网络安全技术-09网络后门与网络隐身(下)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全技术 第九讲 网络后门与网络隐身(下)
曲海平
本章内容提要
为了保持对已经入侵主机长久的控制,需要在主机 上建立网络后门,以后可以直接通过后门入侵系统。 当入侵主机以后,通常入侵者的信息就被记录在主 机的日志中,比如IP地址、入侵的时间以及做了哪 些破坏活动等等 为了入侵的痕迹不被发现,需要隐藏或者清除入侵 的痕迹。实现隐身有两种方法:
查看注册表
前面章节对此已经做了介绍,当计算机感染了 “冰河”以后,查看被修改后的注册表,如图
使用冰河客户端添加主机
没有中冰河的情况下SYSEXPLR.EXE”其实就是 “冰河”的服务器端程序。 目标主机中了冰河了,可以利用客户端程序来连接服务器端 程序。在客户端添加主机的地址信息,这里的密码是就是刚 才设置的密码“1234567890”如图所示。
使用Snake代理跳板
使用Snake代理跳板需要首先在每一级跳板主 机上安装Snake代理服务器。 一般首先将本地计算机设置为一级代理,将文 件拷贝到C盘根目录下,然后将代理服务安装 到主机上。安装需要四个步骤,如图6-42所 示。
Snake的安装
第一步执行“sksockserver -install”将代理 服务安装主机中 第二步执行“sksockserver -config port 1122”将代理服务的端口设置为1122,当然 可以设置为其他的数值, 第三步执行“sksockserver -config starttype 2”将该服务的启动方式设置为自 动启动。 第四步执行“net start skserver”启动代理 服务。
设置代理跳板 清除系统日志。
6.1 网络后门
网络后门是保持对目标主机长久控制的关键策略。 可以通过建立服务端口和克隆管理员帐号来实现。
留后门的艺术
只要能不通过正常登录进入系统的途径都称之为 网络后门。后门的好坏取决于被管理员发现的概 率。只要是不容易被发现的后门都是好后门。留 后门的原理和选间谍是一样的,让管理员看了感 觉没有任何特别的。
查看对方的目录列表
点击按钮“确定”以后,查看对方计算机的基 本信息了,对方计算机的目录列表如图所示。
查看并控制远程屏幕的菜单
从图中可以看出,可以在对方计算机上进行任 意的操作。除此以外还可以查看并控制对方的 屏幕等等,如图所示。
6.3 网络代理跳板
当从本地入侵其他主机的时候,自己的IP会暴露给 对方。通过将某一台主机设置为代理,通过该主机 再入侵其他主机,这样就会留下代理的IP地址,这 样就可以有效的保护自己的安全。二级代理的基本 结构如图6-51所示。
设置“冰河”服务器配置
在出现的对话框中选择服务器端程序win32.exe进 行配置,并填写访问服务器端程序的口令,这里设 置为“1234567890”,如图所示。
冰河服务器的安装
点击按钮“确定”后,就可以将“冰河”的服 务器种到某一台主机上。 执行完win32.exe文件以后,系统没有任何 反应,其实已经更改了注册表,并将服务器端 程序和文本文件进行了关联,当用户双击一个 扩展名为txt的文件的时候,就会自动执行冰 河服务器端程序。
1、使用Windows 2000的远程桌面连接工具。 2、使用Windows XP的远程桌面连接工具。 3、使用基于浏览器方式的连接工具。
6.2 木马
木马是一种可以驻留在对方系统中的一种程序。 木马一般由两部分组成:服务器端和客户端。 驻留在对方服务器的称之为木马的服务器端, 远程的可以连到木马服务器的程序称之为客户 端。 木马的功能是通过客户端可以操纵服务器,进 而操纵对方的主机。
网络代理跳板工具的使用
常用的网络代理跳板工具很多,这里介绍一 种比较常用而且功能比较强大的代理工具: Snake代理跳板。
Snake的代理跳板,支持TCP/UDP代理,支 持多个(最多达到255)跳板。 程序文件为:SkSockServer.exe,代理方 式为Socks,并自动打开默认端口1813监听。
后门工具总结
在掌握了管理员密码的前提下,后门工具可以 实现: 1 开启系统关闭的服务(如telnet) 2 记录管理员密码的改变(非常实用) 3 开启系统的多个服务与端口(强大但太明显) 4 将禁用的Guest用户隐藏设置为管理员(最 隐蔽)
连接到终端服务
管理员为了远程操作方便,服务器上的该服务一般 都是开启的。这就给黑客们提供一条可以远程图形 化操作入侵主机的途径。 利用该服务,目前常用的有三种方法连接到对方主 机:
木马与后门
“木马”程序是目前比较流行的病毒文件,与 一般的病毒不同,它不会自我繁殖,也并不 “刻意”地去感染其他文件。 木马程序在表面上看上去没有任何的损害,实 际上隐藏着可以控制用户整个计算机系统、打 开后门等危害系统安全的功能。
常见木马的使用
常见的简单得木马有NetBus远程控制、“冰河”木 马、PCAnyWhere远程控制等等。这里介绍一种最 常见的木马程序:“冰河”。 “冰河”包含两个程序文件,一个是服务器端, 另一个是客户端。“冰河8.2”的文件列表如图所 示。
“冰河”的客户端
win32.exe文件是服务器端程序,Y_Client.exe文 件为客户端程序。将win32.exe文件在远程得计算 机上执行以后,通过Y_Client.exe文件来控制远程 得服务器,客户端的主界面如图所示。
选择配置菜单
将服务器程序种到对方主机之前需要在客户端对服 务器程序做一些设置,比如连接端口,连接密码等。 选择菜单栏“设置”下的菜单项“配置服务器程 序”,如图所示。
本地计算机
代理服务器一
代理服务器二
被入侵的主机
本地通过两级代理入侵某一台主机,这样在被入侵 的主机上,就不会留下自己的信息。可以选择更多 的代理级别,但是考虑到网络带宽的问题,一般选 择两到三级代理比较合适。 选择代理服务的原则是选择不同地区的主机作为代 理。比如现在要入侵北美的某一台主机,选择南非 的某一台主机作为一级代理服务器,选择北欧的某 一台计算机作为二级代理,再选择南美的一台主机 作为三级代理服务器,这样很安全了。 可以选择做代理的主机有一个先决条件,必须先安 装相关的代理软件,一般都是将已经被入侵的主机 作为代理服务器。
曲海平
本章内容提要
为了保持对已经入侵主机长久的控制,需要在主机 上建立网络后门,以后可以直接通过后门入侵系统。 当入侵主机以后,通常入侵者的信息就被记录在主 机的日志中,比如IP地址、入侵的时间以及做了哪 些破坏活动等等 为了入侵的痕迹不被发现,需要隐藏或者清除入侵 的痕迹。实现隐身有两种方法:
查看注册表
前面章节对此已经做了介绍,当计算机感染了 “冰河”以后,查看被修改后的注册表,如图
使用冰河客户端添加主机
没有中冰河的情况下SYSEXPLR.EXE”其实就是 “冰河”的服务器端程序。 目标主机中了冰河了,可以利用客户端程序来连接服务器端 程序。在客户端添加主机的地址信息,这里的密码是就是刚 才设置的密码“1234567890”如图所示。
使用Snake代理跳板
使用Snake代理跳板需要首先在每一级跳板主 机上安装Snake代理服务器。 一般首先将本地计算机设置为一级代理,将文 件拷贝到C盘根目录下,然后将代理服务安装 到主机上。安装需要四个步骤,如图6-42所 示。
Snake的安装
第一步执行“sksockserver -install”将代理 服务安装主机中 第二步执行“sksockserver -config port 1122”将代理服务的端口设置为1122,当然 可以设置为其他的数值, 第三步执行“sksockserver -config starttype 2”将该服务的启动方式设置为自 动启动。 第四步执行“net start skserver”启动代理 服务。
设置代理跳板 清除系统日志。
6.1 网络后门
网络后门是保持对目标主机长久控制的关键策略。 可以通过建立服务端口和克隆管理员帐号来实现。
留后门的艺术
只要能不通过正常登录进入系统的途径都称之为 网络后门。后门的好坏取决于被管理员发现的概 率。只要是不容易被发现的后门都是好后门。留 后门的原理和选间谍是一样的,让管理员看了感 觉没有任何特别的。
查看对方的目录列表
点击按钮“确定”以后,查看对方计算机的基 本信息了,对方计算机的目录列表如图所示。
查看并控制远程屏幕的菜单
从图中可以看出,可以在对方计算机上进行任 意的操作。除此以外还可以查看并控制对方的 屏幕等等,如图所示。
6.3 网络代理跳板
当从本地入侵其他主机的时候,自己的IP会暴露给 对方。通过将某一台主机设置为代理,通过该主机 再入侵其他主机,这样就会留下代理的IP地址,这 样就可以有效的保护自己的安全。二级代理的基本 结构如图6-51所示。
设置“冰河”服务器配置
在出现的对话框中选择服务器端程序win32.exe进 行配置,并填写访问服务器端程序的口令,这里设 置为“1234567890”,如图所示。
冰河服务器的安装
点击按钮“确定”后,就可以将“冰河”的服 务器种到某一台主机上。 执行完win32.exe文件以后,系统没有任何 反应,其实已经更改了注册表,并将服务器端 程序和文本文件进行了关联,当用户双击一个 扩展名为txt的文件的时候,就会自动执行冰 河服务器端程序。
1、使用Windows 2000的远程桌面连接工具。 2、使用Windows XP的远程桌面连接工具。 3、使用基于浏览器方式的连接工具。
6.2 木马
木马是一种可以驻留在对方系统中的一种程序。 木马一般由两部分组成:服务器端和客户端。 驻留在对方服务器的称之为木马的服务器端, 远程的可以连到木马服务器的程序称之为客户 端。 木马的功能是通过客户端可以操纵服务器,进 而操纵对方的主机。
网络代理跳板工具的使用
常用的网络代理跳板工具很多,这里介绍一 种比较常用而且功能比较强大的代理工具: Snake代理跳板。
Snake的代理跳板,支持TCP/UDP代理,支 持多个(最多达到255)跳板。 程序文件为:SkSockServer.exe,代理方 式为Socks,并自动打开默认端口1813监听。
后门工具总结
在掌握了管理员密码的前提下,后门工具可以 实现: 1 开启系统关闭的服务(如telnet) 2 记录管理员密码的改变(非常实用) 3 开启系统的多个服务与端口(强大但太明显) 4 将禁用的Guest用户隐藏设置为管理员(最 隐蔽)
连接到终端服务
管理员为了远程操作方便,服务器上的该服务一般 都是开启的。这就给黑客们提供一条可以远程图形 化操作入侵主机的途径。 利用该服务,目前常用的有三种方法连接到对方主 机:
木马与后门
“木马”程序是目前比较流行的病毒文件,与 一般的病毒不同,它不会自我繁殖,也并不 “刻意”地去感染其他文件。 木马程序在表面上看上去没有任何的损害,实 际上隐藏着可以控制用户整个计算机系统、打 开后门等危害系统安全的功能。
常见木马的使用
常见的简单得木马有NetBus远程控制、“冰河”木 马、PCAnyWhere远程控制等等。这里介绍一种最 常见的木马程序:“冰河”。 “冰河”包含两个程序文件,一个是服务器端, 另一个是客户端。“冰河8.2”的文件列表如图所 示。
“冰河”的客户端
win32.exe文件是服务器端程序,Y_Client.exe文 件为客户端程序。将win32.exe文件在远程得计算 机上执行以后,通过Y_Client.exe文件来控制远程 得服务器,客户端的主界面如图所示。
选择配置菜单
将服务器程序种到对方主机之前需要在客户端对服 务器程序做一些设置,比如连接端口,连接密码等。 选择菜单栏“设置”下的菜单项“配置服务器程 序”,如图所示。
本地计算机
代理服务器一
代理服务器二
被入侵的主机
本地通过两级代理入侵某一台主机,这样在被入侵 的主机上,就不会留下自己的信息。可以选择更多 的代理级别,但是考虑到网络带宽的问题,一般选 择两到三级代理比较合适。 选择代理服务的原则是选择不同地区的主机作为代 理。比如现在要入侵北美的某一台主机,选择南非 的某一台主机作为一级代理服务器,选择北欧的某 一台计算机作为二级代理,再选择南美的一台主机 作为三级代理服务器,这样很安全了。 可以选择做代理的主机有一个先决条件,必须先安 装相关的代理软件,一般都是将已经被入侵的主机 作为代理服务器。