【网络攻防原理与技术】第6章:特洛伊木马
6.1 恶意代码
恶意代码指在不为人知的情况下侵入用户的计算机系统,破坏系统、网络、信息的保密性、完整性和可用性的程序或代码。与正常代码相比,具有非授权性、破坏性等特点。
6.1.1 计算机病毒
在计算机程序中插⼊的破坏计算机功能并能⾃我复制的⼀组程序代码。依
附于正常的软件或者⽂件中。不能独⽴运⾏。
主要表现(特点):传染性、潜伏性、可触发性、寄生性、非授权性、破坏性
计算机病毒的结构:
- 引导模块(基本模块):负责完成病毒正常运行所需的请求内存、修改系统中断等工作。
- 搜索模块:发现或者定位病毒的感染对象
- 感染模块(核心模块):通过感染模块实现自我繁殖
- 表现模块:不同病毒的不同特征
- 标识模块(辅助模块):不是所有病毒都包含,可以标识系统已感染病毒等
6.1.2 计算机蠕虫
通过计算机⽹络⾃我复制,消耗系统资源和⽹络资源的程序
有以下几个模块:
- 搜索模块
- 攻击模块:通过漏洞自动攻击,获取权限
- 传输模块:负责计算机间的蠕虫程序复制
- 负载模块:进入被感染系统后,实施信息收集、现场清理和攻击破坏等
- 控制模块:调整蠕虫行为,控制被感染主机
6.1.3 特洛伊木马
指⼀种与远程计算机建⽴连接,使远程计算机能够通过⽹络控制本地计算
机的程序。
分为以下几类:
- 密码窃取型木马
- 投放器型木马:在感染系统内安装恶意程序
- 下载型木马:同上
- 监视型木马
- 代理型木马
- 点击型木马:引导用户点击特点Web网站等
- 远程控制型木马
6.2 木马的工作原理
⽊⻢体系结构:C/S架构,⽊⻢程序+控制端程序
⽊⻢程序即为服务器端程序,控制端程序作为客户端,⽤于攻击者远程控制被植⼊⽊⻢的机
器。
与远程控制程序的区别:隐蔽性;⾮授权性。
黑客利用木马入侵包含6个步骤:配置木马、传播木马、运行木马、信息反馈、建立连接、远程控制。
- 配置⽊⻢:配置监听端⼝、DNS、IP等;配置功能;配置安装路径、⽂件名等
- 传播⽊⻢:通过软件下载、邮件附件、通信软件等。⼜细分为分为主动植⼊和被动植
⼊。 - 启动⽊⻢:⾃动加载、潜伏待命。可以通过修改注册表组策略、添加系统服务、替换系统DLL等实现
- 信息反馈:⽊⻢运⾏以后,要把感染主机的⼀些信息反馈给⿊客。使得⿊客能够连接上受害者主机或者反馈⿊客感兴趣的信息。⽐如账号密码等。
- 建⽴连接:正向连接或者反向连接。因为IP地址稀缺,很多运营商都采⽤DHCP协议为⽤户分配IP地址。且因为NAT技术,内⽹地址⽆法为外⽹所访问。攻击者⽆法随时根据IP地址找到感染主机,反向连接技术应运⽽⽣。该技术还可以轻易穿过受害者防⽕墙。
- 远程控制:⿊客可以通过客户端端⼝与服务器端⼝之间的通道与⽊⻢程序取得联系,并进⾏远程控制。包括获取⽬标机器信息;记录⽤户事件;远程操作。
6.3 木马的隐藏技术
- 加载时的隐藏:
- 存储时的隐藏:⽊⻢⽂件/⽬录隐藏:通过某种⼿段使得⽤户⽆法发现⽊⻢⽂件和⽬录。例如使⽤隐藏,还有更换图标等
- 运行时的隐藏
- 启动隐藏:使得⽬标主机在运⾏⽊⻢程序时不被发现。
- 进程隐藏:隐藏⽊⻢进程,使得其在任务管理器中不可⻅。
- 伪隐藏:指程序的进程依然存在,只不过让他消失在进程列表中。
设置窗⼝不可⻅
把⽊⻢注册成服务
欺骗查看进程的函数
使⽤可变的⾼端⼝
使⽤系统服务端⼝ - 真隐藏:让程序彻底消失,不以⼀个进程或者服务的⽅式⼯作。
- 替换系统驱动或者DLL
- 动态嵌⼊,使⽤窗⼝hook、挂接API、远程现成等⽅式将⽊⻢程序嵌⼊到正在运⾏的进程中
- 通信隐藏:不直接与控制者进⾏通信,通过特殊的ICMP报文、端口复用技术或通过中间⽅交换信息。⽐如⽹盘、⽹⻚、电⼦邮件等。
- 伪隐藏:指程序的进程依然存在,只不过让他消失在进程列表中。
6.4 发现主机感染木马的最基本方法
- 注意监听端口
- 注意本机建立的网络连接
6.5 针对木马的防范技术
不执⾏任何来历不明的软件。因为软件可能已经被⿊客篡改。
不能轻信他⼈。因为他⼈可能是⿊客伪装的,不是⾃⼰的好友。
对系统进⾏合理安全的配置。⽐如显示隐藏⽂件、扩展名等。
及时安装软件和系统补丁。
安装杀毒软件。
【网络攻防原理与技术】第6章:特洛伊木马相关推荐
- 网络攻防原理与技术 第一章 课后题
1.6 习题 一.单项选择题 1.安全属性"CIA"不包括(D). A.完整性 B.机密性 C.可用性 D.可控性 2.属于被动攻击的是(B). A.中断 B.截获 C.篡改 D. ...
- 【网络攻防原理与技术】第1章:绪论
1.1 网络空间安全概述 "网络空间"的4要素:设施(互联网.通信网.计算机系统.自动化控制系统.数字设备).用户(人们).操作(应用.服务)和数据. 网络空间安全主要包含4个层次 ...
- 【网络攻防原理与技术】第5章:拒绝服务攻击
5.1 概述 拒绝服务攻击(DoS Denial of Service), 通过消耗⽹络带宽或者系统资源,使得⽹络或者系统不堪负荷,以⾄于瘫痪⽽停⽌提供正常的⽹络服务或者⽹络服务质量显著下降,或者通过 ...
- 【网络攻防原理与技术】第3章:网络侦察技术
3.1 概述 ⽹络侦察需要侦察的⽬标的基本信息 静态信息 各种联系信息,包括姓名.邮箱.电话号码等 DNS.Web服务器 主机所在的⽹络段,IP地址 ⽹络拓扑结构 动态信息 ⽬标主机是否开机 ⽬标主机 ...
- 【网络攻防原理与技术】第4章:网络扫描技术
4.1 网络扫描基本概念 目的: 判断主机的⼯作状态.即其是否开机.若其没有开机,⼀切攻击都是徒劳的.(主机扫描) 判断主机端⼝的开放状态.(端⼝扫描) 判断主机服务的操作系统类型(操作系统识别) 判 ...
- 网络攻防技术的技术基础,网络攻防原理与技术
1.人工神经网络好学吗 神经网络是人工智能的一部分,只是解决问题的一种方法,不过现在神经网络很"流行",说它流行是因为神经网络还有好多需要改进和完善的地方,正因如此大家才会去研究它 ...
- 网络攻防原理及应用 知识梳理
文章目录 网络攻防原理及应用课程 复习 第一章 概述 1. 网络安全的引入 2. 网络安全的目标 3. 网络的主要安全威胁 4. 网络安全体系 5. 网络攻击手段 6. 网络防御手段 7. 密码技术应 ...
- 计算机tcpip网络原理与应用,清华大学出版社-图书详情-《TCP/IP网络编程原理与技术》...
前言 随着Internet的发展,网络技术已经渗透到人们的生活和工作中.TCP/IP已经成为最流行的网络协议,且还在演变以满足未来的需要.在速度越来越快的计算机硬件和不断更新的软件发展的背后,TCP/ ...
- CT原理与技术 第2章 扫描成像系统
CT 2 扫描成像系统 \quad 数据采集系统:包含X线高压发生器.X线管.准直器.滤过器.探测器.扫描架.扫描床.前置放大器及接口电路等 图像重建阶段:工作站.计算机 图像显示.记录和存储系统:它 ...
- 人工智能原理与技术 第1章 作业
1.14 检查AI的文献,去发现现在计算机是否能够解决下列任务: a. 打正规的乒乓球比赛. 能,在1988年,安德森的机器人达到了合理的乒乓球熟练程度. b. 在埃及开罗市中心开车. 不能,尽管自动 ...
最新文章
- CDMA模块上网设置的过程
- Keras构建前馈神经网络并使用callbacks输出acc以及loss曲线(训练接、验证集)及效果可视化
- hdu1287 破译密码
- python数据库操作批量sql执行_使用Python批量修改数据库执行Sql文件
- aspnetboilerplate .net core 使用原生sql
- Qt Qwdget 汽车仪表知识点拆解4 另类进度条实现
- html中间一条虚线怎么画,【html5】HTML5中canvas怎样画虚线
- watch the fixed address in qt
- presto自定义UDF函数
- 【筛法】第十万零二个素数
- 如何直接操作SVN将分支代码合并到主干
- Head First Java
- 空手套白狼高手,一个小姑娘只用3天净赚5万,值得你去深思!
- 黑月教主去水印软件_推荐大家一款免费去水印软和视频编辑软件—无水印剪辑APP...
- 你真正的了解i++和++i吗?
- RestTemplate和ResponseEntity
- linux 设置文件为可修改密码,linux 为用户设定、修改密码 passwd
- 【机器学习笔记7】决策树原理及应用
- e339 java_java-在Spring Mongo中从文档数组中删除项目
- 苹果公司对失败的总结和展望未来