攻击与应急响应Contents典型的木马攻击10.4特洛伊木马10.4特洛伊木马10.4特洛伊木马10.4特洛伊木马举例：特洛伊木马启动方式 自动启动：木马一般会存在三个地方:注册表、win.ini、system.ini。在autoexec.bat、config.sys、启动组中易被发现。 捆绑方式启动：捆绑方式是一种手动的安装方式。非捆绑方式的木马因为会在注册表等位置留下痕迹,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。 修改文件关联：如用木马取代notepad.exe来打开.txt文件。木马服务器存放位置及文件名 （1）木马的服务器程序文件一般位置是在c:\windows和c:\windows\system——原因：windows的一些系统文件在这两个位置。 （2）木马的文件名总是尽量和windows的系统文件接近。 如木马SubSeven1.7版本的服务器文件名是c:\windows\KERNEL16.DL,而windows有一个系统文件是c:\windows\KERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。 木马SubSeven1.5版本服务器文件名是c:\windows\window.exe,少一个s木马的工作原理 1、木马隐藏技术 2、木马程序建立连接技术 （1）合并端口木马 修改虚拟设备驱动程序（vxd）或修改动态链接库（DLL），在一个端口上同时绑定两个TCP或UDP连接，通过把木马端口绑定于特定的服务端口之上，达到隐藏端口的目的。 采用替代系统功能的方法，木马将修改后的DLL替换系统原有的DLL，并对所有的函数调用进行过滤。（2）使用ICMP协议进行数据的发送 ICMP报文是由系统内核或进程直接处理而不是通过端口，修改ICMP头的构造，加入木马的控制字段，木马将自己伪装成一个Ping的进程，系统会将ICMP_ECHOREPLY（Ping回包）的监听、处理权交给木马进程，一旦事先约定好的ICMP_ECHOREPLY包出现，木马就会接受、分析并从报文中解码出命令和数据。（3）反弹端口型木马 反弹端口型木马的服务端使用主动端口，客户端使用被动端口，木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口，为了隐藏起见，控制端的被动端口一般开在80。即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCPUserIP的情况。（4）使用基于嗅探原理的原始套接字木马 基本实现：服务器端是一个发包器和嗅探器，将捕获指定特征的数据包。客户端发送指定特征的数据包并包括定义的命令以及接收Server的数据。当Server捕获到该指定特征的数据包时，变成激活状态，通过分析该数据包，获得Client发送的命令和Client的IP地址，实现相应的命令，并将执行后的结果发送回Client，Client的嗅探部分则接收相应的数据。如何对付木马 1.使用杀毒软件； 2.提高防范意识,不打开陌生人信中的附件，不随意下载软件； 3.仔细阅读readme.txt； 4.在删除木马之前,需要备份注册表,备份你认为是木马的文件。如何对付木马 1）端口扫描 2）查看连接：netstat–a命令 上述两种方法对驱动程序/动态链接木马无效。 3）检查注册表 4）查找木马文件：如kernel32.exe， sysexplr.exe等 5）文件完整性检查： 开始程序附件系统工具系统信息工具系统文件检查器。 如有损坏可从安装盘还原。10.5网络监听2、网络监听的原理 （1）广播：网络上所有的工作站都在倾听所有传输的信息。 （2）非广播状态：工作站仅仅倾听那些发给它自己的信息的状态。 （3）攻破网关、路由器、防火墙的情况极为少见，安全管理员安装一些网络监控设备，运行专门的监听软件，并防止任何非法访问。然而，一个黑客可能潜入一台不引人注意的计算机中，悄悄地运行一个监听程序。 （4）Sniffer就是这样的硬件或软件，能够"听"到在网上传输的所有的信息。（5）协议分析仪通常运行在有路由器功能的主机上。 （6）sniffer只能捕获同一个物理网段内的包，但可以接收到发向与自己不在同一逻辑子网的主机的数据包。即你和监听目标之间没有路由（交换）或其它屏蔽广播包的设备，才能接收到传输的所有信息。因此，sniffer对拨号用户没用。 （7）网络监听常常要保存大量的信息，并对收集的大量信息进行整理，因此，正在进行监听的机器对用户的请求响应很慢。3、Sniffer的危害与预防 Sniffer危害： 能截获口令或机密信息； 能攻击相邻的网络。 Sniffer的预防： 使用加密传输敏感数据。 使用安全拓扑结构。 一个网段仅由互相信任的计算机组成：每台机器通过硬连接线接到Hub，