实验2 4 木马攻击与防范ppt课件.ppt

实验2-4 木马攻击与防范,目录,一. 实验目的二. 实验原理三. 实验环境四. 实验内容五. 实验报告要求,一. 实验目的,一. 实验目的 通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。,二. 实验原理,二. 实验原理1木马的特性伪装性隐藏性破坏性窃密性,二. 实验原理,二. 实验原理2木马的入侵途径捆绑欺骗利用网页脚本入侵利用漏洞入侵和病毒协作入侵,二. 实验原理,二. 实验原理3木马的种类第一代木马，主要是在UNIX环境中通过命令行界面实现远程控制。第二代木马，具有图形控制界面，可以进行密码窃取、远程控制，例如BO2000和冰河木马。第三代木马，通过端口反弹技术，可以穿透硬件防火墙，例如灰鸽子木马，但木马进程外联黑客时会被软件防火墙阻挡。,二. 实验原理,二. 实验原理3木马的种类第四代木马通过线程插入技术隐藏在系统进程或者应用进程中，实现木马运行时没有进程，比如广外男生木马。第四代木马可以实现对硬件和软件防火墙的穿透。第五代木马在隐藏方面比第四代木马又进行了进一步提升，它普遍采用了rootkit技术，通过rootkit技术实现木马运行,二. 实验原理,二. 实验原理4木马的连接方式一般木马都采用C/S运行模式，它分为两部分，即客户端和服务器端木马程序。黑客安装木马的客户端，同时诱骗用户安装木马的服务器端。木马的传统连接方式第一代和第二代木马均采用传统的连接方式，即由木马的客户端程序主动连接服务器端程序。,二. 实验原理,二. 实验原理木马的反弹端口技术,二. 实验原理,二. 实验原理木马的反弹端口技术,二. 实验原理,二. 实验原理5木马的隐藏技术线程插入技术这种技术把木马程序做为一个线程，把自身插入其他应用程序的地址空间。而这个被插入的应用程序对于系统来说，是一个正常的程序，这样，就达到了彻底隐藏的效果。RootKit技术RootKit是一种隐藏技术，它使得恶意程序可以逃避操作系统标准诊断程序的查找。,二. 实验原理,二. 实验原理6木马的检测 木马的远程控制功能要实现，必须通过执行一段代码来实现。为此，木马采用的技术再新，也会在操作系统中留下痕迹。如果能够对系统中的文件、注册表做全面的监控，可以实现发现和清除各种木马的目的。,三. 实验环境,三. 实验环境 两台运行windows 2000/XP/2003的计算机，通过网络连接。通过配置“灰鸽子”木马，了解木马工作原理并实现对木马的检测和查杀。,四. 实验内容,四. 实验内容1灰鸽子介绍灰鸽子是国内近年来危害非常严重的一种木马程序。,四. 实验内容,四. 实验内容2“灰鸽子”的连接与配置,四. 实验内容,四. 实验内容2“灰鸽子”的连接与配置,四. 实验内容,四. 实验内容2“灰鸽子”的连接与配置,四. 实验内容,四. 实验内容3 “灰鸽子”的检测,四. 实验内容,四. 实验内容3 “灰鸽子”的检测,四. 实验内容,四. 实验内容3 “灰鸽子”的检测,四. 实验内容,四. 实验内容4 灰鸽子的查杀,五. 实验报告要求,1配置采用端口反弹技术的灰鸽子木马，实现木马服务端对动态IP客户端的连接，分析其原理和检测查杀方法。2收集其它检测工具，对实验中的灰鸽子木马进行检测，提交实验报告。,