第5章 網(wǎng)絡(luò)后門(mén)與網(wǎng)絡(luò)隱身

1、莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,第5章 網(wǎng)絡(luò)后門(mén)與網(wǎng)絡(luò)隱身,5.1 木馬攻擊 5.2 網(wǎng)絡(luò)后門(mén) 5.3 清除攻擊痕跡,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,概 述,本章主要介紹網(wǎng)絡(luò)后門(mén)與網(wǎng)絡(luò)隱身技術(shù)，主要包括木馬、后門(mén)和清除攻擊痕跡等。這個(gè)技術(shù)與方法都是黑客攻擊常用的技術(shù)方法。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,5.1.1 木馬概述特洛伊木馬簡(jiǎn)稱(chēng)木馬，英文叫做“Trojan horse” ，其名稱(chēng)取自希臘神話(huà)的特洛伊木馬記。古希臘傳說(shuō)，特

2、洛伊王子帕里斯訪(fǎng)問(wèn)希臘，誘走了王后海倫，希臘人因此遠(yuǎn)征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻(xiàn)了一計(jì)，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵，如圖5.1所示。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來(lái)，打開(kāi)了城門(mén)，希臘將士一擁而入攻下了城池。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,特洛伊木馬簡(jiǎn)稱(chēng)木馬，英文叫做“ Trojan horse” 。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)

3、教研室,5.1 木馬攻擊,利用計(jì)算機(jī)程序漏洞入侵后竊取文件，多不會(huì)直接對(duì)電腦造成危害，而以控制為主，這樣的程序被稱(chēng)為木馬。木馬的特點(diǎn)： 木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。 隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)用多種手段隱藏木馬； 非授權(quán)性是指一旦客戶(hù)端與服務(wù)器端連接后，客戶(hù)端將享有服務(wù)器端大部分操作權(quán)限，包括修改文件、修改注冊(cè)表、控制鼠標(biāo)、鍵盤(pán)等。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)

4、教研室,5.1 木馬攻擊,木馬的組成： 木馬一般由兩個(gè)程序組成，一個(gè)是客戶(hù)端，另一個(gè)是服務(wù)器端。如果要給別人的計(jì)算機(jī)種植木馬，則受害者一方運(yùn)行的是服務(wù)器端程序，而自己使用的是客戶(hù)端來(lái)控制受害者機(jī)器。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,木馬的運(yùn)行過(guò)程： 木馬被激活后，進(jìn)入內(nèi)存，并開(kāi)啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用戶(hù)可以在MS-DOS方式下，鍵入netstat -an查看端口狀態(tài)，一

5、般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口開(kāi)放的，如果有端口開(kāi)放，就要注意是否感染木馬了。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,木馬的傳播方式主要有兩種:一種是通過(guò)E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,1.

6、密碼發(fā)送型木馬 密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類(lèi)的木馬不會(huì)在每次的Windows重啟時(shí)重啟，而且它們大多數(shù)使用25端口發(fā)送E-mail。2. 鍵盤(pán)記錄型木馬 鍵盤(pán)記錄型木馬非常簡(jiǎn)單，它們只做一件事情，就是記錄受害者的鍵盤(pán)敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線(xiàn)并且記錄每一件事。,莆田學(xué)

7、院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,3. 毀壞型木馬 毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡(jiǎn)單，并且很容易被使用。它們可以自動(dòng)地刪除用戶(hù)計(jì)算機(jī)上的所有的.DLL、INI或EXE文件。4. FTP 型木馬 FTP 型木馬打開(kāi)用戶(hù)計(jì)算機(jī)的21端口（FTP所使用的默認(rèn)端口），使每一個(gè)人都可以用一個(gè)FTP 客戶(hù)端程序不用密碼連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1

8、 木馬攻擊,木馬常用的欺騙方法如下：捆綁欺騙：把木馬服務(wù)端和某個(gè)游戲捆綁成一個(gè)文件在郵件中發(fā)給別人。危險(xiǎn)下載點(diǎn)：攻破一些下載站點(diǎn)后，下載幾個(gè)下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載；或直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載。文件夾慣性點(diǎn)擊：把木馬文件偽裝成文件夾圖標(biāo)后，放在一個(gè)文件夾中，然后在外面再套三四個(gè)空文件夾。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,木馬常用的欺騙方法如下：zip偽裝：將一個(gè)木馬和一個(gè)

9、損壞的zip包捆綁在一起，然后指定捆綁后的文件為zip圖標(biāo)。網(wǎng)頁(yè)木馬法：有的網(wǎng)頁(yè)是自帶木馬的，只要打開(kāi)該網(wǎng)頁(yè)，立刻就會(huì)安裝上木馬。,常見(jiàn)的木馬很多，Windows下有Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等。UNIX下有Rhost ++、Login后門(mén)、rootkit等。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,下面以Windows下的冰河木馬為例子，介紹木馬的原理。冰河實(shí)際上是一個(gè)小小的服務(wù)器程序（安裝在要入侵的

10、機(jī)器中），這個(gè)小小的服務(wù)端程序功能十分強(qiáng)大，通過(guò)客戶(hù)端（安裝在入侵者的機(jī)器中）的各種命令來(lái)控制服務(wù)端的機(jī)器，并可以輕松的獲得服務(wù)端機(jī)器的各種系統(tǒng)信息。1999年上半年，一個(gè)名叫黃鑫的人寫(xiě)出了冰河木馬軟件。冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，有人說(shuō)在國(guó)內(nèi)沒(méi)用過(guò)冰河的人等于沒(méi)用過(guò)木馬，可見(jiàn)冰河木馬的重要性。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,冰河木馬的服務(wù)器端程序名為G_Server.exe，客戶(hù)端程序名為G_Client.ex

11、e。冰河木馬目的是遠(yuǎn)程訪(fǎng)問(wèn)、控制。冰河的開(kāi)放端口7626據(jù)傳為其生日號(hào)。2.2版本后均非黃鑫制作。如圖5.2所示為冰河不同版本的圖標(biāo)。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,冰河木馬的功能如下：自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤(pán)及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤(pán)及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)。記錄各種口令信息：包括開(kāi)機(jī)口令、屏?？诹?、各種共享資源口令及絕大多數(shù)在對(duì)話(huà)框中出現(xiàn)過(guò)的口

12、令信息，且1.2以上的版本中允許用戶(hù)對(duì)該功能自行擴(kuò)充，2.0以上版本還同時(shí)提供了擊鍵記錄功能。獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶(hù)、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤(pán)信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文

13、本文件、遠(yuǎn)程打開(kāi)文件（提供了四中不同的打開(kāi)方式——正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能。注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫(xiě)等所有注冊(cè)表操作功能。發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線(xiàn)交談。 下面來(lái)看看冰河木馬的使用。首選可以采用一些端口掃描工具如X-way、Superscan、X

14、-Scan等掃描一個(gè)網(wǎng)段內(nèi)的所有主機(jī)，看看這些主機(jī)有哪些7626端口是開(kāi)放的。如圖5.3所示為使用X-way掃描一個(gè)網(wǎng)段中的7626端口。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線(xiàn)交談。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,X-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)了6臺(tái)機(jī)器的7626端口是開(kāi)放的，這表明這6臺(tái)機(jī)器可能都有冰河木馬。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖

15、5.5所示，為冰河的主界面，可以看到它可以完成屏幕抓圖、控制、修改服務(wù)器配置、冰河信使等功能。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.6所示為通過(guò)冰河可以得到對(duì)方機(jī)器的一些密碼。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.7所示為受害者的一些信息可以通過(guò)郵件發(fā)送給控制方。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.8所示，為受害者機(jī)器采用netstat –an命令看到的7626端口是開(kāi)放的,莆田學(xué)

16、院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.9所示為采用冰河信使給受害者計(jì)算機(jī)發(fā)信息。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.10所示為采用冰河控制對(duì)方計(jì)算機(jī)。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范防治木馬的危害，應(yīng)該采取以下措施：安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)。把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)?？梢钥紤]使用安全性比較好的瀏覽器和電子郵件客戶(hù)端工具。

17、如果使用IE瀏覽器，應(yīng)該安裝卡卡安全助手、360安全衛(wèi)士等防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范 選中“Internet協(xié)議(TCP/IP)”點(diǎn)擊“屬性”。出現(xiàn)如圖5.12所示的界面。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范

18、點(diǎn)擊“高級(jí)”按鈕，出現(xiàn)如圖5.13所示的界面。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范點(diǎn)擊“屬性”按鈕，出現(xiàn)如圖5.13所示的界面。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范點(diǎn)擊“添加”按鈕，添加相應(yīng)的允許端口。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.2 網(wǎng)絡(luò)后門(mén),1. 后門(mén)介紹 早期的電腦黑客，在成功獲得遠(yuǎn)程系統(tǒng)的控制權(quán)后，希望能有一種技術(shù)使得他們?cè)谌我獾臅r(shí)間都可以再次進(jìn)

19、入遠(yuǎn)程系統(tǒng)，于是后門(mén)程序就出現(xiàn)了。 后門(mén)是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪(fǎng)問(wèn)權(quán)的程序方法。在軟件的開(kāi)發(fā)階段，程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門(mén)程序以便可以修改程序設(shè)計(jì)中的缺陷。但是，如果這些后門(mén)被其他人知道，或是在發(fā)布軟件之前沒(méi)有刪除后門(mén)程序，那么它就存在安全隱患，容易被黑客當(dāng)成漏洞進(jìn)行攻擊。傳統(tǒng)意義上的后門(mén)程序往往只是能夠讓黑客獲得一個(gè)SHELL，通過(guò)這個(gè)SHELL進(jìn)而進(jìn)行一些遠(yuǎn)程控制操作。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.

20、2 網(wǎng)絡(luò)后門(mén),2. 后門(mén)實(shí)例 全球著名黑客米特尼克在15歲的時(shí)候，闖入了“北美空中防務(wù)指揮系統(tǒng)”的計(jì)算機(jī)主機(jī)內(nèi)，他和另外一些朋友翻遍了美國(guó)指向前蘇聯(lián)及其盟國(guó)的所有核彈頭的數(shù)據(jù)資料，然后又悄無(wú)聲息地溜了出來(lái)，這就是黑客歷史上利用“后門(mén)”進(jìn)行入侵的一次經(jīng)典之作。如圖5.16所示為黑客米特尼克。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.2 網(wǎng)絡(luò)后門(mén),2. 后門(mén)實(shí)例全球著名黑客米特尼克在15歲的時(shí)候，,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.2 網(wǎng)絡(luò)后門(mén)

21、,3. 后門(mén)的防御方法 后門(mén)的防范相對(duì)于木馬來(lái)說(shuō)，更加的困難，因?yàn)橄到y(tǒng)本身就包括遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助這些可以進(jìn)行遠(yuǎn)程維護(hù)的后門(mén)，所以對(duì)用戶(hù)來(lái)講更加的困難。(1) 首先對(duì)使用的操作系統(tǒng)以及軟件要有充分的了解，確定它們之中是否存在后門(mén)。如果存在的話(huà)就需要及時(shí)關(guān)閉，以免這些后門(mén)被黑客所利用，比如系統(tǒng)的遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助等。(2) 關(guān)閉系統(tǒng)中不必要的服務(wù)，這些服務(wù)中有相當(dāng)一部分對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)不但沒(méi)有作用，而且安全方面也存在很大的

22、隱患，比如Remote Registry、Terminal Services等，這樣同樣可以防范系統(tǒng)服務(wù)被黑客利用。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.2 網(wǎng)絡(luò)后門(mén),(3) 安裝網(wǎng)絡(luò)防火墻，這樣可以有效地對(duì)黑客發(fā)出的 連接命令進(jìn)行攔截。即使是自己的系統(tǒng)被黑客安裝了后門(mén)程序，也能阻止黑客的進(jìn)一步控制操作。(4) 安裝最新版本的殺毒軟件，并且將病毒庫(kù)升級(jí)到最新的版本。另外再安裝一個(gè)注冊(cè)表監(jiān)控程序，可以隨時(shí)對(duì)注冊(cè)表的變化進(jìn)行監(jiān)控，有效地防范后門(mén)的

23、入侵。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,操作系統(tǒng)日志是對(duì)操作系統(tǒng)中的操作或活動(dòng)進(jìn)行的記錄，不管是用戶(hù)對(duì)計(jì)算機(jī)的操作還是應(yīng)用程序的運(yùn)行情況都能全面記錄下來(lái)。黑客在非法入侵電腦以后所有行動(dòng)的過(guò)程也會(huì)被日志記錄在案。所以黑客在攻擊之后，如果刪除這些日志記錄，就顯得很重要了。 雖然一個(gè)日志的存在不能提供完全的可記錄性，但日志能使系統(tǒng)管理員和安全官員做到：,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,發(fā)現(xiàn)試圖攻擊系統(tǒng)安

24、全的重復(fù)舉動(dòng)（例如：一個(gè)攻擊者試圖冒充administrator或root登錄）。 跟蹤那些想要越權(quán)的用戶(hù)（例如：那些使用sudo 命令作為root 執(zhí)行命令的用戶(hù)）。 跟蹤異常的使用模式（例如：有人在工作時(shí)間以外的時(shí)間登錄計(jì)算機(jī)）。 實(shí)時(shí)跟蹤侵入者。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,5.3.1 Windows下清除攻擊痕跡 Windows下的日志信息可以在“控制面板”->“管理工具”->“事

25、件查看器”當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的安全日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,5.3.1 Windows下清除攻擊痕跡 Windows下的日志信息可以在“控制面板”->“管理工具”->“事件查看器”當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的安全日志。

26、如圖5.19所示為事件查看器中的系統(tǒng)日志。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,5.3.1 Windows下清除攻擊痕跡 Windows下的日志信息可以在“控制面板”->“管理工具”->“事件查看器”當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的安全日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,這三種日志文件的存

27、放位置分別如下：1. 安全日志文件默認(rèn)位置： %systemroot%\system32\config\SecEvent.EVT。2. 系統(tǒng)日志文件默認(rèn)位置：%systemroot%\system32\config\SysEvent.EVT。3. 應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,這三種日志文件的存放位置分別如下：,

28、莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,5.3.2 Unix下清除攻擊痕跡 不同版本的Unix日志文件的目錄是不同的，最常用的目錄如下：/usr/adm 早期版本的 Unix /var/adm 較新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在這些目錄或其子目錄下，可以找到以下日志文件（也許是其中的一部分）：lastlog

29、 記錄用戶(hù)最后一次成功登錄時(shí)間 loginlog 不良的登陸嘗試記錄,莆田學(xué)院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,messages 記錄輸出到系統(tǒng)主控臺(tái)以及由syslog系統(tǒng)服務(wù)程序產(chǎn)生的消息 utmp 記錄當(dāng)前登錄的每個(gè)用戶(hù) utmpx 擴(kuò)展的utmp wtmp 記錄每一次用戶(hù)登錄和注銷(xiāo)的歷史信息 wtmpx 擴(kuò)展的wtmp vold.log 記錄使用外部介質(zhì)出現(xiàn)的錯(cuò)誤 xferkig 記錄Ftp的存取情況 sulog