打开该网页，立刻就会安装上木马。常见的木马：Windows下有Netbus、subseven、BO、冰河、网络神偷等。UNIX下有Rhost +、Login后门、rootkit等。共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子下面以Windows下的冰河木马为例子，介绍木马的原理。冰河实际上是一个小

7、小的服务器程序（安装在要入侵的机器中），这个小小的服务端程序功能十分强大，通过客户端（安装在入侵者的机器中）的各种命令来控制服务端的机器，并可以轻松的获得服务端机器的各种系统信息。1999年上半年，一个名叫黄鑫的人写出了冰河木马软件。冰河在国内一直是不可动摇的领军木马，有人说在国内没用过冰河的人等于没用过木马，可见冰河木马的重要性。 共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子 冰河木马的服务器端程序名为G_Server.exe，客户端程序名为G_Client.exe。冰河木马目的是远程访问、控制。冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。如图5

8、.2所示为冰河不同版本的图标。共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子冰河木马的功能如下：1.自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。2.记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能。3.获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。共五十五页版权所有

9、，盗版(do bn)必纠5.1.3 木马(mm)例子4.限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。5.远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式正常方式、最大化、最小化和隐藏方式）等多项文件操作功能。6.注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。7.发送信息：以四种常用图标向被控端发送简短信息。8.点对点通讯：以聊天室形式同被控端进行在线交谈。共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子下面来看

10、看冰河木马的使用。首选可以采用一些端口扫描工具如X-way、Superscan、X-Scan等扫描一个网段内的所有主机，看看这些主机有哪些7626端口是开放的。如图5.3所示为使用X-way扫描一个网段中的7626端口。共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子X-way的扫描结果如图5.4所示。发现了6台机器的7626端口是开放的，这表明这6台机器可能都有冰河木马。 共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子图5.5所示为冰河主界面，可以看到它可以完成屏幕抓图、控制、

11、修改服务器配置、冰河信使等功能。 共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子图5.6所示为通过冰河可以得到对方机器的一些密码。 共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子图5.7所示为受害者的一些信息可以通过邮件发送给控制方。 共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子如图5.8所示受害者机器采用netstatan命令看到的7626端口是开放的 。共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子图5.9所示为采用冰河信使给受害者计算机发信息。共五十五页版权所有，盗版(do bn)必纠5.1

12、.3 木马(mm)例子图5.10所示为采用冰河控制对方计算机。共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子木马的防范措施 1 安装杀毒软件和个人防火墙，并及时升级。 2 把个人防火墙设置好安全等级，防止未知程序向外传送数据。 3 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 4 如果使用IE浏览器，应该安装卡卡安全助手、360安全卫士等防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。 5 禁用端口方式。共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)

13、例子共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子共五十五页版权所有，盗版(do bn)必纠5.1.3 木马(mm)例子共五十五页版权所有，盗版(do bn)必纠5.2 网络(wnglu)后门后门介绍早期的电脑黑客，在成功获得远程系统的控制权后，希望能有一种技术使得他们在任意的时间都可以再次进入远程系统，于是后门程序就出现了。后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是

14、在发布软件之前没有删除后门程序，那么它就存在安全隐患，容易被黑客当成漏洞进行攻击。共五十五页版权所有，盗版(do bn)必纠5.2 网络(wnglu)后门后门实例全球著名黑客凯文米特尼克在15岁的时候，闯入了“北美空中防务指挥系统”的计算机主机内，他和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料，然后又悄无声息地溜了出来，这就是黑客历史上利用“后门”进行入侵的一次经典之作。共五十五页世上(shshng)头号电脑黑客凯文 米特尼克共五十五页版权所有，盗版(do bn)必纠5.2 网络(wnglu)后门欺骗的艺术(The Art of Deception: Controlling

15、 the Human Element of Security)入侵的艺术(The Art of Intrusion)共五十五页版权所有，盗版(do bn)必纠5.2 网络(wnglu)后门后门的防御方法后门的防范相对于木马来说，更加的困难，因为系统本身就包括远程桌面、远程协助这些可以进行远程维护的后门，所以对用户来讲更加的困难。(1) 首先对使用的操作系统以及软件要有充分的了解，确定它们之中是否存在后门。如果存在的话就需要及时关闭，以免这些后门被黑客所利用，比如系统的远程桌面、远程协助等。(2) 关闭系统中不必要的服务，这些服务中有相当一部分对于个人用户来说不但没有作用，而且安全方面也存在很大

16、的隐患，比如Remote Registry、Terminal Services等，这样同样可以防范系统服务被黑客利用。共五十五页版权所有，盗版(do bn)必纠5.2 网络(wnglu)后门(3) 安装网络防火墙，这样可以有效地对黑客发出的连接命令进行拦截。即使是自己的系统被黑客安装了后门程序，也能阻止黑客的进一步控制操作。(4) 安装最新版本的杀毒软件，并且将病毒库升级到最新的版本。另外再安装一个注册表监控程序，可以随时对注册表的变化进行监控，有效地防范后门的入侵。共五十五页版权所有，盗版(do bn)必纠5.3 清除攻击(gngj)痕迹操作系统日志是对操作系统中的操作或活动进行的记录，不管

17、是用户对计算机的操作还是应用程序的运行情况都能全面记录下来。黑客在非法入侵电脑以后所有行动的过程也会被日志记录在案。所以黑客在攻击之后，如果删除这些日志记录，就显得很重要了。虽然一个日志的存在不能提供完全的可记录性，但日志能使系统管理员和安全官员做到： 1. 发现试图攻击系统安全的重复举动（例如：一个攻击者试图冒充administrator或root登录）。 2. 跟踪那些想要越权的用户（例如：那些使用sudo 命令作为root 执行命令的用户）。 3. 跟踪异常的使用模式（例如：有人在工作时间以外的时间登录计算机）。 4. 实时跟踪侵入者。共五十五页版权所有，盗版(do bn)必纠5.3 清

18、除(qngch)攻击痕迹5.3.1 Windows下清除攻击痕迹Windows下的日志信息可以在“控制面板”-“管理工具”-“事件查看器”当中找到。如图5.17所示为事件查看器中的应用程序日志。共五十五页版权所有，盗版(do bn)必纠5.3 清除(qngch)攻击痕迹5.3.1 Windows下清除攻击痕迹如图5.18所示为事件查看器中的安全日志共五十五页版权所有，盗版(do bn)必纠5.3 清除攻击(gngj)痕迹5.3.1 Windows下清除攻击痕迹如图5.19所示为事件查看器中的系统日志。共五十五页版权所有，盗版(do bn)必纠5.3 清除(qngch)攻击痕迹三种日志文件的存放位置分别如下：1. 安全日志文件默认位置：%systemroot%system32configSecEvent.EVT2. 系统日志文件默认位置：