2黑客攻击技术PPT课件

第3章 木马攻击
1
整体概况
+ 概况1
您的内容打在这里，或者通过复制您的文本后。
概况2
+ 您的内容打在这里，或者通过复制您的文本后。
概况3
+ 您的内容打在这里，或者通过复制您的文本后。
2
实验3－1：传统连接技术木马之 一─Netbus木马
一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施
25
三、实验步骤(2)
2、B机作为受害机，运行A机冰河压缩包中的setup.ex e，此时查看B机的任务管理器，发现多了名为Kernel32.e xe的进程。这个Kernel32.exe的进程是木马程序的服务器 端运行之后的改名进程，这是冰河木马的自我隐藏机制。 当冰河的G_Server.exe服务端程序在计算机上运行时，它 不会有任何提示，而是在%Systemroot%/System32下建立 应用程序“Kernel32.exe”和“Sysexplr.exe”。
（3）测试：在受害主机B上，点击开始任务栏―>运行―>Cmd并回车。 黑客机A可以成功地利用Telnet拨入至受害主机B，而受害主机B上 根本没启动Telnet服务，黑客机A通过端口重定向与应用程序重定 向将Cmd.exe指派到23端口，又将23端口重定向至100端口，再 Telnet至受害主机B，从而接管受害主机B系统的命令提示符窗口。
13
三、实验步骤(8)
8、键盘管理器（即Key Manager 钮）：控制对方几个键或者主键盘区的全 部键无法输入（但小键盘区不受控制）， (图3-8 禁用受害主机的键盘)。
14
三、实验步骤(9)
9、远程关机，(图3-9 对受害主机进行 关机)。

任务管理器里隐藏
按下Ctrl+Alt+Del打开任务管理器， 查看正在运行的进程，可发现木马 进程,木马把自己设为”系统服务” 就不会出现在任务管理器里了. 添 加系统服务的工具有很多,最典型的 net service,可手工添加系统服务.
隐藏端口
大部分木马一般在1024以上的高端 口驻留,易被防火墙发现.现在许多 新木马采用端口反弹技术,客户端使 用80端口、21端口等待服务器端 （被控制端）主动连接客户端（控 制端）。
监听
以“里应外合”的工作方式，服务程序通过打开特定的端口并进行监听，这些端口好像“后门”一样，所以 也有人把特洛伊木马叫做后门工具。 攻击者所掌握的客户端程序向该端口发出请求（Connect Request）,木马便和它连接起来了，攻击者就可以 使用控制器进入计算机，通过客户程序命令达到控服务器端的目的。
木马启动方式
在配置文件中启动
（1）在Win.ini中 在一般情况下,C:\WINNT\ Win.ini 的”Windows”字段中有启动命令 “load=”和”Run=”的后面是空白的, 如果有后跟程序，例如： Run= C:\WINNT\ File.exe load= C:\WINNT\ File.exe ,这个 File.exe极可能是木马。 （2）在system.ini中 C:\WINNT\ system.ini的
端口反弹技术
反弹技术
该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题
反弹端口型软件的原理
客户端首先到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端 的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就 可完成连接工作。因此在互联网上可以访问到局域网里通过 NAT （透明代理）代理上网的电脑，并且可以穿过防 火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为80 （即用于网页浏览的端口），这样，即使用户在命令提示符下使用"netstat -a"命令检查自己的端口，发现的也是类 似"TCP UserIP:3015 ControllerIP：http ESTABLISHED"的情况，稍微疏忽一点你就会以为是自己在浏览网 页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样 就可以轻易的突破防火墙的限制

13
黑客的分类
善
渴求自由
恶
白帽子创新者
•设计新系统 •打破常规 •精研技术 •勇于创新
没有最好， 只有更好
MS -Bill Gates
GNU -R.Stallman
Linux -Linus
灰帽子破解者
•破解已有系统 •发现问题/漏洞 •突破极限/禁制 •展现自我
计算机 为人民服务
漏洞发现 - 袁哥等 软件破解 - 0 Day 工具提供 - Numega
▪ 自由软件运动、GNU计划、自由软件基金的创始人，打破软件是私有 财产的概念。
▪ 号称十大老牌黑客
7
▪ 1992年--LINUX的出现
李纳斯 ·托瓦兹
一个21岁的芬兰大学生，在学生宿舍里写了一个操 作系统的内核--Linux
8
国内黑客历史
▪ 1996年－1998年：中国黑客的起源 • 计算机和网络还没有普及。 • 黑客大部分是从事科研和机械方面工作的人，有着扎实的技术。 • 代表组织：“绿色兵团”。
黑帽子破坏者
•随意使用资源 •恶意破坏 •散播蠕虫病毒 •商业间谍
人不为己， 天诛地灭
入侵者-K.米特尼克 CIH - 陈盈豪 攻击Yahoo者 -匿名
14
黑客应该做的事情
▪ 写开放源码的软件 ▪ 帮助测试并修改开放源码的软件 ▪ 公布有用的信息 ▪ 帮助维护基础设施的运转 ▪ 为黑客文化本身服务
主要内容
▪ 黑客概述 ▪ 目标系统的探测方法 ▪ 口令破解 ▪ 网络监听 ▪ 木马 ▪ 拒绝服务攻击 ▪ 缓冲区溢出
1
2.1 黑客概述
2.1.1 黑客的由来
2
▪ 黑客最早源自英文hacker，早期在美国的电脑界是带 有褒义的。是指热心于计算机技术，水平高超的电脑 专家，尤其是程序设计人员。但在今天的媒体报导中， 黑客一词往往指那些“软件骇客”(software cracker)， 被用于泛指那些专门利用电脑网络搞破坏或恶作剧的 家伙。对这些人的正确英文叫法是Cracker，有人翻 译成“骇客”。

混合型威胁趋势
将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏 洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。
主动恶意代码趋势
制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术 手段巧妙地伪装自身，躲避甚至攻击防御检测软件. 表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发 展到可以在网络的任何一层生根发芽，复制传播，难以检测。
防病毒软件历史
单机版静态杀毒
实时化反病毒
防病毒卡 动态升级 主动内核技术
自动检测技术：特征代码检测
单特征检查法 基于特征标记 免疫外壳
防病毒技术发展
第一代反病毒技术
采取单纯的病毒特征诊断，对加密、变形的新一代病毒无能 为力； 采用静态广谱特征扫描技术，可以检测变形病毒 误报率高，杀毒风险大； 静态扫描技术和动态仿真跟踪技术相结合； 基于病毒家族体系的命名规则 基于多位CRC校验和扫描机理 启发式智能代码分析模块、 动 态数据还原模块（能查出隐蔽 性极强的压缩加密文件中的病毒）、内存解毒模块、自身免 疫模块
电子邮件附件:

(已被使用过无数次的攻击方式)
文件共享: 针对所有未做安全限制的共享
MYDOOM的工作原理

W32.Novarg.A@mm [Symantec] ，受影响系统: Win9x/NT/2K/XP/2003 1、创建如下文件： %System%shimgapi.dll %temp%Message， 这个文件由随机字母通组成。 %System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。 2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启 3127到3198范围内的TCP端口进行监听； 3、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。 4、对实施拒绝服务（DoS)攻击,创建64个线程发送GET请 求，这个DoS攻击将从2004年2月1延续到2004年2月12日； 5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地 址：.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等； 6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发 送邮件，如果失败，则使用本地的邮件服务器发送； 7、邮件内容如下：From: 可能是一个欺骗性的地址；主题:hi/hello等。

.
ห้องสมุดไป่ตู้
9
注册表编辑器实用防范
1 禁止访问和编辑注册表 2 关闭远程注册表管理服务 3 关闭默认共享保证系统安全 4 预防SYN系统攻击 5 设置Windows系统自动登录
.
10
禁止访问和编辑注册表
具体的操作步骤如下：
步骤1：在“组策略”窗口中，依次展开【用户配置】→【管理模板】→【系统】选 项，即可进入“系统设置”窗口，如图12-65所示。
步骤2：双击“阻止访问注册表编辑工具”选项，即可打开【阻止访问注册表编辑工 具 属性】对话框，如图12-66所示。在其中选择“已启用”单选项，单击【确定 】按钮，即可完成设置操作。
步骤3：在【运行】对话框中输入“regedit.exe”命令，单击【确定】按钮，即可看 到【注册编辑已被管理员禁用】提示框，如图12-67所示。表明注册表编辑器已经 被管理员禁用。
.
4
在IE中设置隐私保护
具体的操作步骤如下：
步骤3：单击【确定】按钮，即可返回到【隐私】选项卡。单击【设置】按钮，即可 打开【弹出窗口阻止程序设置】对话框，如图12-25所示。
步骤4：在“要允许的网站地址”文本框中输入需要添加的站点，单击【添加】按钮 ，即可将其添加到“允许的站点”列表框，如图12-26所示。在“筛选级别”下拉 框中，即可看到有3种级别，在其中选择相应的级别，如图12-27所示。
步骤6：单击【关闭】按钮，即可完成设置操作。单击【确定】按钮，即可完成IE中 隐私保护的设置操作。
.
5
组策略的设置与管理
1 运行组策略 2 禁止更改“开始”菜单和任务栏 3 设置桌面项目 4 设置控制面板项目 5 设置资源管理器 6 设置IE浏览器项目

击手段是同步泛滥 （ｓｙｎｆｌｏｏｄｉｎｇ），这是一种分布式服务拒绝（ＤＤＯＳ） 方法。就是通过大量的虚假ＩＰ地址，建立不完整连接，使服务超载，索服务已经在 12日傍晚恢复正常。
12.10.2020
12.10.2020
黑客攻击与防范
4
要求
掌握以下内容：
黑客的起源及分类，常见的黑客攻击方 法及入侵技术的发展
常见的黑客攻击与防范
12.10.2020
黑客攻击与防范
5
黑客事件１
９月11日上午8点多，中国移动的网站首页显示的不是“移动信息专 家”，而是一行涂鸦：“恳请移动的话费能便宜点不……”原来是中 国移动网站遭到黑客突袭。
12.10.2020
黑客攻击与防范
11
1.3黑客Leabharlann 击的目的1．窃取信息 2．获取口令 3．控制中间站点 4．获得超级用户权限
12.10.2020
黑客攻击与防范
12
１.4常见的攻击方法及技术的发展
高 入侵者水平
攻击手法
半开放隐蔽扫描 工具
包欺骗 嗅探 擦除痕迹
拒绝服务
DDOS 攻击
www 攻击
自动探测扫描
12.10.2020
黑客攻击与防范
18
2.2.1 致命攻击
使用的工具软件是：SMBDie V1.0，该软件对打了 SP3、SP4的计算机依然有效，必须打专门的SMB补 丁，软件的主界面如图所示。
12.10.2020
黑客攻击与防范
后门
破坏审计系统
会话劫持 控制台入侵
GUI远程控制 检测网络管理
利用已知的漏洞
密码破解 可自动复制的代码
攻击者
密码猜测
1980

• 3. 入侵：这个阶段主要是看通过什么样的渠道进行入 侵了。根据前面搜集到的信息，是采用Web网址入侵， 还是服务器漏洞入侵，还是通过社会工程学原理进行欺 骗攻击，这需要根据具体的情况来定。
4.1 攻击的一般流程
• 4. 获取权限：我们入侵当然一部分目的是为了获取权 限。通过Web入侵能利用系统的漏洞获取管理员后台密 码，然后登录后台。这样就可以上传一个网页木马，如 ASP木马、php木马等。根据服务器的设置不同，得到的 木马的权限也不一样，所以还要提升权限。
4.2 攻击的方法与技术
• 2. 混合攻击（Hybrid attack）
•
另一个众所周知的攻击形式是混合攻击。混合攻击
将数字和符号添加到文件名以成功破解密码。许多人只
通过在当前密码后加一个数字来更改密码。其模式通常
采用这一形式：第一月的密码是“cat”；第二个月的
密码是“cat1”；第三个月的密码是“cat2”，依次类
目录
4.1 攻击的一般流程 4.2 攻击的方法与技术
4.1 攻击的一般流程
• 黑客攻击一般有六个步骤，即：踩点—>扫描—>入侵— >获取权限—>提升权限—>清除日志信息。
• 1. 踩点：主要是获取对方的IP，域名服务器信息，还 有管理员的个人信息以及公司的信息。IP域名服务器信 息可以通过工具扫描获取。比如通过这两个网站可以查 询到一个服务器上有哪些网站，就是这个服务器上绑定 了哪些域名。
4.2 攻击的方法与技术
• (5) Power Point 文 件 破 解 工 具 ： PowerpointPassword-Recovery.exe，如图2.7所示。
4.2 攻击的方法与技术
• 4.2.2 缓冲区溢出攻击

2021/3/30
12
5月2日
• 中美黑客大战升级两天之内700多家网站被黑
• 经过一天一夜的攻击，在记者昨晚10时发稿前， 在中国红客联盟公布被黑美国站点的网站上，被 “攻陷”的美国站点已达92个，而来自网友信息， 被黑的中国站点则已超过600个(包括台湾地区的 网站)。据分析，由于一些红客没能将所黑的网站 及时报上，因此中美被黑站点比例大约在1：3左 右。
2021/3/30
26
二. IIS安全配置
2.巧妙配置ACL（访问控制列表）。
1）什么是ACL？
Windows系统中，访问控制列表(Access Control List，简称ACL)，用 来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。 在活动目录服务中，一个ACL是一个存储访问权限与被保护对象相互之间关 系的列表。
• “不怕太阳晒，也不怕那风雨狂，只怕先生骂我 笨，没有学问无颜见爹娘 ……”
• “太阳当空照，花儿对我笑，小鸟说早早早……”
2021/3/30
4
美国一家著名的网络安全公司宣布了
一项调查数据，称自从撞机事件发生 以来，两国网站上的黑客攻击事件每 天都要发生40—50起，而在这之前， 这个数字仅为1—2起。
3左据美国网络安全与家称中国黑客在广泛扩充攻击队伍幵在网上提供一种叫杀死美国的黑客工具但他们只是在教人们如何涂改页面幵没有对网站的dosdenial美国黑客对中国网站展开攻击引起广东黑客参不五一大反击对亍此次攻击有黑客表示目的丌仅仅是反击更多地想暴露目前中国网站存在的严重安全问题引起各斱高度关注
黑客攻防演示
2021/3/30
13
5月3日
• 只改页面未破坏DoS中国黑客手下留情 • 据美国网络安全专家称，中国黑客在广泛扩充攻

[南帝]谢朝霞 中国黑客武林的鼻祖式人物，中国黑客十年，谢朝霨做了10
年的黑客，谢朝霨的地位没因时间的消逝而褪去。
21
[北丐]万涛 作为中国鹰派的创始人，在中日黑客抗战，印尼排华战争、
中美黑客大战、反台独战役，均有万涛的身影，并扮演了重要 的角色。 [中神通]小榕
说到中国黑客江湖，基本无人不知小榕。中国黑客江湖不是 因小榕而始，也不会因小榕以后退隐而湮灭，但中国黑客江湖 却是因小榕的突起得到无限的延伸。
5
2.黑客简介
“黑客”一词由英语Hacker英译而来，是指专门研究、发现 计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络 的发展而产生成长。黑客对计算机有着狂热的兴趣和执着的追 求，他们不断地研究计算机和网络知识，发现计算机和网络中 存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然 后向管理员提出解决和修补漏洞的方法。
菜鸟一般所提的问题就那么几十个在一个稍微老一些的论坛上基本上应该都有人提过了而且是不止一次的提过了因此你事先搜索一下应该会搜到不止一篇的帖子在这些帖子的回复中应该有你想要的答案但如果你不去搜索而直接提问那么你将花费一定的时间去等待回复这就是浪费况且大部分高手都反感提问简单而重复的问题那么你得到的回复也许将更加粗略而潦草这更是浪费
23
2.黑客江湖之八大门派
1.安全焦点 门派代表：冰河
除了绿色兵团鼎盛时期，很少有门派能汇聚那么多的高手。 武林双鹰冰河、wolf ,flashsky,tombkeeper,isno,eyas….均 是当今武林响当当的人物。每次安全焦点的年会，参加的都是 中国黑客武林绝顶的高手，还有很多神秘的绝顶高手一直不为 外界所知，安全焦点的门派实力到底去到什么程度，武林中一 直是一个迷。当今黑客武林，安全焦点的震慑力无人能出其右， 中国黑客武林第一大门派位置无人能憾动。

▪ 被“电脑信息跟踪机”发现第一次被逮捕。
▪ 出狱后，又连续非法修改多家公司电脑的财务帐单。
▪ 1988年再次入狱，被判一年徒刑，成了世界上第一名“电脑 网络少年犯” 。
可编辑ppt
17
“头号电脑黑客”凯文•米特尼克
▪ 1993年（29岁）打入联邦调查局的内部网，逃脱其设下的 圈套。
▪ 1994年向圣地亚哥超级计算机中心发动攻击，该中心安全专 家下村勉决心将其捉拿归案。
▪ 期间米特尼克还入侵了美国摩托罗拉、NOVELL、SUN公司 及芬兰NOKIA公司的电脑系统，盗走各种程序和数据（价4 亿美金）。
▪ 下村勉用“电子隐形化”技术跟踪，最后准确地从无线电话 中找到行迹，并抄获其住处电脑。
▪ 1995年2月被送上法庭，“到底还是输了”。 ▪ 2000年1月出狱，3年内被禁止使用电脑、手机及互联网。
▪ 无知/好奇 – 失误和破坏了信息还不知道破坏了什么
▪ 黑客道德 - 这是许多构成黑客人物的动机
▪ 仇恨 - 国家和民族原因
▪ 间谍 －政治和军事目的谍报工作
▪ 商业 －商业竞争，商业间谍
可编辑ppt
6
黑客应该做的事情
▪ 1.写开放源码的软件 ▪ 2. 帮助测试并修改开放源码的软件 ▪ 3. 公布有用的信息 ▪ 4. 帮助维护基础设施的运转 ▪ 5. 为黑客文化本身服务
第二章 黑客常用的系统攻 击方法
可编辑ppt
1
本章主要内容
Key Questions
▪ 黑客发展的历史 ▪ 网络威胁 ▪ 网络扫描 ▪ 网络监听 ▪ 常用黑客技术的原理（木马、缓冲区溢出等） ▪ 黑客攻击的防范
可编辑ppt
2
黑客发展的历史
▪ 黑客的由来 ▪ 黑客的分类：

教ห้องสมุดไป่ตู้培训
定期向员工提供安全培训和意识教育。
企业的网络安全风险管理
1
风险评估
评估当前网络安全状况，并制定应对策
网络监测
2
略和应急预案。
使用许多现代技术来保护网络和系统免
于黑客的侵入，并监视网络流量。
3
灾难恢复计划
制定相应措施来处理不同的风险事件。
网络安全保护的五大基本要点
防火墙
对网络和数据进行监管和控制， 清除非法或恶意流量。
密码安全
使用复杂和不易猜测的密码，并 定期更换和更新密码。
数据备份
定期备份数据，以防止数据丢失。
1 更新软件
2 个人培训
安装防病毒软件、安全补丁程序和安全升级。
针对公司员工加强安全意识教育和虚拟空间 技能培训。
总结
无论是个人还是企业，网络安全都是一项至关重要的任务。我们必须时刻关 注网络安全威胁，并采取必要的措施来保护我们的信息和技术。
2
DN S
域名系统可以将网址转换为 IP 地址，以方便访问网络资源。
3
SSL /T LS
安全套接层/传输层安全协议用于在互联网上安全地传输数据。
防黑客攻击的常用方法
密码保护
使用强密码和多因素认证，保护账户和设备。
网络安全体系
构建防火墙、反病毒软件和入侵检测系统等网 络安全体系。
软件更新应用
始终保持最新版本的应用程序和补丁程序。
网络安全课件——黑客的 攻击与防范
网络安全是世界范围内的重要话题。本课件将深入探讨黑客的攻击方式和防 范措施。
常见黑客攻击方式
1 社会工程学
利用人性弱点感化目标，获取敏感信息。
2 钓鱼邮件