12恶意代码及防护技术(ii)讲解
30页1、第12讲 恶意代码与防护技术-II,杨 明 紫金学院计算机系,网络信息安全,2019/4/20,内容,特洛伊木马 蠕虫,恶意代码的概念,定义 指以危害信息安全等不良意图为目的程序或代码 潜伏在受害计算机系统中实施破坏或窃取信息 分类,特洛伊木马,“特洛伊木马” (trojan horse)简称“木马”,名字来源于古希腊传说,荷马史诗中木马计的故事。 “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件。 它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。,特洛依木马举例,Back Orifice Cult of the Dead Cow在1998年8月发布, 公开源码软件,是功能强大的远程控制器木马。 boserver.exe、boconfig.exe、bogui.exe 在BO服务器上启动、停止基于文本的应用程序 目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。 共享。创建共享资源 HTTP服务。启动或停止HTTP服务。 击键记录。将B
2、O服务器上用户的击键记录在一个文本文件中,同时记录执行输入的窗口名。(可以获得用户口令),特洛依木马举例,视频输入、播放。捕捉服务器屏幕到一个位图文件中。 网络连接。列出和断开BO服务器上接入和接出的连接,可以发起新连接。 查看信息。查看所有网络端口、域名、服务器和可见的共享“出口”。返回系统信息,包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及使用空间。 端口重定向。 注册表 锁住或重启计算机。 传输文件,2019/4/20,木马的特征,木马的工作原理,木马的组成结构 客户端:即控制端,安装在攻击者机器上的部分。 服务端:即被控制端,通过各种手段植入目标机器的部分。 而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统。,2019/4/20,木马的工作原理,木马植入技术,木马植入技术 主动植入与被动植入两类 主动植入技术主要包括 利用系统自身漏洞植入 利用第三方软件漏洞植入 利用即时通信软件发送伪装的木马文件植入 利
3、用电子邮件发送植入木马 被动植入主要包括 软件下载 利用共享文件 利用Autorun文件传播 网页浏览传播,木马的欺骗技术,木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。 木马欺骗技术 伪装成其它类型的文件,可执行文件需要伪装其它文件。如伪装成图片文件。 合并程序欺骗。 插入其它文件内部。 伪装成应用程序扩展组件。 把木马程序和其它常用程序利用WinRar捆绑在一起,将其制作成自释放文件。 在Word文档中加入木马文件。,木马隐藏技术,主机隐藏 主要指在主机系统上表现为正常的进程。 主要有文件隐藏、进程隐藏等。 文件隐藏主要有两种方式 采用欺骗的方式伪装成其它文件 伪装成系统文件 进程隐藏 动态链接库注入技术,将“木马”程序做成一个DLL文件,并将调用动态链接库函数的语句插入到目标进程,这个函数类似于普通程序中的入口程序。 Hooking API技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序。,激活木马,触发条件 注册表:HKLMSoftwareMicrosoftWindowsCurrentVersionRun或RunServices w
《12恶意代码及防护技术(ii)讲解》由会员繁星分享,可在线阅读,更多相关《12恶意代码及防护技术(ii)讲解》请在金锄头文库上搜索。
2024-03-27 33页
2024-03-27 32页
2024-03-27 34页
2024-03-27 31页
2024-03-27 33页
2024-03-27 33页
2024-03-27 31页
2024-03-27 34页
2024-03-27 31页
2024-03-27 28页