黑客攻防技术与实践 教学课件 作者 李建华 第十一章后门技术和踪迹隐藏.pptVIP

第11章后门技术和踪迹隐藏 11.1 系统隐蔽后门-Rootkit技术 11.2 web脚本后门 11.3 日志的清除和伪造 11.4小结 系统隐蔽后门的基础知识 操作系统是由内核（kernel）和外壳（shell）两部分组成的 内核负责的工作，包括cpu任务调度、内存分配管理、设备管理、文件操作等， 外壳是基于内核提供的交互功能而存在的界面，它负责指令传递和解释。 运行级别（ring），ring让程序指令能访问的计算机资源依次逐级递减。 内核运行于ring 0级别，拥有最完全最底层的管理功能 外壳部分只能拥有ring 3级别，这个级别能操作的功能极少，几乎所有指令都需要传递给内核来决定能否执行。 在内核中与Rootkit相关几项功能 1）进程管理。 2）文件访问。 3）安全控制。 4）内存管理。 Windows Rootkit进程隐藏技术 一个典型的Windows Rootkit通常包括以下几个部分： 1）隐藏程序，用于隐藏Rootkit的程序文件，进程信息，注册表信息，同时也可以为其他进程提供隐藏的帮助。 2）特洛伊木马程序，为攻击者提供下次进入的后门。 3）一个远程的Shell，为攻击者继续渗透和做其他工作进行支持。 系统服务和Rootkit 钩子（Hooking）是一种拦截/监听可执行代码在执行过程中相关信息的一种通用机制。 在任务管理器中查询进程信息是通过ZwQuerySystemInformation来实现，挂钩这个函数就能修改各种返回的系统信息。 ZwQuerySystemInformation是在系统服务中提供，挂钩系统服务的最简单的办法就是定位操作系统使用的系统服务调度表（System Service Dispatch Table），以使之指向攻击者编写的某个函数，对调用返回的各种信息进行修改，然后回调。 Windows Rootkit端口隐藏技术 枚举当前所开放的端口信息是调用iphlpapi.dll中的AllocateAndGetTcpTableFromStack和AllocateAndGetUdpTableFromStack函数，或者AllocateAndGetTcpExTableFromStack和AllocateAndGetUdpExTableFromStack函数。 在系统中枚举所有的打开句柄并通过NtDeviceIoControlFile把它们发送到一个特定的缓冲区中，来找出这个句柄是否是一个打开端口的。 挂接NtDeviceIoControlFile函数就可以隐藏端口 Windows Rootkit文件隐藏技术 文件枚举的关键函数NtQueryDirectoryFile 隐藏文件涉及到FileInformationClass的关键信息 FileDirectoryInformation FileFullDirectoryInformation FileBothDirectoryInformation FileNamesInformation Windows Rootkit查杀 微软的Sysinternals工具套件 Tripwire RKHunter（UNIX） chkrootkit Web后门 asp脚本后门 PHP后门 JSP后门 ASP脚本后门 免fso的cmd.asp 较为复杂的asp后门 用于上传web木马的脚本木马 asp脚本木马的防范 FileSystemObject组件 WScript.Shell组件 Shell.Application组件 禁用Guests组用户调用cmd.exe PHP脚本后门 php的脚本后门实例分析 JSP脚本木马 一个简单的实例： ＜% if(request.getParameter(file)!=null)(new java.io.FileOutputStream(application.getRealPath(\\)+request.getParameter(file))).write(request.getParameter(content).getBytes()); %＞ 脚本木马的隐藏 拆分变量 微软工具Script Encoder 利用asp的execute函数 Windows日志 Windows的系统日志文件有应用程序日志，安全日志、系统日志、DNS服务器日志等等，应用程序日志、安全日志、系统日志、DNS日志默认位置为%systemroot%\system32\config LOG文件的位置在注册表中的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog项设置 日志的安全配置 默认的条件下，日志的大小为512KB大小. 更改默认大小的具体方法：注册表