【正文】 木馬病毒可以利用 8080端口完全遙控被感染的計(jì)算機(jī)。 2）端口： 21 最常見的攻擊者用于尋找打開 anonymous的 FTP服務(wù)器的方法。木馬 Doly Trojan、 Fore、 Invisible FTP、 WebEx、 WinCrash和 Blade Runner所開放的端口。還有使用其他技術(shù)，入侵者也會(huì)找到密碼。 4）端口： 25 服務(wù)： SMTP 入侵者尋找 SMTP服務(wù)器是為了傳遞他們的 SPAM。木馬 Antigen、 Email Password Sender、 Haebu Coceda、 Shtrilitz Stealth、 WinPC、 WinSpy都開放這個(gè)端口。木馬 Executor開放此端口。 Linux版本 Windows版本 秘密掃描、動(dòng)態(tài)延遲和重發(fā)；欺騙掃描、端口過(guò)濾探測(cè)、分布掃描等。 Superscan—— 速度之王 MS06040Scanner—— 專用的漏洞掃描器 用于檢測(cè)目標(biāo)系統(tǒng)是否存在 MS06040漏洞。 目前的 Vista操作系統(tǒng)，極點(diǎn)五筆輸入法，也存在此類問(wèn)題。 一般的編輯器是無(wú)法直接讀取這些信息的。 設(shè)置系統(tǒng)策略保護(hù)口令 連接策略 – 問(wèn)題： 默認(rèn)情況下系統(tǒng)沒有設(shè)置登錄的失敗次數(shù)限制，導(dǎo)致可以被無(wú)限制地嘗試連接系統(tǒng)管理的共享資源。 – 如何實(shí)現(xiàn)？ 在 “ 管理工具 ” 中，選擇 本地安全策略 。比如：在 “ 密碼必須符合復(fù)雜性要求 ” 的選項(xiàng)中，系統(tǒng)默認(rèn)是停用該功能，但推薦用戶在使用時(shí)將該功能開啟。此處，我們點(diǎn)擊 “ 用戶鎖定閾值 ” 點(diǎn)右鍵，選擇 “ 安全性 ” ，此處就可以對(duì)用戶無(wú)效訪問(wèn)次數(shù)進(jìn)行限制。因此除了系統(tǒng)默認(rèn)創(chuàng)建的Administrator帳號(hào)，還應(yīng)該創(chuàng)建至少一個(gè)具有管理員特權(quán)的帳號(hào)，并且，把默認(rèn)帳號(hào) Administrator改成另外一個(gè)名字。 而 IPC后面的 $是 windows系統(tǒng)所使用的隱藏符號(hào)，因此IPC$表示 IPC共享，但是是隱藏的共享。通過(guò) IPC連接，入侵者就能夠?qū)崿F(xiàn)遠(yuǎn)程控制目標(biāo)主機(jī)。一個(gè)會(huì)話包含用戶的認(rèn)證信息，而 Null會(huì)話是沒有用戶的認(rèn)證信息，也就好比是一個(gè)匿名的一樣。而且 Lmhosts的 include就需要空會(huì)話的支持。 4).查看遠(yuǎn)程主機(jī)的時(shí)間 time \\ 5). 得到遠(yuǎn)程主機(jī)的 bios 用戶名列表 nbtstat A Copy e:\ \\\c$ 上傳文件 c盤 At \\ 14:03 c:\ 指定在目標(biāo)地址上在 14:03執(zhí)行程序 空會(huì)話攻擊的防御 有如下方法： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous。 禁止自動(dòng)打開默認(rèn)共享。如果主鍵不存在，就新建一個(gè)再修改鍵值。 關(guān)閉 ipc$和默認(rèn)共享依賴的服務(wù) :server服務(wù) 操作：控制面板 管理工具 服務(wù) 找到 server服務(wù)（右擊） 屬性 常規(guī) 啟動(dòng)類型 選已禁用 這時(shí)可能會(huì)有提示說(shuō)： XXX服務(wù)也會(huì)關(guān)閉是否繼續(xù)，因?yàn)檫€有些次要的服務(wù)要依賴于 lanmanserver，不要管它。 注意：如果屏蔽掉了以上兩個(gè)端口，你將無(wú)法用 ipc$入侵別人。 瀏覽保護(hù) 文件保護(hù) ? Windows文件保護(hù)?能阻止替換受保護(hù)的系統(tǒng)文件，這些受保護(hù)的文件包括 .sys、 .dll、 .exe、 .ttf等系統(tǒng)文件。 用戶安全設(shè)置 – 禁用 Guest帳號(hào)。 – 創(chuàng)建兩個(gè)管理員帳號(hào)。 – 把共享文件的權(quán)限從 Everyone組改成授權(quán)用戶。 – 不讓系統(tǒng)顯示上次登錄的用戶名。 – 設(shè)置屏幕保護(hù)密碼。 系統(tǒng)安全設(shè)置 – 使用 NTFS格式分區(qū)。 – 關(guān)閉默認(rèn)共享。 – 利用 Windows 2022的安全配置工具來(lái)配置安全策略。 – 設(shè)置好安全記錄的訪問(wèn)權(quán)限。 腳本攻擊與防御 1 SQL注入技術(shù) 什么是 SQL注入技術(shù)？ SQL注入即是指攻擊者通過(guò)在應(yīng)用程序中預(yù)先定義好的查詢語(yǔ)句結(jié)尾加上額外的 SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢。 amp。 39。amp。39。用戶名或密碼不正確！ 39。 javascript:(1)/SCRIPT else session(admin)=rs(admin) session(password)=rs(password) session(aleave)=rs(aleave) end if set rs=nothing 一個(gè)經(jīng)典的 SQL注入漏洞 分析 在用戶名和密碼那里都填入 ‘ OR‘ ’=’ ， SQL語(yǔ)句被構(gòu)造成 select * from admin where admin=‘ 39。=‘ 39。 OR‘ 39。 如何來(lái)修補(bǔ)漏洞？ 過(guò)濾掉其中的特殊字符。? ，即是把程序的頭兩行改為： admin1=replace(trim(request(admin)),39。,) 3 跨站腳本攻擊技術(shù) 什么是跨站腳本攻擊？ 跨站腳本攻擊（ XSS，又稱作 CSS）指的是惡意攻擊者向Web頁(yè)面里插入惡意 html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中 Web頁(yè)面的 html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。 數(shù)據(jù)流程： 惡意用戶的 Html輸入 — web程序 — 進(jìn)入數(shù)據(jù)庫(kù) — web程序 — 用戶瀏覽器 跨站 Script攻擊方式 動(dòng)態(tài)輸入大致有四種形式： – URL參數(shù) – 表格元素 – Cookie – 數(shù)據(jù)請(qǐng)求 （由于程序代碼較多，省） 惡意代碼 1 概述 ? 什么是惡意代碼？ 惡意代碼是指獨(dú)立的程序或者嵌入到其它程序中的代碼，它在不被用戶察覺的情況下啟動(dòng)，達(dá)到破壞電腦安全性和完整性的目的。 Rootkit通過(guò)加載特殊的驅(qū)動(dòng)，修改系統(tǒng)內(nèi)核，進(jìn)而達(dá)到隱藏信息的目的。蠕蟲技術(shù)融合了自復(fù)制技術(shù)、掃描技術(shù)以及緩沖區(qū)溢出等攻擊技術(shù)。 病毒 需要宿主程序通過(guò)某種方式將其激活 。 特洛伊木馬 特洛伊木馬的來(lái)歷 希臘人攻打特洛伊城十年，始終未獲成功，后來(lái)建造了一個(gè)大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。晚上，木馬中隱藏的希臘將士沖出來(lái)打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。（ 遠(yuǎn)程控制） – 客戶端：主控端，向服務(wù)器發(fā)送連接請(qǐng)求。 遠(yuǎn)程控制技術(shù) 遠(yuǎn)程控制實(shí)際上是包含有 服務(wù)器端 和 客戶端 的一套程序 服務(wù)器端程序駐留在目標(biāo)計(jì)算機(jī)里，隨著系統(tǒng)啟動(dòng)而自行啟動(dòng)。日后，攻擊者就能夠通過(guò)運(yùn)行客戶端程序，來(lái)對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行操作 傳統(tǒng)的遠(yuǎn)程控制步驟 如何遠(yuǎn)程植入程序 直接攻擊 電子郵件 文件下載 瀏覽網(wǎng)頁(yè) + 合并文件 經(jīng)過(guò)偽裝的木馬被植入目標(biāo)機(jī)器 偽裝方式： 冒充圖像文件 首先改變文件名 。 其次更改文件圖標(biāo) 。 合并程序欺騙 將木馬與一個(gè)正常的文件捆綁為一個(gè)文件。 偽裝成應(yīng)用程序擴(kuò)展組件 此類屬于最難識(shí)別的木馬。 木馬啟動(dòng)方式 自啟動(dòng) 注冊(cè)表啟動(dòng) 系統(tǒng)服務(wù) 系統(tǒng)配置文件啟動(dòng) 木馬程序的隱藏 ? 在任務(wù)欄（包括任務(wù)管理器）中隱藏自己 – 初步隱藏 ? 注冊(cè)為系統(tǒng)服務(wù) – 不適用于 Win2k/NT ? 啟動(dòng)時(shí)會(huì)先通過(guò)窗口名來(lái)確定是否已經(jīng)在運(yùn)行，如果是則不再啟動(dòng) – 防止過(guò)多的占用資源 ? 進(jìn)程隱藏 – 遠(yuǎn)程線程插入其他進(jìn)程（不適用于 Win9X） – Hook技術(shù) 木馬數(shù)據(jù)傳輸方式 ICMP協(xié)議傳送 （ ICMP是（ Inter Control Message Protocol）Inter控制報(bào)文協(xié)議?？梢孕薷腎CMP頭的構(gòu)造，加入木馬的控制字段，木馬將自己偽裝成一個(gè)Ping的進(jìn)程，系統(tǒng)就會(huì)將 ICMP_ECHOREPLY的監(jiān)聽、處理權(quán)交給木馬進(jìn)程。 反彈端口連接模式 1024 反彈式的遠(yuǎn)程 控制程序 防火墻 IP數(shù)據(jù)包過(guò)濾 目標(biāo)主機(jī) Windows 系統(tǒng) IE 進(jìn) 程 木馬線程 正常線程 正常線程 … Inter Explorer 瀏覽網(wǎng)頁(yè) 端口 監(jiān)聽端口 傳統(tǒng)遠(yuǎn) 程控制程序 Slide: 142 假冒合法用戶風(fēng)險(xiǎn) 假冒者 I am John Send Cash $$$ 合法用戶 John X ? 假冒合法用戶，以合法用戶身份進(jìn)入網(wǎng)上銀行系統(tǒng) ? 通過(guò)竊取密碼、破解密碼、竊聽通訊數(shù)據(jù)、篡改通訊數(shù)據(jù)等方式進(jìn)行 網(wǎng)頁(yè)惡意代碼 網(wǎng)頁(yè)惡意代碼的特點(diǎn) – 跨平臺(tái)性，腳本程序是通過(guò)腳本解釋器來(lái)執(zhí)行的，不同的操作系統(tǒng)，只要有對(duì)應(yīng)的腳本解釋器，那就可以運(yùn)行腳本。 – 隱藏性，腳本程序一般都是在后臺(tái)運(yùn)行的，不需要與用戶交互，用戶點(diǎn)開網(wǎng)頁(yè)就可能運(yùn)行惡意代碼，這也正是網(wǎng)頁(yè)惡意代碼盛行的重要原因。 網(wǎng)頁(yè)惡意代碼的攻擊形式 網(wǎng)頁(yè)惡意代碼一般是由 JavaScript、 VBScript、 asp、 ActiveX和 Flash等腳本編寫，另外網(wǎng)頁(yè)惡意代碼也可以通過(guò)系統(tǒng)或者應(yīng)用程序的漏洞來(lái)對(duì)目標(biāo)進(jìn)行攻擊。