7黑客技术

幻灯片1黑客技术木马技术（Trojan）11西安交通大学幻灯片2outline西安交通大学木马后门rootkit拒绝服务攻击网络扫描22幻灯片3木马程序（Trojan）2014-8-28木马（Trojan）是指添加到应用程序中的恶意代码。在用户不知情的情况下,偷偷执行非法活动如窃取密码,记录键盘信息，安装后门程序等。木马特点：隐蔽性非授权客户端/服务器模式：Server:被控制端(被植入木马主机)Client:控制端(控制木马的黑客主机)3幻灯片4木马主要功能2014-8-28收集密码或密码文件(qq,网游账号密码)收集系统关键信息远程文件操作远程进程控制修改注册表击键记录其它的特殊功能4幻灯片5木马攻击的关键技术2014-8-28传播方式木马的传播和安装方式启动方式自启动方式隐藏方式木马程序的文件,进程,启动隐藏通讯方式与远程的木马客户控制端的通信,发送信息,执行命令等.通常采用tcp，udp，icmp网络协议，或是采用加密技术。5幻灯片6木马传播方式2014-8-28web网页（挂马）:将木马程序嵌入到网页中。通常采用web脚本语言(JavaScript),ActiveX控件，hta网页文件。下载文件邮件传播：附件，网页链接系统漏洞网络共享访问文件捆绑:使用专门的捆绑软件(如zbind)文件伪装6幻灯片7Windows下木马启动技术西安交通大学修改系统配置注册表自启动键值[HKEY_LOCAL_MACHINE/HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]RUNONCE,RUNSERVICE等键值文件关联以系统服务或驱动程序形式启动调用Win32API函数CreateService创建一个服务或者替换注册表中的ImagePath或ServiceDll键值7幻灯片8木马隐身技术西安交通大学隐身是指木马为了保护自己和隐藏木马文件及行为，使主机用户无法发现木马的技术。木马隐身技术包括：木马程序的隐身服务端进程的隐身网络连接的隐身常规隐身技术设置文件属性：系统或隐藏(attrib+R+H+S)用难以区分的名字命名文件将文件放到隐蔽的目录中以DLL方式加载8幻灯片9Windows进程隐藏技术2014-8-28有多种技术方法获取活动进程信息：PSAPI(ProcessStatusAPI):建立一个系统钩子，拦截PSAPI的EnumProcessModules等函数,监视对进程和服务的遍历调用操作，当检测到进程ID（PID）为木马程序的服务器端进程的时直接跳过，这样就实现了进程的隐藏。金山词霸使用这种技术，通过拦截了TextOutA,TextOutW函数来截获屏幕输出，屏幕取词翻译的。PDH（PerformanceDataHelper）ToolHelpAPI杀毒软件和木马软件都可以利用上述技术显示或隐藏活动进程。隐藏进程方式：用户层和内核层9幻灯片10Windows下的钩子(hook)概念2014-8-28钩子是一个处理消息的程序段，当特定的消息产生时，在没有到达目的窗口(程序)前，钩子程序就先捕获该消息并处理该消息。钩子(hook)是Windows中重要的接口，可以截获并处理发给其他应用程序的消息，钩子是WINDOWS留给我们的“后门”。每个Hook都有一个指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向的回调函数，即钩子的各个处理子程序。钩子子程序处理系统或某一特定类型的事件。10幻灯片11DLL木马技术西安交通大学动态链接库(DLL)：是在程序运行时根据需要动态加入库,程序的体积小.但是运行可执行程序时需要同时运行动态链接库.所有的WindowsAPI函数都是在DLL中实现的。DLL是可执行的但不能向应用程序那样独立运行，必须由其他进程调用加载到内存中执行。DLL木马就像是一个寄生虫，木马以DLL文件的形式存在，寄宿在某个重要的系统进程中。通过宿主来调用DLL文件，实现远程控制的功能。11幻灯片12特洛伊式DLL木马2014-8-28木马化DLL将系统DLL重新命名,将自己命名为系统DLL名,这样木马化DLL可以接收消息并通过函数转发器将正常的调用转发给原DLL，而截获并处理特定的木马控制消息。木马化DLL技术也存在问题,比如当修复安装、安装补丁、升级系统、检查数字签名等操作时都有可能导致木马化DLL失效。windows系统利用数字签名技术保护这些关键文件不被恶意篡改.系统可以自动从dllcache中恢复被篡改的文件。12幻灯片13动态嵌入DLL木马技术2014-8-28动态嵌入技术:将代码嵌入到正在运行的其他进程中的技术。目前有多种动态嵌入技术如Hook、挂接API、远程线程.远程线程技术（RemoteThread）就是把当前进程中部分代码注入到另一个进程作为线程执行。动态嵌入式DLL木马启动方式:DLL不能直接运行,需要一个可执行文件使用动态嵌入技术将该DLL木马注入到其他正常进程中，让被嵌入的进程调用这个DLL的DllMain函数，激发木马运行，最后启动木马的程序结束运行，木马启动完毕。启动DLL木马的EXE非常重要，它被称为加载器（Loader）。13幻灯片14通过Rundll32.exe启动的DLL木马2014-8-28Rundll32.exe可以调用其他32位dll.比如“3721“的自启动就是在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下，新添了一个“CnsMin”的键值，启动命令是“Rundll32.exeE:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32”。这样每次启动系统后“CnsMin.dll”都会被Rundll32.exe调用，而在进程列表出现的则是Rundl32.exe。查杀方法:首先将“rundll32.exe”进程终止，查找注册表启动键值，从启动命令的路径中找到相应的DLL文件并删除即可。14幻灯片15木马网络通讯技术2014-8-28常规方式绑定端口，后门作为服务端运行，等待连接。反向连接，后门作为客户端运行，主动连接外网的client。端口复用：重绑定合法端口，绕过防火墙。传输的数据加密传输的数据通过HTTP,SOAP等协议封装利用FTP协议打开通路加密木马的命令和数据。15幻灯片16网页木（挂）马2014-8-28网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。自动下载功能的代码SCRIPTLANGUAGE=icyfoxlovelacesrc=代码中“src”的属性为程序的网络地址，本例中“”为木马程序。这段代码能让网页下载该程序到浏览它的电脑上。自动运行程序功能的代码SCRIPTLANGUAGE=javascripttype=text/javascriptvarshell=newActiveXObject(shell.application);shell.namespace(c:\\Windows\\).items().item(Notepad.exe).invokeverb();/SCRIPT16幻灯片17网页木马生成器2014-8-28网页木马生成器是可视化的程序，利用IE的各种漏洞，实现将木马程序生成一个网页，即网页木马。然后将网页木马上传到Web服务器或免费主页空间上挂马。挂马:将一个网页木马放到一个网站上，当用户访问该网站时就会中木马。浮动帧标签iframe:浮动帧标签实现将一个HTML网页嵌入到另一个网页里,实现“画中画”的效果。将网页木马的宽、高、边框设置为了“0”，那么网页木马没有显示，但实际上嵌入的网页木马已经打开了。Iframe是实现网页木马挂马的最常用方式。17幻灯片18挂马技术2014-8-28框架嵌入式挂马网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：iframesrc==0height=0/iframe在打开插入该句代码的网页后，就也就打开了页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。18幻灯片19挂马技术22014-8-28js调用型网页挂马黑客先制作一个.js文件，然后利用js代码调用挂马的网页。通常代码如下：scriptlanguage=javascriptsrc=就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件可以通过工具生成，攻击者只需输入相关的选项就可以了。19幻灯片20挂马技术32014-8-28图片伪装挂马攻击者将木马代码植入到test.gif图片文件中，实例代码如：iframesrc==0width=0/iframeimgsrc=当用户打开是，显示给用户的是，而网页代码也随之运行。20幻灯片21网页木马的防范策略2014-8-28即时安装安全补丁改名或卸载（反注册）最不安全的ActiveXObject（IE插件）提高IE的安全级别，禁用脚本和ActiveX控件21幻灯片22其他类型木马2014-8-28反弹端口型木马：传统木马是由服务器开监听端口等待客户端连接。而反弹端口木马是由客户端开一个监听端口，服务器对客户端进行主动连接。好处是防火墙对输出的数据限制较少，更加隐蔽。输出shell木马：该木马将接受的数据重定向到命令解释器(shell如cmd.exeorbash)在shell和socket之间传递数据，相对于建立了一个telnet会话。ICMP木马：ICMP木马利用特定格式的ICMP_ECHOREPLY（Ping的响应数据包）实现与木马客户端通信。22幻灯片23木马免杀技术2014-8-28木马免杀技术是指通过修改文件或进程的特征使查杀木马软件的检测特征码失效.常见的免杀技术包括:文件免杀1.加花技术:通过向木马程序中添加空指令改变特征码,让杀毒软件检测不到特征码,关键要确定杀毒软件定义的特征码.2.修改文件特征码3.加壳:4.修改加壳后的文件内存免杀修改特征码行为免杀23幻灯片24加壳/脱壳2014-8-28加壳技术:利用特定的算法对EXE、DLL文件里的资源进行压缩并在原程序加上一段保护程序(壳)，壳具有保护、压缩和加密功能.运行时壳首先获得运行控制权,再运行真实文件，从而起到保护作用。常见的加壳工具:Aspack2.11，UPX,Pecompactv1.82,UPX1.20壳的特征代码:加壳后程序入口处会有一段特殊代码.不同加壳工具加过壳的文件，壳的特征代码是不同的.脱壳:脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。24幻灯片25木马检测技术西安交通大学特征码：最广泛的反病毒和木马检测技术，静态扫描技术。执行效率高，误报低。文件完整性