1 / 18

网络安全技术概述

网络安全技术概述. 面向对象:计网 0631/0632. 4. 入侵检测与防御安全 (8). 网络常见入侵方法 网络常见病毒与原理 木马原理 系统日志与审核 入侵检测与防御. 杀毒软件 bitdefender.

rosaline-yroz
Download Presentation

网络安全技术概述

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网络安全技术概述 面向对象:计网0631/0632

  2. 4.入侵检测与防御安全(8) • 网络常见入侵方法 • 网络常见病毒与原理 • 木马原理 • 系统日志与审核 • 入侵检测与防御

  3. 杀毒软件 bitdefender • 一、卡巴就好象西毒,凶猛强悍,神功盖世,对敌决不留情,出手狠辣,招招夺命,绝少失手,不愧为一代枭雄,但毕竟练的不是纯正内功,容易走火入魔,导致系统出问题。二、麦咖啡Macfee就象东邪,玉树临风,俊朗潇洒,对敌招式繁多,机关重重,杀伐决断从不迟疑,为江湖第一机智聪明之人,但因其心机太深,令人难以掌握。三、诺顿就象南帝,雍容华贵,稳沉厚重,胸怀博大,练的是纯正内功,靠的是教化感人,对敌有慈悲心肠,一般采取隔离教化,使其不再作恶,很少杀人,称的上是一代宗师,但因其过于敦厚,不仅自己活的累,别人也为他感到累。四、nod32就想北丐,来无影去无踪,潇潇洒洒,笑傲江湖,对敌用的是逍遥游和打狗棍法,江湖上少有对手,但因其过于轻浮,难免误事。国产的就像全真七子 ,一起上还凑合。

  4. 木马的发展历史 • 1)第一代木马 • BO:作者为 死牛崇拜 小组。最早的著名木马,其出现可以算是网络安全技术上的里程碑。 • 2)第二代木马 • 冰河(Glacier):G_Server.exe;G_Client.exe • 广外女生:基本功能与冰河大同小异 • 3)第三代木马 • 当木马的强大功能为世人所知后,木马开始过上了逃亡生涯,杀毒软件、网络防火墙无时无刻不在抵御着木马的入侵。正当入侵者一筹莫展时,第三代木马出现了。它通过改变客户端与服务器端的连接方式,由原来的服务端被动连接变为服务端主动连接,使网络防火墙形同虚设。 • 代表:灰鸽子 • 4)第四代木马 • 增加了进程隐藏技术,让系统更加难以发现木马的存在,进而逃避防火墙对特定程序通信的拦截。 • 注:IceSword演示

  5. 木马连接方式 • 1.传统连接方式 • 第一、二代木马都属于传统连接方式,即C/S(客户/服务器)连接方式。在这种连接方式下,远程主机开放监听端口等待外部连接,成为服务器端。当入侵者需要与远程主机建立连接时,便主动发出连接请求,从而建立连接。 • 这种连接需要服务端开放端口等待连接,需要客户端知道服务端的IP地址与服务端口号。因此,不适合与动态IP地址(如拨号上网)或局域网内主机(如网吧内计算机)建立连接。

  6. 木马连接方式(续) • 2.第三、四代木马连接方式(反弹端口技术) • 反弹端口技术,连接的建立不再由客户端主动要求连接,而是由服务端来完成,这种连接过程恰恰与传统连接方式相反。 • 这种方式要求远程主机预先知道客户端IP地址和连接端口,因而在配置服务端程序的时候,需要入侵者预先指明客户端(入侵者本地机)的IP地址和待连接端口。 • 所以,对动态上网的入侵者,一般会引入一个 中间代理服务器,用它来存放客户端IP地址和待连接端口,只要入侵者更新中间代理中存放的IP地址和端口号,便可以让远程主机找到入侵者。

  7. 木马的隐藏技术 • 木马要进入用户系统,首先要过杀毒软件这一关。否则一旦杀毒软件报警,木马就无隐蔽性可言了,立马被杀毒软件赶出系统。因此,面对杀毒软件,木马使尽浑身解数,通过各种手段隐藏自己,比较常见的方法有: • 寄宿于正常文件 • 木马加壳加密 • 修改木马特征码

  8. 寄宿于正常文件 • Bindfile

  9. 木马加壳加密 • “壳”是一种专门保护软件的程序,当运行一款加过壳的软件时,首先会运行这个软件的壳,壳会将包含在其中的程序进行还原,给予使用。当使用完毕后,壳又会将程序进行加密,整个过程都是在壳的保护过程中进行的。

  10. 正因为壳的性质,木马会进行加壳操作以使自身得到加密,这样就给杀毒软件的查杀带来了难度。不过目前主流的杀毒软件都改进了其杀毒引擎,增强了加壳程序的检测,对于加过壳的程序,杀毒软件会先将其脱壳,再进行查杀。因此如果木马使用的是类似ASP、UPX这样的热门加壳软件,那么还是很难逃过杀毒软件的查杀的,除非使用一些冷门的加壳软件。

  11. 修改木马特征码 • 这应该是最为有效的躲避杀毒软件的方法。我们都知道,杀毒软件判定这个程序是否是病毒是通过特征码来决定的,如果在这个程序中有一段代码与杀毒软件中的病毒特征码对上号,那么就判定它是病毒。根据这个原理,我们是否只要让木马的代码与杀毒软件的特征码对不上号,就可以躲过杀毒软件的查杀呢?

  12. 答案是肯定的,修改木马的特征码需要使用16进制编辑器,例如UltraEdit、Winhex等。修改特征码可以采用两种方法:1.直接修改特征码:用16进制编辑器打开木马后,将其中的特征码都替换为0;2.增加跳转指令:在木马特征码处增加一条跳转指令,让程序运行到该处时跳到下一段代码,这样做的目的是使杀毒软件检测时跳过对这段代码的检测。

  13. 木马的防范 • 如何对付经过捆绑的木马文件。 • 由于捆绑文件是由两个文件合并生成的,虽然我们只能看到一个文件,但是可以在这个文件的内部找到捆绑的蛛丝马迹。这里我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。单击程序界面上的“扫描”按钮,浏览选择可疑文件,如果程序下方的“包含多个可执行文件”选项被打上了钩,这就表示文件被捆绑了。

  14. 木马程序进行加壳 • 曾经是很流行的一种木马隐藏手段,但是随着杀毒软件的升级,木马已经很难再有效地利用这种手段。 • 根据壳的原理我们可以得知,加壳木马运行后,会将其中的木马程序在内存中还原。还原后的木马是不受壳的保护的,因此大部分的杀毒软件都会抓住这个机会,将木马铲除。

  15. 修改木马特征码 • 唯一能对杀毒软件造成一点危害的方法 • 不过不同的杀毒软件提取同一木马程序的特征码是不同的。这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀,如果要躲避多款杀毒软件,就需要修改多处特征码。这会对木马隐藏自己造成一定的困难。因此如果有条件,安装两款杀毒软件也是一个不错的办法。

  16. 实训:木马的使用 • 冰河 • 灰鸽子 • 捆绑器的使用 • UPX的使用

More Related