计算机系统安全 第10章 常用攻击手段
1 计算机系统安全 第10章 常用攻击手段
四、口令入侵 口令“入侵者” 什么是口令“入侵者” 口令入侵者是指任何可以解开口令或屏蔽 口令保护的程序。一个口令入侵者并不一定 能够解开任何口令,事实上,多数破解程序 都做不到。但是,可以使用仿真工具,利用 与原口令程序相同的方法,通过对比分析, 用不同的加密口令去匹配原口令。 许多所谓的口令“入侵者”都使用“蛮力
2 口令“入侵者” 什么是口令“入侵者” 口令入侵者是指任何可以解开口令或屏蔽 口令保护的程序。一个口令入侵者并不一定 能够解开任何口令,事实上,多数破解程序 都做不到。但是,可以使用仿真工具,利用 与原口令程序相同的方法,通过对比分析, 用不同的加密口令去匹配原口令。 许多所谓的口令“入侵者”都使用“蛮力” 。 四、口令入侵
口令“入侵者” Windows9x口令 口令文件存储在c: windows下,如果用户名为test,则 口令文件是 test. pwl,该文件存储着加密后的口令。 Unix系统: 口令存放于/etc/ passwd或 letc/shadow中 破解密码的工具: John the ripper简单;字典;穷举模式 Windows系统: Pwdump, LOphtCrack 流光ⅣV:远程在线破解字典+扫描
3 口令“入侵者” Windows 9x口令: 口令文件存储在c:\windows下,如果用户名为test,则 口令文件是test.pwl,该文件存储着加密后的口令。 Unix系统: 口令存放于/etc/passwd或/etc/shadow中 破解密码的工具: John the Ripper 简单; 字典;穷举模式 Windows系统:Pwdump,L0phtCrack 流光IV:远程在线破解 字典+扫描
五、特洛伊木马 特洛伊木马( Trojans) 特洛伊木马是指黑客用来远程控制目标计算机 的特殊程序。凡是非法驻留在目标计算机里, 并执行预定的操作,窃取目标的私有信息,都 属于特洛伊木马 工作方式:多数为C/S模式,服务器端安装在目 标机里,监听等待攻击者发出的指令;客户端 是用来控制目标机器的部分,放在攻击者机器 上。木马“ Passwd Sender(口令邮差)可以不需 要客户端
4 特洛伊木马(Trojans) 五、特洛伊木马 特洛伊木马是指黑客用来远程控制目标计算机 的特殊程序。凡是非法驻留在目标计算机里, 并执行预定的操作,窃取目标的私有信息,都 属于特洛伊木马。 工作方式:多数为C/S模式,服务器端安装在目 标机里,监听等待攻击者发出的指令;客户端 是用来控制目标机器的部分,放在攻击者机器 上。木马“Passwd Sender”(口令邮差)可以不需 要客户端
木马的伪装 冒充图象文件或游戏程序 捆绑程序欺骗 将木马程序与正常文件捆绑为一个程序 伪装成应用程序扩展组件 木马名字为d或ox类型文件,挂在一个有 名的软件中。 后两种方式的欺骗性更大
5 木马的伪装 ◼ 冒充图象文件或游戏程序 ◼ 捆绑程序欺骗 将木马程序与正常文件捆绑为一个程序 ◼ 伪装成应用程序扩展组件 木马名字为dll或ocx类型文件,挂在一个有 名的软件中。 后两种方式的欺骗性更大
木马的特点 隐蔽性强: 木马有很强的隐蔽性,在 Windows中,如果某个 程序出现异常,用正常的手段不能退出的时候, 采取的办法是按“Ctrl+At+De键,跳出 个窗口找到需要终止的程序,然后关闭它。 早期的木马会在按“Ctrl+At+De显露出 来,现在大多数木马已经看不到了。所以只能 采用内存工具来看内存中是否存在木马 功能特殊:
6 木马的特点 隐蔽性强: 木马有很强的隐蔽性,在Windows中,如果某个 程序出现异常,用正常的手段不能退出的时候, 采取的办法是按“Ctrl+Alt+Del”键,跳出一 个窗口,找到需要终止的程序,然后关闭它。 早期的木马会在按“Ctrl+Alt+Del”显露出 来,现在大多数木马已经看不到了。所以只能 采用内存工具来看内存中是否存在木马。 功能特殊:
五、特洛伊木马 潜伏能力强:表面上的木马被发现并删除以后,后备的 木马在一定的条件下会跳出来 Glacier(冰河)有两个服务器程序,挂在注册表的启动组 中的是c: WIndows System Kernel32eXe,当电脑启动 时装入内存,这是表面上的木马;另一个是: WIndows ISystemlSysexplr.exe,也在注册表中,它修改了文本文件 的关联,当点击文本文件的时候,它就启动了,它会检查 Keme32.eXe是不是存在。当 Kernel32.exe被删除以后, 如果点击了文本文件,那么这个文本文件照样运行,而 Sysexplr.exe被启动了。 Sysexplr:exe会再生成一个 Kerne32.exe
7 五、特洛伊木马 潜伏能力强:表面上的木马被发现并删除以后,后备的 木马在一定的条件下会跳出来。 Glacier(冰河)有两个服务器程序,挂在注册表的启动组 中的是C:\Windows\System\Kernel32.exe,当电脑启动 时装入内存,这是表面上的木马;另一个是:\Windows \System\Sysexplr.exe,也在注册表中,它修改了文本文件 的关联,当点击文本文件的时候,它就启动了,它会检查 Kernel32.exe是不是存在。当Kernel32.exe被删除以后, 如果点击了文本文件,那么这个文本文件照样运行,而 Sysexplr.exe被启动了。Sysexplr.exe会再生成一个 Kernel32.exe
木马的分类 远程访问型 密码发送型 键盘记录型 毁坏型:删除文件 FTP型:打开目标机21端口,上传、下载 木马发展趋势 与病毒结合,使之具有更强感染特性; 跨平台型 模块化设计:组件 即时通知
8 ◼ 木马的分类 ✓ 远程访问型 ✓ 密码发送型 ✓ 键盘记录型 ✓ 毁坏型:删除文件 ✓ FTP型:打开目标机21端口,上传、下载 ◼ 木马发展趋势 ✓ 与病毒结合,使之具有更强感染特性; ✓ 跨平台型; ✓ 模块化设计:组件; ✓ 即时通知
五、特洛伊木马 特洛伊木马启动方式 自动启动:木马一般会存在三个地方注册表、 WIn. InI、 system. ini,因为电脑启动的时候,需要装载这三个文 件。在 autoexec bat、 config.sys、启动组中易被发现 捆绑方式启动:木马 phAse1.0版本和 NetBus1.53版本 就可以以捆绑方式装到目标电脑上,它可以捆绑到启动程 序或一般常用程序上 捆绑方式是一种手动的安装方式。非捆绑方式的木马因 为会在注册表等位置留下痕迹,所以,很容易被发现,而捆 绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑 程序等,位置的多变使木马有很强的隐蔽性。 修改文件关联。如用木马取代 notepad.exe来打开txt文件⊕
9 特洛伊木马启动方式 五、特洛伊木马 自动启动:木马一般会存在三个地方:注册表、win.ini、 system.ini,因为电脑启动的时候,需要装载这三个文 件。在autoexec.bat、config.sys、启动组中易被发现。 捆绑方式启动:木马phAse 1.0版本和NetBus 1.53版本 就可以以捆绑方式装到目标电脑上,它可以捆绑到启动程 序或一般常用程序上。 捆绑方式是一种手动的安装方式。非捆绑方式的木马因 为会在注册表等位置留下痕迹,所以,很容易被发现,而捆 绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑 程序等,位置的多变使木马有很强的隐蔽性。 修改文件关联。如用木马取代notepad.exe来打开txt文件
五、特洛伊木马 木马服务器存放位置及文件名 木马的服务器程序文件一般位置是在 c: windows和c: windowsIsystem中,因为 windows的一些系统文件在这两个位置。 木马的文件名总是尽量和 windows的系统文件 接近,比如木马 Sub seven1.7版本的服务器文 件名是c: windows KErnel16DL,而 windows 由一个系统文件是 c: windows Kernel32DLL, 删除 KERNEL32.DL会让机器瘫痪。木马 Subseven1.5版本服务器文件名是 c: Windows window. exe,少一个s
10 木马服务器存放位置及文件名 五、特洛伊木马 木马的服务器程序文件一般位置是在 c:\windows 和 c:\windows\system 中 , 因 为 windows的一些系统文件在这两个位置。 木马的文件名总是尽量和windows的系统文件 接近, 比如木马SubSeven 1.7版本的服务器文 件名是c:\windows\KERNEL16.DL,而windows 由一个系统文件是c:\windows\KERNEL32.DLL, 删 除 KERNEL32.DLL 会 让 机 器 瘫 痪 。 木 马 SubSeven 1.5 版本服务器文件名是 c:\windows\window.exe, 少一个s