文档介绍：计算机系统安全
常用攻击手段
1
口令“入侵者”
什么是口令“入侵者”
口令入侵者是指任何可以解开口令或屏蔽口令保护的程序。一个口令入侵者并不一定能够解开任何口令,事实上,多数破解程序都做不到。但是,可以使用仿真工具,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。
许多所谓的口令“入侵者”都使用“蛮力”。
四、口令入侵
2
口令“入侵者”
Windows 9x口令:
口令文件存储在c:\windows下,如果用户名为test,,该文件存储着加密后的口令。
Unix系统:
口令存放于/etc/passwd或/etc/shadow中
破解密码的工具:
John the Ripper 简单; 字典;穷举模式
Windows系统:Pwdump,L0phtCrack
流光IV:远程在线破解字典+扫描
3
特洛伊木马(Trojans)
五、特洛伊木马
特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。凡是非法驻留在目标计算机里,并执行预定的操作,窃取目标的私有信息,都属于特洛伊木马。
工作方式:多数为C/S模式,服务器端安装在目标机里,监听等待攻击者发出的指令;客户端是用来控制目标机器的部分,放在攻击者机器上。木马“Passwd Sender”(口令邮差)可以不需要客户端。
4
木马的伪装
冒充图象文件或游戏程序
捆绑程序欺骗
将木马程序与正常文件捆绑为一个程序
伪装成应用程序扩展组件
木马名字为dll或ocx类型文件,挂在一个有名的软件中。
后两种方式的欺骗性更大。
5
木马的特点
隐蔽性强:
木马有很强的隐蔽性,在Windows中,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法是按“Ctrl+Alt+Del”键,跳出一个窗口,找到需要终止的程序,然后关闭它。早期的木马会在按“Ctrl+Alt+Del”显露出来,现在大多数木马已经看不到了。所以只能采用内存工具来看内存中是否存在木马。
功能特殊:
6
五、特洛伊木马
潜伏能力强:表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。
Glacier(冰河)有两个服务器程序,挂在注册表的启动组中的是C:\Windows\System\,当电脑启动时装入内存,这是表面上的木马;另一个是:\Windows \System\,也在注册表中,它修改了文本文件的关联,当点击文本文件的时候,它就启动了,。, 如果点击了文本文件,那么这个文本文件照样运行,。。
7
木马的分类
远程访问型
密码发送型
键盘记录型
毁坏型:删除文件
FTP型:打开目标机21端口,上传、下载
木马发展趋势
与病毒结合,使之具有更强感染特性;
跨平台型;
模块化设计:组件;
即时通知
8
特洛伊木马启动方式
五、特洛伊木马
自动启动:木马一般会存在三个地方:注册表、、,因为电脑启动的时候,需要装载这三个文件。、、启动组中易被发现。
捆绑方式启动:木马phAse ,它可以捆绑到启动程序或一般常用程序上。
捆绑方式是一种手动的安装方式。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。
修改文件关联。。
9
木马服务器存放位置及文件名
五、特洛伊木马
木马的服务器程序文件一般位置是在c:\windows和c:\windows\system中,因为windows的一些系统文件在这两个位置。
木马的文件名总是尽量和windows的系统文件接近, 比如木马SubSeven :\windows\,而windows由一个系统文件是c:\windows\,。木马SubSeven :\windows\, 少一个s
10