2.5 網(wǎng)絡(luò)攻擊的善后階段

1、山東職業(yè)學(xué)院 01隱藏技術(shù)02留后門(mén)山東職業(yè)學(xué)院 01隱藏技術(shù)第 4 頁(yè)隱藏技術(shù) 當(dāng)非法用戶嘗試對(duì)網(wǎng)絡(luò)進(jìn)行破壞前，首先探測(cè)和分析網(wǎng)絡(luò)的基本信息、狀態(tài)，以及結(jié)構(gòu)。 在這些探測(cè)和分析中通常需要隱藏自己的行蹤。第 5 頁(yè)隱藏技術(shù)1 1文件傳輸與文件隱藏技術(shù)文件傳輸與文件隱藏技術(shù) 所謂“隱藏入侵”，是指入侵者利用其他計(jì)算機(jī)代替自己執(zhí)行掃描、漏洞溢出、連接建立、遠(yuǎn)程控制等操作。（1）文件傳輸方式：IPC$文件傳輸、FTP傳輸、打包傳輸（2）文件隱藏：簡(jiǎn)單簡(jiǎn)單隱藏、隱藏、利用專(zhuān)用文件夾利用專(zhuān)用文件夾隱藏隱藏第 6 頁(yè)隱藏技術(shù)2 2掃描隱藏技術(shù)掃描隱藏技術(shù) 入侵者通過(guò)制作“掃描代理肉雞”的方法來(lái)隱藏自己的掃

2、描行為。3 3入侵隱藏技術(shù)入侵隱藏技術(shù) 入侵者利用跳板技術(shù)實(shí)現(xiàn)隱藏。 這里指的跳板可稱(chēng)為“入侵代理”或“入侵型肉雞”，它存在于入侵者與遠(yuǎn)程主機(jī)/服務(wù)器之間，用來(lái)代替入侵者與遠(yuǎn)程主機(jī)/服務(wù)器建立網(wǎng)絡(luò)連接或者漏洞溢出。山東職業(yè)學(xué)院 02留后門(mén)第 8 頁(yè)留后門(mén)1 1帳號(hào)后門(mén)帳號(hào)后門(mén) 賬號(hào)永遠(yuǎn)是系統(tǒng)敞開(kāi)的大門(mén)。入侵者為了能夠永久控制遠(yuǎn)程主機(jī)/服務(wù)器，他們會(huì)在第一次入侵成功后便馬上在遠(yuǎn)程主機(jī)/服務(wù)器內(nèi)部建立一個(gè)備用的管理員賬號(hào)，這種賬號(hào)就是“后門(mén)賬號(hào)”。入侵者常用的留賬號(hào)后門(mén)的方法是克隆賬號(hào)。第 9 頁(yè)留后門(mén)1 1帳號(hào)后門(mén)帳號(hào)后門(mén) 克隆賬號(hào)是通過(guò)修改注冊(cè)表的SAM來(lái)實(shí)現(xiàn)的。 SAM（Security A

3、ccount Manager）是專(zhuān)門(mén)用來(lái)管理Windows系統(tǒng)中賬號(hào)的數(shù)據(jù)庫(kù)，里面存放了一個(gè)賬號(hào)所有的屬性，包括賬號(hào)的配置文件路徑、賬號(hào)權(quán)限、賬號(hào)密碼等。第 10 頁(yè)留后門(mén)2 2漏洞后門(mén)漏洞后門(mén) 通過(guò)服務(wù)器IIS上的Unicode、.ida&.idq等漏洞，入侵者能夠毫不費(fèi)力地遠(yuǎn)程控制服務(wù)器的操作系統(tǒng)。（1 1）制造）制造UnicodeUnicode漏洞漏洞 步驟1：找出Web根目錄。 步驟2：復(fù)制cmd.exe到IIS目錄中，一般可放在IIS的Scripts文件夾中。 步驟3：使用文件隱藏方法隱藏文件。 步驟4：驗(yàn)證Unicode后門(mén)。（2 2）制造）制造. .idqidq漏洞漏洞 步驟1：把idq.dll傳入遠(yuǎn)程服務(wù)器的Scripts目錄中。 步驟2：隱藏后門(mén)文件。 步驟3：利用.idq或.ida漏洞進(jìn)行入侵。第 11 頁(yè)留后門(mén)2 2木馬木馬后門(mén)后門(mén) 木馬具有體積小、功能強(qiáng)的特點(diǎn)，有一些木馬相當(dāng)于一個(gè)嵌入在Windows系統(tǒng)內(nèi)部的微型系統(tǒng)，通過(guò)與木馬的連接，入侵者可以不經(jīng)過(guò)任何認(rèn)證而直接控制Window