chapter2_黑客常用的系统攻击方法.ppt

执行strcpy()函数的过程 溢出结果 缓冲区溢出攻击 上述的缓冲区溢出例子中，只是出现了一般的拒绝服务的效果。但是，实际情况往往并不是这么简单。当黑客精心设计这一EIP，使得程序发生溢出之后改变正常流程，转而去执行他们设计好的一段代码（也即ShellCode），攻击者就能获取对系统的控制，利用ShellCode实现各种功能，比如，监听一个端口，添加一个用户，等等。这也正是缓冲区溢出攻击的基本原理。 目前流行的缓冲区溢出病毒，如冲击波蠕虫、震荡波蠕虫等，就都是采用同样的缓冲区溢出攻击方法对用户的计算机进行攻击的。 流行的缓冲区溢出攻击病毒 (1)冲击波  利用漏洞：RPC缓冲区溢出 135/TCP (2)震荡波  利用漏洞：LSASS漏洞 1025/TCP (3)极速波  利用漏洞：UPNP漏洞 445/TCP (4)高波 利用多种漏洞,非常危险 防范缓冲区溢出攻击的有效措施 通过操作系统设置缓冲区的堆栈段为不可执行，从而阻止攻击者向其中植入攻击代码。 例如：微软的DEP（数据执行保护）技术 （Windows XP SP2、Windows Server 2003 SP1及其更高版本的Windows操作系统中） 强制程序开发人员书写正确的、安全的代码。 目前，可以借助grep、FaultInjection、PurifyPlus等工具帮助开发人员发现程序中的安全漏洞。 通过对数组的读写操作进行边界检查来实现缓冲区的保护，使得缓冲区溢出不可能出现，从而完全消除了缓冲区溢出的威胁。 常见的对数组操作进行检查的工具有Compaq C编译器，Richard Jones和Paul Kelly开发的gcc补丁等。 缓冲区溢出参考文献 [1] 池瑞楠. Windows系统中缓冲区溢出原理和防范措施研究.计算机时代, 2006,12. [2] 池瑞楠. Windows缓冲区溢出攻击的实例研究. 微计算机信息（核心）, 2007,1,下旬. [3] 池瑞楠. Windows中基于硬件的缓冲区溢出攻击防范技术—DEP.电脑知识与技术, 2007,2. * GNU——一个新的操作系统，“GNUs Not Unix”的缩写 * 世界顶级黑客、世界第一黑客 * * * * * * * Sniffer Pro provides a well-integrated set of functions you can use to: Capture network traffic for detailed analysis. Diagnose problems using the Expert Analyzer. Monitor network traffic real time. Collect detailed utilization and error statistics for individual stations, conversations, or any portion of your network. Save historical utilization and error information for baseline analysis. Generate visible real-time alarms and notify network administrators when troubles are detected. Probe the network with active tools to simulate traffic, measure response times, count hops, and troubleshoot problems. * * 木马的分类 1.远程访问型 2.键盘记录型 3.密码发送型 4.破坏型 5.代理型 6.FTP型 木马实施攻击的步骤 1.配置木马 木马伪装： 信息反馈： 2.传播木马 3.启动木马 4.建立连接 5.远程控制 课堂演练一：冰河木马的使用 服务器端程序：G-server.exe 客户端程序：G-client.exe 进行服务器配置 远程控制 如何清除？ 课堂演练二：灰鸽子的使用 反弹端口类型的木马 服务器的配置 服务器的工作方式 远程控制 如何清除？ 【视频教学】观看视频教学录像——“灰鸽子的配置” 木马文件的隐藏和伪装 （1）文件的位置 （2）文件的属性 （3）捆绑到其他文件上 （4）文件的名字 （5）文件的扩展名 （6）文件的图标 木马运行时伪装方法 （1）在任务栏里隐藏 （2）在任务管理器里隐藏 （3）隐藏端口 木马的启动方式 win.ini system.ini 启动组 注册表 捆绑方