隐藏进程 因为大量特洛伊DL的使用实际上已 经危害到了 Windows操作系统的安全 和稳定性女图而操作系练已絳使用子 洛伊DLL的时代很快会结束。取代它 的将会是强行嵌入代码技术(插入 DLL,挂接AP,进程的动态替换等 等)
隐藏进程 • 因为大量特洛伊DLL的使用实际上已 经危害到了Windows操作系统的安全 和稳定性,因而操作系统已经使用了 DLL数字签名、校验技术,因此,特 洛伊DLL的时代很快会结束。取代它 的将会是强行嵌入代码技术(插入 DLL,挂接API,进程的动态替换等 等)
获取权限 特洛伊木马也会主动地来获取系统的控制 权,比如缓冲区溢出型木马就不仅仅简单 的加载、守候、完成命令,而是利用种种 系统的漏洞设法使自己获得更高的权限 甚至是拥有系统 Administrator或root限
获取权限 • 特洛伊木马也会主动地来获取系统的控制 权,比如缓冲区溢出型木马就不仅仅简单 的加载、守候、完成命令,而是利用种种 系统的漏洞设法使自己获得更高的权限, 甚至是拥有系统Administrator或root权限
获取权限 要实现权限提升,首先利用的是注册表。比如 Windows2000有几个注册表的权限漏洞,允许 非授权用户改写 Administrator的设置,从而强迫 Administrator执行木马程序,这个方法实现起来 比较容易,但是会被大多数的防火墙发现。 其次是利用系统的权限漏洞,改写 Administrator 的文件、配置等等,在 Administrator允许 Active Desktop的情况下这个方法非常好用,但是对于 个有经验的管理员,这个方法不是太有效 第三个选择是系统的本地溢出漏洞,由于木马是 在本地运行的,它可以通过本地溢出的漏洞(比 如s的本地溢岀漏洞等),直接取得 Administrator权限
获取权限 • 要实现权限提升,首先利用的是注册表。比如 Windows2000有几个注册表的权限漏洞,允许 非授权用户改写Administrator的设置,从而强迫 Administrator执行木马程序,这个方法实现起来 比较容易,但是会被大多数的防火墙发现。 • 其次是利用系统的权限漏洞,改写Administrator 的文件、配置等等,在Administrator允许Active Desktop的情况下这个方法非常好用,但是对于 一个有经验的管理员,这个方法不是太有效。 • 第三个选择是系统的本地溢出漏洞,由于木马是 在本地运行的,它可以通过本地溢出的漏洞(比 如 IIS 的 本 地 溢 出 漏 洞 等 ) , 直接取得 Administrator权限
穿透防火墙 在古希腊的特洛伊战争中,人们是推倒了 城墙来恭迎木马的,而在这个互联网的时 代,木马仍然以其隐蔽性和欺诈性使得防 火墙被从内部攻破。其中反弹端口型的木 马非常清晰的体现了这一思路
穿透防火墙 • 在古希腊的特洛伊战争中,人们是推倒了 城墙来恭迎木马的,而在这个互联网的时 代,木马仍然以其隐蔽性和欺诈性使得防 火墙被从内部攻破。其中反弹端口型的木 马非常清晰的体现了这一思路
穿透防火墙 反弹端口型木马分析了防火墙的特性后发 现:防火墙对于连入的链接往往会进行非 常严格的过滤,但是对于连出的链接却疏 于防范。于是,与一般的木马相反,反弹 端口型木马的服务端(被控制端)使用主 动端口,客户端(控制端)使用被动端口, 木马定时监测控制端的存在,发现控制端 上线立即弹出端口主动连结控制端打开的 主动端口
穿透防火墙 • 反弹端口型木马分析了防火墙的特性后发 现:防火墙对于连入的链接往往会进行非 常严格的过滤,但是对于连出的链接却疏 于防范。于是,与一般的木马相反,反弹 端口型木马的服务端(被控制端)使用主 动端口,客户端(控制端)使用被动端口, 木马定时监测控制端的存在,发现控制端 上线立即弹出端口主动连结控制端打开的 主动端口