5、隐藏技术及其新发展
攻击者在完成其攻击目标后,通常会采取隐藏技术来消除攻击留下的蛛丝马迹,避免被系统管理员发现,同时还会尽量保留隐蔽的通道,使其以后还能轻易的重新进入目标系统。隐藏技术主要包括日志清理、内核套件、安装后门等。
第1种,日志清理。日志清理主要对系统日志中攻击者留下的访问记录进行清除,从而有效地抹除自己的动踪迹。Unix平台下较常用的日志清理工具包括zap、wzap、wted 和remove。攻击者通常在获得特权用户访问权后会安装一些后门工具,以便轻易地重新进入或远程控制该主机,著名的后门工具包括BO、netbus和称为“瑞士军刀”的netcat等;攻击者还可对系统程序进行特洛伊木马化,使其隐藏攻击者留下的程序、服务等。
第2种,内核套件。内核套件则直接控制操作系统内核,提供给攻击者一个完整的隐藏自身的工具包,著名的有knark for Linux、Linux Root Kit 及rootkit。
第3种,安装木马后门。木马的危害性在于它对电脑系统强大的控制和破坏能力,窃取密码、控制系统操作、进行文件操作等等,一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。木马在被植入攻击主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制攻击主机。本文将通过网络盒子NetBox做一个木马,它可以方便的将ASP等脚本编译成为独立运行的执行程序,完全不用考虑平台兼容性要求。步骤如下:
第1步:创建一个NetBox应用。创建一个空的目录,假设是c:\web;同时,在目录中创建一个文件,命名为main.box,其内容为:
|
Dim httpd '------------设置在服务中运行的名称,可适当修改进行隐藏--------------------- |
第2步:设置木马运行环境。在c:\web目录中再创建一个子目录wwwroot,并将我们所需要的ASP木马文件全部复制到wwwroot 中,这里选用的是海阳顶端ASP木马。此时,ASP运行环境应该已经准备好了。为了运行新建的NetBox 应用,必须确认8080端口没有被其他程序占用。双击main.box文件,就可以在窗口右下角看见NetBox的图标。此时,NetBox 已经正常运行了。现在,访问http://localhost:8080/测试ASP木马是否能正常运行。这种木马的好处是,不用担心有日志记录。但是现在它还远不是一个后门,只是提供了与IIS相当的功能
第3步:编译。执行“NetBox Deployment Wizard”,点击“选择文件夹”,找到刚才建立的目录C:\web,设置文件类型和输出文件名后,点“Build...(编译)”按钮,开始编译,就得到了编译成功的那个执行文件。因为这个例程是以服务方式创建的Web 服务器,所以可以在命令行下执行:myapp -install将应用安装成为服务,这样,系统无须登录便可以自动运行应用了。如果需要卸载服务,则可以在命令行下执行如下命令:myapp –remove。(myapp代表输出的应用文件名,如本例中的test),如图5所示。
NetBox Deployment Wizard
第4步:隐藏服务。要达到“神不知鬼不觉”的效果,首先需要把应用程序添加为服务,我们可以使用Windows提供的Instsrv.exe和Srvany.exe这两个小软件。在命令行下,先把Instsrv.exe把Srvany.exe注册为服务。格式为:INSTSRV 服务名 SRVANY的路径,如:“INSTSRV SYSTEM C:\WEB\SRVANY.EXE”。其中SYSTEM是为了便于隐藏服务名。
更多内容请看路由安全配置专题、Sniffer安全技术专题、网络管理实用手册专题,或进入讨论组讨论。
相关专题
- 警惕:谨防“窃听木马”窃听你的隐私 (0次浏览)
- 网络购物被骗 警方发布提示 (0次浏览)
- 后门程序:其实我就是传说中的卧底! (0次浏览)
- “网页挂马”新形态初现 木马传播数量激增 (0次浏览)
- 小心:木马来袭,请保护好你的IE (0次浏览)
- 用户计算机安全危胁之六大禁区 (0次浏览)
- 解你燃眉之急 12种常用的密码破解法 (0次浏览)
- 微软发布1月安全公告 两漏洞或被黑客操控 (0次浏览)
- 引导区Rootkit将让Vista低下高昂的头! (0次浏览)
- 春节临近 用户小心新年被“劫”财 (0次浏览)
